Блог про кібер, біг та медитацію
Есе, рекомендації та думки на професійні теми: кібербезпека, аппсек та пентести.
Цієї суботи на OWASP Kyiv штовхатиму за моделювання загроз в Application Security та тестах на проникнення. Хто думає що пентести то форма мистецтва і що моделювання загроз то нудно, хай так і думає. Більш просунутих запрошую доєднатися та обговорити тему в усіх подробицях.
– Назва
Гейміфікація моделювання загроз for Fun and Profit
– Тези
У цій доповіді я розповім, як наша команда (BSG) моделює загрози під час проєктів тестування безпеки для досягнення повноти покриття обсягу робіт. Ми використовуємо гейміфікацію для вдосконалення цього процесу, і я припускаю, що це набагато менш нудно, ніж ви очікуєте від сеансу моделювання загроз. Я поділюсь інструментами, якими ми користуємось, та загальним підходом до гри.
За версією Bloomberg, компанії Supermicro та Lenovo були зламані китайськими кібершпигунами, які вбудували у вибіркові партії виробів цих компаній програмні та апаратні бекдори. За допомогою цих закладок, китайські спецслужби понад десятиліття шпигували за десятками державних та приватних установ у Сполучених Шатах. Під час цих операцій їм вдалося викрасти цінні розвіддані, отримати інформацію про будову мереж, а подекуди завантажити шкідливі програми в системи їхніх жертв.
Коли я вперше побачив цей матеріал, я подумав: “Bloomberg знову взявся за своє. Що вони там курять таке міцне, що їх так довго тримає?” Прочитавши цей матеріал вперше, я сказав про себе: “Хм… А чого ж вони раніше мовчали?” Після другого прочитання, я замислився: “І що ж це, вони весь час мали рацію, а ми з них глузували?”
Короткий переказ попередніх серій. Протягом останніх років Bloomberg кілька разів розміщував на своїх шпальтах сенсаційні заяви про те, що китайські спецслужби вбудовують бекдори в обладнання Supermicro та Lenovo. (Посилання на ці матеріали ви можете знайти в оригінальній статті на Bloomberg). Ці бекдори, або закладки, які дозволяють викрадати дані з комп’ютерів користувачів та навіть захоплювати над ними контроль, спочатку представлялися авторами як додаткові компоненти, мікрочипи на материнських платах, які деякі анонімні та не дуже експерти ніби то бачили на свої очі. Пізніше, бекдори перекочували у прошивку та BIOS, й історія з фантастичної стала науково-фантастичною. Але увесь цей час у якості доказів журналісти представляли або анонімних експертів, які мали стосунок до відповідних розслідувань, або неанонімних, які до розслідування жодного стосунку не мали.
Продовжити читання “Китайські бекдори в SuperMicro та Lenovo”В Даркнеті виставлено на продаж базу даних українців та стверджується, що це клієнти ПриватБанку – найбільшого банку в Україні. В мене є сумніви, щодо правдивості цієї інформації.
На одному з форумів з’явилося оголошення про продаж ніби то бази даних усіх клієнтів ПриватБанку на 40 млн записів, яка містить повне ім’я, дату та місце народження, дані паспорту та ІНН, сімейний стан, наявність авто, освіту, мобільний телефон та контакт у Вайбері. Ціна досить скромна, $3,400. Звісно, що ПриватБанк все спростовує.
Як і більшість українців, я не великий шанувальник ПриватБанку, але в цій історії, мені здається, є занадто багато фактів, що вказують на спробу продавця вкраденої бази даних ввести нас в оману. По-перше, компіляції баз даних, що вже витекли раніше, продаються зараз на кожному кроці, і це може бути ще один такий випадок. По-друге, ці дані цілком можна було скомпілювати з баз, які продає на форумі той самий персонаж, адже серед них є БД українських паспортів, транспортних засобів та інших пов’язаних даних.
Продовжити читання “Хтось продає базу даних українців і стверджує, що це усі клієнти ПриватБанку”Я складаю повноваження лідера OWASP Kyiv та продовжую діяльність в OWASP як член OWASP Chapter Committee.
Трохи персональних новин. Відсьогодні я формально припиняю бути лідером Київського відділення OWASP та передаю цю роль команді, яка блискуче зарекомендувала себе за останні роки. Як співзасновник, керуватиме чаптером Ігор Блюменталь, а я продовжуватиму підтримувати діяльність відділення за лаштунками.
Паралельно я докладатиму зусиль до розвитку руху за безпеку програмного забезпечення як член OWASP. Всі спеціалісти BSG відтепер є членами цієї організації, а наша компанія нещодавно стала корпоративним членом.
Також, як учасник OWASP Chapter Committee, я братиму участь в формуванні політики OWASP Foundation щодо регіональних відділень та допомагатиму волонтерам з усього світу створювати чаптери та здійснювати їхню діяльність. Тому якщо у вас є бажання приєднатися до нашої глобальної тусовки – ласкаво прошу, ми з колегами завжди раді допомогти.
Тим часом триває підготовка до першої події OWASP Kyiv цього року: відділення шукає доповідачів та партнерів. Особисто я цього разу долучуся як доповідач, але в організації участі не братиму. Якщо бажаєте доєднатися з доповіддю або воркшопом, подайте заявку на виступ. Якщо хочете стати партнером заходу – повідомте про це Ігорю.
Якщо ви поняття не маєте, про що був цей допис, подивіться це відео 🙂
Невідомі хакери здійснили кібератаку на водоочисну споруду та намагалися підвищити вміст хімічних речовин до небезпечного рівня.
Невідомі отримали доступ до комп’ютерних систем водоочисної споруди в місті Олдсмар, штат Флорида, і змінили рівень хімічних речовин до небезпечних параметрів. Системи водопостачання є елементами критичної інфраструктури й цей інцидент буде розслідувано дуже прискіпливо.
Атака відбулася у п’ятницю, 5 лютого. Зловмисники отримали доступ до комп’ютерної системи дистанційного керування операціями з очищення води. Первинний доступ було здійснено о 8 ранку. Другий сеанс доступу відбувся пізніше, близько 13:30, тривав довше, близько п’яти хвилин, і був виявлений оператором, який стежив за системою і побачив, як по екрану рухається курсор миші. (Тут яскравий флешбек у зиму 2015-го та кібератаку на Прикарпаттяобленерго).
Продовжити читання “Кібератака на критичну інфраструктуру в Сполучених Штатах”
