Пост Лукацкого

02 мая 2024 20:31

В японской 🇯🇵 префектуре Фукуи полиция придумала нестандартный ход - они стали размещать в магазинах платежные карты «Удаление вируса/троянского коня» и «Неоплаченный выкуп» («Virus/Trojan horse removal fee payment card» и «Unpaid charges/delinquent charges payment card»), выявляя тем самым… нет не кибермошенников, а их жертв 💡

Когда кто-то покупает 🛒 такую карту, полиция сразу уведомляется. Пишут, что таким образом спасли несколько пожилых 🍜 японцев, которые чуть не стали жертвами вымогателей.

Данных по эффективности этого метода нет, но полицейские, придумавшие его, получили повышение 🫡 Наши полицейские тоже на выдумки сильны!

Пост Лукацкого

02 мая 2024 13:37

🆕 23 апреля, не нарушая традиций, MITRE выпустила новое обновление матрицы ATT&CK, сфокусировавшись на том, что нужно обнаруживать и как это сделать наиболее эффективно. С точки зрения цифр, было добавлено 12 техник в Enterprise-матрицу, 5 - в "мобильную" версию и 2 - в версию для АСУ ТП, а также 34 новых вредоносов (29 для корпоративной и 5 для мобилок), 13 новых группировок 👨‍👨‍👦‍👦 (7, 5 и 1 соответственно) и 9 новых хакерских кампаний. Всего в 15-ю версию MITRE ATT&CK теперь включено 14 техник (по 12 для мобильной и АСУ ТП версий), 368 техник, 481 подтехника (в 16-й версии добавят подтехники и для АСУ ТП версии), 152 группировки, 794 вредоноса и 30 кампаний. Добавления были и российских компаний, но без их упоминания (геополитика-с) 🔢

Следуя трендам были добавлены новые техники, связанные с компрометацией сетевых устройств (T1584.008), Fortinet, привет, а также с применением искусственного интеллекта 🧠 (T1588.007). Множество техник было модифицировано под влиянием новых кейсов, зафиксированных за последнее время (особенно в контексте взломов облаков).

В отличие от прошлой версии, в которую добавили псевдокод, демонстрирующий способ описание детекта техники, в новой версии от него отказались, посчитав достаточно сложным для восприятия. Но сама идея была правильная, поэтому в 15-й версии псевдокод поменяли на язык запросов, схожий со Splunk'овским.

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688" )
( (CommandLine="reg" CommandLine="add" CommandLine="/d" ) OR ((CommandLine="Set-ItemProperty" OR CommandLine="New-ItemProperty") AND CommandLine="-value" )) CommandLine=" Microsoft \Windows NI\CurrentVersion|Winlogon" (CommandLine="Userinit" OR CommandIine="Shell" OR CommandLine="Notify")

Пост Лукацкого

02 мая 2024 08:42

⚠️ Dropbox уведомил Комиссию по ценным бумагам об инциденте с сервисом Dropbox Sign.

Но, что странно, Dropbox пишет, что неизвестные хакеры 👨‍💻 получили доступ к e-mails, именам пользователей, настройкам учетных записей, а также, в ряде случаев, к хэшированным паролям, номерам телефонов, ключам API, токенам OAuth и MFA. И при этом Dropbox уверяет, что доступа к данным пользователей нет 🤔

Имея такой «фулхаус» 🃏 на руках и не воспользоваться? Врут, небось, и готовят аудиторию к следующему анонсу?.. 🔈

Но прямо сейчас я пойду и поменяю не только пароль 💡 от Dropbox, в день пароля-то, но и отозву все токены аутентификации (ими можно пользоваться даже при измененном пароле).

Пост Лукацкого

02 мая 2024 02:33

Зеленский уволил главу кибербеза СБУ Илью Витюка, которого он же месяц назад наградил погонами бригадного генерала

Пост Лукацкого

01 мая 2024 20:32

Шутка за 100 для тех, кто еще помнит эти имена 😂

ЗЫ. На сайте McAfee, кстати, из раздела Executive Team убрали данные по их гендиректору, Грегу Джонсону. Опять меняют?

ЗЗЫ. Главное, не путаться в разных McAfee, которые теперь McAfee (консьюмерские продукты), Trellix (слияние McAfee Enterprise и Fireeye) и SkyHigh (слияние SkyHigh и McAfee SSE) 😦

Пост Лукацкого

01 мая 2024 15:22

Мир
Труд
Май
Кибербез

Подготовили мотивирующие плакаты в советской стилистике с важными советами по кибергигиене.

🔮 Листайте карточки, ностальгируйте и пишите в комментариях, какие еще советы можно перенести на советский плакат. 

💫 Все плакаты можно не только репостнуть и отправить друзьям, но и скачать в высоком разрешении и повесить у себя в офисе.

🏠 Подписаться на Кибердом & Бизнес

Пост Лукацкого

01 мая 2024 08:40

Новая схема от мошенников с сопредельной стороны (прислана подписчицей, за что ей спасибо!). Обзванивают 📞 бывших сотрудников (начиная с гендиректоров и бухгалтеров, данные по которым открыто лежат в ЕГРЮЛ) компаний с иностранным участием и, прикрываясь службой в правоохранительных органах и стращая уголовными делами 👮 по иноагентским статьям и госизменой, требуют всякого, например, бухгалтерские документы.

Так что, если вы еще недавно числились в какой-нибудь такой фирме, то будьте готовы к соответствующим звонкам 📞 и сообщениям. Как модификация схемы, может прилететь сообщение от вашего "бывшего генерального директора", который будет запрашивать разное, якобы в рамках следственных действий, или просить оказать содействие 🆘

ЗЫ. То же легко пробивается через соцсети (LinkedIn, Facebook, VK и иже с ними).

Пост Лукацкого

30 апреля 2024 15:50

21 год тюрьмы получил специалист по кибербезопасности АНБ за шпионаж в пользу России 🇷🇺 За 85 тысяч долларов он слил (и пообещал слить еще) несколько совершенно секретных документов агентам ФБР, выдавшим себя за сотрудников российских спецслужб 👀

А если бы они себя выдавали за агентов 🗿 Гондураса, он тоже бы сливал данные? Может ему вовсе неважно было, кому сливать украденные файлы? А с другой стороны, зачем Гондурасу секретные документы 🤫 АНБ?

Пост Лукацкого

30 апреля 2024 08:40

Как работает DDoS ;-)

Пост Лукацкого

29 апреля 2024 15:56

Интересное название у очередного шифровальщика - Псоглав 🐺

Иностранные исследователи пишут, что это слово из славянских языков, как бы намекая в очередной раз на Россию. Как по мне, так намек странный, - Псоглав - это слово из сербского (в хорватском или словенском языках окончания немного иные - psoglavac и psoglavec соответственно) и означает чудовище с головой собаки или волка и телом человека 🚶‍♂️

Вроде и «браться-славяне», но точно не Россия, где аналогичного демона в явном виде нет (кроме хоть как-то близкого «Полкана»). Но если написать ✍️ про потенциальное авторство Боснии и Герцеговины или Монтенегро, то это уже не так интересно; они же часть «правильной» Европы. Хорошо что пока не связали с релокацией многих русских в Сербию…

Пост Лукацкого

29 апреля 2024 08:40

АНБ обновило набор национальных криптографических 🤒 стандартов (Commercial National Security Algorithm Suite 2.0, CNSA 2.0), распространив обновления на операторов и владельцев национальной системы безопасности (NSS) и военных (DIB) в обязательном порядке (остальные могут применять их по своему желанию). Изменения связаны с включением в CNSA 2.0 новых, квантово-устойчивых алгоритмов ⚛️

Пост Лукацкого

28 апреля 2024 16:27

Хорошая попытка зафишить спикеров RSA Conference ✉️

Пост Лукацкого

28 апреля 2024 08:40

Возвращаясь к позавчерашней статистике Mandiant, есть и другие цифры; на этот раз от PaloAlto Unit42. У этой компании на первое место в числе причин успешных атак выходит социальный инжиниринг, включая фишинг (42%). На втором месте - использование уязвимостей (31%), на третьем, с 15%, - компрометация учетных данных 🗡

А вот шифровальщики, по данным Unit42, в основном использовали эксплойты (48%) и подбор пароля (20%); последний преимущественный для RDP, который использовался в 40% всех заражений ВПО 🔓 VPN-шлюзы тоже в прицеле - в 50% на смотрящих в Интернет криптошлюзах почему-то отсутствовала многофакторная аутентификация, что вкупе с подбором пароля представляет открытые ворота для злоумышленников 🥅

Уходя на майские праздники, можете ли вы положительно ответить на следующие вопросы:
✔️ Вы уверены, что ваш корпоративный почтовый сервер готов к тому, что когда хакеры постучатся в него "тук-тук" (knock-knock), он сможет противостоять им? PT Knockin вам в помощь.
✔️ Вы уверены, что у вас выстроен процесс поиска и устранения хотя бы публичных торчащих уязвимостей, а также анализа незакрытых портов и сервисов? СКИПА от CybeOK или Censys и Shodan вам в помощь.
✔️ Вы уверены, что отслеживаете утекшие пароли ваших сотрудников. Сервис НКЦКИ вам в помощь.
✔️ Вы уверены, что у вас пропатчен RDP и он пробрасывается через VPN?
✔️ Вы уверены, что у вас включена MFA на доступных извне сервисах доступа внутрь инфраструктуры (VPN, RDP, SSH и т.п.)?

Пост Лукацкого

27 апреля 2024 17:03

Эксперт по OSINT разоблачил видео девушки, которая пишет, что она купается 🏊‍♀️ в 5.30 утра в французской Ницце. Оказалось, что купается она не в 5.30, а в 6.04 утра. Если не придираться к тому, что девушка могла зайти в воду в 5.30, отплыть от берега (а видно, что она далеко от него) и снять видео (и тогда вполне возможно, что время будет таким, какое разоблачает Тревор), то вокруг OSINT ходит много всяких мифов и легенд и используют его часто в каких-то личных задачах - пробить девушку, узнать адрес или реальное имя, доказать фейковость и т.п. 🔍

Но OSINT может применяться не только против отдельных лиц, но и против компаний. И не только для изучения их слабых мест, но и для оценки площади атаки и ее снижения. Кто-то называет это Digital Risk Protection, кто-то корпоративным OSINT, кто-то да как только не называют. Суть не в названии, а в содержании и в том, занимается этим ИБ или нет. Мы, кстати, про это будем говорить на PHD2 и... что оооочень интересно, в дискуссии будет принимать участие ФСТЭК 🏛, которая подготовила проект требований по этой теме. Так что если вам интересно, что вас ждет и как это можно реализовать, то вы знаете, где об этом услышать.

Пост Лукацкого

27 апреля 2024 10:02

Ассоциации компаний по защите и хранению персональных данных неплохо было бы сначала изучить закон о персональных данных и правоприменение по нему. Тогда они разместили бы у себя на сайте хотя бы политику в отношении персональных данных и расписали бы согласие на их обработку чуть более конкретно. Пока это сраный стыд 🤠

Мой предыдущий пост про эту, так сказать, "ассоциацию" был верен 🤮 К слову, напомню, что RPPA появилась задолго до!

Пост Лукацкого

02 мая 2024 17:07

Наконец, MITRE завершает поддержку TAXII 2.0, переходя на 2.1, что позволит расширить возможности ATT&CK Navigator и Workbench (для описания собственных компонентов, отсутствующих в оригинальной матрице). Из других планов:
1️⃣ Расширения числа техник для Linux и macOS
2️⃣ Фокусировка на облаках и контейнерах
3️⃣ Сдвиг в сторону описания логики обнаружения в формат, приближенный к современным SIEM
4️⃣ Появление подтехник для АСУ ТП версии матрицы
5️⃣ ATT&CK Navigator, Workbench и сам сайт будут переработаны для большего удобства и эффективной работы с группировками, вредоносами и кампаниями
6️⃣ Планируется развитие сообщества ATT&CK в Европе и Азии
7️⃣ Пересмотр подхода к описанию мер отражения атак, чтобы он был более практичным и применим различными средствами защиты за счет описания не только в формате Splunk, но и за счет добавления конкретных идентификаторов событий, например, для платформы, Windows.

Пост Лукацкого

02 мая 2024 11:12

Я уже писал о том, как была представлена тема искусственного интеллекта в ИБ на прошедшей в Дубае GISEC, а теперь и небольшое смонтированное мной видео подоспело 🧠 Режиссер и монтажер из меня такой себе, но настроение, надеюсь, передал!

Пост Лукацкого

02 мая 2024 06:40

Ну что, с международным днем пароля вас! 🎆 Порадуйте себя сегодня новой сложно угадываемой, но легко запоминающейся комбинацией! 💻

Пост Лукацкого

01 мая 2024 21:09

ЛАНИТ, IBS IT Services, IBS Infinisoft, IBS Soft, IBS Expertise, ГК "Астра", Secret Technologies, Aladdin RD, Центр кибербезопасности (Cybersecurity Center), РАМЭК-ВС, К-Технологии... Вот новый список компаний, имеющих отношение к ИБ, кто попал под очередной пакет американских санкций 🫵

Пост Лукацкого

01 мая 2024 18:41

Я обычно не пишу про хакерские взломы компаний, так как их число очень велико и ежедневно набирается с десяток только публичных кейсов, не говоря уже о непубличных 👨‍💻 Но всегда бывают исключения - либо инцидент имеет некие существенные последствия для бизнеса (как с UnitedHealth Group), либо сам кейс достаточно интересен. Вот это как раз такой случай - группировка SiegedSec взломала баптистскую церковь Вестборо, религиозную организацию, известную своей непримиримой анти-ЛГБТ позицией ⛪️, как и говорится в Евангелии ☝️

SigedSec выкрала базу данных церкви, исходные коды сайта, а также приватные данные, обещая выложить все это в паблик. Попутно SiegedSec призвала делиться с ней информацией об всех гомофобных организациях, выступающих против людей определенной ориентации или принадлежащих к определенным меньшинствам. Так что ждем новых взломов от SiegedSec ⏳

Ничего святого у хакеров нет! ⚡️ Эта фраза в данном случае имеет двойной смысл - и прямой, и переносный. После множества взломов больниц и госпиталей, школ и детских садов, хакеры добрались и до церквей (а там даже бессмертные из "Горца" никогда не дрались на мечах и вампиры боялись заходить на освященную землю). Так что любые попытки провести черту между тем, что можно атаковать и что нет, провалились 👿

⚠️ На картинке, дорожка состоит не из шести и даже не из семи, а из восьми цветов. Никакой пропаганды и даже намека на нее 😈

Пост Лукацкого

01 мая 2024 12:37

Формирование хакерских группировок в альянсы - уже не новость. Но вот объединение российских 🇷🇺 и китайских 🇨🇳 неожиданно…

Пост Лукацкого

30 апреля 2024 19:56

На GISEC опять несколько рекордов для книги Гиннесса поставили:
🥇 Крупнейший урок повышения осведомленности по Интернету вещей - 293 человека (если бы я свои вебинары называл уроками повышения осведомленности, то я бы давно уже рекордсменом Гиннесса стал)
🥇 Наибольшее число национальностей (104), участвовавших в уроке повышения осведомленности по Интернету вещей
🥇 Наибольшее число национальностей в геймифицированном тренинге по кибербезу.

Жаль, что представители Книги рекордов Гиннесса на PHD2 не приедут - мы бы им показали, у кого больше… национальностей 💪 К слову, в России их 190, а на PHD2 будут не только граждане России... 🤝

Пост Лукацкого

30 апреля 2024 12:13

В Великобритании 🇬🇧 заработал закон, который устанавливает минимальные требования по безопасности к устройствам, продаваемым гражданам в UK. Согласно этому закону, названному Product Security and Telecommunications Infrastructure Act (PSTI), вендора несут ответственность до 10 миллионов фунтов 💸 или 4% от годового оборота за использование легко угадываемых паролей или паролей, заданных по умолчанию, а также несвоевременное обновление выявленных уязвимостей.

Интересные последствия могут наступить. Вендора либо откажутся от поставок в UK своих незащищенных по английским требованиям товаров, включая автомобили (как в кейсе с Volkswagen) и холодильники, маршрутизаторы и ☎️ смартфоны (вообще любое Iot-устройство), либо будут внедрять защитные меры повсюду, что положительно скажется на безопасности и отрицательно на ценах 🤔

ЗЫ. Кстати, в Топ10 паролей в Англии, помимо нестареющей классики в виде 123456, входят также liverpool, chelsea и arsenal ⚽️ У нас в списке 10 самых популярных паролей ни зенита, ни спартака, ни цска. Зато есть марины и наташи 😂

Пост Лукацкого

29 апреля 2024 19:58

10-я версия интерфейса управления ПО, которое генерит спам, разработанное северокорейской группировкой Kimsuky, мало чем отличается от интерфейсов генераторов вирусов 90-х годов. С - Стабильность

Пост Лукацкого

29 апреля 2024 12:23

В России аббревиатура CISO часто звучит как «ЦИ-СО» или «СИ-СО». Интересно, что в ОАЭ 🇦🇪 это звучит как «СИ-ЗО».

Пост Лукацкого

28 апреля 2024 20:21

Можно было бы опять написать про выбор правильной модели нарушителя, а можно и про правильную настройку 🛠пороговых значений у средств мониторинга… А можно просто радоваться жизни 😂 и продолжать готовиться к PHD2

Пост Лукацкого

28 апреля 2024 12:28

Странные люди в этой Okta работают. Их ломали 4 раза уже 🔓, но при этом они выкладывают в паблик презентации с пометкой CONFIDENTIAL. Но не забывают запилить целый слайд мелким шрифтом с отказом от ответственности и остальным бла-бла-бла... Какое-то странное отношение к кибербезопасности 😠

Пост Лукацкого

27 апреля 2024 20:55

Помните, в ФЗ-152, в ст.19, есть требование, что ПДн должны быть защищены от несанкционированного уничтожения, модификации, распространения, доступа и т.п. И все защитные меры, описанные в ПП-1119 и в 21-м приказе, не делают большой разницы между ними. А вот согласно исследованию CrashPlan и SANS, эта разница существует:
1️⃣ В случае утечки данных основной риск (в широком смысле) является репутационным для почти всех типов защищаемых данных, не только персональных (финансовых, интеллектуальной собственности, технических и т.п.)
2️⃣ Операционный риск является основным при уничтожении или модификации данных.
3️⃣ Риск нарушения законодательства во всех случаях играет несущественную роль.

Последний вывод, наверное, самый важный. Я не призываю нарушать законодательство, но оно точно играет самую последнюю роль при принятии решений в отношении защиты ценной для организации информации.

Пост Лукацкого

27 апреля 2024 13:37

В рамках сдачи экзамена на CISSP, среди множества доменов, которые надо изучать, есть и такой - физическая безопасность. Однако, нередко, ИБшники его игнорируют, считая, что это тема для специалистов служб обычной безопасности, которым и надо заморачиваться охраной, решетками на окнах, обходом периметра и т.п. 🚪 Но на мой взгляд недооценка вопросов физической безопасности может привести к достаточно печальным последствиям, например, таким как в недавней истории с "Вкусно и точка" или более древним кейсом с NASA, в сети которой было обнаружено также устройство на базе Raspberry PI, которое перехватывало и передавало наружу конфиденциальную информацию 🤬

Поэтому стоит обращать внимание на следующие моменты (самостоятельно или делегируя их в другие подразделения с соответствующим обучением):
1️⃣ Реализация требований той же ФСБ к защите помещений (но без фанатизма и выполнения невыполнимого)
2️⃣ Ежедневный осмотр офисного пространства на предмет посторонних устройств (можно поручить уборщицам)
3️⃣ Блокирование перемещения по физическому пространству офиса за счет наличие кодовых замков на этажах и между ними 🏠
4️⃣ Контроль доступа в облачные среды и арендуемые ЦОДы
5️⃣ Контроль IoT-устройств (термостаты, СКУДы, видеонаблюдение, СмартТВ и т.п.)
6️⃣ Контроль наклеенных стикеров с паролями
7️⃣ Запирание/приковывание устройств в удаленных локациях или у мобильных сотрудников 🤒
8️⃣ Интеграция СКУД с системами контроля доступа в инфраструктуру
9️⃣ Защита систем видеонаблюдения и их данных, чтобы не повторилась история с немецким миллиардером Хаубом
1️⃣0️⃣ Готовность системы видеонаблюдения для проведения расследований инцидентов ИБ

Пост Лукацкого

27 апреля 2024 06:40

🆕 Мы к вам с новостями. Во-первых, впереди четыре выходных (хоть суббота и рабочая). Во-вторых, новый выпуск подкаста «КиберДуршлаг» такой интересный — не оторваться. А в-третьих, команда, которая его делает, уходит на каникулы до сентября (не скучайте, скоро вернемся с новыми интересными выпусками).

Гостем финального выпуска первого сезона стал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

Обсудили с ним тренды управления уязвимостями, влияние развития искусственного интеллекта на кибербезопасность, введение оборотных штрафов за утечки данных, а также опасности, которыми нам грозят баги в роботах-пылесосах и кардиостимуляторах.

Смотрите на YouTube и слушайте на любой удобной аудиоплатформе.

🍂 До встречи осенью!

#КиберДуршлаг
@Positive_Technologies