Пост Лукацкого

10 мая 2023 16:51

Хакнули одного облачного провайдера и 60 клиентов оказались тоже скомпрометированы. Я бы назвал этот кейс «Kaseya 2.0».

Передавать в облака свои данные, приложения и инфраструктуру - это, конечно, хорошо, но только если вы выставляете к облачному провайдеру требования по ИБ и знаете, как их контролировать. Без этого облака могут протечь 🌧 а вы и сделать ничего не сможете.

Основой для формирования требований по оценке защищенности выбранного вами облачного провайдера могло бы стать руководство по аудиту от Cloud Security Alliance. Да, это преимущественно "бумажные" проверки, но и это уже что-то. Сертификация SOC2 (в России такую уже не пройти) тоже ничего не говорит о реальной защищенности (уже писал на днях про это), но хотя бы подтверждает, что хоть что-то в области ИБ у облачного провайдера сделано. Аналогичная история с "аттестацией" по ФЗ-152. Можно, конечно, потребовать от облака регулярного подтверждения прохождения пентестов или размещения себя на багбаунти, но многие ли согласятся? В любом случае, ответственность за контроль реализации защитных мер лежит только на вас и ни на ком другом.

Пост Лукацкого

10 мая 2023 06:40

Разгребая виртуальные завалы, наткнулся на презентацию, которую я делал в 2008-м году для конференции 🟥 (за 3 года до PHDays). Я тогда попытался посмотреть на будущее сканеров безопасности (в 2006-м я у 🟥 на мероприятии рассказывал про настоящее, на тот момент, решений класса Vulnerability Management), куда они могут развиваться и каким функционалом обладать. Просматривая сейчас эту презентацию, понимаешь, что что-то из описанного уже реализовано на рынке, что-то в процессе реализации, а что-то так пока и находится на стадии прототипа.

ЗЫ. Будь я нескромен, сказал бы, что я - пророк 😊 А так просто скромно потуплю взгляд в пол и пойду работать дальше. Программа бизнес-трека PHDays, за которую я отвечаю, сама себя не сделает и в ограненный алмаз не превратится 😊

Пост Лукацкого

09 мая 2023 18:10

Третий по величине город Техаса, Даллас, столкнулся с атакой шифровальщика. Началась она 3-го мая и последствия ощущаются до сих пор. Были выведены из строя суд, системы оплаты за водоснабжение, аварийные системы 911 и 311, онлайн-библиотека, городская администрация и куча других департаментов. Как и в любой иной публичной истории, город не мог скрыть этот факт (не то, что у нас) и ведет подробный рассказ у себя на сайте о том, что и когда перестало работать и когда восстановлено. Если не с точки зрения правильной защиты, то с точки зрения открытости, Даллас можно поставить в пример.

ЗЫ. А в это время шериф другого американского города, Сан-Бернардино, выплатил вымогателям 1,1 миллиона долларов.

Пост Лукацкого

09 мая 2023 14:23

Если верить статистике, средняя стоимость выкупа у вымогателей составляет порядка 20-24 биткойнов. Это в мире. А в России у взломанных компаний требуют выкуп гораздо ниже, на порядки. Не это ли доказательство того, что надо переводить юрлица в российскую юрисдикцию - как минимум выплаты киберпреступникам будут ниже!

ЗЫ. Но вообще, требовать выкуп в майские праздники, когда одни на шашлыках, а другие на параде, это не разбираться в своей целевой аудитории. Ну или заранее принять решение о выкладывании украденной информации.

ЗЗЫ. Мне кажется, что уже все должны были настроить свои средства защиты на такой индикатор как «объем выкачиваемых за интервал времени данных». Очевидно же, что выгрузка такого объема (если это не дистрибутивы или обновления ПО) - это аномалия и на нее надо реагировать. Но видно не для всех.

Пост Лукацкого

09 мая 2023 08:40

И хотя акцию "Бессмертный полк" немало где запретили, это не помешает многим публиковать сегодня в соцсетях истории своих воевавших бабушек и дедушек, указывая их полные имена и фамилии. Это история, которую надо помнить (в том числе и чтобы не совершать повторных ошибок).

Но также стоит помнить, что не надо использовать в качестве пароля или секретного слова девичью фамилию своей матери. И я думаю понятно, почему 🤔 Ну а если вы где-то их используете, то в этот майский день самое время сменить их. Пусть это будет вашей маленькой победой на пути к вашей безопасности!

ЗЫ. С праздником! За нашу Победу!

Пост Лукацкого

08 мая 2023 19:45

Google запустил бесплатный базовый курс по кибербезу

Пост Лукацкого

08 мая 2023 17:40

🥸 Представлена информация о новом российском транспортном протоколе RUSTP/UDTP.

🤔 Авторы не понимают сути задержек и тестировали протокол на передачи одного файла. В результате разработчики уверяют, что новый протокол полностью защищен от DDoS атак на L3 и L4, позволяет значительно сократить расходы провайдеров и обучение программистов, поддерживает историю сессии и соединения на технологии блокчейн, и обладает уникальными характеристиками переноса информации, поддерживая качество передачи трафика при произвольных задержках и потерях.

🤨 Авторы также пишут, что смогли повысить скорость передачи данных в их Москвы в Амстердам в 3 раза, а в Сидней в 50 раз, а сетевая технология «IPv17» удовлетворяет решениям ООН, требованиям ITU и рекомендациям IETF в части «Сети будущего».

#rustp #udtp #протокол @SecLabNews

Пост Лукацкого

08 мая 2023 12:34

Диссертация про историю CTF (на английском)

Пост Лукацкого

07 мая 2023 20:02

А Шекспир-то был в теме ✍️

Пост Лукацкого

07 мая 2023 14:26

"Простите меня" (с) LockBit. Конечно хорошо, что у вымогателей есть свое понятие чести и они готовы предоставить медицинской/детской/социальной организации ключ расшифрования данных бесплатно, но все-таки, строя систему защиты, рассчитывать на это не стоит.

Пост Лукацкого

07 мая 2023 08:40

Вот последний совет от ChatGPT прям умиляет. Пожалуйтесь регуляторам и тогда топ-менеджмент сразу задумается о кибербезе в своей компании. Видимо, на истории CSO Twitter обучали 😊 Что характерно, у нас тоже нередко звучат такие советы. Мол, напишите анонимку во ФСТЭК (или поднимите размер штрафов), пусть они придут и проверят организацию на предмет ИБ, выдадут предписание об устранении и вот тогда-то руководитель ИБ и заживет как человек, получит все необходимые ресурсы и статус. Ага, щаз.

Без понимания того, как работает бизнес, как зарабатывает и теряет деньги, что прибыль может прекрасно сочетаться с убытками в один и тот же год, как формируются денежные потоки, какие интересы у ключевых лиц, принимающих решения, ничего не изменится. "Говорить на языке бизнеса" - набившая оскомину фраза, но она подразумевает именно это. Чтобы заинтересовать топ-менеджмент вопросами ИБ надо думать как топ-менеджмент или хотя бы стремиться к этому. А запугивать его - будет только хуже.

Пост Лукацкого

06 мая 2023 15:15

Беда пришла откуда не ждали. Google планирует отказаться от символа замочка в браузере, заменив его на нейтральный (см.👆). В Гугле провели исследование и считают, что символ замочка 🔒 уже не отражает исходного смысла и не гарантирует защищенности сайта.

А вытекает из этого очень важная история, а именно, необходимость переобучения пользователя (когда символ замочка заменят) и переделку всех курсов обучения и тренингов повышения осведомленности, в которых этот замочек - один из основных элементов, на который надо обращать внимание при Интернет-серфинге.

ЗЫ. Устои рушатся 😱

Пост Лукацкого

06 мая 2023 08:40

Ну что за идиотская манера принижать инциденты, произошедшие у себя? "Злоумышленник получил доступ", но это "якобы взлом". "Утекли персональные данные", но "ущерба нет".

Это инциденты, как ни крути. Они могут не быть недопустимыми событиями, - это так. Но они остаются инцидентами! В этом-то и преимущество недопустимых событий - не всего, что у вас плохого происходит в ИБ, надо бояться. Есть вещи, которые действительно не приводят к серьезным негативным последствиям. И надо это прямо и заявлять. А не вот это вот дурацкое "хакеры к нам влезли, но это не инцидент"...

Пост Лукацкого

05 мая 2023 16:05

Инструмент, позволяющий идентифицировать набираемый на клавиатуре текст по звуку клавиш 😮 Не логиньтесь в приложения и сервисы во время видеоконференций и конфколов (или отключайте звук) 🫡

Пост Лукацкого

05 мая 2023 11:37

С днем шифровальщика! Вообще их несколько в России празднуется - один осенью и он военных шифровальщиков. А второй (есть и еще) весной - он связан со спецслужбами. Так что всех причастных с праздником!

Пост Лукацкого

10 мая 2023 13:24

Иностранцы написали про новую коалицию русских хакеров... 🤔 Дай, думаю, зайду, посмотрю на "секреты мастерства, различные техники и приемы". Зашел и сразу вышел. Кроме котиков, мемасиков и тому подобной "полезной информации" 😺 там нет ничего. Сразу напомнило "Союз меча и орала" из "12-ти стульев" 😂 А на Западе ведь преподнесут это как нечто ужасное, несущее угрозу западным ценностям и демократии. А там одни 🤡

Пост Лукацкого

09 мая 2023 20:26

Напомнило шутку про крутого и сверхсекретного хакера, который прекратил ломать Пентагон, потому что его мама позвала делать уроки 😊

Пост Лукацкого

09 мая 2023 16:21

В Европе сегодня запускают новый центр компетенций по ИБ. Европейский. В довесок к центру компетенций НАТО (CCDCOE). Новый будет в Бухаресте, «старый» размещен в Таллине. Европа, как мне кажется, начинает отходить от своего «старшего брата» и хочет выстраивать свою политику, не только внешнюю и военную, но и в киберпространстве.

Пост Лукацкого

09 мая 2023 11:17

На самом первом PHDays я рассказывал про нормативку и про публичные примеры кибервойн, когда одно государство атакует другое. Атака на Газпром в 1982-м, "Лунный лабиринт", "Титановый дождь", "Аврора", "Сад", ну и, конечно же, Stuxnet. Но 12 лет назад приходилось по крупинкам собирать то, что сегодня происходит ежедневно и уже особо и не скрывается.

Одни государства пестуют киберармии в других, обучают их, снабжают технологиями и знаниями, а то и вовсе руководят. Арсенал, в свое время существовавший только у спецслужб, сегодня доступен многим. Деяния в киберпространстве, приводящие к существенному ущербу и недопустимым событиям, поощряются, а их авторы не наказываются. Можно только фантазировать о том, что будет еще через 12 лет...

Пост Лукацкого

08 мая 2023 20:41

Коллеги подогнали презентацию проекта IPv17, датированную 2012-м годом, которая объясняет, что же предлагается под соусом протокола, соответствующего решениям ООН, требованиям ITU и рекомендациям IETF.

Пост Лукацкого

08 мая 2023 17:42

Если кому интересно, то презентация RUSTP/UDTP от 2019 года обнаружена здесь. На слайде результаты теста.

Пост Лукацкого

08 мая 2023 15:56

Израильтяне делают «Киберкупол» (по аналогии с ПВОшным «Железным куполом») на базе DNS и хотят его предлагать своим компаниям из разных сфер экономики. Англичане такое же для своих госорганов предлагают. Бесплатно

Пост Лукацкого

08 мая 2023 08:40

Gazprom Locker?! Все как в реальной жизни - все заблокировано, требует денег, еще и шантажирует ростом цены.

Пост Лукацкого

07 мая 2023 17:21

Многие DDoS-атаки, о которых хвалятся хакерские группировки с двух сторон, похожи на это видео. На первый взгляд выглядят страшно, но на самом деле - "встал, отряхнулся и пошел". Ну кто-то схватит PRа немного, но, в целом, простой в течение даже нескольких часов для большинства опубликованных целей никакого ущерба не несет...

Пост Лукацкого

07 мая 2023 12:13

Фишинг на тему коронации сменился шуточками на ту же тему 👑

Пост Лукацкого

06 мая 2023 19:21

Пару дней назад был международный день пароля. Недорогой подарок к такому дню мог бы выглядеть так 🎁 Еще бы строка для номеров карт, CVV и PIN-кодов и подарок был бы просто бесценный; ничего не забудешь.

ЗЫ. Ну а сегодня празднуется Всемирный день голого садовода, День травы, День встречи с Белым рыцарем и коронация дождавшегося все-таки Чарльза (а он ждал своего «Оскара» дольше Ди Каприо). У вас еще есть время отметить 🎉

Пост Лукацкого

06 мая 2023 12:29

Помню, в прошлой жизни, была у нас история с найденной на сайте уязвимостью в процессе аутентификации, которая могла стать причиной утечки пользовательских паролей (2-х миллионов паролей, к слову). Мы тогда тоже принудительно сбросили всем пароли, чтобы пользователи сайта завели себе новые. А бывает и так, что инцидент произошел, но тебе не хочется об этом говорить публично. Поэтому ты преподносишь это как механизм за(бо|щи)ты клиентов. Тоже путь…

Пост Лукацкого

05 мая 2023 19:14

«Хакерская империя»: Китай выпустил доклад про кибероружие ЦРУ

Устали от американских обвинений в кибератаках в адрес России, Китая, Ирана, КНДР? Можно почитать свежий отчёт с китайской стороны. Документ был опубликован вчера от имени Национального центра реагирования на компьютерные вирусы (CVERC) и инфобез-компании Qihoo 360 (оригинальная ссылка открывается только из Китая, видимо). Про него написали китайские медиа, а МИД Китая призвал США «ответить на озабоченности международного сообщества и перестать использовать кибероружие для шпионажа и кибератак по всему миру».

Во вступлении доклада рассказывается про поддержку ЦРУ цветных революций — от Мьянмы до Украины. «Поскольку бывшая госсекретарь США Мадлен Олбрайт считает Интернет ключом к победе над Китаем, на самом деле "цветные революции" были подогреты западными державами с помощью интернета». (Хорошо известно, что любая угроза безопасности может считаться национальной, только если она связана с именем скончавшейся год назад Мадлен Олбрайт.) Далее перечисляется инструменты, которые США якобы предоставляли протестующим в разных странах: TOR, Speak2Tweet, RIOT, некую технологию stampede, разработанную RAND Corporation, а также противоцензурную систему.

Однако вступление про цветные революции мало связано с остальным докладом. Основное содержание излагается во второй и третьей частях. Если коротко, то китайские специалисты утверждают, что им удалось найти реальные случаи использования против организаций в КНР тех инструментов ЦРУ, которые попали в утечку Vault7 в 2017 году. Так, Qihoo 360 ещё в 2020 году писала о группировке APT-C-39, которую компания связывала с ЦРУ.

Во второй части кратко описано, какие инструменты из Vault7 смогли найти исследователи. Третья и, наверно, самая любопытная часть содержит некоторые подробности расследования, проведённого китайскими специалистами.

Например, здесь утверждается, что ЦРУ в основном проводили атаки с использованием бесфайловых программ, но криминалистам удалось найти способ и получить образцы кода.

Ещё одна история: исследователям удалось случайно получить используемый ЦРУ инструмент для кражи данных. И оказалось, что это один из инструментов из ANT catalog'а — утечки АНБ 2013 года. Из этого делается вывод, что либо АНБ и ЦРУ атакуют одни и те же цели, либо они делятся друг с другом инструментарием. Стоит добавить, что в адрес АНБ Qihoo 360 выдвигала обвинения прошлой осенью.

Авторы доклада утверждают, что у ЦРУ есть несколько разновидностей кибероружия, способного отключать коммерческие антивирусы.

Не могу с уверенностью сказать, насколько реально много тут новой информации. Например, в докладе упоминается атака на роутеры MikroTik, но это просто пересказ истории из Vault7.

В заключении делается вывод о том, что американская кибергегемония распространяется по всему миру, и поэтому США по праву нужно признать «хакерской империей»

На официальном сайте CVERC у доклада стоит приписка — «Часть первая». Ждём продолжений?

Пост Лукацкого

05 мая 2023 13:30

Представьте, что кто-то разместил вкусную вакансию от вашего имени и собирает резюме кандидатов, становящихся затем жертвой фишинга. А на вас валятся все шишки и недовольство пострадавших. Да, виноваты они, но они никогда в этом не признаются и валить все будут на вас.

Хорошей рекомендацией будет повышение осведомленности потенциальных кандидатов на работу к вам в части процесса найма персонала в вашей компании!

Пост Лукацкого

05 мая 2023 10:09

Лишнее напоминание, что прохождение аудита/сертификации/аттестации по требованиям какого-либо стандарта/закона/приказа совсем не гарантирует реальной безопасности, оценить которую можно только в реальном инциденте (но лучше не надо, конечно) или его эмуляции через пентесты или Bug Bounty. Не хочу умалять достоинств бумажной ИБ (все-таки процессы она помогает иногда выстраивать, если бумага написана грамотно), но результативный кибербез определяется точно не количеством полученных сертификаций.