Пост Лукацкого

23 мая 2023 16:21

3 года тюрьмы, 800 тысяч штрафа и конфискованный компьютер 💻 Таков приговор российскому ИТшнику за DDoS-атаки на российские объекты КИИ

Пост Лукацкого

23 мая 2023 10:01

Квиз на закрытом Positive CISO Club тоже прошел на ура! Были и простые вопросики, которые 20+ команд угадывали быстрее отведенных на вопрос 30 секунд. Например, про троянского коня 🐴 Но были и более сложные истории, например, про фреймворк ERM&CK, анонсированный на PHDays 12 🤔

Пост Лукацкого

22 мая 2023 16:59

На PHD12 не только VK занимался повышением осведомленности пользователей, но и холдинг Rambler, который к киберфестивалю запустил и онлайн-игрушку, и советы по ИБ от "Кибербезопакла", легендарного первого ИБшника 🤔 Наконец-то у нас awareness стал входить в моду и про него говорят уже не только ИБ-компании!

Пост Лукацкого

22 мая 2023 13:49

Новое отечественное Security Experts Community – "это открытое сообщество специалистов по ИБ, которые хотят делать мир чуточку безопаснее и помогать коллегам на пути обеспечения защищённости своей инфраструктуры". Про него рассказали в некоторых докладах и дискуссиях на PHDays и уже сейчас в нем обсуждаются и реализуются всякие open source инициативы, к которым можно присоединиться, начав "дружить домами".

Пост Лукацкого

22 мая 2023 06:40

Сколько тратить на ИБ от ИТ-бюджета?! 🛍 Вопрос до сих пор наипопулярнейший. Из этого заблуждения (что ИБ - это часть ИТ и считаться должна именно от ИТ) проистекает огромное количество проблем. А ведь если задуматься, то мы защищаем не ИТ, мы защищаем активы, мы нейтрализуем риски, мы боремся с недопустимыми событиями. И бюджет на ИБ должен зависеть от их стоимости, а не от того, сколько ИТ тратит на сетевуху, ОС, СУБД и принтеры.

Пост Лукацкого

21 мая 2023 10:20

PHDays завершился; как и сутки молчания, связанные с погружение в киберфестиваль. Скоро придет время порефлексировать над произошедшим. Как организатор бизнес-трека, я так и не смог послушать ни одну из сессий (кроме двух, модерируемых мной). Но зато сейчас есть время все внимательно пересмотреть и переслушать, чтобы выцепить ключевые идеи, которые я буду потихоньку выкладывать.

Пост Лукацкого

20 мая 2023 07:22

👨‍💻 Более 8 тыс. человек проверили портал Госуслуг на прочность

В начале февраля мы запустили проект по поиску уязвимостей на Госуслугах. За три месяца количество участников багбаунти превысило 8,4 тыс. За успешную работу участники получают вознаграждение: подарки с символикой проекта — за небольшие баги, до 1 млн рублей — за критические уязвимости.

По итогам проекта можно сказать, что работа исследователей помогла улучшить систему безопасности Госуслуг. При этом доступа к внутренним данным не было — участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга (чтобы их нельзя было использовать для взлома).

Уязвимости и выплаты
Всего найдено 34 уязвимости, большинство из них — со средним и низким уровнем критичности. Максимальная выплата составила 350 000₽, а минимальная — 10 000₽. Спонсор проекта — Ростелеком.

Возраст багхантеров
➖ минимальный — 17 лет
➖ средний — 28 лет
➖ максимальный — 55 лет

Тестирование проходило на платформах:
➖ BI.ZОNE Bug Bounty
➖ Standoff 365

В будущем мы планируем и дальше проводить багбаунти Госуслуг, а также расширить действие программы на другие ведомства. Следите за анонсами в канале, чтобы не пропустить запуск следующего проекта.

@mintsifry

Пост Лукацкого

19 мая 2023 13:37

Помнится, когда Cisco Talos назвал одну из хакерских атак Squirrel Waffle ("беличья вафля"), у меня возникла мысль, что придумывают такие названия в каком-то особом состоянии сознания. И вот у нас новый лидер. "Текущий волк"? 🐺 Кто это придумал?! 🤔

ЗЫ. Хорошо, что не "текущая волчица" 😊

Пост Лукацкого

19 мая 2023 06:40

Всегда хотел во всю голосину спеть «Выйду ночью в поле с конем». А теперь и повод появился ;-) На PHD возвышается большая скульптура троянского коня, в чреве которой устроен бестиарий киберугроз, рассказывающий о самых нашумевших вирусах, троянах, червях и т.п. недавнего прошлого и настоящего.

ЗЫ. У вас тоже есть шанс посетить его - так как он находится в открытой части киберфестиваля PHD в Парке Горького, открытого до субботы включительно.

Пост Лукацкого

18 мая 2023 17:27

Было время, в Интернете шутили про ИБ. Сейчас что-то шуток стало гораздо меньше. Имеющиеся каналы с ИБшными мемасиками сдулись и прекратили свою активность. Видимо, не время сейчас шутить, "Отечество в опасности", как говорилось в известном декрете заксобрания Франции 1792-го года!

Пост Лукацкого

18 мая 2023 13:16

Ну и в продолжение предыдущего поста про помощь иностранному государству. Не знаю как вам, но мне, наши украинские товарищи, по доброте душевной, прислали тут на днях смску с предупреждением, что нельзя ни в коем случае вестись на происки американской, а также европейской, китайской и даже белорусской разведок, так как взаимодействие с ними может бать квалифицировано по статье 275 УК РФ. При этом хочу поблагодарить украинских товарищей, которые предупредили меня об этом заранее, до того, как ролик ЦРУ появился в Интернете. Так я не совершил роковой ошибки и не связался с ЦРУ! И хотя в присланной смске был просто скопирован текст 275-й статьи УК РФ, я понял скрытый смысл этого сообщения, которое меня спасло от непоправимого!

А чтобы от этого поста была хоть какая-то польза, хочу напомнить, что существует три сценария, когда вы можете изменить стране:
😏 Вы это сделали осознанно, передав иностранной организации что-то, что является угрозой для безопасности России
😡 Вас использовали втемную, попросив поучаствовать в каком-нибудь исследовании и т.п.
😱 Вы сделали что-то, даже не задумываясь о последствиях, но что могло привести к реализации угрозы безопасности России.

Приведу классический пример для третьего случая, так как он самый неочевидный. Представьте, что в региональной прессе публикуется статья об успехах хлеборобов, которая сопровождается фотографией хлебного фургона, стоящего у ворот местной воинской части и подписью "Ежедневно наши военные получают целый фургон хлеба, выпеченного на нашем местном заводе имени Отто Фредерика Роведдера". Безобидная статья и безобидная фотография времен СССР! Но вот незадача. Количество буханок хлеба в фургоне - это константа и оно не представляет секрета. Ежедневная норма хлебобулочных изделий на одного военнослужащего тоже не секрет. То есть поделив первое на второе мы получаем численность военнослужащих местной в/ч, а это уже гостайна и ее неосознанное раскрытие прекрасно попадает под статью 275; даже если вы об этом не думали. А вы думайте!🏌️

Пост Лукацкого

17 мая 2023 18:40

У многих маркетологов перед оффлайн-мероприятиями всегда встает (а если не встает, то они маркетолухи) вопрос мерча (на PHDays 12 уже начали продавать свой мерч). Предлагаю надписи для футболок:
👕 Go BUG yourself - для организаторов программ bug bounty
👕 Go HACK yourself - для производителей BAS-решений
👕 Go TRACK yourself - для производителей UEBA-решений
👕 Go FSTEC yourself - для производителей сканеров исходных кодов и компаний, проводящих оценку соответствия
👕 Go SOC yourself - для поставщиков SIEM
👕 Go BLOCK yourself - для производителей МСЭ

ЗЫ. Отдаю идеи бесплатно - за футболки с надписью 🎽!

Пост Лукацкого

17 мая 2023 16:23

Если вдруг кто-то хотел, но не успел купить билеты

Пост Лукацкого

17 мая 2023 12:41

И просматривая список команд, участвующих в начавшейся сегодня битве Standoff, увидел цепляющее название команды из Сицилии - EvilBunnyWrote. Я думал, сицилийские хакеры назовут себя как-нибудь традиционно. Например, CyberKozaNostraH. Но нет.

Не думал, что между итальянским и русским языком столько общего, роднящее хакеров наших стран. А у меня и футболочка с классикой русского, и теперь становится понятно, что итальянского языка, есть для такого случая. Думаю надеть на PHD ;-)

Пост Лукацкого

17 мая 2023 06:40

На прошлом PHDays я модерировал дискуссию про open source, где среди прочего задал вопрос представителю Минцифры о планируемом государевом репозитории ПО, который мог бы стать источником проверенного софта, которое в свою очередь можно было бы использовать, например, на объектах КИИ, для которых нет отечественных, да еще и сертифицированных средств защиты. Но этого репозитория, к сожалению, до сих пор нет и не очень понятно, когда он вообще появится, что приводит к появлению собственных открытых репозиториев ПО - корпоративных или у госорганов 💻

Но Минцифры, состоящее из разных департаментов (а за репозиторий и кибербез отвечают разные), не сидело без дела и выпустило методические рекомендации по обеспечению ИБ при создании и эксплуатации открытых репозиториев программного обеспечения, в котором собрало то, что должно повысить защищенность ПО, размещаемого в "русском гитхабе/гитлабе". Помимо традиционных защитных мер в виде антивирусов, контроля и разграничения доступа, сетевой безопасности и т.п., Минцифры рекомендует и более интересные механизмы результативного кибербеза:
1️⃣ Информирование регуляторов (ФСТЭК, ФСБ или ЦБ - в зависимости от того, кто создает репозиторий) об уязвимостях, выявленных в загружаемом в репозиторий ПО
2️⃣ Регулярный анализ защищенности репозитория на предмет уязвимостей в инфраструктуре (не в размещаемом ПО)
3️⃣ Регулярные пентесты и багбаунти, которая названа достаточно длинно и сложно - программа по выявлению уязвимостей инфраструктуры с возможностью привлечения независимых экспертов и исследователей программного обеспечения за вознаграждение.

Помимо встроенных в репозиторий мер, Минцифры рекомендует предлагать пользователям открытого репозитория и коммерческие сервисы ИБ (Минцифры заботится об отечественном рынке кибербеза):
1️⃣ Тестирование размещаемого ПО на уязвимости
2️⃣ Программа багбаунти
3️⃣ Публикация отчетов о безопасности ПО
4️⃣ Безопасная разработка (SecDevOps).

Хорошая тема. Интересно, распространяются ли данные рекомендации на защищенный репозиторий ядра Linux отечественных защищенных операционных систем, созданный совместно ФСТЭК и ИСП РАН?

Пост Лукацкого

23 мая 2023 13:15

Если вы были на PHDays 12 и осталась какая-то недосказанность в ваших отношениях с этим мероприятием (вы не просто хотите сказать, как все было классно, но и сказать, что именно, или вы хотите рассказать, где мы накосячили /про регистрацию мы в курсе/ и где можно улучшить ситуацию, или даже вы хотите предложить классную идею на будущее), то заполните, пожалуйста, небольшую форму. Никаких стандартных вопросов о том, кто из спикеров вас потряс больше всего (я-то не выступал 😂), какой партнер выдал вам лучший мерч или сколько треков помимо курируемого мной бизнесового вы посетили, не будет 😊 4 необязательных вопроса ❓ с ответами в свободной форме - отвечать можно на любое количество из них. Есть что сказать, заполняйте; нет - чего время зря терять. Я буду вам благодарен - хочется в следующем году сделать мероприятие еще лучше!

Пост Лукацкого

22 мая 2023 20:15

Если вдруг вы увидите на улицах Москвы такие граффити, то не пугайтесь, они безопасны 😊 Тем более и PHD уже закончился 😭

ЗЫ. Я, кстати, под конец киберфестиваля PHDays зашел к кибергадалке 🧙🏻‍♀️, которой задал вопрос о том, какие киберугрозы меня ждут. Но ответ получил позитивный - если меня что-то и ждет, то я к ним готов! На том мы и расстались. А вот узнать свое будущее 🔮 по паролю я уже не успел - к субботней полночи все кибераттракционы завершили свою работу 🧙‍♂️

Пост Лукацкого

22 мая 2023 14:48

Извещение об инциденте утечки ПДн из базы данных сайта ИнфоТеКС

20 мая около 19:00 в телеграмм-канале "Утечки информации" была опубликована информация о появлении в открытом доступе данных, полученных предположительно из базы данных пользователей сайта www.infotecs.ru. По факту публикации компания «ИнфоТеКС» незамедлительно начала проверку данной информации. Превентивно был отключен личный кабинет (ЛК) пользователей сайта www.infotecs.ru, а спустя 3 часа после старта проверки была остановлена работа всего сайта с целью детального анализа логов и образов виртуальных машин, реализующих ИТ-инфраструктуру сайта.

В 22:00 20 мая после блокировки доступа к личному кабинету пользователей началось детальное расследование данного инцидента специалистами компании «ИнфоТеКС» и экспертами компании "Перспективный мониторинг" (входит в ГК «ИнфоТеКС» и является аккредитованным центром ГосСОПКА).

Проверка подтвердила факт утечки базы данных с учетными записями зарегистрированных пользователей сайта. Предварительно установлено, что компрометации подверглась только база данных учетных записей пользователей сайта, содержащая следующие обязательные для заполнения пользователем поля: логин, имя пользователя и адрес электронной почты. Пароль доступа в базе не хранится, вместо него в базе хранится хэш от пароля, по которому пароль восстановить невозможно. Анализ базы показал, что из 60 911 записей скомпрометированной базы подавляющее большинство являются фейками, автоматически сгенерированными записями ботов, одноразовыми, технологическими записями и тп. В настоящее время идет очистка базы от устаревших данных, расследование инцидента продолжается. Уведомление об инциденте направлено в Роскомнадзор в соответствии с требованиями.

Также расследование установило, что сервисы сайта ИнфоТеКС (веб-сервер, система управления сайтом, операционные системы, системы виртуализации и балансировки нагрузки) не были скомпрометированы злоумышленником. Учетные записи сервисов сайта хранятся в других базах и не были скомпрометированы. В ближайшее время сайт www.infotecs.ru будет запущен в работу.

Все программное и аппаратное обеспечение сайта www.infotecs.ru расположено в выделенном контуре безопасности, не имеет возможности взаимодействовать с внутренней ИТ-инфраструктурой компании. Работа с сайтом как пользователей, так и администраторов сайта осуществляется исключительно через документированные возможности систем управления сайтом и вспомогательными системами через защищенные SSL/TLS-соединения. Никакого ущерба внутренней ИТ-инфраструктуре компании нанесено не было. Все бизнес-процессы компании продолжают функционировать в штатном режиме. Данный инцидент никак не повлиял на разработку и выпуск продуктов ViPNet, их качество и безопасность.

Что касается содержания скомпрометированной базы данных и безопасности персональных данных пользователей сайта «ИнфоТеКС», отметим, что при регистрации на сайте пользователь может внести в базу еще ряд необязательных полей, таких как ФИО, телефон, место работы, должность и т.д. Эти данные компания никогда и не при каких условиях не передает третьим лицам, а использует исключительно в собственных маркетинговых целях. В большинстве учетных записей эти поля не заполнены. Верифицируемыми данными, помимо логина и хэша, является только адрес электронной почты, который используется в процедуре регистрации пользователя. Остальные данные компания «ИнфоТеКС» не проверяет и не может подтвердить или опровергнуть их корректность.

Мы настоятельно рекомендуем зарегистрированным пользователям сайта www.infotecs.ru оперативно сменить пароль доступа к ЛК сразу после того, как он будет запущен в работу. Об этом мы сообщим дополнительно.
Если пользователь сайта www.infotecs.ru использовал при регистрации тот же логин и пароль, что используется в других учетных записях (личных и корпоративных), настоятельно просим сменить этот логин и пароль во всех своих учетных записях, не дожидаясь запуска в работу ЛК.

Пост Лукацкого

22 мая 2023 10:14

Помните, на CISO Forum, во время интервью на сцене, которое я брал у Владимира Бенгина, был упомянут проект "русский Shodan"? Так вот на PHDays компания CyberOK рассказала о "русском Shodan", новом сканере сетевого периметра Rooster, который может просканировать все адресное пространство IPv4 всего за сутки. А в презентации CyberOK про Rooster на PHDays было упомянуто, что проект делался для Минцифры. Все сошлось! 🧐

Но было бы глупо делать просто "еще один Shodan". У Rooster есть и ряд ключевых отличий. Во-первых, он сканирует все TCP-порты, а не ограниченное их число как Shodan. Во-вторых, он детектит уязвимости не через анализ заголовков/баннеров уязвимых сервисов. Да, их многие не меняют, но это сродни афоризму Козьмы Пруткова "не верь глазам своим" или более народному "На заборе хрен написано, а там дрова лежат!". Поэтому у Rooster проверки наличия реальной уязвимости делаются иначе.

А если вспомнить антипленарку на "Магнитке", то, помните, там прозвучала идея об автоматических штрафах за наличие неустраненных критических уязвимостей на периметре организаций, которые могут привести к проникновению внутрь и утечке ПДн, за которой последует оборотной штраф? Учитывая, что за ПДн у нас отвечает Минцифры, законопроект об оборотных штрафах готовит Минцифры, на Магнитке в антипленарке участвовало Минцифры, "русский Shodan" затевало Минцифры, то я бы, сложив буквы А, Б, В, Г и Д, получил бы прекрасное и защищенное будущее, которое нас ждет.🔮

Российское IP-пространство сканируется на ежедневной основе, автоматом выявляются уязвимости, автоматом рассылаются уведомления о необходимости их устранения, автоматом проводится повторная проверка, автоматом выписывается штраф за неустранение уязвимости после определенного интервала времени или отсутствии реализации компенсирующих мер, делающих невозможной эксплуатацию. Прекрасный новый мир! 🌐

ЗЫ. Последние два абзаца - это мои фантазии, конечно. Я просто сложил 1+1, но будет ли так в реальности, кто знает?..

Пост Лукацкого

21 мая 2023 10:20

Киберфестиваль Positive Hack Days 12 завершился! Это было очень громко и грандиозно 🎊

Хотим поблагодарить всех, кто посетил наш кибергород и территорию безопасности в Парке Горького, всех зрителей онлайн-трансляции, а также спикеров и партнеров, которые принимали участие в организации PHDays 12.

Итогами двух дней работы киберфестиваля мы поделимся позднее, а пока предлагаем посмотреть, как прошел второй день Positive Hack Days 12!

P. S. записи всех треков можно будет посмотреть на нашем сайте, а также positiveevents5242">на YouTube-канале Positive Events.

#PHD12

Пост Лукацкого

20 мая 2023 10:35

«ВКонтакте» запустил арт-проект о безопасности в Сети, где опубликовал работы нескольких художников на эту тему. И хотя сами комиксы, если на чистоту, довольно банальные и скорее вымученные, чем остроумные — ну не цепляют — идея не такая и плохая.

Ведут все работы в одно место — на страницу безопасности VK. Если пользуетесь соцсетью и до сих пор не были там, обязательно зайдите.

P.S. — обращает внимание имя одного из авторов «Макс Шадгаев» 🤔. Из девяти авторов только у него не указана страница в VK. Совпадение? 🙊

Пост Лукацкого

19 мая 2023 16:57

Помимо основной программы PHDays сегодня у нас проходит еще и очередное заседание CISO Positive Club. В этот раз я выступаю в роли развлекающего аудиторию человека - буду вести очередной ибшный квиз 🤯

Пост Лукацкого

19 мая 2023 10:09

Сейчас уже можно об этом говорить. 5 лет назад, в этот день, я делал фейковый сайт PHDays ;-)

ЗЫ. А английского я как и тогда не знал (слово Fack пишется не так), так и сейчас 😂

Пост Лукацкого

18 мая 2023 20:47

ROI у киберпреступности - 2500%, если верить инфографике SANS. Вот когда на российском рынке ИБ будет схожие показатели ROI, то значит мы работали не зря!

Пост Лукацкого

18 мая 2023 15:34

Получили еще один кружок от Алексея Лукацкого, бизнес-консультанта по информационной безопасности Positive Technologies. Делимся 👀

А также подробнее рассказываем о секции с очень интересным названием «Готовы ли вы отвечать своими фаберже за результат?», которая ждет вас в рамках бизнес-трека на киберфестивале Positive Hack Days 12.

🥷 Долгие годы специалисты по информационной безопасности жили в парадигме «самурай без господина и без цели» (ну не рассматривать же всерьез работу «на регулятора» как цель специалиста по ИБ).

Мы внедряли решения, мы пользовались услугами аутсорсеров, мы выходили на инвестиционные комитеты с просьбой выделения новых бюджетов... Но брали ли мы на себя ответственность за тот результат, которого от нас ждали?

Кстати, вы можете, читая эти строки, ответить себе на вопрос: «А что для меня результат ИБ?»? Недопущение недопустимых событий? Прохождение аудита или аттестации по требованиям регуляторов? Соблюдение SLA? Отсутствие инцидентов? 🤔

Когда вы видите «мы», то речь идет не только о руководителях и специалистах по ИБ внутри компаний. Аналогичный вопрос «а несете ли вы ответственность за сделанное вами» можно и нужно задавать и поставщикам услуг ИБ, вендорам и интеграторам, взаимодействующим со своими заказчиками. И ответ на этот вопрос не так прост, как кажется.

Искать его мы будем 20 мая с 12:30 до 13:30 вместе с заказчиками, а также руководителями отечественных разработчиков, интеграторов и поставщиков услуг ИБ.

👉 Полная программа бизнес-трека — на нашем сайте.

#PHD12

Пост Лукацкого

18 мая 2023 09:54

Думаю, многие уже видели депрессивный видео-ролик ЦРУ, размещенный в соцсетях и телеге, в котором они предлагают россиянам, недовольным своей жизнью, начать контактировать с иностранными спецслужбами в целях помощи прогрессивной демократии, у которой на днях дефолт случится. Ролик, конечно, знатный. Построен на всевозможных стереотипах о России (медведей в ушанках с балалайкой в одной руке и бутылкой водки в другой на улицах городов, правда, нет).

Но наши (в смысле российские) креативщики не остались в долгу и подготовили для американских граждан ответку, которую вы и видите в приложенном видео. И тоже вокруг сложившихся стереотипов вокруг Америки. Самый главный там приведен в конце - про "рашн хакер" 💻 Потому и запостил. Все-таки этот стереотип уже вряд ли замылишь - "русские хакеры" с нами надолго.

ЗЫ. Зато у них негров линчуют (с)

Пост Лукацкого

17 мая 2023 16:23

У нас есть 3 билета на PHDays 12, которые мы хотим разыграть среди наших подписчиков! 🎫

Возможно, последний шанс получить билет бесплатно 🌚

Если хотите принять участие в розыгрыше, то правила очень простые.

1. Нужно быть подписчиком наших каналов в Telegram (мы проверим).

@PositiveEvents
@Positive_Technologies
@positive_investing

2. Оставить комментарий «Участвую» под этим постом в канале Positive Events.

3. Немножко подождать ⏰

Розыгрыш будет быстрым — уже завтра в 18:00 выберем победителей рандомайзером и вручим билеты.
Удачи! ☘️

#PHD12

Пост Лукацкого

17 мая 2023 15:27

7 лет назад на PHD прозвучала фраза, которая не потеряла своей актуальности до сих пор: "Бизнес идет впереди не оборачиваясь, безопасник бежит в хвосте в попытке догнать, регулятор сзади - мужики ну вы че" 😱

Пост Лукацкого

17 мая 2023 10:05

В исследовательских целях, конечно же 📕

Пост Лукацкого

16 мая 2023 19:56

Вот и до московского транспорта добралось повышение осведомленности граждан по вопросам ИБ