Только сейчас осознал, что "4n6" это "forensics" ?

Презентация моего доклада "Как мы помогаем ~~майорам~~ правоохранителям бороться со злом" на KazHackStan 2024.

Для тех, кто не верит, что в пейджеры можно заложить достаточно взрывчатки для такого взрыва, напомню, что в оборонительной гранате Ф-1 содержится лишь 60 грамм тротила.

Эта граната была была принята на вооружение в 1940-х годах. С тех пор были разработаны более совершенные взрывчатые вещества, поэтому организовать такую акцию можно заложив лишь несколько грамм современного ВВ.

P.S. Теперь боюсь летать. Авиационная служба безопасности не сможет выявить такое. ???

В апреле этого года на конференции "botconf" ресёрчер из ESET представил доклад, посвящённый SturgeonPhisher APT (группа также известна как YoroTrooper).

Исследователь утверждает, что группировка атакует служащих госорганов, мозговых центров и работников квазигос компаний прикасписких государств, и, в особенности, российские организации.

Сегодня имел возможность выступить перед слушателями Академии правоохранительных органов при Генпрокуратуре РК с докладом относительно проблемных вопросов, связанных с воздействием вредоносных программ.

Во время лекции озвучил следующие проблемы, находящиеся на стыке ИБ и Закона:

1. Поскольку "вредоносность" программы является правовым свойством, а не техническим, то одни и те же компьютерные программы в разных условиях могут быть признаны или не признаны вредоносными. Очевидный пример - применение Meterpreter/CobaltStrike при пентесте и не при пентесте.

2. Статья 210 УК РК (создание и использование вредоносных программ) имеет "неправильную" формулировку. Во-первых, это избыточность в части сущностей, например, зачем отдельно выделять "компьютерные программы" и "программные продукты", ведь второе входит в первое? Во-вторых, зачем ограничивать объекты воздействия на информации? Что если злоумышленник совершит воздействие не на "информационную систему", а на "интернет-ресурс"? В-третьих, действие "использование" не соотносится с нанесением ущерба в части нарушения конфиденциальности, целостности и доступности информации. Это может создать ситуацию, когда легитимные программы могут быть признаны вредоносными.

3. Мы выяснили, что за компьютерные преступления в отношении КВОИКИ может быть осужден лишь внутренний нарушитель, такой как администратор информационной системы. Привлечение внешнего нарушителя (например, совершившего DDoS-атаку на КВОИКИ) невозможно, так как хакер не имеет возможности осознавать степень опасности своих деяний. В отличие от админа, которому заведомо известно, что его ИС включена в перечень КВОИКИ, внешний нарушитель не может различить, что именно он атакует – обычный веб-сайт или ИС, отнесенный к КВОИКИ, так как не может получить доступ к Списку с ограничительной пометкой ДСП.

Небольшая статистика по осужденным лицам за компьютерные преступления в 2023 году:

- 2 человека были осуждены за НСД к информации, относящейся к КВОИКИ, один из них получил штраф в размере 345 000 тенге, а другой – ограничение свободы;

- 3 человека были осуждены за уничтожение/модификацию информации (в группе лиц/повлёкших тяжкие последствия), в отношении еще одного дело прекращено судом;

- 1 человек был осужден за нарушение работы КВОИКИ и приговорён к штрафу в размере 918 000 тенге;

- 4 человека осуждены за неправомерное завладение информацией (КВОИКИ/группа лиц) и приговорены к ограничению свободы;

- 4 человека осуждены за вредоносные программы (КВОИКИ/группа лиц/служебное положение) и приговорены к ограничению свободы, кроме того у одного конфисковали имущество, а другого – поместили на принудительное лечение от алкоголизма.

Вот до чего Malware Development доводит! ☝️??

Закончил исследование, которое делал два года.

Ну не прям "чистых" два года, это в перерывах между другими исследованиями и менеджерскими задачами. Сейчас такое чувство будто бы прошёл хорошую игру - столько всего было... Интересно то, что за эти два года квалификация драматично выросла, поэтому смотрю на свои первые находки только так - ??.

Впереди есть еще пара исследований, которые нужно "добить", и уже можно завершать эпоху.

В КНР кибервойска выделены в новый род войск - силы информационной поддержки. В среднесрочной перспективе (после того, как военные очухаются от реорганизаций и мышиной возни туда-сюда) можно ожидать усиление количества и качества целевых кибератак.

Методы дампа LSASS?