Пост Лукацкого

03 октября 2023 17:00

Уникальный кастомизированный бинарник для каждой жертвы. Вы все еще надеетесь, что антивирус вас спасет? 🆘 Для таких вредоносов без EDR и песочницы не обойтись 👋 Да и NTA/NDR для отслеживания C2-коммуникаций тоже будет не лишним.

Пост Лукацкого

03 октября 2023 10:04

Из свежих кейсов, которые достойны того, чтобы обратить на них внимание с точки зрения моделирования угроз. Ну я, по крайней мере, точно обратил. Итак, первая история с группировкой Lazarus, которая атаковала аэрокосмическую компанию в Испании. Детали об атаке будут раскрыты завтра на конференции Virus Bulletin, но какие-то моменты уже просочились. В частности меня зацепил первичный вектор атаки, когда хакеры под видом фейкового рекрутера через LinkedIn связались с жертвой и предложили ему сменить работу и перейти в запрещенную в России корпорацию Meta, для чего жертве надо было выполнять ряд тестовых заданий, за которыми и скрывался вредонос, позволяющий расширить затем плацдарм внутри компании. Это все к разговору о том, что за разработчиками нужен глаз да глаз и пускать их одних в бушующее море Интернета без надзора со стороны ИБ не стоит.

Вторая история связана с 26-тилетним бывшим инвестиционным аналитиком из Goldman Sachs, который сливал инсайдерскую информацию через аудиочат игровой консоли Xbox. Осужденный думал, что его никто не отследит, о чем он прямо сообщал своим подельникам. И вот тут у меня, конечно, возникает ряд вопросов насчет того, кто вообще решил мониторить этот канал утечки. Это было сделано службой ИБ или ФБР, уже после получения подозрений в торговле инсайдерскими сведениями. Если первое, то ИБшникам Goldman Sachs прям респект и уважуха - не часто такие каналы берут на мониторинг. Да и инструментов для их мониторинга не так чтобы и много. Ваша DLP может такое?

Пост Лукацкого

03 октября 2023 08:10

Интересно, доживем ли мы до того момента, когда Минцифры через Госуслуги будет предупреждать об учебной кибер-тревоге и рассылать в почтовые ящики граждан соответствующие уведомления? 🤔

ЗЫ. Уж лучше учебная тревога, чем настоящая!

Пост Лукацкого

02 октября 2023 20:11

В нормальных SOCах учебниками для CISSP двери подпирают 😂

Пост Лукацкого

02 октября 2023 13:32

Если вдруг вам не хватало красивой инфографики по актуальным угрозам, их есть у меня ✍️

Пост Лукацкого

02 октября 2023 09:13

Лень заниматься приоритизацией? Хочет сразу иметь перечень уязвимостей, которые точно стоило бы устранить?
Тогда вот ежечасно обновляемый перечень наиболее опасных и эксплуатируемых уязвимостей😉
Список формируется из нескольких источников:
➡️CISA KEV
➡️Rapid 7 Metasploit Modules
➡️Project Discovery Nuclei Templates
➡️EPSS
На текущий момент чуть более 2000 уязвимостей получается🙂
Подробнее о проекте ➡️Patchthis.app

Пост Лукацкого

02 октября 2023 06:40

Вообще странная история. На киберучениях на Сахалине один из кейсов был связан с летним бюллетенем НКЦКИ о компрометации инфраструктуры через легитимные инструменты 🥁, включая Kaspersky Security Center.

То есть хакер, получивший доступ 💻 к центру управления средством защиты получал полный доступ к инфраструктуре 🥳 Тоже самое применимо ко многим схожим инструментам, но НКЦКИ писал именно про Каспера.

И вот я обыгрывал этот кейс. Оказалось, что многие даже представить себе такое не могли и для специалистов по кибербезу это оказалось открытием и сюрпризом 🤔 В Минске на Positive SOCcon тоже у многих удивление было, услышав про данный кейс. Из чего я сделал вывод, что сайт НКЦКИ многие не читают, на канал в Телеграм не подписаны. А зря, сюрпризов 😳 было бы меньше.

Пост Лукацкого

01 октября 2023 17:02

Джен Эстерли, глава американской CISA, внесенная в список российских санкций, поставила амбициозную цель 🎯 - довести число женщин в ИБ (видимо, в американской) до 🚺 50% от общего числа к 2030-му году👮 Кстати, на последней конфе Women in Cyber Security, где Эстерли и озвучила свою цель, собралось аж 1700 делегатов. Или делегаток? Все время путаюсь с феминитивами 👵

ЗЫ. Интересно, на регулярных встречах российского женсовета по ИБ такие же цели ставят? Если что, мужская часть российской ИБ может помочь с достижением этой цели!

Пост Лукацкого

01 октября 2023 08:40

HDMI-адаптер для iPhone, который собирает данные о вашем местоположении, истории серфинга в Интернет, ваши фоточки и видео, трекает ваши закладки и инсталлированные приложения.

А вы проверяете, что вы суете в свои смартфоны?

Пост Лукацкого

30 сентября 2023 17:07

Многие пишут (а уж на Западе все как с цепи сорвались) о том, что некая российская платформа по скупке Zero Day с доменом, срок оплаты которого истекает в октябре этого года, в виду ажиотажного спроса на рынке решила поднять цену на зеродеи определенного типа для iOS и Android с 200 тысяч долларов аж до 20 миллионов (в 100 раз) 🌡. Это, предсказуемо, вызвало ажиотаж. Меня и журналисты, и некоторые каналы стали просить комментарии на эту тему. А я не даю 🤐, так как анекдот, который я бы мог рассказать в тему, вряд ли опубликуют. Но у себя в канале почему бы и нет:

Старый Мойша на приеме у сексопатолога:
— Доктор, у меня больше 3-х раз в неделю с моей Сарочкой уже не получается.
— Мойша, а лет вам сколько?
— 85.
— Мойша, ну это же превосходно!
— Да? А сосед мой Рабинович говорит, что у него с женой ежедневно, а ему 95!
— Ну так и вы говорите!

Есть еще анекдот про мешки, которые ворочат, но его даже я у себя не опубликую, а то доблестный РКН за мат канал прикроет и придется уходить в виртуальное подполье.

ЗЫ. Чего хакер на картинке, закрыв глаза, правой рукой под столом делает? Нейросетке Сбера явно надо датасет для обучения менять.

Пост Лукацкого

30 сентября 2023 10:23

Дерзкое согласие на обработку cookies.
18+

Пост Лукацкого

30 сентября 2023 08:40

Еще большим числом утечек?! Возьмем на себя повышенные обязательства?! Догоним и перегоним?!

Как же задолбали эти лозунги и подсчеты 🧮 количества утекших записей и самих утечек. Как будто это важно и именно это определяет результативность.

Все больше скатываемся в советские времена победных реляций, ничем неподкрепленных заявлений, дурацкой статистики, словоблудия «свадебных генералов» в пленарках и вот этого всего. Осталось только переименовать это все в съезд, на сцене вручать грамоты лучшим дояркам, комбайнерам и трактористам операторам SOC, багхантерам и настройщикам пианино NGFW, а также целоваться долго и взасос с председателем оргкомитета! 🤮

Пост Лукацкого

29 сентября 2023 16:59

Американцы выпустили предупреждение ⚠️ о взломе сетевого оборудования Cisco со стороны китайских хакеров 🇨🇳. Причем те действуют достаточно изощренно и подменяют прошивку маршрутизатора, что позволяет оставаться им в инфраструктуре даже после перезагрузки устройства.

Учитывая, что Cisco до сих пор полно и в России, а китайцы 🐉 нам не друзья, а всего лишь ситуативные союзники и российские предприятия они ломают несмотря на "дружбу Пу и Си", я бы обратил внимание на эту проблему. И хотя Cisco уже много лет не выпускает оборудование без SecureBoot, Trust Anchor и других технологий защиты от аппаратных и программных закладок, есть немало компаний, использующих устаревшие, но все еще работающие сетевые устройства. Поэтому посмотрите на рекомендации Cisco по защите их оборудования. Это не сложно и бесплатно.

Пост Лукацкого

29 сентября 2023 10:02

Одна из старейших частных логистических компаний Великобритании KPN Logistics Group прекращает свое существование 😮после июньской атаки шифровальщика. 730 сотрудников потеряли свою работу 😭

Невозможно? Недопустимо! ☹️

Пост Лукацкого

28 сентября 2023 20:04

Квантовая запутанность кибербеза в компании. Отношение к ИБ постоянно меняется. Думаю, что если слово "кибербез" заменить на "CISO", то смысл картинки тоже не пострадает

Пост Лукацкого

03 октября 2023 13:37

Ко мне тут пришли и говорят: "Вот ты тут проводил штабные киберучения и нам очень понравилась идея. Мы хотим также!". Так вот я хочу сказать, что «Хочу также» - это не постановка задачи 😊 Чтобы провести штабные киберучения нужно как минимум ответить себе на вопрос - хотите вы фана или вам реально нужно прокачать навыки персонала. Ибо в первом случае подготовки почти никакой от заказчика не надо - предоставь помещение, оборудование, призы подготовь, да народ созови. А все остальное я сам сделаю 💪

А вот во втором случае все гораздо сложнее - нужно провести предварительный анализ текущий ситуации с ИБ в организации, с ее процессами и их недостатками. Затем сформировать перечень тем для прокачки навыков, потом разработать сценарий и согласовать его с заказчиком, потом провести киберучения и... Нет, не почивать на лаврах, а проанализировать их ход, оценить ответы команд, составить список слабых мест и рекомендаций по их нейтрализации, а также улучшению проверенных процессов. И все это не в одно лицо, а вместе с заказчиком киберучений. Поэтому "хочу также" говорит только о том, что кто-то просто хочет выехать на чужом горбу хайпе, организовав что-то прикольное, а потом отчитаться за его проведение.

Кстати, у госов такое бывает сплошь и рядом - ты у них делаешь всё, готовишь кейсы, отрабатываешь сценарий, проводишь киберучения, а все лавры они приписывают себе. Как в известном анекдоте: "мы пахали", сказала муха 🪰, сидя на голове у лошади. Кто-то еще и бюджетные деньги за это получает. Ну да ладно. Может все равно на пользу пойдет и хоть какие-то знания после киберучений останутся ☝️

Пост Лукацкого

03 октября 2023 08:10

📣📣📣📣📣
Все по плану!

4 октября во всех субъектах России будут проверять систему оповещения населения.

🎤Зазвучат сирены и громкоговорители - так подается сигнал "Внимание всем!"

Эфир общероссийских теле- и радиоканалов будет замещен информацией по безопасности.

Также информация будет доступна в мобильном приложении «МЧС России».

Все это делается для проверки работоспособности систем оповещения регионального и муниципального уровней.

❗Сохраняйте спокойствие - подача звуковых сигналов плановая.

@mchs_official

Пост Лукацкого

03 октября 2023 06:40

Подогнали тут красивый отчет про мегатренды от Копенгагенского института изучения будущего и инвестиционной компании Pictet. Если не погружаться в 60 страниц чтива, то что можно вынести из этого исследования по нашей с вами теме кибербеза. Основных тендеций три:
1️⃣ Дефицит ресурсов. Тут я не вижу прямой связи с ИБ.
2️⃣ Деглобализация. Тут все понятно. Балканизация, в том числе и рынка ИБ. Никакого больше глобального доминирования американцев несмотря на все их желание; собственно как и китайцев. Будут анклавы (США и сателлиты, Китай, Индия, Россия, возможно, Южная Америка и Европа). По их составу споры идут бесконечно, но возврата к прежней истории с опорой на ИБ-решения из США, видимо, уже не произойдет в обозримые десятилетия.
3️⃣ Экономика услуг. Тут можно про подписочные модели что-нибудь сказать, но не буду 😊

Среди 21 трендов поменьше, эксперты выделяют 5 технологических, которые стоит учитывать с точки зрения ИБ (как объект защиты как минимум):
🔤 Виртуализация мира (метавселенные, цифровые двойники и вот это вот все)
🔤 Искусственный интеллект, роботизация и автоматизация повысят производительность, но и создадут проблему с рабочими местами
🔤 Рост connectivity между любьми и объектами поставят ребром вопрос надежности и отказоустойчивости
🔤 Био- и нейротехнологии ждут; как и хакеры, которые готовы будут пентестить наш мозг напрямую
🔤 Новые материалы (пока не вижу, что тут можно с ИБ связать).

Есть в отчете и раздел про кибербезопасность. Ей предрекают небывалый взлет - рост интереса к стартапам, увеличение инвестиций, новые возможности и вот это вот все...

Пост Лукацкого

02 октября 2023 17:06

У вас нет EDR и даже хостовых логов и есть только прокся на периметре? Из ее логов тоже можно извлечь немало полезного для обнаружения угроз

Пост Лукацкого

02 октября 2023 11:15

Круто, когда для включения двухфакторной аутентификации на сайте надо принимать целое Постановление Правительства! Я вот у себя на сайте, хочу - включаю, не хочу - отключаю ее (хотя я всегда хочу). А тут, наверное, целое совещание собирают, министры, оторванные от важных государственных дел, приходят, часа два совещаются, надо ли включать на сайте 2FA. А от них наверняка вопросы поступают, а чем 2FA отличается от MFA? А можно ли перехватить одноразовый код в СМС (да, можно)? А чем двухшаговая верификация отличается от двухфакторной аутентификации?

А министр цифрового развития на все эти вопросы уверенно отвечает и министры единогласно голосуют за это постановление, которое потом уходит в администрацию и юристы долго обсуждают, какой термин использовать в нормативно-правовом акте - многофакторная аутентификация или двухфакторная (а это же большая разница с юридической точки зрения, так как два - это не "много", а "много" - это не два).

ЗЫ. А вообще, все правильно. 2SV/2FA на портале "Госуслуг" давно пора вводить в обязаловку.

Пост Лукацкого

02 октября 2023 09:13

Очередная попытка найти способ приоритизации уязвимостей 👉 На этот раз предлагают ежечасно (!) обновляемый список критических уязвимостей. Автоматизация через файлик CSV... Не знаю, кто такое потянет 🤷

Пост Лукацкого

01 октября 2023 20:02

Октябрь - месяц ИБ во многих странах мира. В США он, в частности, будет посвящен 4 темам:
1️⃣Включение многофакторной аутентификации
2️⃣Использование надежных паролей и парольных менеджеров
3️⃣Обновление программного обеспечения
4️⃣Распознавание и уведомление о фишинге

Пост Лукацкого

01 октября 2023 12:57

Патчиться надо было
Сказал мне Dark River на ухо
Подкравшись к локалке моей

почти Басё (с)

Пост Лукацкого

30 сентября 2023 20:17

Задорнов был прав, когда говорил, что «американцы тупые» (не все, конечно). Гораздо безопаснее с точки зрения последствий красть пачки денег 💵 (если они не помечены), чем новенькие iPhone 📱, имеющие уникальный идентификатор и элементарно отслеживаемые по местоположению вплоть до пары метров.

Пост Лукацкого

30 сентября 2023 12:50

Толерантненькая реклама от CISA про необходимость думать 🤔 о кибербезопасности своих близких. Если CISA завтра уйдет в неоплачиваемый отпуск, то хотя дело их в виде рекламы будет жить 👌

Пост Лукацкого

30 сентября 2023 10:23

Блииин, а я у себя постеснялся такое согласие делать 😂

Пост Лукацкого

29 сентября 2023 20:02

Иногда, в погоде за инновациями и красивостью авторы забывают о приватности пользователей 😶‍🌫️ Пора уже вводить при приеме на работу разработчиков ПО, сайтов и т.п. тест на отношение к приватности и защите персданных. И если проходящий тест получает невысокий балл, то на работу его не брать 💡 Ну или прогонять вот через такой вот туалет 🚽, установленный специально для таких целей. Мне кажется, один раз в таком креативном месте и вопросы о необходимости учитывать вопросы privacy отпадут сами собой.

Пост Лукацкого

29 сентября 2023 13:36

Крупный производитель решений по промышленной автоматизации Johnson Control подвергся атаке шифровальщика группировки Dark Angels. Судя по длительности инцидента, сумме выкупа в 50+ миллионов долларов и абсолютно беспомощному уведомлению в Комиссию по ценным бумагам США у вендора все плохо.

Как можно не заметить утечку 27 терабайт (!) данных? Ладно у вас NTA/NDR наверное нет. Но хотя бы traffic quote настроить на периметровом межсетевом экране можно было?.. ⛔️

Пост Лукацкого

29 сентября 2023 06:40

Если до 1 октября Конгресс США 🇺🇸 не договорится о финансировании 🤑 правительственных структур (с 01.10 начинается новый финансовый год), CISA вынуждена будет отправить до 80% своих служащих в отпуск. А это значит, что многие проекты по ИБ, включая оперативный мониторинг угроз (а-ля ГосСОПКА), распространение IOCов и т.п. будут остановлены.

И это касается не только CISA, а всех федеральных госорганов США. ИБшников отправят в неоплачиваемый отпуск. Атакуй, не хочу 👨‍💻

А у вас в модели угроз такая есть?

Пост Лукацкого

28 сентября 2023 17:12

Хороший пример для сравнения бюджетов по ИБ для облачных платформ.
#yandexscale