11690
Трансляция блога и Твиттера Алексея Лукацкого (@alukatsk), а еще репосты из Телеграмма и публикация уникальных материалов
Есть такое известное правило Керкгоффса:
"стойкость криптографической системы должна зависеть только от секретности ключа, а не от секретности алгоритма"
В России произошел массовый сбой в работе сайтов авиакомпаний, туроператоров и ПО управления операционной деятельностью.
Служба мониторинга работы сайтов, приложений и веб-сервисов Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) со вчерашнего дня фиксирует массовый сбой доступа к интернет ресурсам российских авиакомпаний.
В частности, у пользователей возникли сложности с доступом к сайтам, приложениям и веб-сервисам авиакомпаний Nordwind, S7 и «Россия», аэропорта Домодедово, туроператора «Пегас Туристик» и производителя ПО для авиакомпаний «АвиаБит».
Сегодня некоторые из них продолжают испытывать проблемы с доступом. Так, «Северный ветер» предупредил своих пассажиров о «профилактических работах на официальном сайте» и попросил их использовать резервные ресурсы для бронирования билетов и онлайн-регистрации на рейсы.
Также продолжают «лежать» сервисы «АвиаБита». В результате, например в Nordwind, бортпроводников попросили сообщать о своих рейсах, так как у планирования отсутствует информация по графикам и ее приходится собирать по кусочкам.
Кроме того, перебои с доступом к сайтам и телефонной связи продолжаются у аффилированного с авиаперевозчиком туроператора Pegas Touristik. Сегодня он попросил турагентов отправлять запросы на резервные почти и сообщил, что IT-специалисты трудятся над возобновлением работы сайта.
Из ближайших моих выступлений:
1️⃣ Positive Tech Day в Самаре 18 июня. У меня там открывающая презентация с сюрпризом! Люблю когда маркетинг поддерживает самые смелые, даже вскользь вброшенные идеи, и потом из них у нас рождается что-то запоминающееся
2️⃣ IT IS Conf в Екатеринбурге 20 июня. Тут у меня будет три модерации - дискуссии про мифы ИБ, дискуссии про ИИ в ИБ и дискуссии про расследование инцидентов 🔍
3️⃣ Выступление "13 граблей, на которые наступают менеджеры по ИБ" на мероприятии 3 июля, которое известно в узком кругу, но которое в паблике никогда не светится и даже информации в Интернет о нем нет! 🏕
4️⃣ Выступаю 25-го июля на позитивном тренинге для журналистов "СМИшно про ИБ", где буду рассказывать СМИшно о сложном для пишущей братии ✍️
5️⃣ ИТ-Пикник в Москве 17 августа, куда я подался с рассказом "От стелек и кардиостимуляторов до умных пылесосов и колонок. Что делать с их небезопасностью?"
Даг Хаббард - достаточно известный человек, написавший ✍️ в свое время книгу "Как измерить все, что угодно", а позже преломивший ее на тему кибербеза. Его книга "How to measure anything in cybersecurity risk" стала для многих открытием, так как оказалось, что измерить в ИБ можно абсолютно все, даже уровень восхищения телеграм-каналом Лукацкого или стоимость защищаемой информации. Главное, знать, как подступиться к этой задаче ✨
Сейчас эта книга выпущена и на русском языке и ее можно купить для изучения. Правда, переведено первое издание десятилетней давности, в то время как у Хаббарда вышло уже второе, но это не так уж и критично. Главное, когда будете покупать, посмотрите цены на книгу в разных Интернет-магазинах, - они могут разнится от 300 до 3000 рублей 😲 Почему не знаю, но это так!
Потестил RansomChatGPT - сервис на базе ChatGPT, которому скормили базу переговоров с вымогателями различных группировок (Darkside, Lockbit, Babuk, REvil, Hive, Conti и еще с десяток других). Прикольная история. Одно дело, когда ты думаешь, что ты весь из себя такой крутой ИБшник и знаешь, как бороться с шифровальщиками 🤒, а с другой - ты все-таки попадаешься на удочку вымогателей и бизнес дает тебе указание договориться. И ты приходишь к плохим парням с позиции силы, стращаешь их карами небесными, угрожаешь ФСТЭК и ФСБ 😕, а тебя посылают на хер и говорят "плати или иди в жопу". И вот тут ты реально начинаешь переговоры в надежде скинуть хотя бы цену 🤑
В одном из переговоров я попросил 👨💻 доказательства, что вымогатели не опубликуют данные после оплаты, как они уже это делали не раз, на что получил ответ, что они могут дать мне письменные гарантии, что "не кинут" и даже пообещали заплатить компенсацию, если кинут 😂
ЗЫ. Чем-то напоминает "Фрод-рулетку" от Т-Банка.
Хакеры внедрили вредонос в расширение Stable Diffusion 🧠 на GitHub с целью кражи криптокошельков, скриншотов, файлов и другой ценной информации. Прикрываются интересами художников 🧑🎨 и людей искусства, у которых ИИ забирает работу!
Читать полностью…
В продолжение темы с инсулиновой помпой... ❤️🩹 Оказывается они являются самым "популярным" медицинским прибором, из-за которого гибнут люди, но не единственными ☠️ В Канаде, в частности, от сбоев и ошибок в функционировании дефибриляторов, кардиостимуляторов, стентов и т.п. погибло почти 500 человек за 10 лет.
Что же будет, когда медицинские приборы начнут массово оснащать подключением к Интернет 📡 или мобильным приложениям, для самостоятельного отслеживания состояния здоровья?
А вот кому анализ 100 самых популярных бесплатных VPN-приложений в Google Play (то есть для Android)? 🛡 Чувак реально заморочился и проверил по куче показателей - от трекеров и слабой криптографии до наличия исходников и наличие вредоносных функций внутри. Респект 👍
Читать полностью…
Странно, что министр не упомянул ФСТЭК, - она гораздо ближе к вопросам защиты информации, курируемых Минцифрой, чем ФСБ 🇷🇺 Но, да, в Минцифре, на роли замминистра, не трудится бывший сотрудник ФСТЭК. С другой стороны для ФСТЭК это и хорошо - меньше внимания, можно работать 👨🔧 Хотя обидно, наверное...
ЗЫ. Интересно, чем теперь ответит Герман Оскарович, который активно продвигает тему отдельного министерства ИБ последнее время (публично и не очень). А про стратегию кибербезопасности страны, о которой также говорил глава Сбербанка, мне тоже есть что сказать, как одному из участников ее создания в 2013-м году.
Да, это вам не фейковый Киркоров, двигающий крипту на полторы бабушки в Инсте 🤪
Читать полностью…
Завтра Госдума планирует рассмотреть законопроект 2020-го года, в котором, среди прочего, устанавливается требование уничтожения персданных не абы как, а только с помощью сертифицированных ФСБ или ФСТЭК средств защиты информации, в которых реализована специальная функция уничтожения 🔫
Пока закон не приняли, пойду удалю со СмартТВ учетку ребенка, а то я не знаю, какие сертифицированные средства защиты есть для AndroidTV, и боюсь, что нарушу закон, если уничтожу ПДн без SecretNet, ViPNet и иных "аналоговнет" с сертификатом и голограммой 🗑
Wired пишет, что российские киберпреступники 🎃 практически недосягаемы для западных правоохранительных органов ввиду попустительства отечественных правоохранителей, которые не замечают деятельности хакеров, направленных против зарубежных держав.
Чтобы ослабить их деятельность, западные спецслужбы 🇺🇸 и органы правопорядка начали применять психологические меры, направленные на подрыв доверия среди хакеров. Например, операция Cronos, в ходе которой была "взломана" группа LockBit 💻 Публикация внутренних данных и личных сообщений хакеров создала недоверие к ним и подорвала репутацию группы. Эти психологические операции (psyops) усиливают раскол среди киберпреступников, снижая их эффективность и уменьшая их активность 😦
Интересно, что теперь противопоставят этим psyops русские хакеры? ❓
На ПМЭФ опять рекордную DDoS-атаку поймали и отшлепали отразили. Прям есть чем гордиться ☺️ Такое впечатление, что задачей было не дело делать, а обязательно какой-нибудь рекорд поставить и всем про это рассказать. Или хоть что-нибудь найти и рассказать - пресс-конференция была же собрана заранее, место оплачено, с двух заветрившихся тарталеток сняли целлофан; чего добру пропадать 🤐
Что-то маркетинга стало многовато в ИБ... Такое впечатление, что именно он правит балом, а не реальные технологии, процессы, результаты, специалисты... И ладно бы маркетинг был мудрый или забавный и смешной, но нет. Надо будет сдуть пыль с блога из-за погружения в ПХД и что-нибудь написать этакое, недоброе 😈
Предсказуемо, Snowflake ❄️ попалась на вранье, - хакеры выкладывают украденные данные клиентов Snowflake или требуют от них выкуп 🤒 А меня эта история навела на две мысли. Во-первых, атаки на подрядчиков продолжают оставаться одной из главных проблем и пользователи таких поставщиков разных, преимущественно ИТ, решений просто обязаны включать в договора разделы про кибербез и возможность проверки того, как он выстроен на стороне подрядчика ✔️ В идеале бы и самим подрядчикам пойти чуть дальше получения бумажек SOC2 на свои облака в сторону вывода систем на BugBounty или опубличивания отчетов пентестеров, которые должны раз в квартал проверять системы ИТ-подрядчиков на вшивость защищенность 🤕
Вторая мысль иного плана. Все жертвы хакеров настолько привыкли начинать свои пресс-релизы и заявления с "мы не видим следов несанкционированной активности в нашей инфраструктуре" и "атака коснулась только тестового окружения", а потом это оказывается откровенной ложью 🤠, что теперь, даже если какая-либо компания и вправду не увидит следов атак у себя в сети, а это будет только "развод" со стороны хакеров, им все равно уже никто не поверит. Все будут думать, что они такие же как Snowflake, Microsoft, ***банк, Московский институт психоанализа и т.д., которые уже дискредитировали нормальный PR во время инцидентов ИБ 👊
CAPTCHA становится все сложнее и сложнее. Не всегда поймешь, что от тебя хотят, а когда понимаешь, еще и ошибаешься и тебе надо начинать проходить квест из трех заданий заново.
❗️❗️ Верните пожарные гидранты и пешеходные переходы!!! Тьюринг, о котором я писал утром, в бешенстве!
ЗЫ. Другие примеры капчи - тут, тут, тут и тут.
Компания Comparitech провела анализ атак шифровальщиков в 2023-м году и выяснила, что почти каждое пятое нападение программ-вымогателей привело к судебному разбирательству 👩🏼⚖️ За последние пять лет в среднем 12% таких атак заканчивались исками. Всего в прошлом году было подано 355 исков из 3002 подтвержденных атак (подтверждены самими жертвами, а не заявлениями хакерских группировок на их сайтах). Из 228 завершенных дел 59% были успешными, в результате чего компании, по чьей вине произошло заражение шифровальщиками, выплачивали штрафы 🤑 или достигали судебных или внесудебных соглашений. Только 11% кейсов суды отклонили. Самая пострадавшая отрасль — здравоохранение, где 21% атак привели к судебным разбирательствам.
Средняя сумма урегулирования составила 2,2 миллиона долларов (всего 245 миллионов на 112 кейсов) 🧐 Штрафы со стороны регуляторов тоже были, но в совокупности их сумма составила почти 10 миллионов долларов, то есть всего 4% от общей суммы урегулирования. То есть основную опасность представляют не регуляторы, а клиенты жертв вымогателей 🥷 Большинство судебных исков подано по причине утечки данных, следующей за действиями шифровальщика. И если в России возникнет рынок юридических услуг по истребованию потерь в результате утечек данных 🚰, это может стать, на мой взгляд, гораздо более серьезным мотиватором для бизнеса заняться защитой, чем страх "смешных" штрафов от регуляторов.
ЗЫ. По данным Sophos, средняя стоимость восстановления после атаки шифровальщика составила в 2023-м году 2,73 миллиона долларов, что на 50% больше, чем в позапрошлом году.
Решил тут порефлексировать по поводу вчера введенных санкций США против отдельных ИТ-решений.
Читать полностью…
Страховая компания Coalition пишет, что по итогам 2023-го года числа претензий со стороны клиентов-страхователей, использующих МСЭ Cisco ASA выросло в 5 раз! 🤬 Это, прямо, интересно. Если на слуху, в-основном, были дыры в Fortinet и продажи доступов в организации, защищенные именно решениями Fortinet, то про продукцию Cisco говорилось мало. С другой стороны, группировка Akira 😀, активно эксплуатирующая уязвимости в Cisco ASA с 2020-го года, продолжала свою деятельность и в 2023 (и продолжит и в 2024-м), что и повлекло такое число претензий в страховую компанию (по решениям Fortinet число таких запросов выросло "всего" в 2,15 раз) 🛡
А вообще интересно, что страховая компания не просто собирает претензии "у меня шифровальщик требует выкуп" или "у меня сайт простаивает из-за DDoS-атаки", а фиксирует все связанные с инцидентами факторы, накапливая соответствующую статистику 📈, на основе которой потом можно высчитывать страховые коэффициенты и устанавливать размер выплат и премий. Это говорит о том, что рынок страхования киберрисков становится более зрелым (по крайней мере в США).
Если вы сотрудник ИБ, то знают ли вас работники вашей компании? 😦 А если вы не работаете в ИБ, то знаете ли вы, как выглядит ваш ИБшник, как его зовут, какой у него голос (хотя в условиях голосовых дипфейков, это уже не так и важно)? Мне подписчик, за что ему огромное спасибо, рассказал очередную мошенническую схему 🙂
"Сотрудник службы ИБ" обзванивает как рядовых сотрудников, так и руководителей 📞 и, ссылаясь на непростую геополитическую обстановку, проводит инструктаж о том, что можно делать в текущих условиях, а что нет (компания находится в приграничном районе, так что советы выглядят вполне уместно). Потом плавно переходит на советы по финансовой безопасности, ну а дальше по привычной схеме 🤑 - от прямых разговоров о "секретных и защищенных счетах" до "вам позвонят из ФСБ/МВД и надо оказать содействие" 👮
Так что самое время познакомиться со своим специалистом по ИБ или познакомить себя со своими сотрудниками! 🤝
Во вчерашнем анонсе Apple 📱 меня зацепили две новых фишки по ИБ (помимо всяких историй с приватностью и т.п.), а именно:
➖ Запуск отдельных приложений на iPhone только после аутентификации 🤒 Понятно, что сам по себе смартфон - это однопользовательское устройство. Но бывает так, что даешь его ребенку поиграть, постороннему "сфотографируйте нас" или еще кому-то и хочется быть уверенным, что он не зайдет к тебе в заметки, Интернет-банк, фотки или почту. И вот эта фича полезна для таких кейсов. А аутентификация по биометрии не потребует дополнительных телодвижений по вводу ПИН-кода или пароля 🤒
➖ Встроенный парольный менеджер. В целом это развитие Apple'вского KeyChain 🔗, который и так хранит все логины и пароли и позволяет синхронизировать их через все устройства. Но тут из этого сделали самостоятельное и user-friendly приложение, которое может сильно подпортить жизнь всяким LastPass, 1Password, Kaspersky Password Manager и т.п. Но будем посмотреть, насколько он удобен и заменит уже привычные приложения ⏳
Американское управление по контролю качества пищевых продуктов и лекарственных средств расследует проблему с мобильным приложением t:connect, которое используется для мониторинга и управления инсулиновыми помпами t:slim X2, используемыми людьми, больными диабетом 😷
Оказалось, что в приложении нашлась серьезная ошибка, приводящая к выходу из строя приложения, его постоянной перезагрузке, что приводило к росту взаимодействия с помпой по Bluetooth, нагрузке на ее батарею, исчерпанию заряда 🔋 и отключению помпы в самое неподходящее время без предупреждения пользователя. А это в свою очередь может повлечь за собой гипергликемию и даже кетоацидоз (серьезная нехватка инсулина) из-за невпрыснутого инсулина и возможную смерть пациента с диабетом.
А теперь представьте, что это не приложение коряво написано, а кто-то воздействовал на него? Не знаю, используется ли взаимная аутентификация 🤝 помпы и приложения, но если нет, то можно не только отключить регулярную подачу инсулина, но и подать команду на впрыск всего инсулина в помпе, а это уже анафилактический шок и смерть пациента 😵, если ему вовремя не будет оказана помощь. Недопустимо 💯
К квантовым технологиям ⚛️ у меня двойственное отношение. С одной стороны наступает тема квантового шифрования, которое, на самом деле вообще не очень-то и шифрование. С другой стороны квантовые компьютеры, которые могут поставить крест на традиционной криптографии, что заставит не только всех переходить на что-то новое, постквантовое, но и задуматься о том, что наконец-то кто-то сможет дешифровать весь тот накопленный объем передаваемых по сетям операторов связи 🚠 данных, сохраняемых ими согласно "Закону Яровой", а также иным требованиям в других странах (китайцы активно сохраняют все, что передается по их сетям) 📀 В этом случае много грязного белья будет выброшено наружу - мы еще не до конца оцениваем последствия этой тенденции.
Но каким бы ни было мое отношение к этим технологиям, они развиваются, вокруг них много разговоров и хайпа 🤓, на них активно выделяются средства, которые также активно осваиваются. Поэтому стоит понимать те риски, которые несут квантовые технологии, с точки безопасности. Поэтому Positive Technologies вместе с QApp, КуБорд и Российским квантовым центром выпустили отчет "Безопасность квантовых технологий в сфере ИТ" ✍️
Какие-то мифы и заблуждения вокруг этой технологии этот отчет снимает, а какие-то все равно остаются. Я вот до сих пор не могу понять, почему все так носятся с этим квантовым шифрованием, если у него скорость очень низкая, а расстояния, на которых оно может работать без точек атаки усилителей, также невелико ❓ Но об этом я надеюсь поговорить на секции "Мифы и заблуждения в информационной безопасности" в рамках традиционной конференции IT IS Conf в Екатеринбурге 20-го июня.
Прямо сейчас очень плохой дипфейк Тима Кука рассказывал, что Эппл встраивает криптовалюты, и конкретно показывал, как перевести деньги на свой кошелек. Разумеется, это был не эппл, и стрим забанили, однако в лайве его смотрело более полумиллиона наивных людей. Пожалуйста, не ведитесь на такие разводы.
Читать полностью…
На что Яндекс не поскупился, делая новый раздел по безопасности у себя на сайте, так это на красивый тест в стиле японской хокку 🍱 Хорошие вопросы, красивые иллюстрации... но, глядь, неверный подсчет баллов. Я его прошел дважды - "как считаю нужным" и "как правильно" и получил результат, что я беспечен в отношении своей безопасности. Ага, сщаз... 🌊
Безопасность беспечна -
Правильный путь нашел я,
Тест же подвел, увы!
Яндекс пишет о том, что:
в Яндекс ID появился инструмент для простой и удобной настройки уровня безопасности аккаунта. С его помощью пользователи могут проверить, насколько защищён их аккаунт, и настроить дополнительную защиту
Так, видимо пора снова написать то, что написано в описании канала, но этого никто не читает.
‼️ ЭТОТ КАНАЛ ЛИЧНЫЙ И ОТРАЖАЕТ МОЮ ЛИЧНУЮ ТОЧКУ ЗРЕНИЯ. МОЙ РАБОТОДАТЕЛЬ НЕ ВЛИЯЕТ НА ТО, ЧТО ЗДЕСЬ ПИШЕТСЯ ‼️
Да, я нередко упоминаю то, что делает работодатель, но только потому, что я вовлечен в то, что он делает и о чем я пишу. Но я не пишу про все то остальное, что делает работодатель, как бы меня не просили. Я пишу про то, что мне интересно. И про инциденты ИБ тоже. Через мои руки проходит под сотню кейсов в день (со всего мира) и я их получаю не изнутри компании, а за счет собственного мониторинга. Пишу я только про то, что меня заинтересовало. Да, может оказаться так, что инцидент затронул клиентов или партнеров моего работодателя. Да, им не повезло, если я про это написал. Но работодатель не может заставить меня не писать про это или удалить какой-то уже написанный пост. И он меня не заставляет писать про что-то или кого-то; даже если бы он захотел, чего, к счастью, не бывает.
‼️ Я ПИШУ НЕ ПО КОМАНДЕ, А ПО СОБСТВЕННОМУ ЖЕЛАНИЮ. КТО ЭТОГО НЕ ПОНИМАЕТ - ИДИТЕ В ЖОПУ ‼️
Если вас задел мой пост - идите ко мне в личку и давайте там разбираться, что и как. А пытаться заткнуть меня через работодателя - ну такое себе. Лучше ситуация точно не станет, будучи загнанной в тупик конфликта, а не попытки его разрешить.
‼️ КТО ДУМАЕТ, ЧТО МОЮ ЛИЧНУЮ ПОЗИЦИЮ МОЖНО ПОМЕНЯТЬ ЧЕРЕЗ РАБОТОДАТЕЛЯ - МНЕ ВАС ЖАЛЬ; ВИДИМО ДЛЯ ВАС САМИХ ЭТО НОРМА ‼️
ЗЫ. И не надо думать, что шило можно утаить в мешке. Инциденты ИБ всегда становятся известны; особенно если их инициаторы находятся в сопредельном государстве и ими движет не финансовая мотивация. И лучше сработать на опережение и дать свою оценку событий, которую все и будут обсуждать (главное не повторять кейс Snowflake и иже с ними), чем быть в позиции догоняющего и пытающегося замести весь сор под ковер. В Интернете это не очень получается. Будет только хуже.
‼️ ЕЩЕ РАЗ БОЛЬШИМИ БУКВАМИ - ЭТО МОЙ ПЕРСОНАЛЬНЫЙ КАНАЛ ‼️
Сложно себе представить, чтобы любой из отечественных регуляторов объединился бы с другим с целью повышения осведомленности граждан в вопросах ИБ. Межведомственное взаимодействие у нас построено из рук вон плохо в таких делах 😠 Минцифры делает что-то свое, РКН свое, ФСБ свое, ЦБ свое… А вот на Украине Нацбанк вместо с ДССТЗИ и Киберполицией замутили кампанию по внедрению MFA для защиты от мошенников ⚠️
Одно смущает меня у украинцев ☝️ - то, что это делается за счет американцев. И дело не в шлейфе темных делишек USAID (например, попытка смены правительства на Кубе 🇨🇺), сколько в самом факте. Нацбанк Украины (да и не только там) является независимой структурой, которая осуществляет расходы только за счет собственных доходов или, в случаях установленных законом, за счет госбюджета страны. А тут кампания за счет бюджета иностранного государства. Такое себе…
Я представил себе, что началось бы, если бы на этом баннере вместо лого USAID вдруг появился логотип Россотрудничества… 👿 А если бы у нас такое появилось на баннерах ЦБ по финансовой грамотности? Тут либо присваивать статус иноагента, либо по 275-й пускать 👮... Хотя последнее вряд ли (это ж иностранцы бы нам помогали, а не мы им) 😦
ЗЫ. Прикольный маскот - хорошо, что не кот 🙀
Когда угроза ИБ превращается в игру 🎮 Тинькофф Т-Банк - молодец. Прям прикольная тема. Я бы ее на следующий PHD подтащил в Кибергород 🕹
Сервис e-mail-рассылок ✉️ GetResponse взломали, после чего стали ломать их клиентов, отправляя от их имени фишинговые сообщения. Например, так пострадала криптобиржа CoinGeko 💴. Началось все с взлома учетной записи одного из сотрудников GetResponse, ну а дальше по накатанной 🔗
Вновь подтверждается два тезиса - атака на подрядчиков и взлом через креды сотрудников - в топе 🔝 Ну и рекомендации такие же очевидные - внедрение MFA и установление требований по ИБ для подрядчиков с последующих их контролем (правда, возникает вопрос, кто будет контролировать аутсорсинговый SOC, если вы воспользуетесь его услугами?). Для более продвинутых компаний я бы рекомендовал посмотреть в сторону ITDR (Identity Threat Detection & Response), которые обеспечивают не управление идентификационной информацией, а мониторинг ее использования и реагирование в случае инцидентов с кредами сотрудников и подрядчиков 🖥
Я уже писал в начале 2022-го года про проблему взлома именно сервисов рассылок, но не лишним будет и повторить тему. Одно дело проверять защищенность своего почтового сервера и способность его противостоять фишингу и вредоносам 🦠, и совсем другое - проверять защищенность сервиса рассылки этой самой почты в контексте привилегий на отправку сообщений от имени вашей компаний. По опыту могу сказать, что многие ИБ-службы даже не знают, с помощью чего или кого их подразделения маркетинга рассылают свои информационные и рекламные сообщения 😮
PS. GetResponse - не одни такие, Mailchimp в прошлом году тоже взламывали.