Пост Лукацкого

16 августа 2023 20:08

Иногда смотришь на вакансии в АНБ и диву даешься… Вот и сейчас, криогенного инженера ищут. Но не для замораживания людей, а для постройки системы охлаждения высокопроизводительных систем 😮 Нашего «Кузнечика» 🦗 сломать хотят?!..

Пост Лукацкого

16 августа 2023 16:44

🤔 «Когда ученый видит нечто, что кажется ему техническим открытием, он хватается за это „нечто“, осуществляет его и только потом задает вопрос, какое применение найдет открытие, — потом, когда само открытие уже сделано», — говорил Роберт Оппенгеймер, один из создателей атомной бомбы и главный герой второй по популярности кинопремьеры этого лета.

Он же был одним из первых ученых, которые настаивали на особом контроле и обеспечении защищенности обиталищ мирного атома: электростанций, рудников и заводов по обогащению радиоактивных материалов. Многие считают, что они изолированы от внешнего мира и максимально прикрыты от большинства угроз. А причиной аварии может стать скорее природный катаклизм, как было 12 лет назад с атомной электростанцией Фукусима в Японии, чем киберугроза. Однако это не так.

👀 В нашей подборке вы найдете несколько примеров инцидентов, которые могли бы быть признаны недопустимыми событиями. Все они случались в реальной жизни. И да, мы не будем ничего писать про Stuxnet (ну почти).

@Positive_Technologies

Пост Лукацкого

16 августа 2023 10:11

Тут коллеги из МТС RED дали рекомендации, как выбирать надежные и безопасные пароли, в том числе при регистрации или доступе к сервисам МТС. А я же человек послушный; раз эксперты советуют, "надо брать". Но нет, попытка применить эти советы на одном из сервисов МТС дала сбой - в качестве пароля принимаются только буквы и цифры и никаких спецсимволов. Более того, присылаемые одноразовые пароли вообще регистронезависимые. Тебе присылают какой нибудь "08C0D8", ты вводишь "08c0d8" и все работает. И как после этого верить экспертам 🤷

Пост Лукацкого

15 августа 2023 20:21

Есть хакерские группировки, кто прям связывает себя с конкретным государством или властями, а есть те, кто всеми силами опровергает свою аффилированность. Вот SiegedSec пишут, что они не пророссийские, они сами по себе

Пост Лукацкого

15 августа 2023 15:45

Прекрасно понимаю, почему некоторые компании продолжают использовать иностранные средства ИБ и сетевое оборудование (аналогов пока нет). Но тогда надо хотя бы процесс Threat Intelligence нормальный выстраивать, отслеживать появление эксплоитов и зеродеев для используемого оборудования и оперативно искать патч или использовать иные меры нейтрализации. А иначе в чем смысл использования дырявого Фортинета, создающего иллюзию безопасности? ❓

ФСТЭК в своих рекомендациях по управлению уязвимостями писала про этот момент, но, мне кажется, тут надо идти дальше. Используешь официально необновляемую железку, покажи выстроенный процесс TI, а регулятор должен провести киберучения и убедиться, что процесс работает и не на бумаге 👋 А то рекомендация есть, а вот реализуют ее или нет, хрен поймешь. Тут бы идея ФСБ/Минцифры с анализом защищенности периметра помогла, но будут ли они делиться инфой с ФСТЭК, которая в итоге и отвечает за защиту (хотя бы ГИС. И КИИ)?

А иначе все разговоры об технологическом суверенитете, как мертвому припарка. Все понимают, почему используются иностранные NGFW или сетевые устройства. Все понимают, что вокруг одно УГ (это интернет-мем, если что). Все понимают, что российские вендора активно пилят (продукты, а не то, что некоторые подумали). Но пока не допилили надо на компенсационных процессах фокусироваться 🧘 а не глаза 👀 закрывать на проблему.

ЗЫ. А китайцы продолжают ломать инфраструктуры..,

Пост Лукацкого

15 августа 2023 09:59

Пока одни страны пытаются создать "Интернет 2.0" и пускать туда только проверенных субъектов (забывая рассказать, что будет, если туда все-таки проникнет кто-то недоверенный или доверенный со временем станет недоверенным), другие пытаются поднять уровень защищенности для изначально недоверенных коммерческих коммуникаций.

Аналитический центр CSIAC при американском МинОбороны разродился обзором существующих технологий "последней мили", а также описал все имеющиеся военные проекты по ее защите, исходящие от сухопутных войск, ВВС и ряда военных исследовательских агентств, среди которых и DARPA (у нее аж 8 проектов по защите "последней мили").

Пост Лукацкого

14 августа 2023 20:08

Карманный генератор надежных (для 2013-го года) паролей 😔

ЗЫ. Почему там чувак в шляпе 🤠 вот в чем вопрос. Джеймс Бонд их не носил 😒

ЗЗЫ. Хотя если вдуматься, не такие уж они и надежные. Вариантов-то поз предложено немного, а любимых и того меньше. А значит легко перебираемая история; особенно если инсайдер рядом…

Пост Лукацкого

14 августа 2023 13:36

Чего творится-то… На загнивающем Западе все чаще привлекают CISO на звонки с клиентами, чтобы те (CISO) поручились за безопасность того, что продает их компания. Интересный поворот в роли CISO 🤔 Это же требует иных навыков и объяснений. Вариант «Это требование УПД.7 из 239-го приказа ФСТЭК» уже не прокатит - заказчик просто не поймет этой абракадабры 😂

ЗЫ. Фотка для статьи выбрана толерантнее некуда - белая женщина, афроамериканец, представительница монголоидной расы и кто-то с одной рукой…

Пост Лукацкого

14 августа 2023 06:40

Кто бы мог подумать, что технология, придуманная для защиты, в нашей стране благодаря чиновникам, стала синонимом опасности 👉 И шпиёны ее используют для кражи ПДн россиян, и вредоносы она подсовывает, и уязвимости создает для хакеров, и запрещенку через нее находят… 😂 Одно решение видят депутаты - порезать VPNы 🔪 и погрузить страну в виртуальное средневековье 🤧 Интересно, как они сами-то будут ходить к своим зарубежным счетам и активам?

В общем, подумайте о том, как вы будете решать эту задачу - доступ к иностранным библиотекам, отелям, авиакомпаниям, интернет-магазинам, онлайн-кинотеатрам, музыке и другим нужным в хозяйстве ресурсам. Советовать ничего не буду, а то и это начнуть кастрировать ✂️

Пост Лукацкого

13 августа 2023 17:25

После Джона Уика, потомственного белоруса, от сопредельного государства можно ждать всего, даже кибершпионской группировки «Усатый хвастун» 👨‍🦰 (MoustachedBouncer), как ее назвала ESET в своем расследовании. Почти как Turla, но не она.

ЗЫ. Может там и «Усатый вышибала», но мне кажется все-таки хвастун.

Пост Лукацкого

13 августа 2023 12:56

14 июля в Приморье была осуществлена кибератака, которая вывела из строя электронную систему распространения льготных лекарств 💊 Спустя 6 дней выдача лекарств была восстановлена только в некоторых аптеках. Спустя еще 4 дня (10 дней с момента атаки) электронная система в 8 аптеках все еще была недоступна. С 24-го числа данные больше не обновлялись.

По этой таблице, конечно, есть вопросы. В прежней версии желтым были отмечены аптеки, работа которых была восстановлена, но потом они опять вышли из строя 🏥 Зеленым отмечались полностью восстановившиеся аптеки - сейчас ни одна не помечена зеленым. Администрация сайта либо на ходу поменяла легенду и теперь желтым помечает восстановленные аптеки (а белым так и неработающие), либо эти аптеки до сих не в строю. А может это и вовсе ничего не значит... 💉

В федеральном проекте "Информационная безопасность" нацпроекта "Цифровая экономика" был такой целевой показатель как "Средний срок простоя государственных информационных систем (ГИС) в результате компьютерных атак, часов". Как видно на картинке он должен был уже в следующем году достичь показателя в 1 час и на мой взгляд это была очень хорошая метрика, так как чтобы ее достичь надо было сделать прям дофига всего (это примерно как выйти на багбаунти - тоже надо сделать многое). Приказом Минкомсвязи России от 30.04.2019 №178 даже была разработана методика расчета этого показателя 🧮

Но потом решили заменить этот показатель на новый и совершенно бессмысленный - "Количество ведомственных информационных систем, подключенных к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак". Минцифры, в обосновании этого решения, писало, что собирается отменяемый показатель вручную административными методами и он совершенно не показателен, так как не отражает реальное состояние защищенности ГИС от компьютерных атак. Ну да, число подключенных к ГосСОПКА систем это состояние прям отражает 🤮

ЗЫ. 7-го августа хакеры взломали сайт МосгорБТИ, который до сих пор не восстановлен. Но на защищенность это никак не влияет - всем же теперь пофигу, сколько такие системы простаивают.

Пост Лукацкого

13 августа 2023 08:40

А вот и еще неожиданный пример творческой жилки 🟥 - снятый при нашей помощи фильм в сети кинотеатров КАРО 🎬 С какими же креативными и творческими людьми я работаю. Прям сам себе завидую 🥳 Вика крутая!

Пост Лукацкого

12 августа 2023 15:44

К предыдущей истории про админа Роскосмоса, которому дали срок за выход в Интернет с объекта КИИ. Подписчики присылают комментарии;
🚀 Админ поломал кому-то «схематоз» и его за это наказали 👮
🚀 Админу не надо было так рвать жопу - надо было сказать, что ничего не получилось 🤷
🚀 Админ сам дурак, работая в таком месте, должен был понимать, что делает 😰

Интересно, у всех виноват в деле админ. Мало кто говорит, что админ делал свое дело, обеспечивал работоспособность сети в имеющихся условиях. Еще меньше оценивает поведение руководителя админа, который, по сути, сдал своего подчиненного (если ориентироваться на опубликованные материалы). Про следователей молчат все 😕. Грустно... 😔

Пост Лукацкого

12 августа 2023 08:40

Совершенно случайно наткнулся в нашей библиотеке (да, у нас в офисе есть большая библиотека 📚) на книжку по киберпанку, которая была издана при участии 🟥 Впереди выходные - есть что почитать 🤓

ЗЫ. Прошел уже год с момента прихода в 🟥, а постоянно сталкиваюсь с чем-то приятно неожиданным и творческим. То музыкальный фестиваль, то выставка картин, то разработанные настолки; теперь вот книга. Творческая компания…

Пост Лукацкого

11 августа 2023 17:01

ИБ-продукт может быть один, а вот его применение совсем разное, зависящее от сценариев использования (use case). Кто-то использует средства vulnerability management для выполнения регуляторики, кто-то для поиска и устранения уязвимостей, кто-то для идентификации активов. NDR - это не только поиск угроз в сети, но и поиск аномалий для ИТ, идентификация активов, анализ правил МСЭ, анализ правил сегментации во внутренней инфраструктуре и много чего еще. Хорошие вендора готовят не только документацию к своим продуктам, но и описывают, как можно их продукты использовать в тех или иных сценариях!

Пост Лукацкого

16 августа 2023 16:57

В этом списке еще и 10-й инцидент, который мог бы привести к недопустимым событиям, должен был появиться. Но у Telegram есть ограничение на количество карточек в одной заметке...

Пост Лукацкого

16 августа 2023 13:31

Интересный портал https://dfiq.org/. Является базой знаний по расследованию инцидентов. Активно пополняется. На первой картинке интересный и живой пример - сотрудник компании подозревается в краже конфиденциальной информации. Какие признаки того, что сотрудник может скрывать свою деятельность? А какие индикаторы говорят о том, что утечка может произойти в будущем? Среди других рассматриваемых кейсов - подозрительные DNS-запросы, расширение плацдарма в инфраструктуре (Lateral Movement), компрометация облачной среды, сотрудник использует конфиденциальные данные совего бывшего работодателя на новом месте (ну какой же это инцидент - типичная история 😂), скрытие активности на скомпрометированном узле...

Пост Лукацкого

16 августа 2023 06:40

Вчера я написал про компрометацию устройств Fortinet (а их в стране только смотрящих в Интернет сейчас около двух тысяч), а сегодня решил чуть раскрыть мысль о том, что средства ИБ тоже надо защищать, как и сетевое оборудование, на которое поставить EDR нельзя, как и вокруг выстроить стены тоже, что делает такие устройства хорошей мишенью для хакеров, долго остающихся незамеченными для специалистов по ИБ.

Пост Лукацкого

15 августа 2023 17:35

Если бы не последний пункт, то можно было бы подумать, что идет обычный набор в ИБ-компанию. Но нет... В группировку, которая атакует государственные и прогосударственные структуры...

Пост Лукацкого

15 августа 2023 13:14

Немножко инсайдов от главы кибербеза СБУ Украины на тему противодействия России в киберпространстве и использовании OSINT для помощи в мире физическом. Не так чтобы что-то совсем новое, но все-таки...

Пост Лукацкого

15 августа 2023 06:40

CISO Microsoft за 30+ лет работы в компании приветствовали только единожды - когда он отменил внутреннюю политику компании, требующую смены паролей каждые 71 день. "Это был первый раз, когда меня наградили аплодисментами как человека от ИБ и как топ-менеджера", сказал CISO.

Сначала в компании перешли на ежегодную смену паролей. Позже отменили требование смены паролей раз в 60 дней для клиентов. Сегодня 99,9% сотрудников не используют пароли при доступе к внутренним приложениям, исключая legacy. Хороший пример для CISO, которые хотят показывать понятный для всех результат. Уровень безопасности при уходе от паролей точно не снизится, а удобство налицо. Пользователи будут только приветствовать такое решение...

ЗЫ. И хотя против Microsoft американские федералы затеяли расследование, чтобы понять, как ИТ-гигант обеспечивают ИБ на своих сервисах, предоставляемых государству и клиентам, беспарольная защита - вполне себе тема.

Пост Лукацкого

14 августа 2023 17:05

Интересная шутка и простая в реализации. Легко модифицируемая под вредоносную историю 😂

РКН тут пишет, что почти 400 миллионов мошеннических звонков с начала года заблокировал 📞. А в июле их число возросло на 20% и достигло 72 миллионов 📞. Подтверждаю. На прошлой неделе каждый день с «товарищами лейтенантами из главного управления МВД» разговаривал. В последний раз уже четко по сценарию отвечал, что заставило звонящего меня даже спросить, какой он у меня по счету (никогда не думал, что услышу от мужика такой вопрос). Услышав ответ, он 📞 не стал меня большего отвлекать, пожелал хорошего вечера и мы расстались 😏

Пост Лукацкого

14 августа 2023 10:02

— Вов, это не я. Меня взломали.
— [Молчит]
— ВОВА НУ ЭТО ХАКЕРЫ НЕ Я, ВОВА!
— [Молчит]
— СТОЙТЕ КУДА ВЫ МЕНЯ ТАЩИТЕ…

9 лет прошло, многие уже и не помнят ;-) Может поэтому Твиттер и запретили в стране, а не потому что он что-то там не удалял экстремисткое. Телега тоже не удаляет, но никто ее не только не блокирует, но даже и официальные аккаунты ведут…

Пост Лукацкого

13 августа 2023 19:53

АНБ И Viasat поделились деталями атаки на спутниковую систему 🛰 Атрибуция показывает на Россию, но доказательств не приведено 🤷

Пост Лукацкого

13 августа 2023 15:09

Презентации с Defcon и BlackHat

Пост Лукацкого

13 августа 2023 08:40

🤔 Как сложилась бы судьба Владимира Маяковского в наши дни? Волнуют ли современных поэтов те же вопросы, что и сто лет назад? Можно ли поступиться свободой ради известности и денег? А ради любимой женщины?

🎬 17 августа в прокат выходит фильм «Мотыль. Свет. Пламя. Пыль», созданный Викторией Алексеевой, продюсером киберфестиваля PHDays 12 (маскотом которого был Маяковский), при поддержке Positive Technologies.

Он посвящен 130-летию со дня рождения футуриста и создан по мотивам его биографии и поэмы «Облако в штанах», отражающей личность поэта.

Главный герой, как настоящий бунтарь, бросает вызов творческой элите и устройству общества, оспаривает искренность чувств и актуальность поэзии. Весь фильм о том, как рождается одно единственное стихотворение и какие испытания преодолевает при этом художник.

Смотрите ленту в кинотеатрах «КАРО» в Москве («КАРО 11 Октябрь»), Санкт-Петербурге («КАРО 9 Варшавский экспресс»), Новосибирске («КАРО 10 Галерея»), Екатеринбурге («КАРО 10 Радуга Парк») и Калининграде («КАРО 7 Калининград Плаза»).

P. S. Редактор канала любит Маяковского, посмотрел и в восторге.

#PositiveTechnologies #PHD12

Пост Лукацкого

12 августа 2023 19:12

Администрация Байдена-Харрис анонсирует двухлетнее соревнование AI Cyber Challenge, которое должно помочь американцам выявлять и устранять уязвимости в коде с помощью искусственного интеллекта (а чего они в 🟥 сразу не обратились-то?). Курирует конкурс военное агентство по передовым исследованиям DARPA (что уже как бы намекает), а помогают проводить его лидеры американского рынка ИИ - Anthropic, Google, Microsoft (вот прям "лидер" в области ИБ и неуязвимого ПО) и OpenAI.

Соревнование анонсировали на прошедшей Defcon в Лас-Вегасе (Сферу, кстати, так никто и не сломал, - ее просто отключили от греха подальше на время хакерских конференций). На DC в 2024-м пройдет полуфинал, а в 2025 там же анонсируют команду-победителя, которая получит погоны и контракт на службу в армии 4 миллиона долларов (у финалистов и полуфиналистов призы поменьше).

Мне кажется, что у нас можно было бы такое же организовать (например, на PHDays). И хотя компаний, которые бы занимались ИИ в ИБ, у нас поменьше, но это могло бы простимулировать исследования в соответствующей сфере. Да и показало бы, что государство не просто заявляет о важности искусственного интеллекта и кибербезопасности, и не просто раздает бабло одним и тем же компаниям-бигтехам, у которых деньги и так есть, но и реально стимулирует исследования в этой области, в том числе и среди ВУЗовских команд и малого бизнеса (да, в ИБ есть и такие).

ЗЫ. Сайт конкурса-соревнования - https://aicyberchallenge.com.

Пост Лукацкого

12 августа 2023 12:38

Еще одна фееричная история из закоулков нашего законодательства и его правоприменения. Если вкратце, то один из заводов Роскосмоса пользовался системой контроля доступа Cisco Secure ACS. Но потом завод не смог больше оплачивать поддержку решения по причине его дороговизны ☹️ (хотя, насколько я помню, на это решение Cisco цены не поднимала особенно, а курс не особо и рос; уж точно не так, как за последние месяцы) и админу завода субъекта КИИ начальством была поставлена задача сделать "также красиво, но бесплатно" (немного утрирую) 🤑. Админ был грамотным и решил скачать из Интернет FreeRADIUS, который хоть и не заменял Cisco Secure ACS, но часть задал вполне себе решал 👨‍💻. И что, скажете вы? Нормальная ситуация - сейчас многие так делают - кто-то скачивает пиратские версии привычных иностранных решений по ИБ, а кто-то ищет им замену в open source.

И вот тут наступает самое интересное. Против админа возбуждают уголовное дело 🧑🏻‍⚖️ за то, что он подключился к сети Интернет с объекта КИИ, не предприняв должных мер безопасности ✍️. При этом сам начальник, давший указание найти замену Cisco Secure ACS, и свидетельствовал против подчиненного 🤦‍♂️ По версии ФСБ, обвиняемый "подключил свой рабочий компьютер к интернету и нарушил правила работы с информационными ресурсами, поставив под угрозу безопасность центра обработки данных оборонного предприятия" 😕 Обвиняемый админ считает, что он не только делал все безопасно, но и сэкономил работодателю почти 2,5 миллиона рублей, но суд не учел эти доводы (ну а кто же попрет против ФСБ 🙄). В итоге полтора года... правда, условно.

Вот такие пироги с котятами 🤢 Если вы работаете с объектом КИИ, то подумайте 10 раз, стоит ли скачивать из Интернет не только open source, но и иностранное ПО в рамках серого импорта или пиратства. С ФСБ шутки плохи 🧐 Но если почитать материалы дела, то у меня сложилось впечатление, что ровно те же доводы следователи могли бы использовать и при скачивании отечественного софта с объекта КИИ. Так что стоит пересмотреть и свои регламенты обновления ПО, и вообще стратегию использования средств защиты на объектах КИИ. Ну и молитесь, что на вас не обратят внимание 🥺 На мой взгляд, следователи немножко так перегнули палку 🖕

Пост Лукацкого

11 августа 2023 20:13

Просто классический мини-мульт 🎞 про фишинг. Регулярно его ищу, решил вот просто в канал выложить 😊

Пост Лукацкого

11 августа 2023 14:41

Если вдруг вам нужны сами блок-схемы для того, чтобы на их основе сделать собственные форки для своих плейбуков, то вот вам файлик со всеми схемами. Редактировать его можно в бесплатном сервисе draw.io