Рубрика «информационная безопасность» - 2

Художественные детские книги про социнжиниринг - 1

Привет!
Я три года назад читал в детском лагере лекцию про социнжиниринг, троллил детей и немного бесил вожатых. В итоге испытуемые спросили, что почитать. Мой дежурный ответ про две книги Митника и две книги Чалдини, вроде, убедителен, но только для примерно восьмиклассника и старше. Если младше — то надо сильно чесать голову.

В общем, ниже — очень короткий список самых обычных художественных произведений. Лёгких, простых, детских. Но про социальную инженерию. Потому что в каждой культуре есть персонаж-джокер, который немного психопат, немного шут и немного эффективный специалист. Список неполный, и я хочу попросить вас его продолжить. Читать полностью »

По-настоящему детективная история развернулась в последние месяцы вокруг компании DarkMatter, которая подала заявку на включение своего центра сертификации в доверенное корневое хранилище сертификатов Mozilla. Дело в том, что это не простая компания, а разработчик «шпионского» программного обеспечения из ОАЭ. Ранее она была замечена в покупке 0day-эксплоитов. В принципе, само по себе это не преступление. Многие компании, в том числе российские, занимаются созданием хакерского инструментария с использованием 0day. Они продают эти программы, например, правоохранительным органам для взлома телефонов (криминалистическая экспертиза) или скрытой установки троянов (оперативное наблюдение). Но общепринятые правила таковы, что хакерские фирмы сотрудничают только с демократическими правительствами, то есть стоят «на стороне добра».

Страсти накалились в феврале 2019 года, когда вышло расследование Reuters, что DarkMatter продавала софт репрессивным режимам на Ближнем Востоке.

Mozilla мгновенно оказалась под давлением.
Читать полностью »

10 способов, как вас могут обмануть при обмене криптовалют - 1

Во время работы по запуску мониторинга обменников криптовалют на Bits.media занялся я составлением списка рисков, с которыми сталкивался, и о которых мне писали пользователи после инцидентов. А чтоб добру не пропадать, решил оформить все в отдельную статью. Немного дополнил ее пунктами при работе с p2p площадками, так как обменов там совершается сейчас также не мало. Список идет от простого к сложному, но не стоит недооценивать риски даже совсем тупых методов мошенничества, на них каждый день попадаются люди, а бдительность порой теряется и у совсем заядлых криптанов. Также в конце я приведу несколько правил, которые помогут снизить эти риски.
Читать полностью »

Security Week 17: атаки по цепи поставок - 1В начале апреля мы обсуждали атаку ShadowHammer на ноутбуки Asus как пример вредоносной кампании с использованием цепочки поставщиков. Атаки на supply chain представляют особый интерес для исследователей и особую опасность для бизнеса именно потому, что компрометируют доверенные каналы связи. Покупка компьютера, который каким-то образом уже заражен, взлом субподрядчика, имеющего доступ к корпоративным ресурсам клиента, распространение зараженной версии ПО с сайта официального разработчика — это типичные примеры атаки на цепочку поставщиков.

Еще серьезнее может быть проблема, когда жертвой оказывается компания, предоставляющая вам услуги удаленного обслуживания инфраструктуры IT или оказывающая услуги по разработке ПО и внедрению IT-систем. Аутсорсинг подобных задач сторонним организациям является распространенной практикой. На прошлой неделе стало известно об атаке на индийскую компанию Wipro, крупного поставщика IT-услуг. Сначала о компрометации корпоративной сети Wipro написал независимый журналист Брайан Кребс, а потом информацию подтвердили в самой компании (новость, статья Брайана).
Читать полностью »

Фишинговый сайт должен выглядеть достаточно правдоподобно и соответствовать какой-либо легенде злоумышленников. Нередко в качестве легенды выбирают что-нибудь связанное с безопасностью, такие ресурсы вызывают больше доверия у потенциальных жертв. И вот вам свежий пример такого подхода: sbersecure.ru.

События вокруг сайта развивались стремительно. Доменное имя было зарегистрировано вечером 16 апреля, а на следующий день на нем уже красовался фишинговый сайт. Изначально в качестве DNS были указаны сервера российского хостера Hostlife, однако, спустя всего 9 часов в NS-записях появились адреса CloudFlare, компании, не нуждающейся в представлении. 17 апреля в 15 часов по московскому времени ресурс обзавелся сертификатом шифрования, выданным все той же CloudFlare.

image

Познакомимся с фишинговым сайтом поближе.
Читать полностью »

Будучи в поисках интересной информации о стеганографии, я наткнулся на занимательную статью о стеганографии в файловой системе, и, спустя какое -то время, та навела меня на мысль о создании стеганографии в файловой системе оптических дисков.

Вероятно, в наши дни, уже почти не осталось людей, которые бы использовали в повседневности диски, ведь им на замену пришел более достойный вариант в лице флеш-накопителей.

Немного поразмыслив, я решил, что дискам все еще можно найти какое-то применение, например, внутри их файловой системы можно скрыть какую-то секретную информацию и затем передать другому так, чтобы никто ничего не заподозрил.

Этим мы и займемся, а именно: будем использовать библиотеку питона, которая поможет нам закодировать информацию из текстового файла, а затем скрыть ее в недрах нашего диска.

image
Читать полностью »

На мой взгляд, в русскоязычном секторе интернета тематика формальной верификации освещена недостаточно, и особенно не хватает простых и наглядных примеров.

Я приведу такой пример из зарубежного источника, и дополню собственным решением известной задачи о переправе волка, козы и капусты на другую сторону реки.

Но вначале вкратце опишу, что из себя представляет формальная верификация и зачем она нужна.

Под формальной верификацией обычно понимают проверку одной программы либо алгоритма с помощью другой.

Это нужно для того, чтобы удостовериться, что поведение программы соответствует ожидаемому, а также обеспечить её безопасность.

Формальная верификация является самым мощным средством поиска и устранения уязвимостей: она позволяет найти все существующие дыры и баги в программе, либо же доказать, что их нет.
Стоит заметить, что в некоторых случаях это бывает невозможно, как например, в задаче о 8 ферзях с шириной доски 1000 клеток: всё упирается в алгоритмическую сложность либо проблему остановки.

Однако в любом случае будет получен один из трёх ответов: программа корректна, некорректна, или же — вычислить ответ не удалось.

В случае невозможности нахождения ответа, зачастую можно переработать неясные места программы, уменьшив их алгоритмическую сложность, для того чтобы получить конкретный ответ да либо нет.

А применяется формальная верификация, например, в ядре Windows и операционных системах беспилотников Darpa, для обеспечения максимального уровня защиты.

Мы будем использовать Z3Prover, очень мощный инструмент для автоматизированного доказательства теорем и решения уравнения.

Причём Z3 именно решает уравнения, а не подбирает их значения грубым брутфорсом.
Это означает, что он способен находить ответ, даже в случаях когда комбинаций входных вариантов и 10^100.

А ведь это всего лишь около дюжины входных аргументов типа Integer, и подобное зачастую встречается на практике.

Задача о 8 ферзях (Взята из англоязычного мануала).

Формальная верификация на примере задачи о волке, козе и капусте - 1
Читать полностью »

Шпаргалки по безопасности: Docker - 1

Docker контейнеры — самая популярная технология для контейнеризации. Изначально она использовалась в основном для dev и test окружений, со временем перешла и в production. Docker контейнеры начали плодиться в production среде, как грибы после дождя, однако мало из тех, кто использует данную технологию, задумывался о том, как же безопасно публиковать Docker контейнеры.

Основываясь на OWASP, мы подготовили список правил, выполнение которых позволит значительно обезопасить ваше окружение, построенное на Docker контейнерах.
Читать полностью »

Маркус Хатчинс, остановивший распространение WannaCry, признал себя виновным в распространении трояна Kronos - 1

Сегодня стало известно о том, что специалист по информационной безопасности Маркус Хатчинс признал в американском суде свою вину в создании вредоноса Kronos. Ему было вынесено обвинение по нескольким пунктам, но Хатчинс признал себя виновным только по двум из них. Также он заявил, что принимает ответственность за свои ошибки и жалеет о своем поступке.

Стоит отметить, что Хатчинса задержали еще в 2017 году, через несколько дней после проведения хакерской конференции DEF CON. Его обвинили в разработке и распространении банковского трояна.
Читать полностью »

Система быстрых платежей используется мошенниками для «пробивки» наличия счета абонентов в банке - 1

На днях ЦБ и НСПК, ответственные за реализацию системы быстрых платежей (СБП) подвели итоги ее работы. Как оказалось, с момента запуска было совершено более 140 тысяч операций, причем средняя сумма перевода составляет 7,5 тыс. рублей. К этой системе подключено 12 игроков, включая ВТБ, Тинькофф-банк, Промсвязьбанк, Росбанк, СКБ-банк, Газпромбанк, Альфа-банк, «Ак Барс», Райффайзенбанк, платежный сервис Qiwi, Совкомбанк и РНКО «Платежный центр» — оператор платежной системы «Золотая корона».

В ближайшее время к системе подключат «Открытие», Юникредитбанк, «Русский стандарт» и Газэнергобанк. Стоит отметить, что пока максимальный лимит одного перевода СБП установлен на уровне 600 тысяч рублей. Но банки-участники устанавливают лимиты ниже максимума, чтобы обезопасить себя и своих клиентов.
Читать полностью »