3side кибербезопасности

⚡️В MAX взломали популярнейшего бота для отложенных публикаций — под ударом оказались более 30 тысяч каналов. Хакер получил доступ к сервису и начал рассылать сообщения во все подключённые каналы. Во многих из них уже появился одинаковый пост с сообщением об уязвимости бота. Самое забавное, что до этого сервис якобы прошёл аудит безопасности у специалистов по информационной безопасности. Более того, сам взломщик утверждает, что заранее предупреждал разработчиков о критической дыре, но проблему никто не исправил. Теперь владельцы каналов массово отключают бота и проверяют свои проекты на предмет компрометации. 🕹КиберТопор — Подписаться

Про noname специалистов по информационной безопасности Тут пишут, что взломали очередного бота для постинга. На этот раз в Махе, но в ТГ такие истории тоже происходили, и достаточно регулярно. Сам взлом не очень интересен, интересно другое. Владелец (видимо) бота утверждал, что он проаудирован "ведущими специалистами по ИБ". И вот тут сразу возникает проблема — сама фраза "что-то кем-то проаудировано" вообще не говорит о защищенности чего бы то ни было. Во-первых — никакого аудита могло и не быть вовсе. Просто написали "мы думаем про кибербез", и все. Так бывает, видели такое многократно (часто когда заходили уже с форензикой). Во-вторых, там вполне могли быть совершенно нормальные, компетентные специалисты. Но два релиза назад, да. В-третьих, мы не знаем, как вообще была совершена атака. Возможно там уязвимость не "технического" характера. Но повторюсь, мы этого не знаем. И вот мы все это к чему. Надпись "мы занимаемся ИБ" — это примерно как "злобный хакер, уходи". Ну то есть работает как маркетинг, но если что-то случится, выглядеть будет плохо. Мораль: занимайтесь кибербезом должным образом. Это не так дорого, иногда совсем недорого. Главное — не обманывайте своих клиентов.

GlobalSign отозвали сертификат! Но не у OpZero, а у мессенджера MAX. Мессенджер сразу же выпустил новый через Let's Encrypt. Интересно, а его аналогично отзовут и запретят выпуск новых? Кажется отзыв "санкционных" сертификатов становится системным, о чем мы и писали ранее.

«Синего кита» создали СМИ Разбор старого интернет-мифа История «групп смерти» — это классический пример моральной паники, когда общество само придумало страшную сказку, а подростки начали в неё играть. Многие до сих пор уверены, что существовала тайная международная организация, планомерно убивавшая детей через квесты. Расследования и антропологические исследования доказали: изначально этого феномена не существовало. Его создали журналисты, а дети подхватили волну из-за шумихи. Вот как фантом стал реальностью 1. Как рождался миф: театр одного актера До того как стать «смертельным квестом», группы в соцсетях были просто подростковой игрой в альтернативную реальность (ARG). Админы вдохновлялись мрачной эстетикой, шифрами и мемами. Внутри этих закрытых пабликов создавалась иллюзия массовости. Вскрылся показательный факт: администраторы (часто такие же подростки) общались сами с собой. Одна и та же девушка или парень регистрировали десятки фейковых аккаунтов. В закрытых чатах они разыгрывали спектакли: с одного профиля «жертва» умоляла о помощи, со второго «куратор» отдавал зловещие приказы, а с третьего писали: *«Она прыгнула, её больше нет»*. Цель? Банальный хайп, нагон подписчиков для продажи рекламы и желание авторов почувствовать себя «вершителями судеб». 2. Хронология: как фантом материализовался * Шаг 1. Искажение информации. В массовой прессе выходит громкое расследование. Автор связывает в одну цепочку реальные трагедии подростков и их пребывание в депрессивных пабликах. Причинно-следственная связь ломается: паблики были лишь *симптомом* подростковых проблем, но их объявили *причиной*. * Шаг 2. Запуск медиавируса. Новость подхватывают тысячи ресурсов и ТВ. Появляются «расстрельные списки из 50 заданий» (которые журналисты буквально по кусочкам собрали из разных сетевых шуток и крипипаст). Школы и родительские чаты взрываются паникой. * Шаг 3. Включение остенсии. В фольклористике и социологии термином остенсия называют процесс, когда люди начинают воплощать в реальной жизни сюжеты из городских легенд, слухов или мифов. Именно это и произошло: подростки из новостей узнали, что появился новый «запретный и романтичный» способ закричать о своих проблемах или проверить себя «на слабо», и начали массово ставить хештеги игры. * Шаг 4. Появление реальных кураторов. Сетевые тролли и неадекватные пользователи, начитавшись инструкций в СМИ, регистрируют профили и начинают писать детям, со знанием дела требуя выполнять те самые «50 заданий». Вывод Общество само написало сценарий игры, детально пропиарило его на всю страну, а дети и тролли просто начали играть по предложенным правилам. «Синий кит» стал удобной ширмой. Вместо глубокой работы с реальными проблемами подростков (депрессия, домашнее насилие, буллинг), взрослым было проще обвинить «таинственных интернетовских кураторов». Как только хайп в медиа утих, а соцсети заблокировали хештеги — фантом исчез так же быстро, как и появился. P.S. Одна известная Российская ИБ-компания очень активно пиарилась на этом, и устраивала расследования разгоняя медиа-вирус. Мы написали об этом просто потому, что оказывается, многие им поверили и верят до сих пор. И пора уже расставить все точки.

Иллюзия независимости и недостроенный цифровой суверенитет Сейчас ни один сайт в интернете не может жить без сертификатов. Именно они - основной столп безопасности защищающий наши данные, ведь на них работает HTTPS. Для небольших компаний и личных проектов с 2014 года было очень легко получить сертификат, его автоматизировано и бесплатно выдавала Некоммерческая Организация Internet Security Research Group (ISRG), своим сервисом Lets Encrypt! У тебя есть сайт? Подтверди им владение и получи сертификат безопасности бесплатно. ISRG - это НКО, организованная Фондом электронных рубежей (Electronic Frontier Foundation, EFF), Mozilla Foundation, Akamai и Cisco Systems. Уважаемые объединения и компании, некоммерческий статус и не менее уважаемые партнеры. А когда в России начался тренд на цифровой суверенитет, особенно создание собственных центров сертификации, многие видели в этом попытку зарегулирования, контроля, но не защиту. Ведь есть независимые сервис и центр, зачем это нужно? И вот на днях, случился прецедент. Lets Encrypt отозвал и более не выдает новые сертификаты для доменов opzero.ru и поддомена www.opzero.ru. Они просто отказались и поставили блок, такого не было ранее никогда. Даже в 2022 году сервис не лез в политику и выполнял свое главное обещание, о предоставлении сертификатов всем желающим во благо безопасности Интернета. OPERATION ZERO - это единственная в России платформа по приобретению 0day-эксплоитов у исследователей. Заказчиками компании являются исключительно организации Российской Федерации и дружественных стран. Конечно же платформа под санкциями США по политическим мотивам, это буквально торговля кибероружием. Но такие платформы есть во множестве стран, в самом США есть Zerodium, и у них проблем с санкциями и сертификатами конечно же нет. У автора этого поста два предположения: 1. Представители США, где и расположена штаб квартира ISRG, попросили заблокировать доступ к сертификатам для OpZero. Они подчинились. Выглядит это далеко не независимо. 2. Представители США, запросили возможность контролировать выпуск сертификатов для доменов OpZero, контроль над сертификатами позволял бы им вскрывать шифрование и перехватывать данные всех посетителей сайта. ISRG, оценив репутационные риски, выбрали меньшее зло и заблокировали сертификаты и их выпуск. Что дальше? Доверие к сервису подорвано, любая компания может оказаться в немилости и потеряет свой сертификат. Одномоментно можно остановить работу большинства небольших сайтов РФ. Есть ли бесплатные альтернативы не в юрисдикции США? Нет, и главное в России такого внутреннего сервиса тоже нет! А такой сервис однозначно нужен, к тому же нужно сделать так, чтоб он не был завязан на сертификат Минцифры РФ. Ведь это закроет доступ для всех зарубежных пользователей. Должен быть сертификат, который признают по всему миру. С учетом политического контекста запускать этот сервис нужно было еще вчера, а в идеале до 2022 года. Это действительно был бы сильный шаг к суверенному Рунету. А что теперь у OpZero? Они выпустили платный сертификат от Global Sign, как долго он продержится? Делайте ваши ставки в опросе!

Блокировки vs MTProto противостояние продолжается Ответы на частые вопросы нам в сообщениях Что происходит с блокировками? Классическая битва щита и меча. Совершенствуется DPI, определяющий протокол Телеграмма, за ним руками энтузиастов совершенствуется протокол MTProto, устраняющий уязвимости, позволяющие выделить именно этот протокол. А может быть какой-то более радикальный ход по блокировкам? Политически - их масса. Технически - сложнее. Но действительно сильный ход, который очень сильно ударит по клиентам - добиться удаления клиента Телеграмма из магазинов приложений! К чему это приведет? Отсутствию обновлений его у пользователей, а значит совершенствовать защиту Телеграмм более не сможет. А это возможно? Да, у нас уже по требованию регуляторов из магазинов для российских пользователей удалены множественные заблокированные приложения. Например, LinkedIn и множественные приложения для обхода блокировок. То есть AppStore и Google Play активно сотрудничают с регулятором России и могут выполнить требование. А если устанавливать из сторонних магазинов? Это крайне опасно, даже из одного из старейших магазинов APKPure! Недавно именно в нем нашли загруженное приложение Телеграмма со шпионским модулем внутри. Хотя казалось бы сама суть магазина, что отражено в названии, чистейшие приложения из Google Play в виде apk файлов, но оказалось не так. Для пользователей Айфонов же установить приложение сторонее во много раз сложнее и опаснее. А что тогда придется делать? Обновляться через учетные записи других (зарубежных) регионов, где будут публиковаться новые версии. Это единственный надежный и безопасный вариант. Но будут ли у всех такие записи? Поэтому крайне надеемся, что до удаления из магазинов не дойдет.

⚡️ Уже сегодня в 10:00 (МСК) — возможность подключиться к выступлению Романа Шапиро, руководителя Дирекции информационной безопасности «Почты России» Тема: От разрозненного "зоопарка" ИБ-продуктов — к платформенному подходу: взрывной рост рынка NGFW, SIEM, DLP, EDR и NTA, консолидация вендоров и главный вызов последних лет — необходимость видеть безопасность как единую экосистему, а не набор отдельных классов решений. 🔥 Редкая возможность послушать практика, который отвечает за безопасность одной из крупнейших инфраструктур страны. 🔜 10:00 (МСК) ➡️ Регистрация Занятие пройдет в рамках 3 модуля Код ИБ Академии — внешние участники получат доступ только к части практикума. Успевайте присоединиться, количество мест ограничено!

КАК МЫ ВОССТАНАВЛИВАЕМ КОМПАНИИ ЗА 48 ЧАСОВ Без воды. По делу. Мы — 4sec. Занимаемся реагированием на инциденты для малого и среднего бизнеса. Не для банков и госкорпораций. Именно для тех, у кого нет своего SOC, нет армии безопасников и нет бюджета на 6-недельный аудит. Что мы делаем, когда вас взломали: ПЕРВЫЕ 48 ЧАСОВ — Приезжаем или подключаемся удалённо — Останавливаем атаку если она ещё идёт — Сохраняем улики для расследования — Поднимаем критичные бизнес-процессы Результат: вы работаете. Не идеально, но работаете. СЛЕДУЮЩИЕ 2 НЕДЕЛИ — Полное расследование: как вошли, что взяли, как долго сидели — Восстановление данных (если есть хоть какие-то копии — найдём) — Закрытие всех дыр, которые нашли — Настройка мониторинга: если придут снова — сразу узнаете Результат: понимаете что произошло. Это не повторится. СКОЛЬКО ЭТО СТОИТ Честно: зависит от масштаба. Для компании как «Три Богатыря» — от 300 до 500 тысяч рублей за полный цикл. Для сравнения: один день простоя среднего МСБ — 300-700 тысяч упущенной выручки. МЫ НЕ ОБЕЩАЕМ — Восстановить данные без резервных копий. Шанс 5%, будем честны. — Что расследование даст 100% ответ, если Дима уже всё почистил. — Что будет дёшево. Нормальная работа стоит денег. МЫ ОБЕЩАЕМ — Приехать быстро. Не через неделю с КП на 4,6 миллиона. — Говорить честно. Если не сможем — скажем сразу. — Восстановить работу бизнеса в разумные сроки. Если у вас произошло — пишите в личку прямо сейчас. Если не произошло — проверьте себя бесплатно: 4security.ru

ВАС ВЗЛОМАЛИ. У ВАС 2 ЧАСА. ЧТО ДЕЛАТЬ? Запомните одно правило: чем меньше вы трогаете — тем больше шансов на расследование и восстановление. Дима из «Трёх Богатырей» сделал всё неправильно. Не потому что плохой. А потому что никто не объяснил. Объясняем. ━━━━━━━━━━━━ ЧТО ДЕЛАТЬ СРАЗУ ✅ Изолируйте заражённые машины от сети. Вытащите сетевой кабель. Отключите WiFi. Не выключайте сами машины — в RAM может быть ключ дешифровки. ✅ Не запускайте антивирус и «очистку». Антивирус уничтожит улики. Полезен он будет потом, не сейчас. ✅ Не перезагружайте серверы. Перезагрузка стирает всё из памяти. Вирус может исчезнуть — вместе с данными для расследования. ✅ Сфотографируйте экраны с сообщением о выкупе. Текст, адрес кошелька, контакты — всё. Это поможет идентифицировать вирус. ✅ Зафиксируйте время. Когда обнаружили? Что делали до этого? Кто из сотрудников что открывал? Это хронология атаки. ━━━━━━━━━━━━ ЧТО НЕ ДЕЛАТЬ ❌ Не платить выкуп сразу. 30% компаний, заплативших — ничего не получили. Или получили, но вирус остался. ❌ Не искать «мастеров с Авито». Они не справятся с современными шифрами. Потратите время и деньги. ❌ Не восстанавливать систему без расследования. Не закрыв дыру — получите повторную атаку. ❌ Не молчать. Если у вас данные клиентов — по закону вы обязаны уведомить Роскомнадзор в течение 24 часов. ━━━━━━━━━━━━ ПОСЛЕ ПЕРВЫХ 2 ЧАСОВ Звоните профессионалам. Не Диме. Не мастеру с Авито. Специалистам по реагированию на инциденты. Их работа — приехать, сохранить улики, восстановить работу, найти как вошли, закрыть дыру. Чем быстрее — тем больше шансов восстановить хоть что-то. Завтра — как выбрать нормальных специалистов и сколько это должно стоить.

ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 8: ДРУГАЯ ИСТОРИЯ Серия 8 из 8. «Три Богатыря» нашли Колю. По счастливой случайности. Потому что Михаил Борисович позвонил школьному другу в нужный момент. Но большинству не везёт так. Вот другая версия этой истории. Коля не находится. Мастер с Авито берёт деньги и пропадает. Большая компания присылает КП на 4,6 миллиона. Михаил Борисович не может столько потратить. Они восстанавливаются сами. Медленно. Из обрывков. Нанимают фрилансера, который «поднимает» систему. Закрывают ли дыру — никто не знает. Дима говорит, что закрыл. Михаил Борисович верит. А Антон в это время дозванивается до клиентов. Неделя третья. Большинство уже не берут трубку — нашли других поставщиков, перестраивать логистику обратно дорого и незачем. «Премиумбетон» прислал официальное письмо о прекращении сотрудничества. Не звонок, не мессенджер — письмо. На бланке. С подписью директора. Антон распечатал его и положил на стол Михаилу Борисовичу. Михаил Борисович прочитал. Убрал в ящик. Ничего не сказал. Антон вернулся к себе. Открыл таблицу с планом продаж на год. Долго смотрел. Закрыл. На четвёртой неделе Антон написал заявление на увольнение. Не потому что плохой сотрудник. А потому что продавать нечего — половина клиентской базы ушла, кредитная линия закрыта, новых контрактов не подписать без нормальной инфраструктуры. Антон это понял раньше Михаила Борисовича. Через 6 недель — повторное шифрование. Дыру так и не закрыли. На этот раз в офисе почти никого нет. Антона нет. Двух менеджеров нет. Людмила Семёновна сидит одна и смотрит на знакомый чёрный экран. «Снова», — говорит она себе тихо. На этот раз денег на восстановление уже нет. Один из трёх учредителей требует вернуть вложения. Через 4 месяца — ликвидация. Не потому что взломали. А потому что не было никого рядом в нужный момент. И потому что Антон ушёл первым — он просто раньше всех понял, куда это идёт. Дима, кстати, в этой версии тоже нашёл новую работу. Айтишником. В другой компании. ———— Это была история об одной компании. Но это история тысяч компаний каждый год. ━━━━━━━━━━ Две версии одной истории. Счёт: Версия А (нашли Колю): Потери: ~7 400 000 ₽. Бизнес выжил. Версия Б (не нашли): Потери: ~15 000 000+ ₽. Ликвидация. Разница между версиями: один звонок однокласснику. Или один сервис мониторинга, который нашёл бы дыру за три месяца до взлома. ━━━━━━━━━━ Завтра — важный пост: что делать в первые 2 часа, если вас взломали. Это не очевидно. И это реально спасает. Начать с 1 серии.

Ждали?)

Про защиту МСП на Время Цифры Всем привет, приходите на Время Цифры, там на панельной сессии «Безопасность как ценность бизнеса» я кратко расскажу свой доклад «Из ИБ-бюджета только кот: как МСБ строить защиту в 2026 году». Поговорим о том, как вообще строить защиту без бюджета или с минимальными бюджетами. Ведь сейчас любому бизнесу это крайне актуально! Когда: 27.05 (среда) Где: Москва, Центр событий РБК

ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 7: ФИНАЛ Серия 7 из 8. Предпоследняя. Коля уходит. Говорит последнее. «Мы закрыли дыру, через которую вошли. Обновили VPN, поставили нормальные пароли, настроили мониторинг. Базовые процессы работают. Но вот что важно. Когда взломали, вы думали: "Главное — восстановиться. Потом разберёмся с защитой". Почти все так думают. Вы восстановились. Теперь "потом". Если не сделать защиту нормально — вас зашифруют снова. Те же люди или другие — неважно. Дыра была серьёзная, значит вы попали в базы как "платёжеспособная мишень". Это не страшилка. Статистика: больше половины компаний после шифрования без нормального расследования получают повторную атаку в течение 6–12 месяцев». Михаил Борисович слушает. «Сколько стоит нормальная защита?» — спрашивает он. Коля пожимает плечами. «Для компании вашего размера — копейки в месяц. Есть один сервис, который сканирует инфраструктуру и сигналит, когда находит дыры. Я с этими ребятами работаю — езжу к их клиентам, когда случается что-то серьёзное. Вот через них вы бы нашли меня не на четырнадцатый день. А на первый». Михаил Борисович вспоминает 7 миллионов. Потом вспоминает мастера с Авито, большую компанию с КП на 4,6 миллиона, Диму с его умным видом. «Всего этого можно было не допустить», — добавляет Коля. — «Та дыра в VPN светилась бы как маяк при любом нормальном сканировании. Три месяца назад. До того, как хакеры её нашли». Михаил Борисович молча кивает. Дима в углу делает вид, что смотрит в ноутбук. На экране у Димы открыт hh.ru. Антон тоже в углу. У него в блокноте теперь две колонки: «вернулись» и «ушли». В колонке «ушли» — девять строк. Среди них «Премиумбетон» с его 12 миллионами в год. Антон считает. Даже если все из «вернулись» восстановят заказы — дыра в плане продаж на этот квартал уже не закрывается. На годовой план Антон смотреть не стал. ━━━━━━━━━━ Счётчик потерь. Итог. День 16: — Простой (14 дней до запуска): ~7 000 000 ₽ упущенной выручки — Потрачено на «лечение»: 405 000 ₽ — Клиентов, ушедших к конкурентам: 9 (из них 1 партнёр на 12 млн/год) — Данные восстановлены: нет (4 месяца — в никуда) — Виновные найдены: технически да, юридически — удачи — Дима: продолжает работать. Ему подняли зарплату «за кризисное управление». — Итого прямых потерь: ~7 400 000 ₽ — Итого потерь с учётом ушедших клиентов: считайте сами Для справки: нормальная защита стоила бы ~50 000 ₽/мес. Это 148 месяцев защиты. Или 12 лет. ━━━━━━━━━━ Серия 8 — в четверг. Эпилог: что было бы, если Коля не нашёлся. 1 Серия 2 Серия 3 Серия 4 Серия 5 Серия 6 Серия

ФИНАЛ истории Но предпоследняя серия

Мы уже давно пишем, что "школьник с нейронкой" - стало новым кусочком модели угроз. ИИ ускоряет и удешевляет атаки, включая процессы создания вредоносного ПО. ИИ-решения работаю и на щит, и на меч. Они усиливают ИБ, но и снижают порог входа для злоумышленников. Сейчас активно хайпует и Claude Mythos, говорят он уже находит уязвимости как багхантер, но хотелось бы его более публичного теста. А что в России? Зрелая часть российского бизнеса старается действовать на опережение Кто например? Т-Банк! Они первые в России собрали атакующий искусственный интеллект нацелили на собственную инфраструктуру. Называется этот ИИ Nulla — это их внутренняя разработка. Работает по принципу группы интеллектуальных агентов. Они рассказали на ЦИПР, что агенты адаптируются к механизмам защиты на лету,к тому же находит нарушения логики доступа и выстраивает сложные цепочки взаимодействия между сервисами. ИИшный BAS - имитация действий квалифицированного злоумышленника. А что это дало? Скорость проверки одного сервиса сократилась с 2-3 дней ручного труда до 45 минут работы агента. Всего в рамках пилота они прогнали через стресс-тест около 1300 платформ — от Т-Бизнеса до Т-Авто. Т-Банк ожидает, что Nulla сэкономит им около 100 млн рублей до конца года. Это оценка по сэкономленым выплатам по Bugbounty. Вывод? Если уже хоть как-то работают атакующие ИИ-модели, пора защищаться зеркально, а не старыми инструментами. Посмотрим, куда Т-Банк пойдет дальше! Полностью автоматизированный ИИ-SOC?

В мире ИБ тонна новостей, но где экспертиза? Собрали майский топ Telegram-каналов: от DDoS-разборов до compliance по 152-ФЗ. Владельцы — подкастеры, консультанты с реальным опытом. Твоя ИБ-папка Экономь время: одна ссылка — и ты в теме. 👋👋👉 ➡️ [Майский ТОП-ИБ каналов]

ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 6: ЧТО ДИМА СЛОМАЛ, ПОКА ЧИНИЛ Серия 6 из 8. Дима не виноват. Почти. Он сделал то, что умел. Проблема в том, что когда происходит взлом, первое, что нужно сделать — это ничего не трогать. Зафиксировать. Сохранить следы. Дима сделал противоположное. Перезагрузил серверы — стёр данные из оперативной памяти, где мог сидеть вирус в активном состоянии. Запустил антивирус — тот «вылечил» заражённые файлы, уничтожив улики. Проверил диски — перезаписал часть секторов, где были артефакты атаки. Удалил «подозрительные файлы» — некоторые из них были следами атакующих, по которым можно было восстановить хронологию. Дима пытался помочь. И сделал расследование в 10 раз сложнее. Коля смог установить: взлом произошёл через старый VPN-сервер (не обновлялся 2 года), атака шла 18 дней до того как активировался шифровальщик (они сидели внутри и изучали сеть), точку входа — нашёл. Хронологию после первого часа — не восстановить, Дима постарался. Данные потеряны безвозвратно. 4 месяца истории продаж, часть клиентской базы, архив документов. ━━━━━━━━━━ Итого на день 14: — Простой: ~7 миллионов упущенной выручки — Потеряно данных: 4 месяца — Потрачено на «лечение»: 405 000 рублей — Найдена точка входа: да — Данные восстановлены: нет И ещё одна новость. ━━━━━━━━━━ Продолжение во вторник — финал. 1 Серия 2 Серия 3 Серия 4 Серия 5 Серия

Вчера вышла и шестая серия, мы на финишной прямой!