Пост Лукацкого

02 мая 2024 08:42

⚠️ Dropbox уведомил Комиссию по ценным бумагам об инциденте с сервисом Dropbox Sign.

Но, что странно, Dropbox пишет, что неизвестные хакеры 👨‍💻 получили доступ к e-mails, именам пользователей, настройкам учетных записей, а также, в ряде случаев, к хэшированным паролям, номерам телефонов, ключам API, токенам OAuth и MFA. И при этом Dropbox уверяет, что доступа к данным пользователей нет 🤔

Имея такой «фулхаус» 🃏 на руках и не воспользоваться? Врут, небось, и готовят аудиторию к следующему анонсу?.. 🔈

Но прямо сейчас я пойду и поменяю не только пароль 💡 от Dropbox, в день пароля-то, но и отозву все токены аутентификации (ими можно пользоваться даже при измененном пароле).

Пост Лукацкого

02 мая 2024 02:33

Зеленский уволил главу кибербеза СБУ Илью Витюка, которого он же месяц назад наградил погонами бригадного генерала

Пост Лукацкого

01 мая 2024 20:32

Шутка за 100 для тех, кто еще помнит эти имена 😂

ЗЫ. На сайте McAfee, кстати, из раздела Executive Team убрали данные по их гендиректору, Грегу Джонсону. Опять меняют?

ЗЗЫ. Главное, не путаться в разных McAfee, которые теперь McAfee (консьюмерские продукты), Trellix (слияние McAfee Enterprise и Fireeye) и SkyHigh (слияние SkyHigh и McAfee SSE) 😦

Пост Лукацкого

01 мая 2024 15:22

Мир
Труд
Май
Кибербез

Подготовили мотивирующие плакаты в советской стилистике с важными советами по кибергигиене.

🔮 Листайте карточки, ностальгируйте и пишите в комментариях, какие еще советы можно перенести на советский плакат. 

💫 Все плакаты можно не только репостнуть и отправить друзьям, но и скачать в высоком разрешении и повесить у себя в офисе.

🏠 Подписаться на Кибердом & Бизнес

Пост Лукацкого

01 мая 2024 08:40

Новая схема от мошенников с сопредельной стороны (прислана подписчицей, за что ей спасибо!). Обзванивают 📞 бывших сотрудников (начиная с гендиректоров и бухгалтеров, данные по которым открыто лежат в ЕГРЮЛ) компаний с иностранным участием и, прикрываясь службой в правоохранительных органах и стращая уголовными делами 👮 по иноагентским статьям и госизменой, требуют всякого, например, бухгалтерские документы.

Так что, если вы еще недавно числились в какой-нибудь такой фирме, то будьте готовы к соответствующим звонкам 📞 и сообщениям. Как модификация схемы, может прилететь сообщение от вашего "бывшего генерального директора", который будет запрашивать разное, якобы в рамках следственных действий, или просить оказать содействие 🆘

ЗЫ. То же легко пробивается через соцсети (LinkedIn, Facebook, VK и иже с ними).

Пост Лукацкого

30 апреля 2024 15:50

21 год тюрьмы получил специалист по кибербезопасности АНБ за шпионаж в пользу России 🇷🇺 За 85 тысяч долларов он слил (и пообещал слить еще) несколько совершенно секретных документов агентам ФБР, выдавшим себя за сотрудников российских спецслужб 👀

А если бы они себя выдавали за агентов 🗿 Гондураса, он тоже бы сливал данные? Может ему вовсе неважно было, кому сливать украденные файлы? А с другой стороны, зачем Гондурасу секретные документы 🤫 АНБ?

Пост Лукацкого

30 апреля 2024 08:40

Как работает DDoS ;-)

Пост Лукацкого

29 апреля 2024 15:56

Интересное название у очередного шифровальщика - Псоглав 🐺

Иностранные исследователи пишут, что это слово из славянских языков, как бы намекая в очередной раз на Россию. Как по мне, так намек странный, - Псоглав - это слово из сербского (в хорватском или словенском языках окончания немного иные - psoglavac и psoglavec соответственно) и означает чудовище с головой собаки или волка и телом человека 🚶‍♂️

Вроде и «браться-славяне», но точно не Россия, где аналогичного демона в явном виде нет (кроме хоть как-то близкого «Полкана»). Но если написать ✍️ про потенциальное авторство Боснии и Герцеговины или Монтенегро, то это уже не так интересно; они же часть «правильной» Европы. Хорошо что пока не связали с релокацией многих русских в Сербию…

Пост Лукацкого

29 апреля 2024 08:40

АНБ обновило набор национальных криптографических 🤒 стандартов (Commercial National Security Algorithm Suite 2.0, CNSA 2.0), распространив обновления на операторов и владельцев национальной системы безопасности (NSS) и военных (DIB) в обязательном порядке (остальные могут применять их по своему желанию). Изменения связаны с включением в CNSA 2.0 новых, квантово-устойчивых алгоритмов ⚛️

Пост Лукацкого

28 апреля 2024 16:27

Хорошая попытка зафишить спикеров RSA Conference ✉️

Пост Лукацкого

28 апреля 2024 08:40

Возвращаясь к позавчерашней статистике Mandiant, есть и другие цифры; на этот раз от PaloAlto Unit42. У этой компании на первое место в числе причин успешных атак выходит социальный инжиниринг, включая фишинг (42%). На втором месте - использование уязвимостей (31%), на третьем, с 15%, - компрометация учетных данных 🗡

А вот шифровальщики, по данным Unit42, в основном использовали эксплойты (48%) и подбор пароля (20%); последний преимущественный для RDP, который использовался в 40% всех заражений ВПО 🔓 VPN-шлюзы тоже в прицеле - в 50% на смотрящих в Интернет криптошлюзах почему-то отсутствовала многофакторная аутентификация, что вкупе с подбором пароля представляет открытые ворота для злоумышленников 🥅

Уходя на майские праздники, можете ли вы положительно ответить на следующие вопросы:
✔️ Вы уверены, что ваш корпоративный почтовый сервер готов к тому, что когда хакеры постучатся в него "тук-тук" (knock-knock), он сможет противостоять им? PT Knockin вам в помощь.
✔️ Вы уверены, что у вас выстроен процесс поиска и устранения хотя бы публичных торчащих уязвимостей, а также анализа незакрытых портов и сервисов? СКИПА от CybeOK или Censys и Shodan вам в помощь.
✔️ Вы уверены, что отслеживаете утекшие пароли ваших сотрудников. Сервис НКЦКИ вам в помощь.
✔️ Вы уверены, что у вас пропатчен RDP и он пробрасывается через VPN?
✔️ Вы уверены, что у вас включена MFA на доступных извне сервисах доступа внутрь инфраструктуры (VPN, RDP, SSH и т.п.)?

Пост Лукацкого

27 апреля 2024 17:03

Эксперт по OSINT разоблачил видео девушки, которая пишет, что она купается 🏊‍♀️ в 5.30 утра в французской Ницце. Оказалось, что купается она не в 5.30, а в 6.04 утра. Если не придираться к тому, что девушка могла зайти в воду в 5.30, отплыть от берега (а видно, что она далеко от него) и снять видео (и тогда вполне возможно, что время будет таким, какое разоблачает Тревор), то вокруг OSINT ходит много всяких мифов и легенд и используют его часто в каких-то личных задачах - пробить девушку, узнать адрес или реальное имя, доказать фейковость и т.п. 🔍

Но OSINT может применяться не только против отдельных лиц, но и против компаний. И не только для изучения их слабых мест, но и для оценки площади атаки и ее снижения. Кто-то называет это Digital Risk Protection, кто-то корпоративным OSINT, кто-то да как только не называют. Суть не в названии, а в содержании и в том, занимается этим ИБ или нет. Мы, кстати, про это будем говорить на PHD2 и... что оооочень интересно, в дискуссии будет принимать участие ФСТЭК 🏛, которая подготовила проект требований по этой теме. Так что если вам интересно, что вас ждет и как это можно реализовать, то вы знаете, где об этом услышать.

Пост Лукацкого

27 апреля 2024 10:02

Ассоциации компаний по защите и хранению персональных данных неплохо было бы сначала изучить закон о персональных данных и правоприменение по нему. Тогда они разместили бы у себя на сайте хотя бы политику в отношении персональных данных и расписали бы согласие на их обработку чуть более конкретно. Пока это сраный стыд 🤠

Мой предыдущий пост про эту, так сказать, "ассоциацию" был верен 🤮 К слову, напомню, что RPPA появилась задолго до!

Пост Лукацкого

26 апреля 2024 20:22

Когда у сотрудников дубайского офиса 🟥 не только машины красные, но и вход в них по паролю.

И потом не говорите, что вы не знаете, как реализовать многофакторную аутентификацию на автомобиле ☺️ Ключ/брелок - фактор владения, а пароль/PIN - фактор знания! Скоро, глядишь, на бортовом компьютере надо будет пароль вводить или голосовую идентификацию проходить, чтобы двигатель завелся. Пока у многих автопроизводителей голосовые помощники просто используются для удобства 🚗

Пост Лукацкого

26 апреля 2024 13:32

Помните кейс с американской компанией Ring (дочка Amazon), которая через свои системы видеонаблюдения скрытно наблюдала 👀 за женщинами в спальнях и ванных? Федеральная торговая комиссия (FTC) в прошлом году вынесла решение против Ring, заставив ее заплатить пострадавшим компенсацию за утечки персональных данных. И вот на днях FTC заявила, что она выплатила 5,6 миллиона долларов в виде 117 тысяч PayPal-транзакций 📱

Это хороший пример, как можно было бы решить историю с предложением Минцифры по компенсациям за утечки персональных данных. Не перекладывать это на субъекта ПДн, а взять на себя. Сам наказал (через подведомственный РКН), сам получил штраф, сам перевел деньги пострадавшим. Тем более, что сумма не очень большая. В конце концов именно Минцифры отвечает за госполитику в области ПДн в России и кому, как не ему, взять на себя эту функцию 💡 Сами граждане не будут заморачиваться общением с оператором ПДн и истребовать из него мизерную компенсацию (в случае с Ring, примерно, по 40+ долларов на человека). А вот если это делает государство (как FTC в случае с Ring), то схема может и заработать... 😅

Пост Лукацкого

02 мая 2024 06:40

Ну что, с международным днем пароля вас! 🎆 Порадуйте себя сегодня новой сложно угадываемой, но легко запоминающейся комбинацией! 💻

Пост Лукацкого

01 мая 2024 21:09

ЛАНИТ, IBS IT Services, IBS Infinisoft, IBS Soft, IBS Expertise, ГК "Астра", Secret Technologies, Aladdin RD, Центр кибербезопасности (Cybersecurity Center), РАМЭК-ВС, К-Технологии... Вот новый список компаний, имеющих отношение к ИБ, кто попал под очередной пакет американских санкций 🫵

Пост Лукацкого

01 мая 2024 18:41

Я обычно не пишу про хакерские взломы компаний, так как их число очень велико и ежедневно набирается с десяток только публичных кейсов, не говоря уже о непубличных 👨‍💻 Но всегда бывают исключения - либо инцидент имеет некие существенные последствия для бизнеса (как с UnitedHealth Group), либо сам кейс достаточно интересен. Вот это как раз такой случай - группировка SiegedSec взломала баптистскую церковь Вестборо, религиозную организацию, известную своей непримиримой анти-ЛГБТ позицией ⛪️, как и говорится в Евангелии ☝️

SigedSec выкрала базу данных церкви, исходные коды сайта, а также приватные данные, обещая выложить все это в паблик. Попутно SiegedSec призвала делиться с ней информацией об всех гомофобных организациях, выступающих против людей определенной ориентации или принадлежащих к определенным меньшинствам. Так что ждем новых взломов от SiegedSec ⏳

Ничего святого у хакеров нет! ⚡️ Эта фраза в данном случае имеет двойной смысл - и прямой, и переносный. После множества взломов больниц и госпиталей, школ и детских садов, хакеры добрались и до церквей (а там даже бессмертные из "Горца" никогда не дрались на мечах и вампиры боялись заходить на освященную землю). Так что любые попытки провести черту между тем, что можно атаковать и что нет, провалились 👿

⚠️ На картинке, дорожка состоит не из шести и даже не из семи, а из восьми цветов. Никакой пропаганды и даже намека на нее 😈

Пост Лукацкого

01 мая 2024 12:37

Формирование хакерских группировок в альянсы - уже не новость. Но вот объединение российских 🇷🇺 и китайских 🇨🇳 неожиданно…

Пост Лукацкого

30 апреля 2024 19:56

На GISEC опять несколько рекордов для книги Гиннесса поставили:
🥇 Крупнейший урок повышения осведомленности по Интернету вещей - 293 человека (если бы я свои вебинары называл уроками повышения осведомленности, то я бы давно уже рекордсменом Гиннесса стал)
🥇 Наибольшее число национальностей (104), участвовавших в уроке повышения осведомленности по Интернету вещей
🥇 Наибольшее число национальностей в геймифицированном тренинге по кибербезу.

Жаль, что представители Книги рекордов Гиннесса на PHD2 не приедут - мы бы им показали, у кого больше… национальностей 💪 К слову, в России их 190, а на PHD2 будут не только граждане России... 🤝

Пост Лукацкого

30 апреля 2024 12:13

В Великобритании 🇬🇧 заработал закон, который устанавливает минимальные требования по безопасности к устройствам, продаваемым гражданам в UK. Согласно этому закону, названному Product Security and Telecommunications Infrastructure Act (PSTI), вендора несут ответственность до 10 миллионов фунтов 💸 или 4% от годового оборота за использование легко угадываемых паролей или паролей, заданных по умолчанию, а также несвоевременное обновление выявленных уязвимостей.

Интересные последствия могут наступить. Вендора либо откажутся от поставок в UK своих незащищенных по английским требованиям товаров, включая автомобили (как в кейсе с Volkswagen) и холодильники, маршрутизаторы и ☎️ смартфоны (вообще любое Iot-устройство), либо будут внедрять защитные меры повсюду, что положительно скажется на безопасности и отрицательно на ценах 🤔

ЗЫ. Кстати, в Топ10 паролей в Англии, помимо нестареющей классики в виде 123456, входят также liverpool, chelsea и arsenal ⚽️ У нас в списке 10 самых популярных паролей ни зенита, ни спартака, ни цска. Зато есть марины и наташи 😂

Пост Лукацкого

29 апреля 2024 19:58

10-я версия интерфейса управления ПО, которое генерит спам, разработанное северокорейской группировкой Kimsuky, мало чем отличается от интерфейсов генераторов вирусов 90-х годов. С - Стабильность

Пост Лукацкого

29 апреля 2024 12:23

В России аббревиатура CISO часто звучит как «ЦИ-СО» или «СИ-СО». Интересно, что в ОАЭ 🇦🇪 это звучит как «СИ-ЗО».

Пост Лукацкого

28 апреля 2024 20:21

Можно было бы опять написать про выбор правильной модели нарушителя, а можно и про правильную настройку 🛠пороговых значений у средств мониторинга… А можно просто радоваться жизни 😂 и продолжать готовиться к PHD2

Пост Лукацкого

28 апреля 2024 12:28

Странные люди в этой Okta работают. Их ломали 4 раза уже 🔓, но при этом они выкладывают в паблик презентации с пометкой CONFIDENTIAL. Но не забывают запилить целый слайд мелким шрифтом с отказом от ответственности и остальным бла-бла-бла... Какое-то странное отношение к кибербезопасности 😠

Пост Лукацкого

27 апреля 2024 20:55

Помните, в ФЗ-152, в ст.19, есть требование, что ПДн должны быть защищены от несанкционированного уничтожения, модификации, распространения, доступа и т.п. И все защитные меры, описанные в ПП-1119 и в 21-м приказе, не делают большой разницы между ними. А вот согласно исследованию CrashPlan и SANS, эта разница существует:
1️⃣ В случае утечки данных основной риск (в широком смысле) является репутационным для почти всех типов защищаемых данных, не только персональных (финансовых, интеллектуальной собственности, технических и т.п.)
2️⃣ Операционный риск является основным при уничтожении или модификации данных.
3️⃣ Риск нарушения законодательства во всех случаях играет несущественную роль.

Последний вывод, наверное, самый важный. Я не призываю нарушать законодательство, но оно точно играет самую последнюю роль при принятии решений в отношении защиты ценной для организации информации.

Пост Лукацкого

27 апреля 2024 13:37

В рамках сдачи экзамена на CISSP, среди множества доменов, которые надо изучать, есть и такой - физическая безопасность. Однако, нередко, ИБшники его игнорируют, считая, что это тема для специалистов служб обычной безопасности, которым и надо заморачиваться охраной, решетками на окнах, обходом периметра и т.п. 🚪 Но на мой взгляд недооценка вопросов физической безопасности может привести к достаточно печальным последствиям, например, таким как в недавней истории с "Вкусно и точка" или более древним кейсом с NASA, в сети которой было обнаружено также устройство на базе Raspberry PI, которое перехватывало и передавало наружу конфиденциальную информацию 🤬

Поэтому стоит обращать внимание на следующие моменты (самостоятельно или делегируя их в другие подразделения с соответствующим обучением):
1️⃣ Реализация требований той же ФСБ к защите помещений (но без фанатизма и выполнения невыполнимого)
2️⃣ Ежедневный осмотр офисного пространства на предмет посторонних устройств (можно поручить уборщицам)
3️⃣ Блокирование перемещения по физическому пространству офиса за счет наличие кодовых замков на этажах и между ними 🏠
4️⃣ Контроль доступа в облачные среды и арендуемые ЦОДы
5️⃣ Контроль IoT-устройств (термостаты, СКУДы, видеонаблюдение, СмартТВ и т.п.)
6️⃣ Контроль наклеенных стикеров с паролями
7️⃣ Запирание/приковывание устройств в удаленных локациях или у мобильных сотрудников 🤒
8️⃣ Интеграция СКУД с системами контроля доступа в инфраструктуру
9️⃣ Защита систем видеонаблюдения и их данных, чтобы не повторилась история с немецким миллиардером Хаубом
1️⃣0️⃣ Готовность системы видеонаблюдения для проведения расследований инцидентов ИБ

Пост Лукацкого

27 апреля 2024 06:40

🆕 Мы к вам с новостями. Во-первых, впереди четыре выходных (хоть суббота и рабочая). Во-вторых, новый выпуск подкаста «КиберДуршлаг» такой интересный — не оторваться. А в-третьих, команда, которая его делает, уходит на каникулы до сентября (не скучайте, скоро вернемся с новыми интересными выпусками).

Гостем финального выпуска первого сезона стал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

Обсудили с ним тренды управления уязвимостями, влияние развития искусственного интеллекта на кибербезопасность, введение оборотных штрафов за утечки данных, а также опасности, которыми нам грозят баги в роботах-пылесосах и кардиостимуляторах.

Смотрите на YouTube и слушайте на любой удобной аудиоплатформе.

🍂 До встречи осенью!

#КиберДуршлаг
@Positive_Technologies

Пост Лукацкого

26 апреля 2024 17:06

На GISEC разговорился с одним человеком, который высказал мысль, с которой я не могу согласиться. Он считает, что если система скомпрометирована и есть подозрение на нахождение внутри злоумышленника 👿, немедленный патчинг внешних уязвимостей должен помочь в данной ситуации. Я же считаю, что патчинг скомпрометированных систем в принципе не может спасти ситуацию и, скорее, ее усугубляет, создавая иллюзию защищенности! 😈

Если хакер сидит внутри инфраструктуры, надо локализовывать его, не давая развивать наступление 💻 и расширять плацдарм, затем выносить из инфраструктуры, потом определить точку входу и причину успешной компрометации, и только потом устранять ее, в том числе и за счет установки патчей и выстраивания процесса управления активами и уязвимостями. Но просто установка патчей, увы, не спасет! 🕳

На GISEC, на одном из стендов, увидел слоган компании, которая занималась борьбой с утечками, - "Надо защищать данные, а не периметр!" Если не фокусироваться на первой части, то слоган очень хорошо 🤔 описывает ситуацию, когда мы дофига ресурсов тратим на защиту внешних границ, а когда компанию пробивают тем или иным способом, то специалисты по ИБ разводят руками, а то и вовсе не верят в это, считая свои бастионы неприступными. Но нет... 😯

Мы на GISEC в течение трех дней давали всем желающим проверить защищенность своего периметра с помощью сервиса PT Knockin 👊, который просто отправляет e-mail с обеззараженным вредоносом на корпоративную почту. Каково же было удивление многих ИБшников, которые, считая, что их почта защищена от проникновения, получали прошедшее через все преграды письмо ✉️ "с приветом". А если бы оно было не обеззаражено? Поэтому периметр периметром, но стоит думать и о том, что делать, если все-таки инфраструктура скомпрометирована. Вы же в курсе, что делать? 💪

Пост Лукацкого

26 апреля 2024 10:02

Был у меня как-то кейс, который привел к кардинальной смене мной и используемой техники, и отношения к хранению данных. У меня накрылся SDD на ноутбуке 💻; причем достаточно серьезно, без возможности восстановления. Диск был зашифрован и никто не смог помочь мне восстановить данные. Система резервного копирования на Винде у меня была установлена компанией, но из-за ее тормозов в процессе индексации и синхронизации данных, я ее в какой-то момент отключил и получил ценный урок 💡

В результате я поменял ноут с виндой на макбук, в котором Time Machine - это просто верх удобства резервирования данных. Действительно "настроил и забыл". Но страх потерять данные все-таки остался и я стал пользоваться правилом, которое, как я позже узнал, называется "3️⃣➖2️⃣➖1️⃣". Это стратегия, предложенная фотографом Питером Крогом, который так спасал свои фотографии от потерь (саму концепцию он взял у ИТшников):
3️⃣ - столько должно быть копий данных (например, ПК, облако, флешка) 💻
2️⃣ - столько должно быть различных носителей данных (например, жесткий диск ПК и внешний HDD или облако) 🌩
1️⃣ - столько должно быть копий в удаленном месте, вне офиса или дома; в зависимости от основного места вашей работы, (например, в облаке или NAS).

В корпоративной среде такое правило тоже применимо, но только для самых ценных данных (поэтому так важна классификация информации в компании). При этом стоит помнить о ряде важных нюансов:
1️⃣ Это поможет и для защиты от шифровальщиков в том числе!
2️⃣ Резервируя данные, не допустите, чтобы и бэкапы были тоже зашифрованы.
3️⃣ Не забывайте регулярно проверять, что вы можете получить доступ к бэкапам и, если вы используете специфический формат или шифрование, восстановить данные.
4️⃣ Храня данные в облаке, уточните, кто будет считаться их владельцем и что облачный провайдер с ними может делать (например, обучать свой ИИ)? Ну и про санкции не забудьте...

Тут, конечно, можно еще накрутить "цифр", например, учитывая хранение данных в стране нахождения и за ее пределами, но это уже для иноагентов параноиков.