Пост Лукацкого

12 октября 2024 16:41

Евросоюз 🇪🇺 создал новую правовую основу для введения ограничительных мер против лиц и организаций, ответственных за дестабилизирующие действия против ЕС и его государств-членов ⛔️ Это решение направлено на усиление противодействия России и включает санкции против тех, кто участвует в кибератаках, дезинформации и иных формах подрыва стабильности. В пакет санкций могут входить заморозка активов 🥶, запрет на поездки, а также ограничения на бизнес и экономические отношения с ЕС 💶

То есть никаких конкретных имен или компаний в новых требованиях нет 👌 - это просто констатация, основной целью которой является защита суверенитета и безопасности ЕС, а также усиление давления на тех, кто способствует агрессивным действиям в отношении европейских стран 🫵

Учитывая, как широко трактуется термин "вредоносная киберактивность" 🖥 в Европе и США, то это может грозить различным российским компаниям и специалистам по ИБ... в перспективе, конечно.

Пост Лукацкого

12 октября 2024 08:40

Ника вчера была в ударе - написала не только про PR-реакцию утечку данных у Бургер Кинг 🍔 и возможную реакцию компании на это (а закусочная славится своим креативом), но и про то, как не очень верно себя ведет Dr.Web после публикации хакерами "доказательств" компрометации инфраструктуры 🔓 и как очередное сообщение от компании заставляет задавать еще больше вопросов, чем дает ответы на ранее заданные.

Я же вспомнил про июльский взлом Аванпост 🅰️ Деталей от ИБ-компании нет до сих пор. Хотя прошло уже 2,5 месяца. Молчание может иметь под собой несколько причин:
1️⃣ Расследование до сих пор идет, а значит дело совсем серьезно.
2️⃣ Расследование прошло, но компания решила спустить все на тормозах, считая, что все само собой забудется 🤐 Увы, не забудется. Я позавчера общался с одним банком, пользующимся Dr.Web (по требованиям ЦБ антивирусов должно быть два) и планировавшим приобретать отечественный PAM. Так вот после обоих кейса было принято решение отказаться от обоих решений ⛔️

Мне кажется у нас компании, особенно из области ИБ, недооценивают важность антикризисного PR и думают, что "и так сойдет", "все скоро забудут" или "все равно альтернатив у них нет". Но это в любом случае плохая стратегия, которая еще аукнется... Не надо так делать ❌

Пост Лукацкого

11 октября 2024 17:02

Недавно стал известен случай утечки данных, причиной которой стал CISO индийской компании Star Health, которая зарабатывает около $1,4 млрд в год 💰 Амарджит Кхануджа, как сообщается, продал данные более 31 миллиона клиентов, включая информацию о зарплатах и PAN-картах, китайскому хакеру за $43000 в криптовалюте Monero 🤑 Сделка была заключена через зашифрованный чат в приложении Tox.

Сначала Кхануджа передал хакеру данные пользователей через ProtonMail, а позже предложил и данные о страховых выплатах за дополнительную сумму 🫴 Но спустя несколько дней доступ хакера к системам был отозван, что вызвало закономерный конфликт - CISO потребовал еще $150000, утверждая, что старшее руководство хочет получить свою долю. Хакер, выкравший уже 5 ТБ данных, потребовал возврата средств, а после отказа от CISO-вымогателя выставил данные на продажу в BreachForums 🧐 Ниже 👇 вы можете посмотреть видео-доказательство по данной истории 👁

Выводов никаких не будет - вроде и так все понятно 🤷‍♀️

Пост Лукацкого

11 октября 2024 10:02

Не храните все пароли 🤒в одном файлике (список вкладок впечатляет), не надо. Это больно, когда все это утекает после социалки на админа и попадает в руки плохих парней 🛡 Особенно когда внутри не внедрена многофакторная аутентификация 🤒

Пост Лукацкого

10 октября 2024 20:32

Вот и маргиналы-теоретики повылезали. Все хорошо в этой идее; дело за малым - все посты во всех форумах, соцсетях и СМИ в разных юрисдикциях заносить в блокчейн… 🤦‍♂️

Пост Лукацкого

10 октября 2024 13:37

⚠️ Вчера несколько человек мне написало, что у них нет доступа к моему сайту lukatsky.ru 🤬 Причем эта ситуация пока носит непредсказуемый характер, так как сильно зависит не только от провайдера и региона страны, но и от временных параметров (у одного провайдера доступ может в один день блокироваться, а в другой нет) 😦

Мой сайт ни в какой реестр запрещенных ресурсов не внесен, как и сам хостер, на котором сайт расположен, но... 🖥 Вспоминая недавнюю историю с блокированием зарубежных хостингов за отказ выполнять очередные требования РКН, не исключаю, что и на "моем" хостинге регулятор также экспериментирует с блокировками, не имея на то соответствующих судебных решений 👩🏼‍⚖️

Устраивающего меня российского хостинга у нас, увы, нет. Мне нужна Managed CMS, когда за отказоустойчивость и безопасность движка сайта отвечаю не я, а хостер 🔗 Но в России такого не делают. Поэтому пока остаюсь на текущем хостинге, даже учитывая риски его недоступности в некоторых регионах. Но методы получения доступа в таких ситуациях не новы и любой специалист (да и не только) умеет пользоваться соответствующими инструментами 🛡 Так что пока смотрю за развитием ситуации 👀 Все-таки пишу в блоге я не так часто, посещаемость его в меньшую сторону отличается от канала, и поэтому кардинально что-то менять нецелесообразно.

Пост Лукацкого

10 октября 2024 08:39

Оказывается, кибератака на ВГТРК нарушила не только онлайн-трансляцию, но и эфир России 24. На smotrim.ru архив не сохранился, но запись есть на сайте OnTVtime (с кучей рекламных баннеров). В эфире идёт первый новостной выпуск (начинается в 5 утра). В промежутке между 5:12 и 5:13 картинка пропадает, и примерно полторы минуты экран остаётся чёрным (помимо плашек), а на фоне периодически что-то шумит. Затем включается трансляция с уличной камеры, очевидно, в Москве. А через 40 минут после сбоя запускается трансляция записи передачи, которой нет в программе. Несколько часов эфир идёт в записи. Только в районе 10-11 часов появляются новостные вставки. Но полностью работа информационных систем ещё не возобновлена: ведущая читает новости не с суфлёра, а из Телеграма на планшете, причём экран планшета в режиме реального времени демонстрируется и в эфире. Также через Телеграм запускаются видео-ролики.

Момент сбоя можно увидеть и на записи эфира России 1. Как и на России 24, в промежутке между 5:12 и 5:13 изображение пропадает. Однако чёрный экран висит всего пару секунд, после чего трансляция возобновляется.

Пост Лукацкого

10 октября 2024 06:40

Центр стратегических разработок выпустил свежее исследование российского рынка ИБ и оценил тенденции его развития до 2028 года. Не буду приводить цифры из него целиком, отмечу только, что отечественный рынок растет вдвое быстрее мирового рынка ИБ. А вот наблюдениями из отчета ЦСР могу поделиться:
1️⃣ Рынок делят Positive Technologies и Лаборатория Касперского.
2️⃣ Происходит смещение кибератак с массовых на точечные - кейсы последней недели это доказывают.
3️⃣ Рост популярности Bug Bounty программ для независимой оценки защищенности компаний и их продуктов.
4️⃣ Увеличение использования искусственного интеллекта в ИБ.
5️⃣ У компаний усиливается запрос на измеримые результаты от решений по кибербезопасности. Правда, отчет не говорит о том, как компании понимают термин "измеримый результат".
6️⃣ Ожидаемый рост рынка ИБ в 2024 сглаживается из-за:
➖ Смягчения требований по быстрому переходу на отечественные решения и предоставления дополнительного времени на их внедрение в разных отраслях и для разных госкорпораций.
➖ Повышения ключевой ставки, что вынуждает компании пересматривать свои приоритеты в расходах и надеяться на снижение ставки.
➖ Попыток компаний разрабатывать и адаптировать решения внутренними силами, чтобы сократить расходы.
7️⃣ В сетевой безопасности рост отсутствует, так как рынок ожидает полноценные отечественные решения в области NGFW.
8️⃣ В сегменте Endpoint security отмечается небольшой рост, в основном из-за насыщения рынка.
9️⃣ В области защиты приложений отмечается активный рост благодаря:
➖ Зрелости разработчиков, работающих в DevSecOps среде и сталкивающихся с увеличением числа атак.
➖ Новым обязательным требованиям ФСТЭК по безопасной разработке для КИИ и требованиям Банка России для финансовых организаций.
➖ Вниманию регуляторов к управлению уязвимостями, что заставляет компании автоматизировать соответствующие процессы.
1️⃣0️⃣ В части инфраструктурного ПО фиксируется значительный рост, так как рынок зрелый, и переход с таких решений, как, например, ArcSight или QRadar на российские аналоги, воспринимается компаниями не так болезненно, как замена МСЭ.

Пост Лукацкого

09 октября 2024 17:03

Интересный инструмент визуализации APT-группировок и используемых ими средств 🧰

Пост Лукацкого

09 октября 2024 10:01

Я вот тут почитал проект Постановления Правительства 🇷🇺, утверждающего Правила предоставления пользователем социальной сети, объем аудитории персональной страницы которого составляет более 10 тыс. пользователей социальной сети, сведений, позволяющих его идентифицировать 📱 И хотя я не размещаю рекламу и мне эти правила не очень актуальны, но есть риск, что могут пострадать пользователи, которые будут репостить из моего канала. Поэтому я пока присматриваюсь к новым правилам. И вот что я там обнаружил 🔍

Оказывается РКН, который так заботится о персональных данных россиян, 🖕 никак не проверяет подлинность подлинность заявления некоего лица о владении им каналом и, теоретически, любой желающий может выдать себя за владельца любого канала и зарегистрироваться вместо настоящего владельца 🎭 Интересно, как они будут разруливать... нет, не это недоразумение, а те заявления от владельцев, чьи каналы таким образом можно будет угнать 🤠 Ведь сначала ты регаешь "право собственности" на чужой канал, потом его отжимаешь через, допустим, поддержку Telegram, потом либо требуешь выкуп за возврат доступа, либо начинаешь размещать в канале всякое. И все в рамках закона. РКН - "молодец" 💪

Пост Лукацкого

08 октября 2024 20:33

Я несколько лет назад в презентации по личному кибербезу начал включать тему, связанную с дипфейками и как легко можно по фото/видео/аудио из Интернета создать дипфейк, создать слепок отпечатка пальца 🤒 или даже обмануть систему распознавания лиц по радужке глаза (при определенных условиях) 🔠 Вот и в видео к месячнику кибербезопасности говорится о том же… Да, оно без перевода, но там все и так понятно ✋

Пост Лукацкого

08 октября 2024 13:35

Тут автор StrideGPT выпустил новое ИИ-решение по ИБ - AttackGen, которое позволяет, опираясь на MITRE ATT&CK, генерить сценарии атак для тестирования возможностей по реагированию на инциденты. Текущую версию, v0.6, можно попробовать в виде живого демо на https://attackgen.streamlit.app, а также посмотреть в репозитории GitHub: https://github.com/mrwadams/attackgen или в виде образа на Docker Hub: https://hub.docker.com/r/mrwadams/attackgen 🐳 Результат работы можно посмотреть 👇

Пост Лукацкого

08 октября 2024 06:40

Тут на конфе одной мельком услышал диалог, как один ИБшник рассказывает другому, что отказался идти работать на стадион 🏟, так как скучно и «опять персданные». А я вспомнил, как Cisco готовилась к обеспечению ИБ на Олимпиаде в Лондоне 🇬🇧, потом в Рио, а между ними к ИБ различных спортивных мероприятий по всему миру 🥋 Попутно я узнавал до фига всего про то, что скрывается "под капотом" у современного стадиона.

И это прям космос, до которого многим еще очень и очень далеко 🚀 Куча датчиков IoT, управление технологическими процессами, прелоставление беспроводного доступа десяткам тысяч пользователей, куча арендаторов с разными требованиями к ИБ, обработка платежных данных, трансляции в Интернет, посещение первых лиц, облака, Большие данные, обработка видео в реальном времени и ML, и куча чего еще... 🎮 И все это требует ИБ (хорошо, что не КИИ). Так что ИБ стадиона - это прям современно, разносторонне и интересно... Да и результат сразу виден 👀

Пост Лукацкого

07 октября 2024 17:02

Сильный ролик про то, как родители, не думая, выкладывают фотки своих детей 👨‍👩‍👧‍👦 в соцсети, и к каким последствиям это может привести с точки зрения иныормационной безопасности в будущем 🤔

Пост Лукацкого

07 октября 2024 10:03

6 лет назад я выступал с темой культуры ИБ на одном мероприятии ✊ Сегодня я секцию на эту тему модерирую. На Кибертехе. Так что если вы будете на этом мероприятии, то приглашаю в 15.00 в зал "Атом" ⚛️ Поговорим про то, можно ли культуру ИБ навязать или внедрить? 👊 Какие успешные примеры есть и участников сессии и какова роль в формировании культуры ИБ у государства, бизнеса и профессиональных сообществ? Будут, как и всегда, и провокационные вопросы. Приходите, скучно не будет! 😎

ЗЫ. Чеклист на слайде вы можете посмотреть в блоге ✔️

Пост Лукацкого

12 октября 2024 12:37

На последней DEFCON был доклад о том, как можно взломать умные пылесосы Ecovacs (модели Deebot, Goat, Spybot и Airbot) и шпионить за квартирой, в которой он используется, подсматривать за жильцами и подслушивать их разговоры. Я про это даже рассказывал на ИТ-Пикнике 🧹 И вот новая напасть - недавно в Австралии произошел инцидент, когда робот-пылесос, взломанный злоумышленниками, начал выкрикивать расистские оскорбления в адрес афроамериканской семьи 👨‍👩‍👧‍👦

По поводу инцидента с взломом робота-пылесоса, вендор заявил, что проблема была связана с уязвимостями в системе безопасности устройства 😵, которые позволили злоумышленникам получить доступ; причем об этой уязвимости было известно уже давно. Вендор пообещал провести расследование и выпустить обновление для устранения проблемы (ну а что он еще мог обещать) 🔄

Инцидент подчеркивает растущие риски в области интернета вещей (IoT) и что даже бытовая техника может быть уязвима для кибератак 🥤 Роботы-пылесосы и другие умные устройства с подключением к интернету могут стать целью хакеров, если не обеспечена надлежащая безопасность. Пользователям необходимо следить за обновлениями прошивок, использовать сложные пароли и двухфакторную аутентификацию для минимизации рисков атак на умные устройства 👩‍💻 Но мы же это все и так знаем, не так ли?..

Пост Лукацкого

11 октября 2024 20:31

А ТВ-каналов ВГТРК в спутниковом пакете больше нет 🤔 А говорили, что вещание не прервано, ущерба нет, все в штатном режиме… И как теперь выходные без новостей? Пойду хоть Youtube посмотрю 📱

Пост Лукацкого

11 октября 2024 13:31

Я пять раз уже писал в канале про утечки персональных данных 350 миллионов постояльцев сети отелей Marriott 🏨, которые происходили в период с 2014-го по 2020-й годы. Помимо кражи ПДн хакеры сперли еще и баллы лояльности клиентов отелей. И вот эта эпопея наконец-то подошла к концу - Marriott согласился выплатить 52 миллиона долларов штрафа (это 0,2% от оборота компании за 2023 год) и разработать всестороннюю программу по кибербезопасности 🛡

Что привело к такой крупной утечке? Как пишут в материалах суда, причин несколько:
🛎 слабая парольная политика
🛎 отключенная MFA
🛎 ненадлежащий контроль доступа
🛎 некачественная сетевая сегментация
🛎 неполные процедуры управления патчами
🛎 неадекватный мониторинг сети и логов.

Помимо улучшения описанных защитных механизмов, Marriott обязался проводить каждые 2 года независимую оценку защищенности в течение следующих 20 лет, а также будет требовать соблюдения требований по ИБ от всех своих франчайзи 🧳

Пост Лукацкого

11 октября 2024 06:40

Я достаточно давно в российской ИБ, что меня часто спрашивают, не планирую ли я писать мемуары. Пока нет - мне есть что поделать и в настоящем, чтобы еще вспоминать о прошлом. Но иногда что-то да выплескивается в различных форматах. Например, интервью для "Российской газеты" про то, кто появился раньше, Рунет или хакеры 😂 Или большое интервью для Positive Hack Media, где меня считали знатоком хакерского мира 🤔 Так что если вам интересна история российской ИБ, то можете почитать/посмотреть; если нет, то пропускайте.

Пост Лукацкого

10 октября 2024 17:03

Тут на днях зашел разговор о том, что вроде как мы научились неплохо ловить фишинг в электронной почте 📬 (хотя наш PT Knockin говорит немного о другом), но совершенно не умеем управлять угрозами в мессенджерах, например, в Telegram 📱 И хорошо, что пока эта история не является массовой. А я подумал, что не так уж и сложно перенести опыт телефонных ферм на схему "фейковый босс". Я не вижу препятствий для ее автоматизации. И вот тогда пользователям и их службам ИБ мало не покажется 😂

Пост Лукацкого

10 октября 2024 09:59

10 ноября 1983, 41 год назад, студент Фред Коэн разработал саморазмножающуюся компьютерную программу, которая была одним из первых компьютерных вирусов (не первым) 🦠 Спустя год, научный руководитель Фреда, Леонард Адлеман, один из авторов алгоритма RSA 🗝, придумал термин «компьютерный вирус». Еще чуть позже Фред Коэн придумал понятие «позитивный вирус», который не делал ничего вредоносного, а наоборот, приносил пользу, используя при этом методы, присущие вирусам. Так я планирую сегодня начинать пленарную дискуссию на Postive Security Day, онлайн-трансляция которой начнется на сайте конференции через 1 минуту 1️⃣

Так и в ИБ, есть технологии, которые вроде как начинались в хакерском сообществе 💻 и использовались во вред, но достаточно было сменить знак минус на плюс, как технология стала приносить пользу. Так произошло с сканерами уязвимостей 🤕, такой путь повторили и решения класса BAS (Breach & Attack Simulation)... Границы часто размыты и зависят от умысла тех, в чьи руки попадает тот или иной инструмент 🔪 С этим связана и проблема регулирования этой области - сложно описать объект контроля, чтобы он был однозначно отрицательным.

Пост Лукацкого

10 октября 2024 08:39

Это к разговору о том, что цифровой след 🐾 сегодня остается навсегда и зачистить его сложно. Поэтому любые попытки скрыть инциденты (это не про описанный кейс, а вообще) обречены на неудачу. Все остается в Сети и при желании все можно откопать и раскопать⛏

Пост Лукацкого

09 октября 2024 20:32

И снова в тему месячника кибербеза 🗓 - теперь в видео раскрывают глаза на тему продвинутого OSINT и как по обычной фотографии можно вычислять местоположение человека 🗺, который думает, что это невозможно и поэтому может творить всякую дичь, считая себя безнаказанным. Но нет... Не делайте в Интернете того, за что вам потом будет стыдно и... больно! 🔭

Пост Лукацкого

09 октября 2024 13:38

Не могу сказать, что этот список из 100 вопросов ✍️ для собеседования аналитика SOC является чем-то уникальным или содержащим какие-то сокровенные знания ✍️, но кому-то он может помочь составить свой собственный список. Иногда проще ориентироваться на что-то уже готовое, чем пытаться написать с нуля ✍️

Пост Лукацкого

09 октября 2024 06:40

Что делать, если взломали производителя антивируса, который вы используете в своей инфраструктуре? 🔓Небольшие рассуждения от меня и возможный чеклист действий ✔️

ЗЫ. А вот на случай удаления антивируса Касперского из Google Play рекомендации дала сама Лаборатория, но эта история менее интересна для корпоративных пользователей - она затрагивает скорее только физиков 🛡 Но то, что инициатором удаления стало "Общество защиты Интернета" - это какой-то сюр...

Пост Лукацкого

08 октября 2024 17:01

Тут ведь интересно не то, что 18 августа 2024 года российский регистратор регистрирует домен, используемый для рекламы и проведения атак и обхода средств защиты информации 🤕 И даже не то, что хостится ресурс у провайдера, защиту которого он же по заявлениям и обходит ⚔️ Этот пример скорее демонстрирует, что и по ту сторону баррикад "плохие парни" не чураются маркетинговых уловок про "уникальность", "премиальность", "доступные цены" и т.п. Ценностное предложение вполне себе интересное 😱

Пост Лукацкого

08 октября 2024 10:04

В продолжение вчерашней "заметки про Генри Форда" и про цепочки атак. Часто ли хакеры моментально, одним ударом 🤕, используя найденную уязвимость, достигают своей цели? Или все-таки им нужно пройти некоторую цепочку из дыр, чтобы добиться желанного? Обычно второе. И хотя таких цепочек гораздо больше, чем уязвимостей (все-таки комбинаторику тут не обманешь), но критических путей гораздо меньше - доли процента, как видно из статистики 📇

Фокус на таких цепочках и должен быть целью в защите. Их нужно выявлять, мониторить и блокировать, а не распыляться на борьбу с ветряными мельницами ⚖️ А если это делать еще и автоматизированно, то будет вообще супер 🏝 Там, правда, нужно поддерживать в актуальном состоянии все эти цепочки, но это подъемная задача при определенных условиях. В противном случае придется заниматься атомарными уязвимостями и атаками, которые не объединены в цепочки и с которыми приходится иметь дело по отдельности 👣

Пост Лукацкого

07 октября 2024 20:39

Есть классическая версия этого видеоприглашения на Positive Security Day в официальном канале 🟥, а есть версия 18+, которую я могу и у себя выложить 🔞

Пост Лукацкого

07 октября 2024 13:35

Помните, я предлагал динамическое зарплатообразование в зависимости от уровня защищенности компании? Александр Леонов предлагает схожую историю, но применительно к процессу управления уязвимостями; есть дыры - зарплату не платят, нет - платят 🤑 Это должно по мнению Александра ускорить устранение уязвимостей в компании.

Это интересная идея и я бы проголосовал ✊ за нее всеми руками, но... Во-первых, устранять надо не все уязвимости, а только критичные, которые еще надо выявить. Во-вторых, даже наличие списка приоритизированных уязвимостей еще не означает, что их надо устранять все - многие из них не могут быть использованы по разным причинам или заводят злоумышленников в тупик 🫱 По статистике таких уязвимостей - 75%, а дыр, которые могут привести к компрометации ключевых и целевых систем - от силы 2%. Так что если согласиться с этими ограничениями, то почему бы и нет 🤔

ЗЫ. Фонд Генри Форда не подтверждает легенду про ремонтников, которым платили только за время нахождения в комнате отдыха и поэтому они были заинтересованы в том, что конвейер не ломался 🚗

Пост Лукацкого

07 октября 2024 08:25

9 утра 7 октября - уже под сотню заявленных взломов израильских компаний и организаций 🇮🇱