⚠️ ТВОЙ WINDOWS ВЗЛОМАЮТ ЭТИМИ МЕТОДАМИ!! БОРЕЦ С ХАКЕРАМИ ИЗ GROUP-IB РАССКАЗАЛ СЕКРЕТЫ

Обсуждение безопасности в киберпространстве

Введение в проблемы безопасности

• Обсуждаются шпионские программы, которые могут активировать микрофон устройства. Криминалисты осведомлены о таких угрозах.

• Упоминается, что хакеры становятся более изобретательными, и Google активно собирает информацию о пользователях.

Безопасность Windows 11

• Сергей Никитин делится информацией о новых офисах группы IB и обсуждает безопасность на платформах Windows и Android.

• Обсуждается совместимость Windows 11 с предыдущими версиями операционной системы и необходимость обновления для повышения безопасности.

Изменения в требованиях к системе

• Microsoft изменяет подход к совместимости приложений, чтобы улучшить безопасность системы.

• Вводятся новые требования к аппаратному обеспечению, включая наличие TPM-чипа для повышения уровня защиты.

Новые функции безопасности

• Основная идея внедрения новых функций безопасности заключается в повышении защиты от вирусов и других угроз.

• Упоминается негативный имидж Windows как уязвимой платформы из-за постоянных жалоб пользователей.

Глаз Бога: доступ к личной информации

• Обсуждается сервис "Глаз Бога", который позволяет получать доступ к личной информации людей через различные каналы.

• Сервис предоставляет возможность пробивать человека по различным параметрам, включая ФИО и номер телефона.

Проблемы с производительностью Windows 11

• Упоминается проблема замедления работы системы со временем и необходимость оптимизации производительности.

• Рассматриваются функции безопасности, такие как Secure Boot и TPM-чип, которые помогают защитить данные пользователя.

Заключение о квалификации специалистов

Виртуализация и безопасность в Windows

Введение в виртуализацию ядра

• Обсуждение виртуализации ядра, которая защищает от эксплойтов путем виртуализации памяти процессов и ядра. Однако эта функция несовместима со всеми драйверами.

Настройки безопасности для новых компьютеров

• На современных компьютерах достаточно включить несколько простых настроек для повышения безопасности, что снижает вероятность атак. Эти функции уже встроены в Windows.

Встроенные инструменты Windows

• Microsoft внедрила гипервизор и песочницу (Windows Sandbox), позволяющую запускать приложения в изолированной среде с минимальными усилиями со стороны пользователя.

• Defender Security автоматически открывает недоверенные файлы в песочнице, что также снижает риск заражения.

Проблемы с обновлениями и совместимостью

• Корпорации часто боятся включать новые опции безопасности из-за возможной несовместимости со старыми драйверами, что может привести к сбоям.

• Простые пользователи зачастую не знают о возможности активации этих функций, хотя их активация значительно повышает безопасность системы.

Принудительные обновления Windows

• Microsoft начала принудительно обновлять пользователей до последних версий Windows, чтобы поддерживать безопасность систем. Старые версии больше не поддерживаются и могут быть уязвимыми.

Проблемы с безопасностью и VPN

Законодательные ограничения на VPN

• Обсуждение нового закона о запрете рекламы VPN-сервисов, который ограничивает доступ к заблокированным сайтам и приложениям.

Преимущества использования VPN

• Упоминание о том, как VPN помогает скрыть IP адреса пользователей и шифрует трафик при использовании публичных Wi-Fi сетей.

Современные угрозы безопасности

Угрозы на уровне прошивки

• Современные материнские платы имеют UEFI вместо BIOS; это операционная система с возможными уязвимостями.

Проблема цепочки поставок (Supply Chain)

Обсуждение угроз кибербезопасности и вирусов

Вирусы и их сложность обнаружения

• Обсуждается, что после заражения системы вирусом, его выявление становится крайне сложным, так как он загружается до самой операционной системы.

• Упоминается о реальных примерах уязвимостей в системах безопасности, которые остаются незащищенными в течение длительного времени.

Проблемы с патчами и уязвимостями

• Отмечается, что многие вендоры не спешат выпускать патчи на уязвимости, что создает огромные риски для пользователей.

• Предлагается метод проверки прошивок с помощью агентов для сверки контрольных сумм оригинала и дампа.

Разнообразие угроз

• Указывается на необходимость поддержки различных методов проверки прошивок из-за разнообразия производителей оборудования.

• Обсуждается уровень сложности атак со стороны государственных хакерских групп, которые могут внедрять вирусы на низком уровне.

Скрипты как угроза

• Говорится о встроенных инструментах Windows (например, PowerShell), которые могут быть использованы для атак без необходимости установки исполняемых файлов.

• Упоминаются группы кибершпионов, использующие скрипты вместо традиционных вирусов для осуществления атак.

Социальная инженерия и фишинг

• Обсуждаются методы социальной инженерии через электронную почту как один из основных векторов заражений.

• Описываются схемы фишинга, где злоумышленники подделывают отправителей писем для кражи логинов и паролей.

Современные методы защиты

• Подчеркивается важность бдительности пользователей при работе с вложениями и ссылками из электронной почты.

Обсуждение современных угроз кибербезопасности

Письма и пароли

• Письма отправляются отдельно от паролей, чтобы предотвратить автоматизированное объединение и распаковку. Некоторые конкуренты не могут отслеживать цепочку для подстановки паролей.

Уязвимости VPN и серверов

• Регулярно появляются уязвимости в VPN-серверах и почтовых серверах, что приводит к заражениям. Примером является уязвимость Pulse, которая существовала около месяца.

Интеграция с Windows

• Вредоносные программы часто интегрируются с Active Directory в Windows. Существуют шпионские программы, которые могут включать микрофоны на ноутбуках.

Генеративные модели и вредоносный код

• Генеративные языковые модели упрощают написание вредоносного кода. Хакеры могут использовать такие инструменты для создания фишинговых писем.

Подходы к созданию вредоносных моделей

• Существуют underground-модели, которые помогают злоумышленникам генерировать тексты для фишинга более эффективно, чем традиционные методы.

Доступность технологий

• Создание потенциально вредоносных языковых моделей стало доступным благодаря видеокартам. Это может делать любой желающий без особых ограничений.

Упрощение написания скриптов

• Злоумышленники могут быстро создавать простые скрипты для шифрования данных или других атак, что снижает порог входа в киберпреступность.

Качество программного обеспечения

• Качество написания кода ухудшилось за годы из-за увеличения вычислительных ресурсов и отсутствия оптимизации. Это приводит к большему количеству уязвимостей.

Проблемы с безопасностью iPhone

Обсуждение безопасности программного обеспечения и уязвимостей

Инициативы Microsoft по улучшению безопасности

• Microsoft начала переписывать многие свои приложения на языке Rust, который обеспечивает безопасное обращение с памятью, что снижает вероятность возникновения уязвимостей.

• Использование Rust позволяет избежать 90% эксплойтов, так как язык не допускает переполнения буфера и переопределения переменных.

Уязвимости браузеров

• Обсуждаются старые эксплойты для Internet Explorer, которые требовали лишь посещения вредоносного сайта.

• Недавний эксплойт для Chrome требует срочного патча; доверие к этому браузеру подорвано из-за его поведения с DNS-настройками.

Проблемы с движками браузеров

• Большинство современных браузеров используют движки Chromium, что создает единообразие, но также вызывает опасения по поводу безопасности.

• Firefox и Safari остаются независимыми от Chromium, однако их доля на рынке уменьшается.

Безопасность операционных систем

• Переход на Windows 11 рекомендуется ради новых функций безопасности; важно включать все обновления для повышения защиты.

• Необходимо обновлять не только десктопные версии Windows, но и серверные решения для устранения уязвимостей.

Реакция на уязвимости

• Время реакции производителей ПО на новые уязвимости сократилось до недели; это создает риски для пользователей.

• Исправление уязвимостей в прошивках может занять много времени из-за необходимости обновления всех компонентов системы.

Современные решения в области безопасности

• Для корпоративного сектора необходимы решения типа XDR (расширенное обнаружение и реагирование), которые более эффективны, чем традиционные антивирусы.

Поиск следов взлома и гипотезы

Процесс поиска аномалий

• Говорится о том, как автор начинает искать следы взлома, проверяя наличие аномалий в событиях, таких как неправильные логины или исполнение скриптов.

• Подчеркивается творческий аспект работы по созданию гипотез и необходимость их проверки, что является рутинной задачей.

Генеративный ИИ в кибербезопасности

• Обсуждается использование генеративного ИИ в кибербезопасности, однако отмечается, что это пока больше маркетинг, чем реальная работа.

• Упоминается о том, что ИИ может помочь разгрузить работу аналитиков первой линии.

Анализ событий и угроз

Аномалии и их значение

• Автор говорит о важности анализа патока событий на всей сети для выявления новых элементов автозагрузки.

• Отмечается, что даже если антивирус не обнаруживает угрозу, аномалии могут быть зафиксированы в журнале событий Windows.

Роль специалистов по безопасности

• Указывается на необходимость наличия специалистов для проверки гипотез и реагирования на инциденты.

• Обсуждается возможность привлечения сторонних компаний для обеспечения безопасности.

Оценка рисков для бизнеса

Влияние атак на бизнес-процессы

• Рассматривается стоимость простоя бизнеса из-за атак: от производств до логистических компаний.

Необходимость обновлений системы

• Рекомендуется обновление до Windows 11 и включение всех необходимых функций безопасности.

Решения XDR и антивирусы

Использование XDR решений

• Обсуждаются решения XDR (Extended Detection and Response), которые помогают собирать данные для анализа угроз.

Эффективность антивирусов

• Упоминается встроенный антивирус Microsoft Defender ATP как хороший базовый вариант защиты.

Будущее коммерческих антивирусов

Обсуждение антивирусов и безопасности

Запрет сторонних антивирусов

• Обсуждается возможность запрета всех сторонних антивирусов, таких как EDR, если компании решат, что им это не нужно. Это может привести к значительным изменениям в индустрии.

Конкуренция и антимонопольные службы

• Упоминается, что если бы компании хотели действовать неконкурентным образом, они могли бы просто отказаться от поддержки сторонних решений. Однако это могло бы вызвать долгие судебные разбирательства с антимонопольными службами.

Проблемы с бесплатными антивирусами

• Обсуждаются недостатки бесплатных антивирусов, таких как Avast, которые могут хуже детектировать угрозы и даже отключать важные функции системы.

Специфика использования программного обеспечения

• Упоминается о специфических случаях использования программного обеспечения и необходимости настройки для безопасной работы. Некоторые пользователи могут использовать ограниченный список разрешенных портов.

Сложности администрирования сетей

• Подчеркивается необходимость системного администратора для управления настройками сети и поддержания безопасности. Без должного контроля возможны серьезные проблемы с безопасностью.

Анализ трафика и шифрование

Векторы атак и поведенческий анализ

• Обсуждается изменение вектора атак за последние 20 лет: акцент на поведенческом анализе трафика вместо простого мониторинга портов и протоколов.

Использование сетевых сенсоров

• Упоминаются сетевые сенсоры (Network Traffic Analyser), которые помогают выявлять аномалии в трафике, но сталкиваются с проблемами из-за шифрования данных.

Проблемы с SSL-сертификатами

• Отмечается сложность блокировки вредоносных доменов из-за того, что многие вирусы используют один порт для связи через SSL.

Настройка фаервола и его эффективность

Необходимость постоянного контроля

• Подчеркивается важность постоянного контроля за настройками фаервола. Неправильная конфигурация может привести к уязвимостям в системе.

Дисциплина пользователей

• Обсуждается вопрос дисциплины пользователей при работе с фаерволом: открытие портов для загрузки торрентов может создать дополнительные риски безопасности.

Преимущества XD Aров

Эффективность агентов на устройствах

• Указывается на преимущества использования агентов на устройствах для мониторинга трафика до его шифрования, что позволяет более эффективно обнаруживать угрозы по сравнению с традиционными методами анализа трафика.

Обновления Windows

Значение обновлений системы

• Говорится о важности установки последних обновлений Windows для защиты от массовых угроз. Даже несмотря на критику системы за сбор телеметрии, актуальные обновления остаются ключевыми для безопасности.

Оценка различных версий Windows