Информационная безопасность *

Новая система Garm ускоряет процесс восстановления учётных записей пользователям Mail.ru (к личным аккаунтам в «Почте» и Облаке Mail.ru) до несколько минут.

Специалисты по ИБ сервисов Mail.ru разработали систему автоматического восстановления доступа к аккаунтам — Garm. Этот инструмент позволяет автоматически проанализировать данные в заявках пользователей на восстановление доступа и определить их валидность. После оценки достоверности данных Garm самостоятельно вышлет ссылку на смену пароля от учётной записи.

Система особенно полезна тем пользователям, у которых не получается восстановить доступ самостоятельно с помощью резервных данных, либо если они отсутствуют вовсе.

Разработчики пояснили, что автоматизация процесса позволит избежать ошибок при ручной обработке заявок и сократит время на восстановление доступа пользователей к учётной записи. Это позволило нарастить долю автоматических восстановлений до 80%, а также увеличило общее количество успешных восстановлений в два раза.

Вместе с анализом данных с помощью Garm определяются сомнительные заявки на восстановление или заявки от потенциальных мошенников. По факту создания таких обращений пользователь получит уведомление и сможет самостоятельно отменить заявку, что позволяет дополнительно защитить аккаунты от несанкционированного доступа со стороны злоумышленников.

При нехватке данных для Garm заявка переводится на специалистов техподдержки, которые в ручном режиме помогут пользователю восстановить доступ к сервисам.

27 марта 2024 года состоялся выпуск специализированного дистрибутива Tails 6.1, ориентированного на конфиденциальность, основанного на пакетной базе Debian 12, поставляемого с рабочим столом GNOME 43 и предназначенного для анонимного выхода в сеть.

Tails — продолжение развития ОС Incognito. Релиз первого дистрибутива проекта состоялся в июне 2009 года. В Tails все исходящие соединения обеспечивается системой Tor, а все неанонимные блокируются. Система предназначена для загрузки с LiveCD или LiveUSB и не оставляет следов на ПК, где использовалась. Для хранения пользовательских данных в проекте применяется шифрование. Для загрузки доступен ISO-образ дистрибутива Tails размером 1 ГБ.

В сборке Tails 6.1 обновлены версии Tor Browser 13.0.13 (на базе Firefox 115.9.1) и Thunderbird 115.9. Добавлена новая версия микрокода для CPU Intel с изменениями, необходимыми для блокирования уязвимости RFDS. В конфигураторе постоянного хранилища обеспечено отображение всех включённых дополнительных возможностей.

Релиз Tails 6.0 состоялся в конце февраля 2024 года.

Группа компаний «Гарда» заявила о выпуске новой версии системы для обеспечения безопасности СУБД и независимого аудита операций с базами данных и бизнес‑приложениями «Гарда DBF». В новом релизе ускорен процесс реакции на инциденты, усилен контроль за действиями привилегированных пользователей и повышен уровень защиты баз данных в российских операционных системах, рассказали информационной службе Хабра в пресс‑службе группы компаний.

В новой версии «Гарда DBF» появились следующее нововведения:

• усовершенствован мониторинг действий привилегированных пользователей;

• внедрена функции контроля изменений в конфигурационных файлах на ОС Linux;

• реализован экспорт данных в SIEM в режиме реального времени и записи журналов можно отправлять в момент их регистрации, а не по расписанию;

• новые параметры в шаблонах сканирования, включая, глубину сканирования и количество сохраняемых значений;

• расширен список поддерживаемых систем: добавлена поддержка системы для полнотекстового поиска и обработки больших данных ElasticSearch;

• добавлена поддержка серверной ОС «Альт СП»10;

• Улучшены функции контроля локального перехвата (добавился Syslog), что позволяет перехватывать события аудита Hadoop;

• добавлена возможность включать режим активной защиты БД на ОС Windows.

Группа компаний «Солар» выпустила новую версию системы управления привилегированным доступом Solar SafeInspect. В новой версии ПО расширены функциональные возможности решения и повышена эффективность за счёт улучшения клиентского опыта, рассказали информационной службе Хабра в пресс‑службе ИБ‑компании.

В Solar SafeInspect 2.4.4 добавлены следующие нововведения:

• появилась возможности ограничивать рабочее время для привилегированных пользователей, поддержка графиков для повышения эффективность контроля за соблюдением политик организации;

• расширены настройки для создания учётной записи администратора, включая поля для указания, включая, должности, времени рабочей смены, статус учётной записи;

• улучшена работа внутреннего модуля видео, используемого в решении для записи действий, выполняемых на контролируемых устройствах, например, ускорена генерация видео, уменьшен размер видеофайла;

• переработана логика аудита протокола RDP;

• включён модуль удалённого управления программами во время сеансов RDP;

• улучшена поддержка протокола PowerShell TLS;

• режим сопоставления пользователей для расширенного контроля доступа и возможность просмотра XML‑данных непосредственно со страницы подключения.

• доработан веб‑интерфейс системы и обновлены разделы;

• расширены настройки параметров паролей для локальных пользователей и администраторов и обновлены разделы парольных политик.

С полным списком изменений можно ознакомиться на сайте.

Топ 5 инструментов для поиска уязвимостей и эксплоитов

• Searchsploit — предоставляет прямой доступ к Exploit Database из терминала Kali Linux. Пользователи могут использовать мощные команды поиска для быстрого обнаружения эксплоитов и уязвимостей. Этот инструмент является незаменимым помощником для специалистов по безопасности, работающих в среде Kali Linux.

• getsploit — сочетает в себе функциональность searchsploit с возможностью загрузки эксплоитов. Он позволяет пользователям проводить онлайн‑поиск по таким базам данных, как Exploit‑DB, Metasploit и Packetstorm. Кроме того, он дает возможность загружать исходный код эксплоитов напрямую, что делает поиск и получение необходимых данных для пентестинга простым и эффективным.

• CVEMap — Инструмент от Projectdiscovery, которая создана для быстрого и удобного поиска по всем известным базам данных уязвимостей.

• Pompem — инструмент предустановленный в Parrot OS, автоматизирует процесс поиска эксплоитов и уязвимостей. Он использует передовую систему поиска для проверки таких баз данных, как PacketStorm Security, CXSecurity, ZeroDay, Vulners и NVD.

• SiCat — отличается комплексным подходом к поиску эксплоитов. Он умело извлекает информацию об эксплоитах из открытых источников и локальных репозиториев.

Источник

На основе стандартов 3GPP разработан отечественный механизм аутентифицированной выработки общего ключа в сетях 5G, содержащий схему ECIES и протокол 5G-AKA-GOST.

Об этом на #РусКрипто рассказали криптографы компании «Криптонит» Степан Давыдов, Кирилл Царегородцев и Юрий Шкуратов.

В отличие от международных стандартов, протокол 5G-AKA-GOST обеспечивает приватность абонентов за счёт использования двусторонних случайностей. Обоснована стойкость разработанного механизма, рассмотрены вопросы внедрения в отечественный сегмент ПРТС и гармонизации с международными стандартами.

Минцифры разработало проект Требований к сетям и средствам связи собственников или иных владельцев технологических сетей связи, имеющих номер автономной системы, для проведения уполномоченными государственными органами, осуществляющими оперативно‑разыскную деятельность или обеспечение безопасности РФ, в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач.

Требования касаются технологических сетей, имеющих номер автономной системы и разработаны в целях обеспечения устойчивого, безопасного и целостного функционирования на территории Российской Федерации информационно‑телекоммуникационной сети «Интернет». Проект документа Минцифры.

Текущий приказ Минкомсвязи от 05.11.2019 № 646 будет отменен («Об утверждении Требований к сетям и средствам связи собственников или иных владельцев технологических сетей связи, имеющих номер автономной системы, для проведения уполномоченными государственными органами, осуществляющими оперативно‑разыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач»).

25 марта Atlas VPN сообщила клиентам, что прекратит предоставление услуг 24 апреля, сославшись на технологические требования, рыночную конкуренцию и растущие расходы на обеспечение услуг высочайшего качества в качестве ключевых факторов, повлиявших на это решение. Поддержание работы Atlas VPN стало невозможным в долгосрочной перспективе.

Компания заявила, что переведёт своих платных подписчиков в свою дочернюю компанию NordVPN на оставшуюся часть периода подписки, чтобы обеспечить бесперебойность сетевых услуг, сохранив при этом свои существующие тарифные планы и дополнительные опции до окончания срока подписки. Подписчики сервиса получат инструкции по созданию новых учётных записей NordVPN по электронной почте, указанной при регистрации.

25 марта 2024 года Softline пояснила текущую ситуацию по поводу ограничений в РФ облачных сервисов Microsoft.

Приносим извинения за задержку с постом по результатам звонка с
Microsoft. По итогам звонка можно сделать следующий Вывод: Вендор продолжает консультации с регуляторами для чёткого понимания, доступ к какому софту и веб-службам должен быть ограничен.

Мы предполагаем, что «Пока список не будет выверен полностью, отключений произойти не должно».

22 марта у Softline состоялся звонок с Microsoft, который оказался очень коротким и без новостей.

Мы не получили ответы на следующие вопросы :

1. Когда состоится отключение? Ответа нет.

2. Уточнён ли список ПО и облачных сервисов, доступ к которому будет ограничен? — ответа нет.

3. Будет ли осуществлять блокировка онпрем, если да, то каким способом? — ответа нет.

4. Какой будет дан срок на сохранение данных? Уточнений по этому вопросу тоже нет.

20 марта Softline сообщила, что Microsoft, возможно, не закроет доступ к облачным продуктам в РФ в ночь с 20 на 21 марта из-за нерешённых вопросах о методах блокировки. Помимо этого, остаются «открытые вопросы по списку продуктов и сервисов» компании. В Microsoft ещё пересматривают перечень вероятных сервисов и приложений для блокировки.

19 марта Softline сообщила, что Microsoft заблокирует доступ к 50 облачным продуктам на территории РФ.

15 марта 2024 года компания Microsoft предупредила российских корпоративных клиентов, что в рамках выполнения санкций ЕС с 20 марта 2024 года.

В реализации NFS-сервера, применяемого в BSD-системах, выявлена критическая уязвимость (CVE-2024-29937), позволяющая добиться удалённого выполнения своего кода с правами root на сервере.

Проблема проявляется во всех выпусках OpenBSD и FreeBSD, вплоть до OpenBSD 7.4 и FreeBSD 14.0-RELEASE.

Детальная информация об уязвимости пока не раскрывается, известно только то, что проблема вызвана логической ошибкой, не связанной с повреждением памяти.

Отмечается, что уязвимость может быть использована для атаки на системы, в которых применяется NFS. Cудя по видеодемонстрации, уязвимость позволяет получить полный доступ к корневой ФС сервера и требует для эксплуатации наличия прав для монтирования разделов по NFS.

Доклад о сути уязвимости будет опубликован 18 апреля на конференции T2’24.

Источник: OpenNET.

Разработчики сообщества проекта GNU опубликовали релиз текстового редактора GNU Emacs 29.3. Исходный код проекта написан на языках C и Lisp и размещён на GitHub под лицензией GPLv3.

Обновление GNU Emacs 29.3 преподносится сообществом как внеплановый экстренный выпуск с устранением уязвимостей. По предварительным данным, уязвимости позволяют добиться выполнения кода при открытии определённого контента или просмотре в Gnus писем со специально оформленными вложениями.

По данным OpenNET, непосредственно уязвимости в списке изменений проекта не указаны, но там имеется информация о добавленных в код GNU Emacs методах защиты:

• для блокирования подстановки внешнего вредоносного кода запрещено исполнять произвольный Lisp-код при включении режима Org;

• добавлена новая переменная untrusted-content, которую можно использовать для пометки помещения в локальный буфер не заслуживающего доверия содержимого, к которому Lisp-программам следует относиться с особой осторожностью;

• в Gnus содержимое встроенных (inline) MIME-блоков теперь обрабатывается как не заслуживающее доверия;

• по умолчанию отключён предпросмотр содержимого почтовых вложений в формате LaTeX. Для возвращения старого поведения добавлен параметр org--latex-preview-when-risky;

• в режиме Org содержимое внешних файлов, вызываемых через file-remote-p, обрабатывается как не заслуживающее доверия.

Полиция в США требовала от Google раскрыть информацию о пользователях YouTube, заподозренных в отмывании денег при помощи криптовалют. Речь идёт о зрителях видеороликов с инструкциями, которые посмотрели более 30 тыс. раз. Однако эксперты по конфиденциальности считают действия полиции неконституционными, поскольку это может привести к незаконному преследованию зрителей YouTube в рамках уголовного расследования.

В частности, полицейские под прикрытием пытались идентифицировать пользователя elonmuskwhm, которого подозревают в продаже биткоинов за наличные с нарушениями законов об отмывании денег и правил, касающихся нелицензированной практики передачи денег.

Из постановления суда следует, что правоохранители потребовали от корпорации предоставить имена, адреса, номера телефонов и информацию об активности пользователей учётных записей Google, которые имели доступ к видео с обучением методами махинаций на YouTube с 1 по 8 января 2023 года. Кроме того, полиция хотела получить IP-адреса аккаунтов, посмотревших эти видео.

В протоколах суда не указано, предоставила ли Google запрашиваемую информацию.

5 интересных инструментов фишинга

В нашем быстро развивающемся цифровом мире, в котором кибербезопасность становится все более важной, фишинг остается одним из наиболее распространенных видов кибератак. Для тестирования или автоматизации атаки, существуют инструменты фишинга, разработанные для удовлетворения самых разных нужд:

• SniperPhish — это комплексный инструмент для фишинга и сбора данных, позволяющий проводить кампании с высокой степенью персонализации. Он обеспечивает возможности для отправки фишинговых писем и отслеживания их эффективности с помощью расширенной аналитики.

• AdvPhishing — Когда жертва вводит свои учетные данные, вам нужно перейти на оригинальный веб‑сайт и использовать эти учетные данные, чтобы отправить реальный одноразовый пароль жертве. После жертва введет этот одноразовый пароль, с его помощью вам будет разрешено войти в учетную запись.

• MaskPhish — не является каким‑либо инструментом фишинга. Это простой сценарий Bash для сокрытия фишингового URL‑адреса под обычным URL‑адресом (google.com или facebook.com). Он может быть интегрирован в инструменты фишинга. Эффективный способ сделать фишинговые URL менее подозрительными.

• PhishMailer — позволяет создавать профессиональные фишинговые электронные письма быстро и легко.

• Dark‑Phish — это инструмент, разработанный для проведения фишинговых атак с целью образования и тестирования. Он предоставляет набор готовых шаблонов фишинговых страниц.
  
  Источник

??‍? Друзья, мы приглашаем вас 4 апреля на практический воркшоп «Расширенный анализ событий в Active Directory»!

Зачем проходить воркшоп❓

• изучить принципы идентификации атак в Active Directory на ранней стадии;

• выполнить анализ 3-х типов атак: DCsync, RBCD и ADCS Domain Privilege Escalation, а также анализ подготовительных событий, предшествующих им;

• разобрать правила анализа и фиксации событий в журналах Windows в ходе атак;

• познакомиться с точечной настройкой и использованием SACL аудит политики;

• научиться самостоятельно создавать правила обнаружения атак в ELK.

Вы познакомитесь с рядом нюансов раннего обнаружения атак на Windows-cистемы (с заботой о производительности SIEM), о которых вам расскажет опытный эксперт SOC Петр Зузанов.

Когда: 4 апреля в 19.00 по МСК. ? 3-3,5 часа.
Повторов и записей воркшопа не будет!

? Если вы ранее учились или учитесь у нас, вам доступна покупка билета на воркшоп со скидкой.

Softline пояснила текущую ситуацию по поводу ограничений в РФ облачных сервисов Microsoft.

Только что состоялся звонок с Microsoft. Звонок оказался очень коротким, так как новостей у них, к сожалению, нет.

Мы не получили ответы на следующие вопросы :

1. Когда состоится отключение? Ответа нет.

2. Уточнён ли список ПО и облачных сервисов, доступ к которому будет ограничен? — ответа нет.

3. Будет ли осуществлять блокировка онпрем, если да, то каким способом? — ответа нет.

4. Какой будет дан срок на сохранение данных? Уточнений по этому вопросу тоже нет.

На следующем звонке мы вернёмся к этим вопросам.

20 марта 2024 года Softline (по итогам бизнес-звонка с представителями американской корпорации) сообщила, что Microsoft, возможно, не закроет доступ к облачным продуктам в РФ в ночь с 20 на 21 марта из-за нерешённых вопросах о методах блокировки, но этот процесс всё равно неизбежен. Помимо этого, остаются «открытые вопросы по списку продуктов и сервисов» компании. В Microsoft ещё пересматривают перечень вероятных сервисов и приложений для блокировки.

19 марта Softline сообщила после получения ответа от техподдержки американской корпорации, что Microsoft заблокирует доступ к 50 облачным продуктам на территории России.

15 марта 2024 года компания Microsoft предупредила российских корпоративных клиентов, что в рамках выполнения санкций ЕС с 20 марта 2024 года компании запрещено поставлять определённое ПО для управления или проектирования (включая облачные решения) для организаций в РФ.

Компании «Код Безопасности» и Security Vision заявили о совместимости многофункционального межсетевого экрана (NGFW) «Континент 4» и решений Security Vision Threat Intelligence Platform, User and Entity Behavior Analysis, Security Orchestration, Automation and Response и Next Generation SOA. Совместимость была подтверждена по результатам всестороннего тестирования. Также был успешно протестирован технический платформонезависимый вариант развёртывания компонентов интеграции «Континент 4» и решений Security Vision.

По словам руководителя отдела по работе с партнёрами Security Vision Марины Громовой, тестирование проходило в «боевой» среде, например, Security Vision выполняет блокировку на «Континент 4» вредоносных IP посредством создания запрещающего правила фильтрации или добавления IP в существующую сетевую группу (которая уже используется в правилах фильтрации сетевого трафика). Кроме того, события сетевой безопасности из «Континент 4» отправляются в решения Security Vision (формат данных syslog).

8 популярных инструментов фазинга для разнообразных задач

1. Feroxbuster — Инструмент брутфорсинга веб‑директорий, написанный на Rust, который используется для фазинга и брутфорсинга веб‑директорий. Он особенно полезен для оценки безопасности сайта.

2. Radamsa — Генератор искаженных данных для программного обеспечения имеет уникальный подход к фазингу, генерируя широкий спектр искаженных данных из небольшого количества входных образцов.

3. Honggfuzz — это универсальный инструмент от Google, который может быть использован для фазинга различных типов приложений, включая веб‑сервисы. Он особенно эффективен для выявления уязвимостей, связанных с безопасностью памяти.

4. Boofuzz — Наследник Sulley для сетевого фазинга и предназначен для фазинга сетевых протоколов. Этот инструмент может быть полезен для специалистов по сетевой безопасности, желающих проверить надежность сетевой инфраструктуры на устойчивость к атакам.

5. OSS‑Fuzz — Инструмент представляет из себя платформу для непрерывного фазинга, которая интегрируется с проектами с открытым исходным кодом, помогая разработчикам и исследователям безопасности в автоматическом обнаружении уязвимостей.

6. ffuf — Один из самых быстрых веб‑фаззеров, написанный на Go.

7. Libfuzzer — Программа была создана для пользователей, которые хотят активировать механизм фаззинга, а затем перейти к работе над чем‑то другим. Когда они вернутся через несколько часов или дней, у Sulley Fuzzing будет готов отчет обо всем, что он нашел.

Безопасность контейнеров Kubernetes — обсудим, как снизить риски, на IT-конференции GoCloud про облака 📝

Новые технологии ускоряют и упрощают работу, а десятки векторов атак рождают новые инструменты защиты. На конференции GoCloud расскажем про основные угрозы для контейнеров и Kubernetes на каждом этапе атаки в разрезе популярных матриц фреймворков безопасности.

📌 Тема: Контейнеры и Kubernetes: современные атаки и меры по их митигации

📅 Когда: 21 марта в 14:20 мск

👉 Зарегистрироваться

Что еще интересного будет на GoCloud, смотрите в программе конференции. 

Полезное в блоге:

• Cloud.ru Evolution Object Storage: как превратить блочное хранилище в объектное

• Как разработать и запустить приложения с помощью сервисов Cloud.ru Evolution Container Apps

• Технические лидеры «‎Гринатома»‎, «‎Магнита»‎ и «‎М.Видео»‎ поделятся экспертизой 21 марта на IT-конференции GoCloud

Во время проведения всемирного фестиваля молодёжи в «Сириусе» (город Сочи) были заблокированы попытки майнинга на вычислительных мощностях мероприятия. Также были отражены CSS‑атаки. Такие атаки позволяют внедрить вредоносный скрипт в контент веб‑сайта и впоследствии получить доступ к файлам cookie и другой закрытой информации, сохранённой в браузере жертвы и используемой на сайте, рассказали в пресс‑службе группы компаний Солар.

За время мероприятия хакеры использовали 150 вредоносов, среди которых были троянские программы‑шифровальщики и ПО для блокировки и изменения данных на серверах и рабочих станциях пользователей.

Также были выявлены свыше 10 тысяч веб‑инцидентов средней критичности на сайте мероприятия и в системе аккредитации и более 500 высококритичных инцидентов. В основном высококритичные инциденты представляли собой SQL‑инъекции.

В рамках отражения кибератак были зафиксированы попытки сканирования веб‑ресурсов и эксплуатации уязвимостей, включая RCE (удалённый запуск кода) и брутфорс. По словам ИБ‑специалистов, ни один инцидент не увенчался успехом для атакующих.

В середине 2023 года эксперты группы компаний «Солар» зафиксировали резкий рост фишинговых атак на продавцов маркетплейсов для получения доступа в их личные кабинеты на крупных торговых площадках. В 2024 году также продолжается рост фейковых сайтов, а характер проводимых с их помощью атак говорит, что ресурсы создаёт одна и та же хакерская группировка, рассказали информационной службе Хабра в пресс‑службе ИБ‑компании.

Всего в 2023 году специалисты ГК «Солар» обнаружили порядка 7 тысяч фишинговых веб‑ресурсов и доменных имён, эксплуатирующих популярные российские бренды. Это на 21% больше, чем в 2022 году. Также ИБ‑эксперты обнаружили 33 тысячи ресурсов, которые потенциально могут использоваться для проведения фишинговых атак.

После электронной коммерции по числу фишинговых атак идёт кредитно‑финансовая сфера. 8% найденных фишинговых сайтов в этом секторе использовались для распространения вредоносного программного обеспечения.

По типу фишинговых атак в 2023 году лидировали:

• взлом соцсетей и мессенджеров;

• фейковые акции и опросы от различных брендов;

• банковский фишинг.

Итоги представленной аналитики базируются на результатах мониторинга публичных и закрытых сегментов интернета по клиентам и пилотным проектам центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар».