Отлично, благодарю за развернутый ответ. Теперь понятна цель статьи — скорее как «wake-up call», а не технико-методическая раскладка. Тем не менее, позволь тезисно, но по делу:
Насчёт уголовной ответственности:
Да, 273 УК — это не шутки. Но тогда возникает вопрос: если нельзя раскрывать подробности, которые могли бы реально помочь понять механизм компрометации, то что мы в итоге получили? Описание на уровне «я смог, антивирусы не заметили, выводы делайте сами». Это оставляет техническое сообщество в подвешенном состоянии — без чёткой картины, где уязвимость, кто виноват: CryptoPro, Windows, пользователь, или вся экосистема?
Можно ведь рассказать о векторе без 0-day и «криминала» — через моделирование атаки, допустим, с правами пользователя, без кейлоггера и без экспорта ключей.
Насчёт того, что статья «не для специалистов»:
Тут тонкая грань. Публика Хабра — всё же не «домохозяйки с Рутокеном», а айтишники, часто с доступом к инфраструктуре и ответственностью за безопасность. И когда им подаётся упрощённая модель атаки без разбора защит, это только добавляет паранойи, но не даёт понимания, что и как закрывать. Тот же пак «Соболь» или классы СКЗИ можно было упомянуть хотя бы одной строкой в конце — без углубления, просто чтобы не казалось, что выхода нет.
По ссылке на CISA:
Спасибо, но в статье это не было отражено. А зря. Упоминание CISA дало бы нужную серьёзность, тем более это международный источник, который вызывает уважение. Сейчас же выглядит как типичная «страшная цифра из воздуха».
Ну и в целом:
Идея классная. Вектор атаки — реально опасный. Но, как ты сам говоришь, это больше тост, чем технический разбор. Возможно, ты прав — стоит сделать продолжение. А ещё лучше — соавторский материал с кем-то из ИБ-сообщества, чтобы дать и драму, и технику, и контрмеры. Тогда это будет не просто «пугалка», а статья, на которую будут ссылаться в аудитах, внедрении СКЗИ и корпоративных обучениях.
Реально важная тема про компрометацию ЭП превращена в "страшилку" уровня "пришли хакеры и всё украли" . Мало технических деталей — ни схемы взаимодействия с КриптоПро, ни структуры контейнеров, ни информации о том, как именно происходит экспорт ключа, при каких правах, в какой версии Windows, с какими флагами. Всё сводится к «запустили payload и утащили ЭП». Это упрощение вредно — создаёт ложную уверенность, что достаточно «не открывать вложения», и всё будет хорошо.
Где хоть что-то про аппаратные средства защиты (Рутокен, JaCarta), про разделение ключей и контейнеров по уровням доступа? Где рекомендации по ограничению экспорта ключей через политики безопасности Windows (`gpedit`, AppLocker, SRP)? Где база про физическую изоляцию машины с ЭП? Или про отдельный токен с подтверждением на кнопке? Это же азы. Ну ладно что то я тут через чур.... Сорри чисто проф деформация
Ок ближе к теме... Ноль упоминаний про журналирование и контроль.
Если у вас ЭП может быть экспортирована — значит, не настроен ни контроль доступа к `CryptoPro CSP`, ни аудит действий пользователей, ни даже банальный мониторинг исполняемых процессов и вызовов API. Почему это не разобрано?
Про ФЗ-63 не сказано ни слова. Между тем в юридическом смысле защищённая ЭП = ручка директора. Если вы дали возможность её скомпрометировать, вы автоматически проиграли суд. Автору стоило хотя бы упомянуть про риски по линии корпоративного соответствия и ИТ-аудита. А ещё — про практики по отзыву ЭП и перевыпуску, если возникли подозрения.
Статистика «90% через вложения» — откуда?Если это откуда-то типа Group-IB или Mandiant — покажите ссылку. Если нет — не надо манипулировать цифрами ради эмоционального эффекта. Мы тут всё-таки технари :)
Логичный вопрос что можно было бы сделать лучше? Я бы сделал так:
— подробно разобрать вектор: от импланта до доступа к контейнеру,
— привести примеры, как это блокируется: на уровне AD, GPO, политики безопасности,
— обсудить юридические последствия, включая кейсы с подписями в арбитражах,
— сделать вывод не «ой, страшно», а «делаем так-то, так-то, тогда безопасно.
Пока это выглядит как пост для управленцев, чтобы они в панике побежали заказывать аудит. А хотелось бы увидеть статью уровня ИБ-практика: с примерами, логами, техниками, и чёткими выводами. Пока — не дотягивает. Это чисто конструктивная критика, тк много лет занимаюсь этим. Надеюсь не обидел.
Как бывший сотрудник ВК отчасти согласен с автором данного поста!
КМК основной прикол в PR в том что бы ты как сотрудник развивался и не стоял на месте но есть НО: Данный инструмент очень полезен руководителю в случае того что бы сосляться на плохого/хорошего сотрудника и показать начальству что я " не виноват"/"молодец" они "сами"/"с моей помощью" достигли того где они сейчас есть! Это позволяет гибко снять или принять на себя отвесвенность за команду!
Учитывая свой опыт могу точно сказать что mail.ru и ВК в частности превращается в помойку так и по HR службе так и по внутренним процессам!
Привиду пример: У нас был отдел который занимался очень важными задачами(перечислять не буду, это не так важно). Но процессы которые там были выстроены мягко говоря не совершенны и смотрелись весьма глупо! В один день один из наших тимлидов назовем его Н. решил что "настало время менять" систему и решил пойти ко внутренней организационной службе назваем ее КК (это те кто пишут бизнес процессы и помогают сотрудникам внутри отдела решать организационные задачи) поговорить о не соверщенсве системы. Только вот он не предпологал что идти простив системы очень глупо и сама система его просто посчитала его слабым и выкинула! Другой пример: в той же команде уходит руководитель направления который руководил всем составом отдела и на его смену приходит другой руководитель тут DreamTeam просто рушится и половина команды рассыпается потому что "переобувка в вохдухе с вертухой" всех уже достала + и тот тащит своих людей!
И тут вопрос могу ли я рекомендовать ВК мидлам/сенторам(в ИТ сфере) ? Определенно нет! А вот джунам самое то что бы почувсвовать порох!
Просто сам стал свидетелем того как hr набирают людей в Тинькофф! Мало того что сами hr ленивые (прям до безобразия) так еще нагло врут о обязанностях либо тупо неразбираются.
Тут один чувак рассказал выше как он ходит на работу в настолки поиграть и на обед с коллегами пойти. Это все интересно до поры до времени потом ты устаешь от людей. Плавали - знаем. Сам бывший сотрудник майл ру. По итогу хочу сказать если вам нужен работник ищите его сами. Люди есть, факт. Пользуясь случаем хочу сказать что Сбер и Тинькофф моем чёрном списке из за процесса подбора.
Отлично, благодарю за развернутый ответ. Теперь понятна цель статьи — скорее как «wake-up call», а не технико-методическая раскладка. Тем не менее, позволь тезисно, но по делу:
Насчёт уголовной ответственности:
Да, 273 УК — это не шутки. Но тогда возникает вопрос: если нельзя раскрывать подробности, которые могли бы реально помочь понять механизм компрометации, то что мы в итоге получили? Описание на уровне «я смог, антивирусы не заметили, выводы делайте сами». Это оставляет техническое сообщество в подвешенном состоянии — без чёткой картины, где уязвимость, кто виноват: CryptoPro, Windows, пользователь, или вся экосистема?
Можно ведь рассказать о векторе без 0-day и «криминала» — через моделирование атаки, допустим, с правами пользователя, без кейлоггера и без экспорта ключей.
Насчёт того, что статья «не для специалистов»:
Тут тонкая грань. Публика Хабра — всё же не «домохозяйки с Рутокеном», а айтишники, часто с доступом к инфраструктуре и ответственностью за безопасность. И когда им подаётся упрощённая модель атаки без разбора защит, это только добавляет паранойи, но не даёт понимания, что и как закрывать. Тот же пак «Соболь» или классы СКЗИ можно было упомянуть хотя бы одной строкой в конце — без углубления, просто чтобы не казалось, что выхода нет.
По ссылке на CISA:
Спасибо, но в статье это не было отражено. А зря. Упоминание CISA дало бы нужную серьёзность, тем более это международный источник, который вызывает уважение. Сейчас же выглядит как типичная «страшная цифра из воздуха».
Ну и в целом:
Идея классная. Вектор атаки — реально опасный. Но, как ты сам говоришь, это больше тост, чем технический разбор. Возможно, ты прав — стоит сделать продолжение. А ещё лучше — соавторский материал с кем-то из ИБ-сообщества, чтобы дать и драму, и технику, и контрмеры. Тогда это будет не просто «пугалка», а статья, на которую будут ссылаться в аудитах, внедрении СКЗИ и корпоративных обучениях.
Привет @DmitriiMikhailov
Можно я как ИБшник со стажем немножко потоксичу?
Реально важная тема про компрометацию ЭП превращена в "страшилку" уровня "пришли хакеры и всё украли" . Мало технических деталей — ни схемы взаимодействия с КриптоПро, ни структуры контейнеров, ни информации о том, как именно происходит экспорт ключа, при каких правах, в какой версии Windows, с какими флагами. Всё сводится к «запустили payload и утащили ЭП». Это упрощение вредно — создаёт ложную уверенность, что достаточно «не открывать вложения», и всё будет хорошо.
Где хоть что-то про аппаратные средства защиты (Рутокен, JaCarta), про разделение ключей и контейнеров по уровням доступа? Где рекомендации по ограничению экспорта ключей через политики безопасности Windows (`gpedit`, AppLocker, SRP)? Где база про физическую изоляцию машины с ЭП? Или про отдельный токен с подтверждением на кнопке? Это же азы. Ну ладно что то я тут через чур.... Сорри чисто проф деформация
Ок ближе к теме... Ноль упоминаний про журналирование и контроль.
Если у вас ЭП может быть экспортирована — значит, не настроен ни контроль доступа к `CryptoPro CSP`, ни аудит действий пользователей, ни даже банальный мониторинг исполняемых процессов и вызовов API. Почему это не разобрано?
Про ФЗ-63 не сказано ни слова. Между тем в юридическом смысле защищённая ЭП = ручка директора. Если вы дали возможность её скомпрометировать, вы автоматически проиграли суд. Автору стоило хотя бы упомянуть про риски по линии корпоративного соответствия и ИТ-аудита. А ещё — про практики по отзыву ЭП и перевыпуску, если возникли подозрения.
Статистика «90% через вложения» — откуда?Если это откуда-то типа Group-IB или Mandiant — покажите ссылку. Если нет — не надо манипулировать цифрами ради эмоционального эффекта. Мы тут всё-таки технари :)
Логичный вопрос что можно было бы сделать лучше? Я бы сделал так:
— подробно разобрать вектор: от импланта до доступа к контейнеру,
— привести примеры, как это блокируется: на уровне AD, GPO, политики безопасности,
— обсудить юридические последствия, включая кейсы с подписями в арбитражах,
— сделать вывод не «ой, страшно», а «делаем так-то, так-то, тогда безопасно.
Пока это выглядит как пост для управленцев, чтобы они в панике побежали заказывать аудит. А хотелось бы увидеть статью уровня ИБ-практика: с примерами, логами, техниками, и чёткими выводами. Пока — не дотягивает. Это чисто конструктивная критика, тк много лет занимаюсь этим. Надеюсь не обидел.
Как бывший сотрудник ВК отчасти согласен с автором данного поста!
КМК основной прикол в PR в том что бы ты как сотрудник развивался и не стоял на месте но есть НО: Данный инструмент очень полезен руководителю в случае того что бы сосляться на плохого/хорошего сотрудника и показать начальству что я " не виноват"/"молодец" они "сами"/"с моей помощью" достигли того где они сейчас есть! Это позволяет гибко снять или принять на себя отвесвенность за команду!
Учитывая свой опыт могу точно сказать что mail.ru и ВК в частности превращается в помойку так и по HR службе так и по внутренним процессам!
Привиду пример: У нас был отдел который занимался очень важными задачами(перечислять не буду, это не так важно). Но процессы которые там были выстроены мягко говоря не совершенны и смотрелись весьма глупо! В один день один из наших тимлидов назовем его Н. решил что "настало время менять" систему и решил пойти ко внутренней организационной службе назваем ее КК (это те кто пишут бизнес процессы и помогают сотрудникам внутри отдела решать организационные задачи) поговорить о не соверщенсве системы. Только вот он не предпологал что идти простив системы очень глупо и сама система его просто посчитала его слабым и выкинула!
Другой пример: в той же команде уходит руководитель направления который руководил всем составом отдела и на его смену приходит другой руководитель тут DreamTeam просто рушится и половина команды рассыпается потому что "переобувка в вохдухе с вертухой" всех уже достала + и тот тащит своих людей!
И тут вопрос могу ли я рекомендовать ВК мидлам/сенторам(в ИТ сфере) ? Определенно нет! А вот джунам самое то что бы почувсвовать порох!
Как говорится "ВК уже не тот что был раньше!
PS простите за орфографию, набирал за рулем!
Простите не смог пройти мимо!
Просто сам стал свидетелем того как hr набирают людей в Тинькофф! Мало того что сами hr ленивые (прям до безобразия) так еще нагло врут о обязанностях либо тупо неразбираются.
Тут один чувак рассказал выше как он ходит на работу в настолки поиграть и на обед с коллегами пойти. Это все интересно до поры до времени потом ты устаешь от людей. Плавали - знаем. Сам бывший сотрудник майл ру. По итогу хочу сказать если вам нужен работник ищите его сами. Люди есть, факт. Пользуясь случаем хочу сказать что Сбер и Тинькофф моем чёрном списке из за процесса подбора.