Пост Лукацкого

23 апреля 2024 13:39

Приехал я на выставку-конференцию по ИБ GISEC и, на фоне буквально еще не высохшего после небывалого ливня и последующего наводнения Дубая, вдруг вспомнил о том, что столь катастрофические последствия, с которыми столкнулся крупнейший город ОАЭ 🇦🇪, могли бы произойти и по причине кибератаки. Тем более, что за последнее время было уже несколько кейсов, которые могли закончиться плохо.

Три небольших техасских города пострадали в этом январе от рук хакеров, которые попытались вывести из строя местные системы водоснабжения. В Панхендле (2000 жителей) хакеры 37000 раз за 4 дня пытались проникнуть за межсетевой экран 🤬, защищающий локальную критическую инфраструктуру. По словам муниципальных властей "атака была неуспешна, так как город отключил систему водоснабжения и управлял ею вручную". Как по мне, так это не то, чтобы неуспешная атака, а с другой стороны цели хакеры не достигли. В соседнем Мулшу (5000 жителей) атака была более успешной - система водоснабжения ⛲️ была переполнена прежде чем ее отключили и перевели в ручной режим работы. Аналогичные атаки наблюдались и в соседнем Локни (1500 жителей).

Ответственность за атаки взяла на себя группировка CyberArmyofRussia_Reborn, которая помимо американских систем водоснабжения в январе атаковала схожие объекты КИИ и в Польше. Но атакуют системы водоснабжения 🚰 не только они. В прошлом ноябре CISA выпустила предупреждение об атаках на такие системы со стороны иранских хакеров, а уже в марте советник по нацбезопасности Джек Салливан и администратор агентства по защите окружающей среды разослали письмо с предупреждением о росте числа атак на водоснабжение со стороны еще и китайских хакеров 👲

В Израиле тоже имело место инциденты с системами водоснабжения. А потом у нас были атаки на "Московский коллектор" со стороны проукраинской группировки. Число таких атак растет и только Нептун знает, когда количество перейдет в качество и на улицы хлынут потоки воды, сточных вод, фекалий и т.п. Хорошо бы никогда, но это уже маловероятно.

Пост Лукацкого

23 апреля 2024 06:40

Медицинский центр в французских Каннах (CHC-SV) объявил о кибератаке, которая привела к тому, что госпиталю 🏥 пришлось прекратить проведение многих врачебных операций из-за недоступности медицинских систем. Часть процедур выполняется вручную. Пока никаких требований выкупа не поступало, расследование продолжается 🕵🏻‍♀️

Интересно читать заявление больницы между строк. С одной стороны они пишут, что риск кибератаки для них был одним из приоритетных 🔝 и они даже проводили киберучения по его отражению, но при этом недопустимое все-таки произошло и они ничего не смогли сделать, кроме как очень быстро принять решение об отключении медицинских систем. С другой стороны, у них выделены ключевые и целевые системы, которые завязаны на обследования пациентов и ведение электронных медицинских записей) и они в первую очередь фокусируют свое внимание на них, а не на всех системах больницы 🤹‍♂️

В конце они пишут, что по опыту других больниц, подвергшихся кибератаке 🔓, восстановление может быть очень долгим и займет немало времени, тем самым давая себе пути для отступления и не гарантируя скорейшего возвращения всех медицинских систем в строй 🧑🏼‍⚕️

ЗЫ. Все попытки разграничить военные и гражданские объекты в киберпространстве, распространить на больницы и другие схожие организации положения Женевской и Гаагской конвенций, разработать маркировку для защиты от кибератак, - это как мертвому припарки. Джин 🧞‍♀️ выпущен из бутылки и никто правила соблюдать не будет. И если за прошедшие годы от шифровальщиков, атаковавших медучреждения в США, погибло "всего" около 60 человек, то это число может существенно вырасти, если не начать предпринимать серьезные усилия по результативному кибербезу в здравоохранении, а не реализации тупой бумажной ИБ.

Пост Лукацкого

22 апреля 2024 17:04

Интересные какие курсы на GISEC (завтра начинается) в Дубае 🇦🇪 Создание своего кибероружия... ⚔️ Раньше такие темы на публичных конференциях особо не поднимали 😮 Видимо, напряженность нарастает и в киберпространстве, раз становятся доступными такие мероприятия.

ЗЫ. С завтрашнего дня буду на GISEC и пока не знаю, как получиться постить что-то, но точно будут какие-то наблюдения с того, как видится ближневосточный рынок ИБ ☪️

Пост Лукацкого

22 апреля 2024 10:03

Synopsys выпустил очередной ежегодный отчет по безопасности и анализу рисков open source (OSSRA) 👨‍💻 Достаточно пессимистичный взгляд на проблему, особенно после истории с имплантом XZ Utils. Ключевые выводы исследования показаны на картинке, а я хочу в целом отметить только одно - разговоры про то, что open source более защищен, потому что его "могут смотреть тысячи глаз" 🧑‍💻 - это все полная фигня. Не важно сколько глаз может смотреть на код, важнее - сколько реально смотрит и какова вообще их мотивация смотреть куда-то. Если процесс безопасной разработки не реализован, а используемый чужой код не проходит многоступенчатую проверку, то все это только создает иллюзию защищенности, которая дорого обходится 💻

Пост Лукацкого

21 апреля 2024 20:23

На этом фрагменте из статьи 2021-го года я взоржал 😂 Сингапур 🇸🇬 - первая страна, установившая требования по лицензированию ИБ-компаний?.. Это они про закон 2022-го года. Ага, щаз...

Пост Лукацкого

21 апреля 2024 12:28

Еще один аналог импланта в XZ Utils найден, на этот раз в проекте OpenJS. Схема та же - некто захотел стать мейнтейнером проекта и "устранять критические уязвимости". Также аналогичные истории были найдены и в двух других JavaScript проектах. По ссылке особых деталей новых кейсов нет, а вот рекомендации по борьбе с ними, - даны.

Пост Лукацкого

20 апреля 2024 20:31

По ту сторону баррикад новая тенденция - вместо активного использования модели Ransomware-as-a-Service и работы на крупные группировки ALPHV, Cl0p, LockBit и т.п. с миллионными выкупами 🤑, стали появляться облегченные, не самые навороченные, но при этом дешевые (300-400 долларов) шифровальщики, которые продаются всем желающим 👨‍💻 и которые нацелены на малый бизнес, а то и физлиц. И самое неприятное, что эта категория лиц скорее всего не будет сильно заморачиваться с обращением в компании по ИБ - им проще будет заплатить, а не строить серьезные системы защиты. И множество таких инцидентов будет оставаться в тени незамеченными 🥷

ЗЫ. Мы в первый день PHD2 хотим как раз в рамках бизнес-трека, на одной из площадок, поговорить про кибербез для самых маленьких - для тех, кто не всегда в состоянии защитить себя также, как это делают крупные предприятия.

ЗЗЫ. В свою очередь LockBit готовит новую функциональность своих «творений», ориентированную на решения Nutanix

Пост Лукацкого

20 апреля 2024 12:28

 ВЧК-ОГПУ стало известно, как хакеры взломали систему отечественного заменителя Макдональдса — ресторана Вкусно и точка. Напомним, в прошлом году вокруг ситуации с утечкой данных 300 тысяч соискателей работы в фастфуд-компании разгорелся нешуточный скандал. ООО Система ПБО (Вкусно и точка) заявляли о хакерских атаках и прочем, но на самом деле следы приведи к «микрокомпьютеру». Так, по версии следствия, не позднее 7 декабря 2022 года, неустановленные лица, осуществили неправомерный доступ к серверам ООО, путем вмешательства в функционирование систем хранения  и обработки компьютерной информации. А именно путем установки микрокомпьютера марки «Raspberry Pi» модели «4 Model B 8 Gb» с установленной в него SD-картой, модема модели «IK41VE1» и сетевого коммутатора марки «HIKVISION» марки «DS-3E0105D-E» в терминал самообслуживания ПБО «Вкусно – и точка» в целях модификации (предварительно, хищения) компьютерной информации, хранящейся на серверах. По данному факту на днях было возбуждено уголовное дело по статье 272 УК РФ «Неправомерный доступ к компьютерной информации».

Пост Лукацкого

20 апреля 2024 02:26

MITRE взломали. Через уязвимые устройства Ivanti с последующим распространением по исследовательской сети с помощью скомпрометированного пароля админа виртуальных машин VMware. Ранее через Ivanti уже ломали CISA и ряд других госорганов, что навело немалый шухер в США 🇺🇸. MITRE была бы не MITRE, если бы не извлекла и из собственного взлома пользу и не выпустила предложения для отрасли по улучшению ситуации с ИБ.

Пост Лукацкого

19 апреля 2024 17:02

Google так и на поляну Endpoint Security залезет через свой браузер... А потом это и Яндекс скопирует? 💡

Пост Лукацкого

19 апреля 2024 13:31

Я вот тоже участвовал в DataGuard у Тинькофф и даже получил мерч от них за найденную ошибку/уязвимость в обработке ПДн. А еще у Тинькофф интересное средство автоматизации поиска персональных данных в инфраструктуре. Про это рассказ был на конференции "Защита данных"

Пост Лукацкого

19 апреля 2024 06:40

UnitedHealth Group опубликовала финансовую отчетность за первый квартал 2024-го года, заявив о потерях в результате кибератаки 872 миллионов долларов 😮 Всего за один квартал они потеряли, 8️⃣7️⃣2️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣ , мать его, долларов! 😲 При этом, они предполагают, что за весь 2024 год они потеряют от кибератаки от 1,35 до 1,6 миллиардов, мать его, долларов! Но так как из-за снижения доходов, снижается и налогооблагаемая база, то сумму общих потерь будет ниже - "всего" 1,04 - 1,2 миллиарда долларов! 😮

Если почитать отчетность внимательно (это полезное знание для ИБшника - понимать финансовую отчетность), то там еще говорится и про резервирование 3 миллиардов 😲 на помощь фармдистрибьюторам, пострадавшим от простоя в поставках лекарств. Да, это не совсем потери, но это неработающие деньги, что тоже можно считать результатом кибератаки 😲

Пост Лукацкого

18 апреля 2024 17:04

Инерция, доминирование на рынке и грамотный PR оградили Microsoft от претензий со стороны американских властей. И зависимость США 🇺🇸 от техногиганта дает ему определенную защиту и впредь. И это несмотря на множество инцидентов, с которыми столкнулась компания из Редмонда 💻 Непонятно, чем это все закончится. Но многие зарубежные эксперты считают, что скорее всего ничем, - только грамотным PR.

Пост Лукацкого

18 апреля 2024 10:05

На прошлой неделе НКЦКИ сообщил о запуске сервиса «Утекли ли Ваши данные? Проверьте» (УЛВДП). Естественно захотелось его сравнить с другим весьма популярным «Have i been pwned?» (HIBP).

Результаты навскидку такие:
- HIBP ищет только по электронной почте, УЛВДП - ещё и по логину и по номеру телефона;
- HIBP приводит краткую справку о самой утечке с ссылкой на более детальное описание, УЛВДП отображает только наименование источника утечки и дату;
- HIBP обычно находит больше утечек (сравнивал по нескольким адресам), но УЛВДП порой указывает на отсутствующие у HIBP - например, утечку Tele2.ru;
- HIBP позволяет подключить отдельный дашборд для поиска всех утечек для конкретного почтового домена;
- HIBP позволяет работать через API;
- на сайте HIBP есть общая статистическая информация и отдельная информация о всех подключенных базах, в сервисе УЛВДП такой информации нет.

В целом, для первой итерации - УЛВДП получился вполне рабочим, хотя о полной альтернативе HIBP говорить пока рано. Ну, а для бОльшего эффекта рекомендовал бы пользоваться ими обоими одновременно.

_______________________

Сервис НКЦКИ: https://chk.safe-surf.ru

Сервис Have i been pwned?: https://haveibeenpwned.com

Пресс-релиз: https://safe-surf.ru/specialists/news/706601/

Новость на AntiMalware: https://www.anti-malware.ru/news/2024-04-15-114534/43162 - новость с ошибкой: никакие пароли УЛВДП вводить не предлагает =)

Пост Лукацкого

18 апреля 2024 06:40

Запилил презентацию для сегодняшнего выступления в Ташкенте 🇺🇿 про тенденции угроз и ИБ. Буду представлять как еще нигде не опубликованные данные (не все, конечно) по инцидентам, пентестам за 2023 год, а также по хакерским группировкам, действующим в Узбекистане 🔓

Пост Лукацкого

23 апреля 2024 10:02

Еврокомиссия выпустила рекомендации по разработке дорожной карты по переходу на постквантовую криптографию 🤒 Ничего интересного в документе нет - одни разговоры о приверженности защите цифровой Европы, необходимости переходить на постквантовую криптографию, необходимости выбора стойкого и устраивающего все государства ЕС алгоритма и бла-бла-бла. Сама дорожная карта 🗺 должна быть разработана в течение ближайших двух лет, до 11 апреля 2026 года.

Пост Лукацкого

22 апреля 2024 20:20

Комикс про независимого расследователя по киберстрахованию. Создает чувак в свободное время, на свои деньги, реализуя детскую мечту… 🤤 В третьей части он выкрадывает оператора русской ransomware-группировки и оставляет его перед офисом ФБР 👮‍♂️ Сказочник 😂

Пост Лукацкого

22 апреля 2024 13:33

Часто публикуемые исследования показывают, как обойти, заблокировать или удалить агенты EDR 📌 с рабочих мест, а то, что было представлено на BlackHat Asia в докладе "The Dark Side of EDR: Repurpose EDR as an Offensive Tool" показывает, как превратить PaloAlto Cortex XDR в скрытое и эффективное средство нападения, сильно напоминающее вредоносный код. Исследователи обошли все защитные модули - машинного обучения, поведенческий, контроля целостности и т.п. 🔫

В итоге авторам исследования удалось закрепиться на атакуемой системе, красть пользовательские креды, шифровать данные на компе, дампить память (LSASS), скрывать уведомления о вредоносной активности, обходить механизмы обнаружения и действовать у XDR под носом. Исследователь говорит, что другие EDR он может обойти схожим способом... 🔓

ЗЫ. Презу пока не выложили, а другие можно глянуть тут

Пост Лукацкого

22 апреля 2024 06:40

EdgeScan выпустил отчет с интересной статистикой по уязвимостям, который интересен своими цифрами. Пусть он и за прошлый год, но не думаю, что ситуация сильно меняется. Из ключевых тезисов:
1️⃣ 3 из 100 активов в корпоративных сетях имеют не менее одной уязвимости с вероятностью эксплуатации выше 70%
2️⃣ 2 из 100 активов в корпоративных сетях имеют не менее десяти уязвимостей с вероятностью эксплуатации не менее 70%
3️⃣ 3,42% всех активов имеют не менее одной уязвимости с EPSS > 0,7
4️⃣ В Топ10 чаще всего атакуемых портов (49,8% всех портов), доступных извне, входят 443 (TLS/HTTPS), 80 (HTTP), 161 (SNMP), 1720 (H.323), 500 (IKE), 22 (SSH), 5060 (SIP), 2000 (SSCP), 8443 (HTTPS) и 541 (Fortinet). Особенно последний член десятки заставляет задуматься 🤬
5️⃣ 45% непатченных уязвимостей имеют возраст от 1 до 4 лет

Ну а выше показаны средние сроки устранения уязвимостей для web-приложений, а также сетевых устройств, доступных и недоступных извне. Тоже показательная история 😭

Пост Лукацкого

21 апреля 2024 16:16

Microsoft анонсировала очередную нейросеть для создания дипфейков генерации видео по отдельным фото и аудио. Речь идет о VASA, которая пока доступна в виде презентации, но скорее всего гигант из Редмонда ее выпустит в обозримом будущем. И да, там будут всякие защиты от генерации дипфейков и использования ее мошенниками, но, во-первых, мы знаем, как это все обходится, а во-вторых, если это сделала Microsoft, то могут и другие, не столь щепитильные 🎭

Нейросетка интересная - на вход получает фотографию человека 🤒 и любой голосовый фрагмент, которые затем объединяются в единое целое. При этом фото превращается в видео, а голос синхронизируется с движением губ, получая целостную картинку. При этом лицо можно крутить в нужные стороны и показывать его с нужных ракурсов 🧐

2024-й год станет переломным с точки зрения дипфейков... Страшновато немного.... 😱

Пост Лукацкого

21 апреля 2024 08:39

Созданный АНБ в сентябре центр безопасности искусственного интеллекта 🧠 выпустил новое руководство по безопасному внедрению систем на базе ИИ. Открытий ждать не стоит - по сути речь идет о применении традиционных защитных мер 🛡 к системам с ИИ (MFA, ZeroTrust, защита API, защита виртуальных машин и контейнеров, патчинг, пентесты и т.п.). С одной стороны все банально и ожидаемых рассказов про защиту датасетов от атак data poisoning, защиту моделей 😵 от накруток и т.п. не случилось. А с другой это и хорошо - традиционные и уже привычные механизмы ИБ просто нужно применить к новым системам.

Пост Лукацкого

20 апреля 2024 16:23

Сотрудники оператора связи T-Mobile, который все время отрицает свои взломы и утечки ПДн, столкнулись с массовыми предложениями денег за реализации атак SIM Swapping (выдача SIM-карты с номером действующего абонента оператора связи мошеннику) 📱

Не будем отрицать, что сотрудники операторов связи не боги и вполне себе падки на взятки и желание незаконно заработать 🤑 Не случайно именно они вместе с банковскими сотрудниками чаще всего становятся героями криминальных хроник пробивов ПДн. Если они готовы сливать ПДн за копеечку малую, то и организовать SIM Swapping тоже вполне могут. И тут впору задать вопрос - а вы еще по-прежнему реализуете MFA на базе одноразовых кодов в SMS? ❓

Ведь если ваш ответ утвердительный, то это значит, что вы можете стать жертвой SIM Swapping и злоумышленники одноразовые коды аутентификации могут завернуть на себя, а вы об этом даже не узнаете. Подумайте об этом на досуге и попробуйте посмотреть в сторону иных способов MFA 📵 - хотя бы через пуши в приложениях типа Яндекс.Ключ или Google Authenticator. А в идеале вообще выбирать для критичных сервисов что-то более надежное, железное и отчуждаемое... 💳

Пост Лукацкого

20 апреля 2024 08:40

🤠 В России начинает работать очередная ассоциация... по защите персональных данных. Спустя 18 лет с момента принятия закона. Конечно же ее преподносят как "первую". Организаторов тоже называют "заметными экспертами в своих нишах" (видимо они же сами). Лично мне они не известны 🤷 И кажется, что ничего хорошего из этого не получится.

ЗЫ. А еще Яндекс, Авито, Тинькофф и Билайн разработали свой стандарт защиты данных.

Пост Лукацкого

19 апреля 2024 20:24

Подумал, что 4 основных мировых киберугрозы (по версии США и сателлитов), Россия, Иран, Северная Корея и Китай, прекрасно собираются в аббревиатуру РИСК 💡 Был у нас БРИКС (особенно в контексте свежих новостей), а теперь будет РИСК!

Пост Лукацкого

19 апреля 2024 13:31

Безопасность данных в компании обеспечивают далеко не только специалисты ИБ. Причиной утечки может быть любой рядовой менеджер, установивший на компьютер вредоносное ПО. Тут важны комплексные инициативы.

На конференции Data Fusion вице-президент и директор департамента информационной безопасности Тинькофф Дмитрий Гадарь рассказал об одном из вариантов решения проблемы. Банк развернул у себя внутри комплексную программу поиска уязвимостей DataGuard на все 90 тысяч человек.

Каждый сотрудник может сообщить о найденной уязвимости или ошибке и получить вознаграждение в виде внутренней валюты Тинька и потратить их во внутреннем магазине на технику, гаджеты и мерч. Пул жалоб, за который можно получить вознаграждение, максимально широкий и связан далеко не только с IT: рискованные бизнес-процессы, проблемы с разграничением доступа к данным, передача избыточных данных.

У компании это уже не первая инициатива подобного рода:
➖ есть привычные для рынка программы bug bounty, в рамках которых Тинькофф выплатил «белым хакерам» более 25 млн рублей.
➖ проходят соревнования Month of Bugs по поиску уязвимостей за вознаграждение, а также чемпионат по спортивному хакингу среди сотрудников CTF.

Понимание каждым сотрудником важности защиты персональных данных и данных организаций — ключевое звено в цепочке информационной безопасности. Такой подход позволяет предотвратить потенциальные угрозы и создает прочную основу для доверия клиентов, укрепляя репутацию компании как надежного хранителя данных.

Пост Лукацкого

19 апреля 2024 10:01

Тем временем Forrester констатировал, что "классическое" повышение осведомлённости, базирующееся на использовании решений SA&T (Security Awarness and Training), мертво — наступила эра решений HRM (Human Risk Management)🤔
На скриншотах можно увидеть сценарии использования решений HRM и описание функциональности, которые я стащил отсюда😅

В общем-то, проблемы и недостатки классического "аварнесса" очевидны — "человек не исправим", а если служба ИБ ещё зациклится на классических метриках типа "сколько кликнуло по ссылке/сколько ввело учётные данные/сколько обучилось", то можно пошатнуть психологическое здоровье сотрудников компании🫠
Ок, что тогда делать? Приходим к мысли формирования группы повышенного риска — тоже очевидная вещь, которой скоро будет десяток лет. А дальше? Дальше надо ставить особо доверчивых сотрудников "на карандаш" — т.е. как минимум сообщать коллегам из SOC, чтобы их взяли под особый контроль, и применять более "жесткие" политики средств защиты и мониторинга. HRM-платформы призваны решить проблемы, связанные с более точным определением уровней риска, групп риска и интеграции с различными техническими средствами защиты, с целью автоматизации реагирования на "приоритетные риски", рождаемые невнимательными сотрудниками.

А в целом, интеграция решений класса SA&T или HRM в единую систему защиты всегда неизбежна, хотя бы для того, чтобы нормально сформировать группы риска, учитывающие различные критерии поведения сотрудников💯

Пост Лукацкого

18 апреля 2024 20:21

У багов тоже есть чувства!.. 💗

Пост Лукацкого

18 апреля 2024 13:34

После компрометации 576 тысяч учетных записей стримингового ТВ Roku, сервис 📺 принудительно включил MFA для 80 миллионов своих пользователей. Это уже второй инцидент в этом году - в первый раз, месяц назад, скомпрометировано было 15 тысяч учеток. В 400 случаев хакеры даже успели купить 🤑 стриминговые услуги за счет подключенных к учеткам платежных инструментов.

Пост Лукацкого

18 апреля 2024 10:05

К "моему" набору теперь можно добавить и сервис от НКЦКИ по отслеживанию утечек, у которого есть и плюсы и минусы по сравнению с другими...

Пост Лукацкого

17 апреля 2024 20:31

В Ижевске провели проповедь о кибербезопасности.

Подполковник полиции и отец Владимир объяснили прихожанам, что делать, когда звонят мошенники

📢 Прямой эфир - подписаться