Архив за месяц: Февраль 2024

В WIRED вышла довольно занимательная статья о слежке за первым лицом России через рекламные идентификаторы смартфонов

В WIRED вышла довольно занимательная статья о слежке за первым лицом России через рекламные идентификаторы смартфонов

В WIRED вышла довольно занимательная статья о слежке за первым лицом России через рекламные идентификаторы смартфонов.

🔻 Каждому владельцу телефона iPhone или Android компания Apple или Google назначает «анонимный» рекламный идентификатор (AAID для Google, IDFA для Apple). Он используется для отслеживания реальных перемещений, поведения в Интернете, установки приложений и прочего. По этой информации можно таргетировать рекламу.
🔻 Идентификатор хоть и анонимный, но нужного человека (или группу людей) легко отследить на биржах цифровой рекламы, т.к. привычки, распорядок дня, изменение координат очень специфичны для каждого человека. Например, там где телефон проводит большую часть вечеров, там его владелец и живёт.
🔻 Американцы отслеживали телефоны, принадлежавшие "водителям, сотрудникам службы безопасности, политическим помощникам и другому вспомогательному персоналу" первого лица России и узнавали о его перемещениях. Так что даже если сам ничем не пользуешься - не поможет, т.к. будет демаскировать окружение.

В условиях доминирования западных мобильных экосистем сделать с этим что-то сложно. Но навскидку можно предложить следующее:

🔹 Исходить из того, что информация о перемещениях персонала отслеживается, намеренно формировать ложные следы.
🔹 Пересаживать сотрудников, которые могут светить руководство, на защищенные устройства, отслеживать которые сложнее.
🔹 Теми же методами самостоятельно отслеживать сотрудников, которые нарушают запрет и используют личные устройства с иностранными ОС, и проводить с ними мероприятия.
🔹 Отслеживать и блочить иностранные сервера, отвечающие за таргетированную рекламу.
🔹 Жёстко регулировать рынок таргетированной рекламы внутри страны, чтобы с помощью механизмов таргетированной рекламы определенные группы устройств отслеживать было нельзя.

Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338)

Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338)
Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338)

Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338). Исследователи из Avast выпустили write-up, в котором утверждают, что уязвимость эксплуатировалась злодеями из Lazarus. Microsoft также выставили признак эксплуатации вживую для этой уязвимости.

В момент публикации февральского Microsoft Patch Tuesday никто не давал специальных рекомендаций обращать внимание именно на эту уязвимость. 🤷‍♂️ Мельком упомянули только Qualys и Tenable. Я тоже не сказать, чтобы выносил в ТОП, но в посте упомянул среди остальных EoP в ядре. 😎 Но вообще такое фиг угадаешь. 🐈‍⬛

Бизоны пишут, что злодеи из Mysterious Werewolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера

Бизоны пишут, что злодеи из Mysterious Werewolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера
Бизоны пишут, что злодеи из Mysterious Werewolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера

Бизоны пишут, что злодеи из Mysterious Werewolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера. Но интересно другое. Какую уязвимость они используют для первоначального доступа? А всё ту же Remote Code Execution - WinRAR (CVE-2023-38831), что и в ноябре прошлого года. Видимо всё ещё норм работает. 🤷‍♂️ Уязвимость активно эксплуатируется с апреля прошлого года, а публичный PoC доступен с августа прошлого года.

Безусловно, возиться с обновлением/удалением/запрещением WinRAR-а на десктопах это не та задача, которой хотелось бы заниматься прошаренному безопаснику, но именно такие уязвимости в реальности эксплуатируются злодеями. 😏

"Лично я люблю землянику со сливками, но рыба почему-то предпочитает червяков. Вот почему, когда я иду на рыбалку, я думаю не о том, что люблю я, а о том, что любит рыба." (с) Дейл Карнеги

Алексей Лукацкий считает, что "exposure" лучше переводить не как "экспозиция", а как "обнажённость" или "нагота"

Алексей Лукацкий считает, что exposure лучше переводить не как экспозиция, а как обнажённость или наготаАлексей Лукацкий считает, что exposure лучше переводить не как экспозиция, а как обнажённость или нагота

Алексей Лукацкий считает, что "exposure" лучше переводить не как "экспозиция", а как "обнажённость" или "нагота". 😅 Безусловно, любое упоминание моих постов уважаемым мэтром в канале на 22+к, вызывает у меня глубокое чувство благодарности. Даже если это стёб. 😎

🔹 "Незащищённость", имхо, не может быть хорошим переводом "exposure". Потому что "незащищённость" это "insecurity", понятие гораздо более широкое.

🔹 "Обнажённость" гораздо лучше передаёт суть проблемы, но всерьёз писать про "Управление Обнажённостями" я постесняюсь. 😅 Эпатаж по ИБ оставлю другим.

🔹 Про карту средств Управления Уязвимостями и классы помню. 😉 Выделять "Exposure Management" не собираюсь, т.к. такие решения укладываются в Средства Анализа Уязвимостей (САУ) и Средства Детектирования Уязвимостей Инфраструктуры (СДУИ). 🙂 "Exposure" двигают маркетолухи.

🔹 То, что "экспозиция" есть у фотографов вовсе не беда. В википедии аж 8 статей про разные экспозиции есть. Будет ещё и экспозиция по ИБ, подвинутся. 😉

Вышел отчёт IDC "Worldwide Device Vulnerability Management Market Shares, 2022: Exposures Present a Clear and Present Danger"

Вышел отчёт IDC Worldwide Device Vulnerability Management Market Shares, 2022: Exposures Present a Clear and Present DangerВышел отчёт IDC Worldwide Device Vulnerability Management Market Shares, 2022: Exposures Present a Clear and Present DangerВышел отчёт IDC Worldwide Device Vulnerability Management Market Shares, 2022: Exposures Present a Clear and Present Danger

Вышел отчёт IDC "Worldwide Device Vulnerability Management Market Shares, 2022: Exposures Present a Clear and Present Danger". Выдержку можно забрать у Tenable. Отчёт интересный, с большим фокусом на эти самые "экспозиции". Буду понемногу разбирать. Начнём с цифр.

🔹 DVM - концентрированный рынок: 3 крупнейших вендора в 2022 году занимают 63,4% рынка (было 61,2% в 2021 году). Наибольшая доля снова у Tenable, далее Qualys и Rapid7. В 2022 году доля Tenable выросла до 28,7% с 27,5% в 2021 году. Вендоры за пределами TOP3 имели выручку менее 50 миллионов долларов в 2022 году.

🔹 В таблице лидеры мирового рынка DVM по выручке в 2021 и 2022 годах (с доходом от DVM не менее 20 миллионов долларов в 2022 году).

🔹 Вендоры, упомянутые в отчёте: Tenable, Qualys, Rapid7, Tanium, Skybox, ServiceNow, Venustech Group, Balbix, Fortra, Vulcan Cyber, Armis, Nucleus Security, SecPod, Hive Pro, ArmorCode, Intruder, Seemplicity, Microsoft (Defender Vulnerability Management), SentinelOne.

Есть, конечно, большой соблазн не вводить новый термин "экспозиция", а свести "exposure" к чему-то привычному

Есть, конечно, большой соблазн не вводить новый термин "экспозиция", а свести "exposure" к чему-то привычному. Вынесу из комментария:

"Для слова Exposure есть вполне отечественный перевод «по понятиям» — поверхность атаки. Единственного числа нет — одна доступная извне уязвимость, такая же поверхность атаки, как и решето, только меньше. Тогда Exposure Management — управление поверхностью атаки. Не противоречит логике языка. Конечно, с «экспонированными» уязвимостями перевод сложнее, но также можно сделать логично — уязвимость стала частью поверхности атаки (расширила поверхность атаки)."

Как мне кажется, так делать неправильно. Потому что "поверхность атаки" это "attack surface". И уже есть понятие "Attack Surface Management", которое не тождественно "Exposure Management" (тупо разные маркетинговые ниши). Поэтому сводя "exposure" в "поверхность атаки" мы получаем потом ненужные двусмысленности и несоответствия. Также как и при переводе в другие устоявшиеся термины, имеющие прямой перевод на английский: риск, угроза, уязвимость и прочее.

Была идея переводить "exposure" как "подверженность воздействию", но на русском это будет чудовищно громоздко и коряво. Поэтому лучше уж калькировать в "экспозицию".

Тем более, что использование слов "экспозиция" и "экспозировать" в таком смысле даже не особо противоречит правилам русского языка, есть такой архаизм:

ЭКСПОЗИРОВАТЬ exposer. устар. Выставлять, экспонировать; показывать. Носов изобрел славнейший хронометр, который желает экспозировать; все часовщики признают это славностью, делающею честь Русскому имени. 1829. А. Я. Булгаков. // РА 1901 3 306. Исторический словарь галлицизмов русского языка

Но повторюсь, что по мне и "Attack Surface Management", и "Exposure Management" это всё лишние термины, которые вполне укладываются в привычный Vulnerability Management. Введение "экспозиции" это вынужденная мера из-за того, что буржуи не унимаются и всё интенсивнее это "exposure" у себя используют.

Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин "Exposure" в около-VM-ном контексте - пора с этим что-то делать! 🤔

Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин Exposure в около-VM-ном контексте - пора с этим что-то делать! 🤔

Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин "Exposure" в около-VM-ном контексте - пора с этим что-то делать! 🤔 От наших регуляторов определённой позиции не видно. В связи с этим я решил, что в своих блогопостах буду пока просто калькировать это безобразие.

🔹 Exposure - Экспозиция
🔹 Exposures - Экспозиции
🔹 Cyber Exposure - Киберэкспозиция
🔹 Exposure Management - Управление Экспозициями (во множественном числе по аналогии с Vulnerability Management - Управление Уязвимостями)
🔹 exposed - экспозированный
🔹 to expose - экспозировать

Пока не будет какого-то адекватного официального определения, буду понимать под (кибер)экспозицией "подверженность внешнему (кибер)воздействию".

Это более-менее бьётся с глоссарием NIST:
"Extent to which an organization and/or stakeholder is subject to a risk."
"Степень, в которой организация и/или стейкхолдер подвержены риску."
🤷‍♂️

Пример экспозиции: Windows-хост уязвимый к MS17-010 доступен из Интернет по SMB порту, поэтому любой удалённый злоумышленник может его тривиально поломать.

Если же мы отключим этот хост от сети, то уязвимость на нём всё равно будет, но экспозиции при этом уже не будет. В этом вижу разницу. 🧙‍♂️

При всём этом я считаю, следующее:

🔻 Всяческого порицания достоин тот буржуй, который придумал тащить в ИБ такое туманное и многозначное слово как "exposure". 🔮 Имхо, единственная причина почему его так часто сейчас используют, потому что "Exposure Management" это круто-модно-молодежно, а "Vulnerability Management" это что-то привычное и неинтересное. Тухлый креатив маркетолухов, которые не могут сделать стоящую вещь, поэтому играются со словами. 😤 Но у них там на западе своя атмосфера и вряд ли мы можем как-то повлиять на это. У виска покрутить разве что. 🤪
🔻 Переводить "Exposure Management" как "Управление Рисками" в общем случае считаю неправильным, т.к. непонятно что тогда такое "Risk Management". 😏 Это уже какой-то анекдот про кота и кита. Нет уж, давайте "риск" это будет "risk", а для "exposure" будем использовать что-то другое.
🔻 Раз уж термин продолжает использоваться, то давайте переводить подобное в подобное, а не пытаться додумывать, что конкретно имел ввиду автор текста в каждом случае. Дело это неблагодарное.
🔻 В оригинальных (непереводных) текстах лучше обходиться без всяких там экспозиций, а писать в конкретных терминах. Ну или наоборот вводить это дело в активный обиход и обмазываться по полной. 😅🌝

Дальше как раз посмотрим свеженький документ, в котором сплошной ехал exposure через exposure.