Рубрика «ИБ»

Подают инициативу под соусом борьбы с запрещенным контентом в социальных сетях и мессенджерах. Правозащитники видят в этом серьезную угрозу конфиденциальности и информационной безопасности. Расскажем, что вообще происходит.

/ Unsplash.com / Kenny Eliason

/ Unsplash.com / Kenny Eliason

Известная дорога

Вопросы, связанные с шифрованием, уже давно Читать полностью »

Привет!

Правила игры простые: я рассказываю историю про аудит безопасности, а вы оцениваете, правда это или нет. Под спойлером — ответ.

Байки по кибербезопасности: играем в «Правда или ложь» - 1

1. «Суперпроводимость»

Читать полностью »

Недавно мне довелось участвовать в хакатоне по информационной безопасности на научной конференции в прекрасном городе Санкт-Петербург в СПбГУТ. Одно из заданий представляло из себя написание собственного сканера уязвимостей на любом ЯП с условиями, что использование проприетарного ПО и фреймворков запрещено. Можно было пользоваться кодом и фреймворками существующих сканеров уязвимости с открытым кодом. Это задание и мое решение с моим коллегой мы и разберем в этой публикации.

Подготовительный этап

Читать полностью »

Сегодня в обед украинские хакерские телеграм-каналы сообщили, что осуществлён взлом в качестве «ответки за Новую Почту». Дальше информация про взлом стала распространяться через СМИ.

Что мы узнали: вчера в 3 ночи был сформирован файл с, предположительно, дампом данных покупок автобусов, сделанных через наш сайт tutu.ru, там 2,5 миллиона строк технических неочищенных данных (в том числе с повторами). Там номера заказов, имена пассажиров и почты. Платёжных данных и данных о маршрутах в дампе нет.

Похоже, это действительно часть данных наших заказов. Там нет пунктов прибытия-отправления, дат заказа, но есть фамилия и имя плательщика (но не всех пассажиров), телефон и почта для отправки чека.

Произошло следующее: с 24 февраля мы вошли в списки целей для атак в хакерски и краудхакерских группах. Сначала нас банально дидосили, потом небанально дидосили, после чего хакерам удалось на короткий промежуток времени уронить сайт РЖД (фронты, но не АСУ Экспресс), и мы стали целью №1, потому что продолжали выписывать билеты. Положить нас тогда так и не удалось. С тех пор продолжаются и волны DDoS, и атаки на почту и другие типы направленных атак.

Основные версии утечки:

  1. Сопоставление данных пользователей с утечками крупных сервисов вроде Яндекса, Деливери, Пикабу и взломов почт. Похоже, что нет, в таблице есть технические учётные записи.
  2. Один из внешних технических контрагентов, связанных с эквайрингом.
  3. Собственные разработчики или члены инфраструктурной команды. Эту версию нельзя исключать никогда ни на каком проекте ни при каких условиях.
  4. Направленная атака на неизвестный нам баг.

Теперь детали про расследование.
Читать полностью »

«У нас воруют — мы находим, процент примерно одинаковый». Как устроена система безопасности шеринга самокатов Юрент - 1

Кибератаки, воровство и вандализм — сервисы аренды самокатов — кикшеринги кажутся довольно уязвимыми, но так ли это? В одном из недавних проектов команда Бастион Читать полностью »

Испытание по криминалистической экспертизе дампа .NET - 1


Это испытание с MetaCTF CyberGames 2021, в рамках которого нужно было выполнить криминалистическую экспертизу дампа памяти .NET. Проведение такой экспертизы может быть многим незнакомо, так что, надеюсь, данная статься окажется полезной.Читать полностью »

Как я расширил Time-Based SQL Injection до RCE - 1

Тема информационной безопасности и защиты данных крайне актуальна для любого бизнеса, независимо от его размеров и географии. В рамках нашего блога мы решили публиковать заметки зарубежных коллег, основанные на их реальном опыте по теме. Надеемся, что приведенный материал будет вам полезен.Читать полностью »

Ваш звонок очень важен: как мошенники пытались навязать мне кредит - 1

Последнее время кажется, что мошенники стали звонить даже чаще, чем друзья и знакомые. К якобы службе безопасности якобы «Сбербанка», которая интересуется, делал ли я перевод Ивану И. из Новосибирска, я как-то даже привык. Но тут позвонили с новым для меня заходом: на этот раз про кредит.  Возможно, кто-то из вас даже сталкивался с подобной схемой, но я лично – первый раз.

Читать полностью »

Кадр из художественного фильма TWARDOWSKY 2.0

У заказчика есть главная система, через которую он делает продажи всего-всего. К ней имеют доступ подрядчики, которые разрабатывают и дополняют эту систему, а также персонал изнутри. Когда речь про железо, всё достаточно просто: подрядчик приходит в ЦОД, а безопасник из офиса контролирует его по видео. А вот когда речь про разработку, проконтролировать «закладки» или вынос информации — так не выйдет.

Чтобы подрядчики с доступом к боевой системе и тестовому стенду не устроили что-то злонамеренное, нужен контроль либо на стороне подрядчика, либо на стороне заказчика. Про людей подрядчика заказчик ничего не знает: они не сидят у него в офисе, им нельзя дышать в затылок. Тяжело разобраться, кто и с какой задачей подключается.

Собственно, дальше мы начали внедрять систему защиты.

Первое и важное — выдали персонифицированные сертификаты для идентификации каждого сотрудника. Потом развернули терминальный сервер, через который все подключаются. На терминальном сервере стояли агенты решения ObserveIT, которые позволяли записывать и анализировать действия подрядчика. То есть, по сути, собиралась форензика, доказательная база. Подрядчики были предупреждены заранее, что их действия записываются.

Вторая часть задачи была в том, чтобы проконтролировать утечки. Первого же злонамеренного «сливальщика» мы поймали через неделю после внедрения. Читать полностью »

Вебкаст Хабр ПРО #6. Мир ИБ: паранойя vs здравый смысл - 1

В сфере безопасности легко либо недосмотреть, либо, наоборот, потратить слишком много сил в никуда. Сегодня мы пригласим в наш вебкаст топ-автора из хаба «Информационная безопасность» Луку Сафонова (LukaSafonov) и Джабраила Матиева (djabrail) — руководителя направления защиты конечных устройств в «Лаборатории Касперского». Вместе с ними мы поговорим о том, как найти ту тонкую грань, где здравый смысл переходит в паранойю: где заканчиваются возможности решений EPP (Endpoint protection), кому уже нужны решения Endpoint Detection and Response (EDR) и как понять, что компания может стать целью таргетированной атаки и какие продукты помогают справляться с этими угрозами. О том, что мы будем обсуждать, под катом.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js