Пост Лукацкого

28 июля 2023 16:44

Интересно, если девочка в 4 года начнет играть в CISO Barbie, то повысит ли это шансы, что она станет руководить ИБ в зрелом возрасте или просто займется кибербезом? 🎎

Пост Лукацкого

28 июля 2023 10:03

Вчерашние новости про законопроект об оборотных штрафах заставили меня стряхнуть пыль с темы законодательства (я про нее почти не пишу последний год). Дело в том, что, во-первых, то, о чем все пишут, касается не только оборотных штрафов за утечку ПДн. Там есть и другие интересные нормы, имеющие даже большие последствия для операторов ПДн. А во-вторых, это далеко не финальный текст законопроекта, который попадет в Госдуму. Он вообще может туда не попасть, а если попадет, то, возможно, в другом виде, а если и в том же, то в него точно внесут правки перед вторым чтением. Так что ждем продолжения этой истории, а пока можно у меня почитать, что реально в законопроекте написано.

Пост Лукацкого

27 июля 2023 16:51

Один вендор NGFW выпустил с помпой пресс-релиз, что он добавил в свой продукт две новых сигнатуры атак! Вау! Феерическое достижение. Другой вендор NGFW ничего не выпустил, но тупо пользуется чужими фидами в своей подсистеме обнаружения вторжений на базе open source. Третий с помпой заявляет, что число сигнатур атак в его продукте превысило 25000. Ахренеть какой результат. Что он показывает? Да ровным счетом ничего.

Математически доказано, что число вредоносных программ бесконечно. Значит число атак, подмножеством которого является число вредоносов, тоже бесконечно. И как прикладной математик по образование я задам тривиальный вопрос - какое значение имеет конечное число включенных в продукт сигнатур атак, если число самих атак бесконечно? Добавьте две, две тысячи, два миллиона, два миллиарда сигнатур, и это все равно будет "ничего" на фоне бесконечности.

Кому вендора парят мозг и втирают дичь про объем своей базы решающих правил (в терминологии ФСТЭК)? Система защиты в идеале не должна вообще иметь базу сигнатур атак или базу уязвимостей. Да, тут должен был быть текст про машинное обучение и иные механизмы обнаружения вредоносной или аномальной активности, но его не будет. Вы же все взрослые мальчики и девочки, все и сами понимаете. Только не признаетесь себе, что вендора вас обманывают, подсаживая на иглу постоянных обновлений своих сигнатур, IoCов, решающих правил, правил корреляций и т.п. Ладно, хоть бы стандарт кроссплатформенный разработали и могли бы обмениваться сигнатурами друг с другом. Но нет... Все жмутся, говоря о ноу-хау и коммерческой тайне...

Пост Лукацкого

27 июля 2023 12:23

Сегодня начался 7-й год с момента принятия ФЗ-187 "О безопасности критической информационной инфраструктуры". ИБ-компании продолжали проводить семинары и вебинары по категорированию объектов КИИ... ❓

PS. А до кучи еще и 17 лет с момента принятия ФЗ "О персональных данных". Помянем благое начинание...

Пост Лукацкого

27 июля 2023 06:40

Американцы выпустили план реализации своей национальной стратегии обеспечения кибербезопасности, о которой я уже тоже писал. Все 68 инициатив описывать не стал, но выделил два десятка тех, которые меня "зацепили". Есть над чем подумать, а может быть и перенять. По ряду направлений мы идем нога в ногу с потенциальным противников, по многим они нас опережают. Но ключевым отличием является, пожалуй то, что в США выработана единая концепция регулирования ИБ. Даже несмотря на наличие нескольких регуляторов. У нас пока не так - наши регуляторы либо грызутся, либо тянут одеяло на себя, либо вставляют палки в колеса другим, либо дублируют активности. Нет единства и согласия 😞

Пост Лукацкого

26 июля 2023 16:50

Сообщество ИБ-энтузиастов в Twitter (Infosec Twitter) умерло; судя по анализу его активности в соцсети с очень странным главным акционером. Под данным сообществом аналитики рассматривали тех, кто активно постит про уязвимости, CVE, TI и т.п. Число постов/твитов/кситов упало катастрофически

Пост Лукацкого

26 июля 2023 11:44

Российские депутаты регулируют Интернет в целях безопасности 🤦‍♂️

Пост Лукацкого

26 июля 2023 06:40

- Что-то Лукацкий осмелел. Давайте ему на SOC Forum запретим выступать?
- Что, опять?
- Да, пусть знает, что можно, а что нельзя писать.
- Да ему же все равно похер; он пишет то, что хочет!
- Ну тогда давайте ему доступ к сайту форума заблокируем?
- А давайте!..

🤦‍♀️

Пост Лукацкого

25 июля 2023 20:10

Я вот думаю, депутаты по скудоумию своему приняли поправки, запрещающие регистрацию на российских сайтах всем с иностранных e-mail. Теперь только российский телефонный номер, ЕСИА, ЕБС или иной российский сервис, обеспечивающий функцию авторизации (VK ID, Тинькофф ID, Яндекс.Паспорт и т.п.) можно использовать при регистрации на сайтах. Я вот владелец домена и сайта lukatsky.ru и есть у меня почта с этим доменом, почтовый сервер для которого хостится не в России. И у меня вопрос - я что, с домена lukatsky.ru теперь не могу нигде регаться? А как это будут проверять? По MX-записи?

А еще, после принятия закона, я попробую пройти квест с получением доступа к API ЕСИА или ЕБС, чтобы подключить их к своему сайту. Закон ведь и на физлиц, владеющих сайтами, будет распространяться. Ростелеком и Минцифры, готовьтесь...

ЗЫ. Хорошо, что ответственности за нарушение этой нормы нет...

ЗЗЫ. Интересно, как будут владельцы сайтов теперь реализовывать эту чушь? Например, что делать с уже зарегистрированными адресами? В некоторых сервисах в принципе нельзя поменять первоначально заданный e-mail - только удалять свою учетку. А что делать с теми, кто предлагает резервную почту указывать - может ли она быть не российская? В общем, как всегда, далекие от технологий депутаты даже не подумали спросить хотя бы экспертов о предмете регулирования...

ЗЗЗЫ. Интересно, а как теперь гражданам дружественных стран регистрироваться на российских ресурсах? Например, в рамках партнерских отношений у многих компаний есть личные кабинеты на сайтах, в которых иностранцы регистрируются со своими рабочими иностранными адресами. Посылать всех партнеров и иностранцев нахер? Работать только с россиянами и ни с кем другим?

Пост Лукацкого

25 июля 2023 16:39

1️⃣ Цифровой Блокпост предлагает вам свежие новости о кибератаках и советы, как не стать их жертвой. Следим за безопасностью ваших данных 24/7. Безопасность - это лучшая инвестиция в успешный бизнес!

2️⃣ На канале 0day Alert мы проводим анализ свежих, активно используемых и критически важных уязвимостей в современных системах и ПО. Мы предоставляем актуальную информацию, чтобы помочь вам оставаться на шаг впереди угроз в цифровом мире.

3️⃣ Добро пожаловать на канал Изобретая Будущее. Здесь мы представляем перспективные технологии, сегодня ещё выглядящие как фантастика, но которые могут стать реальностью уже завтра. Наша миссия - освещать последние достижения в области квантовой физики, искусственного интеллекта и инновационных разработок. Приглашаем в путешествие в мир науки и технологий будущего!

Пост Лукацкого

25 июля 2023 06:40

Тут CardinalOps разродился исследованием, согласно которому SIEMы от Splunk, IBM, SUMO Logic и Microsoft ловят всего 24% техник MITRE ATT&CK. Не смог пропустить мимо такую тему...

Пост Лукацкого

24 июля 2023 20:07

Эээ, так просто? Я надеюсь никто не будет пробовать деактивировать мою учетку в Whatsapp?

Пост Лукацкого

24 июля 2023 13:25

Сегодня гендиректор OpenAI Сэм Альтман запускает в большое плавание проект WorldCoin (ранее он был в бете). Его основная идея очень похожа на все криптовалютные проекты (кроме цифрового рубля, конечно) - возможность анонимного перевода денежных средств, но преподносится проект, как способ защиты от ботов, созданных искусственным интеллектом (кому, как не гендиру OpenAI, этого не знать). Однако в реализации схемы есть и существенные отличия. Например, орб - специальное устройство для сканирования радужной оболочки глаза с целью последующего вычисления World ID - уникального идентификатора, который может получить только человек. Этот идентификатор можно будет использовать для аутентификации на разных ресурсах без раскрытия своих ПДн.

На текущий момент в системе зарегистрировано около 2 миллионов пользователей. Распространяется Worldcoin преимущественно в Южмой Америке, Индии и Индонезии, странах Африки и Западной и Центральной Европе. Россия 🇷🇺 вряд ли попадет в этот список. Потому что у нас не приветствуют анонимные криптовалюты, а Worldcoin Token (WLD) - это обычная криптовалюта, которая уже попала в листинг крупных криптобирж. А еще потому что у нас в стране биометрия должна принадлежать государству, а не какой-то там частной компании.

С точки зрения ИБ лично у меня к проекту есть ряд вопросов:
👀 Данные биометрии либо не покидают орба и удаляются после сканирования, либо передаются в компанию Worldcoin и там хранятся в зашифрованном виде. Во втором случае очевидно их утечка - это вопрос времени.
👀 Какова процедура разбора конфликтов в случае такого уровня анонимности? Как подтвердить, что это ты и это у тебя что-то там украли или ты потерял свой World ID?
👀 Уже зафиксированы взломы операторов орбов, а значит мошенники могли получить доступ к данным уже зарегистрированных пользователей.
👀 Какова процедура верификации операторов орбов и где гарантии, что они не являются мошенниками?
👀 Интересно было бы почитать про способы защиты биометрической системы от фейков. А то вся история с "доступом только людей" может провалиться и в системе появятся боты.
👀 Разработчики по сути своей предлагают обменять свою биометрию на токены (после регистрации дают 25 токенов). Для чего такая щедрость и что вообще будут делать с этой биометрией? Те же вопросы есть и к ЕБС.
👀 Как блокируются World ID, которые уже начинают продаваться на черном рынке?

Вообще, интересный проект, который показывает, что "цифровая тюрьма" все ближе и для этого используются все классические технологии, имеющие прямое отношение к ИБ - блокчейн, криптография, биометрия, аутентификация... Глядишь, скоро появится в какой-нибудь ВШЭ курс по "безопасности цифровой демократии", где будут рассматривать ИБ в преломлении к различным государственным, общественным и частным проектам, которые у нас появляются как грибы после дождя.

Пост Лукацкого

24 июля 2023 06:40

Кто-то пытался поменять телефоны авиакомпании Delta ✈️ на картах Google для переадресации звонков на себя. А вы проверяете корректность ваших контактов в Яндекс.Картах? Ведь это разновидность фишинга 🎣, только вместо заманивания на левые сайты и сайты клоны, тут подменяют номер телефона.

ЗЫ. У меня лично был опыт смены номера дома на карте 🗺 и не могу сказать, что эта процедура какая-то сложная и требующая серьезного подтверждения подлинности автора запроса.

ЗЗЫ. После прочтения заметки вы же не просто подумаете "ух ты, что делается-то", но и внесете этот вектор в свою модель угроз 😱?

Пост Лукацкого

23 июля 2023 17:02

Пытаюсь представить такое на наших ИБшных конфах и не получается… А вообще странное сочетание. С одной стороны ты за толерантность и равноправие в ИБ, а с другой - проводишь мероприятия на тему “Women in Cybersecurity”, куда мужики не допускаются ⛔️.

То есть как туалет, так общий, а как закрытая конфа, так врозь? Я бы на месте американских ИБшников, если бы им не было пофиг, возмутился, устроил бы забастовку и подал бы жалобу в Верховный суд США 👮!

Вот в России тоже есть женсоветпоиб, но российские ИБшники никакого сексизма не чувствуют, туда не стремятся (если только самую малость). У ибшниц свои игры в куклы 🤰 и дегустации просекко, у ибшников свои бани и рыбалки (но календарик к новому году все ждут). И все довольны 🤝

Пост Лукацкого

28 июля 2023 13:14

Все, что я еще недавно знал про кибербез в Африке 🦏, это отрезание конечностей при внедрении пилотного банкомата с биометрией по отпечаткам пальцев, нигерийские спамеры, получившие Шнобелевскую премию по литературе (это не шутка) и то, что на атомной электростанции в Египте 🛖 разрешен Wi-Fi (откуда я это знаю, даже не спрашивайте). Поэтому я открыл для себя много нового, когда мы готовили отчет по киберугрозам в Африке. 🦛

Оказалось, что там все даже на уровне. Другие компании даже пишут, что по числу атак африканский континент 🌍превосходит все остальные - такое пристальное внимание на него направлено. Всего один пример африканской динамичности. Я завершил вычитку отчета 21-го июля, а с этого момента уже произошли новые инциденты, например, группировка Anonymous Sudan атаковала ряд ресурсов в Кении 🦓 и вывела их из строя. Также продолжались попытки атаковать отдельные африканские государства в поисках информации о политиках, деятельности военных и министерств иностранных дел. Уж не знаю, связано это или нет, но только вчера, в первый день форума "Россия - Африка" произошел переворот в Нигере и вторжение Руанды в Конго 🐘. Здесь должен был быть изместный мем с Киселевым "Совпадение? Не думаю!". Чего еще ожидать к завершению этого форума? 🦍

По итогам подготовки отчета у меня остался только один неотвеченный вопрос: если нам пишут наследные принцы и директора госбанков из Африки, то кто пишет им? ❓

Пост Лукацкого

27 июля 2023 19:53

Максим Хараск проявил себя как режиссёр, Лев Палей порассуждал о женитьбе, а Вячеслав Касимов определил трех красавиц ИБ-комьюнити. и это ещё не все!

насколько Катя Старостина уверена в себе, куда точно не ходит Алексей Новиков и кто больше всего политкорректен вы узнаете в новом шоу «Ответь за 5 секунд»⚡️

это новый проект кибердома, созданный кибербез-комьюнити при участии Global Digital Space. в нём топовые эксперты ИБ выступили в творческих амплуа, соревнуясь в скорости ума, остроумии и знаниях разных векторов ИБ- и ИТ-мира

❗️ первый выпуск программы уже вышел на нашем cyberdom_tv">новом YouTube-канале «кибердом». смотрите и делитесь своими впечатлениями

cyberdom_tv">подписывайтесь, чтобы не пропустить новые видео! ;) на канале мы будем публиковать созданный экспертами из индустрии кибербезопасности контент в разных форматах: живые интервью, увлекательные шоу, квизы, научно-популярные и образовательные программы

приятного просмотра!

Пост Лукацкого

27 июля 2023 14:01

Даже у вымогательской группировки ALPHV на сайте появился API! А у покупаемых тобой 🫵 средств защиты он (API) есть?

Пост Лукацкого

27 июля 2023 10:02

Это заголовок, а что написано в статье? "Заказчики заявляют, что функциональность иностранных NAC-решений была на 80% неактуальной". Как можно исказить смысл этого высказывания? ☝️

Но вообще меня зацепило другое. Пока весь мир активно внедряет у себя Zero Trust, некоторые отечественные вендора "изобретают" NAC. Именно "изобретают", так как в своей исходной концепции NAC подразумевал контроль доступа на уровне сети и реализовывался он с помощью специального сервера политик, к которому обращалось сетевое оборудование за ответом "пущать или нет" (протокол 802.1x был корневым для NAC). И основными задачами NAC были ААА, применение политик доступ к сети и оценка состояния безопасности оконечных устройств в части проверки наличия антивируса, HIPS/EDR, патчей и т.п.

Но так как наши производители сетевого оборудования не умеют в безопасность (и похоже не особо хотят, "и так покупают"), то отечественный производитель ИБ решил назвать NACом то, что работает на узле и защищает его от широкого спектра угроз - контролирует пользователей, использует персональный МСЭ, мониторит подозрительную активность и т.п. "Ой, так это они же про EPP говорят!", скажете вы. Да, но в этом сегменте рынка плотно сидят другие отечественные игроки, которые на нем уже по два десятка лет и конкурировать с ними сложно. Поэтому что можно было бы сделать? Придумать свою нишу и быть в нем лидером. Но это сложно и требует ресурсов.

Второй путь - отнести свой продукт к уже известной нише, но в которой в России не осталось игроков. Тогда ты будешь в ней лидером и не надо тратиться на маркетинг, ниша-то уже известна. Бинго! Ну а чтобы два раза не вставать, вендор отечественного NACа заодно говорит, что он одновременно EDR, XDR и ZTNA. Ну а что, почему бы и нет, у всех свое понимание смысла этих аббревиатур. Вот так мы продолжаем жить в плену Gartner. Вот что значит сила бренда - компания из России ушла, а дело ее живет.

Пост Лукацкого

26 июля 2023 19:45

Общение экспертов с депутатами обычно выглядит именно так. Ты оговорил условия исходной задачи, все от тебя ожидаемое сделал, законопроект написал, тебе пообещали, что править суть не будут и только чуть-чуть поправят юридические формулировки. И ты весь в предвкушении ждешь, когда же выпустят нормативку, которая если и не сделает жизнь лучше, то хотя бы не сделает хуже и точно учтет мнение отрасли. А потом, бац…

ЗЫ. А вообще, хочется пожелать депутатам и сенаторам хороших летних каникул. Мы отдохнем от их инициатив, а они от нашей оценки их деятельности. Наверное…

Пост Лукацкого

26 июля 2023 13:29

Это, конечно, фееричная история. Американская администрация в лице офиса директора по национальной кибербезопасности решила провести ревизию всей ИБшной нормативки США в целях определениях дублей, нестыковок, сложностей в реализации и других моментов, мешающих реализации ИБ в стране 🇺🇸. И для этого она опубликовала соответствующий RFI и запросила у всех желающих поделиться своим мнением ✍️. Я не знаю, чем закончится эта история, но если они даже 10% от предложенного реализуют, то будет круто. Вот бы у нас так...

ЗЫ. Может они отчет о том, как устранять негативные последствия закона Гудхарта, упомянутый в моей заметке в блоге ☝️, прочитали?

Пост Лукацкого

26 июля 2023 10:03

Что-то тема с законом Гудхарта зашла (помимо моих заметок, вчера была еще и дискуссия в канале "Результативный CISO"). Поэтому я решил, что можно и отдельную заметку в блоге этому закону посвятить; с большим числом примеров и с рекомендациями по его обходу.

Пост Лукацкого

25 июля 2023 21:26

О, как у нас все лихо закручено. Проекты Указов Президента через Gmail проходят. А если задать поиск по доменам duma.gov.ru, mosoblduma.ru и других государевых структур, то там сплошь и рядом почта gmail.com указана как контактная. Депутатам бы с себя начать, прежде чем о безопасности граждан начинать заботиться 🤦‍♂️

Пост Лукацкого

25 июля 2023 18:25

Норвежские спецслужбы сообщили о том, что на ряд государственных заказчиков в стране была зафиксирована атаке, через уязвимости в продуктах для защиты мобильных устройств MobileIron (они же Ivanti). История чем-то схожая с операцией "Триангуляция", о которой сообщила ФСБ, что послужило причиной запрета iPhone'ов во многих российских заказчиках. Но есть один нюанс.

Сначала Ivanti отказывалась признавать факт наличия уязвимости, потом сделала эту информацию закрытой и распространяла ее только по своим, имеющим действующий контракт на техподдержку, заказчикам с пометкой TLP:AMBER+STRICT (то есть не раскрывать за пределы компании, получившей уведомление) и только после поднявшейся в ИБ-комьюнити шумихи информация об уязвимости была раскрыта. Ну такая себе политика ИБ-вендора...

ЗЫ. В России MobileIron, кстати, продавался.

ЗЗЫ. У вас же в модели угроз учтены мобильные устройства?

Пост Лукацкого

25 июля 2023 13:19

После обзора техник и тактик «российского ГРУ» Mandiant поделилась своим видением китайской киберугрозы, а также сделала обзор активности российской KillNet и действующих с ней сообща группировок.

Пост Лукацкого

24 июля 2023 20:24

Пишут, что в WhatsApp обратили внимание на проблему и уже без лишнего шума усложняют процедуру удаления аккаунтов.

Пост Лукацкого

24 июля 2023 16:57

Сегодня день самопомощи (заботы о себе)! Потому если вдруг вы искали ссылки на настройки приватности и безопасности в используемых вами и вашими сотрудниками соцсетях, чтобы защитить первых и помочь вторым, то их есть у меня 🧐
🌐 Whatsapp - https://www.whatsapp.com/security
🌐 Facebook/Instagram - https://www.facebook.com/privacy/center/?entry_point=privacy_basics_redirect
🌐 ВКонтакте - https://vk.com/data_protection и https://vk.com/safety
🌐 Одноклассники - https://ok.ru/page/safety/
🌐 Yappy - отсутствует
🌐 Дзен - отсутствует
🌐 Rutube - отсутствует
🌐 Youtube - https://www.youtube.com/intl/ALL_ru/howyoutubeworks/user-settings/privacy/
🌐 Tiktok - https://support.tiktok.com/ru/safety-hc
Как видим, у наших такие странички есть далеко не у всех. Лидирует холдинг VK (хотя Дзен пока не охвачен), Газпром-Медиа почетное второе место среди российских медиа-холдингов (связь с Газпромом обоих холдингов оставим в стороне).

Помоги себе - защити себя сам!

Пост Лукацкого

24 июля 2023 09:59

Вы знали, что в России разработан и будет аппробирован на осеннем дистанционном электронном голосовании алгоритм гомоморфного шифрования, который позволяет осуществлять различные операции над шифртекстом без раскрытия самого текста? Вот и я не знал, пока меня не позвали модерировать первое заседание экспертов ДЭГ, на котором я также узнал, что систему дистанционного голосования еще и на Bug Bounty планируют выложить. А вы говорите, что у нас криптография не развивается 👍

ЗЫ. Хотя ряд вопросов все-таки так и остался нераскрытым. Но они не в области криптографии...

Пост Лукацкого

23 июля 2023 20:25

Право на частную жизнь и тайну переписки? Нет, не слышали! Наш ВКонтакте не такой!

Пост Лукацкого

23 июля 2023 12:53

В этом фрагменте у нас началось хоть какое-то движение... но движение по кругу, которое еще и закончилось столкновением... может быть с ИТ (мягкое и пушистое). То есть ИБ начинает активно внедрять средства защиты, заниматься выстраиванием процессов и даже на вопрос "а зачем вам это все" готовы отвечать. Но это все равно движение по кругу, без цели и результата. Это на тренировках такое возможно - знай себе катайся по кругу и все (хотя даже там есть свои KPI, направленные на вполне конкретный и измеримый результат). А вот в реальной жизни, увы.

Вот сейчас попробуйте задуматься, вы занимаетесь ИБ ради чего? Довольны ли вы результатами своей работы? Не кажется ли вам, что вы как белка в колесе бегаете по кругу, а толку ноль?.. Выполнение требований ГОСТ 57580.1? Ну какая-же это благая цель? Вспоминая предыдущую заметку и закон Гудхарта, мы уже должны понимать, что вместо реальной и результативной кибербезопасности мы начинаем стараться выполнить ГОСТ (а заниматься ИБ и реализовывать ГОСТ по ИБ - это совсем не одно и тоже). Вспомните 250-й Указ и требование, что за ИБ должен отвечать топ-менеджмент. А что получилось в итоге? Попытка за замруководителя пройти 250 часов или просто купить корочку "для проверяющих".

Вот есть чатик по ИБ в финансовом секторе - я перестал его читать так как там вообще не обсуждают вопросы ИБ. Все время на протяжении нескольких лет обсуждение касается нормативки ЦБ - как трактовать то или иное требование ГОСТа, как заполнять отчетность, как объяснить аудитору, что он не прав, и т.д. Вроде одна из самых атакуемых отраслей (крутятся реальные деньги), но ИБ занимается откровенной херней.

Вот реально, это именно то, чем бы вы хотели заниматься? Бегать по кругу и выполнять бумажные требования?