Пост Лукацкого

11 сентября 2024 06:40

Тут Ника, ex-PR известной ИБ-компании, завела канал и делится различными историями из своего опыта и внутренней кухни внешних коммуникаций в вендоре ИБ, чей генеральный директор так неудачно хранил визитки сотрудников иностранных посольств. И подумалось мне, что я тоже могу поделиться каким-нибудь факапом из недавнего 🖕

Для конференции в Абу-Даби я готовил иллюстрации, которые должны были сопровождать мой огненный спич о современнй киберпреступности. И я их сделал, в лучших традициях восприятия хакеров с ближневосточным флером. Получилось неплохо, как по мне (картинки слева). Стильно, в тему, про Ближний Восток... 🕌 А потом я решил на всякий случай уточнить у нашего арабиста, насколько он восхищен моим художественным замыслом. И тут началось 👿 Оказалось, что в странах Персидского залива, да и вообще в мусульманских странах, не очень приветствуются изображения арабской вязи, похожей на суры Корана, внутреннего убранства мечетей и других моментов, которые я изобразил. Самое безобидное, что у меня было на картинках, - это ноутбуки и скрипткидди в худи 🤡 Пришлось перерисовывать (справа).

А еще был аналогичный случай в ближнем зарубежье. Для презентации в одной среднеазиатской республике я решил использовать фотографию юрты 🛖 как символ, противоположный крепости; одно - нестойкое и легко ломаемое, второе - более крепкая конструкция. Но мои коллеги из нашего среднеазиатского офиса мягко намекнули, что это для меня юрта - это просто легкий каркас с натянутым войлоком. А для местного населения - это история и символ и проводить параллель между ним и уязвимой инфраструктурой не очень корректно. В итоге тоже поменял иллюстрации на более нейтральные 👀

К чему это все? А к тому, что в ИБ очень важно учитывать культурный и религиозный контекст той страны или местности, где вы работаете. А без этого в лучшем случае можно попасть в неудобное положение, а в худшем - присесть за оскорбление символов веры и чувств верующих. И такие факапы - это полезный опыт, которому у нас не учат нигде в ИБшных ВУЗах 🤧

Пост Лукацкого

10 сентября 2024 17:04

Вопрос "Сколько тратить на ИБ от ИТ-бюджета?" задается с завидной регулярностью 🤑 И хотя он бессмысленный по своей сути, его почему-то многие используют как ориентир при собственном бюджетировании. Вот тут на днях очередное исследование подвалили, в котором опросили CISO и проанализировали размеры их бюджетов в зависимости не только от ИТ, но и от дохода компании 📈

Пост Лукацкого

10 сентября 2024 10:03

Из этого письма от Нетологии 👨🏼‍🏫 я узнал два факта:
1️⃣ Что я являюсь ее сотрудником или экспертом, но точно не аспирантом. Честно говоря не знал об этом, но потом в архиве нашел сообщение 4-хлетней давности о том, что мне предоставлен доступ к платформе как преподавателю, а я им даже не воспользовался!
2️⃣ Что для защиты ЛМС (наверное, все-таки LMS) нужно всего лишь придумать новый пароль из не менее 12 символов (да, про MFA ни слова) 🤒

В последний раз, когда я получал схожее по сути письмо, речь шла о потенциальном взломе компании 🔓, которая путем принудительного сброса паролей для пары миллионов пользователей, хотела уменьшить ущерб для них. Но, правда, тогда компания заявила, что нашла уязвимость на своем портале, которую вроде как никто не использовал (но это не точно), но которая могла привести к компрометации пользовательских учетных записей 😵

Мне кажется, что в 2024-м году популярный Интернет-сервис, если уж сбрасывает всем пароли в целях повышения ИБ, должен в обязательном порядке внедрить MFA и, если уж не хочется кардинально менять пользовательское поведение, хотя бы предложить это как опцию для них. А еще можно было бы и курс им какой-нибудь бесплатный по ИБ предоставить - заодно и себя порекламировать, и социальную ответственность проявить! 🛡

Пост Лукацкого

09 сентября 2024 21:17

У каждого спикера, особенно если он хорош, после выступлений появляется какое-то количество визиток 📇 Обычно их вручают либо чтоб глаза мозолили, либо с просьбой прислать презентацию, либо в расчете получить вашу. И вы берете эти визитки, не отказываться же. И потом они у вас валяются на столе или в ящике стола. И потом вы про них забываете, так как у вас скапливается огромная куча этой "макулатуры" 🗻

А потом в обвинительном заключении появляются строчки о том, что у обвиняемого были найдены визитки сотрудников ФБР 🇺🇸 сотрудников посольств США и Великобритании в РФ и сотрудников британского МИД 🇺🇸 Так что будьте бдительны! Культура чистого стола включает в себя не только его очистку от персональных данных, но и не хранение ненужных ПДн работников иностранных спецслужб 🤔

ЗЫ. Спичка случайно попала на визитку при фотографировании. Честно-честно... 🫡

Пост Лукацкого

09 сентября 2024 13:34

Согласно ежегодно обновляемой таблице времени перебора паролей, состоящих их разных последовательностей символов, пароль состоящий из 8 цифр перебирается за 37 секунд, а из 16 - за 119 лет. Из этого можно сделать вывод, что пароль 2️⃣4️⃣4️⃣4️⃣6️⃣6️⃣6️⃣6️⃣6️⃣8️⃣8️⃣8️⃣8️⃣8️⃣8️⃣8️⃣ перебирать дольше, чем 1️⃣2️⃣3️⃣4️⃣5️⃣6️⃣7️⃣8️⃣, но это не так. На самом деле время взлома таких паролей одинаковое, так как они оба находятся в парольных словарях и время на перебор не расходуется.

ЗЫ. Я рекомендую изучить статью Hive Systems, в которой они объясняют, как они получили данные значения, на каком оборудовании и при каких алгоритмах хэширования паролей 🤒

ЗЗЫ. Надеюсь, что ваши текущие пароли от критических сервисов находятся в зеленой зоне ✅ (при условии, что они не были зафиксированы в утечках и не попали в словари, используемые в реальных атаках и в рамках тестов на проникновение).

Пост Лукацкого

08 сентября 2024 20:56

Ну и завершим вечер воспоминаний вот этим отечественным решением по ИБ, которое было камнем преткновения между ФСБ ФАПСИ и ФСТЭК Гостехкомиссией 👊 Одним из основных механизмов защиты в «Кобре» было шифрование и несмотря на это систему сертифицировали, но не в ФАПСИ, а в другом ведомстве. И был конфликт, и были разборки, и до сих пор мы чувствуем отголоски…

Пост Лукацкого

08 сентября 2024 18:52

Вот с этого я начинал свой путь в открытой, коммерческой ИБ, уже после работы в «ящике» и участия в разработке средств защиты под нужды МинОбороны (да, был у меня такой эпизод в карьере) 🫡

Пост Лукацкого

08 сентября 2024 12:37

Хакерские «Доширак» и энергетик из Чехии. Что может быть лучше во время CyberCamp, Standoff или Международных игр по кибербезопасности?.. 🍿 Не реклама - все равно в России не достать 😭

Пост Лукацкого

07 сентября 2024 21:06

Мне тут несколько человек задало вопрос, а как правильно крутить ручку в душе 🤔 Правильный ответ - влево 🖕 Температура воды определяется не по тому, в какую сторону должна смотреть ручка смесителя, а в какую смотрит красная пимпочка на смесителе ⏳

ЗЫ. Лично у меня везде ручку надо поворачивать вправо, чтобы получить холодную воду 🤡

Пост Лукацкого

07 сентября 2024 16:47

Коллеги с Positive Hack Media провели эксперимент по тому, можно ли с помощью тепловизора узнать пароль по оставленному тепловому следу от отпечатков пальцев 🤒 на клавиатуре. Так сложилось, что у меня тоже есть тепловизор, который я на даче использую для контроля температуры. Решил повторить эксперименты из видео 👨🏼‍🔬, угрохал около часа, но так и не смог определить пароль или PIN-код... Может это и хорошо 🤔

Пост Лукацкого

07 сентября 2024 08:40

Когда я мылся в душе в Абу-Даби, 🧼 то неоднократно сталкивался с непростым выбором - "красное или синее"?! Такой же вопрос стоит у тех, кто начинает свой путь в ИБ и думает, стать хакером/пентестером/багхантером или пойти на сторону тех, кто будет их ловить? 🤔 Однако можно не ломать голову и попробовать себя в разных ролях. На CyberCamp 2024, который пройдет онлайн 3-5 октября, можно будет порешать задания в рамках киберучений и понять, вам по душе реагировать, расследовать или атаковать (можно и просто выступления послушать ▶️).

На CyberCamp 2024 будет две лиги, Топ-6 команд с которых попадают без участия в отборочных в Международные игры по кибербезопасности, которые организовали Positive Technologies 🟥 и Инфосистемы Джет. Второй вариант попасть на эти игры - пройдя отборочные Standoff с практическими заданиями от лидеров индустрии кибербезопасности 👾

Подать заявку на участие в отборочных Standoff нужно до 16 сентября, а вот финальный срок подачи на CyberCamp на 3 дня позже, до 19 сентября 🕹

Победители получат много всяких плюшек - участие в кибербитве Standoff в 2025 году (без отборочных), доступ на финал весеннего сезона Международных игр на PHDays Fest (с оплатой трансфера и проживания), стажировки у лидеров рынка ИБ, фото с Лукацким (это шутка), денежные призы и всякий прикольный мерч 🎁

Так что у начинающих специалистов по ИБ и даже у матерых появляется возможность почувствовать себя Нео из первой части трилогии "Матрица" и выбрать предложенную Морфиусом таблетку 💊 правильного цвета.

ЗЫ. Кстати, ответьте на вопрос, чтобы полилась холодная вода, куда надо крутить ручку в душе на фотографии? Пришедший вам в голову первым ответ скорее всего и даст вам направление вашего развития ➡️

Пост Лукацкого

06 сентября 2024 17:47

Кстати, вдруг подумалось 💭 в Европе бы такой фокус не прошел бы - GDPR был бы против передачи ПДн без согласия субъекта, то есть клиента 🤔

Пост Лукацкого

06 сентября 2024 15:17

«Криптошифрование…» 😨 Радиостанции приглашают комментировать пункты обвинения Дурову 📱 баааальших специалистов, которые ни про Васенаарские соглашения не слышали, ни вообще про регулирование импорта криптографических средств 😲

Пост Лукацкого

06 сентября 2024 10:04

То ли журналисты солидного американского издания побоялись давать ссылку на twitter-аккаунт Positive Technologies 🟥 и поэтому указали какого-то локального производителя POS-терминалов, который тоже Positive Technologies, то ли они не очень проверяют посты перед публикацией (фактчекинг наше все).

ЗЫ. Бюллетень Intel о найденной проблеме. Исходное сообщение Марка и описание всей истории от SecurityWeek.

Пост Лукацкого

05 сентября 2024 20:27

А у вас план реагирования на инциденты?

Пост Лукацкого

11 сентября 2024 05:49

❌❌❌Внимание!

Взломаны сайты УЦ "Основание" (Аналитический центр) и Единого портала ЭП

UD. Из-за взлома фиксируется недоступность списков отозванных сертификатов УЦ, CRL хранились по адресу https://iecp.ru (доступность CRL фиксируется каждый час, последние 5 попыток - доступа нет, только одна первая успешная попытка, значит взлом был в промежутке между 1 и 2 часа ночи)

Пост Лукацкого

10 сентября 2024 13:38

Выступаю сегодня в СберУниверситете на программе обучения топ-менеджеров по теме искусственного интеллекта с модулем по... пам-парам, кибербезопасности 😂 Под это дело обновил свою презентацию по этой теме, добавил всякого разного нового 🧠 А потом в Красноярск, где у меня 4 выступления на двух разных мероприятиях (а презентации еще не готовы) ✈️

Пост Лукацкого

10 сентября 2024 06:40

Новое исследование по шифровальщикам подкатило ✍️, в котором авторы, используя новые методы, выявили более 700 миллионов долларов в ранее неотслеженных платежах за программы-вымогатели 🤑 В сочетании с датасетом Ransomwhere общая сумма платежей составила более 900 миллионов долларов, что делает этот набор данных крупнейшим публичным в этой сфере.

Авторы анализируют деятельность посредников и подтверждают, что их методика дает низкий уровень ложных срабатываний, позволяя обнаруживать даже то, чего не делают проприетарные платные сервисы 🤒 Исследование также подтверждает отмеченные тенденции, такие как ребрендинг операторов ransomware и рост средней суммы выкупа.

Хотя с ростом 📈 средней суммы выкупа не все так просто. Когда речь идет о крупных группировках, которые "бьют" редко, но метко, то там да, рост выкупа растет и превышает в 80% случаев 1 миллион долларов 💰 И это понятная бизнес-модель. В виду размера и публичности жертв, проще получить сразу и много, чем мелочиться и стричь с сотен жертво по тысяче баксов. Но есть и другая сторона медали. Есть группировки, которые ориентированы как раз на малый бизнес и вот для них устанавливаются небольшие выплаты, которые те "с удовольствием" платят 💸 И так как суммы небольшие и проходят "ниже радаров", то их мало кто вообще отслеживает.

А вот ребрендинг подтверждают и другие компании. Например, печально известная ALPHAV/BlackCat, завершившая карьеру атакой на Change Healthcare в начале года, возродилась по мнению Truesec и Morphisec под именем Cicada3301 🐈‍⬛

Пост Лукацкого

09 сентября 2024 17:03

5 стадий становления индустриального аналитика по кибербезопасности: 🪜
1️⃣ Ты скачиваешь чужие отчеты из разных источников и хранишь в своем хранилище.
2️⃣ Ты читаешь чужие отчеты.
3️⃣ Ты пересказываешь чужие отчеты, вытаскивая оттуда главное и делясь этим с другими.
4️⃣ Ты не соглашаешься с чужими отчетами, добавляя свои размышления и предложения.
5️⃣ Ты пишешь свои отчеты!

Пост Лукацкого

09 сентября 2024 06:40

Есть такая ИБшная шутка (правда, она на английском звучит хорошо, не на русском). Какой у тебя пароль? 12345678, имея ввиду не 8 последовательно идущих цифр, а одна двойка, три четверки, пять шестерок и семь восьмерок, то есть 2️⃣4️⃣4️⃣4️⃣6️⃣6️⃣6️⃣6️⃣6️⃣8️⃣8️⃣8️⃣8️⃣8️⃣8️⃣8️⃣ Есть те, кто считает, что этот пароль надежнее самой популярной последовательности. Сервис haveibeenpwned говорит, что таких аж 2133 человека 😉 (на самом деле не человека, но это не так важно). А вот любителей пароля 1️⃣2️⃣3️⃣4️⃣5️⃣6️⃣7️⃣8️⃣ почти 7 миллионов!

Пост Лукацкого

08 сентября 2024 19:48

Устроим вечер ностальгии, раз уж так получилось. Чего только не найдешь при очередном разборе завалов на даче 🏠 Когда-то и Лаборатории Касперского не было, и сам антивирус назывался по-другому...

Пост Лукацкого

08 сентября 2024 17:45

Это сейчас никто уже и не знает никаких стеков протоколов кроме TCP/IP. А раньше в моде были другие - IPX/SPX, X.25 и средства защиты для них делались… Но может мы скоро и классический TCP/IP забудем, - перейдем на IPv17 (это не шутка, кстати) 😨

Пост Лукацкого

08 сентября 2024 08:40

К разговору о том, что квишинг (QR phishing) - это пока еще не популярная угроза 😎

Пост Лукацкого

07 сентября 2024 20:23

Я вот 9 лет учил немецкий в школе, а до сих пор с трудом произношу термины по ИБ на языке Гёте и Шиллера 🇩🇪 Например, Cybersicherheitsvorschriften, то есть "правила кибербеопасности". И ведь в немецком, в отличие от английского или французского, слово как пишется, так и произносится. Но тут без подготовки и не справишься сразу... 🤪

Пост Лукацкого

07 сентября 2024 12:37

Ну ладно, я мог бы понять, если у тебя нет кириллической раскладки на клавиатуре, и ты не знаешь как написать слово "Хакер" или "Репа" по-русски... Но и Х и Р есть в английской раскладке. А еще автор смешивает украинцев и русских, делая классическую ошибку большинства американских исследователей киберпреступности, называя всех "русскими хакерами", да еще и работающими на русские спецслужбы (ФСБ, СВР, ГРУ).

Пост Лукацкого

06 сентября 2024 20:31

Когда вас, как ИБшника, на корпоративе или на годовом собрании компании будут встречать также ✨, то значит вы не зря едите свой хлеб! 🎆

Пост Лукацкого

06 сентября 2024 17:01

Какая интересная новость - не очень известная ИБ-компания Pango (я о такой и не слышал, если честно) выкупила 1 миллион американских клиентов Лаборатории Касперского после запрета 🚫 последней продавать свои решения в оплоте демократии.

Сумма сделки не уточняется, но в любом случае Касперский выходит из этой истории еще и с определенной выгодой для себя 💰 Зачем это Pango тоже понятно - получить миллион клиентов - это вам не фунт изюма. Не надо тратиться на их поиск, привлечение и вот это вот все. А вот зачем это клиентам? Захотят ли они пользоваться продукцией Pango, если они не пользовались ею ранее? 🤔 Интересная схема, конечно. Я таких раньше что-то не припомню...

Как пример. Вот запретят в России MS Office и продаст Microsoft своих клиентов «Моему офису». Значит ли это, что я начну пользоваться российским офисным пакетом? Нет!

Пост Лукацкого

06 сентября 2024 13:33

В идеальном мире компании бы хотели использовать лучшие в своем классе решения, 🤤 да еще и от одного поставщика, чтобы все интегрировалось между собой, имело общую шину обмена информацией, единое хранилище данных, унифицированный API, единую систему лицензирования и срок окончания лицензий у всех решений одинаков и вот это вот все 🤔

Но мир не идеален и поэтому обычно картинка выглядит так, как показано. Десятки разных решений от десятков вендоров, имеющих собственное представление о том, как надо Родину любить ИБ обеспечивать 🛡 И хорошо, если ты пришел первым к заказчику - тогда остальные будут подстраиваться под тебя. А если нет? Тогда ты будешь подстраиваться под других, так как заказчик точно не будет менять все строящееся годами под тебя 🎮 В этом боль любого вендора, если он не монополист. Ему приходится фокусироваться не на развитии, а на поддержке требований разных клиентов. И чем больше разных клиентов, тем больше перекос от развития в поддержку 🤷‍♀️

Пост Лукацкого

06 сентября 2024 06:40

А вот вам еще один метод, с помощью которого директора по информационной безопасности могут эффективно доносить тему недопустимых событий до руководства своих компаний 😱 Основной акцент делается на важности простого и понятного бизнесу языка, связывания события, имеющих катастрофические последствия с бизнес-целями предприятия и использования метрик, чтобы показать влияние угроз на финансовые и операционные показатели, репутацию и т.п. 💥

Для этого используется график устойчивости и близости к атаке (Proximity Resilience Graph), который помогает CISO демонстрировать взаимосвязь между киберугрозами и ключевыми бизнес-функциями. Этот график отражает два ключевых параметра:
📊 Ось Y показывает уровень устойчивости компании к киберугрозам, отображая инвестиции в защиту, усилия, процессы и технологии. Например, успешное обучение сотрудников снижает их уязвимость к социальному инжинирингу, что отображается снижением на оси Y.
📊 Ось X отражает близость к атаке — данные о текущих внутренних и внешних угрозах, таких как количество фишинговых атак или рост числа атак программ-вымогателей и т.п.

Названия квадрантов — "Нестабильный", "Стабильный", "Открытый" и "Защищенный" — достаточно просты, понятны и выразительны, но CISO может настроить или убрать их в зависимости от того, как они влияют на восприятие и вовлеченность аудитории, которой представляется этот график.

График помогает CISO лучше доносить информацию о динамике киберугроз и их влиянии на различные аспекты бизнеса: операционные риски, удар по бренду, финансовые потери, конкурентные риски и правовые последствия. Это позволяет руководству видеть конкретные изменения в устойчивости компании и вовлекаться в обсуждение недопустимых событий более осознанно.

Пост Лукацкого

05 сентября 2024 18:41

А это пока никто не подтвердил и не опроверг. 390 миллионов записей 🤨