3side кибербезопасности

SEQuest - социальный redteam фестиваля PHDays! Мы это сделали! Первый конкурс по социальной инженерии в истории PHDays, да и любых конференций по кибербезопасности. Крутых технических конкурсов всегда было достаточно, как и в этом году — $natch. AI CTF, Web3 Hack, IDS Bypass и легендарная 2drunk2hack. Но раньше не было ни одного ИБ-шного конкурса, где бы не требовались бы технические навыки. Есть такая штука — социотехническое тестирование, в котором большую роль играет социальная инженерия. Идея была в том, чтобы оценить "устойчивость" организации к попыткам не технологических, а социальных атак. Почему мы называем это redteam? Потому что это и был классический redteam — противодействие нашим участникам со стороны организаторов фестиваля было полностью настоящим, а скрытность давала преимущества. А после сдачи каждого задания, сторону защиты оперативно информировали и дообучали. Делать что-то впервые всегда особенно сложно. Например, мы пытались предугадать, сколько же будет участников? Думали 30-40 человек, оказалось более 200! Думали, что хотя бы одно задание решит человек 10, на деле их было более 30. Одни задания мы считали более сложными, чем другие, но в реальности все было ровно наоборот. В итоге, все задания были решены, но ни один участник не решил их все! Правила в ходе конкурса старались дополнять по-минимуму, бОльшую часть узких мест они закрывали и в первоначальной редакции, добавлялись лишь нюансы, хоть и важные. С верификацией решений тоже вышло все прозрачно, хоть и из-за количества участников у стенда регулярно набиралась очередь. Обратная связь от участников и комьюнити получилась шикарная, конкурс и ожидаемо привлёк к себе внимание и получил восторженные отзывы. В целом можем сказать, что первый блин ну точно не комом, хотя нам совершенно точно есть куда расти и есть над чем работать. От себя хотим сказать огромное спасибо организаторам фестиваля за терпение и поддержку, участникам за участие, волонтерам за помощь и всем причастным просто за то, что вы есть! А подробный разбор заданий, и способов успешного их решения участниками будет в отдельной статье!

Есть ли DevSecOps в Самаре? На Positive Tech Day 18 июня он точно появится! 🙂 В Самаре впервые пройдет конференция Positive Tech Day от Positive Technologies, на которой соберутся топовые эксперты компании по безопасной разработке — они выступят на треке «DevSecOps на Волге», где расскажут об Application Security. Так что если у вас еще не было планов на июнь — сохраняйте дату, приходите бесплатно послушать доклады и задать вопросы! Будет полезно как новичкам, так и тем, что уже давно в теме. 🤔 На «DevSecOps на Волге» вы узнаете: • из чего состоит практика безопасной разработки и как ее внедрить; • как защитить конвейер CI/CD и ничего не испортить; • как выбирать и применять AppSec-инструменты; • как выстроить взаимодействие между людьми, чтобы DevSecOps работал. Участие бесплатное по предварительной регистрации.

Отвечавшего за ИБ экс-заместителя губернатора Смоленской области мошенники развели на 6,5 млн рублей В этой новости "прекрасно" все. Но мы скорее бы хотели подчеркнуть одну вещь — если сейчас "топов" и прочих ЛПР разводят скорее ради денег, то скорее они могут стать вполне привычным вектором атаки на бизнес. Если не на инфраструктуру, то на критические процессы внутри компании. И осталось до этого момента год-два. Почему даже связанные с ИБ люди становятся жертвами атак? Да тут много причин — и "правило 7%", и просто человеческая природа. Тем более, безопасники могут быть особенно подвержены эффекту сверхуверенности, что раз мы понимаем что это и как работает, то на нас уж оно точно не сработает! На деле, же все иначе чем больше этот эффект проявлен у человека, тем выше вероятность того, что он станет жертвой мошенника. Почему? Он будет нечувствителен к контексту. Одно из проявлений такого эффекта: опытные водители в два раза чаще попадают в аварии по сравнению с теми, кто имеет более низкий стаж и возраст. Опытные пловцы чаще тонут. Здесь та же самая история.

Как за 10 лет киберкриминал создал разумный и эффективный рынок нелегальных услуг? Прочитали тут небольшую гостевую лекцию для одного чудесного ВУЗа. О том, какие бывают хакеры, что такое RAAS, как работает криминальная индустрия и что со всем этим делать. Постарались достаточно коротко и интересно. Ну, и немного про актуальную повестку)

TGStat ответственнее Telegram Помните вот этот пост и статью на Habr, о том, что некоторые возможности Telegram позволяют очень эффективно проводить фишинг в мессенджере? В качестве примера, в этой статье я продемонстрировал перехват аккаунта на популярном сайте аналитики для Telegram-каналов TGstat. Тогда я осознанно не высказывал никаких претензий к создателям сайта, ведь как по мне, основной фикс должен был быть на стороне мессенджера, а сайт использовал лишь не совсем безопасные функции. Но Telegram отказались что либо исправлять и вводить дополнительные меры защиты. А вот TGstat отреагировали на статью! И теперь их бот высвечивает предупреждение, указывает имя аккаунта, под которым происходит вход, чтобы пользователь точно знал, что происходит. А также бот требует не только переход по ссылке, как раньше, но и нажатия кнопки внутри него. Это значительно усложняет фишинг, команде TGstat мое большое уважение! Они оказались ответственнее, чем мессенджер, который постоянно трубит, что безопасность - его главный приоритет.

Мы еще опубликуем подробный отчет о phdays, но пока можем сказать, что это было потрясающе масштабно. SEQuest прошел не без проблем, но мы точно увидели, как должно выглядеть «кибериспытание» для социо-инженера.

Всем привет! Сегодня - день российского предпринимателя! Поздравляем всех коллег и причастных, желаем успехов, адекватных контрагентов и всего самого наилучшего! А еще возможности не отвлекаться от своего дела на проблемы кибербеза. А если все таки приходится - всегда есть мы) P.S. Команда 3side заканчивает сегодня свою работу на phdays и возвращается в обычный режим. Про фестиваль мы еще напишем, но пока это вау!

На киберфестивале Positive Hack Days 2 мы предложим вам взломать нас 😏 Да, это не шутка. Мы проведем SEQuest — конкурс, в котором любой желающий сможет без последствий попробовать себя в роли хакера и проверить свои скилы в социальной инженерии. Ну а за успешное выполнение заданий мы щедро наградим участников. 😏 Что нужно будет сделать Если коротко — выполнить семь заданий с разным уровнем сложности незаметно для организаторов, то есть нас. Вот они: 1. Изготовить копию бейджа организатора на свое имя. 2. На стойке регистрации получить настоящий бейдж организатора на свое имя. 3. Сделать футболку организатора или принести оригинальную. 4. Получить доступ к громкой связи мероприятия. 5. Получить уникальный стикер из штаба конференции. 6. Пройти в штаб организаторов и узнать пароль от Wi-Fi. 7. Получить доступ к прилавку с мерчем фестиваля. Безусловно, есть базовые запреты: нельзя физически воздействовать на организаторов и входить с ними в умышленный сговор. Безусловно, есть базовые разрешения: вы можете манипулятивно воздействовать на организаторов и вводить их в заблуждение, но исключительно для выполнения заданий конкурса. 😮 Как принять участие Расписаться на стенде конкурса и получить полные правила (подробности — на сайте). Перед началом конкурса его организатор Антон Бочкарев, основатель «Третьей стороны», проведет базовый экскурс в социальную инженерию, который поможет участникам. Ну а дальше — дело за вами. За решения заданий вы будете получать баллы, а те, кто займут призовые места, — получат мерч профи социальной инженерии. Ждем вас и не желаем удачи 🤓 @PHDays

SEQuest — конкурс по социальной инженерии! На фестивале кибербезопасности PHDays я организую первый конкурс по социальной инженерии — SEQuest (Social Engineering Quest). Он будет проходить только офлайн, в Лужниках, с 23 по 26 мая, во все дни конференции. Конкурс, вдохновленный произведениями Кевина Митника. Впервые соревнование по soft skills, которыми пользуются мошенники при атаках методом социальной инженерии. Если вы хотите на время почувствовать себя киберпреступником и «поломать» людей, а также манипулировать организаторами фестиваля, то этот конкурс для вас! Никаких технических навыков не требуется, вход свободный. Более подробную информацию о заданиях, правилах и наградах вы найдёте в официальном канале конкурса, ссылку на него опубликуем перед стартом. Приходите, будет очень интересно!

"Так безопасно?" №11: Отправляет ли Apple биометрические данные спецслужбам? В современном рунете существует один популярный миф о конфиденциальности биометрических данных пользователей в знаменитых калифорнийских гаджетах. Связан он с постоянными заявлениями Apple о том, что биометрия пользователей надёжно защищена и даже сама компания не может получить к ней доступ. На что зачастую следует ирония в стиле «ха-ха, конечно же, Apple ничего не не хранит у себя и не отправляет спецслужбам, верим-верим». Казалось бы, действительно, почему бы Apple не отправлять данные в облако, а по запросу и спецслужбам? Многие опасаются, что их данные утекут, а у специальных структур есть полный контроль над информацией в частном телефоне, в том числе и доступ к биометрии… Но. Во-первых, даже если у спецслужб есть высланные им математические образы биометрии, то это никак не поможет разблокировать устройство, так как заключенный в условный txt-файл код не является изображением это — набор символов и цифр. Расшифровать эти данные может только ключ, который находится внутри устройства. Во-вторых, заявления компании Apple о том, что защищенные данные никогда не покидают устройство, коррелируют с многократными неудачными попытками взлома, в том числе со стороны ФБР и АНБ. Тратя сотни тысяч долларов, прибегая к помощи хакеров, они смогли взломать лишь один айфон. Как? С помощью бага, который позволил перебирать всевозможные варианты код-пароля и в конечном итоге прийти к искомому результату. Для выявления этого бага понадобились не только большие деньги, но и команда израильских спецов с распайкой материнской платы самого телефона. После обнаружения бага, Apple, понятное дело, его оперативно исправила. Окно закрылось. Кроме того, если бы биометрия хранилась на облачных серверах, айфоны бы вскрывались через раз, так как получить доступ к облаку явно проще, чем к защищенной памяти телефона. В-третьих, думаю никто не будет спорить, что айфон — это один из самых популярных телефонов на сегодняшний день. А значит его всесторонне изучают и анализируют далеко не первый год. Патчи безопасности анализируются «под микроскопом», изучаются уязвимости и баги. Тем не менее за всё это время так и не удалось обнаружить факт утечки данных биометрии куда бы то ни было. Потому что если бы это действительно случилось, то для Купертино всё обернулось бы огромным скандалом с миллионными, если не миллиардными убытками из-за тех же судебных исков. А главное — потерей репутации. Все эти факты позволяют нам говорить, что Apple действительно не отправляет биометрию в облако. А издержки, которые могла бы понести Apple из-за обнаружения самого факта отправки биометрии, имели бы огромные последствия для компании. #3side_так_безопасно