Mycroft Intelligence

Ровно год назад мы представили раннюю версию PT NGFW. И уже тогда доказали — можно сделать высокопроизводительный и надежный межсетевой экран нового поколения в короткие сроки. За прошедший год PT NGFW изменился, и мы хотим поделиться новыми достижениями. 🕑 25 мая в 14:00 📍Москва, «Лужники», Зал «Галактика» Приглашаем вас увидеть все своими глазами, вживую или онлайн. Денис Кораблев, управляющий директор и директор по продуктам Positive Technologies расскажет: • об изменениях в PT NGFW, • новых победах команды разработки, • и планах на ближайшее будущее. Мы подготовили интересные кейсы, а еще поделимся впечатлениями клиентов, которые уже протестировали PT NGFW. Мы создаем не просто лучший межсетевой экран нового поколения, а продукт, который дарит эмоции. А уже сегодня сможете посмотреть на нашем сайте онлайн трансляции с другими выступлениями.

Говоря откровенно, я ненавижу бесполезные вещи. Если вещь бесполезная – место ей на свалке истории. Давеча беседовал я с одним мамкиным хакером и он рассказывал о том, что для обеспечения безопасности у себя на компе сделал логическую бомбу. Что это такое и зачем он решил выстрелить себе в ногу я сегодня и расскажу. Что такое логическая бомба? Это некий скрипт или даже программа, которая активируется при определенных условиях. Например, вошел кто-то в папку «Моя коллекция панцушотов» на вашем компьютере, а он вместо этого возьми да крякни. Прямо насовсем, намертво. Вот это и есть логическая бомба. Она активируется в случае нарушения периметра и уничтожает машину со всем содержимым. Казалось бы, круто, да? Не особо. Такая бомба защитит вас от младшего брата, который решил полазить в ваших файлах, пока вы ушли на кухню за чайком. В случае визита под вашу крышу суровых мужчин в штатском (или нет), никто лазить в вашем компе не будет. Максимум снимут данные и отправят ваше устройство в лабу, где его распотрошат аки кот Васька пузатого карася. Некоторые бомбы еще и следы затирают. Но это вообще курам на смех. Если вы чуток шарите за вопросы антифорензики на уровне новичка, вы и сами все отключили. А настоящий мастер вообще не даст никому залезть в свою тачку, ибо у него все зашифровано. Как говорится, лучший бой – тот, который был выигран до его начала. А с полнодисковым шифрованием это вполне возможно. Таки а что делать? Для моих любимых тру-параноиков скажу сразу: далеко ходить не надо. Все уже украдено сделано до вас. Если у вас системный блок – ставите рядом с собой сетевой фильтр и в случае чего просто вырубаете его из сети. Нет ножек электричества – нет и танцулек доступа. Если, конечно, вы все зашифровали. Но вы ведь зашифровали, так ведь? Если у вас ноут – то, как вариант, можно зажать кнопку выключения или использовать скрипт с командой shutdown, подвесив его на горячую клавишу. Не супер-безопасно, но лучше, чем ничего. Для самых упоротых есть USB-killer, наконец. Всем безопасности! #инструментарий

Я уже говорил, что обожаю своих подписчиков? Нет? Вот теперь говорю. А мои симпатии в первую очередь связаны с вашей активностью. Не так давно я писал пост про CCleaner и его применение для антифорензики. И написал мне тут один подписчик (большая благодарность) и дал наводку на BleachBit [1]. Я попробовал и остался дико доволен. Таки почему? Во-первых, из-за глубокого анализа. BleachBit позволяет очищать резервные копии и временные файлы, файлы подкачки, почистить зловредные следы жизнедеятельности Office и многое-многое другое. Особенно то, о чем вы никогда бы не подумали. Это просто прекрасно. Во-вторых, тут есть тотальная зачистка системы. Например, программа зачистит дамп памяти и удалит кеш из выборки памяти (Винда вангует, какое приложение вам может понадобиться и держит всю инфу для его быстрого запуска в кеше). BleachBit также позаботится о журнале событий, shellbag-записях в реестре, недавних документах. То есть все по красоте. В-третьих, тут есть свой функционал антифорензики. Например, вы сможете создавать «помехи», то есть случайные события в журнале, которые создадут ложный след для того, кто может прийти по вашу душу. Еще он умеет перезаписывать файлы, чтобы затирать напрочь следы их присутствия, в том числе удалять пути из буфера обмена. И это еще далеко не весь его функционал. Что могу сказать. Я впечатлен. Самые важные задачи эта программа решает. И даже более того, делает те вещи, про которые даже я не знал. И главное – она бесплатная и непроприетарная, в отличие от CCleaner. И никаких ограничений в связи с политической ситуацией! Да-да, CCleaner не дает нормально использовать программу пользователям из России. А такие вещи прощать нельзя. Так что рекомендую! Всем безопасности! #инструментарий

В ИБ-сообществе набирают популярность 2 канала по кибербезу: Записки безопасника — авторский канал от специалиста по ИБ. Новости даркнета, сетевая разведка, обзоры инструментов с github, полезные подборки. Белый Хакер - реальные кейсы, OSINT, уроки по социальной инженерии и анонимности, курсы.

Сегодня у нас на главное блюдо метод «холодного ботинка», или же cold boot. Что это такое, спросите вы меня и причем тут антифорензика? Ответ прост: в оперативной памяти компьютера хранится очень много всего интересного, в том числе ключи шифрования от томов, в которых лежат следы вашей грязной противоправной активности. А может, миллион биткоинов, кто знает. Как это происходит? Группа захвата врывается в дом к мамкиному хакеру, а тот с перепугу вырубает свой компьютер из сети. Казалось бы, спасен ударом гонга! Но нет, после того как он выдергивает вилку из розетки ему в голову прилетает тяжелым берцем, а специалист по форензике быстро срывает крышку с компа и начинает поливать оперативную память специальным охладителем. В некоторых случаях используется даже жидкий азот (sic! -196 градусов)! Затем либо в комп втыкают флешку со специальным оборудованием, которая делает дамп памяти, либо оперативку вынимают и втыкают в специально подготовленную машину. И вуаля, наш хацкер попал по самые помидоры. Почему так происходит? Все дело в том, что как только вырубается электричество ячейки памяти оперативки начинают деградировать, то есть обнуляться. Но этот процесс происходит не моментально. Обычно на это есть примерно секунд 10-15, пока данные не превратились в кашу из цифр. Если все это дело заморозить, то деградация замедляется и счет времени уже идет на десятки минут. Этого вполне достаточно, чтобы специалист по форензике сделал свое дело. Страшно? Да не особо. В VeraCrypt стоит защита от Cold Boot Attack. Они говорят, что вероятность ее осуществить равна шансам выиграть миллион долларов в лотерею. То есть вы в полной безопасности. Ну, почти. Чтобы не было конфузов, не оставляйте свой инструмент без присмотра, не используйте сон и гибернацию. А еще лучше в настройках Веры поставьте галочку в опцию «шифровать ключи и пароли в ОЗУ» в разделе «Быстродействие и настройки драйвера». И все. Атакующий получит хрен на воротник, а не наши пароли, даже если получил доступ к оперативке. Всем безопасности! #инструментарий

Телеметрия – это бич современности. А задумывалось все неплохо: данные о том, что делает пользователь на вашем сайте используется для улучшения так называемого «user experience». Но, как говорится, доверь дураку хрен стеклянный, он и хрен разобьет, и руки порежет. И поэтому позитивная идея сбора информации об активности пользователей превратилась в тотальную слежку за всем и вся. Больше всех в этом вопросе преуспела мелкомягкая корпорация. Windows – это операционная среда, напичканная следилками сверху до низу. И, что еще более печально, она никак не запрещает авторам других программ тоже следить за вами и зарабатывать на этом свой гешефт. Конечно, справедливости ради, при установке системы вы можете передернуть все рубильники и отключить телеметрию. Но это фронт. А изменилось ли что-то на бэке – большой вопрос. Тут есть кое-какие полезные советы. Например, используйте локальную учетку, которая не синхронизируется с серваками Майков. Проверьте все рубильники в разделе «Конфиденциальность», отключите телеметрию в разделе «Сборки для сбора данных и предварительные сборки» в Компонентах Windows. Еще надо бы поиграться в реестре и там тоже вырубить телеметрию и целый ряд не очень приятных функций. Таких, например, как передача информации о Wi-Fi сетях и многие другие. В общем, работы на целый день. Но есть способ оптимизировать процесс. Лично я очень люблю и уважаю BlackBird [1]. Эта прекрасная программка позволяет буквально несколькими кликами (ну или командами, ибо она консольная) выключить все то, что вы знали сами о телеметрии и о чем даже не догадываются поверхностные гайды по анонимности в этом вашем Интернете. BlackBird поможет вам прибить назойливую Cortana и богомерзкий Edge, запретить любые отчеты и активность сервисов. И вот она, долгожданная сетевая тишина. Для надежности еще файрволл поставьте и запретите все, что вызывает подозрения. И тогда да, принимайте мои поздравления. Ваша система стала чуть более защищенной. Всем безопасности! #инструментарий

Inf0 | ИБ, OSINT — канал, посвящённый инфобезу, OSINT, защите устройств и бесплатными курсами по информационной безопасности. В нём множество профильной литературы, курсов и уникальных мануалов любых направлений.