Пост Лукацкого

08 декабря 2023 19:07

Скажи что-нибудь на вирусноаналитическом…

Пост Лукацкого

08 декабря 2023 12:34

Интересный комьюнити-проект, Noise.Total., в рамках которого публикуются данные о ложных срабатываниях в различных средствам защиты

Пост Лукацкого

08 декабря 2023 05:40

Выкладываю презентацию моего выступления на секции "Кибербезопасность" Форума будущего, организованной УЦСБ

Пост Лукацкого

07 декабря 2023 16:02

Как будто в 90-е вернулся. Опять в моде дефейсы сайтов. Толку ноль, но желание оставить "Здесь был Вася" 💻 и показать всем Кузькину мать неискоренимо. Но у Хрущева все-таки было, что показать, а у большинства мамкиных хакеров нет. Но это и хорошо. А дефейсить сайты плохо.

ЗЫ. Я, кстати, все-таки переехал с сайтом и уже запустился. Пока только успел обновить раздел со своими видео-выступлениями (залил 20 штук с разных мероприятий) и опубликовать одну заметку.

Пост Лукацкого

07 декабря 2023 10:37

Польские электрички блокировались из-за недокументированного кода от производителя

Интересный сюжет от польских исследователей (оригинал для полонофилов). На железных дорогах Нижней Силезии используется 11 электропоездов производства польской компании Newag. Несколько поездов отправляют на техническое обслуживание в не связанное с производителем депо (которое выиграло тендер). Однако после ремонта поезда оказываются заблокированы по непонятной причине. Newag утверждает, что причина блокировки в некой защитой системе — однако в инструкции об этом упоминания нет. Ни механики, ни электрики найти решения не могут, а на ситуацию уже обратили внимания СМИ. В момент отчаяния кто-то решает обратиться к хакерам, и с проблемой выходят на польскую команду Dragon Sector, известную по турнирам CTF.

Хакеры скачивают информацию с компьютеров работающих и заблокированных поездов и тратят несколько месяцев на реверс-инжиниринг. Выясняется, что в код бортового компьютера заложено несколько условий, при наступлении которых поезд блокируется. Во-первых, это GPS-координаты нескольких депо — все кроме одного являются сторонними, то есть не связанным с Newag. Если поезд проводит в этих локациях хотя бы десять дней, то он блокируется (для одного депо Newag было указано иное правило, вероятно, в целях тестирования). Во-вторых, поезд блокируется в случае замены одной из деталей, что проверяется по серийному номеру. В-третьих, ещё на одном поезде блокировка наступала после прохождения миллиона километров.

Разблокировать поезд можно было комбинацией клавиш в кабине машиниста и на бортовом компьютере. Правда, когда новость о починке поезда попала в СМИ, на бортовые компьютеры пришло обновление ПО, которое отключило возможность разблокировки комбинацией клавиш.

Исследователи также обнаружили на одном поезде аппаратную закладку — устройство, которое получало с бортового компьютера информацию о статусе блокировки и было соединено с модемом.

В итоге оказалось, что проблема коснулась не только поездов в Нижней Силезии, но и в других регионах. Всего хакеры изучили 29 поездов и только на 5 не нашли недокументированных сюрпризов.

Пост Лукацкого

07 декабря 2023 05:40

Не знаю, замечали ли вы шумиху, которая поднялась последнее время вокруг искусственного интеллекта и какие стали предприниматься усилия по сдерживанию ИИ? Попробовал подсобрать все эти инициативы вместе. Получается, что многие правительства вдруг и внезапно решили ограничить применение ИИ. И это похоже на ядерное сдерживание, когда в клуб больших мальчиков пускают не всех, но только в части ИИ. И это влечет за собой интересные последствия...

Пост Лукацкого

06 декабря 2023 15:59

Когда я готовил текст к карточкам про инциденты ИБ на АЭС, мы описали 10 кейсов (десятый я разместил у себя). Я специально тогда не стал включить историю с английским атомным комплексом по переработке ядерного топлива и производству оружейного плутония Селлафилд, потому что там все-таки сложно было говорить именно об ИБ-причинах произошедшего. А случилось в 1991-м году вот что - баг в ПО привел к тому, что радиационнозащитные двери 🚪 на комплексе оказались открытыми несмотря на нахождение внутри помещения радиоактивных материалов ⚛️. Ущерба, к счастью, никакого нанесено не было, но позже выяснилось, что используемое ПО было прям нашпиговано ошибками (их насчитали 2400).

После 11 сентября 2011-го года на Селлафилде было запущено три новых программы - расширение программы безопасности в 2011-м, программа по устойчивости после аварии на Фукушиме в 2012 и программа по кибербезопасности в 2014-м в ответ на растущую 📈 киберугрозу. И вот пару дней назад последняя программа прошла проверку на прочность. Точнее не прошла.

Guardian пишет, что атомный комплекс был взломан группировками, корни которых растут из России 🇷🇺 и Китая 🇨🇳 (ну а откуда еще?). Официальные лица не представляют, когда произошел взлом, но отдельные эксперты утверждают, что первые признаки инцидента были зафиксированы еще в 2015-м ❓ году, когда в инфраструктуре крупнейшего на планете хранилища оружейного плутония было найдено вредоносное ПО. По свидетельствам Guardian еще в 2012-м году был опубликован отчет, в котором утверждалось о наличии в Селлафилде критических уязвимостей ИБ.

Ну а пока идет расследование... 🕵️‍♂️

Пост Лукацкого

06 декабря 2023 09:02

Saxo Bank известен своими "шокирующими" прогнозами, которые публикуются каждый год и которые составляются на основе страхов клиентов банка, озвучиваемых в течение года в разговоре с инвестиционными аналитиками Saxo Bank 🔮

Далеко не всегда эти прогнозы сбываются, но и назвать их полностью дурацкими язык не повернется 🎰 В этот раз эксперты датского банка среди прочего назвали и один риск, который можно отнести к теме кибербеза. Речь идет о дипфейках, которые станут в 2024-м году проблемой национальной безопасности 🎭

ЗЫ. Весь список прогнозов можно посмотреть тут.

Пост Лукацкого

05 декабря 2023 19:02

Какими бы навыками реагирования ты не владел, делать это надо вовремя…

Пост Лукацкого

05 декабря 2023 12:27

Европол опубликовал достаточно интересный отчет о влиянии квантовых вычислений и технологий на криптографию, подбор паролей, расследование инцидентов (форензику), а также про квантовое шифрование и влияние квантов на ускорение искусственного интеллекта ⚛️ Например, что вы будете делать с вашими паролями, когда появится реально работающий квантовый компьютер? Тут уже просто увеличить пароль на пару символов не получится и впору думать и о технологиях passwordless, и о обязательном внедрении MFA.

Сам документ, конечно, рассчитан больше на правоохранительные органы 👮🏻‍♀️, но будет интересен и специалистам по ИБ, так как описывает не только применение квантов преступниками 👮, но и как кванты помогут проводить расследования или делать окружающий мир безопаснее.

Пост Лукацкого

04 декабря 2023 19:01

Завтра, по приглашению УЦСБ, я выступаю на Форуме будущего в Екатеринбурге в треке "Кибербезопасность", где не только модерирую весь поток с тремя секциями с утра и до вечера, но и выступаю с открытой лекцией "Сценарии развития кибербудущего", в которой попробую наметить определенные направления, которые будут актуальными у нас в стране на разных горизонтах событий - от краткосрочного до долгосрочного. Не знаю, будет ли там там трансляция, но если вдруг вы будете на Урале, то милости прошу. И открытая лекция должна быть интересной, и модерируемые мной круглые столы тоже не будут скучными!

Пост Лукацкого

04 декабря 2023 14:16

Кибернегры взломали Colonial Pipeline. Если это так, то трубопроводчиков прошлый кейс совсем ничему не научил? 🙄

Но если серьезно, то взломали через подрядчика и не только Colonial Pipeline, но и 20 других трубопроводных компаний, что как бы сужает число виноватых до оооочень небольшого количества (может и вовсе одного) 🎺

Пост Лукацкого

04 декабря 2023 09:07

СМИ пишут, что половина банков не выполняет закон о персданных. Так вот я вам скажу, что это наглая ложь 🤥 В стране 99,9(9)% организаций не выполняют ФЗ-152. Вы где-нибудь видели реализованный учет машинных носителей (ч.5 п.2 ст.19)? Чтобы кто-то регистрировал все используемые флешки, наклеивал на них метки, учитывал все действия с ними?! Вот то-то и оно...

Пост Лукацкого

03 декабря 2023 18:38

Иногда утечку информации через тот же e-mail можно побороть, просто блокируя учетную запись нарушителя на почтовом сервере. Не обязательно для этого устраивать танцы с бубнами, настраивая фильтры, внедряя DMARC/DKIM/SPF, контролируя аттачи, устанавливая DLP и UEBA, и множество чего еще.

При выборе метрик ИБ самым популярным является не метод SMART, а метод KISS, что расшифровывается Keep It Simple, Stupid! (Будь проще, тупица!). При выборе защитных мер тоже не всегда надо усложнять.

Пост Лукацкого

03 декабря 2023 11:23

Не знаю, видели ли вы анонс курса 🟥 по управлению уязвимостями (не путать с курсом по продукту), но мне тут в руки попало руководство, которое на этом курсе выдают. 140+ страниц про:
1️⃣ То, как приоритизировать уязвимости и разные подходы к этому вопросу
2️⃣ То, как выстраивать процесс управления активами, включая их инвентаризацию и классификацию
3️⃣ То, из чего состоит процесс управления уязвимостями
4️⃣ Методологию и различные сценарии, в которых должен быть выстроен процесс управления уязвимостями (тут вам и АСУ ТП, и облака, и критичные системы, и т.п.)
5️⃣ То, как писать практические политики
6️⃣ То, что делать с выявленными уязвимостями
7️⃣ То, каким должен быть SLA у этого процесса и как наладить взаимодействие с ИТ-службой
8️⃣ Методики ФСТЭК и НКЦКИ по вопросам анализа защищенности
9️⃣ Оценку эффективности процесса управления уязвимостями, метрики и дашборды
1️⃣0️⃣ Коммерческие и open source решения в области управления уязвимостями.

Получилась хорошая такая книга, которую можно использовать на практике с различными продуктами, не только MaxPatrol VM (хотя на нем и иллюстрируются некоторые идеи). Я в году этак 98-99 участвовал в работе по подготовке регламента управления уязвимостями в одном банке и помню, какая это была непростая задача, - совместить требования ИТ и ИБ, учесть особенности сканирования AIX, HP UX, OS/2, MS DOS, первых версий Windows, с учетом их критичности и разнесенности по разным площадкам (при том развитии Интернетп), а потом еще и оперативно устранять их.

ЗЫ. Отдельно от курса руководство не распространяется ⛔️

Пост Лукацкого

08 декабря 2023 16:12

Атака в пятницу вечером на морской порт ⛴ с неизвестными мотивами и атакующими?.. Значит это шифровальщик иностранный государственный хакер, который попытался поставить Австралию на колени... Атрибуция уровня «highly likely» 💻

ЗЫ. Это про атаку на австралийские порты

Пост Лукацкого

08 декабря 2023 09:02

Интересная движуха в этом году началась в части подписания различных двусторонних соглашений по вопросам ИБ. Например, Азербайджан 🇦🇿 (читаем, Турция?) подписал соответствующее соглашение с Туркменистаном 🇹🇲. А ОАЭ 🇦🇪 активно начинает обмениваться данными с африканскими странами, подписав в начале осени несколько соглашений с рядом государств черного континента. Начинаются P2P-взаимодействия, минуя крупных геополитических партнеров в лице США и России (не рассматривать же всерьез подписанное Россией на днях соглашение с Мьянмой 🇲🇲).

ЗЫ. А вот Китай 🇨🇳 вообще не замечен в отдаче данных по Threat Intelligence.

Пост Лукацкого

07 декабря 2023 19:12

Иногда я смотрю на нормативку ЦБ по ИБ и думаю. А иногда не думаю. Чаще даже не смотрю. Это вообще пост не про это. Он про другое. Здравого смысла нам всем, люди!

Пост Лукацкого

07 декабря 2023 12:33

Интересное исследование, которое посвящено технологии сетевых водяных знаков для трекинга хакеров и атак за счет изучения поведения и параметров сетевого трафика. Авторы утверждают, что достигли 95% точности трекинга на реальном сетевом трафике 😲 и при этом не требуется жертвовать производительностью и пропускной способностью, а также накапливать большие объемы данных для анализа, что являлось препятствием для предыдущих подходов по анализу водяных знаков - межпакетные задержки, flow rate, временные интервалы и т.п.

Пост Лукацкого

07 декабря 2023 08:57

Презентация с моего выступления на SberPro Tech, видео которого я выкладывал пару дней назад

Пост Лукацкого

06 декабря 2023 19:11

Даже вымогатели используют TLP 😂

Пост Лукацкого

06 декабря 2023 12:34

Ну какое нахрен горизонтальное перемещение? Вот в «Лебедином озере» танец маленьких лебедей представляет собой горизонтальное перемещение. А Lateral Movement - это расширение плацдарма и не более 🦢

Пост Лукацкого

06 декабря 2023 05:40

Вчера, на секции по кибербезу на Форуме будущего, организованной УЦСБ, я задал участникам одного из круглых столов вопрос, вот есть на рынке 28 вендоров NGFW; как выбрать того, с кем можно будет связать свое будущее? Как убедиться, что стартап не умрет через полгода в непростой экономической ситуации или просто не умея управлять бизнесом? И такие примеры, думаю, есть у многих из вас.

И как оказалось, на словах многие готовы поддержать российскую отрасль ИБ и ратуют за развитие стартапов, а на деле не хотят рисковать и покупать то, что не выпущено первой тройкой игроков в своем сегменте. И кто тогда должен поддержать стартапы и при этом не убить их излишней бюрократией? Интересный момент вскользь прозвучал на круглом столе - никто из вендоров NGFW так и не взял субсидию/грант от государства на развитие этого класса продуктов, не желая связываться с государством, его бюрократией, рисками присесть за нецелевое расходование и необходимость отвечать за результат, который гарантировать нельзя.

То есть проблему поддержки ИБ-стартапов решать надо, но вот как и кому, не очень понятно. ФСТЭК и ФСБ? Вообще нереально. Минцифры? Вероятно да, но скоро выборы Президента и смена кабинета министров; что и кто будет потом, не очень понятно. То есть минимум полгода никто ничего делать не будет. Да и потом поддержка стартапов не будет приоритетом №1. Перенять бы опят Израиля, кузницы ИБшных стартапов, но им сейчас тоже не до того, чтобы делиться с кем-то сокровенным знанием. Да и с Россией у них сейчас натянутые отношения. В общем, тупик пока... ⛔️

Пост Лукацкого

05 декабря 2023 16:02

Небольшое мое выступление на дне инвестора с рассказом о том, какую роль кибербез играет в жизни государств, отраслей, компаний и обычных граждан

Пост Лукацкого

05 декабря 2023 05:40

У американцев популярно предлагать жертвам утечек бесплатный кредитный мониторинг 🖥

Пост Лукацкого

04 декабря 2023 16:02

Десять лет назад 50 НПА по ИБ в год считалось дикостью и перебором. Сейчас в год в 5+ раз больше и ничего, привыкли... В этом году не буду подводить итогов законотворческой деятельности по ИБ в стране. Там вообще потерян здравый смысл

Пост Лукацкого

04 декабря 2023 12:34

SOCprime, разработавшая онлайн-транслятор для правил обнаружения угроз uncoder.io, разродилась новой инициативой. На этот раз это открытый язык RootA, который должен помочь специалистам по обнаружению угроз, threat hunting и threat intelligence проще общаться, не взирая на использования различных инструментов и языков. Авторы заявляют, что сейчас они поддерживают 65 (!) языков (откуда столько?) и 45 технологий от разных вендоров. Я бы сказал, что это SIGMA NG, так уж у них синтаксис похож. Однако они добавили туда данные по нарушителям, слинковали это все с TTP и добавили код для автоматизации реагирования.

Интересная инициатива - посмотрим, куда это все зайдет и насколько этот язык станет популярным...

Пост Лукацкого

04 декабря 2023 05:40

Мое выступление с конференции SberPro Tech 2023 про влияние кибербезопасности на бизнес-модель и как каждый из 9 компонентов последней может учитывать и включать в себя кибербез

Пост Лукацкого

03 декабря 2023 15:07

Цветовая палитра ИБ в соответствие с пирамидой BAD (build|строим, attack|атакуем, defend|защищаем). Тут вам не только ЦСКА красно-синие 🌈

Пост Лукацкого

03 декабря 2023 07:40

Когда только начиналась вся эта эпопея 🍑 с импортозамещением и апологеты ее с пеной у рта доказывали, что российский софт более защищенный, чем супостатный, тихие выступления наших регуляторов, которые утверждали, что им вообще насрать на страну происхождения ПО, а его безопасность завимит совсем от другого, никто не слушал и не слышал.

С начала СВО и вовсе началась вакханалия и разговоры о том, что надо срочно отказываться от Windows, так как она небезопасна и там куча закладок (а десятилетия до этого никого это не смущало и никто не задавался таким вопросом?); и надо срочно переходить на Линукс. Ну так на него переходить стали не только отечественные организации, но и хакеры 👨‍💻

Вот и одна из первых ласточек - кампания Lahat от группировки Hellhound, в рамках которой идут атаки инфраструктуры на базе Linux. К сожалению не указано, какой это Linux ❓ Не исключаю, что некоторые пользователи сейчас начнут: «Да это не наш Linux. У нас Астра, а у вас просто Линукс» 🖕