Пост Лукацкого

05 июля 2023 12:35

Наш сайт и мобильное приложение подверглись массированной хакерской атаке. Стараемся как можно быстрее восстановить их работу. Кассы на станциях и вокзалах функционируют штатно, продажа билетов осуществляется в обычном режиме.

Приносим свои извинения за доставленные неудобства.

Пост Лукацкого

05 июля 2023 11:27

Иногда уже поздно пытаться замазать проблему, прикрываясь фломастером фиговым листком - надо менять все - от машины до водителя от процессов реагирования до технологий обнаружения.

ЗЫ. Везде все одинаково - Microsoft уверяет, что 30 миллионов записей утекло не у них. Белорусский госунивер утверждает, что утекло у них. Здесь могло быть ваше имя уверяет, что у них все хорошо. И все слюнявят фломастеры ✏️

Пост Лукацкого

05 июля 2023 06:40

Сочи. Август. Багбаунти 🌴

Готов затусить с нами на Standoff Hacks? Разминай пальцы и активируй трехнедельный режим поиска уязвимостей 👨‍💻

Кто еще в деле? Все семь компаний с открытыми программами на Standoff 365.
А это, на минуточку:
▪️ Positive Technologies
▪️ VK
▪️ Tinkoff
▪️ Азбука вкуса
▪️ Standoff 365
▪️ Rambler
▪️ Консоль

Выбирай любую (или несколько) и начинай охоту за багами прямо сегодня. На все про все — 20 дней (конкурс заканчивается в 23:59 24 июля). Тем, кто сможет найти самые дорогие для каждой программы уязвимости, и достанутся семь инвайтов (по одному на программу) на Standoff Hacks.

Что дальше? Тусовка на Красной Поляне в теплой компании, ощущение собственной крутости и, конечно, получение заслуженных ништяков💰

Вечеринка будет камерной: всего на 30 человек. Помимо 7 победителей, 11 приглашений получат самые скиллованые, приносящие максимальный импакт и участвующие в развитии площадки хакеры Standoff 365. Топ-3 из них смогут взять с собой +1. Еще 9 инвайтов вручат три компании, которые привезут на Standoff Hacks эксклюзивный скоуп.

❓ Что предполагает инвайт?
Всем хакерам мы оплатим перелет и проживание.

❓ Если два человека сдадут на одну программу самую дорогую уязвимость?
Приглашение получит тот, кто сделает это первым.

❓ Меня уже пригласили, но еще я нашел самую дорогую уязвимость, могу ли я съездить в Сочи дважды?
Нет, второе приглашение получит хакер, сдавший второй самый дорогой баг по той же программе.

❓ Будут ли промежуточные результаты?
Каждую неделю мы будем рассказывать о результатах в этом канале.

❓ А что, если по одной из программ не будет сдано ни одной уязвимости?
Приглашение получит участник, сдавший самый дорогой баг, но еще не получивший приглашения.

❓ Когда разошлют прямые приглашения и приглашения на +1?
Часть мы уже разослали, часть придет до сегодняшнего вечера.

Если у тебя остались вопросы, задавай, ответим на них в комментариях.

Участвуешь? Тогда увидимся в Сочи в августе.

Пост Лукацкого

04 июля 2023 19:38

Я уже как-то писал про программу Data Breach Bounty, которую запустил у себя Тинькофф, и в рамках которой ищутся баги не в ПО и инфраструктуре, а в процессах обработки персональных данных. Вот, как участника наградили корпоративным мерчем 🙏 Пустячок, а приятно.

Вообще, думать, что программы Bug Bounty - это что-то сложное и дорогое, неправильно. Было бы желание делать мир вокруг себя безопаснее. Можно выйти на Standoff 365, а можно просто внутри написать по всем письмо, что "так, мол, и так, ищем уязвимости, нашедшего ждет награда". И награда не обязательно должна быть прям большой. Это на платформах Bug Bounty с внешними участниками сумма выплат может достигать миллиона рублей и более (а для поиска недопустимых событий и того более). А для внутренного потребления может быть все гораздо проще.

Если в компании работают не отморозки, а менеджмент приставлен не перекладывать деньги из кармана в карман, то атмосфера в компании обычно нормальная и сотрудники будут только рады помочь найти слабые места в защите своего работодателя. А если еще за это и мерч какой-нибудь давать, так и вообще прекрасно. Так думаю 🤔

Пост Лукацкого

04 июля 2023 15:55

Прекрасное… 330 тысяч 😆 фортигейтов до сих пор непропатченными торчат наружу

Пост Лукацкого

04 июля 2023 10:11

13-14-го июля в городе на Неве (не в Шлиссельбурге и не в Кировске) пройдет ежегодная конференция #PAYMENTSECURITY, где выступлю и я с темой "Как не про**ать ожидания бизнеса? Реальная оценка защищенности платежной инфраструктуры". У меня уже и презентация подготовлена в кои-то веки заранее. К сожалению, надолго задержаться не смогу - улетаю в столицу Урала, а то бы послушал и про vCISO, и про применение беспарольных решений на стороне заказчиков; да и Банк России было бы интересно послушать - изменился ли у них подход к регулированию или объем бумажных требований ✍️ и дальше будет превалировать над здравым смыслом... Не знаю, остались ли там еще места, но если вам на Уральском форуме не хватило технических докладов и вы сыты по горло круглыми столами, то у вас еще есть шанс забронировать себе место на мероприятии в Питере (во второй день там еще и Practical Security Village пройдет, где можно будет поработать ручками 👨‍💻).

Пост Лукацкого

03 июля 2023 19:55

Все в этой статье про BISO (Business Information Security Manager) хорошо; смущает только раздел про сертификации, которые помогут развитию компетенций бизнес-ориентированного ИБшника. Ни одну из них сейчас в России получить официально нельзя 📵 А в остальном интересный опыт, особенно радует, что он российский. И совпадает с тем, о чем я рассказывал на CISO Forum 2023; разве, что с прицелом на свой опыт.

Пост Лукацкого

03 июля 2023 13:26

Число жертв шифровальщиков 🪱 согласно ими же опубликованной информации. По несколько сотен жертв в месяц; несколько тысяч в год. Конечно, не с каждого требуют по 70 миллионов долларов как с атакованной в пятницу тайваньской TSMC, но все равно, миллиарды заработка 🤑.

Интересно, что эти пара-тройка миллиардов заработка, - копейки по сравнению с тем, какой ущерб наносится кражей и торговлей данными или промышленным шпионажем. Но в последних случаях, это именно ущерб, заработок-то хакеров от этого не увеличивается. В случае с шифровальщиками ущерб тоже может быть выше суммы всех выкупов, но его считать гораздо сложнее. Подсчет ущерба вообще непростая тема в науке измерения ИБ и оценка стоимости простоя - одна из редких ситуаций, где это можно посчитать (поэтому и BIA так популярен) 🧮

Пост Лукацкого

03 июля 2023 06:40

Регулярно слышу вопросы и сомнения относительно термина "недопустимые события", которые использует в своей риторике Positive Technologies. Многие противники считают, что не надо вводить новые сущности без необходимости и уже известных терминов «угроза» и «риск» вполне достаточно. Мне хотелось бы немного порассуждать на эту тему.

Пост Лукацкого

02 июля 2023 16:55

У 🟥 тут мероприятие прошло, где я модерировал одну из сессий, но запомнилось оно мне не этим, а организованной в символическом фойе выставкой изобразительных работ на тему кибербезопасности. Нейросеть, которую попросили изобразить фишинг, ботов, DDoS-атаки и т.п., поработала в стиле разных известных художников - Хокусай, Рембрандт, Айвазовский… Получилось интересно. На некоторое время я даже залип у некоторых работ.

ЗЫ. Мне вообще кажется (хотя нет, не кажется), что у нас не хватает нормальной визуализации темы ИБ. И в части дашбордов и в части влияния на людей

Пост Лукацкого

02 июля 2023 08:40

Да, европейцы явно нарушают методичку ФСТЭК, устанавливающую сроки обновлений для критических уязвимостей. А уж если посмотреть на статистику 🟥, согласно которой среднее время проникновения составляет 2 дня (минимальное - 30 минут), то картинка и вовсе грустная. Европейцев так и будут хачить в хвост и гриву…

Пост Лукацкого

01 июля 2023 17:03

Стандарт по защите облачной инфраструктуры Yandex Cloud 1.0

Пост Лукацкого

01 июля 2023 08:40

С хакерами можно бороться и с помощью снайперов. Так считают авторы этой игрушки…

Пост Лукацкого

30 июня 2023 16:50

Позитивненько

Пост Лукацкого

30 июня 2023 13:32

Всем привет!
Сегодня мы хотим поделиться прекрасными новостями.
После киберфестиваля Positive Hack Days 12, на котором прошла презентация площадки «Резбез», о нас пишут в СМИ.

Несколько изданий, в том числе Lenta.Ru, vc.ru и «Эксперт», выпустили статьи, посвященные тренду на создание сообществ для специалистов по кибербезопасности.

Из публикаций вы можете узнать мнение экспертов. А чтобы поделиться своим, оставляйте комментарии к этому посту.

#резбез #резбезсообщество

🚀 Результативная Кибербезопасность

Пост Лукацкого

05 июля 2023 12:35

Интересно, является ли невозможность обслуживать пассажиров недопустимым событием для РЖД? А для государства в целом?

Пост Лукацкого

05 июля 2023 09:08

В забугорье все так боятся ИИ, который учится на чужом контенте, что блокируют бесплатный шеринг данных (Twitter и Reddit, привет). А Россия опять опередила всех - контентом по ИБ (хотя бы IOCами, не говоря уже о TTP) у нас и так никто не делился; так что и блокировать нечего.

Пост Лукацкого

05 июля 2023 06:40

Всегда втайне мечтал попасть либо на закрытую книгу хакерскую тусовку с флёром таинственности, чуваки в масках Гая Фокса, крутые доклады, от которых хочешь писать кипятком… И на яхте по синей глади моря-океяна тоже мечтал пролететь с ветерком, бокалом шампанского 🥂 (хотя я его не пью, но кефир или коньяк как-то не сочетаются с образом на яхте) и чтобы вдалеке пели русалки 🧜‍♀️, а ты не поддаешься их чарам и идешь писать очередную нетленку для блога, развалясь на баке или на юте. И вот я опять мимо кассы, а кому-то может повезти 😭

Пост Лукацкого

04 июля 2023 16:40

В 1998-м году были разработаны следующие документы для продвижения идей страхования киберрисков:
😱 Проект Концепции страхования информационных рисков
😱 Проект Концепции развития системы страхования информационных рисков
😱 Отчет «Анализ объема отечественного рынка информационных систем, ресурсов и технологий как объектов страхования».
😱 Отчет «Анализ страхового поля по страхованию ответственности разработчиков, изготовителей и поставщиков систем автоматизации банковской деятельности, систем и средств защиты информации, информационных ресурсов и технологий, а также информационно — вычислительных и автоматизированных систем различного назначения».
😱 Отчет «Анализ статистических данных по безопасности информационных систем с целью определения вероятности страховых случаев и размеров предполагаемого ущерба».
😱 Отчет «Анализ методических и нормативных документов в деятельности зарубежных и отечественных страховых компаний и подготовка проектов соответствующих организационно — методических документов по страхованию информационных рисков». 
😱 Проект Правил страхования (информационных рисков) информационных систем, информационных ресурсов, технических и программных средств вычислительной техники и оргтехники предприятий, организаций, учреждений и граждан. 
😱 Технико — экономическое и социальное обоснования эффективности операций по страхованию информационных рисков. 
😱 Проект Методики управления информационными рисками. 
😱 Проект Методики оценки стоимости информационных систем, ресурсов, программных и технических средств вычислительной техники как объектов страхования. 
😱 Проект Положения и инструкции о проведении экспертизы информационных систем, технологий, программных ресурсов, технических и программных средств вычислительной техники при заключении договора страхования и при возникновении страхового случая.

Кто бы сейчас при продвижении законопроектов готовил такие обоснования...

Пост Лукацкого

04 июля 2023 13:24

В тему страхования. Хочу напомнить, что в 1998-м году было подписано Соглашение о сотрудничестве в области страхования информационных рисков между Госкомсвязи России и страховыми организациями (№6836 от 10.11.98). Спустя месяц Госкомсвязью было подписано Указание от 4 декабря 1998 года №121-У «О реализации соглашения о сотрудничестве в области страхования информационных рисков», в котором упоминались среди прочего уже разработанные документы, которые должны были лечь в основу нового законодательства по страхованию информационных рисков (в том числе и обязательного). Но тема так и не взлетела, хотя документы были разработаны занятные. О них в следующем посте...

Пост Лукацкого

04 июля 2023 06:40

В российском парламенте, в верхней его части, предложили ввести страхование ответственности на случай инцидентов ИБ. Это уже не помню какая по счету попытка внедрить в стране страхование киберрисков. При всей заманчивости этой идеи у нее есть один нюанс, который часто забывают. Чтобы страховать ответственность, эту самую ответственность сначала надо на себя взять, а у нас с этим большая проблема (я уже не говорю об определенных гарантиях).

Либо получится как с ОСАГО, которую навялили на автовладельцев, которые сейчас не знают, как нормально отремонтировать по этой ОСАГЕ своих железных коней. Поэтому прежде чем думать о страховании, нужно подумать об ответственности. И если уж натягивать страхование как обязательную норму, то сначала бы и заставить компании отвечать за свою ИБ.

ЗЫ. А вообще статья по ссылке выше занятная. Мнение у большинства крайне отрицательное к этой инициативе . Страховых и ИБ-компаний почему-то никто не спросил 😊

Пост Лукацкого

03 июля 2023 16:47

Интересно, зачем стращать публикацией паролей через 36 дней, если любой нормальный ИБшник их должен сменить сразу же после инцидента и угроза никакого смысла иметь не будет?

ЗЫ. С TSMC история, конечно, занятная. Они заявили, что их никто не ломал, а пострадал их поставщик, который, к слову, признался в инциденте, но заявил, что ничего страшного не произошло (кто бы сомневался). И хотя есть скрины, доказывающие взлом, "пострадавшая" сторона уверяет, что это не ее скрины. Так что будем посмотреть, чем это все закончится.

Пост Лукацкого

03 июля 2023 10:11

После прекращения проведения казанского ITSF ниша главной региональной конференции по ИБ пустовала недолго - ее заняла IT IS Conf, организуемая УЦСБ. В этом году она пройдет в Екатеринбурге 14 июля. Меня пригласили там в качестве модератора 🎤 провести аж целых три активности:
1️⃣ Пленарная секция, где мы поговорим как о понятных темах (СВО, 250-й Указ, импортозамещение и т.п.), так и о чем-то новом (опасны ли ИТ-армии, хактивисты и сочувствующие, бюджетные циклы текущих реалиях, непрерывный мониторинг инцидентов и защищенности, должен ли директор по ИБ нести ответственность за результат и т.п.). 🔥
2️⃣ Сессия по рискам, где мы будем говорить о недопустимом, о частоте пересмотра реестров рисков/списков недопустимых событий/моделей угроз, актуальных проблемах сегодня и послезавтра, о принятии рисков, о грани между рисками ИБ и ИТ, об измерениях вероятности и ущерба. 🤕
3️⃣ Поток по средствам сетевой безопасности, который впору было бы назвать потоком по NGFW, столько там вендоров этих средств защиты заявлено (будет даже один иностранный вендор МСЭ). Но ничего, я, как модератор, уже подготовил спикерам ряд острых вопросов к их выступлениям, чтобы они не чувствовали себя расслабленно. 🆖

С 10-го по 13-е июля в Екатеринбурге также пройдет Иннопром, но учитывая, что за все 4 дня ни одного тематического трека по кибербезу не будет (исключая тему безопасных автомобилей, продвигаемую знамо кем), то участники Иннопрома, интересующиеся кибербезом могут и продлить свое нахождение в столице Урала на один день, поучаствовав в IT IS Conf. В любом случае регистрация на нее еще открыта...

Пост Лукацкого

02 июля 2023 20:17

Прошла неделя с начала и такого же внезапного завершения фееричной истории похода на Москву ЧВК Вагнер. Я, конечно, не специалист по политике, войне, частным военным компаниям и все мои знания в этих сферах ограничиваются википедией и здравым смыслом. Но как обыватель могу отметить, что та простота, с какой "птенцы Пригожина" продемонстрировали возможность марш-броска от границы до столицы, а также продемонстрированная импотенция властей, не может не остаться незамеченной и, как видится мне с дивана у камина с бокалом коньяка в руке 🥃, должно последовать какая-то реакция со стороны власть предержащих. Логично было бы поувольнять всех недееспособных, но у нас так не работает. Поэтому дискредетация, что мы сейчас и видим в киберпространстве.

Сначала появились сообщения, что за атакой на спутникового оператора "Дозор-Телепорт" 🛰 стоит именно ЧВК Вагнер. Создание отдельного канала Richard W. с соответствующим "признанием", дефейсы сайтов с сообщением якобы от ЧВК "Мы берем на себя ответственность за взлом", активное продвижение этой мысли в различных соцсетях. Спустя пару дней в сети появляется шифровальщик Wagner 🪱, который вместо выкупа требует регистрации в ряды ЧВК Вагнер, а зашифрованные файлы имеют расширение Wagner. Я, конечно, не специалист по черному PR, но выглядит все так, как будто кому-то надо очернить ЧВК Вагнер (удивительно, кому это нужно 😂).

В этой истории интересно даже не то, пытается кто-то очернить ЧВК или воспользоваться ситуацией и усилить раскол в обществе, а то, что по такому же сценарию можно реализовать кампанию против любого человека или, что вероятнее, организации. Сайт взломать и разместить там любой текст, сегодня это не бином Ньютона 🍎. Создать фейковую учетную запись в соцсетях? Элементарно. Скачать исходники какого-либо LockBit и поменять там код и расширение зашифрованных файлов?.. Ну тоже несложно. Еще можно спамерскую кампанию запустить с соответствующими посылами и на GitHub какую-нибудь утилитку с говорящим названием... И все, образ виртуального врага создан, отмывайся потом. И что с этим всем делать? А самое главное, кто это все будет делать? ИБ-служба? PR? СЭБ?

ЗЫ. Главное, чтобы замглаву Роскомнадзора не уволили на фоне борьбы с ЧВК Вагнера, а то все может быть - фамилия у него говорящая, как раз Вагнер 😊

Пост Лукацкого

02 июля 2023 12:42

В 60-х годах у ЦРУ был проект по использованию кошек 🐈‍⬛ в качестве инструмента слежки и перехвата данных. В рамках 20-тимиллионного контракта кошек оперировали, внедряли в них импланты и потом обучали слежке за нужными людьми. Но за 5 лет американцем так и не удалось заставить кошек делать то, то им было нужно 🐈

Хорошо, что у них Куклачева не было, а то пришлось бы снова модель угроз обновлять ✍️

Пост Лукацкого

01 июля 2023 20:17

В полку статуй троянских коней прибыло. Турецкая, американская и российская были. Теперь и израильская - киберконь на прошедшей на земле обетованной кибернеделе

Пост Лукацкого

01 июля 2023 13:16

Вы же помните, что я публично подписался под написанием книги по измерениям ИБ? Скоро выложу план, а пока видео вам субботнее в ленту про измерения от большой экспертницы в этом вопросе!

ЗЫ. Кто не узнал, это Виктория Боня!

Пост Лукацкого

30 июня 2023 20:06

Совет Федерации хочет отраслевых центров кибербеза. Сама по себе тема неплохая, но есть ряд нюансов. Во-первых, сами отраслевые регуляторы должны желать таких полномочий, а это не всегда так. Во-вторых, должны быть четко прописаны правила взаимодействия между такими центрами и НКЦКИ, с выстраиванием иерархии и отменой дублирования, чтобы потребители не слали данные помимо НКЦКИ еще и отраслевикам.

Пост Лукацкого

30 июня 2023 14:41

Лишний повод задуматься об ответственности ИБ-компаний за инциденты, которые у них или с их продуктами происходят. И речь не об уголовной или административной ответственности. Ведь уже не первый кейс - и утечки у ИБ-компаний были, и DDoS (как у КриптоПро), и supply chain и много чего еще. Чем критичнее и масштабнее сервисы от ИБ-компаний, тем и ответственность должна быть выше.

ЗЫ. Именно под кейс КриптоПро хорошо ложится мем «Топология звезда. Центр лег, всему **зда» 🍑

Пост Лукацкого

30 июня 2023 10:09

Называть операторов дронов ИТ-спецназом я бы не стал, но меня зацепил фрагмент, где журналист с придыханием рассказывает, что за убийство врагов отвечает нейросеть, которая выискивает бойцов противника и направляет на них летающий гранатомет. Немножко зная, как работает нейросеть, хотелось бы, конечно, понять, как оно отделяет противника от своего (не по ховору же) и как защищается нейросеть в процессе обучения и переобучения?