Пост Лукацкого

12 марта 2024 12:31

Интересный кейс тут услышал. Банк 🏦 решил бороться с мошенничеством при переводе денежных средств, а поскольку денег особо не было (банк не из первой сотни даже), то кредитная организация стала внедрять самописный и достаточно простой в реализации антифрод 💰:
➖контроль IP-адресов и блокировка по геолокации, что отсекало всех "иностранцев", включая и клиентов банков, работающих из-за рубежа ⛔️
➖ контроль "черных" и "белых" списков счетов, в том числе опираясь на межбанковский обмен с коллегами и фиды от Банка России
➖ установление и контроль пороговых значений сумм платежей 🌡
➖ контроль определенных параметров платежных поручений (назначение платежа, сумма, ИНН, КПП и т.п.)
➖ контроль и блокирование новых, ранее не встречавшихся у клиентов получателей денежных средств 🆕

То есть служба ИБ банка отработала "на ура", но вот бизнес такого рвения не оценил, потому что:
➖ число жалоб клиентов возросло многократно 📈
➖ нагрузка на call center банка и его сотрудников возросла многократно
➖ в Интернете вырос негативный фон относительно финансового организации 🤠
➖ у банка снизилось число проданных банковских продуктов.
Зато уровень мошенничества снизился почти до нуля. Только вот кому это оказалось нужно? Не о таком результате думал бизнес, когда ставил задачи безопасникам.

Аналогичная ситуация происходит и в управлении инцидентами, управлении уязвимостями и многих других процессах ИБ, где целью ставится доведения ключевого показателя деятельности до нуля (ноль дыр, ноль угроз, ноль утечек, ноль еще чего-нибудь). На достижение этого "результата" уходят избыточные ресурсы, но бизнес от этого только страдает! Поэтому выбирая результат работы ИБ, к которому служба стремится, нужно искать баланс (точного ответа, какой он, - не существует)! 🟰

Пост Лукацкого

12 марта 2024 07:24

⚠️ Зеродей CVE-2024-21762 в устройствах Fortinet, которому подвержено около 150 тысяч торчащих в Интернет железок, начинает эксплуатироваться по миру. Я не знаю зачем это пишу 🆘, ведь вы же не используете NGFW покинувшей страну компании с отозванным сертификатом и непонятно откуда получаемыми обновлениями?.. Или как? 🤬

Пост Лукацкого

11 марта 2024 19:15

Проводя киберучения (не штабные), лучший результат достигается тогда, когда участники используют привычный им инструментарий 🛠, а не навязанный организаторами (а с их точки зрения лучше как раз наоборот). С другой стороны лучше так, чем вообще никаких киберучений.

ЗЫ. У чувака на видео, кстати, то ли большой опыт кидания шлепок, то ли шлепки с правильной аэродинамикой. Я попробовал покидать свои и они так четко не летят в цель, как у араба 🤕 Сразу вспоминаются старые китайские фильмы про боевые искусства, где в качестве оружия использовалось все, что под руку попадется - от расчесок до палочек для еды 🥢

Пост Лукацкого

11 марта 2024 12:38

За последний месяц на рынок (не российский) было выброшено 3 LLM API Gateway/Firewall ⛔️ А как вы защищаете обращения к внешним LLM (неважно, зарубежным или российским)? 😦

Пост Лукацкого

11 марта 2024 05:40

Порассуждал про то, почему формула "риск = вероятность * ущерб" ущербна по своей сути, так как она не учитывает теорию перспектив, которая, в отличие от матожидания формулы риска, объясняет иррациональность поведения человека при принятии решений в области рисков ИБ в том числе (правда, не дает их считать) 0️⃣

Пост Лукацкого

10 марта 2024 16:03

В начале февраля американское CISA выдало рекомендации об отключении уязвимых средств защиты Ivanti от инфраструктуры госорганов США. А сейчас становится понятно, почему была дана такая рекомендация. Решения Ivanti использовались в самой CISA и через имеющиеся уязвимости американское агентство по кибербезу успешно взломали 🔓 По словам CISA действия хакеров затронули 2 системы и не имели операционного эффекта (а что насчет стратегического?). Представитель CISA не стал отвечать на вопрос, кто стоял за атакой, к каким данным был получен доступ, были ли данные украдены и т.п.

Согласно источникам, две затронутые системы, - это Infrastructure Protection Gateway, который содержит информацию о взаимодействии критических инфраструктур США, и Chemical Security Assessment Tool (CSAT), в которой размещаются планы безопасности частных химических 👩🏼‍🔬 предприятий, включая данные об оценке их защищенности.

Пост Лукацкого

10 марта 2024 07:40

АНБ выпустило набор из 10 документов под общим названием "10 стратегий по защите облаков"; 6 из них совместно с CISA:
1️⃣ Модель разделения ответственности в облаках
2️⃣ Практики управления доступом и идентификацией в облаках
3️⃣ Защищенное управление ключами в облаках
4️⃣ Реализация шифрования и сетевой сегментации в облачных средах
5️⃣ Защита данных в облаках
6️⃣ Безопасность конвейера CI/CD в облаках
7️⃣ Практика автоматизированного деплоймента в облаках с помощью Infrastructure-as-a-Code
8️⃣ Сложность использования гибридных и мульти-облачных окружений
9️⃣ Управление рисками взаимодействия с MSP в облачном окружении
1️⃣0️⃣ Управление облачными логами для эффективного поиска угроз (threat hunting)

Пост Лукацкого

09 марта 2024 16:01

Подписчик прислал ссылку (спасибо ему), которую я тоже хотел прокомомментировать. История напоминает разработанный учеными из университета Джорджии прототип вредоносного ПО для промышленных контроллеров, который опаснее чем Stuxnet. Вот и тут некий Луис Венус с "синдромом Оппенгеймера" решил, что надо попробовать создать дрона, который будет летать 🛸 за конкретной "жертвой". Потратив всего несколько часов чувак вместе со своим товарищем инженером, внедрил в дрона две модели - распознающую по лицу конкретного человека (на расстоянии до 10 метров) и позволяющую летать за ним на максимальной скорости 🤕

Этот не очень умный изобретатель, фанат open source, который всегда выкладывает свои творения в паблик, сразу же предложил сценарий использования своего детища - снабжать дрона взрывчаткой и тогда можно адресно убивать "нужных" людей 💥 При этом этот Луис прокомментировал свое изобретение словами, что сейчас с этим невозможно бороться. Ну и вот и зачем он это сделал?

А ведь вместо взрывчатки на дрон можно повесить камеру слежения, устройство для прослушки и много каких еще устройств, вторгающихся в персональную кибербезопасность. Для слежки за бизнесом дроны уже используются (вот история про Хуавей 👲), теперь и за отдельными физлицами будут. Задергивайте шторы!

Пост Лукацкого

09 марта 2024 07:40

Microsoft призналась, что у нее украли 🤒исходные коды и хакеры также получили доступ к внутренним системам 🤒

В конце января, когда гигант из Редмонда обнаружил хакеров, они говорили, что доступа к исходникам не было, а только к небольшому объему почты руководства компании ✉️

В этот раз Microsoft уверяет, что доступа к пользовательским системам получено не было. Но я бы уже в это не верил 😤

Пост Лукацкого

08 марта 2024 16:02

1️⃣ Пентестеры ограничены временными рамками договора, а хакеры нет ⌛ Поэтому моделируйте угрозы исходя из этого!

2️⃣ Пентестеры ограничены scope, а хакеры нет. Поэтому не только моделируйте угрозы правильно, но и внедрите управление активами и мониторинг ключевых/целевых систем 🔍

3️⃣ Пентестеров обычно несколько в команде, а хакеров бесконечное число. Поэтому попробуйте добавить к пентестерам еще и bug bounty ▶️

4️⃣ Хакерам обычно достаточно найти всего одну уязвимость, чтобы проникнуть к вам, а вам нужно обнаружить их все. Выстраивайте процесс управления обновления и активами 🛡

Пост Лукацкого

08 марта 2024 07:40

Девушки, женщины, матери, дочери, сестры, бабушки и внучки! С праздником вас! Помните, что в США придумали этот день не для того, чтобы мужики дарили вам цветы, сертификаты в спа-салоны и возили на южное побережье Белого моря. Боритесь за свои права быть правыми! Ломайте систему (товарисч майор, призыва к свержению нынешнего строя прошу в этом не усматривать)! Мира вам, добра, красоты и безопасности!! 💐

ЗЫ. Первоначально праздник был назначен на 23 февраля. В СССР также этот день праздновался 23-го февраля, но по старому стилю, то есть 8 марта по новому 💐 Я не знаю, зачем я это приписал, но мне показалось это важным!

Пост Лукацкого

07 марта 2024 16:05

Пока весь мир думает, что самая страшная киберугроза - это китайцы 👲 и они всех атакуют и воруют промышленные секреты (наряду с русскими, иранцами и северокорейцами), мало кто задается вопросом, а кто-то атакует саму Поднебесную? Оказывается, да! 🐉

Это индусы 🇮🇳 В частности APT-группировка Bitter (атрибутирована американской Forcepoint), она же Manlinghua (атрибутирована китайской Qihoo 360), которая много лет пытается атаковать военный, государственный и ядерный сектор Китая 🇨🇳. Помимо нее, на Китай нацелены индийские Patchwork, SideWinder, Donot и другие. И именно из Индии идет наибольший поток атак 🪬

У Manlinghua основных первичных векторов атаки два - целевой фишинг и взлом через скомпрометированные легитимные сайты. Помимо Китая (например, известен кейс с отправкой фейковых писем от посольство Кыргызстана 🇰🇬 в ядерные сектор Поднебесной) она нацелена на Пакистан 🇵🇰, Бангладеш 🇧🇩 (известен кейс с отправкой фейковых предложений покупки антидроновых систем в ВВС этой страны) и Монголию 🇲🇳 Причины же такого интереса Индии к Китаю можно подсмотреть в одной из моих предыдущих заметок.

Вообще, если выйти за рамки своего кокона и перестать смотреть на США, то открывается огромный дивный мир ИБ, в котором американцев нет. И России пока нет. Но там такая движуха, что прям интересно-интересно...

Пост Лукацкого

07 марта 2024 09:04

В Казахстане 🇰🇿 с 1-го июля 2024-го года вступают в силу обновленные правила по защите персональных данных, среди которых есть и требование по уведомлению 📞 уполномоченного органа об инцидентах с персональными данными. Причем, в отличие от России 🇷🇺, где сообщать надо только об "утечках" ПДн, в Казахстане это надо делать для более широкого набора нарушений с ПДн: 😕
1️⃣ незаконное распространение, изменение или уничтожение ПДн
2️⃣ несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых ПДн
3️⃣ несанкционированный доступ к ПДн.

А я напомню, что для того, чтобы реализовать уведомление в течение 24 часов, необходимо выстроить полноценную систему мониторинга и реагирования 👨‍💻 на инциденты ИБ, а также провести инвентаризацию мест обработки 🤌 ПДн и т.п. Проект непростой и до 1-го июля реализовать его будет непросто. Поэтому я бы рекомендовал посмотреть вебинар по этой теме, который я проводил осенью 2022-го года, и рабочую тетрадь, которая посвящена этой теме. Они могут быть интересны и коллегам из Казахстана.

Пост Лукацкого

06 марта 2024 19:21

Аааа, агонь получился 🔥 Люблю вот такие съемки закулисья, когда ты еще не в роли, не паришься о том, что можно говорить, а что нельзя, не выстраивашь струящуюся 🎶 звонкую речь, а можешь быть самим собой 😎 А потом оказывается, что в этот момент тебя снимала камера и потом из этого всего сделали прекрасную нарезку 🎆

ЗЫ. Полная версия будет выложена на AntiMalwarerus?si=JjQyTGZMOBDJ_dmX">Youtube-канале AM Live, в ближайшее воскресенье, 10 марта, в 18.00 по московскому времени 👀

Пост Лукацкого

06 марта 2024 12:35

Шифровальщик на Apple Vision Pro 🤿? А почему бы и нет. А если скрестить идею с нейрочипами 🧠 от Илона Маска, то будущее предстает в совсем иных красках 🎨

Одно дело, когда у вас вымогатели требуют деньги за разблокирование «умного» пояса целомудрия 😎 И совсем другое, когда деньги просят за возврат доступа к мозгу 🏌️ …если он, конечно, нужен (и мозг, и доступ к нему)! Интересно, без чего сложнее жить - без 🥶 или без 💄?..

Пост Лукацкого

12 марта 2024 09:05

Вчера все репостили эту прекрасную картинку, которая была сделана на сайте Муниципального бюджетного общеобразовательного учреждения "Кольцовская школа №5 с углубленным изучением английского языка" (спасибо за ссылку подписчику) 🤡

На самом деле и в названии памятки и в названии файла закралась ошибка и речь в них идет об излечении ребенка от киберзависимости и обеспечении его личной информационной безопасности. И ничего более ☺️

ЗЫ. Но картинка стала вирусной - мне ее раз 10 переслали из разных чатиков. Напомнило вот эту карикатуру, которую я на днях делал.

Пост Лукацкого

12 марта 2024 05:40

Небольшое, семиминутное видео про то, ради чего работает (должен работать) безопасник. Писалось для проекта AM Talk!

Пост Лукацкого

11 марта 2024 16:01

Вот это пароль… 😲 Я со счета сбился, когда считал нажатия. При такой длине, можно и пренебречь отсутствием букв 😮 И как он его запоминает-то?..

Пост Лукацкого

11 марта 2024 09:06

В 1988-м году Роберт Тапан Моррис в целях эксперимента создал одного из первых массовых червей 🪱, активность которого привела к заражению 10% Интернета того времени (сейчас сложно себе представить, что что-то может заразить 10% современной Сети из десятков миллиардов устройств). Спустя 35 лет три исследователя из израильского Университета Технион, компании Intuit и Университета Корнуэлла разработали червя, которого скромно назвали Моррис II 🐛

Данное творение рук человеческих можно отнести к вредоносным самораспространяющимся программам, атакующим системы генеративного искусственного интеллекта 🧠 Этот червь нацелен на ИИ-приложения. Выложенный на GitHub код (да, они его выложили в паблик) демонстрирует атаки на ИИ-помощников, работающих по e-mail в двух сценариях (спам и кража персданных), в двух режимах ("белый" и "черный ящик"), используя два вида входных данных (текст и изображения) против трех ИИ-моделей (ChatGPT 4.0, Gemini Pro и LLaVA) 😧

В своей работе "исследователи" продемонстрировали, как злоумышленник может вставить специально подготовленную подсказку для генеративных ИИ таким образом, чтобы ИИ реплицировал подсказку без участия человека и вставил в выходные данные нечто опасное (от персданных до вредоносного кода), как это происходит в атаках SQL Injection или переполнение буфера ❗️ При этом ИИ может отправить соответствующую подсказку другим ИИ-агентам, которые также будут генерить свои подсказки, тем самым червь начнет распространяться самостоятельно, без участия человека 🔄

Цель исследования, по словам его авторов, - продемонстрировать создание ИИ-червя, чтобы предотвратить тем самым его создание (логика явно не сильная сторона авторов Morris II). Ну а чтобы доказать свое намерение три исследователя, не получив ответа от Google и OpenAI, решили предоставить доступ к исходникам всем желающим 🤦‍♂️

Пост Лукацкого

10 марта 2024 19:21

Процесс приема на работу ИБ-джуна без указания вилок зарплаты ☹️

Если бы в конце эту «вилку» не показали, то довольны были бы все - и джун, радующийся монетке, и HR, сэкономивший деньги 🫰 А так джун может уйти с чувством, что его обманули. А с другой стороны это урок!

Пост Лукацкого

10 марта 2024 11:44

Центр MITRE Engenuity обновил базу знаний 🤒 по внутренним угрозам, выпустив версию 2.0. Цель этого проекта - создать аналог матрицы MITRE ATT&CK с техниками и тактиками, но применительно только к внутренним нарушителям 🤒, которые используют далеко не все TTP из ATT&CK в своей деятельности. Основой для проекта служат данные, которые компании сами загружают в него, что создает определенные сложности с полным охватом всех возможных действий со стороны внутреннего врага (авторы это признают и особо отмечают в разделе "ограничения проекта") 🤐

В v2 таких TTP только 22% (против 16% в v1), что связано и с меньшим числом целей инсайдеров (в Insider Threat TTP Knowledge Base v2.0.0 фокус пока только на утечках данных и мошенничестве), и с меньшим числом технических ухищрений, которые нужно проводить "крысам" для достижения своих задач 🐀 Например, повышение привилегий используется достаточно редко, - проще создать новую учетку или получить несанкционированный доступ к чужой учетной записи, а также провести манипуляции с данными и собирать их из различных источников, баз данных, репозиториев и т.п. 👨‍💻

В новой версии базы знаний также обновлены разделы "Меры защиты" и "Источники данных", которые позволяют выстроить систему обнаружения и реагирования на выявляемые TTP 🛡

Пост Лукацкого

09 марта 2024 19:26

Прекрасное... Песня CISO, принявшего все риски ИБ и не парившегося об этом 😦 а также о том, почему никто не любит ИБ-рисковиков и ИБ-аудиторов 😂

Пост Лукацкого

09 марта 2024 11:46

Американцы вводят ограничения на выдачу виз для физлиц, замешанных в злоупотреблениях с шпионским ПО 🥷

Пост Лукацкого

08 марта 2024 19:22

Литва 🇱🇹 выпустила очередной отчет по угрозам национальной безопасности для своей страны. Я не заметил особой разницы с прошлогодним отчетом - риторика, угрозы и даже текст местами тот же.

Основная угроза исходит из России 🇷🇺, которая хочет поработать Европу и готовится к войне с НАТО. Беларусь 🇧🇾 тоже хочет поработить гордую Литву и поэтому танцует под дудку России, которая готова снабдить Беларусь нестратегическим ядерным оружием. Китай 🇨🇳 тоже интересуется Литвой и собирает по ней много военной и политической информации через соцсети. Литва пишет, что Китай опасается усиления их сотрудничества с Тайванем 🇹🇼 (прям, угроза, хуже некуда).

Наконец, под финал, в отчете о национальной угрозе военная разведка и министерство госбезопасности этой маленькой, но гордой страны, пишут про перевороты в Чаде 🇹🇩, Нигере 🇳🇪, Судане 🇸🇩, Мали 🇲🇱, Буркина-Фасо 🇧🇫, Габоне 🇬🇦 и других странах центральной Африки. Какое это все отношение имеет к Литве, я опять не очень понял. Видимо писать только про Россию не очень корректно и надо было добавить угроз для солидности.

По кибертематике в отчете не так уж и много - основная угроза в этом домене исходит из Китая 👲

Пост Лукацкого

08 марта 2024 11:51

Интересная история разворачивается по ту сторону баррикад. Группировка BlackCat 🐈‍⬛ (она же ALPHV), получив 22 миллиона доллара выкупа от Change Healthcare, о которой я уже писал, кинула "партнеров" и свалила в туман, прихватив с собой все деньги 🤒

При этом, "партнер", который и заразил фармкомпанию, утверждает, что "к сожалению для Change Healthcare все их данные остались" и никто их не удалил как должны были. Похоже, что от компании будут требовать выкуп повторно, может быть в меньшем объеме, но будут. А вот согласится ли жертва на повторную выплату 🤑 при свежем кидалове - это вопрос вопросов. С другой стороны, среди украденных данных, информация от разных фармкомпаний 💊 и страховых, которые будут не рады, что их данные будут опубликованы.

BlackCat пишет на русскоязычном сервере для вымогателей RAMP, что они пытались решить проблему и все оплатить, но потом смысл этим всем заниматься пропал, так как вымогатели решили закрыть свой проект, продав все исходники своего вредоносного ПО за 5 миллионов долларов. Покупатель уже найден 🛍 Одновременно BlackCat пишет, что выплатить выкуп им помешали "федералы", которые вновь перехватили 👮🏻‍♀️ управление их серверами. Однако, есть версия, что они таким образом прикрываются ФБР и решили на этом основании кинуть всех, уйдя в туман с карманами, полными деньгами 👉

Пост Лукацкого

07 марта 2024 19:21

Министерство юстиции США обвинило китайца Линвей Динга в краже секретов Google в области искусственного интеллекта 🧠 Кража со стороны китайцев 👲 и их поимка американскими правоохранителями уже давно не новость и стало нормой, но интересно другое.

В материалах Минюста описано, как Динг обходил решение по контролю утечек 🔍 информации, используемое в Google. Сначала он копировал секретные документы в Apple Notes, потом конвертировал заметки в PDF-файлы и потом уже заливал на персональный аккаунт в облако Google. Китайцу, если дело закончится обвинительным заключением, грозит 10 лет тюрьмы и 1 миллион штрафа по 4 пунктам обвинения в краже данных 😡

Пост Лукацкого

07 марта 2024 12:37

"Бойцы" из технологического института Джорджии представили на симпозиуме NDSS подход и POC по разработке вредоноса для ПЛК, который является гибким, устойчивым и очень опасным 🤕 В отличие от прошлых подходов к атакам на АСУ ТП (тот же Stuxnet), которые были направлены на фирменное ПО ПЛК или управляющую логику, в новом подходе целью является web-приложения, которые встроены в ПЛК. Это позволяет вредоносному коду оставаться незаметным, использовать легальные вызовы Web API, оставаться активным даже после смены прошивки, устанавливать C2-соединения даже из изолированной сети, самоуничтожаться, подчищать за собой следы своей активности и т.п. 😧

Авторы ничтоже сумняшеся говорят, что их подход в случае реализации (а они демонстрировали и MVP своего "детища") может привести к катастрофическим последствиям и даже людским смертям ⚰️ (нахрена тогда вообще было заниматься разработкой такого ВПО; лавры Оппенгеймера не дают спокойно спать?) 🗡 Разработанный прототип, названный IronSpider 🕷, показал свою эффективность, заразив ПЛК одного из основных вендоров в этом сегменте, занимающего 80% мирового рынка. Рекомендациям по защите от своего авторы исследования посвятили меньше пятой части страницы 👿

Пост Лукацкого

07 марта 2024 05:40

Подписчик (за что ему спасибо) прислал ссылку на презентацию с последней встречи компании SolarWinds с инвесторами, в которой компания подводит итоги финансового года и, среди прочего, описывает финансовые последствия инцидента ИБ 👨‍💻 с внедрением закладки в ее продукты. За прошедших с инцидента 3 с небольшим года SolarWinds потратила на разгребание последствий 6️⃣0️⃣ миллионов долларов 💵 Если раскидать по годам, то компания потратила на инцидент:
➖ 2021 - 4,6% от оборота
➖ 2022 - 3,6% от оборота

При этом, по итогам 2022 года оборот компании не вырос вообще, а доходы от продажи и поддержки проданных продуктов снизились (за счет подписки компания чуть нарастила свои доходы, но незначительно) 📉

Но и это еще не все. Компания в разделе "отказа от ответственности" очень много уделила внимания тому, что вообще ситуация такова, что они не могут гарантировать, что у них не повторится этот кейс, что никто не залезет к ним в инфраструктуру, что не будет очередных исков со стороны пострадавших, что они пока не могут оценить последствия судебного преследования CISO и т.п. 🤌

Наблюдая за последними годовыми отчетами компаний, пострадавших от разных ИБ-инцидентов, вижу, что "среднее" значение потерь от таких крупных историй, можно даже назвать их "недопустимыми событиями", составляет от 3 до 5 процентов от годового оборота 🤑 Достаточно существенная сумма, если вдуматься.

PS. А я напомню, что именно опасаясь реализации недопустимого события "вредоносная закладка в ПО", Positive Technologies анонсировала программу Bug Bounty на это НС на сумму в 60 миллионов рублей. Лучше заплатить чуть меньше миллиона долларов (если кому-то удастся реализовать НС), чем потерять 60. Простая математика!

Пост Лукацкого

06 марта 2024 16:09

Вот смотришь, как несколько лет назад рекрутировали хакеров для взлома 🔓 чужих аккаунтов, и сколько платили за это, и понимаешь, что тот, кто тогда согласился на это, сегодня не просто миллионер, долларовый миллиардер! 💸

Пост Лукацкого

06 марта 2024 09:01

Сказано, сделано. Раскраска для скучных ИБ-совещаний, совмещенная с кибергороскопом. Но если последний вы еще можете почитать онлайн, то раскраска требует тактильных ощущений ✍️

ЗЫ. Цветные карандаши ✏️ в комплекте…

ЗЗЫ. Не психуй - сиди штрихуй!