Пост Лукацкого

25 сентября 2023 09:57

На Sakhalin Security НКЦКИ рассказывало о том, что они видят по тем инцидентам, которые попадают в прицел их внимания. То, что было в 2022-м году на мой взгляд не так интересно, а вот наблюдения по 2023-му году гораздо ближе нам и ценнее. Все говорит о том, что время тестирования возможностей прошло и плохие парни по ту сторону баррикад начинают более активные действия:
🔤Координация атакующих вместо разрозненных атак
🔤Реальный ущерб вместо PR на атаках
🔤Больше реальных утечек, а не фейков или компиляций
🔤DDoS не как самоцель, а для маскировки других атак
🔤Атаки не цепочки поставок
🔤Закрепление в скомпрометированной инраструктуре.

Пост Лукацкого

24 сентября 2023 20:12

Раскраски - незаслуженно забытый элемент маркетинга мероприятий по ИБ. Вместо скучных блокнотиков, скапливаемых десятками, лучше бы раскраски раздавали. Все польза во время скучных докладов и пленарок. Да и мелкую моторику рук развивает…

Пост Лукацкого

24 сентября 2023 12:45

2016-й год, если что. С исходной предпосылкой ошибся (на текущий момент), но последствия еще тогда можно было предположить и подумать о вариантах нейтрализации (хотя думать об этом не хотелось). Кто-то подготовился, кто-то нет…

ЗЫ. Первый раз я такой сценарий на штабных киберучениях в 2012-м опробовал, еще до Крыма. Подняли на смех, сказали, что я квасу обпился…

Пост Лукацкого

23 сентября 2023 19:29

vx-underground решили ответить Вазаваке на его идею с мерчем с фото из «Самые разыскиваемые преступники 😈 по версии ФБР» своим мерчем. Все троллят друг друга 😕

Пост Лукацкого

23 сентября 2023 11:46

👱‍♀️🚶‍♂️🛣👅💦

⬆️Это не просто набор эмодзи, а фраза, которую можно использовать в качестве пароля (ChatGPT утверждает, что так в картинках выглядит скороговорка «Шла Саша по шоссе и сосала сушку»).

Да, представьте себе, пароли с эмодзи тоже бывают. Как рассказал на IT-пикнике Николай Анисеня, руководитель отдела перспективных технологий Positive Technologies, у них есть свои плюсы и минусы.

➕ Такой пароль может быть в два раза короче сложнозапоминаемой абракадабры из букв, цифр и символов, но при этом останется не менее устойчивым — это гарантируют существующие 3500 эмодзи.

➖ Вас может предать любимый смартфон, который запоминает и показывает недавно используемые эмодзи. Так что мошенникам останется только собрать их в нужную комбинацию.

Хотите больше знать о паролях (и не только в картинках)? Смотрите полную версии доклада Николая по ссылке.

#PositiveЭксперты

Пост Лукацкого

23 сентября 2023 06:40

Я тут на днях проводил на Сахалине 🌋 штабные киберучения и один из рассматриваемых кейсов был связан с атаками на цепочку поставок и, в частности, с заявлением некой хакерской группировки о взломе отечественного ИБ-вендора 👨‍💻 и кражи исходных кодов его продуктов. Интересно, что участники киберучения как рекомендации по кейсу упоминают про необходимость усиления контроля за обновлениями и установления более жестких требований к поставщикам ПО (стараюсь не спрашивать, а сами они эти требования устанавливают? 🤫). Но вот мысль провести полную ревизию того, что это ПО делает внутри самой компании, которая его использует, и что оно могло делать месяцы назад, не возникает почти никогда.

А ведь мы понимаем, что публикация факта взлома разработчика ПО 🔓 - это уже конец истории, когда хакеров не волнует, что будет дальше (если нет требования выкупа). Да, это может быть просто взлом сайта и слив базы данных всего его пользователей, а также тикетов техподдержки, логи изменений и т.п. А может быть и более глубокая история, а именно компрометация и конвейера разработки и даже внедрение закладки в ПО (вспоминаем SolarWinds). И тогда история примет совсем иной оборот, не так ли?..

И вот свежайший пример. Хакеры "братского народа" 💀 написали, что взломали ✊ компанию РЕД СОФТ (имеет сертификат ФСТЭК по требованиям безопасности) и получили полный доступ к их данным. Выложенный семпл не очень информативен, но, как минимум, ФИО и email сотрудников, а также change log с упоминанием всяческих CVE там точно присутствуют. И вот что дальше?

Пост Лукацкого

22 сентября 2023 16:57

Нарушения, которые выявляет ФСТЭК в рамках госконтроля в састи обеспечения безопасности объектов КИИ

Пост Лукацкого

22 сентября 2023 10:03

Запись моего небольшого выступления "Может ли кибербез приносить ощутимый результат?" с конференции Киберриторика в Санкт-Петербурге 13-го сентября этого года.

Пост Лукацкого

21 сентября 2023 20:12

Моя статья в Positive Research тоже попала 😊

Пост Лукацкого

21 сентября 2023 17:02

Интересная дискуссия на Sakhalin Security 2023 была. Касперский доказывал, что MDR - это нелицензируемый ФСТЭК вид деятельности, так как в его рамках никакого мониторинга ИБ нет и что там просто телеметрия передается и расследования проводятся 🌋 Озадачен 🤔

Понимаю нежелание получать лицензию на то, что предоставляется по унифицированным правилам во всех странах мира. И как аттестовать площадку, которая часть MDR, но располагается в каком-нибудь Сан-Паулу? 🇧🇷 И она не может использовать сертифицированные ФСТЭК средства защиты. Да и требования по квалификации персонала не выполнимы.

Дилемма - либо международный бизнес и уход от лицензирования (кто у тебя зарубежом купит 🤑 сервис, если он имеет лицензию одной российской спецслужбы и аккредитацию центра ГосСОПКИ другой?), либо патриотизм, выполнение законодательства и «прозябание» в рамках одной страны. Либо создание двух веток MDR (для 🇷🇺 и 🌎), что экономически не очень целесообразно.

Пост Лукацкого

21 сентября 2023 13:39

Иногда, смотря судебные решения и доводы сторон, понимаю, что я слишком прямолинеен, чтобы быть юристом в области кибербеза.

Например, представим, что шифровальщик накрыл компанию и у нее украли данные. Налицо утечка ПДн, которая попадает под ст.13.11 КоАП. И какие тут сомнения? Но оказывается, находятся компании, которые считают, что их нельзя привлекать к административной ответственности, так как их вина отсутствует из-за того, что причиной утечки ПДн стали «неправомерные действия третьих лиц, которые получили доступ к информации незаконно с использованием вредоносных компьютерных программ». Как тебе такое, Илон Маск? (с)

Судьи к таким доводам часто глухи, считая, что несанкционированный доступ к информации не имеет значения для квалификации содеянного по ч.1 ст.13.11 КоАП РФ. Но сама постановка вопроса о невиновности оператора, который и так уже пострадал от хакеров, забавна. Вспоминается «Берегись автомобиля»: «Деточкин виноват; но он и не виноват»!

Вспоминая заметку про типы бумажных ИБшников, хочется сказать, что задача ИБ (если не вдаваться в историю принесения прибыли для компании от ИБ) - защищать бизнес от разных угроз и делаться это может разными способами. Приведенная вариант ничем не хуже и не лучше проектов по реализации 21-го приказа ФСТЭК по защите ПДн. Может быть даже дешевле... если дело выиграно 👩🏼‍⚖️

Пост Лукацкого

21 сентября 2023 06:40

Министерство госбезопасности Китая сделало доклад "Uncovering the main despicable means of cyberattacks and secret theft by US intelligence agencies" о том, что АНБ еще в 2009 году взломало сервера Huawei, подтвердив тем самым разоблачения Сноудена, сделанные им в 2013-м. Но помимо старой истории с Huawei китайцы 🇨🇳 приводят в отчете и другие примеры американской шпионской киберактивности, например, взлома северозападного политеха в сентябре 2022 года. Интересно, что в докладе рассказывается о различных примерах американского кибероружия, которое было использовано не только против Китая, но и, внимание, против России и 45 других государств и регионов 🐉

Учитывая, что в мае китайцы уже обвиняли ЦРУ в кибератаках на свои ресурсы, то похоже, что Китай плотно занялся этой темой и от дипломатии за закрытыми дверьми перешел к активным обвинениям своего основного геополитического противника. У китайцев 👲, конечно и у самих рыльце в пушку, но ранее американцев так активно никто не обвинял во взломах других стран (ну кроме Сноудена и Ассанжа, которые просто выложили секретные документы о киберарсенале американских спецслужб).

На минутку представил себе, а что если и Россия сейчас готовит схожий отчет с доказательствами американского кибершпионажа. История с "Триангуляцией" 🚩 сошла на нет и кроме повсеместных запретов iPhone так ни во что и не вылилась. А если бы ФСБ или МИДом был опубликован отчет с проверяемыми результатами, TTP, индикаторами и т.п.? История бы могла разворачиваться по другому сценарию. Если бы и Россия 🇷🇺 и Китай ратицифировали Римский статут, то могли бы со своими доказательствами пойти в Международный уголовный суд, который недавно заявил, что мог бы и расследовать киберпреступления. Вот была бы потеха, если бы судьи МУС 👨🏿‍⚖️ доказали бы вину США. Но это все фантазии, да и МУСу сейчас не до этого - они расследуют кибератаку неизвестных на свою инфраструктуру.

Пост Лукацкого

20 сентября 2023 20:11

🎊 В следующем году киберфестиваль Positive Hack Days станет еще масштабнее: он пройдет одновременно в двух городах!

Четыре дня крутейших докладов, кибербитвы Standoff, интересных конкурсов для всей семьи и уникальной атмосферы. И все это — ×2.

Сохраняйте даты уже сейчас — 23–26 мая 2024 года. Следите за новостями в наших соцсетях — поделимся подробностями, как только будем готовы.

Вас ждет легендарный PHDays!
Это мы смотрим и посещаем

@Positive_Technologies
#PHD2024

Пост Лукацкого

20 сентября 2023 16:59

🤖«Тинькофф» создал «боевых роботов» для борьбы с мошенниками

Боты будут как можно дольше удерживать злоумышленников на линии. Таким образом, за день мошенник сможет обзвонить меньше потенциальных жертв.

Пост Лукацкого

20 сентября 2023 13:30

Аналитик Дэвид Кац предлагает сдаться предполагает, что сеть казино-отелей MGM ежедневно теряет от 10 до 20 процентов оборота и cash flow ежедневно в результате кибератаки, которая длится уже скоро две недели. То есть речь идет о 4,2-8,4 миллионов долларов каждый день.

Если не брать в расчет абсолютные значения, то потеря даже 10% оборота - это, пипец, как много. Для кого-то штраф в 3% от оборота (правда, годового) за инцидент ИБ - это уже недопустимое событие. А тут получается цифра в 3-7 раз выше. Если у них продлится 🍑 с разгребанием последствий, будет интересно посмотреть, чем это все закончится.

Пост Лукацкого

25 сентября 2023 06:40

Олег задается рядом вопросов касательно возможной утечки из "Сирена-Трэвел" ✈️ и мне есть что сказать по этому поводу.
🔤Олег пишет, что 16 лет хранения (а именно об этом сроке говорится в утечке "Сирены-Трэвел") - это перебор. Тут, конечно, можно поспорить, так как помимо наших с вами желаний есть еще и требования по транспортной безопасности. И боюсь, что именно ради них все это и хранится так долго. Об этом говорят и поправки в Воздушный кодекс и закон "О транспортной безопасности", которые гласят, что срок хранения информации о пассажирах определяется Минтрансом по согласованию с ФСБ и МВД. И хотя этот закон вступает в силу только с 1-го марта 2024 года, не исключаю, что и раньше ради нацбезопасности данные о перемещениях накапливались достаточно длительное время.
🔤Тот же Аэрофлот в своей политике конфиденциальности не указывает этот срок, ссылаясь на стандартную отписку про "в течение срока, необходимого для достижения соответствующей цели" или "когда закон устанавливает более продолжительный срок хранения". О том же говорит и их политика конфиденциальности в области ПДн. В политике обработки ПДн "Сирены-Трэвел", принятой в мае этого года, аналогичная конструкция.
🔤ИКАО в своих рекомендациях в отношении записей регистрации пассажиров этот срок тоже не устанавливает, отсылая всех к локальному законодательству. Так что вроде запрета на долгое хранение нет.
🔤Система менеджмента ИБ "Сирены-Трэвел" сертифицирована по требованиям ISO/IEC 27001:2013. Сертификат действует с января 2021 по январь 2024 года.
🔤Информационная система персональных данных "Сирены-Трэвел" была в августе 2020-го аттестована по требованиям ФСТЭК. Аттестат закончил свое действие в августе этого года.
🔤В феврале 2023-го "Сирена-Трэвел" была сертифицирована еще и по PCI DSS 3.2.1 (сертификат действует до февраля 2024-го).

Если факт утечки в системе бронирования авиаперевозок ✈️ подтвердится (а семпл позволяет сделать такой вывод), то это будет очередной демонстрацией, что наличие сертификатов/аттестатов никак не гарантирует реальную кибербезопасность и не может служить никаким доказательством, что данные находятся в сохранности. Но и это еще не все.

Пассажиры ✈️ ведь не заключают никаких соглашений с "Сиреной-Трэвел", они свои данные сдают авиакомпаниям, а то и всяким транспортным и туристическим агентствам, которые затем "сдают" их Сирене. И поэтому сразу возникает вопрос ❓ - кому предъявлять претензии, что персональные данные мои или моих детей утекли? Можно ли вообще их предъявлять, если никто официально не подтвердит факт утечки? А что-то пока про это все официальные лица молчат; что тоже понятно, "Сирену" продвигают солидные организации.

ЗЫ. Ну а пока ждем очередных журналистских расследований. Вспоминая то, что писал в свое время Bellingcat, опираясь на данные за меньший период времени, утечка об авиаперевозках за столько лет может всякое раскрыть.

Пост Лукацкого

24 сентября 2023 16:49

Что-то в этом есть 😄

Пост Лукацкого

24 сентября 2023 08:40

Интересно, сейчас все обсуждают утечку почтового архива зама руководитея ФНС, курирующего вопросы информатизации и ИБ (последние письма датированы августом 2023-го года). Но странная ситуация. Все обсуждают, ЧТО утекло, а не ПОЧЕМУ эта информация публикуется в канале, который уже не один год сливает очень чувствительные данные по высокопоставленным чиновникам 🧐

Шалтая-Болтая за схожие фокусы прихватили очень быстро. Проукраинские каналы с утечками ПДн россиян тоже прикрывают регулярно (хотя они также быстро восстают из пепла) ⛔️ А тут канал продолжает работать много лет, сливает не только персданные, но и конфиденциалку и ДСП; и хоть бы что 🤷‍♀️ И все наши депутаты, сенаторы, роскомнадзоры и иже с ними активно обсуждают, что с началом СВО увеличилось число утечек персональных данных российских граждан, что против нас ведется кибервойна, что серый цифровой профиль гражданина регулярно пополняется новыми данными, а про источник утечек гораздо более критичной и более ценной информации - ни слова?..

Cui prodest? Cui bono?

Пост Лукацкого

23 сентября 2023 15:17

Вдруг вспомнилось, что раньше логотип ГосСОПКИ был другой. Но ассоциация с медведем и всяческими группировками, в названии которых встречалось слово Bear (Fancy, Energetic, Cozy...), были уж слишком явные. Наверное, поэтому заменили на радар.

ЗЫ. Хотя вот ЦИБ ФСБ не стеснялся таких ассоциаций и в своем настенном календаре на 2019 год хорошо прошелся по теме медведей и страхов американских военных, на мониторах которых вдруг появляется медвежья морда 😊

Пост Лукацкого

23 сентября 2023 07:47

Кто-то подумает, ну просто сайт взломали и все 😂. Кто-то продолжит мысль, что могли и правда украсть исходники сертифицированной и защищенной по 4-му классу операционной системы. Кто-то задумается, а не внедрили ли чего-нибудь 🧑‍💻 в ПО заранее и не раскатали ли 👨‍💻 это начиненное "разным" обновление по клиентам? Кто-то из клиентов подумает, а не проник ли ко мне уже враг через "защищенную" ОС 👨‍💻 и не надо ли поставить эти узлы на дополнительный мониторинг, а также провести ретроспективный анализ их взаимодействия за последние полтора года (для этого, конечно, надо иметь средство для мониторинга такой сетевой активности)?

Кто-то вспомнит, что это уже 8-й или 9-й публичный случай взлома отечественной компании, работающей на ниве ИБ, и пора бы уже навести порядок в этой сфере, например, потребовав от всех лицензиатов сформировать перечни недопустимых событий для себя, иметь круглосуточно действующий SOC (хотя мониторинг среды разработки - это особое искусство), вывести свой софт на традиционную Bug Bounty, а также запустить Bug Bounty на недопустимые события. А можно и вовсе запустить нечто похожее на взаимное проникновение ИБ в ИБ 😋, то есть пентесты друг друга. Кто как не разработчик в области ИБ знает косяки других разработчиков в области ИБ.

В общем, много выводов можно сделать из простого сообщения в одном проукраинском Telegram-канале. Главное их сделать... 😬

Пост Лукацкого

22 сентября 2023 20:05

Перестал детально отслеживать нормативку и всплывают регулярно интересные моменты. Например, апрельские поправки в 235-й приказ ФСТЭК, в котором заменили «уполномоченное лицо» на «замруководителя субъекта КИИ», увязав его с 250-м Указом.

И тут сразу вопрос возникает с тем, что по мнению Минцифры замруководителя по ИБ может быть один на группу компаний, а по мнению ФСТЭК уже 🤷нет. По ФСТЭК это лицо подчиняется именно руководителю организации, а по Минцифре руководитель ИБ может быть в службе безопасности, директор которой уже подчиняется руководителю организации.

Получается, Минцифры, как инициатор 250-го Указа, следует его духу, а ФСТЭК- букве. Иными словами, один регулятор смотрит буквальное исполнение 250-го, а второй - сутевое 🤔

Пост Лукацкого

22 сентября 2023 13:23

Недостатки, которые ФСТЭК выявляет при категорировании объектов КИИ

Пост Лукацкого

22 сентября 2023 06:40

Находясь на Дальнем Востоке, понимаешь, что мой канал выглядит иногда не совсем так, как ты задумываешь. Если по Москве я публикую первую заметку в 7.40, то в Южно-Сахалинске рабочий день подходит к концу (почти 4 часа вечера). И ты успеваешь прочитать всего 3 заметки в день, все в вечернее время, добирая с утра то, что было мной опубликовано во время дальневосточного сна. Поэтому хочу провести опрос на тему времени и частоты публикаций в канале. Отдай свой голос 🫵

Пост Лукацкого

21 сентября 2023 18:47

Мы перезапустили наш ежегодный сборник аналитических материалов Positive Research, превратив его в полноценное медиа-издание о кибербезе. Стильно, модно, интересно 😊

Встречайте - https://ptresearch.media/

Пост Лукацкого

21 сентября 2023 16:09

Сегодня (или уже вчера по местному времени) на Sakhalin Security 2023 в выступлении представителя НКЦКИ был упомянут Битрикс и массовые атаки на него. Говорилось это все в контексте, что многие пользователи Битрикса были взломаны за полгода до начала массовых атак, установлены шеллы и все такое. И все это прекрасно бэкапилось (резервное копирование - важная штука). После атак, когда все переустановили свои Битриксы из резервных копий... были снова установлены и забэкапленные шеллы и все такое. И снова атаки, снова компрометации, снова подмены страниц с политическими лозунгами, снова утечки информации.

Вдруг находится критическая RCE-уязвимость в Битриксе, позволяющая хакеру выполнить команды операционной системы на уязвимом сервере и, получив контроль над его ресурсами, проникнуть затем во внутреннюю сеть компании-заказчика. Дыра обнаружена 13 сентября и занесена в БДУ ФСТЭК. CVSS - 10. Вы думали Битрикс уведомил об этой уязвимости своих клиентов? Хрен!

Я это уже писал как-то, но повторю. Битриксу надо менять свое отношение к ИБ - и в части архитектуры собственных продуктов (разговоры про то, что нельзя удаленно за клиента обновлять его сервера, - это для бедных), и в части работы по вопросам ИБ со своими клиентами. А то вдруг внесут в законодательство ответственность ИТ-поставщиков за небезопасность их продуктов или выкинуть из реестра отечественного ПО за попустительское отношение к ИБ. А то чего хуже - обяжут на BugBounty выйти.

Пост Лукацкого

21 сентября 2023 10:03

Я вновь напомню заметку про утиный тест, в которой высказал мысль, что рядовому пользователю лучше внедрить при корпоративном обучении или в рамках программы повышения осведомленности простую мысль - если нечто похоже на фишинг, имеет признаки фишинга, то это скорее всего фишинг и поэтому на такого рода сообщения (в почте, в мессенджере, в СМС, по телефону...) лучше реагировать соответствующим образом. И даже если случайно вы удалите реальное, нефишинговое сообщение, то пусть это будет уроком тем, кто такую фигню допустил и не подумал, как его сообщение выглядит глазами пользователя, окруженного хакерами всех мастей.

Вот тут НСПК, без предварительного предупреждения, выкатила бета-версию своего приложения для Apple iOS, попутно впаривая каких-то "ежей" 🦔 Да, это классический косяк с кодировками и все такое. Но если бы я получил соответствующее сообщение, я бы его 100% пометил бы как фишинговое и удалил бы. Особенно если о нем заранее не предупредить по официальным каналам. Хотя даже если и предупредить, где гарантия, что это не очередная проверка на фишинг от ЦБ? ЦБ, вон, вчера проводила ранее анонсированную рассылку вредоносов 💌 по банкам с целью проверки их способности реагировать. Правда, не до всех почтовых ящиков рассылка ЦБ долетела, так как если у банка нормально настроен почтовый сервер, то письма без Reverse DNS должна отбрасываться еще на этапе начала сессии. Ну да это уже другая история.

Пост Лукацкого

20 сентября 2023 22:05

Незаметно перевалил за двадцать тысяч подписчиков 🌡 Никогда не ставил перед собой цели гнаться за этим числом, монетизировать канал, продавать в нем рекламу, нагонять ботов (хотя наверняка они тут есть) и т.п. Просто пишу о том, чем занимаюсь, и то, что мне интересно 🛡 Спасибо вам!

Пост Лукацкого

20 сентября 2023 17:02

Прикольно, конечно работает антимошеннический бот от Тинькофф. И голос и манера речи очень индивидуальны. Респект. Прям повеселили.

Пост Лукацкого

20 сентября 2023 14:52

Сертификат ФСТЭК на Dr.Web восстановлен. Всего 2 недели без малого ушло на решение проблем.

Пост Лукацкого

20 сентября 2023 10:01

Скажем «НЕТ» расизму в ИБ!

Картинка старенькая - до движения Black Lives Matter ✊. Сейчас бы за такое линчевали, а раньше даже шутить можно было.