Новости кибербезопасности

Пароль «рыба-меч». Выбираем облачный менеджер паролей

Введение: В современном мире, где сложные и уникальные пароли стали необходимостью, управление паролями может стать настоящей проблемой. Использование одного пароля для всех сервисов увеличивает риск компрометации, а попытки запомнить множество разных паролей часто приводят к их утрате или неправильному хранению. Менеджеры паролей помогают решить эту задачу, обеспечивая надежное хранение данных. В этой статье мы рассмотрим, почему важно правильно выбрать менеджер паролей, какие варианты существуют и какие риски необходимо учитывать. Почему важно использовать менеджер паролей? Менеджеры паролей — это инструменты, которые обеспечивают безопасное хранение и управление паролями. Они позволяют: Генерировать сложные и уникальные пароли для каждого сервиса. Хранить пароли в зашифрованном формате. Получать доступ к паролям из любого устройства. Защищать не только пароли, но и другие данные (например, SSH-ключи, API-токены). Использование менеджеров паролей помогает снизить риск утечек данных и повысить безопасность ваших учетных записей. Опасности традиционного хранения паролей Многие пользователи по-прежнему полагаются на небезопасные методы хранения паролей: Бумажки, блокноты и стикеры. Они могут потеряться, быть испорчены или попасть в руки злоумышленников. Файлы на устройствах. Пароли в текстовых файлах уязвимы для кибератак, отсутствия шифрования или утраты устройства. Браузерные хранилища паролей. Хотя встроенные менеджеры паролей удобны, они имеют низкий уровень защиты. Например, злоумышленник может получить доступ к паролям, используя вредоносные программы или эксплойты. Почему браузерные менеджеры паролей не подходят для бизнеса? Браузерные хранилища паролей (например, встроенные решения Chrome, Firefox или Safari) выглядят удобными, но обладают рядом недостатков: Низкий уровень шифрования. Данные могут быть извлечены злоумышленниками с помощью скриптов или вредоносного ПО. Ограниченная функциональность. Браузеры не позволяют хранить сложные данные, такие как сертификаты или токены. Зависимость от экосистемы. Пароли, сохраненные в одном браузере, недоступны в другом. Эти недостатки делают браузерные хранилища непригодными для использования в бизнесе, где необходим высокий уровень защиты данных. Выбор облачного менеджера паролей для бизнеса При выборе менеджера паролей важно учитывать следующие факторы: Уровень шифрования Выбирайте решения, использующие передовые методы шифрования, такие как AES-256, чтобы обеспечить максимальную защиту данных. Доступ с разных устройств Современные менеджеры паролей, такие как LastPass, Dashlane или 1Password, предоставляют доступ к данным с компьютеров, смартфонов и планшетов. Функции для бизнеса Бизнес-решения должны поддерживать совместное использование данных, разделение доступа и мониторинг активности. Безопасность синхронизации Облачные менеджеры паролей должны шифровать данные не только локально, но и во время передачи между устройствами. Рекомендации по использованию менеджеров паролей Чтобы повысить уровень безопасности данных, следуйте этим рекомендациям: Используйте двухфакторную аутентификацию (2FA) для доступа к менеджеру паролей. Создайте уникальный мастер-пароль. Это единственный пароль, который вы должны запомнить. Регулярно обновляйте пароли для критически важных сервисов. Избегайте хранения паролей в браузерах или незашифрованных файлах. Заключение Использование менеджера паролей — это обязательный шаг для обеспечения кибербезопасности как для физических лиц, так и для компаний. Выбор правильного решения поможет защитить данные, минимизировать риск утечек и обеспечить удобное управление учетными записями.

Kerberoasting для FreeIPA. Как я искал доступ к домену, а нашел CVE

Введение: Kerberoasting и FreeIPA: Исследование уязвимостей в управлении доступом Введение Современные системы управления доступом, такие как FreeIPA, считаются надежными решениями для централизованного управления идентификацией и правами пользователей. Однако даже в таких системах могут скрываться неожиданные уязвимости. В рамках исследования мы обнаружили, что Kerberoasting, популярный метод атак на домены Active Directory, можно адаптировать для использования в FreeIPA. Наши находки позволили не только глубже понять архитектуру этой системы, но и выявить новую уязвимость, потенциально опасную для организаций. Что такое FreeIPA? FreeIPA — это мощная платформа для управления идентификацией и доступом, часто используемая в корпоративных Linux-средах. Она объединяет возможности Kerberos, LDAP, DNS и сертификатов в одном решении, предлагая аналог Active Directory для Linux. Однако именно в этих комплексных интеграциях могут скрываться слабые места. Обнаружение уязвимости в FreeIPA Во время тестирования системы безопасности (пентеста) я получил учетную запись домена FreeIPA с ограниченными правами. Сначала казалось, что эта учетная запись бесполезна для атак. Однако, используя утилиту kvno, мне удалось запросить тикеты TGS (Ticket Granting Service) для любого пользователя в домене, даже если традиционные инструменты, такие как Impacket, не срабатывали. Попытки использовать Kerberoasting для подбора пароля через Hashcat оказались безуспешными. Это связано с уникальной солью, используемой FreeIPA, которая делает сложным восстановление ключей. Тем не менее, возможность запрашивать TGS для любого пользователя подтолкнула к дальнейшему исследованию. Технические особенности FreeIPA и Kerberos FreeIPA использует MIT Kerberos, интегрированный с 389 Directory Server. Я выяснил, что при смене пароля пользователя изменяется его AES-ключ. Однако, в отличие от Active Directory, соль для генерации ключей в FreeIPA выбирается произвольно. Эту соль можно обнаружить при использовании утилиты kinit с активной переменной KRB5_TRACE. Кроме того, FreeIPA поддерживает исключительно алгоритм AES256, что усложняет дешифровку данных, но оставляет систему уязвимой к атакам на уровне билетов TGS. Практическое применение находки Возможность запрашивать TGS для любых пользователей открывает путь для анализа и последующего улучшения безопасности FreeIPA. Наше исследование подчеркивает важность проверки корпоративных систем на уязвимости и необходимости внедрения дополнительных методов защиты. Ключевые рекомендации для защиты Мониторинг доменной активности: Регулярное отслеживание аномальной активности, связанной с запросами TGS. Обновление систем: Использование последних версий FreeIPA с исправленными уязвимостями. Усиление паролей: Внедрение политики сложных паролей, чтобы снизить вероятность их подбора. Ограничение доступа к инструментам: Контроль над утилитами, такими как kvno, чтобы минимизировать возможности злоумышленников. Заключение FreeIPA — это мощное решение для управления доступом, однако его сложная интеграция с Kerberos оставляет место для уязвимостей. Наше исследование показало, что Kerberoasting может быть адаптирован для работы с этой системой. Это открытие важно для компаний, использующих FreeIPA, и подчеркивает необходимость регулярного тестирования инфраструктуры на предмет уязвимостей.

8 ноября 2024

Анатомия корпоративного фишинга. Учимся составлять фишинговые письма для тренировочных атак

Введение: Введение Фишинг – один из самых распространенных и опасных методов атак в мире кибербезопасности. Для организаций фишинговые письма представляют не только угрозу, но и возможность проверить осведомленность сотрудников и укрепить защиту компании. В этой статье мы разберем, как устроены корпоративные фишинговые атаки через электронную почту, и как создавать учебные письма для проверки готовности сотрудников. Эти методы помогут снизить риски киберинцидентов и повысить уровень безопасности. Материал будет полезен для пентестеров, специалистов по информационной безопасности и компаний, заинтересованных в улучшении своей киберзащиты. Что такое корпоративный фишинг? Корпоративный фишинг — это искусство создания правдоподобных писем, которые имитируют сообщения от официальных лиц или организаций с целью обманом заставить сотрудника раскрыть конфиденциальную информацию или выполнить действия в интересах злоумышленника. В условиях киберугроз учебные фишинговые рассылки становятся важным инструментом для: Обучения сотрудников: Привитие навыков распознавания угроз. Оценки рисков: Выявление наиболее уязвимых сотрудников или отделов. Тестирования безопасности: Проверка эффективности защитных механизмов, таких как фильтры спама и политики безопасности. Основные виды фишинга Фишинг может классифицироваться по различным признакам: По каналам связи: email-фишинг, смс-фишинг (смшинг), телефонные атаки (вишинг). По целям атаки: кража учетных данных, доступа к конфиденциальной информации, финансовые махинации. По масштабу: Массовые атаки: Одинаковые письма отправляются большому количеству людей. Таргетированные атаки (spear-phishing): Сообщения персонализированы под конкретного сотрудника или отдел. Смешанные атаки: Персонализация используется в ограниченном объеме, чтобы создать видимость достоверности. Наиболее популярным каналом доставки вредоносной нагрузки остается email-фишинг, который используется в 92% случаев атак. Как создавать эффективные фишинговые письма? 1. Тема письма Тема письма – ключевой элемент, от которого зависит, откроет ли сотрудник письмо. Для повышения вероятности взаимодействия важно: Использовать Re: или Fwd:, чтобы создать иллюзию продолжения диалога, например: «Re: Регламент». Упоминать название организации, чтобы вызвать доверие: «АО „Ромашка“». Персонализировать сообщение с использованием ФИО: «Адресат: Иванов А. И.». Акцентировать внимание на эмоционально заряженных темах: «Новогодние премии», «Подарки на корпоративе». Создавать «комбо»: «Fwd: Список на увольнение АО „Ромашка“. Адресат – Иванов А. И.». Совет: Избегайте использования смайликов и излишней эмоциональности, так как это не характерно для корпоративной переписки. 2. Контекст сообщения Контекст – это повод, по которому отправляется письмо. Чем он реалистичнее, тем выше вероятность успеха атаки. Вот несколько популярных сценариев: События: Предстоящие корпоративные собрания, изменения в графике работы, важные объявления. Запросы: Заполнение анкет, согласование договоров. Чрезвычайные ситуации: Сообщения о взломе учетной записи или утечке данных. Пример: «Уважаемый сотрудник! Обнаружена утечка данных корпоративной сети. Срочно смените пароль по ссылке ниже.» 3. Подпись и оформление Подписи в письмах зависят от стиля, принятого в организации. Например: Для внешней переписки добавьте логотип компании. Внутренние письма имитируйте в стиле, характерном для компании, например: «С уважением, IT-отдел». Используйте элементы фирменного стиля (цвета, шрифты). Совет для специалистов по безопасности: Для проверки сотрудников можно использовать письма с нестандартным оформлением, чтобы выявить потенциальные риски. Примеры фишинговых атак 1. Атаки на основе событий Сценарии, связанные с реальными событиями, повышают вероятность кликов по ссылкам. Примеры: «График работы в праздничные дни». «Скачать приложение для отслеживания заболевших в вашем регионе». «Срочно обновите программу для удаленной работы по ссылке ниже». 2. Сообщения о взломе Сообщения, которые пугают получателей и побуждают их к немедленным действиям: «Уважаемый сотрудник! Обнаружена попытка входа в вашу учетную запись из Швеции. Если это были не вы, смените пароль по ссылке.» 3. Фишинг от имени регуляторов или партнеров Сотрудники часто открывают письма, которые якобы отправлены от имени партнеров или регуляторов. Пример: «На основании новых требований СРО необходимо срочно предоставить копии договоров. Скачайте образец по ссылке.» Усиление воздействия Для повышения эффективности фишинговых писем используются психологические приемы: Эмоции: Страх, радость, сочувствие. Давление: Угрозы, срочность, ссылки на авторитет. Желания: Бесплатные бонусы, скидки, надбавки. Пример: «Коллеги, чтобы получить премию за декабрь, заполните форму по ссылке ниже до конца дня.» Заключение Фишинговые письма – это эффективный инструмент не только для злоумышленников, но и для специалистов по кибербезопасности. Учебные фишинговые атаки позволяют выявить слабые места в организации, повысить осведомленность сотрудников и усилить защиту. Грамотное составление таких писем требует знания психологии, корпоративной культуры и технологий. Используйте эти рекомендации, чтобы минимизировать риски и улучшить киберзащиту компании.

Борьба со сливами. Дмитрий Борощук о профилактике утечек данных

Введение: Как предотвратить утечки данных: Практические советы и стратегии Утечки данных – это серьезная угроза, с которой сталкиваются как крупные корпорации, так и малые компании. Они приводят к финансовым потерям, разрушению репутации и юридическим проблемам. Восстановление после утечки занимает месяцы, поэтому предотвращение инцидентов должно стать приоритетом. В этой статье мы рассмотрим лучшие практики и методы предотвращения утечек данных, от технических решений до управления рисками. Почему предотвращение утечек важно? Ни одна организация не застрахована от утечек данных, будь то кража клиентских баз, персональной информации или внутренних документов. Однако, используя проверенные временем методы, можно не только снизить вероятность утечек, но и минимизировать их последствия. Ключевые стратегии предотвращения утечек данных 1. Организация защищенной инфраструктуры Создание локального облака – первый шаг к предотвращению утечек. Это позволяет компании управлять доступом к данным, обеспечивая совместную работу сотрудников без рисков. Решения, такие как OwnCloud и NextCloud, позволяют настроить self-hosted сервер с доступом через браузер. Эти инструменты идеальны для малого и среднего бизнеса, так как они бесплатны, обеспечивают контроль за действиями сотрудников и дают возможность управлять файлами, вплоть до их скачивания на определенные устройства. 2. Отслеживание утечек данных Предотвращение утечек включает контроль за использованием данных. Одним из самых эффективных методов является маркировка файлов: Водяные знаки: Делают документы уникальными, что упрощает идентификацию источника утечки. Стеганография: Использование инструментов, таких как OpenStego и OpenPuff, для внедрения скрытых меток в файлы. Эти методы позволяют отслеживать открытие, редактирование и передачу данных даже за пределами организации. 3. Использование deception-технологий Инструменты deception, такие как Xello или R-TDP, создают ложные точки доступа и ловушки для злоумышленников. Это помогает не только предотвратить утечку, но и идентифицировать источник атаки. Практические рекомендации для бизнеса Инвестируйте в защищенные облачные решения, которые позволяют контролировать работу с файлами. Внедряйте маркировку данных для повышения контроля. Тестируйте системы безопасности, используя deception-решения. Проводите регулярные тренировки сотрудников по кибербезопасности. Эти шаги помогут минимизировать риски утечек и сохранить репутацию вашей компании.

Братья Signal. Выбираем из пяти наиболее приватных и защищенных мессенджеров

Введение: В современном цифровом мире защита конфиденциальности становится одной из ключевых задач. Для тех, кто ценит приватность и хочет защитить свои данные от утечек и перехватов, важно выбирать мессенджеры, которые гарантируют высокий уровень безопасности и анонимности. В этой статье мы рассмотрим самые защищённые мессенджеры и их ключевые особенности. Что важно для защищённого мессенджера? Защита переписки должна быть стандартом, а не опцией. Поэтому ключевыми критериями выбора мессенджеров являются: Анонимность. Регистрация без необходимости предоставления личных данных. Шифрование. Использование сильных криптографических алгоритмов, таких как end-to-end шифрование. Открытый исходный код. Возможность проведения независимого аудита безопасности. Децентрализация. Отсутствие зависимости от центральных серверов. Мессенджеры, соответствующие этим требованиям, обеспечивают защиту данных даже в случае компрометации серверов или внешних атак. Почему не Signal? Мессенджер Signal заслужил репутацию одного из самых защищённых благодаря сильному шифрованию, открытому коду и независимым аудитам. Однако у него есть недостатки: Требование номера телефона при регистрации, что снижает уровень анонимности. Централизованная инфраструктура. При сбоях в работе серверов использование мессенджера становится невозможным. Проблемы с утечкой номеров телефонов. Signal передаёт номера сторонним компаниям для обработки, что уже становилось причиной успешных атак. Эти минусы делают Signal неидеальным выбором для пользователей, которые хотят максимальной приватности. Альтернативы Signal: Лучшие мессенджеры для приватности Session Мессенджер Session работает поверх децентрализованной сети Oxen, обеспечивая высокий уровень анонимности. Особенности: Регистрация без номера телефона. Для восстановления аккаунта используется уникальная секретная фраза. Децентрализованная структура сети и минимизация передаваемых метаданных. Поддержка звонков, исчезающих сообщений, файлов и групповых чатов. Плюсы: Полная анонимность. Надёжное шифрование. Открытый исходный код и проведённый аудит. Минусы: Отсутствие Perfect Forward Secrecy (PFS). Медленная доставка сообщений. Редкие обновления и наличие багов. SimpleX Этот мессенджер выделяется инновационной архитектурой, отсутствием центральных серверов и гибкими настройками. Особенности: Полностью анонимная регистрация без ввода номера телефона. Федеративная структура сети с возможностью подключения собственных серверов. Широкий функционал: аудио- и видеозвонки, исчезающие сообщения, файловая передача. Плюсы: Максимальная гибкость и настройка под нужды пользователя. Поддержка собственных узлов и серверов для повышения приватности. Высокая степень безопасности благодаря современной криптографии. Минусы: Трудности в настройке для неподготовленных пользователей. Ограниченная распространённость, что может затруднить поиск контактов. Что выбрать? Выбор мессенджера зависит от ваших задач и уровня необходимой безопасности. Session подходит для пользователей, которым важна анонимность без компромиссов, а SimpleX станет отличным решением для технически подкованных пользователей, ценящих гибкость и контроль над своей перепиской. Заключение Приватность и защита данных — это не роскошь, а необходимость в современном мире. Использование защищённых мессенджеров помогает минимизировать риски утечек информации, защитить конфиденциальность переписки и обезопасить личные данные.

Как минимизировать риски утечки данных

Введение: Почему стоит предотвратить утечку данных. Расследование утечек данных – сложный и дорогостоящий процесс, включающий восстановление репутации, юридические споры и финансовые убытки...

Как минимизировать риски утечки данных