В информационной безопасности невозможно исключить все угрозы и любая инфраструктура может стать целью злоумышленников: целевые компрометаций через уязвимости, подрядчиков или, например, сотрудников. В связи с этим компании определяют, какой уровень риска они готовы принять (толерантность), и как будут управлять этими рисками (риск менеджмент).

Толерантность - это допустимый уровень угроз и потенциального ущерба, который организация готова принять или, другими словами, насколько опасные сценарии для бизнеса считаются приемлемыми. Обычно Толерантность делят на 3 типа: высокая, средняя и, соответственно, низкая.

При низкой толерантности компании практически не допускают критических угроз: жесткий контроль доступов, постоянный мониторинг, сегментация сети, обязательный MFA, минимальные привилегии, строгие политики безопасности, быстрое реагирование на инциденты и т.д. Обычно это характерно для банков, государственных структур и критической инфраструктуры.

Высокая толерантность означает, что организации (обычно малый бизнес или проекты без зрелой ИБ) готовы принимать значительные риски ради скорости развития, снижения затрат или упрощения процессов. При таком виде толерантности характерен слабый контроль доступа, отсутствие сегментации, редкие аудиты, устаревшие системы и другие пренебрежения информационной безопасности (если она вообще существует в организации).

Ну а средняя толерантность говорит сама за себя - это уровень принятия ИБ где-то между: допускается принятие части рисков ради удобства, скорости работы или экономии ресурсов.

Риск-менеджмент - это процесс управления рисками информационной безопасности. После оценки угроз организация выбирает один из вариантов обработки риска:

• Принятие риска (Risk Acceptance)

• Отказ от риска (Risk Avoidance)

• Митигация риска (Risk Mitigation)

• Передача риска (Risk Transfer)

Принятие риска - это когда компания осознанно принимает риск и ничего не меняет. Например уязвимость имеет низкую вероятность эксплуатации (likelihood), устранение слишком дорого (cost-benefits analysis) или ущерб считается приемлемым. Отказ от риска - когда организация полностью убирает/устраняет источник риска. Например, отключение небезопасного сервиса, отказ от хранения персональных данных или закрытие внешнего доступа (часто OWA). Митигация риска (Risk Mitigation) - наиболее распространенный подход, когда компания снижает вероятность атаки или уменьшает последствия компрометации. Передача риска (Risk Transfer) - когда риск частично передается третьей стороне, например в применяется страхование, использование облачных провайдеров; аутсорсинг SOC или передача ответственности подрядчику.

Кроме локальной нормативной базы, которые регулируют некоторые критические сегменты, например ПДн или КИИ, компании вправе самостоятельно выбирать допустимость угроз и управление рисками. Однако, говоря про международные стандарты, нельзя не затронуть ISO/IEC 27005:2022 - Руководство по управлению информационной безопасностью, которое описывает идентификацию угроз, анализ рисков, оценку последствий, методы обработки рисков, подходы к принятию решений и другие вопросы риск-менеджмента. А Российский ГОСТ на базе ИСО 27005:2010 можно почитать в Электронном фонде правовых и нормативно-технический документов.

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Пару месяцев назад мне довелось поучаствовать в “контрольной закупке” одного из ювелирных магазинов. Обстоятельства были предельно ясные: в комментариях группы магазина в мессенджере Телеграмм стали писать боты и предлагать помощь с выбором украшения. При этом переписку старались перевести в личные сообщения, где уже и началось НЛП. Моя задача была определить, кто этим занимается и есть ли причастность сотрудников компании к данной схеме.

Ну что же, примеряем на себе образ “потенциального потерпевшего” и вступаем в переписку с ботом. Сначала меня игнорируют и недели 2-3 не выходят на связь, а потом долгожданное сообщение в … 4 часа утра! В каком часовом поясе живут лица по ту сторону экрана, я могу только догадываться.
Что было дальше, лучше почитать в прикрепленных скриншотах: как говорится, комментировать - только портить.

С учетом ограничений платформы на загрузку только 1 картинки, всю переписку можно прочитать у меня в группе Телеграм или Макс.

Однако при прочтении прошу обратить внимание на следующие аспе:

1. переписка велась с моего основного аккаунта, а “Виктория” даже не предприняла попытку установить, кто с ней общается и чем занимается;

2. адрес доставки и адрес склада совпадают, но у “Виктории” опять ничего не триггернуло;

3. описание банка, направленное “Викторией”, было сгенерировано ИИ не в ее пользу, так как “она” сама пишет: банк контролируется через иностранные компании и просьба не путать по написанию с другими банками. Но для “Виктории” главное, что офис находится в Москве :)

Естественно, что вся переписка велась при непосредственном контроле со стороны службы СБ заказчика. В качестве дополнительного “прогрева” были даже мысли “нарисовать” платежку с оплатой, но мысли о 327-й УК РФ не давали покоя, поэтому решили не рисковать. Ну и конечно, после окончания взаимодействия были уведомлены СБ Российских банков, где присутствовали счета указанных в переписке дропов.

В общем, как пели кот Базилио и лиса Алиса из кинофильма “Буратино”:

На дурака не нужен нож,
Ему с три короба наврёшь -
И делай с ним, что хошь!

Будьте аккуратны, берегите себя и своих близких.

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Среди специалистов по информационной безопасности ходит довольно смешной и жизненный мем:

Я инфобезник, поэтому:
• у меня нет социальных сетей
• у меня нет умных устройств
• я не сохраняю пароли в браузере
• я не использую автозаполнение
• все замки исключительно механические
• я заклеиваю веб-камеры на всех используемых устройствах
• не подключаюсь к публичным Wi-Fi
• не кликаю на ссылки • …

Этот список можно продолжать бесконечно, но в каждой шутке, как известно, есть только доля шутки. И ведь действительно, если посмотреть со стороны на свою цифровую жизнь, то можно увидеть, что:
• у меня дома нет умных колонок (только трофейная Маруся, выжившая после проведенных тестирований)
• никаких умных дверных ручек (спасибо, уже пентестили)
• я не знаю свои пароли (потому что они все разные, длиной в 30-40 символов, сгенерированные случайным образом, содержащие все 4 составляющие и хранящиеся специальным образом)
• по возможности использую 2FA (нет, я не параноик, просто соблюдаю минимальную цифровую гигиену)
• не подключаюсь к сторонним Wi-Fi (у меня безлимитный мобильный интернет, поэтому даже и смысла нет в лишних телодвижениях)
• по ссылкам хожу только через режим инкогнито (да и в принципе, почти все вирусы только на Windows, так что тут не страшно)
• а “набитая рука” на фишингах помогает определить зловредное письмо по первым словам заголовка (да, пранки с РикРоллами научили нас не кликать по подозрительным ссылкам лучше, чем повышение осведомленности со стороны ИБ ;)

Конечно, нет предела совершенства и можно добавить сюда дополнительное множество ограничений, но часть удобств в ущерб безопасности я все-таки использую: чего только стоит яблочная техника. В научной литературе по информационной безопасности это описывается как средний уровень толерантности, а по риск менеджменту я решил принять эти риски.

А какие привычки цифровой гигиены используете вы и почему? Делитесь своими советами - давайте проведем внеплановое повышение осведомленности aka awareness!

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

п.с. прошу прощения, если видео было просмотрено на максимальной громкости, не в наушниках и рядом с колонкой Алисы ;)

Чтение книг расширяет наш кругозор, заставляя мозги работать и восполняя пробелы в “белых зонах”. Сегодня в рубрике “что почитать” мы поговорим про книгу Алексея Усанова “Реверс-инжинириг встраиваемых систем”.

Алексей позиционирует свое творение как руководство по погружению в мир встраиваемых систем - от их первоначального анализа и получения прошивки до нейтрализации механизмов защиты от реверс-инжиниринга и модификации. В книге приводится базовый набор оборудования и ПО, с помощью которого можно проводить исследования большинства систем. Издание адресовано инженерам и разработчикам встраиваемых систем, а также студентам технических ВУЗов.

Структурно книга состоит из 6 глав, охватывающие различные направления программно-аппаратного хакинга: первичный анализ, получение прошивки, статистический и динамический анализы, механизмы защиты страиваемых систем и, в качестве дополнения, обустройство рабочего места исследователя.

Если говорить про автора, то Алексей более 15 лет занимается исследованиями встраиваемых систем и системной разработкой, является руководителем направления исследований безопасности аппаратных решений в компании Positive Technologies, а также аботал преподавателем на кафедре Информационная безопасность МГТУ им. Баумана.

Книгу я дочитываю, поэтому могу смело ее рекомендовать. Приобрести экземпляр можно напрямую у Издательства ДМК за 1749 рублей, но советую поторопиться, так как тираж у книги всего 200 экземпляров.

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Пару недель назад я попросил у вас помощи в вопросе предоставления нерабочей IoT-техники, старых роутеров, видеокамер и других умных устройств для проведения программно-аппаратных исследований. Честно говоря, я не ожидал, что так много людей откликнется и окажет неоценимую помощь.

Однако особую благодарность хочу выразить Валерию, который предоставил просто бессчётное количество исторических артефактов:

• роутеры D-Link, TP-Link, Ростелеком (ИскраТел), ZyXEL, Paradyne;

• мобильные телефоны N95i и Toshiba Portege;

• IP-видеокамеры - 2 экземпляра;

• видеокарту;

• коммуникаторы и ТСД на базе Windows CE;

• транспондер;

а также ряд других устройств, предназначение которых для меня пока остаётся загадкой 😂

Итого всё это «добро» весит около 10 килограммов и представляет собой настоящую историческую веху, в которую я, как олдфаг, вспоминающий интернет по талонам, с ностальгией готов окунуться. Валерий, очень рад познакомиться лично и ещё раз спасибо за предоставленное оборудование!

В общем, если раньше была проблема «Что тестировать?», то теперь она переросла в проблему «Когда тестировать?», потому что, даже если брать по два устройства в месяц, у меня уйдёт не меньше года на изучение всего этого добра. Но, честно скажу, это очень приятная проблема ;)

Если у вас есть предложения, с чего именно мне начать, - с радостью выслушаю ваши пожелания.

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Неделю назад ко мне обратилась одна небольшая компания с довольно необычным запросом: им необходимо защититься от Big Data маркетинга - метода кражи клиентов через форму обратной связи. На мой удивленный вопрос “А что это, собственно, такое?” заказчик пояснил, что когда клиент оставляет запрос на ВАШЕМ сайте, то его сведения, включая персональные данные, направляются напрямую к конкурентам 😳. Я, естественно, возразил, что такое не возможно и тут явное нарушение законодательства, но клиент настаивал, и подтверждал это общим собранием конкурентов и обсуждением этой “вопиющей” нездоровой конкуренции. Кроме того, в подтверждение своих слов, мне на ознакомление была представлена статья, описывающая эту методику.

Так, в статье описывается текущий кризис рекламных каналов в России: рост стоимости привлечения клиентов (CAC), снижение эффективности классических инструментов вроде контекстной рекламы, таргета, SEO и маркетплейсов. На этом фоне авторы статьи предлагают альтернативу - так называемый «перехват клиентов» через Big Data. Суть подхода в том, чтобы “находить” пользователей, которые уже взаимодействовали с конкурентами (посещали сайты, звонили, получали СМС), и затем выходить на них с предложением через прозвон и дополнительный прогрев. После получения номеров телефонов запускается процесс квалификации: операторы звонят людям, уточняют их интерес и передают «прогретые» лиды клиенту. В статье делается акцент на том, что это законно (за счет согласий пользователей) и сравнивается с привычными маркетинговыми практиками вроде таргетинга по аудитории конкурентов или брендовой рекламы. Ну и в завершении, конечно, приводятся кейсы из разных ниш, где заявляется высокая эффективность метода и предлагается протестировать услугу через платный пилот.

Я бы к этой идее относился очень осторожно. Сама концепция «перехвата аудитории конкурентов» не новая и в легальной форме действительно существует (ретаргетинг, look-alike аудитории и т.д.). Но конкретные утверждения из статьи, особенно про доступ к номерам людей, которые «звонили конкурентам» или «получали СМС», выглядят как минимум сомнительно с точки зрения законодательства и реальных технических возможностей. В Российской юрисдикций такие практики без явного согласия пользователя незаконны. С высокой вероятностью это маркетинговое преувеличение и речь идет о серых/пограничных схемах работы с данными, например инсайдер или форма обратной связи, которая направляет запрос нескольким адресатам.

Хотя, не исключено, что я ошибаюсь и технологии Big-data действительно сильно шагнули вперед, однако на текущий момент нет публично известных легальных технологий, которые позволяли бы получать номера пользователей на основании их звонков или СМС конкурентам в описанном виде. Подскажите пожалуйста, имели ли Вы опыт разбора таких кейсов и существуют ли реально такие техники конкурентной борьбы?

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Коллеги-бумажные инфобезники, у меня к вам тема на поразмыслить. У каждого из нас есть мобильный телефон, в котором имеется телефонная книга и куда мы записываем телефон, фио и иные персональные данные конкретного человека. По сути, с момента нажатия на кнопку “Сохранить” мы начинаем обработку персональных данных (запись, систематизация, накопление, хранение) и должны руководствоваться 152-ФЗ. Но есть пару нюансов.

Во-первых, в соответствии с п. 1 ч. 2 ст. 1 Федерального закона, действие последнего не распространяются на отношения, возникающие при обработке ПДн физическими лицами исключительно для личных и семейных нужд. Простыми словами, если у нас в контактах исключительно родственники и друзья, то нам нечего переживать.

А что если я работаю, например, менеджером по продажам и у меня записаны сотни телефонов клиентов и подрядчиков? В данном случае может ли быть применен п. 5 ч. 1 ст. 6 ФЗ-152, в соответствии с которым обработка ПДн допускается для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных?

В продолжении темы: я хочу записать в свою телефонную книгу всех граждан страны (сейчас не рассматриваем технологические ограничения на объем памяти), включая их фио, телефоны, даты рождения, адреса и другую важную для меня информацию. Естественно, я их лично всех не знаю и мне они не нужны для работы. Я не собираюсь передавать их третим лицам или использовать в качестве рекламы. Я просто хочу знать кто мне звонит 😉 (по сути, использовать для личных нужд). Это законно?

С одной стороны, речь идёт о всех гражданах страны и фактические подразумевает массовый сбор и создание базы данных. С другой стороны, а как мне определить число, что это пока еще личные цели, но еще не массовость и, соответсвенно, наоборот: это уже массовый сбор и не подпадает под личные нужды? Кроме того, если мой номер телефона был “слит” в интернет, я такого согласия не давал, но люди записали его себе в справочник: будет ли это нарушением закона как незаконный сбор ПДн?

В общем, ситуация простая, а вопросов много. Предлагаю подискутировать по данному вопрос и уже наконец-то определиться, нужно ли брать согласие субъекта на обработку персональных данных перед добавлением контакта человека в свой телефон? ;)

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Друзья, есть необычная просьба 🙂 Как вы знаете, я активно занимаюсь программно-аппаратными исследованиями и реверсом всякой электроники.

Если у вас завалялась:

• нерабочая IoT техника

• старые роутеры / камеры / умные устройства

• любая сломанная или просто устаревшая электроника, которую жалко выбросить

  -с радостью приму в дар на исследование.

Мне это интересно именно с точки зрения “поковыряться”: посмотреть, как устроено, что сломалось, как можно восстановить или обойти. Иногда из этого получаются довольно неожиданные находки. По результатам, само-собой, с меня детально описанное исследование!

Если что-то есть - напишите в личку. Дам устройствам вторую жизнь (или хотя бы красивую смерть в процессе анализа😅).

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Народное поверье, что все что дорого - значит качественно, не всегда является правдой. Аналогично можно сказать и про дешевый товар: не всегда он является одноразовым ширпотребом. Однако, в большинстве случаев это соответствует действительности: если цена высока, значит в оборудовании используются качественные и дорогие комплектующие, а также затрачены определенные человекочасы.

С момента покупки нового мультиметра UNI-T UT61B+ я горю желанием поменять родные щупы. Несмотря на китайское происхождение, у них минимальное сопротивление, а замеры они делают достаточно точно и быстро. Единственный существенный минус - их наконечники очень короткие и толстые, что накладывает определенные ограничения на их использование и измерения. Во-первых, когда мы имеем дело с плотной SMD-пайкой в ограниченном пространстве, в том числе с многоножечными чипами, производить измерения не только невозможно, но и опасно, так как можно “закоротить” плату. Во-вторых, на щуп нельзя прикрепить “крокодила”, например, для подачи точечного питания или имитации джампера.

Можно сказать, что проблема “высосана из пальца” и все, что мне нужно сделать - это сходить в магазин и купить подходящие комплектующие. Сказано - сделано: купил, принес домой, хотел начать работу и … не тут-то было. При первичной проверке щупов оказалось, что измерения на них скачут. Вроде качественный компьютерно-бытовой магазин на 3 буквы, а продали ерунду.

Хорошо, идем в синий маркетплейс и выбираем щупы с 36 тысячами отзывов и средней оценкой 4.8 (ну столько-то не накрутят же, верно?). “Оказалось, что показалась”, и замеры как прыгали, так и прыгают. При попытке вернуть товар даже продавец отказался их забирать обратно и предложил их оставить себе с выплатой небольшой компенсации. Я пару раз отказывался, но в итоге просто “забил”: теперь они лежат мертвым грузом и я не представляю, что с ними делать. Если посмотреть отзывы, очень много людей говорят, что провода работают отлично. Мне вот интересно: это мне так повезло или это “нелицензионные” провода и юни-т не хочет с ними работать ;)

В связи с этим я нуждаюсь в помощи и у меня к вам вопрос: посоветуйте, пожалуйста, хорошие провода для тестера, чтобы контакты были тонкими и длинными, с низким (желательно околонулевым) сопротивлением и подходящими под гнезда UNI-T. Заранее благодарю :)

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Начал потихоньку разбирать то самое чудо-юдо из одного из прошлых постов. И, честно говоря, в этот раз оно решило не сопротивляться — на сайте производителя неожиданно нашлась вполне вменяемая документация. Причём не просто общие слова, а с техническими деталями и даже распиновкой.

Выяснилось, что всё довольно прозаично: красный — это KL.30, чёрный — земля, а белый — тот самый загадочный третий провод, который раньше вызывал больше всего вопросов. Им оказался KL.15 — не просто «ещё один плюс», а линия, на которую питание подаётся только при включённом зажигании. То есть, в отличие от постоянного питания на KL.30, этот провод живёт своей жизнью: есть зажигание — есть питание, нет зажигания — тишина: всё, что не должно сажать аккумулятор на стоянке, вешается именно туда.

В ходе изучения устройства я долго пытался понять, как же оно осуществляет связь с оператором: где GSM сим-карта или тут все по новомодной технологии Mesh? :) Ну или мне стоит искать дополнительный модуль связи где-то у себя под задним сидением? Но нет — всё оказалось куда компактнее. Если верить документации на УВЭОС, внутри вполне взрослый набор: GSM, UMTS и LTE в нескольких диапазонах, а тип SIM-карты – резидентная (несъемная) многопрофильная SIM-карта, установленная на печатную плату по SMD-технологии.

И действительно, если присмотреться, то “симка” у нас в форм-факторе WSON 8, и даже обведена соответственно. Поэтому, одним из следующих шагов может быть ее выпаивание и установка в полнофункциональный мобильный аппарат: узнать оператора связи, номер телефона, есть ли безлимитный интернет и звонки на отличные от экстренных служб номера.
А то кто знает… ну вы поняли ;)

Про остальные составляющие расскажу в будущих постах, а вы пока можете делать ставки, что тут еще есть интересного.

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Я знаю, что ничего не знаю (с) Сократ

Казалось бы, уже более 7 лет я провожу аудиты безопасности и тестирование на проникновение. NMap, если и не затерт до дыр, то бодрый десяток команд уже настолько забетонирован на подкорке мозга, что если меня разбудить ночью и попросить составить запрос на сканирование 20-й подсети с отображением версий сервисов, с последующим применением к ним скриптов, с максимальным отображением вывода и последующей записи лога в формат grep’а, то я продиктую команду даже не разомкнув глаз.

Однако воистину: век живи - век учись! На одном из последних проектов, в котором я принимал участие со стороны “синих”, случилась интересная аномалия: все принтеры организации поверили в SkyNet и начали неистово печатать какую-то абракадабру. И я не говорю про 1-2 листка - это было тотальное истощение ресурсов: 1 строка на 1 листе, а таких листков около сотни. И даже очищение кэша через физическое отключение 220 не помогло. В общем, на полдня компания реально “встала”. Что же произошло?

В ходе изучения текста напечатанных “документов” мы с командой выявили, что все запросы на принтеры шли на порт 9100. Порт 9100/TCP является стандартным портом прямой печати Raw и часто называется JetDirect или RAW-печать. Он позволяет сетевому устройству отправлять задание на печать напрямую в буфер принтера без использования дополнительных протоколов, шифрования и авторизации.

Я, если честно, про это узнал впервые, равно как и обе команды: защиты и нападения. Для сканирования коллеги использовали nikto, который в принципе не таит в себе опасности, но результаты удивили буквально всех. В качестве тестирования мы через браузер телефона подключились на порт 9100 и жужжание принтера подтвердило нашу теорию.

После локализации проблемы и восстановления работоспособности парка техники я начал разбираться, почему за всю мою ИБэшную карьеру у меня такого никогда не случалось, ведь я сканирую сети практически каждый день? Так вот, если мы внимательно прочитаем документацию к приложению, мы узнаем, что у NMap есть исключения (так называемые Exclude Directive), в которые по умолчанию включены порты 9100-9107. Как вы можете понять, исключены они как раз по той причине, чтобы принтеры не тратили тонны бумаги на каждую проверку сканера. В общем, хорошее откровение.

П.С. Когда я собеседую кандидатов на вакантные должности, я внимательно изучаю резюме и стараюсь задать вопросы исключительно по нему (и на половину вопросов мне не могут ответить)). И когда я вижу в секции скилы “NMap”, я люблю задавать вопрос, как программа определяет, что порт на хосте открыт, закрыт или зафильтрован. Теперь у меня будет второй добивающе-контрольный вопрос: сканирование каких портов по умолчанию не производится и требует явного указания?

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Как думает хакер: логика атак на бизнес

Как оценить безопасность компании с точки зрения злоумышленника? Одно дело — знать теорию защиты, другое — понимать логику взлома.

27 марта состоялся очный бизнес-интенсив, реализуемый в рамках курса повышения квалификации «Анализ типовых сценариев компьютерных атак на организации и их последствия» МГТУ им. Н.Э. Баумана совместно с компанией Бастион!

Программа построена на исследовании сценариев реальных компьютерных атак и включает три ключевых блока:

1️⃣ Разведка: как хакер выбирает жертву
2️⃣ Внутренний взгляд: как атака развивается внутри компании
3️⃣ Вас взломали: что делать в первые 24 часа

Спикеры:

• Дмитрий Калинин, директор департамента по работе с уязвимостями и инцидентами ИБ, Бастион

• Иван Глинкин, руководитель группы аппаратного тестирования департамента по работе с уязвимостями и инцидентами ИБ, Бастион

Для тех, кто по тем или иным причинам не мог присутствовать очно, представляю полную запись интесива во 📺 ВКонтакте (3 часа 5 минут).

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Помните в своих постах я периодически указывал на 📺 Matt Brown и его реверс-инжиниринг IoT-устройств, которые нас окружают? Так вот, буквально 8 дней назад Matt совместно с Andrew Bellini анонсировали абсолютно бесплатный курс по аппаратному хакингу под названием All about UART (Все про UART).

В соответствии с описанием,

Этот вводный курс познакомит вас со всем, что касается UART, одного из старейших и до сих пор наиболее распространенных протоколов связи для встроенных систем. Вы изучите основы взаимодействия устройств с помощью электронных сигналов, принципы работы UART вплоть до уровня напряжения на проводе, научитесь распознавать сигналы UART и, что наиболее важно, взаимодействовать с ними. Помимо изучения UART, этот курс также научит вас основным навыкам работы с аппаратным обеспечением, таким как использование мультиметра, логического анализатора, адаптера UART и даже, при желании, пайка.

Курс состоит из 6 секций и суммарно 17 уроков общей продолжительностью 2 часа 35 минут. Авторами, как я упомянул выше, являются Andrew Bellini и Matt Brown. К сожалению, язык повествования только английский, но отечественный «однобуквенный» браузер имеет встроенный функционал по переводу его на русский.

Ребята «защитились» и не дают возможность просматривать видео с российских IP‑адресов. Какие наивные). Мало того, что у нас хорошие учителя в лице главного регулятора, и даже бабушки знают, как обойти это ограничение, так они решили защититься от главных хакеров таким детским способом. Ладно, не будем над ними шутить, возможно они руководствуются требованиями своего регулятора… В любом случае, для вашего удобства я скачал все уроки, смонтрировал в одно видео и разместил во 📺 ВКонтакте.

Поэтому устраивайтесь по-удобнее и в путь - грызть гранит науки!

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Друзья-аппаратчики, у меня для вас потрясающая новость: 🇨🇦 канадская компания VOLTERA разработала “домашний” принтер для плат PCB 🤯 - V-One.
В устройство входит все необходимое для прототипирования печатных плат: V-One может сверлить сквозные отверстия, печатать дорожки, наносить паяльную пасту и производить оплавление, а заявленная стоимость составляет $3,499 за компактный форм-фактор размерами 39 см на 26 см.

Говоря про характеристики, хочется отметить, что V-One “умеет в двустороннюю печать”, а рабочий размер ограничен 128 мм x 116 мм, что в текущих реалиях более чем достаточно. Заявленная скорость работы молниеносная и составляет менее часа, а возможность защитить свою интеллектуальную собственность, выполнять прототипирование внутри компании, не передавая его на аутсорсинг сторонним поставщикам, может оказаться критической для ряда НИОКРов.

Самое главное, что V-One имеет совместимость с файлами Gerber: экспортируйте проект из любого ECAD, и встроенное программное обеспечение автоматически сгенерирует пути.

Мы с коллегами считаем, что данный аппарат отлично подойдет для робототехники, мелкосерийного производства аппаратуры, а также для идеально точного прототипирования плат перед их массовым заказом у крупного вендора. Единственное, что цена в 280,000+ рублей для домашнего использования не является бюджетной от слова совсем, поэтому ждем аналогов от наших восточных партнеров.

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Месяц назад мы приобрели новую машину прямиком из салона: японец, но крупноузловая сборка в Китае. И в соответствии со всеми современными практиками в авто установлено передающее устройство на случай аварии. Только родной «СОС» настроен на Китайский рынок и его перепрошить нельзя. Или можно, но в салоне объявили «150 000 рублей за русификацию мультимедии и, возможно, GSM-модуля СОСа».

Соответственно, чтобы машина соответствовала требованиям Российского законодательства в части обязательной установки кнопки SOS («ЭРА‑ГЛОНАСС»), в автомобиль можно сказать варварским методом было установлено вышеназванное устройство. «Мастера» разобрали потолочный плафон‑светильник, срезали заводскую тряпичную оплетку и изоляцию с проводов, и простой СКРУТКОЙ врезались в линию. Потом замотали изолентой (даже не синей) и каким‑то тряпичным скотчем завершили композицию. В общем, комментировать — только портить.

Что самое интересное, СОС устанавливает соединение тремя проводами. Кроме логичных плюс и минус я в настоящее время не знаю для чего нужен третий. Есть предположения, что это салонный микрофон hands‑free, чтобы в случае необходимости обеспечить двухстороннюю связь с оператором. Ряд моих коллег высказывают мысль, что это может быть датчик подушек безопасности: они срабатывают и сигнал автоматом отправляется в экстренные службы. Потенциально возможно, если не одно НО: зачем в потолочный светильник выводить датчик подушек?

В любом случае будем разбирать этого красавца и смотреть как он устроен внутри. Заодно поймем, что это за таинственный третий провод (делайте ваши ставки, господа). Если у вас есть наработки по аналогичной теме или уже существующий разбор/обзор кнопки SOS («ЭРА‑ГЛОНАСС»), буду рад изучить и применить в текущем исследовании!

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Пару лет назад мы с коллегами из CyberYozh решили создать курс по этичному хакингу. Все как положено: детальная программа, план, маркетинг, свет, аппаратура, даже футболки подготовили соответствующие! Однако на деле все оказалось намного сложнее, чем это кажется со стороны.

Первое и самое сложное — это съемки. Иногда, для того чтобы записать 5-тиминутное видео, у меня уходило по 4 часа. И я сейчас не говорю про человека‑соседа, решившего повесить полку именно в момент съемки. Это и забывчивость подготовленного текста, Эканья и Аканья, почесывания, сбой в ПО при презентации экрана и банальная усталость от сидения на табуретке (именно табуретке, так как спинка стула мешает в кадре). А так как режиссер требует все записывать «одним дублем», иногда приходилось раз 20 перезаписывать 10-ти минутное видео с самого начала.

Второе, бумажная бюрократия. Так как планировался большой проект, мы привлекли маркетологов и технологов. Но только те вместо того, чтобы помогать нам в работе, наоборот, делали жизнь тяжелее.

Технологи начали требовать от нас составления плана на каждое видео: какие цели мы ставим перед уроком, какими задачами мы их достигнем и чему в итоге научится студент, посмотрев видео‑урок (что делали сами технологи, кроме как указывать нам на это, мы так и не поняли). Более того, это нужно проговаривать в начале каждого видео, и в конце повторяться и подводить итог, чему же все‑таки научились студенты.

А маркетологи настаивали, чтобы я говорил, какая это актуальная профессия, что по ней много не закрытых вакансий и что такие специалисты зарабатывают неприлично МНОГО, поэтому они срочно должны записываться на наш курс.

Ну и меньшее из зол, это неудобство исполнения. С учетом того, что я записывался в квартире, это накладывало свои особенности взаимоотношений с родными. Одна из комнат была постоянно занята, так как был развернут хромакей 2×2 метра, дополнительный свет, камера, микрофон, а заниматься постоянной сборкой‑разборкой такой конструкции то еще занятие. Кроме того, семья и человек‑сосед должны находиться в тишине, чтобы не было шума на фоне, а с учетом наличия детей — это просто нереально.

В общем, с горем пополам мы записали пару пилотных уроков, но потом решили завершить начинание. Это очень большой и тяжелый труд, который требует много сил. И это я еще не говорю про само содержание курса, которое должно быть качественным, актуальным и конкурентноспособным. А с учетом планов маркетологов по выпуску 2–3 уроков в неделю, это было более чем призрачно.

Какие выводы я сделал для себя? Во‑первых, несмотря на такой опыт, я все еще люблю преподавать, только исключительно в оффлайн формате: при прямом взаимодействии и живым общением со студентами. Во‑вторых, вопреки популярному мнению, что блогеры ничего не делают и только снимают свои дурацкие видео, это очень большая и тяжелая работа: если делать качественно и вдумчиво, то, как я и сказал выше, процесс записи может занимать очень долгое время и требовать больших физических усилий.

Прилагаемое видео — один из демо видеоуроков, который мы записали и смонтировали. Понимаю, что не у всех есть возможность посмотреть в YouTube, поэтому я залил видео во 📺 ВКонтакте. Желаю приятного просмотра.

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Всепомнят захватывающий монолог Вигго Тарасова из фильма «Джон Уик», когда он рассказывал легендарную историю про «Бабу ягу» и уби**тво им трех человек... карандашом? Я думаю, 9 из 10 человек ответят утвердительно. А слышал ли кто‑нибудь из вас не менее захватывающую историю про открытие металлического сейфа... деревянной палочкой для суши? Я думаю тут таких не будет, поэтому исправляем ситуацию.

В рамках аппаратных исследований к нам на реверс‑инжиниринг в этот раз попал сейф EASY SAFE от китайской компании JIANGSU SHUAIMA SECURITY TECHNOLOGY с электронным замком. В соответствии с инструкцией на сейф можно установить 2 кода: пользовательский и дополнительный, каждый длиной от 3 до 8 символов. Для этого необходимо открыть сейф и нажать красную кнопку на внутренней части двери.

Кажется, безопасно, если не несколько НО!

Во‑первых, вышеназванная красная кнопка просто огроменная, что делает ее достаточно легкой целью.

Во‑вторых, наличие технического отверстия aka дырки аккурат напротив кнопки.

Следовательно, если владелец сейфа не прикрутил его к бетонной стене или иному недвижимому объекту, он подвергает себя большому риску.

И это только начало и, по сути, вершина айсберга «безопасности». В общем, не буду больше спойлерить. Остальные файндинги и полный разбор‑исследование данного аппарата можно будет почитать у меня на Хабре в скором будущем ;) Stay tuned!

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

С моей точки зрения, программно‑аппаратный хакинг — это понимание того, как устроен объект исследования на самом низком уровне. Плата, компоненты, соединения и защитные механизмы — это первое, что мы изучаем, получив в руки новую «игрушку» для исследований.

И одна из задач специалистов в этой области — реверс‑инжиниринг. Мы разбираем устройство не ради разборки, а для чтобы понять его архитектуру, логику работы и способы защиты. И одним из инструментов, который для этого используется, является рентгеновское просвечивание.

Главная задача рентгена — это помочь нам разобраться в том, как разведена плата, где расположены ключевые компоненты и как они соединены между собой.
Кроме того, с учетом развития этого направления и роста ИБ‑зрелости вендоров‑разработчиков IoT, многие устройства специально проектируются для того, чтобы затруднить исследование: с ловушками, скрытыми дорожками, экранами, защитными слоями и другими элементами, которые не видны снаружи. Особенно это актуально в случаях, когда устройство или его отдельные узлы намеренно залиты компаундом. В таких обстоятельствах обычный визуальный анализ почти бесполезен, и на помощь приходит рентген, который позволяет понять, что именно скрыто внутри, без разрушения объекта на первом этапе.

Для нашей команды это не экзотика и не разовая практика, а стандартный рабочий инструмент. Мы располагаем необходимым оборудованием для выполнения таких исследований и регулярно используем рентгеновское просвечивание как часть базового процесса анализа устройств. Это позволяет нам быстрее получать представление о внутренней архитектуре изделия, заранее выявлять потенциальные антитамперные механизмы и аккуратнее планировать дальнейшие этапы реверс‑инжиниринга.

Возвращаясь к фото на превью: сможете ли вы сказать, какие компоненты присутствуют на плате, их предназначение и, в принципе, что это за устройство?

🧠 Обязательно поделись с теми, кому это может быть полезно:
💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Попадая в подсеть контроллера домена, первое, что делает любой пентестер, это перебор учётных записей пользователей (Kerbrute атака). Существует много статей об этом типе эксплуатации, но в каждом источнике авторы используют заранее подготовленный словарь (Смиты, Джоны, Уайты...), который не слишком точно соответствует реальной жизни. Сегодня мы попытаемся заполнить этот пробел и создать универсальный рабочий словарь для атаки Kerbrute в российской среде AD.

Первое, что нам нужно сделать — понять, как администраторы создают учётные записи в домене, а точнее — каков шаблон имён пользователей. Лучшей практикой для корпоративных имён пользователей является сочетание фамилии человека и первой буквы его имени, например в моём случае — iglinkin@corporate.local или i.glinkin@corporate.local. Шаблон зависит от политики безопасности компании и может выглядеть так: ivanglinkin@corporate.local, glinkini@corporate.local, glinkin.i@corporate.local, glinkinivan@corporate.local, или даже просто фамилия — glinkin@corporate.local

Для более точного определения формата пентестеры изучают сайты организаций и посещаемых ими публичных мероприятий: там как раз и указан верный формат. Например, в Microsoft используют формат ИФамилия@microsoft.com: John Winn имеет почту jwinn@microsoft.com.

Как мы можем видеть, фамилия является основной частью корпоративного логина. Имя не так важно, так как используется только первая буква, поэтому нам даже не нужно знать настоящее имя — достаточно просто добавить букву перед или после фамилии. Следовательно, следующий самый сложный и одновременно важный этап — собрать данные о фамилиях.

Мониторя интернет, я нашёл интересный источник https://woords.su/full-name/russian-surnames: в нём содержится почти полный список русских фамилий, в том числе уже c окончаниями "а" для женской половины. Ну а дальше дело техники: создаем скрипт,
for p in {1..2234}; do curl -shttps://woords.su/surnames/russian/page-$p | grep "<tr><td>" | sed 's/<tr><td>/\n/g' | sed 's/<\/td><td>/\n/g' | cut -d "/" -f 5 | cut -d "\"" -f 1 | sed 's/surname-//g' >> surnames.txt; done
который парсит все фамилии и кладет в файлик surnames.txt.

Далее генерируем простой словарь с буквами. Его можно даже создать вручную, там всего-то будет 28 букв (минус Ë, Й, Ъ, Ы, Ь - так как с них имена не начинаются): a, b, v, g , d, e, zh, z, i, y, k, l, m, n, o, p, r, s, t, u, f, h, ts, ch, sh, shch, yu, ya.

Последний шаг — это добавить каждую букву перед каждой фамилией. Что может быть проще?
for name in $(cat one_letter.txt); do for surname in $(cat lastnames.txt); do echo $name$surname; done;done
Полный список username'ов будет состоять из чуть более 9 миллионов. Достаточно много, но, как показывает моя практика, они перебираются за 1.5 часа через kerberos_enumusers от метасплоита.

Используя этот универсальный метод, можно... в общем, можно сделать массу того, чего делать не стоит ибо большой брат придет за вами.
А для исследовательских целей велком ко мне на 📱 GitHub и скачивайте уже подготовленные словари для ваших текущих проектов.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

Разговоры вокруг отечественного связного 💬 Макс не унимаются с момента его официального выхода. Блогеры по всему миру "изучают" безопасность приложения, выискивая, куда он "ходит" и какую "секретную" информацию передает. В основном, все инфоповоды крутятся вокруг изучения манифеста приложения и его разрешений в системе, не углубляясь в изучение сетевых пакетов, исходники и декомпилляцию. А я как раз тот ленивый инфобезник, который еще ни разу не высказался относительно данного вопроса, поэтому исправляюсь.

В прошлую пятницу на весь 🇷🇺 российский интернет прогремела новость: все фото из ваших чатов в Макс может увидеть любой человек по ссылке.

Когда в личный чат или в папку «Избранное» в мессенджере загружается изображение, для него генерируется статичная гиперссылка. Ее можно найти в коде страницы в веб-версии Max. Эта ссылка открывается с других браузеров и устройств без авторизации в мессенджере - обнаружили пользователи. Более того, фото по ссылке останется в открытом доступе, даже если его удалить из переписки в Max.

На лицо классический IDOR. Но если мы проанализируем ссылки на фотографии, которые генерирует Макс, мы обнаружим, что изображения по ним действительно доступны без авторизации. Часть адреса у разных изображений совпадает, однако они содержат различающиеся подстроки длиной не менее 21 символа (минимум 16^21 комбинаций), а значит получить доступ к таким изображениям простым перебором адресов невозможно. Более того, EDR и WAF вас уже на 1000 запросе за несколько секунд обнаружат и отправят отдыхать минут на 5.
Ну а про хранение файлов "закон Яровой" никто не отменял.

А знаете, где еще применяется такая технология? В недавно (октябрь 2024 года) заблокированном мессенджере Discord. Все медиа файлы из приложения можно открыть в исходном качестве по прямой ссылке без регистрации и смс (именно поэтому его многие использовали как файлообменник, а платформа ограничивала размер передаваемого файла 8 мегабайтами). И, о новость, если потом данный файл удалить, он все равно остается доступным по прямой ссылке (см. прилагаемое видео).

Возвращаясь к Максу, не могу не обратить внимание, что его разработчиком является крупнейший IT-гигант Mail.ru. Я лично принимал участие в тестировании его на безопасность в период 2020-2021 годах и могу с уверенностью сказать, что там более чем секьюрно. Кроме того, опыт в обеспечении безопасности ВК, ОК и других массовых продуктов у них уже в генах.

Более того, у Макса есть Bug Bounty программа от Bi.Zone и за некоторые уязвимости там выплачивают до 10 миллионов рублей:

Получение доступа к приватной переписке определенных пользователей - 10 000 000 ₽
Получение доступа к местоположению определенных пользователей в реальном времени - 4 000 000 ₽
Получение доступа к телефонной книге определенных пользователей - 2 000 000 ₽

За год существования программы, было реально найдено 13 багов, за которые суммарно выплатили 873 тысячи. При указанной выборке я могу сделать вывод, что Макс достаточно безопасен, раз никто пока не смог сорвать джек-пот.

Поэтому, не верьте всему тому, что пишут в интернете: делите все минимум на 10. Ну и конечно, что попадает в интернет - остается в интернете, поэтому не забывайте про цифровую гигиену.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал