Тестирование на проникновение.

В 2019 году эксперты Positive Technologies провели десятки тестирований на проникновение («пентестов») корпоративных информационных систем организаций из разных отраслей . Для данного исследования были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Различие в выборках для двух типов работ объясняется тем, что каждая компания могла проводить отдельно внешний или внутренний пентест либо и тот, и другой в комплексе.

Основной целью пентестера при проведении внешнего тестирования было проникновение из интернета в локальную корпоративную сеть организации, а при внутреннем — получение максимально возможных привилегий в корпоративной инфраструктуре (компрометация контроллеров доменов, получение привилегий администраторов доменов или леса доменов 2). В отдельных пентестах руководство организации ставило задачу продемонстрировать возможность получения контроля над критически важными системами (например, системами управления банкоматами, SWIFT, АРМ КБР, рабочими станциями топ-менеджеров).

Ключевые результаты
• Внешний злоумышленник может проникнуть из интернета в локальную сеть семи из восьми протестированных компаний. Общий уровень защищенности сетевого периметра шести финансовых организаций был оценен как крайне низкий (6 — крайне низкий, 1 — низкий; 1 — выше среднего).
• Для проникновения во внутреннюю сеть банка в среднем требуется пять дней.
• Во всех 10 организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре.Причем в семи проектах полный контроль был получен в результате продолжения успешной внешней атаки из интернета. В трех проектах стояла дополнительная цель — продемонстрировать возможность хищения денежных средств банка потенциальным злоумышленником, и во всех трех проектах удалось продемонстрировать такую возможность.
• Для получения полного контроля над инфраструктурой банка внутреннему злоумышленнику потребуется в среднем два дня.
• Общий уровень защищенности корпоративной инфраструктуры большинства финансовых организаций от внутренних атак оценивается как крайне низкий (8 — крайне низкий, 2 — низкий).
• В рамках трех внешних пентестов и в двух внутренних были выявлены и успешно применены шесть уязвимостей нулевого дня в известном ПО.
Подробнее тут.

Отчёт Malwarebytes о кибератаках, выход PyTorch3D, запуск сервиса GeForce Now и другие новости ИТ за февраль

• HackerOne провела четвёртое ежегодное исследование хакерской экосистемы. В отчёте говорится, что за 2019 год по баг-баунти программам белые хакеры получили $40 млн — почти столько же, сколько за все предыдущие годы в сумме.
• Google открыла доступ к первой превью-версии Android 11 для разработчиков. Среди нововведений отмечают улучшенную поддержку 5G и «водопадных» дисплеев, а в шторке уведомлений появится новый раздел для переписок.
• Google выпустила новую стабильную версию IDE Android Studio 3.6. Релиз содержит улучшения, которые делают более удобным процесс редактирования и отладки кода.
• Опубликован отчёт HackerRank Developer Skills Report. Самым распространённым языком по-прежнему остаётся JavaScript, за ним следуют Java, C, Python и С++. В рейтинге фреймворков произошли перестановки, но тройка лидеров не изменилась: AngularJS, React и Spring.
• Microsoft выпустит мобильные версии антивируса Defender для Android и iOS. Мобильный Defender не даст пользователям открыть потенциально небезопасные ресурсы, а также будет предотвращать фишинговые атаки и проникновение вредоносов на их устройства.
• В среде разработки Xcode от Apple с версией 11.4 beta появилась поддержка «универсальных покупок» приложений для macOS и других платформ. То есть Apple позволит разработчикам продавать приложения для macOS и iOS в одном наборе.
• Пользователи Reddit заметили новую заявку Google в Бюро по патентам и товарным знакам США на регистрацию торговой марки Pigweed. Судя по описанию, она предназначена для операционной системы компании.
• Nvidia анонсировала запуск игрового сервиса GeForce Now. Пользователям будут доступны игры, приобретённые на сторонних платформах, в том числе через аккаунты Steam, Epic и Battle.net.
• В Южной Корее благодаря технологии виртуальной реальности мать смогла «увидеться» со своей умершей семилетней дочерью. Парк, где состоялась «встреча», был воссоздан на основе места, где семья часто проводила время.
• Telegram опубликовал на сайте своей блокчейн-платформы инструкцию по созданию сайтов в децентрализованной сети TON. Технически они будут похожи на обычные сайты, но доступ к ним будет осуществляться через сеть TON.
• YouTube, Twitter и другие компании потребовали от Clearview AI перестать собирать изображения пользователей для распознавания лиц. Стартап продавал доступ к базе с 3 млрд фотографий полиции и спецслужбам.
• По данным ежегодного отчёта Malwarebytes о ситуации в области кибератак, количество обнаруженных угроз на macOS растёт быстрее, чем на Windows. Количество угроз для Mac за год увеличилось на 400% в сравнении с 2018 годом.
• Facebook опубликовала библиотеку PyTorch3D для обучения нейросетей на 3D-данных. По словам разработчиков, библиотека может применяться, например, для улучшения навигации роботов в пространстве, распознавания объектов самоуправляемыми авто или же для повышения реалистичности VR и качества обработки 2D-изображений.
• Microsoft выпустила первую версию Windows 10X для двойных экранов. В системе будет поддержка классических приложений и разные варианты работы с контентом, а обновляться она должна быстрее, чем настольная версия.
• Подразделение Microsoft AI & Research представило крупнейшую в мире модель синтеза речи на основе нейронной архитектуры Transformer. Она содержит 17 млрд параметров.
#новости revolt

​​Горящие билеты — мошенники пытаются нажиться на Burning Man

Каждый год в конце августа или начале сентября десятки тысяч людей собираются в пустыне Блэк-Рок в американском штате Невада на арт-фестиваль Burning Man. На восемь дней это место становится центром притяжения творческих людей со всего мира. Монументальные инсталляции, поражающие воображение перфомансы и особая атмосфера фестиваля привлекают огромное количество посетителей.

​​Россия без Revolut

Британский Revolut — один из самых успешных (оценка — $5,5 млрд) и модных финтех-стартапов в мире. В 2015 году его основали выходец из России Николай Сторонский и украинец Влад Яценко. Из-за происхождения Сторонского Revolut в России особенно ждали. О планах стартапа вот-вот запуститься в России сам Сторонский рассказал еще в 2018 году. Теперь, как выяснил The Bell, эти планы заморожены на неопределенный срок. Почему Revolut так ждали?
#новости

Привет, это снова Дима!

Вот я и прошел курс по информационной безопасности от Pentestit. Хочу подвести итоги, как это было и поделиться своими впечатленями.

Это был интересный опыт, который безусловно дал мне новые знаний в области пентеста, проникновения. Мне понравился формат курса – большая часть была направлена на практические задания, но, не смотря на это, теории тоже было уделено достаточно внимания, а отдельные темы были детально рассмотрены на видеолекциях.

Я и ранее увлекался пентест лабораториями, а курс дал мне возможность углубиться в эту тему. Думаю, что именно задания такого типа способны прокачать скиллы в этой области. Спасибо Pentestit за интересные задания! :)

Pentestit проводит этот и иные, боллее продвинутые курсы регулярно, если заинтересовались, подробности можно узнать на их сайте.

Спасибо, что читали мой цикл статей про курс, надеюсь, что он оказался полезным. На связи!
#pentest

​​Троян Ginp: вам SMS от банка, подтвердите платеж

Мобильные банковские трояны, проникнув на телефон, как правило, пытаются получить доступ к SMS. Им это нужно для того, чтобы перехватывать одноразовые коды подтверждения операций, которые отправляют банки. Получив такой код, владельцы зловреда могут незаметно для жертвы что-нибудь оплатить или перевести деньги на свой счет. Многие мобильные трояны заодно используют SMS, чтобы заразить побольше устройств, рассылая ссылку на скачивание себя по всему списку контактов жертвы.
Некоторые вредоносные приложения пользуются правом на отправку SMS более креативно — например, устраивают массовую рассылку с оскорблениями. А зловред Ginp умеет создавать на телефоне жертвы входящие SMS, которых на самом деле вообще никто не посылал. И не только SMS! Но давайте начнем с начала.

Релиз Kuberflow 1.0, отмена Google I/O, выход рейтинга языков RedMonk и другие новости ИТ за неделю

• Google отменила ежегодную конференцию для разработчиков I/O из-за вспышки коронавируса Covid-19. Компания планирует рассказать участникам о продуктах без их личного присутствия.
• Alphabet показала систему для распознавания и отслеживания рыбы на фермах. Технология поможет фермерам оптимизировать работу и сократить потребление дикой рыбы, рассчитывают в компании.
• Corellium представила бета-версию проекта Project Sandcastle, благодаря которому можно установить Android на iPhone 7, 7 Plus и iPod Touch. Пока проект находится на ранней стадии и производители не знают, как он влияет на производительность или работу аккумулятора устройств.
• Google выпустила стабильную версию операционной системы Chrome OS 80. Сборка доступна для большинства актуальных моделей Chromebook.
• Опубликован релиз открытой ML-платформы Kubeflow 1.0. Она упрощает развёртывание, масштабирование и управление контейнеризованными приложениями в среде Kubernetes.
• RedMonk опубликовала свежий рейтинг языков программирования. Самым популярным остаётся JavaScript, второе место поделили Java и Python. Источниками данных служат GitHub (использование в разработке) и StackOverflow (количество обсуждений).
• Ватикан создал свод нравственных и этических принципов для разработчиков искусственного интеллекта и других современных технологий. Вместе с IBM и Microsoft он призывает разработчиков думать не только о технологиях, но и о том, что они должны нести благо для человечества и окружающего мира.
• Apache Software Foundation представила интегрированную среду разработки Apache NetBeans 11.3. Ожидаемая в версии 11.3 интеграция поддержки языков C/C++ из переданной компанией Oracle кодовой базы в очередной раз перенесена на следующий выпуск.
• Доступен релиз прослойки JPype 0.7.2, которая позволяет организовать полный доступ Python-приложений к библиотекам классов на Java. При помощи JPype из Python можно использовать специфичные для Java библиотеки, создавая гибридные приложения.
• Microsoft представила выпуск командной оболочки PowerShell 7.0, исходные тексты которой были открыты в 2016 году под лицензией MIT. Новый выпуск оболочки подготовлен для Windows, Linux и macOS.
• Google переводит ОС Fuchsia на стадию финального внутреннего тестирования на сотрудниках, не занимающихся разработкой. Fuchsia должна стать универсальной операционной системой, способной работать на любых типах устройств.
#новости revolt

Как силовики получают любые наши данные по одному запросу

На этой неделе в соцсетях разгорелся новый спор про персональные данные: сервис «Яндекс.Такси» по одному письму с указанием номера выдал полиции данные о поездках пользователя. Им оказался журналист Иван Голунов. Благодаря этой информации он в итоге и был задержан по сфабрикованному уголовному делу о наркотиках. Многих удивило, как просто компания рассталась с данными о своем пользователе, но для российских интернет-сервисов и соцсетей это нормальная практика. The Bell объясняет, как это работает.

Ошибочное понимание ИТ-безопасности: пароли

Поговорим о том, как придумывать и запоминать надежные пароли. Все знают, как важно пользоваться надежными паролями. Но все ли понимают, какие пароли можно называть по-настоящему надежными?
#пароль

​​Ворующая пароли малварь маскируется под карту распространения коронавируса

Аналитики компании Reason Cybersecurity предупредили, что одна из новых атак злоупотребляет стремлением пользователей получать оперативную информацию о коронавирусе. Данная кампания ориентирована на людей, которые ищут карты распространении COVID-19. Их обманом вынуждают загрузить и запустить вредоносное приложение, которое, на первый взгляд, действительно отображает карту, загруженную с легитимного сайта (мониторингом COVID-19 действительно занимается Университет Джона Хопкинса), однако на фоне в это время происходит компрометация системы.

Дело в том, что вредоносная карта, распространяющаяся под видом файла Corona-virus-Map.com.exe, содержит малварь AZORult, предназначенную для хищения информации. AZORult ворует данные из браузеров, в частности файлы cookie, историю посещений, идентификаторы пользователей, пароли и связанную с криптовалютами информацию.

В свою очередь издание ZDNet сообщает, что тему пандемии не обошли вниманием и правительственные хак-группы  из Китая (группы Mustang Panda и Vicious Panda), Северной Кореи (группировка Kimsuky) и России (группа Hades, связанная с APT28). Так, еще в феврале коронавирус стал фишинговой приманкой и теперь спам, содержащий вредоносные документы или ссылки, якобы посвященные COVID-19, используется для атак против Министерства здравоохранения Украины, южнокорейских чиновников и правительственных организаций Монголии.
Хакер, ZDNet, Reason Cybersecurity.

Выпуск ОС Bottlerocket, релиз новой версии Firefox, выход рейтинга языков TIOBE и другие новости ИТ за неделю

• Amazon Web Services анонсировала новую ОС Bottlerocket с открытым кодом для запуска контейнеров на виртуальных машинах и физических серверах. Она построена на базе Linux и пока выпущена только в виде превью-версии для разработчиков.
• Эксперты Reason Labs выяснили, что хакеры крадут пользовательские данные через приложения для отслеживания статистики о Covid-19. Злоумышленники создают сайты, предлагают скачать приложение, запускают через него вредоносные программы и таким образом получают доступ к данным.
• Вышла 74-я версия браузера Firefox. В ней отключена поддержка протоколов TLS 1.0 и TLS 1.1, реализован импорт профилей из Microsoft Edge и устранены 20 уязвимостей.
• Google представила TensorFlow Quantum — фреймворк машинного обучения для тренировки квантовых моделей. Он позволяет строить квантовые датасеты, гибридные и классические модели машинного обучения, обучать дискриминативные и генеративные квантовые модели и поддерживает эмуляторы квантовых схем.
• Опубликован мартовский рейтинг языков программирования TIOBE. В топ-10 ворвался Go, совершив большой скачок в восемь позиций. Четверка лидеров остается неизменной: Java, C, Python и C++.
•  Google выпустила шестую версию датасета для компьютерного зрения Open Images, в которую добавила новые виды маркировки. Например, появилась мультимодальная разметка, в которой синхронизированы текст аннотации, начитка и движения указателя мыши по описываемым предметам.
• Поисковик DuckDuckGo опубликовал список веб-трекеров Tracker Radar: датасет содержит наименования 5326 доменов, через которые 1727 компаний и организаций отслеживают активность пользователей в сети.
• Вышел релиз языка системного программирования Rust 1.42. Добавлена поддержка шаблонов для сопоставления частей срезов, появился новый макрос matches!, в разряд стабильных переведена новая порция API.
#новости revolt

Чем опасен шпион MonitorMinor

Использование шпионского ПО не только неэтично, но и небезопасно. Первый пункт едва ли требует дополнительных разъяснений. Что касается второго, то вот в чем проблема: шпионское ПО крадет с устройства и отправляет в сеть огромное количество конфиденциальных данных. При этом создатели приложений для слежки совершенно не заботятся о том, чтобы защитить эти данные.

Информация, украденная такой программой, неизвестно как хранится и неизвестно как передается на командный сервер. Как следствие, невозможно предугадать, сколько людей получит доступ к этим данным в результате работы «сталкера». Учитывая темпы развития функций приложений-шпионов, это может стать для жертвы даже большей проблемой, чем, к примеру, слежка за ее перемещениями, которая изначально интересовала злоумышленника.

Как IT-рынок справляется и помогает бороться с коронавирусом

На этой неделе ВОЗ признала коронавирус пандемией — и теперь уже кажется, что других новостей в мире, кроме разразившегося бедствия, не осталось. Как себя чувствует IT рынок?

Релиз Java SE 14, запуск приложения GitHub, вручение премии Free Software Awards 2019 и другие новости ИТ за неделю

• GitHub запустил мобильное приложение для iOS и Android. Приложение поможет разработчикам управлять проектами со смартфона — просматривать сообщения о багах, назначать задачи, но не редактировать код.
• Apple проведёт конференцию для разработчиков WWDC 2020 в онлайн-режиме из-за вспышки коронавируса. Мероприятие впервые пройдёт только в режиме трансляции.
• GitHub купила npm — один из крупнейших сервисов для разработки на JavaScript. В компании пообещали, что доступ к публичному реестру останется бесплатным.
• Google приостановила выпуск обновлений для Chrome и Chrome OS, чтобы избежать перебоев в работе во время карантина.
• Windows 10 преодолела рубеж в 1 млрд активных устройств. Это единственная операционная система, под управлением которой работает более 80 тысяч моделей ноутбуков и гибридных устройств от более чем 1000 производителей.
• Firefox отказывается от протокола FTP из соображений безопасности. Изменение будет включено в релиз Firefox 77, запланированный на июнь этого года.
• Google выпустила Android 11 Developer Preview 2. Это вторая бета-версия ОС, сейчас она находится на раннем этапе тестирования и отладки и доступна только для разработчиков.
• Oracle выпустила платформу Java SE 14. Сохранена обратная совместимость с прошлыми выпусками платформы Java. Расширена экспериментальная поддержка текстовых блоков, в сборщик мусора G1 добавлен новый механизм распределения памяти, добавлен API для организации непрерывного мониторинга.
• Фонд свободного ПО наградил лауреатов ежегодной премии Free Software Awards 2019 за значительный вклад в развитие свободного ПО и социально значимые свободные проекты. Церемония награждения проходила в онлайне.
#новости revolt

Коронавирус как приманка

Рассказываем, как ажиотаж вокруг коронавируса используется мошенниками для атак на компании с целью установить вредоносное ПО.

Здравствуйте. Это администрация канала IT&Безопасность и прокси-бота @FCK_RKN_bot.
Сразу к делу. Рубль стремительно дешевеет, а вся поддержка прокси оплачивается нами в валюте и делать это становится все сложнее. Если вам нравится канал и вы считаете, что пользователям нужны бесплатные прокси, чтобы комфортно пользоваться Telegram и обходить цензурные запреты, то, пожалуйста, не забывайте переходить по ссылкам в рекламных постах! Это важно для нас, так как все средства с продажи рекламы идут на поддержку прокси. Мы стараемся подбирать качественную и полезную рекламу по тематике, не засоряя лишним спамом.
А лучше всего, если вы перейдете в бот @FCK_RKN_bot и купите приватные прокси за 50р/мес. Это как Patreon, но еще полезно для вас. Приватные прокси стабильнее, быстрее и без рекламного канала.

Спасибо за то, что читаете нас и пользуетесь ботом.✨

P.S. Скоро представим новый продукт в боте, следите за новостями!

Как россияне отмывают репутацию в интернете

Говорят, в России нет института репутации. В каком-то смысле это правда. И все же многие озабочены ее чистотой — особенно в интернете. Зачистить выдачу поисковиков, удалить компрометирующие сведения из СМИ или «Википедии», забить негатив позитивом — все это теоретически возможно. Как все работает на практике?

День рождения Apache, руководство по работе на удалёнке от GitLab, COVID-19 Hackathon и другие новости ИТ за неделю

• Unity открыла доступ к премиумным курсам для геймдевелоперов. Воспользоваться предложением можно будет до 20 июня.
• Microsoft перестанет выпускать необязательные обновления Windows с мая 2020 года. Традиционно каждый второй вторник месяца продолжат выходить только обновления безопасности.
• Компания GitLab выпустила руководство по работе на удалёнке. В 34-страничном гайде есть вся необходимая информация для сотрудников и руководителей. В GitLab удалённо работает вся команда — это 1200 сотрудников в 67 странах.
• ВОЗ вместе с рядом ИТ-компаний организуют COVID-19 Global Hackathon. Цель соревнования — стимулировать разработку софта для борьбы с пандемией коронавируса и сопутствующими проблемами. В числе организаторов хакатона Facebook, Microsoft, Twitter, WeChat, TikTok, Pinterest, Slack и Giphy.
• Google создала информационный сайт и хаб в поисковике по коронавирусу. При поиске ключевых слов в верхней части поисковика мобильной и десктопной версии будет отображаться хаб с достоверными данными от ВОЗ и местных организаций здравоохранения.
• Фонд Apache отмечает 21-ый день рождения. Сегодня в рамках фонда развиваются более 350 проектов из разных сфер деятельности: машинное обучение, обработка больших объёмов данных, управление сборкой, облачные системы и другие.
• Mozilla тестирует новый сервис Firefox Better Web with Scroll, который предлагает альтернативные способы финансирования сайтов. Пока тестирование доступно только для пользователей десктопных версий Firefox из США.
• GitHub по ошибке заблокировал доступ к репозиториям фреймворка Aurelia, о чём сообщил создатель фреймворка Роб Айзенберг. Причиной блокировки стали торговые санкции США.
• «Яндекс» вложит $40 млн в библиотеку приложений для работы с ИИ для российских компаний. В частности компания купит оборудование для увеличения вычислительных возможностей платформы и расширит команду разработчиков.
#новости revolt

Чем и как обрабатывать смартфон от коронавируса?

Нынешняя эпидемия коронавируса COVID-19, кажется, уже приучила человечество тщательно мыть руки после посещения общественных мест и меньше трогать руками лицо. Однако далеко не все пока усвоили другой полезный навык — дезинфицировать свои гаджеты, в частности гаджет, который мы берем в руки по сотне раз за день и часто прикладываем к лицу, — смартфон. Рассказываем, почему это важно и как это делать правильно.

Итого:
- Перед тем, как протирать смартфон, изучите состав средства, которое вы собираетесь использовать.
- Старайтесь не использовать этиловый спирт или перекись водорода — они могут повредить олеофобное покрытие экрана.
- Лучше всего для протирания смартфона подходит изопропиловый спирт.
- Оптимальная концентрация — 70-80 %.
- Протирать смартфон рекомендуется каждый раз, когда вы возвращаетесь с улицы.

P.S. Не забывайте про переходы по ссылкам в следующем посте😉

Сноуден: пандемия закончится, а слежка за населением останется

Правительства во всём мире используют высокотехнологичные меры для наблюдения за населением в борьбе со вспышкой коронавируса. Приватность граждан приносится в жертву, лишь бы замедлить заражение. Стоит ли оно того?