Пост Лукацкого

11 июля 2023 13:25

Вот так воткнул флешку с презентацией PowerPoint в свой комп, а там северокорейский вредонос от группы Konni

Пост Лукацкого

11 июля 2023 06:40

BlackBerry неплохой TI-отчет выпустила по последней активности группировки RomCom, которая атаковала украинские и иные, помогающие Украине страны, в преддверии саммита НАТО. Россию не обвиняют и даже не делают попыток; разве что между строк и намекая на то, что за RomCom стоят те, кому интересно все, что связано с помощью Украине 🫡

Пост Лукацкого

10 июля 2023 16:49

Карта эволюции и ребрендинга шифровальщиков-высогателей, разработанный Orange’вой командой ИБ

Пост Лукацкого

10 июля 2023 06:40

🔒 Об ограничениях на длину паролей

Недавно Лукацкий в своем канале посмеивался над ограничением на длину пароля в 255 символов. А мне вспомнилась история, которая произошла со мной около 10 лет назад.

При очередном входе в онлайн-банк система потребовала сменить пароль. Я сгенерировал новый в KeePass и вроде успешно задал его. Но больше не смог зайти ни с новым паролем, ни со старым 🤷‍♂️

После недолгого общения с поддержкой выяснилось, что мне придется переться в единственное отделение этого банка в Москве. Банк был зарубежный, и для смены пароля из головного офиса слали почтой бумажный конверт, который отдавали в филиале после проверки личности ✉️

Я запамятовал, два раза мне пришлось съездить или хватило одного визита, но помню, что на месте я достаточно громко возмущался их онлайн-банком 💩 Они им, кстати, очень гордились, и даже вывешивали на сайте какие-то награды лучшему европейскому онлайн-банку :)

Проходивший мимо руководитель филиала поинтересовался, не говорю ли я по-английски. Он пригласил меня в переговорную, чтобы выяснить причину моего возмущения и продемонстрировать заботу о клиентах. Выслушав описание проблемы, он заметно расслабился и задал казалось бы странный вопрос.

- А сколько символов было в вашем пароле?
- Не помню, но наверное 16. А какая разница?
- Огромная! Должно быть ровно 8 символов!
- Это почему еще?
- Потому что так у нас работает.
- Гм... Но почему над формой смены пароля не указать это требование?

Мужчина посмотрел на меня с легким сожалением, как на несмышленыша:
- Но ведь это же небезопасно! Об этом узнают хакеры, и это облегчит им подбор вашего пароля.
- Да, действительно, символов же всего 8 (на мой сарказм он и бровью не повел). Ну, а как я должен был узнать об этом требовании?
- Когда вы открывали счет, вам выдали бумажные инструкции! В их получении вы расписались. А там это требование указано.

🙄 Счет я открывал несколькими годами ранее, и помнить о таких деталях уже не мог. В общем, все было понятно, но я таки задал еще один вопрос.

- Ок, но почему, когда я ввел более 8 символов, система приняла новый пароль вместо того, чтобы сообщить мне о необходимости чтения этих инструкций? Зачем блокировать доступ к счету на одну-две недели и заставлять меня ездить в банк, если можно написать это на экране?

В глазах руководителя филиала промелькнуло замешательство, но лишь на миг:
- Это могло бы выдать излишнюю информацию хакерам!

На том и распрощались ✌️

Пост Лукацкого

09 июля 2023 17:32

Не все мне постить, а вам любоваться на ИБшные мемасики. Учитывая то, как мы активно смотрим в сторону китайской модели управления Интернетом, я обращаю ваше внимание на этот обзор от Сергея Карелова новой концепции борьбы с кибернасилием, которая с 1-го сентября уже должна заработать в Китае в соответствие с обсуждаемым сейчас проектом положения (до 6-го августа обсуждение, а с 1-го сентября уже принятие - вот это скорость работы законодателей). Приведу только фрагмент, который затем Сергей раскрывает более подробно: "В отличие от обычной жизни в оффлайне, в онлайне станет возможным:
1. любому человеку объявить себя "жертвой кибернасилия", не утруждая себя доказательствами этого факта и требуя от владельцев интернет-платформ (соцсети, паблики, блоги и т.д.) расследовать кейс и наказать виновных;
2. а владельцам интернет платформ, в ответ на это, не заморачиваясь, просто закрывать экаунт обвиненного на основании "Положения об управлении информацией о кибернасилии"."

Пост Лукацкого

09 июля 2023 12:11

А вы предъявляете требования к квалификации специалистов по ИБ ваших поставщиков услуг? И речь не про 512 часов. А проверяете предъявленные требования?

Пост Лукацкого

08 июля 2023 19:51

Наконец-то американским журналистам удалось запечатлеть на видео распространение по инфраструктуре ВПО Snake, приписываемое русским хакерам ;-)

Пост Лукацкого

08 июля 2023 12:48

Сначала хотел написать:

из за того что овцы тупы
не будут волки голодать

А потом подумал, что это будет сексизмом и меня обвинят в очередной попытке унизить женщину. Хотя в данном случае речь идет об известной поговорке «и овцы целы и волки сыты». Да и слово «баран» просто не ложится в строфу по своей форме и ударению 🐏

А вообще это наша вина, что обычная американская женщина еще не знает правил выбора надежных паролей. Как минимум моя, я все-таки 18 лет в американской компании отработал 🐏

ЗЫ. Пойду погрущу и шашлычка из баранины пожарю 🍢

Пост Лукацкого

07 июля 2023 20:04

Залипательная игрушка - https://gandalf.lakera.ai. Ваша задача задавать подсказки (prompt) таким образом, чтобы Гендальф 🧙🏻‍♀️ раскрыл вам пароль. Первые уровни простенькие, потом становится все сложнее и сложнее и надо реально придумывать сложные подсказки, чтобы вам раскрыли пароль. Всего в игре 7 уровней. Попробуйте на досуге!

ЗЫ. Спасибо подписчику за присланную ссылку!

Пост Лукацкого

07 июля 2023 16:51

Ну и добьем тему демократической Европы и защиты прав граждан. Оплот революции, Франция 🇫🇷, приняла поправки в свое законодательство, разрешающее полиции удаленно активировать камеры и микрофоны на смартфонах подозреваемых лиц, а также отслеживать их геолокацию.

Право на частную жизнь? Нет, не слышали. Но интересно тут, однако, другое. Каким образом будет осуществляться такая активация? На смартфоны надо будет обязательно предустанавливать какое-то ПО по требованию закона самим пользователем? Или вендора смартфонов будут обязаны это делать в момент ввоза на территорию страны? Какие вендора на такое согласятся и что будет с теми, кто не согласится? Появится ли такой функционал в ядре мобильных ОС и примут ли схожую норму в других странах, например, в России 🇷🇺? Ждать ли нам новых запретов на иностранные смартфоны в российских ведомствах (не только iPhone, но и на базе Android)? Много, много вопросов из всего лишь пары новых строк в законе… А может такой функционал будет появляться в рамках zeroclick (ау, "Триангуляция")?

ЗЫ. Тотальный контроль под соусом «защиты детей», антитеррора и т.п. становится нормой жизни по всему миру. Когда это у себя, то это преподносится для защиты демократии; когда у других - для ее ограничений. Но суть не меняется 🧐

Пост Лукацкого

07 июля 2023 10:02

Попробовал Threads от Meta. Ну что могу сказать? Шняга 🌈 От Твиттера по сути не отличается ничем. Мне не подошло - посты короткие, в Телеге длиннее, что для меня критично. Лента отстойная - рекомендательные алгоритмы подсовывают всякое дерьмо.

Что касается безопасности приложения. Очень тесная интеграция с Инстаграмом - вся безопасность оттуда (своих настроек нет). Идентичные всем приложениям Meta функции приватности, то есть собирает все, что только можно, даже данные о здоровье (Твиттер такого не делал). По этой причине в Европе приложение пока не запустили.

Резюме: не зашло…

Пост Лукацкого

06 июля 2023 20:03

Бесплатное хранение данных за 1 доллар в сутки? Операторы шифровальщиков так скоро убьют рынок коммерческих ЦОДов 😂

Пост Лукацкого

06 июля 2023 13:21

Выбирая поставщика услуг ИБ, вы же и резервный вариант на случай взлома или недоступности поставщика разрабатываете? Не так ли?

Пост Лукацкого

06 июля 2023 06:40

На конференции IT IS Conf, как я уже писал ранее, я буду среди прочего модерировать секцию по средствам сетевой безопасности с 6-тью докладчиками, 5 из которых планируют рассказывать про... 🥁, да-да, NGFW, и один про сетевые брокеры. Но так как мне, человеку, в прошлом проработавшему 18 лет в лидере рынка сетевой безопасности, очень странно видеть, что всю сетевую безопасность сводят к NGFW, то я думаю задать всем участникам закономерный вопрос: "Что за херня? Почему в России никто не рассказывает про другие направления сетевой ИБ?" Почему, например, никто не пишет свой CASB или SASE? Почему никто из сетевых вендоров не делает immutable infrastructure? Где отечественные CIEM? А если уж мы так активно пилим за NGFW, то где Firewall-as-a-Service, Hybrid Mesh Firewall Platform, Cloud Firewall и т.п.? Я, конечно, знаю одну компанию, которая идет в этом направлении, но она всего одна...

Короче, участники секции по сетевой безопасности на IT IS Conf, готовьтесь к неудобным вопросам.

Пост Лукацкого

05 июля 2023 16:39

Северокорейские студенты 🧑‍🎓 выиграли в хакерском конкурсе, устроенным американской компанией. А вы говорите, санкции 😂 Можно, если захотеть 💪

Пост Лукацкого

11 июля 2023 10:02

Обзор иранской киберактивности за последние два года

Пост Лукацкого

10 июля 2023 20:02

А кто-нибудь учитывал в своей модели угроз отзыв сертификата у приобретенных средств защиты или лицензии на мониторинг ИБ у нанятой компании? Вы знаете, что будете делать?

Пост Лукацкого

10 июля 2023 13:14

Гиппократ был мудрый мужик, зрел в корень. 2500 лет прошло, а его высказывание может быть прекрасно применено не только в современной медицине, но и в кибербезе. Вот произошел в некой компании инцидент. Вы приходите, помогаете оперативно провести расследование и выявить причины инцидента ИБ. А потом предлагаете изменения в архитектуре ИБ и стратегию ее реализации. А вам говорят "спасибо", кивают и ласково так улыбаются, что ты понимаешь, через полгода у них опять будет инцидент и ты снова к ним придешь и снова окажется, что ранее выявленная причина так и не устранена, уроки не извлечены, изменения не сделаны. И так по кругу...

Одно только "отец медицины" не учел - на заданный им вопрос в острой ситуации все обычно отвечают утвердительно. А вот потом...

Пост Лукацкого

09 июля 2023 20:09

Это был всего лишь вопрос времени, когда крупнейший в мире LED-экран «упадет» в синий экран смерти. Хорошо, что не дефейснули или заставку фильма «Любовь» Гаспара Ноэ не показали, а то совсем неудобно было бы 🔮

ЗЫ. Это вам не big eye, а bug eye 👁️

Пост Лукацкого

09 июля 2023 14:52

Ох, зажрались они в этой Америке… ИБшники загнивающего Запада в соцсетях обсуждают, как низко пала компания, если она предлагает так мало за работу в ИБ и что уважающий себя ибшник ни за какие коврижки не пойдет на такую зарплату ☹️

Пост Лукацкого

09 июля 2023 08:40

В тему поста подписчик прислал наглядный пример обучения своих пользователей в ситуациях, когда они косячат, по их вине случаются инциденты и все такое. Помимо всех формальностей нарушителей кормят конфетами (на фото). И, что характерно, есть позитивный эффект - инцидентов ИБ становится меньше 😮

Пост Лукацкого

08 июля 2023 16:17

А ведь никто не подумал, что с уходом Старбакса персональные данные россиян стали безопаснее, так как вас никто не спрашивает "Ваше имя, пожалуйста" 🥤

Пост Лукацкого

08 июля 2023 08:40

Я настолько старый умудренный опытом еврей 🧙‍♀️, что все «новые» и «уникальные» инициативы по ИБ уже видел за последние 30 лет 🔞 и где-то даже принимал участие ;-) Тем интереснее наблюдать со стороны на уже заранее понятные грабли. А где-то интересно попробовать сделать то, что не получилось в прошлый раз

Пост Лукацкого

07 июля 2023 17:22

Ну и еще один гвоздь в крышку гроба прайваси. Разработчики Fedora Linux решили превратить свою ОС в Windows за счет включения в очередной релиз функции слива передачи телеметрии с ПК под управлением Linux на сервера в Америку. «Для улучшения качества обслуживания», конечно же. То, что можно было ждать от Microsoft, Apple и иже с ними, произошло со стороны тех, от кого не ждали 🤦‍♀️

Пост Лукацкого

07 июля 2023 13:29

Государство решило обновить свое законодательство по защите детей и вводит новую норму - сервис на базе искусственного интеллекта будет сканировать каждое сообщение в чатах и email на предмет поиска признаков насилия, домогательств и других преступлений в отношении детей.

Если вы думали, что речь идет о России, то вы ошиблись, - у нас до этого пока не дошли. Речь о Евросоюзе и их новом Child Sexual Abuse Regulation (CSA). Да, у нас есть «закон Яровой», но он больше про хранение, чем про анализ.

Так что, когда вы слышите разговоры о полицейском государстве, нарушении прав на тайну переписки и т.п., уточняйте, оппонент говорит про Россию 🇷🇺 или Евросоюз 🇪🇺.

Ну а там, где сканируют всю переписку на тему сексуальных домогательств, недалеко и до расширения списка тематик. И никто ведь не узнает ☹️

Пост Лукацкого

07 июля 2023 06:40

Выступал на днях по приглашению одной уважаемой компании с рассказом о будущем киберугроз на горизонте до 2030 года. Интересно получилось. Кванты, биотехнологии, 3D-печать, Web3, автономный транспорт, а также угрозы от краудсорсинга, новых языков программирования и supply chain из стран третьего мира и многое, многое другое... Если сложить это с секцией "Угрозы 2030. Что может стать недопустимым?" на PHDays 12, то и чуть более целостная картина может сложиться по тому, к чему стоит готовиться, держа руку на пульсе, или держать в голове, пока не педалируя тему.

Ну а поскольку все эти новые угрозы плюсуются к существующим инфраструктурным, которые только становятся масштабнее, скоростнее, разрушительнее, придется лучше и определять актуальное для себя, и фокусироваться на главном, и использовать разные стратегии, не всегда очевидные, по защите. Бюджет-то не резиновый - на каждую новую угрозу не купишь очередную игрушку.

Пост Лукацкого

06 июля 2023 16:59

Если бы не «Радужная серия» по кибербезу от американцев, мы бы, возможно, и не узнали, что такое бумажная безопасность и занимались бы только практической и результативной ИБ. Весь вред от американцев…

Пост Лукацкого

06 июля 2023 10:02

Я немало пишу про мероприятия ИБ, имея мечту, чтобы все такие евенты не гнали джинсу и не рассказывали про «лопаты». Но так как мечта мечтой, но и надо что-то делать, на Kaspersky Cyber Camp, после нетворкинга, родилась идея разработки особой награды для спикеров, несущих всякий булшит. Ну а что? «Золотая малина» есть? Есть. «Bad sex in Fiction Award» есть? Да. Turnip Award тоже есть. Почему бы не быть еще и Security FallOS Award? Надо на следующем PHDays такое замутить (если такую смелость мне позволят провернуть, но надеюсь коллеги поддержат начинание)… Из чугуна или эбонита! Пусть хоть такое прилюдное признание заслуг заставит людей готовиться лучше!

Пост Лукацкого

05 июля 2023 20:04

Второй виток интереса к теме страхования информационных рисков случился в 2003-м, когда возникла тема с законопроектом об обязательной гражданской ответственности государственных информационных систем. В трехглавый закон «Об информации, информатизации и защите информации» планировали внести новую статью 22.1 «Страхование информационных ресурсов, систем, технологий и средств их обеспечения» с всего двумя пунктами :
1️⃣ Государственные информационные ресурсы, системы, технологии и средства их обеспечения подлежат обязательному страхованию. Порядок и условия страхования определяются законодательством Российской Федерации.
2️⃣ Негосударственные информационные ресурсы, системы, технологии и средства их обеспечения страхуются в порядке, установленном законодательством Российской Федерации.

Позже планировалось разработать отдельный закон «Об обязательном и добровольном страховании информационных рисков», а также внести ряд поправок в нормативно-правовые акты по страхованию, банковской деятельности и т.п. Но уже тогда стало понятно, что тема со страхованием информационных рисков (тем более обязательном) красиво смотрится на бумаге, но сложна в практической реализации. Не было общепринятых методик оценки рисков, методик оценки стоимости информации, накопленной статистики инцидентов ИБ по отраслям. Их отсутствие было основным камнем преткновения в страховых расчетах, которые бы принимались всеми сторонами.

Пост Лукацкого

05 июля 2023 13:20

А АНБ и CISA не дремлют и помимо отбивания обвинений в цензуре и нарушении права граждан на свободу слова все строчат и строчат новые рекомендации и методички. На этот раз выпущен документ “Defending Continuous Integration/Continuous Delivery (CI/CD) Environments”, который, как видно из названия, описывает практики внедрения ИБ в конвейер разработки ПО.