11690
Трансляция блога и Твиттера Алексея Лукацкого (@alukatsk), а еще репосты из Телеграмма и публикация уникальных материалов
Взлом Cylance, которой в России почти и не было, не так интересен. А вот взлом новосибирской компании по ИБ, если, конечно, верить заявлениям хакеров, которая предоставляет широкий перечень услуг по ИБ, включая пентесты и аудиты объектов КИИ 🤜, а также имеет собственный SOC и мониторит с него средства защиты своих заказчиков, это уже горячее... и неприятнее. И судя по выложенным "доказательствам" там результаты обследований ИБ заказчиков из сферы энергетики (КИИ в полный рост) 🏭
Внутри 🟥 - это одно из четырех недопустимым событий, так как проблема не в том, что взломали тебя, а в том, что через тебя могут теперь взломать твоих же клиентов. И если ты сам еще в состоянии быстро отреагировать, то вот твои клиенты, особенно крупные национальные компании, достаточно неповоротливы 😞, чтобы быстро начать действовать, да еще и в выходные, да еще и когда твое начальство на ПМЭФ или летит с него.
Ну а я в очередной раз задам сакраментальный вопрос - что является доказательством качества 5️⃣ предоставляемых услуг и реальной защищенности компании по ИБ? Лицензия регулятора? Свидетельства о прохождении обучения на 512 часов? Благодарственные письма от заказчиков? Или все-таки что-то иное? Например, приглашение других ИБ-компаний к взаимопроникновению 🤜 с опубликованием результатов, выход на Bug Bounty, участие в открытых кибериспытаниях?.. Вопрос риторический...
ЗЫ. Имен не будет. Регуляторы в курсе.
А мы тут запустили свое небольшое онлайн-медиа 📣 (да, плюс к SecurityLab и Positive Research), в котором будет всякое разное для более широкой аудитории, чем просто специалисты по ИБ. И какие-то фильмы я даже немного поконсультировал (скоро выйдет на канале). Продолжаем нести свет знаний в массы 🚨
Читать полностью…
Авиакомпания «Россия», приветствуя своих пассажиров, утверждает, что они «крупнейший эксплуатант самолетов российского производства» ✈️ Прям гордость берет за «Россию» 🇷🇺 Почему никто еще не взял на знамя статус «крупнейшего в мире эксплуатанта средств защиты информации, произведенных в России»? 🏆 Маркетологи зря едят свой хлеб 🍿
Читать полностью…
Каждый год мы с друзьями выступаем в плавках на мероприятиях по ИБ... Так хотелось бы начать рассказ о финальной дискуссии финального дня PHD2, которая подводила итог всему бизнес-треку. А все потому, что начав на прошлогодней Магнитке, мы решили вновь пошалить и выйти на сцену Лужников в пляжном и с коктейлем в руках поговорить за русский кибербез и то, что нужно вендорам и потребителям. Я благодарен коллегам, которые не побоялись прийти и поговорить в воскресенье вечером на злободневную тему. Получилось задорно и с правильными мыслями.
ЗЫ. И это последнее видео с моим участием с PHD2!
Этой дискуссией мы завершали день CISO на PHD2. В отличие от всех предыдущих, где вопросы готовились заранее, здесь был полный экспромт - вопросы задавались слушателями в зале и в онлайне. Получилось неплохо, а я вновь не буду выделять что-то конкретное в ответах коллег, так как у каждого это "конкретное" будет своим.
Читать полностью…
Взгляд обывателя на то, как надо запоминать пин-коды 🤯 Все хорошо в этом совете, но когда кто-то, особенно известный, озвучивает какую-либо схему, именно ее и будут использовать читатели. И в любом случае, вариантов описанной схемы не так много, а значит они все легко подбираются и оцифровываются.
Это скорее пример awareness для обывателя 😊 Я давно предлагал, что надо, чтобы про ИБ рассказывали Бузова, Гутенморген и другие "инстасамки". И вот пример охвата...📣
А еще можно вместо публичных и унизительных извинений за носок 🧦 на члене и другие проявления «голых вечеринок», вменять общественные публичные работы в онлайне. Сфакапил - иди отрабатывай, запиши пяток роликов про MFA на Госуслугах, обновление браузера, выбор паролей и т.п. Или по радио с тем же выступи, или проведи бабушку через дорогу в собесе лекцию . Так насадим всем правильный кибербез! 😂
Есть такой стартап BforeAI, который использует ИИ 🧠, запатентовал алгоритмы обнаружения атак, имеет уровень ложных срабатываний на уровне 0,05% и вот это вот маркетинговое бла-бла-бла. Но... они тут на днях, вместе со страховой компанией Munich Re, анонсировали, что гарантируют защиту и в случае, если клиент все-таки пострадает от атаки 😷, то он получит возмещение ущерба в десятикратном размере от суммы контракта. Да, не от понесенного ущерба, но даже от суммы контракта, - это смело. Текста условий страхования я не нашел и там скорее всего есть ограничения, но в любом случае это достаточно интересный анонс и схожих историй становится все больше (я в прошлом июне делал обзор таких компаний) 📈
У нас в стране пока таких анонсов нет. Есть разговоры о выплатах в пределах суммы по договору 🤑, если будет доказано и бла-бла-бла, другие отмазки. Есть разговоры о скидках. Есть существенные выплаты за взлом инфраструктуры и внедрение закладки в код продуктов 🟥, что характеризует качество безопасной разработки продуктов и уровень собственной защиты компании. А вот так чтобы выложить свои Фаберже на стол и сказать - если наши продукты вас не защитят, то мы заплатим вам миллион долларов 🦺 или хотя бы двукратную сумму контракта... Увы. Пока наш рынок не готов к таким заявлениям. Ну что ж подождем...
Тээээкс, надо завершить историю с публикацией ссылок на мои выступления/модерации на PHD2. Эта дискуссия, по сути, задала тон всему стриму про CISO на бизнес-треке PHD2. Мы поговорили о том, как оценивать работу руководителя ИБ - по числу обнаруженных и отраженных инцидентов или все-таки по неким иным показателям? И надо сказать, что у коллег был разный взгляд на этот, казалось бы, простой вопрос ❓
Не буду говорить, какая позиция оказалась мне ближе (хотя в видео я, вроде, это говорю), - все-таки это вопрос, не имеющий универсального ответа. Каждый проходит разные этапы в этом вопросе. Кому-то соответствие требованиям - результат, кому-то снижение числа инцидентов, кому-то попадание в бюджет, а кому-то удовлетворение хотелок большого босса 🤸 И на определенном этапе развития CISO и компании, в которой он трудится, это будет вполне нормально. Наверное, в этом и смысл любой дискуссии, - обменяться мнениями, чтобы слушатели взяли что-то свое, без навязывания извне.
История «взлома» Snowflake ❄️ обрастает новыми подробностями и получает развитие (кто бы сомневался). Сначала они вместе с Crowdstrike и Mandiant (сразу с двумя!!) выпускают заявление, что ничего страшного, взлома не было. Но при этом в Knowledge Base компании незаметно и без уведомления появляется статья ☝️с индикаторами компрометации. Потом Snowflake через юристов 🧑⚖️ добивается удаления первоначального поста о взломе. При этом австралийский ИБ-регулятор подтверждает взлом некоторых клиентов Snowflake, а американская CISA публикует бюллетень про инцидент.
А так-то, да, инцидента не было и вся движуха - это цепь нелепых случайностей 🤦♂️ Осталось Ватикану выпустить заявление, что взлома Snowflake не было, но Папа Римский молится за всех пострадавших от инцидентов ИБ, и паноптикум станет полным.
Услышав в разговоре про security data lake (озеро данных безопасности), всегда уточняйте, что конкретно имеет ввиду человек, его упоминающий. А то знаете ли, мнения у всех разные и нет единого или хотя бы доминирующего 😱 А без этого впарят вам обычный SIEM под видом озера, а то и просто облачное файловое хранилище...
Читать полностью…
Интересно, никто не задавался вопросом, насколько случайно падение капель и звук дождя по крыше❓ Нельзя ли использовать их как генератор действительно случайных паролей? И хотя действительно случайные пароли, созданные таким образом, бессмысленны ввиду своей незапоминаемости, но как способ генерации случайных чисел... Почему бы и нет 💡
ЗЫ. Спасибо подписчице за ссылку на видео с Пикабу!
Это было предсказуемо, вопрос был только в том, кто первым выпустит отчет 📑 о влиянии России на Олимпийские игры в Париже, их дестабилизации и использовании хакеров против спорта. Первым оказался Microsoft 📱
ЗЫ. Фраза, что Россия десятилетиями пыталась влиять на Олимпийские игры, особенно доставила 😎
ЗЗЫ. Параллельно Жозеп Боррель, глава евродипломатии, обвинил Россию во вмешательстве в выборы в Европарламент 6-9 июня. Мол, фейки, боты, искусственный интеллект... и все это супротив демократии. Тоже было предсказуемо 🇪🇺
Я про бизнес-моделирование писал уже не раз, а применительно к рынку киберпреступности 🥷, живущему по этим законам, не раз обращался в различных непубличных выступлениях и курсах для органов внутренних дел 👮♀️ И вот вынес некоторые мысли оттуда на Большую спортивную арену Лужников.
Читать полностью…
А вот на этой дискуссии про OSINT 🔍 на PHD2 мы немного зарубились, а после нее осталась какая-то недосказанность. С одной стороны никто не спорит, что корпоративный OSINT (также известный как Digital Risk Protection или даже Brand Protection) позволяет открыть глаза компаниям на то, как они видны извне, злоумышленникам и вообще плохим парням. И что с этим знанием надо что-то делать. С другой, желание регулятора выпустить методический документ, который бы описывал этот этап деятельности в области ИБ (в контексте offense или defense), вызвало подозрение, что скоро на этот вид деятельности еще и лицензию 👮♂️ придется получать. И хотя ФСТЭК старалась снять эти опасения, говоря о методическом документе, описывающем работу с первой тактикой согласно MITRE ATT&CK (Разведка/Reconnaissance), но в это не все поверили. Особенно учитывая, что интерес регулятора к этой теме оказался неожиданным 😳
Читать полностью…
Никогда такого не было и вот опять!
ЗЫ. Спасибо подписчику 👍
👋 Вы знали, что в семнадцатом веке компьютеры были живыми, пили чай по утрам и ходили на работу?
А о том, что первые флешки появились пару столетий спустя и использовались для ткацких станков? Или, например, что первым программистом в истории была Ада Лавлейс — дочь лорда и поэта Джорджа Байрона? О том, что идеальная универсальная вычислительная машина придумана Тьюрингом в середине прошлого века, но все еще не может быть построена?
🤩 Наука проделала огромный путь от деревянных счетов до макбуков последней модели. И по этому пути прошло множество замечательных людей, ученых и сподвижников, влюбленных в свое дело, не желающих останавливаться на достигнутом, не боящихся рушить старые теории и выдвигать новые.
В первом выпуске «Комнаты 1337» рассказываем об эволюции вычислительной техники и отце всех компьютеров — Алане Тьюринге.
Смотрите его на нашем YouTube-канале и делитесь с теми, кому тоже интересно.
@PositiveHackMedia
В Даркнете в продаже появилась утечка 🚰 с данными клиентов, партнеров и сотрудников Cylance, ИБ-компании, выпускающей EDR и купленной BlackBerry. Вот такие дела… 🖥
Читать полностью…
Представьте, вам платят зарплату 🤑, динамически ее вычисляя в зависимости от уровня реальной защищенности компании 📈 Стали продавать доступ в вашу инфраструктуру, ваша зарплата упала до стоимости доступа (понимаю, что для многих 2500 долларов, это не падение, а рост). Исчезли из Даркнета 🥷 предложения доступов, баз с утечками... Значит можно вернуться к предложению из исходного оффера. Согласитесь, это щекочет "фаберже" и делает работу ИБшника более осмысленной, так как доход напрямую зависит от результатов работы, а не среднего размера зарплаты на hh[.]ru 💡
Читать полностью…
Помните, я 3-го июня упоминал про дырявый Checkpoint? Так вот уязвимость CVE-2024-24919 обнаружена на 13754 железках израильской компании, торчащих наружу. Как видно на карте от Censys, по данным на 3 июня, такие устройства есть и на территории России. Примите меры! 🤬
ЗЫ. Надеюсь, «Сканер» от РКН или Rooster от CyberOK позволят скоро такие же исследования всем делать 🙄
Пинкоды
Чем больше банковских карт становится в кармане, тем сложнее запоминать от них пинкоды.
Даже если карт мало, они часто меняются - то потеряешь, то проебешь, то погнешь. И надо делать новую.
Есть очень простой способ придумывать и запоминать пинкоды от кредиток. Главное - придумать какой-либо принцип.
У всех карт есть 16 цифр, которые состоят из 4 наборов по 4 цифры. Достаточно выбрать способ запоминания цифр. Например: брать каждую первую цифру из каждого блока. Или каждую последнюю. или четыре цифры из середины. Или четыре последних. Или первую из первого, вторую из второго и пр.
И тогда не нужно будет запоминать пинкоды, потому что они всегда будут какие нужно и всегда разные. Главное - никому не говорить про свой принцип.
Если вдруг у вас, как и у меня, возникал вопрос, как проводить сканирование прошивок на предмет уязвимостей, то вот американцы подогнали коротенький отчетик по этой теме 🔍
Читать полностью…
Мы много болтаем ерунды про "уклонение от потерь", "ущерб репутации", "ROSI", "требования законодательства" и т.п. мантры, которыми ИБшники затуманивают мозг бизнесу. Но все это не работает. Нужно фокусироваться на другом - не на ИБ, на важном для бизнеса, показывать реальную и крупную экономию, улучшать и измерять пользовательский опыт.
Не умаляя отношений с друзьями, все-таки самые ценные подарки, которые мы получаем, они от детей! Вот и вчера, дочь мне на день рождения, подарила комикс про папу - позитивмэна, который помогает королю выбрать надежный пароль! ❤️🔥 Интересно меня видит ребенок, конечно. Три волосинки и красные революционные трусселя, в которых я спасаю виртуальный мир 😊 Недалеко от истины, кстати 💯
Читать полностью…
В мае было зафиксировано более 5000 CVE, что составляет, в среднем, 164 уязвимости в день 🎯 В 2023-м году среднее число обнаруживаемых уязвимостей (которым присваивался CVE) в день было… 84. Нас ждет горячий год с точки зрения vulnerability management… ⚔️
И вряд ли ситуация будет лучше. Чем больше в процесс разработки будет внедряться ML 🤖 и чем чаще он будет обучаться на говёном коде, тем больше дыр в софте будет появляться и тем больше атак может случиться, так как, как мы помним, использование уязвимостей в публично доступных приложениях входит в тройку 3️⃣ основных причин инцидентов!
ЗЫ. NIST обещает в сентябре вернуть NVD к жизни. Верится с трудом. Никто не захотел взять на себя эту ношу. В итоге NIST законтрактовал компанию Analygence, которая не имеет опыта такой работы. Так что перспективы туманны 😶🌫️
В российском Darknet достаточно активно приторговывают логами, полученными в результате работы инфостилеров Raccoon, RedLine, RisePRO и др., крадущих информацию 🥷 И вот последние несколько дней у американских специалистов по ИБ стало подгорать от нового инструмента Recall от компании Microsoft. Оказалось, что это очень простой, понятный и, местами, полезный сервис, встроенный в последние версии Windows 📱 вместе с Copilot, делает каждый 5 секунд копии экрана и хранит их в течение 3-х месяцев, чтобы человек мог всегда пролистать до нужного скриншота/снэпшота, понять, что он делал в этот момент и поискать вокруг, что его интересовало в моменте.
И вот оказалось, что эти копии не особо-то и защищены, а также могут содержать достаточно чувствительную информацию, - вводимые пароли, данные банковских счетов, переписку и т.п. 📬 И все это скрупулезно собирается вполне законными инструментами, складируется на жестком диске и... может быть сперто уже нелегальным инфостилером. Или к этому контенту может быть получен доступ в случае утери ноутбука с отсутствующим шифрованием 👹
Вот так и рубятся на корню все благие начинания. А Microsoft сейчас огребает по самое не балуйся. Ему вспоминают все его последние косяки, расследования Конгресса, наезды CISA... Так, глядишь, антимонопольщики вновь потребуют их разделить и таки разделят 🔪
Мне тут в личку пишут и спрашивают, почему я ничего не пишу про взлом "Верного"? Ну а как я могу подводить подписчиков! Итак, что я могу сказать про атаку на "Верный" 🛒, а также на другие организации, которые были атакованы за последние дни. Повторю то, что я говорил в разных интервью по радио - достаточно неразумно считать, что мы пережили основной пик атак, начавшихся весной 2022-го года 📈 Более того, именно сейчас начнутся инциденты с серьезными, можно даже сказать, катастрофическими последствиями. За прошедшие пару лет плохие парни уже нащупали слабые места, закрепились в инфраструктуре и начинают реализовывать недопустимые события 💥
Но пост вообще не об этом, а о том редком в нашей области явлении, когда кто-то озвучил финансовые последствия от атаки 🤑 Да, скорее это предположение, но все-таки оно имеет под собой основу, как мне кажется. Итак, что нам говорит гендиректор «Infoline-Аналитики» Михаил Бурмистров:
По подсчетам одного из собеседника «Ъ», потери «Верного» из-за хакерской атаки уже сейчас могут составить как минимум 300 млн руб., если эта ситуация не будет исправлена в ближайшие два дня, то потери могут превысить 500 млн руб. При неработающих картах, сайте и приложении ритейлер может терять не менее 40% оборота, считает гендиректор «Infoline-Аналитика» Михаил Бурмистров. Таким образом, потери «Верного» могут составлять 120–140 млн руб. в день, или около 1 млрд руб. в неделю. Ранее в такую сумму эксперты оценивали ущерб, понесенный СДЭК от хакерской атаки.
Подогнали тут исследование, которое показывает, как LLM-агенты могут в автоматическом режиме взламывать веб-сайты. Именно в автоматическом, без участия человека, режиме 😔
Исследователи тестировали 15 способов атак - от простых к более сложным и комплексным. Например, в одном из экспериментов LLM-агент самостоятельно осуществил 38 действий 📎 - получение схемы БД, вытаскивание данных из БД, генерация SQL-запросов, обнаружение уязвимостей и итоговый взлом. При этом, тестируемые LLM-агенты ничего заранее не знали о проверяемых уязвимостях, а на каждый "взлом" им давалось ограниченное время (10 минут) 🧠
Эффективность агента на базе GPT-4 (не GPT-4o) составила 73,3%, что очень даже неплохо и ставит перед компаниями новые задачи по защите своих онлайн-ресурсов от автоматических ИИ-инструментов. У вас же есть WAF, который защищает от всех этих SQLi, XSS, CSRF и т.п.? 🕸
ЗЫ. Тем временем платформа для построения ML/AI моделей HuggingFace столкнулась с взломом.
Ситуация. У соседей хакеры зашифровали все файлы, базу данных, бэкапы и вымогают много миллионов.
Ваш испуганный техдир/техлид/тимлид прибежал и просит выделить бюджет на ИБ. Кричит, говорит что-то непонятное про какой-то рут доступ, антивирусы, selinux и apparmor.
Сохраняйте спокойствие и не ведитесь на провокацию. Спросите его, освящали ли серверную? Стоят ли там иконы? Богоугодное ли ПО использует? В храм ходит регулярно? Это база.
#база
Экс-замгубернатора Смоленской области развели на 6,5 млн рублей, пока он отдыхал в Крыму. Раньше он отвечал в регионе за цифровизацию и IT-безопасность.
До весны 2023 года Николай Кузнецов работал на должности замгубернатора и курировал в регионе в том числе информационную безопасность. После увольнения Кузнецов рассказывал в интервью, что остался работать в администрации области на должности советника-эксперта. По данным источников «Базы», мошенники связались с Кузнецовым 29 мая. Неизвестные убедили чиновника, что его накопления под угрозой и деньги необходимо срочно перевести на безопасный счёт.
Кузнецов поверил звонившим. Чтобы «обезопасить» деньги, ему пришлось прервать отпуск — из Крыма чиновник поехал в Анапу и Новороссийск, где находились указанные преступниками «безопасные» платёжные терминалы. Через них он отправил 6,5 млн рублей, а затем вернулся в Крым.
После этого Кузнецов догадался, что его обманули, и обратился в полицию.
Я тут часто писал про уязвимости в решениях Fortinet, но они не единственные из зарубежных производителей МСЭ страдают 🤬 В середине апреля Cisco Talos опубликовал у себя в блоге пост о том, что они наблюдают кампанию, нацеленную на подбор паролей VPN-устройств Cisco, Checkpoint, Fortinet, SonicWall, Mikrotik, Draytek, Ubiquiti. На днях, 27 мая, Checkpoint выпустила бюллетень, в котором рассказала об успешных атаках на некоторых своих клиентов, у которых на устройствах включен VPN или мобильный доступ 🚠
Самое интересное, что вендор пишет о возможности реализации атаки из-за нерекомендуемого способа аутентификации. Но если он не рекомендуется, то, глядь, какого рожна он не отключен? 😔 Что мешает просто отключить эту возможность в ПО и на тестах проверить невозможность ее использования? Это же вообще не проблема - не надо ничего нового добавлять. Это вам не квантовое распределение криптографических ключей в VPN-решение внедрять. Тут надо просто взять и отключить одну процедуру в коде и убрать галку из графического интерфейса. Всего делов-то... 🧑💻
Интересно, что Checkpoint не подписал меморандум CISA с 68 вендорами об обязательном включении MFA и отказе от использования паролей по умолчанию в продуктах ИБ. Интересно, почему?