Информационная безопасность *

27 октября в офисе РСХБ-Интех на Теплом Стане (Москва, ул. Профсоюзная 125а) пройдет RSHB DevSecOps Meetup, посвященный теме информационной безопасности в процессах.

Первый доклад митапа, «Какие процессы приводят к результату?», зачитает Светлана Газизова, руководитель направления безопасной разработки в Swordfish Security.

Светлана расскажет, почему недостаточно подключить в IDE проверки кода, что делать, если инструменты не умеют проверять уязвимости бизнес-логики, в чем смысл безопасной разработки и почему это называется DevSecOps, а также чем отличается процессный подход от «безопасного» Waterfall’а и как живется командам разработки, когда внедряются практики AppSec.

• Участие бесплатное (онлайн и оффлайн). Успейте зарегистрироваться на сайте РСХБ в цифре.

• Общаться и следить за ходом митапа можно в Telegram-чате.

Приглашаем всех на RSHB DevSecOps Meetup — бесплатный митап по информационной безопасности в процессах, который пройдет 27 октября. В своих докладах спикеры расскажут о подходе DevSecOps и его внедрении, интеграции проверок безопасности и угрозах, которые принесли с собой CI/CD-конвейеры. Можно прослушать доклады онлайн или зарегистрироваться на офлайн-участие.

В программе:

• Доклад Светланы Газизовой, руководителя направления безопасной разработки в Swordfish Security, «Какие процессы приводят к результату?».

• Доклад Михаила Синельникова, руководителя направления DevSecOps в РСХБ-Интех, «Безопасность на первом месте: Интеграция проверок безопасности на всех этапах CI/CD».

• Доклад Алексея Федулаева, DevSecOps Lead из Wildberries и Андрея Моисеева, DevSecOps из Bimeister, «Безопасность CI/CD 2».

Офлайн-часть митапа пройдет в офисе РСХБ-Интех на Теплом Стане (Москва, ул. Профсоюзная 125а). Успейте зарегистрироваться на офлайн-участие на сайте РСХБ в цифре.

В рамках митапа пройдет розыгрыш призов за лучшие вопросы спикерам и розыгрыш призов среди тех, кто пройдет опрос и оставит отзыв о мероприятии.

Общаться и следить за ходом митапа можно в Telegram-чате.

На благотворительном аукционе продали «Каску работяги» — обычную синюю каску, на которой расписались несколько десятков хакеров. Торги проходили с 4 по 15 октября 2023 года, минимальная ставка была 1337 рублей, а максимальная, от победителя аукциона Александра Тушканова из BI.ZONE, составила 150 тысяч рублей. Собранные на мероприятии средства пойдут в фонд «Верю в чудо», помогающий детям с тяжёлыми заболеваниями.

В стриминговом сервисе для ПК Shadow обнаружили утечку данных. В результате злоумышленники завладели персональными данными клиентов: именами и фамилиями, адресами электронной почты, датами рождения, платёжными адресами и датами истечения срока действия кредитной карты.

Гендиректор Shadow подтвердил, что в конце сентября на компанию совершили атаку с использованием социальной инженерии, которая привела к краже базы данных одного из поставщиков услуг. Сервис уже усилил протоколы безопасности и обновляет внутренние системы.

Атака произошла на платформе Discord. Сотрудник Shadow, который сам стал жертвой социальной инженерии, предложил знакомым загрузить игру на платформе Steam. Под видом игры скрывалось вредоносное ПО. Злоумышленникам удалось использовать один из украденных файлов cookie для подключения к интерфейсу управления одного из поставщиков SaaS. Благодаря этому файлу cookie, который уже деактивирован, он получил через API SaaS-провайдера определённую личную информацию.

Опубликованы результаты независимого аудита безопасности открытого кэширующего прокси-сервера Squid, проведённого в 2021 году. В ходе проверки кодовой базы проекта выявлено 55 уязвимостей, из которых в настоящее время 35 проблем пока не исправлены разработчиками (0-day). Разработчики Squid были уведомлены о проблемах ещё два с половиной года назад, но так и не завершили работу по их устранению. В конечном счёте автор аудита решил раскрыть информацию, не дожидаясь исправления всех проблем и предварительно уведомил об этом разработчиков Squid.

Среди выявленных уязвимостей зафиксировано:

• переполнение стека в реализации аутентификации по хэшу (Digest Authentication), проявляющееся при обработке HTTP‑заголовка Proxy‑Authorization со слишком большим значением поля "Digest nc".

• обращение к памяти после её освобождения в обработчике запросов с методом TRACE.

• обращение к памяти после её освобождения при обработке HTTP-запросов с заголовком «Range» (CVE-2021-31807).

• переполнение стека при обработке HTTP-заголовка X-Forwarded-For.

• переполнение стека при обработке chunked-запросов.

• обращение к памяти после её освобождения в web‑интерфейсе CacheManager.

• целочисленное переполнение в обработчике HTTP-заголовка Range (CVE-2021-31808).

• обращение к памяти после её освобождения и переполнение буфера в обработчике выражений ESI (Edge Side Includes).

• многочисленные утечки памяти, выходы за границы буфера при чтении и проблемы, приводящие к аварийному завершению.

Источник: OpenNET.

Губернатор Калифорнии Гэвин Ньюсом подписал закон о запрете на «пособничество или подстрекательство» в соцсетях к жестокому обращению с детьми. Он позволит наказывать веб-сервисы за «сознательное содействие, пособничество или подстрекательство к коммерческой сексуальной эксплуатации» детей. 

Закон вступит в силу 1 января 2025 года. Он добавляет новые правила, направленные на то, чтобы соцсети пресекали публикацию материалов о сексуальном насилии над детьми, а также добавляет меры наказания для сайтов, которые «сознательно» размещают в сети такие материалы. 

Торговые ассоциации технологической отрасли TechNet и NetChoice выразили обеспокоенность по поводу законопроекта, отметив, что он может привести к чрезмерной цензуре и нарушает Первую поправку.

В Образовательном центре «Сириус» в 2023 году откроют экспериментальную программу по кибербезопасности. Она объединит программы общего и высшего образования. Об этом сообщила председатель Совета федеральной территории «Сириус», руководитель Образовательного центра Елена Шмелева на заседании попечительского совета фонда «Талант и успех».

По словам Елены Шмелевой, «Сириус» готов открыть для самых сильных школьников России экспериментальную флагманскую программу по кибербезопасности, когда интегрируются программы общего и высшего образования. Руководитель центра также отметила, что «Сириус» совместно с Санкт‑Петербургским госуниверситетом и Генеральной прокуратурой РФ разработал курс по обществознанию. В 2023 году на образовательные программы было подано 15 тысяч заявок, обучение прошли 3 тысячи преподавателей из всех регионов России.

Голосовой помощник Alexa от Amazon уличили в некорректных ответах. Так, он заявил, что президентские выборы 2020 года в США сопровождались фальсификациями, а голоса избирателей украли. При этом помощник ссылался на стриминговый сервис Rumble, пользующийся популярностью у консерваторов.

При этом Amazon продвигает Alexa как надёжный источник новостей о выборах. Пресс-секретарь компании заявил, что конкретно эту ошибку в ответе уже исправили. Он также отметил, что Alexa работает с «достоверными источниками», такими как Reuters, Ballotpedia и RealClearPolitics.

Теперь на вопрос о выборах 2020 года помощник отвечает: «Извините, я не могу ответить на этот вопрос». Если спросить «Кто победил на выборах 2020 года?», то помощник правильно отвечает: «Демократ Джо Байден», ссылаясь на результаты выборов агентства Reuters. Но, если переформулировать его, то Alexa по-прежнему рассказывает о фальсификациях. Непоследовательные ответы Alexa могут отражать попытку разработчиков опираться на широкий спектр источников новостей по всему политическому спектру для решения проблем, связанных с предвзятостью, говорит Мередит Бруссард, доцент Нью-Йоркского университета.

В 2024 году ожидается, что более 75 млн жителей США будут использовать Alexa по крайней мере один раз в месяц.

«Во время выборов мы указываем источники и средства массовой информации, чтобы клиенты точно знали, откуда поступает информация», — заявила компания.

Компания развлечений MGM Resorts International не стала платить хакерам выкуп за украденные данные клиентов после взлома её системы. Злоумышленники украли данные клиентов, включая имена, контактную информацию, дату рождения и номера водительских прав, а также номера социального страхования, паспортов и т.д.

Компания не уточнила, сколько людей пострадало от взлома, но документы, поданные Комиссию по ценным бумагам и биржам США, показывают, что хакеры владеют данными о «клиентах, которые совершали транзакции до марта 2019 года». MGM заявила, что «не верит» в кражу паролей клиентов, номеров банковских счетов или данных карт. Компания уведомляет пользователей по электронной почте и предоставит пострадавшим бесплатные услуги кредитного мониторинга и защиты от кражи данных.

В документе SEC говорится, что операции MGM вернулись к нормальному состоянию, и «практически все гостевые системы были восстановлены». Компания потратила около $10 млн на «технологические консалтинговые услуги, судебные издержки и сторонних консультантов».

Автор DNS-сервера Trust-DNS объявил о переименовании проекта в Hickory DNS. В качестве причины смены имени называется желание сделать проект более привлекательным для пользователей, разработчиков и спонсоров, избежать пересечений при поиске с концепцией Trusted DNS, зарегистрировать товарный знак и защитить связанный с проектом бренд.

Hickory DNS включает компоненты для обеспечения работы авторитативного DNS-сервера, DNS-клиента, локального резолвера и рекурсивного DNS-сервера. В состав также входят библиотеки с реализациями низкоуровневых протоколов. Проект поддерживает DNSSEC, DoT (DNS over TLS), DoH (DNS over HTTPS), DoQ (DNS over QUIC), mDNS (Multicast DNS), DNS‑SD (Service Discovery), ANAME, динамическое обновление записей, CSYNC (Child-to-Parent Synchronization), DANE (DNS-Based Authentication of Named Entities), DNSKEY, CAA (Certification Authority Authorization). В процессе реализации или пока не готова поддержка бесклассовых IN-ADDR.ARPA, инкрементального трансфера зон, отправки уведомлений вторичным серверам об обновлении зоны, Trusted DNS и S/MIME. Код проекта написан на языке Rust и распространяется под лицензиями MIT и Apache 2.0.

В будущем Hickory DNS планируют задействовать в инфраструктуре Let's Encrypt, оптимизацировать производительность, обеспечить поддержку полностью рекурсивных запросов и их валидации через DNSSEC, добавить поддержка NSEC3, политик кэширования разных типов DNS-записей, средства балансировки обработки запросов,

Источник: OpenNET.

Компания Mozilla объявила о включении для пользователей стабильной ветки Firefox поддержки механизма ECH (Encrypted Client Hello), продолжающего развитие технологии ESNI (Encrypted Server Name Indication) и предназначенного для шифрования информации о параметрах TLS‑сеансов, таких как запрошенное доменное имя.

Изначально код для работы с ECH был добавлен в выпуск Firefox 85, но был отключён по умолчанию. В Chrome поддержку ECH начали постепенно включать, начиная с выпуска Chrome 115.

Так как помимо соединения с сервером утечка сведений о запрошенных доменах происходит через DNS, для полноценной защиты кроме ECH необходимо применение технологии DNS over HTTPS или DNS over TLS для шифрования DNS‑трафика. Firefox не будет использовать ECH без включения DNS over HTTPS в настройках. Проверить поддержку ECH в браузере можно на данной странице.

Одним из факторов активации по умолчанию поддержки ECH в Firefox стало включение несколько дней назад компанией Cloudflare поддержки ECH в своей сети доставки контента. С практической стороны, так как данные о запрошенных хостах при применении ECH скрыты от анализа, для фильтрации и блокировки неугодных сайтов, использующих CDN Cloudflare, теперь потребуется блокировка всей сети Cloudflare, блокировка всех запросов с ECH или организация перехвата HTTPS при помощи подставных корневых сертификатов на системе пользователя.

Источник: OpenNET.

Разработчики проекта Thunderbird предупредили пользователей о появлении в рекламной сети Google объявлений, предлагающих установить готовые (заражённые зловредами) сборки почтового клиента Thunderbird. На деле под видом Thunderbird распространялось вредоносное ПО, которое после установки собирало и отправляло на внешний сервер конфиденциальную и личную информацию с систем пользователей, после чего злоумышленники вымогали деньги за то, чтобы не разглашать полученные сведения (например, не подлежащие разглашению корпоративные данные). Кроме Thunderbird зафиксирована реклама аналогичных вредоносных сборок Discord, Microsoft Teams и Adobe Reader.

Пользователям рекомендуется использовать только официальные источники загрузки Thunderbird, такие как сайт thunderbird.net, пакеты из штатных репозиториев дистрибутивов Linux и официальные страницы проекта в каталогах Microsoft Store, Snap Store и Flathub.

Источник: OpenNET.

Опубликован выпуск проекта VeraCrypt 1.26, развивающего форк системы шифрования дисковых разделов TrueCrypt, прекратившей своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и macOS, устранением проблем, выявленных в процессе аудита исходных текстов TrueCrypt. Прошлый официальный релиз VeraCrypt 1.25.9 был опубликован в феврале 2022 года. Разработанный проектом VeraCrypt код распространяется под открытой лицензией Apache 2.0, а заимствования из TrueCrypt продолжают поставляться под лицензией TrueCrypt License 3.0. Готовые сборки формируются для Linux, FreeBSD, Windows и macOS.

Среди изменений в новой версии:

• добавлена поддержка использования банковских смарт-карт, соответствующих стандарту EMV, в качестве хранилища ключей для доступа к несистемным разделам. EMV-карты могут использоваться в VeraCrypt без необходимости отдельной настройки модуля PKCS#11 и без ввода PIN-кода. Содержимое файла с ключами генерируется на основе уникальных данных, присутствующих на карте.

• удалён режим совместимости с TrueCrypt. Последней версией с поддержкой монтирования или преобразования разделов TrueCrypt является VeraCrypt 1.25.9.

• полностью удалена поддержка алгоритмов шифрования RIPEMD160 и GOST89. Созданные с использованием данных алгоритмов разделы больше не могут быть примонтированы при помощи VeraCrypt.

Источник: OpenNET.

Canonical объявила о временной приостановке использования в Snap Store
автоматической системы проверки публикуемых пакетов из‑за появления в репозитории пакетов с вредоносным кодом для кражи криптовалюты у пользователей. При этом непонятно, ограничивается ли инцидент публикацией вредоносных пакетов сторонними авторами или имеют место какие‑то проблемы с безопасностью непосредственно репозитория, так как ситуация в официальном анонсе характеризуется как «потенциальный инцидент с безопасностью».

Подробности об инциденте обещают раскрыть после окончания разбирательства. На это время работа сервиса переведена в режим ручного рецензирования, при котором все регистрации новых snap‑пакетов будет проходить ручную проверку перед публикацией. Изменение не затронет загрузку и публикацию обновлений для уже существующих snap‑пакетов.

Проблемы выявлены в пакетах ledgerlive, ledger1, trezor-wallet и electrum-wallet2, опубликованных злоумышленниками под видом официальных пакетов от разработчиков отмеченных криптокошельков, но на деле не имеющих к ним никакого отношения. В настоящее время проблемные snap‑пакеты уже удалены из репозитория и больше не доступны для поиска и установки при помощи утилиты snap. Инциденты с загрузкой вредоносных пакетов в Snap Store случались и ранее, например, в 2018 году в Snap Store были выявлены пакеты, включающие скрытый код для майнинга криптовалюты.

Источник: OpenNET.

Представлен выпуск фреймворка GNUnet 0.20, предназначенного для построения защищённых децентрализованных P2P-сетей. Создаваемые при помощи GNUnet сети не имеют единой точки отказа и способны гарантировать неприкосновенность частной информации пользователей, в том числе исключить возможные злоупотребления со стороны спецслужб и администраторов, имеющих доступ к узлам сети.

GNUnet поддерживает создание P2P-сетей поверх TCP, UDP, HTTP/HTTPS, Bluetooth и WLAN, может работать в режиме F2F (Friend-to-friend). Поддерживается обход NAT, в том числе с использованием UPnP и ICMP. Для адресации размещения данных возможно использование распределённой хэш таблицы (DHT), есть средства для развёртывания mesh-сетей. Для выборочного предоставления и отзыва прав доступа применяется сервис децентрализованного обмена атрибутами идентификации reclaimID, использующий GNS (GNU Name System) и шифрование на основе атрибутов (Attribute-Based Encryption).

Система отличается низким потреблением ресурсов и использованием многопроцессной архитектуры для обеспечения изоляции между компонентами. Предоставляются гибкие средства для ведения логов и накопления статистики. Для разработки конечных приложений GNUnet предоставляет API для языка C и биндинги для других языков программирования. Для упрощения разработки вместо потоков предлагается использовать циклы обработки событий (event loop) и процессы.

Источник: OpenNET.

Песочница PT Sandbox от Positive Technologies и межсетевой экран «Континент 4» от компании «Код Безопасности» прошли технологические испытания на совместимость. По словам специалистов ИБ‑копаний, решения могут обеспечивать эшелонированную защиту от сложных киберугроз: шифровальщиков, вайперов, угроз нулевого дня, руткитов, буткитов.

Тестирование проходило в рамках указа Президента от 30.03.2022 № 166, по которому компании с государственным участием должны до 1 января 2025 года перейти на отечественное программное обеспечение.

Специалисты компании Positive Technologies протестировали работу PT Sandbox и «Континента 4». По результатам тестирования, оба решения позволяют реализовать продвинутую степень защиты от целевых атак, сложного вредоносного ПО и угроз APT‑группировок.

Написал web-сервис для безопасного обмена секретами - PW

В компаниях где нет развитой службы безопасности - "все мы немножко безопасники", секреты (логины, пароли и серты) улетают прямиком в почту или чаты, где оседают на века :)

Одно из решений - использовать промежуточный сервис с шифрованием на клиенте. Пользователь кидает чувствительную инфу в форму, указывает время жизни ссылки (1ч, 2ч, 1д, также может сделать ссылку её одноразовой). Получает ссылку на выходе и отправляет её адресату.

Основные фичи:

1. Шифрование на стороне браузера (AES 256 GCM), ключ зашивается в итоговый URL

2. На бэкенде (redis в in-memory режиме) секреты хранятся только в зашифрованном виде

3. Ссылки имеют ограниченное время жизни: 1 час, 2 часа, 1 день; ссылка может быть одноразовой

4. Возможность локализации, не зашито в коде. Из коробки: русский, английский, испанский

Демка: https://pw-ru.tinyops.ru

Код: https://github.com/lebe-dev/pw

Решил поделиться историей, о том как в личном кабинете дом.ру я нажал кнопку "забыл пароль", а мне по смс пришёл... мой пароль в открытом виде. При разговоре со старшим менеджером Ольгой из дом.ру она подтвердила что "да, храним, ну и что так все делают".
Классный провайдер. Ставлю md5(1 звезду).

ГК «Астра» и компания Xello протестировали платформу Xello Deception с операционной системой Astra Linux. По итогам тестирования подтверждена работа серверной части Xello Deception с ОС отечественного разработчика. Об этом рассказали информационной службе Хабра в пресс‑службе ГК «Астра».

Платформа Xello Deception занимается поиском целевых атак с помощью распределённых приманок и ловушек по всей сети компании‑заказчика. Решение предоставляет злоумышленникам недостоверную информацию об IT‑инфраструктуре бизнеса (ложные учётные записи, ключи от IT‑систем, сохранённые подключения к различным ресурсам) и перенаправляет их на ловушки.

По словам технического директора Xello Алексея Макарова, они ведут активную работу по адаптации платформы Xello Deception под различные инфраструктуры и требования клиентов: бесшовная интеграция с продуктами российских вендоров, возможность подключения и сбора событий из сторонних решений, передача инцидентов безопасности в сторонние системы (SIEM/IRP).

Компания «РТК‑Солар» рассказала, что за первое полугодие 2023 года активность майнеров в сетевом трафике выросла в 2 раза, а доля хакерских атак с использованием SSL‑шифрования для сокрытия зловредной активности увеличилась на 53%. Об этом информационной службе Хабра рассказали в пресс‑службе «РТК‑Солар».

По словам специалистов ИБ‑компании, двухкратный рост кибератак на корпоративные сети спровоцирован распространением инструментария для разведки и проведения атаки. Сетевые атаки продолжают оставаться для злоумышленников самым популярным методом получения доступа к IT‑периметру своих жертвы. Хакеры ежедневно сканируют инфраструктуры в поисках уязвимых сервисов для проникновения.

19 июля «РТК‑Солар» провела исследование среди 300 представителей крупного бизнеса и госсектора. По этому исследованию, средний ущерб компаний от действий хакеров за 2023 год составил не менее ₽20 млн (без учёта репутационных потерь). Это на треть превышает показатель предыдущего периода 2022 года.

По словам ИБ‑компании, комплексный подход в вопросах обеспечения информационной безопасности позволит получить наибольшую выгоду, предотвратив расходы на покрытие ущерба от инцидентов.