Пост Лукацкого

12 декабря 2023 05:40

Запустил новый онлайн-курс по визуализации, дашбордам и отчетам ИБ. 8 часов видео, около 70 уроков. Как обычно, бесплатно и без регистрации 😊

Пост Лукацкого

11 декабря 2023 16:06

Проверка, упомянутая в прошлой заметке ☝️, базируется на целом ряде требований по управлению инцидентами, включая и соответствующий плейбук, разработанный CISA 👇. В отличие от NIST SP800-61, который устанавливает общие требования к процессу управления инцидентами (да еще и старый, 2012-го года), в плейбуке от CISA более практичные советы (еще и управление уязвимостями учитывают) с привязкой к шести этапам жизненного цикла управления инцидентами и уязвимостями. Достаточно неплохой документ, особенно чеклист в приложении ☑️

Пост Лукацкого

11 декабря 2023 09:05

История с глушилками GPS набирает обороты. Теперь речь идет не о банальном подавлении БПЛА и, как следствие, невозможность пользоваться навигацией в автомобиле, такси и т.п. История становится более серьезной - самолеты начинают сбивать с курса. Я про это недавно рассказывал в рамках "Форума будущего". А вот тут на сайте у авиационщиков чуть больше деталей.

ЗЫ. И самое печальное, что метода защиты пока нет.

Пост Лукацкого

10 декабря 2023 19:02

Ну и завершим историю с QR-кодами на рекламных баннерах. Несколько человек мне написало, что проверка и QR и Интернет-ссылок ничего не даст, так как после печати баннера, элементарно сделать редирект на новый сайт, что и происходило с баннерами, ставшими причиной запрета 🔇 от Департамента СМИ и рекламы г.Москвы. Соглашусь, что редирект вполне возможен, но и в этом случае запрет большого смысла не имеет. Если верить статистике экстремистского сайта, то акцию поддержало всего чуть больше 3500 человек. Это вообще ни о чем 👎

Тут и авторы идеи, мягко говоря, не подумали, что большого охвата они за счет рекламного баннера не получат (для этого надо просто заполонить страну ими). А власти по привычке рубанули с плеча. Что дальше? Запрет не только QR-кодов, но и любых ссылок (там же тоже редирект элементарно делается)? 🤐 Если что, я не подсказывал А потом запретят аккростих (это же какая классная идея - разместить баннер, где первые буквы слов собираются в что-то экстремистко-террористическо-негативно-противдетейнаправленное-дискредитирующее)? 🤐 А потом и вовсе русский язык запретят 🤐, потому что кто-то начнет рекламу на эзоповом языке писать? Блокировками и черными списками проблему решить нельзя ❌ В принципе!

Пост Лукацкого

10 декабря 2023 14:55

Как верно отмечают подписчики (спасибо им за это), Deutsche Bank сообщает немного иное в своем письме, а именно что некое лицо авторизовало в Интернет-банке новое устройство и теперь на него будут приходить одноразовые коды для проведения операций. И сделано это для того, чтобы в суде, если что, подтвердить факт уведомления клиента и его возможность отказаться от такой авторизации.

Пост Лукацкого

10 декабря 2023 11:02

Необычный подход к работе с клиентами у Deutsche Bank. Банк сообщил своему клиенту: «Вы вошли в интернет-банкинг с другого устройства». Нюанс в том, что предупреждение банк отправил классической почтой.

Пост Лукацкого

09 декабря 2023 18:49

В прошлом году я уже писал про ежегодный (более 20 лет проходит) SANS Holiday Hack Challenge. В этом году, если вы захотите поучаствовать, вас ждет целый набор небольших забавных заданий по кибербезу разного уровня сложности, за которые вы будете получать баллы, соревнуясь с другими участниками по турнирной таблице. В этом году многое построено вокруг искусственного интеллекта (наличие учетки OpenAI ChatGPT, Google Bart или Microsoft Bing желательно), но есть и традиционные челенджи про фишинг, appsec веб-приложений, поиск угроз в Windows Cloud, безопасность облаков, поиск уязвимостей и т.п. Вечерок можно потратить на прохождение квеста.

ЗЫ. На SANS из России попасть можно только по VPN.

Пост Лукацкого

09 декабря 2023 11:11

Центр кибербезопасности английской короны (NCSC) выпустил бюллетень о якобы российской группировке Star Blizzard (она же SEABORGIUM, также известная как Callisto Group/TA446/COLDRIVER/TAG-53/BlueCharlie), активно применяющей spera phishing для атак на различные организации по всему миру, преимущественно в США и Великобритании. Но отчет так себе, как по мне. У Microsoft эта группировка и ее тактика была описана более детально.

Пост Лукацкого

08 декабря 2023 19:07

Скажи что-нибудь на вирусноаналитическом…

Пост Лукацкого

08 декабря 2023 12:34

Интересный комьюнити-проект, Noise.Total., в рамках которого публикуются данные о ложных срабатываниях в различных средствам защиты

Пост Лукацкого

08 декабря 2023 05:40

Выкладываю презентацию моего выступления на секции "Кибербезопасность" Форума будущего, организованной УЦСБ

Пост Лукацкого

07 декабря 2023 16:02

Как будто в 90-е вернулся. Опять в моде дефейсы сайтов. Толку ноль, но желание оставить "Здесь был Вася" 💻 и показать всем Кузькину мать неискоренимо. Но у Хрущева все-таки было, что показать, а у большинства мамкиных хакеров нет. Но это и хорошо. А дефейсить сайты плохо.

ЗЫ. Я, кстати, все-таки переехал с сайтом и уже запустился. Пока только успел обновить раздел со своими видео-выступлениями (залил 20 штук с разных мероприятий) и опубликовать одну заметку.

Пост Лукацкого

07 декабря 2023 10:37

Польские электрички блокировались из-за недокументированного кода от производителя

Интересный сюжет от польских исследователей (оригинал для полонофилов). На железных дорогах Нижней Силезии используется 11 электропоездов производства польской компании Newag. Несколько поездов отправляют на техническое обслуживание в не связанное с производителем депо (которое выиграло тендер). Однако после ремонта поезда оказываются заблокированы по непонятной причине. Newag утверждает, что причина блокировки в некой защитой системе — однако в инструкции об этом упоминания нет. Ни механики, ни электрики найти решения не могут, а на ситуацию уже обратили внимания СМИ. В момент отчаяния кто-то решает обратиться к хакерам, и с проблемой выходят на польскую команду Dragon Sector, известную по турнирам CTF.

Хакеры скачивают информацию с компьютеров работающих и заблокированных поездов и тратят несколько месяцев на реверс-инжиниринг. Выясняется, что в код бортового компьютера заложено несколько условий, при наступлении которых поезд блокируется. Во-первых, это GPS-координаты нескольких депо — все кроме одного являются сторонними, то есть не связанным с Newag. Если поезд проводит в этих локациях хотя бы десять дней, то он блокируется (для одного депо Newag было указано иное правило, вероятно, в целях тестирования). Во-вторых, поезд блокируется в случае замены одной из деталей, что проверяется по серийному номеру. В-третьих, ещё на одном поезде блокировка наступала после прохождения миллиона километров.

Разблокировать поезд можно было комбинацией клавиш в кабине машиниста и на бортовом компьютере. Правда, когда новость о починке поезда попала в СМИ, на бортовые компьютеры пришло обновление ПО, которое отключило возможность разблокировки комбинацией клавиш.

Исследователи также обнаружили на одном поезде аппаратную закладку — устройство, которое получало с бортового компьютера информацию о статусе блокировки и было соединено с модемом.

В итоге оказалось, что проблема коснулась не только поездов в Нижней Силезии, но и в других регионах. Всего хакеры изучили 29 поездов и только на 5 не нашли недокументированных сюрпризов.

Пост Лукацкого

07 декабря 2023 05:40

Не знаю, замечали ли вы шумиху, которая поднялась последнее время вокруг искусственного интеллекта и какие стали предприниматься усилия по сдерживанию ИИ? Попробовал подсобрать все эти инициативы вместе. Получается, что многие правительства вдруг и внезапно решили ограничить применение ИИ. И это похоже на ядерное сдерживание, когда в клуб больших мальчиков пускают не всех, но только в части ИИ. И это влечет за собой интересные последствия...

Пост Лукацкого

06 декабря 2023 15:59

Когда я готовил текст к карточкам про инциденты ИБ на АЭС, мы описали 10 кейсов (десятый я разместил у себя). Я специально тогда не стал включить историю с английским атомным комплексом по переработке ядерного топлива и производству оружейного плутония Селлафилд, потому что там все-таки сложно было говорить именно об ИБ-причинах произошедшего. А случилось в 1991-м году вот что - баг в ПО привел к тому, что радиационнозащитные двери 🚪 на комплексе оказались открытыми несмотря на нахождение внутри помещения радиоактивных материалов ⚛️. Ущерба, к счастью, никакого нанесено не было, но позже выяснилось, что используемое ПО было прям нашпиговано ошибками (их насчитали 2400).

После 11 сентября 2011-го года на Селлафилде было запущено три новых программы - расширение программы безопасности в 2011-м, программа по устойчивости после аварии на Фукушиме в 2012 и программа по кибербезопасности в 2014-м в ответ на растущую 📈 киберугрозу. И вот пару дней назад последняя программа прошла проверку на прочность. Точнее не прошла.

Guardian пишет, что атомный комплекс был взломан группировками, корни которых растут из России 🇷🇺 и Китая 🇨🇳 (ну а откуда еще?). Официальные лица не представляют, когда произошел взлом, но отдельные эксперты утверждают, что первые признаки инцидента были зафиксированы еще в 2015-м ❓ году, когда в инфраструктуре крупнейшего на планете хранилища оружейного плутония было найдено вредоносное ПО. По свидетельствам Guardian еще в 2012-м году был опубликован отчет, в котором утверждалось о наличии в Селлафилде критических уязвимостей ИБ.

Ну а пока идет расследование... 🕵️‍♂️

Пост Лукацкого

11 декабря 2023 19:06

Меня тут спросили, а что это я не комментирую законопроект об оборотных штрафах. А я его уже комментировал в июле. С тех пор моя позиция не поменялась - никакой компенсации и смягчающих обстоятельств в текущей версии не предусмотрено несмотря на то, что Минцифры заявляло, что им удалось договориться с авторами законопроекта. Так что ждем текста ко второму чтению, который и можно будет всерьез обсуждать.

Пост Лукацкого

11 декабря 2023 12:35

Американская счетная палата в очередной раз провела проверки федеральных органов власти в части выстраивания ими процессов реагирования на инциденты и нашла, что далеко не все госы имеют не только такие процессы, но и вообще, не всегда даже включают регистрацию событий безопасности. Среди причин такой "халатности" сами федеральные агентства называют три причины:
1️⃣ Нехватка персонала
2️⃣ Технические сложности в регистрации событий (у кого-то легаси, а кому-то не хватает места для хранения)
3️⃣ Ограничения в обмене данными об угрозах (неспособность забирать IoCи из закрытых сетей для работы в открытых сетях, отсутствие компетенций по работе с грифованными индикаторами или просроченные индикаторы).

Интересно, что американцы выделяют 4 уровня регистрации событий (от нулевого или неэффективного до третьего, продвинутого), которые разнятся по тому, насколько организация способно фиксировать критические события безопасности. 74% проверенных организаций находятся на 0-м (!) уровне, по 13% - на 1-м и 3-м уровнях.

Там еще много деталей в отчете 👇 по разным американским ведомствам, которые чем-то похожи на наши. Нехватка бюджетных средств, сложная и непонятная нормативка, ненужные метки конфиденциальности на бюллетенях с угрозами, куча легаси, нехватка кадров и т.п. И вроде тамошние регуляторы выпускают кучу нормативки и рекомендаций, но это не очень сильно помогает на местах. Одно только отличие - у нас настолько открытые отчеты представить себе сложно. А тут все на ладони - основные слабые места американских госов 👨‍💻

Пост Лукацкого

11 декабря 2023 05:40

Продолжу тему с искусственным интеллектом, но в этом раз поговорим о том, как можно его атаковать, какие атаки существуют, какие таксономии, какие примеры из жизни доказывают атаки на ИИ, какие уязвимости существуют и вот это вот все.

Пост Лукацкого

10 декабря 2023 15:48

Заканчивался 2023-й год... Многие организаторы мероприятий по ИБ до сих пор не знают, что шаблон презентации - это не просто три слайда (титульный, основной и финальный), часто сделанные еще и в формате 4:3, в которые просто невозможно засунуть свои десятки разноплановых слайдов.

Шаблон, в отличие от 3 слайдов, содержит предустановленные шрифты, цвета, фон, эффекты, диаграммы, иллюстрации и многое другое. И перенос в такой, хорошо подготовленный, шаблон своего контента обычно занимает несколько минут. А если на перенос надо тратить столько же времени, что и на создание слайдов с нуля, то это не шаблон, а отстой. Я в таких случаях продолжаю использовать свой собственный шаблон; максимум - добавляю титульный слайд с нужным логотипом. Вот такой я самодур.

ЗЫ. Просто наболело...

ЗЗЫ. С ужасом жду того момента, когда на мероприятиях организаторы начнут использовать компы с Астрой. Это на мероприятиях по импортозамещению использование винды с офисом - предмет для шуточек. А вот когда тебе (то есть мне) придется делать презы в чем-то под Астру - это будет полный 🆒 фейл.

Пост Лукацкого

10 декабря 2023 13:34

И ведь кто-то на полном серьезе двигает тему, что кванты способны отражать любые атаки и делать информационные системы неуязвимыми

Пост Лукацкого

10 декабря 2023 07:40

Благодаря подписчику, за что ему спасибо, выяснилась подоплека истории с запретом QR-кодов на рекламных баннерах в столице (и не только). Я когда читал письмо и комментировал его для РБК, уже тогда у меня возникли вопросы к озвученной причине запрета. Если это электронный баннер, то запрет ни на что не повлияет, - отобразить на рекламном носителе можно все, что угодно. Если баннер "бумажный", то ничто не мешает проверить QR на нем перед печатью.

И вот тут-то и моя логика дала сбой. Я-то думал, что такая проверка проводится. А оказалось, что нет. Поэтому и произошла ситуация, послужившая причиной для письма. Организация, признанная экстремистской, разместила в городе новогодние баннеры, на которых был QR-код, ведущий на сайт (адрес сайта также был указан на рекламной баннере открытым текстом), в котором предлагалось проголосовать против ну, в общем, вы поняли.

Если вдуматься, то такой запрет вообще не имеет смысла. Достаточно просто проверять все ссылки, которые размещаются на баннере. Но нет, у нас все как обычно, проще запретить вообще ❌

Пост Лукацкого

09 декабря 2023 15:05

РБК пишет, что Москва запретила всем владельцам рекламных билбордов использовать QR-коды на рекламных конструкциях причине роста хакерских атак и взломов сайтов. Интересно, когда такое же ЦБ разошлет. У финансовых организаций проблема-то еще хуже. Это на билборде сложно представить, что кто-то разместит на нем вредоносный QR-код (наверняка же их проверяют перед печатью). Хотя на электронных табло это вполне возможный сценарий (раньше же билборды уже ломали и порнуху на них размещали). Но для проведения платежей QR-код имеет более массовый характер и размер у них совсем другой.

Я про недоверие QR-кодам еще в 2018-м году писал. Потом в июле, применительно к QR в почте. Ну а эксперимент в октябре вообще был показательным. Вроде и удобный механизм, но совсем непродуманный с точки зрения ИБ. Совсем 🧐

Пост Лукацкого

09 декабря 2023 07:40

Как и у большинства людей у меня очень простые желания:
1️⃣ Высыпаться
2️⃣ Питаться вкусной и здоровой пищей
3️⃣ Быть в безопасности
4️⃣ Читать простые и понятные нормативные акты регуляторов по ИБ, не требующие привлечения лингвистов и психиатров, которые бы разъяснили смысл написанного.

Пост Лукацкого

08 декабря 2023 16:12

Атака в пятницу вечером на морской порт ⛴ с неизвестными мотивами и атакующими?.. Значит это шифровальщик иностранный государственный хакер, который попытался поставить Австралию на колени... Атрибуция уровня «highly likely» 💻

ЗЫ. Это про атаку на австралийские порты

Пост Лукацкого

08 декабря 2023 09:02

Интересная движуха в этом году началась в части подписания различных двусторонних соглашений по вопросам ИБ. Например, Азербайджан 🇦🇿 (читаем, Турция?) подписал соответствующее соглашение с Туркменистаном 🇹🇲. А ОАЭ 🇦🇪 активно начинает обмениваться данными с африканскими странами, подписав в начале осени несколько соглашений с рядом государств черного континента. Начинаются P2P-взаимодействия, минуя крупных геополитических партнеров в лице США и России (не рассматривать же всерьез подписанное Россией на днях соглашение с Мьянмой 🇲🇲).

ЗЫ. А вот Китай 🇨🇳 вообще не замечен в отдаче данных по Threat Intelligence.

Пост Лукацкого

07 декабря 2023 19:12

Иногда я смотрю на нормативку ЦБ по ИБ и думаю. А иногда не думаю. Чаще даже не смотрю. Это вообще пост не про это. Он про другое. Здравого смысла нам всем, люди!

Пост Лукацкого

07 декабря 2023 12:33

Интересное исследование, которое посвящено технологии сетевых водяных знаков для трекинга хакеров и атак за счет изучения поведения и параметров сетевого трафика. Авторы утверждают, что достигли 95% точности трекинга на реальном сетевом трафике 😲 и при этом не требуется жертвовать производительностью и пропускной способностью, а также накапливать большие объемы данных для анализа, что являлось препятствием для предыдущих подходов по анализу водяных знаков - межпакетные задержки, flow rate, временные интервалы и т.п.

Пост Лукацкого

07 декабря 2023 08:57

Презентация с моего выступления на SberPro Tech, видео которого я выкладывал пару дней назад

Пост Лукацкого

06 декабря 2023 19:11

Даже вымогатели используют TLP 😂

Пост Лукацкого

06 декабря 2023 12:34

Ну какое нахрен горизонтальное перемещение? Вот в «Лебедином озере» танец маленьких лебедей представляет собой горизонтальное перемещение. А Lateral Movement - это расширение плацдарма и не более 🦢