Пост Лукацкого

01 июня 2023 18:38

Генпрокуратуру попросили возбудить дело о шпионаже против сотрудников Apple. До этого ФСБ обвинила компанию в помощи американским спецслужбам.

Письмо в Генпрокуратуру с требованием возбудить уголовное дело направил Виталий Бородин — глава «Федерального проекта по безопасности и борьбе с коррупцией». По его мнению, сотрудников Apple и разведки США нужно привлечь сразу по трём статьям: о шпионаже, неправомерном доступе к компьютерной информации и распространении вредоносных программ.

Днём ФСБ отчиталась о раскрытии «разведывательной акции американских спецслужб» с использованием айфонов. По данным силовиков, заражению вредоносным ПО подверглись несколько тысяч телефонов абонентов из России, а также устройства с зарубежными сим-картами, зарегистрированными на посольства РФ. Теперь ФСБ полагает, что Apple тесно сотрудничала с разведкой США.

Пост Лукацкого

01 июня 2023 16:44

НКЦКИ опубликовал бюллетень, связанный шпионской активностью от имени Apple. Интересная история раскручивается:
1️⃣ ФСБ говорит, что за шпионской активностью стоит Apple, сотрудничающая с иностранными спецслужбами 🫡
2️⃣ В бюллетене НКЦКИ о сотрудничестве Apple со спецслужбами уже ни слова, но упоминается, что вредоносный код использует "предусмотренные производителем уязвимости" 🤔.
3️⃣ В бюллетене дается ссылка на кампанию "Триангуляция", которая была выявлена Лабораторией Касперского, в описании которой вообще ни слова ни про злой умысел Apple, ни про оставленные специально уязвимости, ни про сотрудничество со спецслужбами. Достаточно трезвый технический анализ кампании, которая похожа на любую другую с незаметной установкой вредоносного ПО на смартфоны, например, банковских троянцев.

То ли ЛК знает не все, то ли в пресс-службе ФСБ решили подлить масла в огонь, обвинив Apple в том, что это она стоит за шпионской активностью. Нууу, такое себе 🤔

К техническим деталям отчета ЛК у меня лично вопросов нет - все четко 👨‍💻 От бюллетеня НКЦКИ я ждал и некоторых рекомендаций по борьбе с угрозой. Если не в части самостоятельного обнаружения признаков компрометации пользователем, то хотя бы в части мониторинга индикаторов с помощью решений класса NTA/NGFW/SWG; тем более, что в бюллетене есть соответствующие C2-домены. Если пользователь подключается к корпоративному или ведомственному Wi-Fi со скомпрометированного смартфона, то такой мониторинг сетевого трафика может помочь идентифицировать проблему. Ну и меры по нейтрализации ВПО тоже неплохо было бы написать. Например, сброс до заводских настроек позволяет временно устранить угрозу или бэкап до какой даты можно ставить безбоязненно? А в остальном все не так уж и страшно. Разве, что СМИ все прям активизировались, - не часто у нас ФСБ официальные пресс-релизы такого типа выпускает.

Засим откланиваюсь - пойду Wireshark'ом трафик помониторю в домашней сетке; вдруг что...

Пост Лукацкого

01 июня 2023 10:17

На сайте ФСТЭК выложена совершенно корявая версия методички по управлению уязвимостями в формате PDF - ее, видимо, не проверили после конвертации. Работать с ней нельзя - ни копировать из нее текст, ни делать поиск, ничего этакого. И картинки как-то не очень качественно сжаты. Я в итоге переделал его в то, с чем работать удобнее. Прилагаю.

Пост Лукацкого

01 июня 2023 09:56

ФСТЭК, спустя 2 месяца с публикации проекта своего методического «Руководства по организации процесса управления уязвимостями в органе (организации)» утвердил этот документ. Я пока глубоко не погружался в документ, но он мне понравился - явных косяков я в нем не увидел, кроме одного (о нем ниже). Во-первых, сразу бросается в глаза оформление - наконец-то в методичках стали появляться иллюстрации, блок-схемы, таблицы... Работать с таким документом гораздо приятнее и удобнее.

Во-вторых, предположу, что приказы 17/21/31/31/239 уже не будут сильно меняться (хотя я бы все-таки реализовал задумку с единым каталогом защитных мер и ссылками на него из разных приказов), и ФСТЭК займется процессами, стоящими за большинством из мер защиты. Работа эта небыстрая, но зато благодарная - становится понятно, что скрывается за отдельными пунктами приказов регулятора. А самое главное, что кибербез становится непрерывным, а не дискретным (от аттестации до аттестации).

В-третьих, документ устанавливает следующие сроки устранения выявленных уязвимостей:
🔥 критический уровень опасности - до 24 часов
⚡ высокий уровень опасности - до 7 дней
🖕 средний уровень опасности - до 4 недель
🪫 низкий уровень опасности - до 4 месяцев.

При этом важно помнить, что фразу "устранение уязвимостей" надо трактовать не буквально. Как мне кажется речь идет о невозможности использования выявленных уязвимостей, что может быть достигнуто как установкой обновлений (прямое прочтение термина "устранение уязвимостей"), так и реализацией компенсирующих мер, о чем методичка тоже говорит достаточно явно. Если вспомнить выступление В.С.Лютикова на PHDays, то он об этом также говорил (либо патч, либо компенсирующие меры).

Пост Лукацкого

31 мая 2023 20:12

Я бы, конечно, задался своим, набившим оскомину, вопросом: «А вы учли это в своей модели угроз?», но это уже будет перебор, а то и неуважение к представителям власти.

Дело в том, что у берегов Норвегии узрели белугу 🐬, которую сразу нарекли Hvladimir’ом, от норвежского «hval», то есть белуга, и хорошо знакомого всей Европе славянского имени Владимир (а это может быть рассмотрено как посягательство на…). А к Гвладимиру была прикреплена камера GoPro. И думают гордые викинги, что это шпион 🕵️‍♀️, следящий за секретными перемещениями норвежского лосося и кильки. Ихтиологи напоминают, что этого персонажа засекли еще несколько лет назад, а сейчас вообще он секаса 🐇 ищет (сезон такой начался). Но кого в другой сезон, шпиономании, волнуют такие мелочи?..

А если серьезно, вдруг у белуги не только камера прикручена, но и средство снятия данных с оптических каналов связи? Как с этим бороться? Шифруйте данные, господа и дамы. «Кузнечик» 🦗 и никакая белуга вам не страшна! 🐬

Пост Лукацкого

31 мая 2023 13:35

Но есть и другая схожая с ATT&CK матрица - от аэрокосмической корпорации. Она, в отличие от SHIELD, описанной в предыдущем посте, рассчитана на конкретные космические миссии 🛰 Но я, если честно, прям колоссальной разницы не увидел. Наверное, потому что я не космонавт 👩‍🚀

Пост Лукацкого

31 мая 2023 10:05

Если вдруг вас пригласят в Роскосмос заниматься ИБ, то европейское космическое агентство вам помогло, адаптировав матрицы MITRE ATT&CK и SHIELD для космических кибератак 🚀 Но рассказывать об этом на конференциях вы не сможете - помните о приказе ФСБ, который не приветствует раскрытие информации о ИБ в Роскосмосе 🛸

Пост Лукацкого

30 мая 2023 21:11

Новозеланский CERT переводит свои материалы на национальные языки; в данном случае на самоанский (не путать Самоа и Самуи). Представил, как бы звучали НПА ФСТЭК, ФСБ, Минцифры… на якутском, бурятском, гагаузском, ногайском, абазинском…

Пост Лукацкого

30 мая 2023 13:19

Льюис Кэролл, проезжая по России, записал чудное русское слово "защищающихся" (thоsе whо рrоtесt thеmsеlvеs, как он пометил в дневнике). Английскими буквами ✍️ Вид этого слова вызывает ужас... 😱
zаshtshееshtshауоуshtshееkhsуа. Ни один англичанин или американец это слово произнести не в состоянии 😱

Знал бы я это раньше, так бы и написал в анкете на американскую визу. Меня тогда бы не отправили на спецпроверку и я бы еще успел смотаться до COVID-19 на один или даже два RSA Conference. Но нет…

Пост Лукацкого

30 мая 2023 06:40

Наконец-то нормальные книги для CISO стали публиковать. Про метрики, дашборды и сразу код для их автоматизации

Пост Лукацкого

29 мая 2023 16:26

Mandiant тут выпустил отчет, в котором пишет о новом вредоносном коде COSMICENERGY для промышленных площадок, схожий по функционалу с INDUSTROYER и INDUSTROYER V2⚡️ При этом авторы отчета нашли в коде упоминания компании Ростелеком-Солар, которая использовала данный код в рамках проводимых киберучений. Это позволило на Западе многим заявить о том, что Россия опять хочет поставить весь мир на колени, атаковать критическую инфраструктуру и вот это вот все ⚡️

Однако, авторы в отчете не делают таких однозначных выводов. Они как раз считают, что вполне возможно, что речь возможна шла как раз о воссоздании реальных сценариев атак против энергосистемы. Но есть и другое предположение в отчете - кто-то просто использовал имеющийся код Солара для разработки вредоносного кода. Авторы указывают, что это популярная практика у плохих парней и ровно также они действовали в рамках атаки TRITON (ее тоже приписывали россиянам). Ну и американцы не были бы американцами, если бы не приплели сюда еще и НТЦ Вулкан, утечка данных из которого произошла совсем недавно и в которой были найдены свидетельства о разработки в интересах Минобороны платформы для проведения киберучений по отработке атак на АСУ ТП ⚡️

ЗЫ. В любом случае во всем виновата Россия 🇷🇺, даже если она и не виновата. Так и живем.

Пост Лукацкого

29 мая 2023 09:59

Англосаксы выпустили отчет о деятельности государственных хакеров, спонсируемых Китаем. С техниками, тактиками и другими индикаторами, а также методами, используемыми китайцами для обхода различных средств защиты

Пост Лукацкого

28 мая 2023 20:02

Интересно посмотреть на модель угроз, требующую, судя по всему неменяющийся, пароль на публичный Wi-Fi в маршрутке

Пост Лукацкого

28 мая 2023 12:51

CISO SolarWinds (вы же помните, чем известна эта компания) предлагает создать аналог закона Сарбейнса-Оксли (SOX), но не для финансовых директоров, а для CISO. Чтобы те не повторяли «ошибок» Джо Салливана, ex-CISO Uber…

Пост Лукацкого

27 мая 2023 21:11

Trustwave, спустя пару месяцев после утечки данных из НТЦ Вулкан, разродилась подробным анализом ставших достоянием общественности файлов. А все уже и забыли...

Пост Лукацкого

01 июня 2023 18:38

Заставь 😱 богу молиться...

Пост Лукацкого

01 июня 2023 13:08

ФСБ РОССИИ ВСКРЫТА РАЗВЕДЫВАТЕЛЬНАЯ АКЦИЯ АМЕРИКАНСКИХ СПЕЦСЛУЖБ С ИСПОЛЬЗОВАНИЕМ МОБИЛЬНЫХ УСТРОЙСТВ ФИРМЫ APPLE... Деталей на сайте ФСБ нет 🤔

Как бы теперь ввоз iPhone, даже по параллельному импорту, не запретили. Стоит подумать об этом, если у вас на смартфоны какие-то процессы завязаны (например, курьеры или мобильные агенты). Но интересно другое - запретов использования техники Apple (как и других, условно персональных, иностранных ИТ-решений) в госорганах я помню несколько. Но все безрезультатно, так как запретить на бумаге можно, но если не дать адекватную альтернативу, то все, кому запретили, все равно будут искать способы обхода запретов.

А что касается запрета на ввоз мобильных устройств Apple, то это вряд ли произойдет прям сейчас. А вот запретить ввоз техники, неподдерживающей отечественные алгоритмы шифрования вполне можно и это даже не будет выглядеть как борьба с иностранными шпионами - все в рамках импортозамещения. Тем более на днях некая общественность потребовала внедрить в смартфоны, продаваемые в России, российскую криптографию. А мы же помним, как у нас относятся к голосам общественности?..

Ну и наконец. Если вернуться к исходной истории и попробовать порассуждать на тему самого пресс-релиза ФСБ, то я бы смотрел в сторону Pegasus и иных шпионских программ, коих развелось в мире немало и многих из них стоят на страже национальной безопасности многих государств; в ее широком толковании. И несмотря на все заявления о том, что следить за гражданами плохо, те же США прекрасно это делают; как и многие другие государства. Что позволено Юпитеру, то не позволено быку.

Так что думаю, что пресс-релиз ФСБ надо читать не как "в мобильной продукции Apple найдена вредоносная функциональность, позволяющая шпионить за россиянами", а как "в отношении представителей российских госорганов и дипломатических представительств ведется шпионская деятельность, в том числе и за счет шпионского ПО, которое незаметно устанавливается на различные смартфоны, включая и Apple iPhone".

И да, ФСБ пишет, что наличие шпионской активности с iPhone доказывает сотрудничество Apple с иностранными спецслужбами, но тут, без дополнительных деталей, конечно, фиг это проверишь. Когда Сноуден свои откровения в 2013-м году выпустил, то многие американские ИТ-производители обвинялись в сотрудничестве со спецслужбами, но потом оказалось, что те же АНБ или ЦРУ просто использовали 0Day уязвимости или самостоятельно внедряли закладки в ИТ-продукцию; без участия со стороны вендоров. Возможно, у ФСБ есть прям факты, доказывающие сотрудничество, но мы это вряд ли когда узнаем из-за режима секретности.

Помню, лет 10 или чуть меньше назад, на ИБ-мероприятиях представители ФСБ регулярно заявляли, что они, дескать, нашли закладки в продукции Microsoft и Cisco, но фактов так и не предъявляли, а потом и вовсе сертифицировали эту продукцию по своим требованиям и даже на отсутствие НДВ. Так что шпиономанию никто не отменял, как и геополитическую борьбу. Без публикации технических деталей пока это так и выглядит.

А модель угроз еще раз пересмотрите...

Пост Лукацкого

01 июня 2023 10:07

В любом случае помните, что документ является основой для разработки собственных документов по управлению уязвимостями. То есть он не догма, как его будут рассматривать многие, а руководство к действию. Но и сильно отходить от него не нужно.

Ложка дегтя - не учтена история с АСУ ТП, в которых не всегда работают те же подходы, что и при управлении уязвимостями в ИТ-инфраструктуре. А уж устранение критических уязвимостей в течение суток в средствах промышленной автоматизации... это вообще космос. Но опять же - взяв документ, разработанный ФСТЭК, за основу, можно что-то сделать и для своих АСУ ТП.

Пост Лукацкого

01 июня 2023 06:40

▶️ Новый выпуск на канале

Наши смартфоны, ноутбуки и умные часы обходятся нам очень дорого. И речь не только о деньгах. За удобства и экономию времени нам приходится платить… своими данными! Казалось бы, ну кому интересно, какие роллы я заказываю чаще всего? Однако из таких деталей пазла складывается портрет пользователя, который уже может быть интересен злоумышленникам.

В этом выпуске мы не только поговорим подробнее о том, что такое кибергигиена и почему ее важно соблюдать, , но и расскажем, кто такие пентестеры, что такое литспик и как не сойти с ума в мире, где постоянно случаются утечки данных, а твоя умная колонка фиксирует все твои поисковые запросы.

Смотреть выпуск

#выпуск

Пост Лукацкого

31 мая 2023 16:58

Видео с сегодняшней сессии на ЦИПРе. Мы там с Русланом Юсуфовым выступили на стороне технопессимистов и получилось прям хорошо; попугали немного народ будущим ИИ; я поменьше и в краткосрочной перспективе, а Руслан основательно и на горизонте 5-10 лет.

ЗЫ. Секция начинается с 11-й минуты

Пост Лукацкого

31 мая 2023 10:30

В 11.45 начнется прямой эфир с ЦИПРа про искусственный интеллект и кибербез, где я буду в роли технопессимиста

Пост Лукацкого

31 мая 2023 06:40

🤔 Считаете, что результатом кибератак могут быть только трудно оцениваемые утечки данных, простои информационных систем, эксплуатация уязвимостей и кража денег с кредитных карт? Это не так!

Недооценка вопросов кибербезопасности может привести к реализации различных недопустимых событий, наступление которых приводит к невозможности реализации стратегических или операционных целей компании.

Одним из примеров таких последствий является банкротство.

Мы собрали несколько примеров компаний, вынужденных объявить о своем банкротстве из-за несоблюдения мер результативной кибербезопасности. Подробнее — на карточках.

#PositiveTechnologies

Пост Лукацкого

30 мая 2023 16:39

Кстати, прикольный сценарий

Пост Лукацкого

30 мая 2023 10:01

4 года прошло с момента создания этой картинки. До сих пор позиция Медвежонка мне ближе, чем Ёжика

Пост Лукацкого

29 мая 2023 19:31

Бывало и я ошибался. А счастье было так возможно… и так возможно, и вот так! Если бы ФСТЭК докрутила тему с матрицей техник и тактик, то может что и получилось бы. Но увы...

Пост Лукацкого

29 мая 2023 13:11

OWASP разработал свою десятку рисков для языковых моделей OWASP LLM Top Ten v.1:
🚀 Prompt Injections
💧 Data Leakage
🏖 Inadequate Sandboxing
📜 Unauthorized Code Execution
🌐 SSRF Vulnerabilities
⚖️ Overreliance on LLM-generated Content
🧭 Inadequate AI Alignment
🚫 Insufficient Access Controls
⚠️ Improper Error Handling
💀 Training Data Poisoning

Пост Лукацкого

29 мая 2023 06:40

Американцы обновили руководство по борьбе с шифровальщиками, выпущенное в сентябре 2020-го года, расширив его рекомендациями по предотвращению первичных векторов заражения, учли облачные резервные копии и архитектуру Zero Trust. Также в руководстве обновили чеклист за счет советов по threat hunting.

Пост Лукацкого

28 мая 2023 17:02

Пентест пентесту рознь... Одно дело - увлеченные этим люди, и совсем другие - делающие это из под палки, потому что так папа сказал в нормативке записано

Пост Лукацкого

28 мая 2023 08:40

В моем детстве у многих моих сверстников была мечта - иметь дома игрушечную немецкую железную дорогу . Но не просто паровоз с парой вагончиков и набор рельсов, но целый мини-город - с домами, вокзалом, деревьями, горами... А так как удовольствие это было не из дешевых, даже обычный мини-комплект, то мы ходили в "Детский мир" на Лубянке, в котором такой "город" был построен и он вызывал зависть у всех детей.

Прошло 40+ лет и вот уже твоя детская мечта у тебя под боком. Да еще и сопряжена с профессией. Да, речь о киберполигоне Standoff. Причем именно в его полной версии, с физическим воплощением в городе 🫡. Просто виртуальный киберполигон не дает того эффекта. На нем можно тестировать свои навыки и в этом плане он ничем не отличается от своего физического собрата (инфраструктура-то одна). Но только видя как сталкиваются поезда, останавливаются колеса обозрения, разливается нефть, прекращается подача электричества или останавливается движение, понимаешь, что в реальной жизни эти недопустимые события могут произойти точно так же; только в ином масштабе.

Для визуализации ИБ физическая версия Standoff подходит как нельзя лучше - вокруг него постоянно толпы народа и даже далекое от ИБ руководства компаний и ведомств, страны и отдельных регионов, становится ближе к тому, чем нам приходится заниматься ежедневно, но чего никто не видит. И эти руководители, тоже имевшие эту детскую мечту, подолгу простаивают рядом с ней, вспоминая свое счастливое детство и видя свое настоящее. И студентам в ВУЗах тоже было бы неплохо такие "мини-города" иметь, чтобы понимать, чему их учат. И для CTF такие города нужны, и для крупных холдингов и компаний.

Пост Лукацкого

27 мая 2023 17:01

Количество читателей органически и постоянно растет и, видимо, это привлекает все больше и больше рекламодателей, каждому из которых я отказываю. А все почему?

Не хочется терять то чувство свободы, которое есть. Хочу пишу, хочу не пишу. Хочу критикую, хочу в любви признаюсь. Могу и на хер послать. И никто мне не может сказать: «Мы провели совещание на тему вашего последнего поста и решили, что он не так сильно нас восхваляет, как мы ожидали. А еще вы в посте использовали слово «хрен», что непозволительно и не должно ассоциироваться с именем нашей солидной компании. Также нас возмутил тот факт, что в качестве иллюстрации к заметке вы использовали сине-желтую картинку, а мы не хотим, чтобы нам предъявляли претензии за поддержку сами знаете кого. Ну и что, что у нас логотип сине-желтый. Наконец, не используйте слово «кибервойна», - оно создает нехорошии эманации а PR-поле. Учтите наши рекомендации в следующий раз, а то мы поставим вопрос об изменении договора в одностороннем порядке; пункт 6892-й на 66-й странице, написанный 1-м кеглем и белым цветом на белом фоне нам это позволяет.»

Вот и начинают мучаться рекламовзятели, удовлетворяя рекламодателя, напрочь забывая о контенте, читателе и себе. А потом перестают критиковать, начинаются накрутки и все, покатилось по наклонной. Ну его в жопу такой диджитал. Лучше быть свободным художником. Поэтому и отказываю. Даже знакомым. Даже 🟥. Публикую только то, что зашло мне, или то, что мне интересно, или то, к чему я приложил руку (например, курс какой или вебинар или материал).

ЗЫ. А вообще, в описании канала написано, что рекламу не размещаю. Но кто ж у нас читает описания?