ФБР сняло ИБ-эксперта с самолета из опасений за безопасность полета - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
Сергей Ильин

ФБР сняло ИБ-эксперта с самолета из опасений за безопасность полета

Автор Сергей Ильин, в Общий форум по информационной безопасности

Recommended Posts

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Все же контроль социальных сетей дает свои плоды :)

********************

С американской авиакомпанией United Airlines шутки плохи, о чем на собственном опыте убедился ИБ-эксперт Крис Робертс (Chris Roberts). Сотрудник компании One World Labs, которая неоднократно обращала внимание на недостаточную защиту систем Airbus и Boeing, был снят агентами ФБР прямиком с самолета после публикации в Twitter.

В своем сообщении Робертс рассказал о намерении проникнуть в коммуникационные системы пассажирского самолета Boeing 737-800, в котором собирался лететь, и спровоцировать автоматический выброс кислородных масок. При снятии эксперта с самолета агенты ФБР конфисковали его оборудование.

 

http://www.securitylab.ru/news/472634.php

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

SearchInform    15

SearchInform
Опубликовано

SL как всегда радует формулировками.

Каким образом ФБР узнало о публикации в Twitter, пока неизвестно.

Конечно же, ведь Твиттер - это суперсекретная шпионская социальная сеть.

  • Upvote 1

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Threat#47    8

Threat#47
Опубликовано

SL как всегда радует формулировками.

Каким образом ФБР узнало о публикации в Twitter, пока неизвестно.

Конечно же, ведь Твиттер - это суперсекретная шпионская социальная сеть.

Вообще говоря, среди тонны постов и блогов найти нужный, да ещё с таким не тривиальным содержанием (он ведь не писал "алах-хах-бар", "терроризм"...т.е. те ключевые слова, на которые обычно роботы срабатывают) не так просто. Поэтому и пишется, что по факту не ясно. Хотя, за кадром итак понятно, что АНБшники всё мониторят, имеют мощности и мониторинг у них качественный и глубокий. 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Я думаю обнаружить его пост автоматически было несложно. Вот его текст дословно:

 

Find myself on a 737/800, lets see Box-IFE-ICE-SATCOM, ? Shall we start playing with EICAS messages? "PASS OXYGEN ON" Anyone ? :)

 

 

Но я не удивлюсь, если этот товарищ уже был на карандаше в особом списке и его посты мониторились особенно аккуратно.


Еще важный момент. У этого поста было много репостов, что могло поднять его в рейтинге видимости для автоматических анализаторов блогосферы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

SearchInform    15

SearchInform
Опубликовано

 

SL как всегда радует формулировками.

Каким образом ФБР узнало о публикации в Twitter, пока неизвестно.

Конечно же, ведь Твиттер - это суперсекретная шпионская социальная сеть.

Вообще говоря, среди тонны постов и блогов найти нужный, да ещё с таким не тривиальным содержанием (он ведь не писал "алах-хах-бар", "терроризм"...т.е. те ключевые слова, на которые обычно роботы срабатывают) не так просто. Поэтому и пишется, что по факту не ясно. Хотя, за кадром итак понятно, что АНБшники всё мониторят, имеют мощности и мониторинг у них качественный и глубокий. 

 

Не факт, что АНБ вообще хоть как-то причастно к поиску этого ИБэшника. Как я понял, он неоднократно наезжал на авиакомпанию, а таких людей мониторят в пресс-службе, иногда даже в ручном режиме. Соответственно, сотрудники компании могли просто увидеть этот пост и сообщить о нем кому следует. 

  • Upvote 1

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Как я понял, он неоднократно наезжал на авиакомпанию, а таких людей мониторят в пресс-службе, иногда даже в ручном режиме. Соответственно, сотрудники компании могли просто увидеть этот пост и сообщить о нем кому следует. 

 

В этом случае мониторить его должны были не только в пресс-службе, а в службе безопасности тоже. Тогда все проще :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Threat#47    8

Threat#47
Опубликовано

Не факт, что АНБ вообще хоть как-то причастно к поиску этого ИБэшника.

А чем занимается АНБ знаете? Любая слежка, контроль, добыча инфы методами в ИТ - задача именно АНБ. АНБ занимается инфоразведкой удалёнными методами. Там все мощности. Блоги парсить 24/7 не так просто физически (а парсят  и отслеживают ещё много чего, до Сноудена даже никто и подумать не мог, что столько всего под колпак сунули (от геоданных с Android до анонимных сетей, могут даже влезть куда угодно удалённо) - я, кстати, только "за"), АНБ точно имеет всю нужную выч. мощность, поэтому я думаю, что именно они этим занимаются. 

 

Другое дело, что используют эту инфу все остальные спец. службы, так что поймали его именно ФБРовцы (если не ошибаюсь), но по наводке АНБшников. Впрочем, это не важно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.1.14.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      santy Я бы ввёл лимит - одна новая тема в сутки и всё... Кстати говоря - по поводу ИИ - я там недавно в разделе: Новые функции в ***  написал, но видимо из-за спамеров никто не читал... А между тем...
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Увы, нет технологий по противодействию спамеров на техническом форуме. По идее, после дублирования нескольких тем с одинаковым контентом учетка должна автоматически заблокироваться, и темы все автоматически удаляться через несколько дней. Где же ты ИИ? :). Спасение форума от спамеров не есть дело рук самих топик стартеров.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      https://forum.kasperskyclub.ru/topic/471996-pojavljajutsja-v-operativnoj-pamjati-membackdoorwin64agentgen-i-memtrojanmultiagentgen/page/2/#comments Task: {A67FE49E-5424-45F5-9347-257FE1179FF6} - System32\Tasks\Microsoft\Windows\Autochk\KeyPreair => C:\Program Files (x86)\Microsoft\Edge\Application\Msproedg.exe [64080 2026-03-16] (Microsoft 3rd Party Application Component -> ) 1. Предлагаю добавить в меню: Запрос к ИИ 2. Автоматически добавлять ЭТО в подозрительные. Что можно получить при разборе в ИИ. ___Ответ ИИ: ___ Резюме Анализ вредоносной строки из лога FRST   * *Суть записи:* Данная строка представляет собой запись из лога
          программы FRST (Farbar Recovery Scan Tool) и указывает на активное
          вредоносное ПО на компьютере.
        * *Маскировка файла:* Исполняемый файл |Msproedg.exe| имитирует
          легитимный браузер Microsoft Edge, маскируясь под него измененным
          именем. Оригинальный файл браузера должен называться |msedge.exe|.
          Имя |Msproedg.exe| не используется ни одним легальным софтом в мире.
        * *Аномалия размещения:* Вирус прописан в планировщике задач в ветке
          |Microsoft\Windows\Autochk|. В норме эта ветка отвечает
          исключительно за диагностику файловой системы при загрузке
          компьютера и может содержать всего одну легальную задачу — |Proxy|.
          Задача с именем |KeyPreair| здесь нелегальна.
        * *Аномалия размера:* В логе указан размер |64080| байт (около 64 КБ).
          Размер оригинального браузера измеряется в мегабайтах, а не в
          килобайтах.
        * *Аномалия даты (Timestomping):* В логе указана дата |2026-03-16|.
          Вирус намеренно использует технику подделки даты, чтобы скрыться от
          антивирусных сканеров, которые ищут недавно измененные файлы.
        * *Скомпрометированная цифровая подпись:*
            o В логе отображается строка: |(Microsoft 3rd Party Application
              Component -> )|.
            o Сертификат |Microsoft Windows Third Party Application Component|
              (и его сокращенный вариант) действительно существует. Это
              легальный сертификат Microsoft для подписи софта сторонних
              разработчиков, который официально интегрируется в систему
              (компоненты Teams, DirectX).
            o У оригинального браузера Edge подпись всегда выглядит как
              |(Microsoft Corporation)|. В данном же случае пустая стрелочка в
              конце |-> )| показывает цепочку доверия Authenticode.
            o В легальном файле FRST проверяет издателя и замыкает цепочку:
              |(Microsoft 3rd Party Application Component -> Microsoft
              Corporation)|. Пустота после стрелки в вашем логе — это
              технический признак того, что вирус скопировал чужой блок
              подписи, но криптографическая проверка Authenticode провалилась.      
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      demkd Если так с рекламой на форуме продолжиться - форум закроют :)
×