Пост Лукацкого

09 мая 2023 18:10

Третий по величине город Техаса, Даллас, столкнулся с атакой шифровальщика. Началась она 3-го мая и последствия ощущаются до сих пор. Были выведены из строя суд, системы оплаты за водоснабжение, аварийные системы 911 и 311, онлайн-библиотека, городская администрация и куча других департаментов. Как и в любой иной публичной истории, город не мог скрыть этот факт (не то, что у нас) и ведет подробный рассказ у себя на сайте о том, что и когда перестало работать и когда восстановлено. Если не с точки зрения правильной защиты, то с точки зрения открытости, Даллас можно поставить в пример.

ЗЫ. А в это время шериф другого американского города, Сан-Бернардино, выплатил вымогателям 1,1 миллиона долларов.

Пост Лукацкого

09 мая 2023 14:23

Если верить статистике, средняя стоимость выкупа у вымогателей составляет порядка 20-24 биткойнов. Это в мире. А в России у взломанных компаний требуют выкуп гораздо ниже, на порядки. Не это ли доказательство того, что надо переводить юрлица в российскую юрисдикцию - как минимум выплаты киберпреступникам будут ниже!

ЗЫ. Но вообще, требовать выкуп в майские праздники, когда одни на шашлыках, а другие на параде, это не разбираться в своей целевой аудитории. Ну или заранее принять решение о выкладывании украденной информации.

ЗЗЫ. Мне кажется, что уже все должны были настроить свои средства защиты на такой индикатор как «объем выкачиваемых за интервал времени данных». Очевидно же, что выгрузка такого объема (если это не дистрибутивы или обновления ПО) - это аномалия и на нее надо реагировать. Но видно не для всех.

Пост Лукацкого

09 мая 2023 08:40

И хотя акцию "Бессмертный полк" немало где запретили, это не помешает многим публиковать сегодня в соцсетях истории своих воевавших бабушек и дедушек, указывая их полные имена и фамилии. Это история, которую надо помнить (в том числе и чтобы не совершать повторных ошибок).

Но также стоит помнить, что не надо использовать в качестве пароля или секретного слова девичью фамилию своей матери. И я думаю понятно, почему 🤔 Ну а если вы где-то их используете, то в этот майский день самое время сменить их. Пусть это будет вашей маленькой победой на пути к вашей безопасности!

ЗЫ. С праздником! За нашу Победу!

Пост Лукацкого

08 мая 2023 19:45

Google запустил бесплатный базовый курс по кибербезу

Пост Лукацкого

08 мая 2023 17:40

🥸 Представлена информация о новом российском транспортном протоколе RUSTP/UDTP.

🤔 Авторы не понимают сути задержек и тестировали протокол на передачи одного файла. В результате разработчики уверяют, что новый протокол полностью защищен от DDoS атак на L3 и L4, позволяет значительно сократить расходы провайдеров и обучение программистов, поддерживает историю сессии и соединения на технологии блокчейн, и обладает уникальными характеристиками переноса информации, поддерживая качество передачи трафика при произвольных задержках и потерях.

🤨 Авторы также пишут, что смогли повысить скорость передачи данных в их Москвы в Амстердам в 3 раза, а в Сидней в 50 раз, а сетевая технология «IPv17» удовлетворяет решениям ООН, требованиям ITU и рекомендациям IETF в части «Сети будущего».

#rustp #udtp #протокол @SecLabNews

Пост Лукацкого

08 мая 2023 12:34

Диссертация про историю CTF (на английском)

Пост Лукацкого

07 мая 2023 20:02

А Шекспир-то был в теме ✍️

Пост Лукацкого

07 мая 2023 14:26

"Простите меня" (с) LockBit. Конечно хорошо, что у вымогателей есть свое понятие чести и они готовы предоставить медицинской/детской/социальной организации ключ расшифрования данных бесплатно, но все-таки, строя систему защиты, рассчитывать на это не стоит.

Пост Лукацкого

07 мая 2023 08:40

Вот последний совет от ChatGPT прям умиляет. Пожалуйтесь регуляторам и тогда топ-менеджмент сразу задумается о кибербезе в своей компании. Видимо, на истории CSO Twitter обучали 😊 Что характерно, у нас тоже нередко звучат такие советы. Мол, напишите анонимку во ФСТЭК (или поднимите размер штрафов), пусть они придут и проверят организацию на предмет ИБ, выдадут предписание об устранении и вот тогда-то руководитель ИБ и заживет как человек, получит все необходимые ресурсы и статус. Ага, щаз.

Без понимания того, как работает бизнес, как зарабатывает и теряет деньги, что прибыль может прекрасно сочетаться с убытками в один и тот же год, как формируются денежные потоки, какие интересы у ключевых лиц, принимающих решения, ничего не изменится. "Говорить на языке бизнеса" - набившая оскомину фраза, но она подразумевает именно это. Чтобы заинтересовать топ-менеджмент вопросами ИБ надо думать как топ-менеджмент или хотя бы стремиться к этому. А запугивать его - будет только хуже.

Пост Лукацкого

06 мая 2023 15:15

Беда пришла откуда не ждали. Google планирует отказаться от символа замочка в браузере, заменив его на нейтральный (см.👆). В Гугле провели исследование и считают, что символ замочка 🔒 уже не отражает исходного смысла и не гарантирует защищенности сайта.

А вытекает из этого очень важная история, а именно, необходимость переобучения пользователя (когда символ замочка заменят) и переделку всех курсов обучения и тренингов повышения осведомленности, в которых этот замочек - один из основных элементов, на который надо обращать внимание при Интернет-серфинге.

ЗЫ. Устои рушатся 😱

Пост Лукацкого

06 мая 2023 08:40

Ну что за идиотская манера принижать инциденты, произошедшие у себя? "Злоумышленник получил доступ", но это "якобы взлом". "Утекли персональные данные", но "ущерба нет".

Это инциденты, как ни крути. Они могут не быть недопустимыми событиями, - это так. Но они остаются инцидентами! В этом-то и преимущество недопустимых событий - не всего, что у вас плохого происходит в ИБ, надо бояться. Есть вещи, которые действительно не приводят к серьезным негативным последствиям. И надо это прямо и заявлять. А не вот это вот дурацкое "хакеры к нам влезли, но это не инцидент"...

Пост Лукацкого

05 мая 2023 16:05

Инструмент, позволяющий идентифицировать набираемый на клавиатуре текст по звуку клавиш 😮 Не логиньтесь в приложения и сервисы во время видеоконференций и конфколов (или отключайте звук) 🫡

Пост Лукацкого

05 мая 2023 11:37

С днем шифровальщика! Вообще их несколько в России празднуется - один осенью и он военных шифровальщиков. А второй (есть и еще) весной - он связан со спецслужбами. Так что всех причастных с праздником!

Пост Лукацкого

05 мая 2023 06:40

Написал статью для ежегодного Positive Research с обзором основных направлений нормативного регулирования в ушедшем 2022-м году (еще иногда возвращаюсь к норматике, но все реже и реже). К PHDays сборник выпустят, а пока одна иллюстрация с указанием числом НПА по каждому из направлений.

Речь идет только об ИБ; никаких ИТ, цифровой экономики или смежных тем. Хуже всего, конечно, живется финансовым организациям, на которых как дамоклов меч навис ЦБ со своей нормативкой. На втором месте, с небольшим отрывом от лидера, находятся ПДн. Вроде бы уже можно было успокоиться, но нет, - регуляторы строчат нормативку по ПДн. И это они еще законопроект по оборотным штрафам не приняли. Замыкает тройку предсказуемо тема критической инфраструктуры.

Всего же было принято 206 нормативных актов в области ИБ и персональных данных. Рабочих дней в прошлом году было 247; так что получается, что почти каждый рабочий день года без малого выходил какой-то закон, постановление, приказ, указ, положение, указание и т.п. А если посчитать сюда еще и проекты, то картина станет и вовсе устрашающей. Когда тут заниматься результативным кибербезом в интересах бизнеса и госуправления? А некогда. Зато целлюлозно-бумажная промышленность работает отлично; хотя и белил для бумаги не хватает.

Пост Лукацкого

04 мая 2023 16:45

Тут я завис. Ну ладно, сценарий несанкционированного доступа хакеров к средствам редактирования генов CRISPR/Cas9 с последующим внесением изменений в ген и уничтожения урожая, создания мутантов, гибели людей и т.п. я еще могу в своем воспаленном сознании предположить. Но создание генно-модифицированных бактерий, заражающих компьютерные сети и устройства?.. Это либо классические "ИИ-галлюцинации", либо у ChatGPT был очень интересный датасет для обучения и мы чего-то еще не знаем.

ЗЫ. Это, если что, я к секции "Угрозы 2030. Что может стать недопустимым?" (модерирует Руслан Юсуфов) на грядущем PHDays готовлюсь (нефинальный вариант программы уже опубликован). И влияние кибербеза на биотехнологии - это только один из рассматриваемых векторов.

Пост Лукацкого

09 мая 2023 16:21

В Европе сегодня запускают новый центр компетенций по ИБ. Европейский. В довесок к центру компетенций НАТО (CCDCOE). Новый будет в Бухаресте, «старый» размещен в Таллине. Европа, как мне кажется, начинает отходить от своего «старшего брата» и хочет выстраивать свою политику, не только внешнюю и военную, но и в киберпространстве.

Пост Лукацкого

09 мая 2023 11:17

На самом первом PHDays я рассказывал про нормативку и про публичные примеры кибервойн, когда одно государство атакует другое. Атака на Газпром в 1982-м, "Лунный лабиринт", "Титановый дождь", "Аврора", "Сад", ну и, конечно же, Stuxnet. Но 12 лет назад приходилось по крупинкам собирать то, что сегодня происходит ежедневно и уже особо и не скрывается.

Одни государства пестуют киберармии в других, обучают их, снабжают технологиями и знаниями, а то и вовсе руководят. Арсенал, в свое время существовавший только у спецслужб, сегодня доступен многим. Деяния в киберпространстве, приводящие к существенному ущербу и недопустимым событиям, поощряются, а их авторы не наказываются. Можно только фантазировать о том, что будет еще через 12 лет...

Пост Лукацкого

08 мая 2023 20:41

Коллеги подогнали презентацию проекта IPv17, датированную 2012-м годом, которая объясняет, что же предлагается под соусом протокола, соответствующего решениям ООН, требованиям ITU и рекомендациям IETF.

Пост Лукацкого

08 мая 2023 17:42

Если кому интересно, то презентация RUSTP/UDTP от 2019 года обнаружена здесь. На слайде результаты теста.

Пост Лукацкого

08 мая 2023 15:56

Израильтяне делают «Киберкупол» (по аналогии с ПВОшным «Железным куполом») на базе DNS и хотят его предлагать своим компаниям из разных сфер экономики. Англичане такое же для своих госорганов предлагают. Бесплатно

Пост Лукацкого

08 мая 2023 08:40

Gazprom Locker?! Все как в реальной жизни - все заблокировано, требует денег, еще и шантажирует ростом цены.

Пост Лукацкого

07 мая 2023 17:21

Многие DDoS-атаки, о которых хвалятся хакерские группировки с двух сторон, похожи на это видео. На первый взгляд выглядят страшно, но на самом деле - "встал, отряхнулся и пошел". Ну кто-то схватит PRа немного, но, в целом, простой в течение даже нескольких часов для большинства опубликованных целей никакого ущерба не несет...

Пост Лукацкого

07 мая 2023 12:13

Фишинг на тему коронации сменился шуточками на ту же тему 👑

Пост Лукацкого

06 мая 2023 19:21

Пару дней назад был международный день пароля. Недорогой подарок к такому дню мог бы выглядеть так 🎁 Еще бы строка для номеров карт, CVV и PIN-кодов и подарок был бы просто бесценный; ничего не забудешь.

ЗЫ. Ну а сегодня празднуется Всемирный день голого садовода, День травы, День встречи с Белым рыцарем и коронация дождавшегося все-таки Чарльза (а он ждал своего «Оскара» дольше Ди Каприо). У вас еще есть время отметить 🎉

Пост Лукацкого

06 мая 2023 12:29

Помню, в прошлой жизни, была у нас история с найденной на сайте уязвимостью в процессе аутентификации, которая могла стать причиной утечки пользовательских паролей (2-х миллионов паролей, к слову). Мы тогда тоже принудительно сбросили всем пароли, чтобы пользователи сайта завели себе новые. А бывает и так, что инцидент произошел, но тебе не хочется об этом говорить публично. Поэтому ты преподносишь это как механизм за(бо|щи)ты клиентов. Тоже путь…

Пост Лукацкого

05 мая 2023 19:14

«Хакерская империя»: Китай выпустил доклад про кибероружие ЦРУ

Устали от американских обвинений в кибератаках в адрес России, Китая, Ирана, КНДР? Можно почитать свежий отчёт с китайской стороны. Документ был опубликован вчера от имени Национального центра реагирования на компьютерные вирусы (CVERC) и инфобез-компании Qihoo 360 (оригинальная ссылка открывается только из Китая, видимо). Про него написали китайские медиа, а МИД Китая призвал США «ответить на озабоченности международного сообщества и перестать использовать кибероружие для шпионажа и кибератак по всему миру».

Во вступлении доклада рассказывается про поддержку ЦРУ цветных революций — от Мьянмы до Украины. «Поскольку бывшая госсекретарь США Мадлен Олбрайт считает Интернет ключом к победе над Китаем, на самом деле "цветные революции" были подогреты западными державами с помощью интернета». (Хорошо известно, что любая угроза безопасности может считаться национальной, только если она связана с именем скончавшейся год назад Мадлен Олбрайт.) Далее перечисляется инструменты, которые США якобы предоставляли протестующим в разных странах: TOR, Speak2Tweet, RIOT, некую технологию stampede, разработанную RAND Corporation, а также противоцензурную систему.

Однако вступление про цветные революции мало связано с остальным докладом. Основное содержание излагается во второй и третьей частях. Если коротко, то китайские специалисты утверждают, что им удалось найти реальные случаи использования против организаций в КНР тех инструментов ЦРУ, которые попали в утечку Vault7 в 2017 году. Так, Qihoo 360 ещё в 2020 году писала о группировке APT-C-39, которую компания связывала с ЦРУ.

Во второй части кратко описано, какие инструменты из Vault7 смогли найти исследователи. Третья и, наверно, самая любопытная часть содержит некоторые подробности расследования, проведённого китайскими специалистами.

Например, здесь утверждается, что ЦРУ в основном проводили атаки с использованием бесфайловых программ, но криминалистам удалось найти способ и получить образцы кода.

Ещё одна история: исследователям удалось случайно получить используемый ЦРУ инструмент для кражи данных. И оказалось, что это один из инструментов из ANT catalog'а — утечки АНБ 2013 года. Из этого делается вывод, что либо АНБ и ЦРУ атакуют одни и те же цели, либо они делятся друг с другом инструментарием. Стоит добавить, что в адрес АНБ Qihoo 360 выдвигала обвинения прошлой осенью.

Авторы доклада утверждают, что у ЦРУ есть несколько разновидностей кибероружия, способного отключать коммерческие антивирусы.

Не могу с уверенностью сказать, насколько реально много тут новой информации. Например, в докладе упоминается атака на роутеры MikroTik, но это просто пересказ истории из Vault7.

В заключении делается вывод о том, что американская кибергегемония распространяется по всему миру, и поэтому США по праву нужно признать «хакерской империей»

На официальном сайте CVERC у доклада стоит приписка — «Часть первая». Ждём продолжений?

Пост Лукацкого

05 мая 2023 13:30

Представьте, что кто-то разместил вкусную вакансию от вашего имени и собирает резюме кандидатов, становящихся затем жертвой фишинга. А на вас валятся все шишки и недовольство пострадавших. Да, виноваты они, но они никогда в этом не признаются и валить все будут на вас.

Хорошей рекомендацией будет повышение осведомленности потенциальных кандидатов на работу к вам в части процесса найма персонала в вашей компании!

Пост Лукацкого

05 мая 2023 10:09

Лишнее напоминание, что прохождение аудита/сертификации/аттестации по требованиям какого-либо стандарта/закона/приказа совсем не гарантирует реальной безопасности, оценить которую можно только в реальном инциденте (но лучше не надо, конечно) или его эмуляции через пентесты или Bug Bounty. Не хочу умалять достоинств бумажной ИБ (все-таки процессы она помогает иногда выстраивать, если бумага написана грамотно), но результативный кибербез определяется точно не количеством полученных сертификаций.

Пост Лукацкого

04 мая 2023 20:14

Если вы мало спите, то у вас ухудшается здоровье. Это вроде не новость. Но если конкретно, то во время недосыпа у вас хуже работает процесс принятия решений и в такие моменты не рекомендуется решать важные задачи (например, строить свой SOC или уходить в MDR, покупать акции 🟥 ;-) или обновлять свое личное авто, уволнять нерадивого админа или полностью запрещать удаленку), так как нужные доли головного мозга не задействуются из-за их "тормознутости".

ЗЫ. На фото показана активность мозга в нормальном состоянии (слева) и при недосыпе (справа).

ЗЗЫ. Вы, кстати, в первые пару месяцев после начала СВО не принимали важных решений? Не хотите на них посмотреть под новым углом? Верны ли они были? А то одним из популярных вопросов на ИБ-конференциях того времени был "Много ли вы спали в последнее время?"

ЗЗЗЫ. Я не призываю становиться нейробиологом или даже проходить курсы по нейробиологии; просто к разговору о том, какие знания и навыки нужны современному ИБшнику в своей работе.

Пост Лукацкого

04 мая 2023 14:08

👨‍💻 Уверены, что если в фильмах присутствуют хакеры, то в 99% случаях они будут использовать трояны — это вредоносные файлы, которые попадают в систему под видом легитимных (торренты, привет) и могут выполнять разные функции — шпионить, красть учетные данные, загружать и устанавливать другие вредоносы.

Поэтому центральным арт-объектом киберфестиваля Positive Hack Days 12 в Парке Горького 19 и 20 мая станет троянский конь, которого поражает копьем «КиберГеоргий» ⚖️

📸 Сфоткаться рядом с ним и заглянуть внутрь смогут все желающие: он будет расположен в кибергороде и станет частью квеста, в котором нужно будет найти и исправить уязвимости в разных элементах инфраструктуры цифрового города (и получить за это ценные призы!).

🕵️‍♀️ Внутри футуристичной инсталляции вы сможете узнать о крупных кибератаках прошлого (в том числе и с использованием троянов), а также как защититься от подобных атак в обычной жизни и онлайне.

Это только один из арт-объектов киберфестиваля! О других мы расскажем в ближайшее время 😏

#PHD12