­­­­

(13 июня 2022 г.) 

Microsoft прекратит поддержку большинства версий Internet Explorer (IE) со среды, 15 июня. Браузер был выпущен в августе 1995 года. Настольное приложение IE будет отключено. Пользователям рекомендуется перейти на Microsoft Edge с режимом IE, который будет поддерживаться как минимум до 2029 года. 

 Примечание 

 Доля рынка IE ниже 1%, так что это не большая проблема. Приложения для конкретных браузеров к настоящему времени должны быть аномалиями — с точки зрения безопасности, браузеры на базе Chrome составляют большую долю рынка, на которой необходимо сосредоточить внимание при управлении уязвимостями, но Safari, Firefox и Edge останутся в этой смеси.При необходимости используйте Edge с режимом IE. Предложите тщательное тестирование без режима IE, чтобы определить, насколько вы полагаетесь на обратную совместимость и, возможно, устраните блокировку браузера. 

(12, 17 и 19 мая 2022 г.) 

 Исследователи разработали способ воспользоваться тем фактом, что iPhone никогда не выключается полностью, даже когда он выключен. Технологии iPhone Bluetooth, Near Field Communication (NFC) и Ultra-wideband (UWB) остаются включенными, когда устройства выключены, что позволяет использовать функцию «Найти», кредитные карты и ключи. В недавно опубликованной статье исследователи из немецкого Технического университета Дармштадта «продемонстрировали возможность загрузки вредоносного ПО в чип Bluetooth, который выполняется, когда iPhone выключен». 

Примечание 

 Обратите внимание, что это проблема только в том случае, если злоумышленник может загрузить вредоносное ПО в систему Bluetooth. Но это иллюстрирует важный момент: состояние современных систем не всегда очевидно. Подобные проблемы возникли много лет назад с интерфейсами IPMI на серверах, которые включены и прослушиваются, даже если кажется, что сервер выключен. Более серьезная проблема может заключаться в том, что телефоны могут быть обнаружены даже в выключенном состоянии. С одной стороны, это полезная функция, если вы когда-нибудь потеряете свой телефон, но, похоже, у пользователя нет точного контроля над включением или отключением этой функции. 

Это не просто использовать, но это хорошая идея, чтобы проверить текущие и планируемые медицинские, офисные и торговые среды на предмет планов для любого типа технологии Bluetooth / NFC / UWB, где сканирование телефонов происходит в общественных местах.В iOS 15 появилась возможность разрешить работу функций «Локатор», а также экспресс-карт и ключей на выключенном устройстве. До iOS у вас был вариант режима низкого энергопотребления для экономии заряда батареи, это отдельный режим, который активен, даже если вы выключили устройство или батарея разряжена. Поскольку чипы все еще работают, существует возможность, что они будут выполнять и другой код. Чтобы настроить это, вам нужно устройство, которое уже полностью скомпрометировано/взломано. 

(17 мая 2022 г.) 

ФБР вместе с Министерством финансов США и Государственным департаментом выпустили консультативное предупреждение о том, что северокорейские шпионы используют поддельные документы, чтобы выдать себя за кандидатов на работу в сфере ИТ, не являющихся северокорейскими. В «рекомендации содержится подробная информация о том, как работают ИТ-специалисты КНДР; предупреждающие знаки для компаний, нанимающих внештатных разработчиков, а также для внештатных и платежных платформ для выявления ИТ-специалистов из КНДР; и общие меры по смягчению последствий для компаний, чтобы лучше защититься от непреднамеренного найма или облегчения работы ИТ-специалистов КНДР». 

Примечание 

Тот же совет, что и после каждой истории о том, что «привилегированный инсайдер стал плохим»: служба безопасности должна работать с ИТ и HR, чтобы убедиться, что все потенциальные сотрудники, которые будут занимать должности, требующие привилегированного доступа, потребуют более тщательной проверки, включая проверку рекомендаций.Эти работники нацелены на информацию об ОМУ, поэтому вы работаете в оборонной или связанной с обороной отрасли, внимательно прочитайте руководство, обращая внимание как на предпринятые действия, такие как поддельные документы и «заимствованные» удостоверения личности, так и на меры по смягчению последствий, включая проверку документации. предоставленные и подтверждающие документы о трудоустройстве. Удостоверьтесь, что ваша фирма по проверке перед приемом на работу знает об этих действиях при проверке новых сотрудников, не позволяйте начинать работу, пока проверки не будут завершены. Меры по снижению риска, связанные с утечкой данных и неправомерным доступом, следует рассматривать независимо от этих субъектов угрозы. 

(15 и 16 февраля 2022 г.) 

 Министерство обороны Украины, ее Вооруженные силы и два государственных банка стали мишенью распределенных атак типа «отказ в обслуживании» (DDoS). Эксперты по безопасности прокомментировали ситуацию. Сандра Джойс, исполнительный вице-президент Mandiant по глобальной разведке, пишет, что, хотя есть опасения, что связанные с этим киберинциденты могут распространиться за пределы Украины, организации «должны подготовиться, но не паниковать». Адам Мейерс, старший вице-президент CrowdStrike по разведке, сказал: «Хотя в настоящее время нет никаких свидетельств каких-либо нападений на западные организации, безусловно, существует вероятность побочного воздействия в результате подрывных или разрушительных атак, направленных против Украины — это может повлиять на компании, которые имеют присутствие в Украине, те, которые ведут бизнес с украинскими компаниями или имеют компонент цепочки поставок в Украине, такой как разработка кода/офшоринг». 

Примечание 

 Обычно для запуска DoS-атаки не требуется много времени, и они часто используются менее опытными злоумышленниками. В этом случае отчеты указывают на то, что в атаках использовались определенные уязвимости приложений. Их часто трудно избежать в веб-приложениях, где некоторые функции могут занимать больше ресурсов (например, сложные функции поиска).Чтобы защитить приложение, решения для защиты от DoS-атак должны предусматривать проверку на уровне приложения, и если вы знаете об определенных функциях, которые могут быть использованы для DoS-атак: настройте план, чтобы возможно отключить эти функции или потребовать дополнительной аутентификации (возможно, даже CAPTCHA) в случае высокая нагрузка.Хотя вы, возможно, не задумывались об этом в прошлом, кибератаки являются составной частью конфликта между странами. Независимо от того, поддерживает государство или нет, убедитесь, что у вас есть планы общения с сотрудниками, офисами или деловыми партнерами, которые могут быть изолированы такими действиями. Также убедитесь, что вы используете доступные средства защиты от DDOS, предлагаемые вашим интернет-провайдером или поставщиками облачных услуг. 

(11 февраля 2022 г.) 

 Британский суд приговорил бывшего ИТ-специалиста к 21 месяцу тюремного заключения за кибератаки на школу и ИТ-фирму. Адам Джорджсон работал в школе, но был уволен после того, как узнал о предыдущих судимостях за мошенничество. Он начал атаку на школу, когда работал в ИТ-фирме. После того, как он потерял работу в этой фирме, он начал атаку на ее сеть. 

Примечание 

 Хорошее напоминание для групп безопасности и ИТ-специалистов: проверка биографических данных должна быть регулярной частью при приеме на работу любого, кому будет предоставлен привилегированный доступ к системе. Тема не популярная, но критическая. Когда вы работаете с отделом кадров/наймом, убедитесь, что когда принимается решение об увольнении сотрудника, отключение всего внутреннего и удаленного доступа является частью процесса. 

Сотрудник ранее дважды был судим за мошенничество, раскрытие которого привело к его увольнению. Лучше заранее проверить биографические данные, даже если они могут замедлить процесс адаптации, чем иметь дело с недовольным сотрудником, у которого может быть привилегированный доступ. Для тех, кто уже проверяет данные, сколько из вас пересматривают их с некоторым интервалом? Я видел, как хорошие люди делают плохой выбор; Я видел, как работодатели помогают этому сотруднику сохранить работу и оправиться от этих решений.

Привилегированная внутренняя угроза является одной из самых сложных для обнаружения и реагирования. Я знаком лишь с несколькими организациями, в которых есть специальные программы и группы по борьбе с внутренними угрозами. Как обычно, рассмотрите свою модель угроз и уровень зрелости, не сосредотачиваясь только на одном типе угроз.

(8 и 9 февраля 2022 г.) 

 Ранее на этой неделе Vodafone Portugal подверглась кибератаке. Отключения повлияли на доступность сетей 4G и 5G, обмен SMS-сообщениями и услуги телевидения. Атака также затронула службы, которыми пользуются экстренные службы. Vodafone Portugal назвала инцидент «преднамеренной и злонамеренной атакой, направленной на причинение ущерба». 

Примечание 

 С развертыванием и переходом на 5G сети 3G и более ранние версии закрываются, выводятся из эксплуатации, а частоты перераспределяются. К счастью, Vodafone удалось повторно активировать свою сеть 3G и предоставить клиентам некоторое облегчение. Это предназначено для восстановления голосовых услуг, поскольку скорость передачи данных намного ниже. Клиенты, полагающиеся на сотовые данные, должны будут дождаться полного восстановления для достижения ожидаемых скоростей передачи данных. Следите за обновлениями статуса на сайте Vodaphone 

Агентство планировало потребовать от налогоплательщиков отправлять видеосканы своего лица в частную компанию, начиная с лета этого года.

Служба внутренних доходов отказалась от своего плана потребовать от миллионов американцев пройти проверку распознавания лиц через частную компанию для доступа к своим онлайн-счетам налогов после бурной критики со стороны защитников конфиденциальности и членов Конгресса.

В понедельник IRS заявила , что в ближайшие недели «откажется » от использования услуги сканирования лица, предлагаемой компанией ID.me , и разработает дополнительный процесс аутентификации, не связанный с распознаванием лиц. IRS заявила, что также продолжит работу с «межправительственными партнерами» над дополнительными методами аутентификации, но не указала точных сроков для изменения или не сообщила, что может повлечь за собой дополнительный процесс аутентификации.

Первоначально агентство заявило, что начиная с этого лета все налогоплательщики должны будут предоставить ID.me «видео-селфи», чтобы получить доступ к своим налоговым записям и другим услугам на веб-сайте IRS . Но законодатели и сторонники раскритиковали идею обязательного использования технологии по всей стране, заявив, что она несправедливо обременит американцев без смартфонов или компьютерных камер, сделает конфиденциальные данные уязвимыми для хакеров и подвергнет цветных людей системе, которая, как известно, работает менее точно на более темной коже . .

Сенатор Рон Уайден (штат Орегон), один из почти двух десятков членов Конгресса, которые призвали IRS остановить этот план, заявил в своем заявлении в понедельник: «Я ценю то, что администрация признает, что конфиденциальность и безопасность не являются взаимоисключающими. и никто не должен быть принужден к распознаванию лиц для доступа к важнейшим государственным услугам».Ранее в понедельник Уайден в письме призвал IRS отказаться от работы с ID.me , назвав «просто неприемлемым заставлять американцев проходить сканирование с использованием технологии распознавания лиц в качестве условия взаимодействия с правительством в Интернете». 

Правительство управляет отдельной службой входа в систему, Login.gov , руководители которой заявили The Washington Post на прошлой неделе, что они не будут использовать распознавание лиц, пока «тщательный анализ не даст нам уверенности в том, что мы можем делать это справедливо и без причинения вреда уязвимым». населения».

В настоящее время компания предлагает резервный вариант, который позволяет людям, не прошедшим проверку на распознавание лиц, подтвердить свою личность, показав официальные документы представителю компании во время видеозвонка в режиме реального времени. Но некоторые люди, которые прошли через этот процесс, сообщали о технических сбоях и многочасовом ожидании помощи, а глава компании сказал The Post , что у них менее 1000 агентов, обрабатывающих видеозвонки по всей стране. 

(2 и 3 февраля 2022 г.) 

 Воры использовали уязвимость в блокчейн-платформе Wormhole, чтобы украсть криптовалюту на сумму более 300 миллионов долларов. Wormhole позволяет пользователям передавать криптовалюту через блокчейны. Червоточина временно приостановила работу на время расследования инцидента. 

Примечание 

 Это захватывающая уязвимость, демонстрирующая, насколько сложно должным образом защитить кроссчейн-транзакции. Считается, что злоумышленники заметили загружаемое на GitHub исправление безопасности, которое еще не было развернуто в сети. Большинство децентрализованных архитектур будут страдать от этой проблемы, когда публикация исправления безопасности может привести к эксплуатации до того, как исправление будет развернуто в сети. Одно исправление, использовавшееся ранее, заключалось в публикации патчей с закрытым исходным кодом, хотя это идет вразрез с движением за открытый исходный код (и, вероятно, нарушает правила лицензирования). Это также подвергает дополнительный риск, поскольку код не может быть проверен. Подумайте, насколько сложно управлять уязвимостями в организации, где вы владеете всеми системами. Организации, опирающиеся на так называемые децентрализованные сети, должны будут спланировать, как они могут безопасно предоставлять обновления в сеть, которую они не контролируют, прежде чем эта технология сможет получить более широкое распространение. 

Примечание. 

Различные суммы убытков могут быть связаны с колебаниями цены Ethereum в разное время отчетности.Такие платформы страдают от тех же ошибок, что и стандартные веб-приложения, связанные с авторизацией и т.п. Основное отличие? На карту поставлены большие деньги, и риск потери намного выше, чем в традиционных финансовых условиях. Этот межсетевой мост обеспечивает взаимодействие, сохраняя при этом ценность блокчейнов Ether и Solana в соотношении один к одному. Это означает, что восстановление потерянных средств влияет на стоимость кроссчейн токенов. Другими словами, нет средств, нет ценности. Это одна из самых рискованных моделей обмена криптовалютой, которая может оказаться нежизнеспособной в долгосрочной перспективе. Будет интересно посмотреть, удастся ли обнаружить попытку отмывания украденной валюты. 

(28, 29 и 31 января 2022 г.) 

 ФБР рассматривало возможность использования шпионского ПО Pegasus от NSO Group. NSIO Group изначально разработала Pegasus, чтобы его нельзя было использовать против телефонов в США; В своем предложении ФБР NSIO Group предложила обходной путь, известный как Phantom, который позволил бы нацеливаться на телефоны в США. В конечном итоге ФБР решило не продвигать план. 

Примечание 

 Предположим, у спецслужб есть такие инструменты, как Pegasus и Phantom; примите меры, чтобы снизить риск, даже если вы не думаете, что стали мишенью. Это означает, что при поездках в опасные места за границей используйте мобильные телефоны с минимальным объемом данных, строгой аутентификацией, текущими ОС и приложениями и проверенными настройками безопасности. Не обновляйте устройства во время этих поездок и считайте их подозрительными по возвращении. Этот сценарий не подходит для BYOD.Не следует удивляться, что такие обсуждения имели место. Хотелось бы думать, что ФБР будет использовать такой инструмент только с ордерами, основанными на вероятной причине. Однако недавний опыт использования бортовых IMSI-ловушек вызывает некоторые сомнения. Даже «хорошие парни» подвержены искушению. «Обычные подозреваемые» должны учитывать ограничения безопасности, которые есть у всех технологий, но особенно у устройств связи общего назначения.  

(27 и 28 января 2022 г.) 

 Исследователи из Proofpoint обнаружили вредоносную гибридную облачную кампанию, нацеленную на руководителей высшего звена. Кампания включает захват учетных записей Office 365, вредоносные приложения OAuth и фишинговые атаки. 

Примечание 

 Пентестеры и красные команды: если ваша методология атаки еще не включает злоупотребление токеном OAuth, сейчас самое время для обновления. Учетные данные и фишинг MFA по-прежнему хороши, но не забудьте также измерить риск облачной идентификации/доступа ваших клиентов. 

Остерегайтесь неизвестных приложений, запрашивающих разрешения, в частности «Согласие от имени вашей организации». В этом случае злоумышленники манипулируют URL-адресом ответа таким образом, что нажатие кнопки «Отмена» просто перенаправляет обратно, сеансы должны быть закрыты, возможно, закрывая вызывающий клиент или браузер. Убедитесь, что ваш CASB, переписывание URL-адресов или другое решение для предотвращения атак включает правила для этой атаки.