Пост Лукацкого

03 марта 2024 12:34

В Украине, под эгидой ДССТЗИ и USAID прошла конференция по безопасности критической инфраструктуры, в рамках которой обсуждалась программа Cybersecurity Activity, а также планы двух государств, Украины и США, по усилению кибербеза у соседей (американцы пытаются навязывать свои практики ИБ также в Грузии, Армении и Молдове) 🌯

Из интересного:
1️⃣ Украина будет строить свою ИБ по NIST Cybersecurity Framework 2.0 (этот фреймворк был выпущен только на днях)
2️⃣ В Украине обучение по кибербезу через платформу обучения "Дия" (аналог наших "Гоуслуг") прошло 600 тысяч украинцев (тему курировало местное Минцифры, а не спецслужбы по ИБ)
3️⃣ Сейчас 40 критических инфраструктур проходит диагностику в соответствие с NIST CSF, 20 уже получили первые результаты 😓

Я, конечно, ненастоящий сварщик, но достаточно странно, когда страна, активно участвующая в кибервойне и имеющая опыт в этом, ориентируется на помощь со стороны государства, которое никогда в такой войне участия не принимало и только навязывает 🤔 свои методологии, не очень-то проверенные временем. Особенно в ситуации, когда саму страну-доминатрикс, постоянно "унижают" хакеры "русские", "китайские", "иранские", "северокорейские", "ливанские", "сирийские" и из других стран "третьего мира". Да и свои аудиторы из офисов генеральных инспекторов или Счетной палаты тоже постоянно находят косяки.

Но иначе американцы деньги на кибербез не выделят 🤑 и помощников из числа американских компаний, выдающих свои технологии, не найти. Зато понятно, чего ждать... ⏳

Пост Лукацкого

03 марта 2024 05:40

В Германии 🇩🇪 назревает скандал. Russia Today опубликовало аудиозапись 🤫 переговоров главы немецких ВВС с офицерами о поставке ракет дальнего действия Taurus Украине и их использовании для атак на Крымский мост. Как произошла утечка, пока не сообщается, идет расследование. Известно только, что переговоры велись через сервис Cisco Webex 😮 Немцы подтверждают подлинность записи и исключают ее синтез с помощью ИИ 🧠

И тут, конечно, рано делать какие-то выводы, но лично мне, как давнему пользователю Webex, видится несколько возможных каналов утечки секретной информации:
1️⃣ Утечка с серверов самого облачного сервиса 😶‍🌫️ Cisco Webex, которые кто-то взломал. Маловероятно, так как тогда бы у взломщиков было бы гораздо больше ценных записей переговоров, которые хранятся на серверах Webex, и их сделали бы достоянием гласности. Да и не хочется верить во взлом бывшего работодателя 🤷
2️⃣ Кто-то записал ⏺ конференцию (явно с согласия участников), а потом файл с записью был загружен на компьютер и оттуда уже или утек, или сознательно был передан Russia Today. Этот вариант мне кажется наиболее реалистичным.
3️⃣ Кто-то из участников или сопровождающих лиц писал конференцию в одном из помещений, в котором находился кто-то из участников на диктофон 🎤
4️⃣ Прослушивающее устройство было установлено в одном из помещений, в котором находился кто-то из участников. Учитывая их уровень и должные мероприятия по проверке помещений на предмет прослушивающих устройств (не думаю, что у немцев какие-то отличные от нас правила в этом вопросе), это маловероятная история. Последние два варианта достаточно легко выявляются по посторонним шумам на записи 🎙
5️⃣ Кто-то внедрил перехватчик голосового трафика на компьютер, на котором был установлен Webex. Это мог быть RAT или иное ВПО с соответствующим функционалом 🐀

В любом случае, это достаточно неприятный инцидент ИБ для службы кибербезопасности немецкого оборонного ведомства. Ну и интересно, конечно, сам факт публикации этой свежей утечки в прогосударственном СМИ 📰, то есть явно с согласия отечественных спецслужб, которые решили не церемониться и щелкнуть по носу 🤥 страну, в которой родился военный стратег Клаузевиц и в которой когда-то был нелегалом наш нынешний президент.

ЗЫ. Раскрытие таких фактов может означать, что источник уже не доступен или представляет интереса, так как в рамках расследования немцы точно усилят меры безопасности 🤔

Пост Лукацкого

02 марта 2024 16:02

SOCRadar’овцы запили майндмап по основным форумам киберпреступников... 🤒 И нельзя сказать, что русскоязычных форумов большинство. Поэтому засилье русских хакеров - это заблуждение 🎭

Пост Лукацкого

02 марта 2024 07:40

Северокорейские хакеры вставили бэкдор в программу для российских консульств

Исследователи DCSO CyTec из Берлина опубликовали DCSO_CyTec/to-russia-with-love-assessing-a-konni-backdoored-suspected-russian-consular-software-installer-ce618ea4b8f3">отчёт о предполагаемом кибершпионаже против загранучреждений России. Они изучили сэмпл вредоноса KONNI (известен уже 10 лет, связывается с северокорейскими группировками), загруженный на VirusTotal в январе, и обнаружили что он был встроен в установщик русскоязычной программы под названием «Cтатистика КЗУ».

Исследователи очень осторожно пишут, что, мол, очень похоже, что это программа, с помощью которой консульские загранучреждения России должны отправлять отчёты в Консульский департамент МИД. В свойствах файла программы упоминается ГосНИИАС, который работает с Консульским департаментом. Но упоминаний программы в открытом доступе нет, и исследователи несколько раз оговариваются, что они не могут наверняка сказать, что это легитимная и реально существующая программа. (Судя по всему, скорее всего, да. По крайней мере то, что ГосНИИАС работает на консульскими информационными системами, не является каким-то секретом и легко гуглится.)

В первой части отчёта разбирается сама программа, потому что на VirusTotal были загружены и два файла с инструкциями по её использованию (со скриншотами интерфейса). Дальше описывается установка KONNI при запуске .msi-установщика «Cтатистики КЗУ» и закрепление вредоноса на устройстве. Исследователи нашли адреса нескольких командных доменов, использующихся для управления вредоносом, и отдельно отмечают домен victory-2024[.]mywebcommunity[.]org, поскольку ранее в другой предположительно северокорейской атаке на МИД России использовался похожий домен victory-2020.atwebpages[.]com.

В отчёте отмечается, что в разных версиях функционал KONNI менялся. Проанализированная версия умеет выполнять на устройстве команды и получать их результат, загружать и передавать файлы, проводить проверки связи через определённые интервалы времени.

Далее исследователи приводят ссылки на предыдущие отчёты, касающиеся северокорейского кибершпионажа против российских организаций и госораганов и, в частности, на отчёты, касающися использования этого же вредоноса, KONNI, в атаках на российские цели, в том числе МИД.

Завершается отчёт вопросами и общими рассуждениями. Среди них вопрос о том, как атакующим удалось получить программу, которая, видимо, не доступна публично. По их мнению в любом случае это показывает, что атака заточена под конкретную цель, и что усилия северокорейских хакеров по получению доступа к дипломатической информации продолжаются много лет несмотря на сближение между Россией и КНДР на высоком уровне.

Ну, а ещё теперь всем подписчикам VirusTotal доступны инструкции по работе со «Cтатистикой КЗУ», как и сама программа.

Пост Лукацкого

01 марта 2024 19:13

Господа безопасники, выбросьте уже историю с секретными и кодовыми словами на свалку истории или используйте что-то уникальное, отличное от "девичьей фамилии матери" или "имени первого питомца", легко гуглящихся или находимых в соцсети (вы же понимаете, что если девушка имеет маму в "друзьях" в соцсети, то у последней обычно ее девичья фамилия написана открытым текстом и явно подсвечена в скобках?) 😮

Проявите творческую жилку - задайте вопрос "имя первой девушки, которая вам не дала" или "имя первого парня, который отказал тебе в свидании" 😅 Это запоминается на всю жизнь, но это то, чем никто не будет (как правило) делиться в паблике. Хотя лучше в целом посмотреть на CJM 🗺 для вашего бизнеса и может быть и вовсе уйти от кодовых слов и секретных вопросов, смысла в которых не много, а конверсию они снижают (вы же в курсе, что такое конверсия?)... 📉

Пост Лукацкого

01 марта 2024 12:31

Мы открыли новый набор на PT START!

Сегодня мы начинаем принимать заявки на очередную стажировку PT START, которая запустится 20 марта. Впервые мы проведем стажировки сразу по трем направлениям: разработка 👨‍💻, QA 🤌 и кибербезопасность 📞

Стажировка состоит из трех обучающих модулей:
🔤 PT-START Basic: видеолекции и лабораторные практикумы по основам результативной кибербезопасности
🔤 PT-START Intensive: интенсивы по разным направлениям, когда стажеры плотно взаимодействуют с техническими лидерами наших команд и знакомятся с продуктами компании
🔤 PT-START Internship: оплачиваемая стажировка в командах Positive Technologies. В этом потоке она будет длиться 6 месяцев

Приглашаем начинающих специалистов принять участие в отборе. Стажерами могут стать студенты бакалавриата, специалитета или магистратуры по специальностям «Информационная безопасность», «Информационные технологии» и других технических направлений, а также выпускники, завершившие обучение не более двух лет назад.

Подать заявку можно 🔤🔤 1️⃣4️⃣ 🔤🔤🔤🔤🔤. Мы рассмотрим ее и дадим ответ до 19 марта.

Пост Лукацкого

01 марта 2024 05:40

"В конце концов, я LROT из ЗЕТЫ!" 😲 Вебтун "Zero Day Attack" про хакера-гея и непростые метания хакерогейской души, вставшей на темный путь кракера 🤠

ЗЫ. Вебтун - это корейские комиксы, а манга - японские. Не путайте! 😂

ЗЗЫ. Не является рекламой или пропагандой нетрадиционных сексуальных отношений, включая ЛГБТ!

Пост Лукацкого

29 февраля 2024 16:15

Фоточки с клуба рисковиков подогнали, где я рассказывал про невозможность ⛔️ количественной оценки рисков. Презу я уже выкладывал и слайды не будут чем-то новым. Просто тот редкий случай, когда можно смело 😏 надевать худи "Не введи нас во искушение, но избави нас от Лукацкого" 😱

Пост Лукацкого

29 февраля 2024 09:36

📺 Музеи — это окно в мир истории и культуры, где прошлое становится доступным для нас здесь и сейчас.

На протяжении последних десятилетий компьютеры и информационные технологии стали неотъемлемой частью человеческого бытия. Виртуальные миры, программные коды и вычислительные машины, которые изменили нашу жизнь — все это можно найти в IT-музеях, где каждый сможет не только увидеть артефакты цифрового прогресса, но и вдохновиться для будущих инноваций. Музеи являются источником знаний о том, как современность стала такой, какой мы ее знаем.

Мы составили подборку интересных IT-музеев, в которых вы почувствуете себя участником развития цифровой эпохи, узнаете о первых вирусах, ознакомитесь с техникой советского и зарубежного производства, а также увидите другие экспонаты, благодаря которым так стремительно эволюционировал наш рукотворный мир. Подробнее читайте в наших карточках.

Яндекс-музей
Музей криптографии
Политехнический музей
Музей советских игровых автоматов
Онлайн-музей вредоносных программ

Пост Лукацкого

29 февраля 2024 06:04

Выкладываю первую свою презу с Digital Kyrgyzstan

Пост Лукацкого

28 февраля 2024 17:09

Почему у меня слово "чеклист" на смартфоне автоматически меняется на "чекист"? 🫡 Вроде день сотрудника госбезопасности уже прошел...

Пост Лукацкого

28 февраля 2024 09:33

Во всей этой истории с Lockbit безопасникам интересно не то, что группировка меньше чем через неделю восстановила инфраструктуру, и не то, что они уже снова начали заражать новых жертв, и не то, что они пишут более сложную и опасную версию Lockbit 4.0, и не то, что они вдруг порефлексировали в открытом письме в адрес ФБР, а всего одна фраза из него:

I didn't pay much attention to it, because for 5 years of swimming in money I became very lazy, and continued to ride on a yacht with titsy girls.

Я не уделил достаточно внимания [результатам пентеста своей инфраструктуры], потому что после 5 лет купания в деньгах я стал очень ленивым и продолжал ходить на яхте с грудастыми девками.

Пост Лукацкого

28 февраля 2024 02:40

Вторая моя публичная презентация на Digital Kyrgyzstan 🇰🇬 посвящена SOCам и она продолжает первую историю про методы атак на банковские инфраструктуры. Если в ней я только наметил технологии, которые позволяют выявлять и бороться 🛡 с описываемыми атаками, то во второй презентации я рассказываю, как это все объединить 🎮 вместе, на каких принципах строится свой центр противодействия киберугрозам и почему триады SIEM+NTA+EDR недостаточно, чтобы называться SOCом! 🧃

3-я презентация посвящена больше стратегии построения SOC и на чем ему нужно фокусироваться, чтобы быть эффективным и приносить результат и пользу 🍬 Ну а 4-е выступление (3-4 в закрытой части 🤫) уже про то, как вообще увязать ИБ с бизнесом и на чем стоит фокусироваться, в том числе и с точки зрения центров противодействия киберугрозам. Все 4 выступления дают целостную картину мониторинга и реагирования, которое не только важно для ИБ, но и понятно для топ-менеджеров. Что и требовалось... 🤗

Пост Лукацкого

27 февраля 2024 19:02

Кстати, о спецслужбах... 👮🏻 Мне тут после вчерашней заметки про недопустимые события несколько человек уже написало в личку, что они уже эти НС в страшных снах 😴 видят. Так вот, как муж психоаналитика, могу сказать, что этому есть свое название - "энэсэофобия". Но этот страх не имеет отношения к НС - это боязнь спецслужб, следящих за тобой в соцсетях 👀. У некоторых ИБшников это уже стало профессиональным заболеванием. И недопустимые события тут ни причем 🤷‍♀️

Пост Лукацкого

27 февраля 2024 12:38

Альянс пяти глаз (на пятерых) 👀 во главе с английским NCSC выпустил бюллетень, в котором описал изменения в тактиках и техниках группировки, за которой якобы стоит СВР, которая атакует западную демократию 🤕 Честно говоря, в этот раз не особо интересное чтиво оказалось 🤠 Все изменение - первичный вектор сместился с использования уязвимостей на периметре и внутренних системах на поиск слабых мест в облаках 😶‍🌫️, используемых жертвами (кража токенов, атаки на MFA и т.п.).

После того, как американцы 2 года назад кинули всех россиян с доступом к облачным сервисам, доверие к облакам сильно пошатнулось (и не только в России, но и в других регионах и странах). Так что даже почерпнуть из бюллетеня что-то интересное и полезное не получится... 🤷‍♀️

Пост Лукацкого

03 марта 2024 09:03

Ну и чтоб далеко не уходить от темы с госами, их защищенностью, утечкой информации и т.п. Офис генерального инспектора министерства природных ресурсов США 🇺🇸 решил проверить защищенность облачных сервисов своего ведомства (вообще эти офисы являются надзорными органами, которые предотвращают широкий спектр незаконных или неэффективных операций), а конкретнее - средств борьбы с утечками информации 🔍

Для проверки OIG использовал онлайн-инструмент Mockaroo, который позволяет создавать фейковые 👎 персданные, похожие на настоящие. Затем аудиторы создали виртуалку в облачной среде, имитирующую рабочее место хакера, который хочет украсть конфиденциальную данные 🔓 Для этого имитировались широко распространенные техники злоумышленников. Проводя по 1️⃣0️⃣0️⃣ тестов в неделю, их так никто и не обнаружил, несмотря на использованные дорогостоящие средства защиты. Позже выяснилось, что эти средства никто никогда не тестировал на предмет их работоспособности.

Вот такая вот история. И кажется мне, что эта картина присуща многим госорганам, не только немецким или американским. Если вам интересно почитать сам отчет и рекомендации, данные офисом генерального инспектора, то они 👇🏻

Пост Лукацкого

02 марта 2024 19:21

Вы давно меняли пароли на ключевых сервисах? В 2024-м году 16 символов - это минимум, чтобы считаться надежным 💪

Пост Лукацкого

02 марта 2024 11:52

Тут в одном исследовании одной отечественной ИБ-компании говорится, что 44% операторов ПДн поддерживает введение оборотных штрафов 🤑 за утечки персданных. Если не брать во внимание, что опросили всего 170 человек (то есть только 75 человек "за"), то это же звучит как бред. Какой нормальный руководитель согласится на оборотный штраф? 🤬 Это как самому себя выпороть - такое себе удовольствие. Если ты понимаешь важность этой темы, ты скорее сам ею займешься, чем будет ждать, когда тебя нагнут на 3% от оборота ⌛

Значит опрашивали ИБшников. Но если он нормальный, то не будет он желать такого своему работодателю… Во-первых, это расписаться в своей слабости (ну а как еще рассматривать, когда ты просишь наказать свое руководство за свои же промахи в виде утечки). Во-вторых, это скажется на бонусе, а может и зарплате (откуда платить 3% от оборота-то). Ну и вообще, желать такого своей компании, в которой ты работаешь?.. 😮

ЗЫ. Хотя чего ждать от авторов исследования, если они в свое время предлагали оценивать эффективность DLP по количеству уволенных работников... 😲

Пост Лукацкого

02 марта 2024 07:40

Птенцы Ким Чэн Ына 🇰🇵 не унимаются - покусились на консульскую службу российского МИДа... Интересно, откуда они получили доступ к ПО, которого в паблике нет? Атака на подрядчиков? Или просто повезло?..

Пост Лукацкого

01 марта 2024 16:06

Реклама страхования киберрисков в Лондоне... Но я не очень понял ее. Не зашло... 🤷‍♀️ (как обычно, спасибо подписчику 🤝)

Пост Лукацкого

01 марта 2024 09:04

Российская ИТ-компания "Гет-Нэт" из Перми крышевала хакеров?!.. 😂 Опять?!.. Атаки через подрядчиков выходят на новый уровень прям 😈

Пост Лукацкого

29 февраля 2024 19:13

Две шутки, которые скоро перестанут быть шутками. Сколько уже раз было, когда ты пытаешься зарегать e-mail типа lukatsky69, а он уже занят (шутка) 🥴 С паролями еще хуже. Скоро свободные пароли кончатся как и IPv4-адреса, и биткойны...

Пост Лукацкого

29 февраля 2024 13:04

А теперь и вторую

Пост Лукацкого

29 февраля 2024 09:36

Я бы в список еще добавил кибер-музей в Муроме

Пост Лукацкого

29 февраля 2024 02:40

🤔 Кого можно назвать человеком года в сфере кибербезопасности?

Узнаете, посмотрев на обложку нового Positive Research. Ищите свежий выпуск, если хотите разгадать загадку.

Больше никаких спойлеров — только короткие анонсы нескольких материалов, опубликованных в бумажной версии и на сайте нашего медиа:

• «Из любви к запретному»: история XSpider и создания Positive Technologies — подробное интервью с Дмитрием Максимовым, сооснователем Positive Technologies и «отцом» нашего первого продукта — сканера уязвимостей XSpider, которому недавно исполнилось 25 лет. Без скандалов, интриг, расследований, но подробно и с душой.

• В рубрике «Темная комната» по традиции сохраняем анонимность автора, который говорит о проблеме CISO — отрицании киберинцидентов и нежелании признавать, тем более, публично свои ошибки.

• Презентуем еще одну интересную рубрику — «Неудобные вопросы», в которой спрашиваем экспертов по кибербезопасности о том, о чем не принято говорить в корпоративном мире.

Читайте, делитесь впечатлениями, а кто же там все-таки на обложке… напишем в другой раз, чтобы не портить сюрприз.

#PositiveResearch

Пост Лукацкого

28 февраля 2024 14:47

Лежащая на поверхности идея сделать на базе матрицы ATT&CK таксономию попыток мошенничества. Вот в проекте ATT&CK4FRAUD эту попытку попробовали реализовать, но не довели до конца...

Пост Лукацкого

28 февраля 2024 06:03

Picus Security выложили свою десятку техник, используемых хакерами в 2023-м году. Относиться к данному 🔝 надо с определенной долей скепсиса, так как это только то, что наблюдают специалисты Picus Security у своих заказчиков. У других ИБ-компаний, которые делились своими Топ10 TTP, другая десятка 🔟 Например, у WatchTower (вы слышали про эту ИБ-компанию?) в десятку входят техники, 7 из которых отсутствуют у Picus. 7 из 10 ‼️ Это очень большое отклонение.

Пост Лукацкого

27 февраля 2024 22:33

Немного смущает, когда у удостоверяющего центра вдруг оказывается просроченным сертификат и несколько дней этого никто не замечает… 🤔

Пост Лукацкого

27 февраля 2024 16:02

Нет позиции - пусть будет экспозиция! Это краткий пересказ заметки Александра Леонова про термин "exposure", который активно используется у иностранцев. Александр считает, что раз наши регуляторы его не определили (а должны?), то пусть будет дословная калька - "экспозиция". Как по мне, так exposure прекрасно переводится как "незащищенность". Можно еще и игривое "обнаженность" 🍑 или "нагота" использовать. Ну уж точно не фотографическое "экспозиция"... 🤕

Хотя зачем вообще задумывать о переводе этого термина? "Exposure Management" вполне себе можно произносить в тех редких случаях, когда это зачем-то надо. И если уж на то пошло, то Александр забыл про свой проект с аббревиатурами для разных классов управления уязвимостями. Если уж у него есть СУУ, СДУП, СДУК и иже с ними, то почему бы не быть и СУНК (система управления незащищенности или наготой компании)? 🍞

Пост Лукацкого

27 февраля 2024 09:02

Закономерный вопрос - кто победит ❓ Хакеры, занимающиеся "чистым" творчеством, или ИБшники, уехавшие на Магнитку, которые погружены в корпоративную бюрократию и на практическую ИБ у которых остается всего 23 минуты из всего рабочего дня ⁉️

ЗЫ. В каждой шутке есть только доля шутки 🤡