alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Экс-замгубернатора Смоленской области развели на 6,5 млн рублей, пока он отдыхал в Крыму. Раньше он отвечал в регионе за цифровизацию и IT-безопасность.

До весны 2023 года Николай Кузнецов работал на должности замгубернатора и курировал в регионе в том числе информационную безопасность. После увольнения Кузнецов рассказывал в интервью, что остался работать в администрации области на должности советника-эксперта. По данным источников «Базы», мошенники связались с Кузнецовым 29 мая. Неизвестные убедили чиновника, что его накопления под угрозой и деньги необходимо срочно перевести на безопасный счёт.

Кузнецов поверил звонившим. Чтобы «обезопасить» деньги, ему пришлось прервать отпуск — из Крыма чиновник поехал в Анапу и Новороссийск, где находились указанные преступниками «безопасные» платёжные терминалы. Через них он отправил 6,5 млн рублей, а затем вернулся в Крым.

После этого Кузнецов догадался, что его обманули, и обратился в полицию.

Читать полностью…

Пост Лукацкого

Я тут часто писал про уязвимости в решениях Fortinet, но они не единственные из зарубежных производителей МСЭ страдают 🤬 В середине апреля Cisco Talos опубликовал у себя в блоге пост о том, что они наблюдают кампанию, нацеленную на подбор паролей VPN-устройств Cisco, Checkpoint, Fortinet, SonicWall, Mikrotik, Draytek, Ubiquiti. На днях, 27 мая, Checkpoint выпустила бюллетень, в котором рассказала об успешных атаках на некоторых своих клиентов, у которых на устройствах включен VPN или мобильный доступ 🚠

Самое интересное, что вендор пишет о возможности реализации атаки из-за нерекомендуемого способа аутентификации. Но если он не рекомендуется, то, глядь, какого рожна он не отключен? 😔 Что мешает просто отключить эту возможность в ПО и на тестах проверить невозможность ее использования? Это же вообще не проблема - не надо ничего нового добавлять. Это вам не квантовое распределение криптографических ключей в VPN-решение внедрять. Тут надо просто взять и отключить одну процедуру в коде и убрать галку из графического интерфейса. Всего делов-то... 🧑‍💻

Интересно, что Checkpoint не подписал меморандум CISA с 68 вендорами об обязательном включении MFA и отказе от использования паролей по умолчанию в продуктах ИБ. Интересно, почему?

Читать полностью…

Пост Лукацкого

Отдельные военные аналитики пишут, что в очень скорой перспективе мы столкнемся с качественно более мощными атаками БПЛА 🚀 на критически важные объекты на территории России (не путать КВО с ОКИИ). И текущий ресурс МинОбороны, сосредоточенный на защите собственных объектов и ведении боевых действий не способен будет эффективно защищать еще и воздушное пространство внутри страны. Росгвардия 👮‍♂️ будет в том же положении; в то время как противник сейчас только нащупывает слепые пятна в воздушной обороне, ищет слабые места и т.п. И стоят за всем этим не жаждущие мести отдельные граждане сопредельного государства, собирающие дроны у себя в гаражах, а вполне себе профессиональные службы МинОбороны, ГУР и т.п. Поэтому противостоять им службы безопасности различных НПЗ, ТЭЦ и т.п. самостоятельно не в состоянии 🤷‍♂️

Как следствие, согласно прогнозам, через несколько месяцев нас ждет рост числа атак со стороны БПЛА на все большее число критически важных объектов 🏭, что может привести к дефициту топлива и выходу из строя энергоснабжения, что, в свою очередь, может повлечь за собой отключения систем ИБ на предприятиях в целях перераспределениях дефицита электричества на более приоритетные системы и объекты. И есть подозрение, что за такими атаками БПЛА могут следовать и скоординированные теми же структурами кибератаки 😷

Отсюда возникает несколько вопросов, на которые каждый должен дать себе честный ответ:
1️⃣ Готовы ли к обнаружению и отражению атак в условиях отключения некоторых из ваших средств защиты? Насколько у вас реально реализован принцип эшелонированной обороны? 🛡
2️⃣ Тестировали ли вы работоспособность вашей системы ИБ (и вашей команды) в условиях внезапного отключения электричества? 💥
3️⃣ Есть ли у ваших ключевых средств защиты (кстати, вы знаете, какие из всех ваших средств защиты наиболее эффективны и должны отключаться в последнюю очередь?) резервное энергоснабжение? 🔋

ЗЫ. Не зря тут и тут говорится про физическую безопасность, которая является частью компетенций и сферой ответственности CISO.

Читать полностью…

Пост Лукацкого

В поиске работы я не нахожусь и это не случайно 😎 Но предложения интересные прилетают. Вот тут в Китай 🇨🇳 позвали преподавать.

Всегда хотел, чтобы студентки третьего курса, которые, как известно из древнего анекдота, не стареют никогда, называли меня "Профессор" или, в данном случае, "Чжаошу" (教授) 😇

Читать полностью…

Пост Лукацкого

На обычных мероприятиях по ИБ обычно настолько плотный график, что не всегда даже основные темы по ИБ успеваешь вставить, что уж говорить про смежные. Но PHD2 - мероприятие было необычное и поэтому я реализовал то, что давно хотел сделать, - поговорили с авторами разных книг по ИБ ✍️ о том, как они дошли до жизни такой, как выбирали темы для своих книг, как засталяли себя писать, как боролись с синдромом самозванца, сколько заработали на своих творениях, как публиковались зарубежом и много о чем еще. Так что если вы стояли перед вопросом - писать или нет, то, надеюсь, эта дискуссия даст вам нужный толчок! 🫵

Читать полностью…

Пост Лукацкого

В жизни тоже бывают недопустимые события. И для каждого они свои 🙃

Читать полностью…

Пост Лукацкого

Ходят разговоры, что Snowflake ❄️ взломали, но сама компания это отвергает, ссылаясь на то, что они не видят никаких подтверждения наличия уязвимостей, ошибок в конфигурации или взломов своих продуктов, включая облачные 🖥 В утечку учетных записей заказчиков они тоже не верят. Взлома API не было. А вот взлом демо-учетки бывшего сотрудника Snowflake был зафиксирован, но, как обычно, "никакого доступа к чувствительной информации не было".

Схожая история была с атакой на тестовое окружение Microsoft и сначала тоже, якобы ничего серьезного. Так что подождем развития событий, которые не заставят себя ждать, так как:
взломали крупнейшего в мира продавца билетов Live Nation (TicketMaster), о чем он уведомил Комиссию по ценным бумагам (еще и Santander Bank так же взломали)
Live Nation утверждают, что взломали их через облачного провайдера (между строк говорят про Snowflake)
Snowflake, как утверждают, взломали через инфостилер Luma Stealer
Snowflake пока все отрицает. Ждем…

Читать полностью…

Пост Лукацкого

А вот и анонс SOC Tech появился. В прошлом году эта конфа, организованная впервые, была посвящена обнаружению и реагированию на инциденты с подрядчиками (supply chain attack) 🔍 В этом году организаторы хранят интригу по поводу заглавной темы. Ну и я раскрывать секретов и поднимать завесу тайну тогда не буду. Но должно быть интересно 💃

Читать полностью…

Пост Лукацкого

После PHD2 мы получили массовые запросы на передачу архивов курса по базовому кибербезу 🛡, чтобы положить их в корпоративную библиотеку для обучения собственных сотрудников на рабочих местах. За 9 дней с момента выкладывания первого ролика из серии, на VK его посмотрели уже более 100 тысяч раз 😲 Делюсь ссылками на оба курса, которые мы выложили в формате SCORM для загрузки их в свои LMS:
👩‍🏫 Базовая кибербезопасность
👩‍🏫 Личная кибербезопасность

ЗЫ. Ссылки ☝️ ведут на портал Positive Education. А ссылки на эти видео на 📱 ptsecurity">вот

Читать полностью…

Пост Лукацкого

На ИТ-конференции, в понедельник, неизвестные создали фальшивую точку доступа 👴 и заманивали на нее ничего не подозревающих участников. Именно поэтому, когда меня спрашивают в рамках курса по персональному кибербезу, как защитить Wi-Fi (не домашний), моя первая рекомендация всегда касается полного отказа от беспроводного доступа.

В большинстве городов он не нужен - LTE 📡 работает достаточно неплохо и полностью заменяет необходимость подключаться к непонятным точкам доступа. Да, создать фейковую базовую станцию тоже можно, но все-таки это требует бОльших ресурсов, чем фальшивый 👎 Wi-Fi.

А уж на ИТ/ИБ-конференциях подключаться к беспроводной сети?.. Я даже на PHD2 не подключался к нему, помня прежние фокусы и конкурсы, которые там устраивались, а потом кто-то выкладывал на Хабре или Секлабе статью с унизительным разбором паролей и посещаемых безопасниками сайтов 🍓

Читать полностью…

Пост Лукацкого

В мире насчитывается около 1,3 миллиарда человек с различными видами ограниченных возможностей, к наиболее часто встречающимся из которых относятся сложности передвижения 👨‍🦽, нарушение зрения или слуха, а также сложности с обучением и мышлением. У Microsoft 📱 был интересный доклад на RSAC, где они рассказывали, как надо включать специалистов по доступности в команды разработки, включая и службы ИБ 😮

Возьмем в качестве примера CAPTCHA. Попробуйте закрыть глаза и найти все картинки с пожарными гидрантами или автобусами. Если это CAPTCHA без голосовой поддержки, то у вас не получится 🤖 и вы не сможете войти в нужную систему. А во время COVID-19 вы пробовали проходить биометрическую аутентификацию по лицу в маске? 🎭 А представляете с какими сложностями сталкиваются люди с утраченными конечностями или атритром рук при прохождение аутентификации по геометрии ладони? 🖐

Microsoft рекомендует следующее:
1️⃣ Необходимо включать сразу несколько методов ввода той или иной информации (голос, клавиатура, касание...), например, в подсистемах аутентификации.
2️⃣ Предлагайте альтернативы или удлиняйте таймеры для решения задач с CAPTCHA, например. Не все способны их решать мгновенно ✍️
3️⃣ Не блокируйте пользователей за нестандартные взаимодействия с системой; возможно это их особенность связана с ограниченными возможностями.
4️⃣ Следуйте руководствам Web Content Accessibility Guidelines (WCAG), которые описывают правила проектирования систем для людей с ограниченными возможностями.
5️⃣ Используйте понятный и простой язык, не жаргон 😱
6️⃣ Поясняйте иконки, используйте alt на сайтах для подписи картинок, текстовые метки для цветовых маркировок (например, в SIEM надо не только красным и зеленым помечать события, но и подписывать их "опасно" и "норма", вводя новую колонку) 🎮
7️⃣ Пользователи должны иметь возможность сообщать о проблемах с доступностью 💬

Читать полностью…

Пост Лукацкого

Вопрос ценообразования по ту сторону баррикад, конечно, очень занятная история. Вот берем три примера (на первом слайде с моего выступления на PHD2). Во всех трех случаях продается доступ к устройствам Fortinet 💻 В первом случае доступ стоит 0,003% от оборота компании, в третьем - 0,006%, а во втором - 0,00004%. Почему такое отличие? И как вообще коррелирует оборот компании от стоимости уязвимости/эксплойта/доступа? Плохие парни переходят на "оборотную модель" раньше РКН, но по аналогии с GDPR? 🤑

На второй картинке стоимость близка первому и третьему кейсу - 0,008% от оборота в 12,5 миллиардов долларов. В абсолютных значениях, по текущему курсу биткойна, - это около 1 миллиона долларов. Интересная картина, конечно... Надо попробовать подсобрать стоимости продаваемых доступов 🦺 и сопоставить с оборотами жертв; возможно будет какая-то корреляция. Ну а пока я бы, оооочень условно, ориентировался бы на усредненное значение в 0,006% от оборота, как сумма, в которую обходится продажа доступа в современную компанию 💸

Читать полностью…

Пост Лукацкого

Жертва из кейса ☝️, конечно, попыталась пояснить, что все требования законодательства она выполнила 😅 и все необходимые сертификаты и лицензии у нее есть, но этим она сама себя загоняет в угол, как мне кажется. Во-первых, иметь сертификаты на все средства защиты сегодня физически невозможно 😯 А, во-вторых, признавая выполнение защитных мер и наличие лицензий, компания сама признает, что она готовилась к атакам. Откуда же тогда непреодолимая сила? 🤦‍♂️ Тем более, что требования регуляторов (ФСТЭК и ФСБ) позволяют защититься от шифровальщиков, если их правильно исполнять.

В общем, будем посмотреть... Интересный кейс. Если им удастся это провернуть, то у компаний-жертв инцидентов ИБ, появится прекрасная отмазка помимо "это не у нас, ви фсё врёте" 🍿

ЗЫ. И, как всегда, спасибо подписчикам, которые подкинули этот кейс 🤝

Читать полностью…

Пост Лукацкого

Интересная концепция "пяти P", которая предлагает фокусироваться в первую очередь на обеспечении пяти ключевых направлений ИБ в любой организации, которые позволяют сильно поднять уровень ИБ в организации:
1️⃣ 🔤assword (пароли). Выбирайте надежные пароли и используйте многофакторную аутентификацию.
2️⃣ 🔤rivilege access (привилегированный доступ). Ограничьте число людей, имеющих привилегированный доступ, а также поставьте их на дополнительный мониторинг.
3️⃣ 🔤atching (патчи). Вовремя обновляйтесь!
4️⃣ 🔤hishing (фишинг). Защищайтесь от основного вектора реализации атак - фишинга.
5️⃣ 🔤entests (пентесты). Проверяйте на практике, как вы защищены!

Когда у вас конь не валялся в ИБ и надо с чего-то начать, эти 5 пунктов могут вполне себе быть той точкой отсчета, которая обеспечит правильное движение в сторону защищенной организации.

Читать полностью…

Пост Лукацкого

Proton, тот который за самую безопасную и анонимную почту ✉️, выдал данные своего пользователя правоохранителям. Telegram заблокировал украинские каналы, в которых обменивались данными целей для атак дронами. РКН начал блокировать VPN-сервисы и протоколы 🚠 У авторов одной из вредоносных программ отозвали SSL-сертификат... Любая централизация и перекладывание решаемой задачи на чужие плечи может привести к тому, что по решению властей это может прекратить свое существование очень быстро, а личности стоящих за исходной задачи будут раскрыты 🎭

И это заставляет меня задуматься о том, что злоумышленники 👺 могут перестать использовать простые и очевидные пути решения своих задач (обычная почта или мессенджер, глобальные УЦ, популярные VPN-сервисы и т.п.) и начнут "пилить" собственные решения 👨‍💻, активно использовать P2P-архитектуры, многократно усложняя свое обнаружение и нейтрализацию...

Читать полностью…

Пост Лукацкого

Никогда такого не было и вот опять!

ЗЫ. Спасибо подписчику 👍

Читать полностью…

Пост Лукацкого

Про скорую помощь от НКЦКИ пострадавшим от инцидентов ИБ я уже писал, а теперь можно посмотреть и само видео этой дискуссии c PHD2. Там есть много всякого относительно инициатив НКЦКИ и Минцифры в области ИБ для граждан, но, к сожалению, я не успел задать все вопросы, которые подготовил участникам 🤐 Но впереди еще много мероприятий - отыграюсь там.

Читать полностью…

Пост Лукацкого

Стадионы 🏟 собирал, в плавках на сцену перед тысячами людей выходил… Какой бы еще челендж замутить, чтобы жизнь разнообразить еще больше 😂🤡😎

Читать полностью…

Пост Лукацкого

Очередная карта компетенций, которыми должен обладать специалист по кибербезу

Читать полностью…

Пост Лукацкого

Про меня тут в арабской прессе пишут ✍️ Всякое пишут. Неверное. Мол, зовут меня Алексис, а фамилия моя Позитев 😂 А еще, что я генеральный директор компании по кибербезу 😔 И что я один из всемирно известных специалистов по ИБ.

И согласиться я могу только с последним тезисом 👍 Ну и с Алексисом - так меня иногда звали зарубежные коллеги. А вот остальное… Надо провести расследование. Не открыл ли кто на мое имя в каком-нибудь бахрейнском ЕГРЮЛе конторку по ИБ? А может у меня брат-близнец 😎, с которым меня в младенчестве разлучили, объявился, и он тоже выбрал стезю ИБшную? 🤠

Вопросов много. Но точно я могу сказать только одно - перед арабской аудиторией я точно выступал; не раз. И надеюсь еще буду. Ин ша Аллах…

Читать полностью…

Пост Лукацкого

Демократия - это хорошо, но нацбезопасность и интересы государства будут везде и всегда превыше всего 🫡 И любые разговоры про конституционные права человека - это звиздёж и хороши только на мероприятиях про DLP и в тематических чатиках 😝

Читать полностью…

Пост Лукацкого

А это еще один часто дискутируемый вопрос - "За какие сферы отвечают CISO?" Только ли классическая история с обнаружением и предотвращением угроз (A&E), а также соответствие требованиям? Или все-таки есть иные сферы ответственности? И если есть, то какие они? 🤔

На RSAC был дан ответ на этот вопрос в виде результатов исследования (предыдущая заметка оттуда же), в котором мы видим, что бывают CISO, которые не отвечают за обнаружение 👀 и предотвращение угроз (это ИТ-функция), но при этом отвечают за AppSec, Identification & Authentification Management (IAM), продуктовую безопасность, приватность и непрерывность бизнеса. Я, кстати, знаю таких и у нас в стране 🇷🇺

Самая редка зона контроля - борьба с мошенничеством 😮 На втором месте с конца - физическая безопасность ‼️ Так что, когда вы будете рассуждать о том, что включает в себя работа ИБшника, то помните, что есть те, кто берет на себя больше привычного (но и получает тоже больше). У нас бывает и так, что CISO отвечают за лифтовое хозяйство. Вы же в курсе, что за ввод в эксплуатацию лифтов у нас в стране отвечает ФСБ? (и это не шутка) И есть организации, в которых на ИБшников вешают все, что связано с ФСБ 😱 Американцам такое и не снилось 😴

Читать полностью…

Пост Лукацкого

Есть несколько вопросов, которые задаются из года в год и при этом не имеют однозначного ответа. Это "сколько тратить на ИБ от ИТ бюджета", "кому должна подчиняться ИБ?" 😦 и, конечно же, "какой должна быть структура подразделения ИБ". Вот тут вам пример службы ИБ в зависимости от масштаба компании. Конкретные подразделения скрываются на схеме за ролями их руководителей 🫡

ЗЫ. A&E - это Architecture & Engineering.

Читать полностью…

Пост Лукацкого

В ИБ очень важно понимать и учитывать контекст... Иначе можно наломать дров! 💡

Читать полностью…

Пост Лукацкого

Парадокс тренингов по личному кибербезу для больших начальников. Ты им про зеродеи, зероклики, АНБ, обходы UAC, написание кастомных вредоносов, многоходовые кампании… 🇺🇸 А они тебя постоянно спрашивают: «А как защитить телеграм от угона?» 📱, «А правда ли, что ФСБ меня слушает?» (правда 😂), «А вот мне позвонил майор 👮‍♀️, что спросить, чтобы понять, что это мошенник?»… 🎩

Утрирую, конечно. В реальности все немного не так. Однако разрыв в знаниях между аудиторией и спикером обычно огромен. Второй уже давно ушел вперед и ему, как правило, неинтересно в стопицотый раз рассказывать то, что он маме рассказывал несколько лет назад, а первые все еще топчатся на месте и не знают, как запоминать пароли по правилам, которые для них установили их ИБшники 🤦‍♂️

Все-таки в любом тренинге важны не знания тренера как профессионала, сколько умение донести информацию правильным образом, на правильном языке, по много раз повторяя одно и тоже. Это особый труд и умение 👨🏼‍🏫👩‍🏫

Читать полностью…

Пост Лукацкого

Люблю такое ❤️ Не скучные, безликие блокноты из соседнего «Комуса», а что-то осмысленное и с полезным контентом. Сидишь на обучении, строчишь ✍️ заметки, а на подкорку пишется - «включи второй фактор в Telegram», «обновляй не только ОС, но и приложения и плагины к ним», «поменяй стандартный пароль у WiFi-роутера»… ℹ️

Сейчас обдумываю ежедневник для CISO с полезным контентом на каждый день. Если все сложится удачно, то будет прям неплохо 🔜

ЗЫ. К курсу по личному кибербезу этот блокнот отношения не имеет - курс проходит в онлайне, а блокнотик имеет вполне конкретную физическую форму 🗒

Читать полностью…

Пост Лукацкого

Попала мне тут в руки новая версия руководства по курсу "Как построить процесс управления уязвимостями". Я и про первую версию отзывался восхитительно, а уж во второй добавили еще больше практического контента, еще больше визуала, еще больше нового материала. Прям приятно в руках держать - увесистое издание, тянет на целую книжку.

Читать полностью…

Пост Лукацкого

Интересная история... Питерская компания столкнулась с шифровальщиком 🤒, который очень серьезно накрыл весь бизнес, заставив генерального директора компании даже опубликовать ✍️ официальное уведомление о невозможности компанией исполнять принятые на себя обязательства 😠 При этом компания ссылается на п.3 ст.401 Гражданского Кодекса, которая гласит, что

"лицо, не исполнившее или ненадлежащим образом исполнившее обязательство при осуществлении предпринимательской деятельности, несет ответственность, если не докажет, что надлежащее исполнение оказалось невозможным вследствие непреодолимой силы, то есть чрезвычайных и непредотвратимых при данных условиях обстоятельств."
😠
И мне, конечно, интересно, как компания будет доказывать факт чрезвычайности и непредотвратимости. Согласно постановлению Президиума ВАС РФ 👨‍⚖️ непреодолимая сила должна "исходить извне" (если это не история с внутренним нарушителем, как в другом известном инциденте последнего времени, то подходит) и зависеть от субъективных факторов. Иными словами, эта сама непреодолимая сила должна
☄️ "выходить за пределы нормального, обыденного",
☄️ не должна относиться к "обычному риску",
☄️ не может быть заранее "учтена ни при каких обстоятельствах",
☄️ должна быть "объективно, а не субъективно непредотвратима (в отличие от случая)".

И вот как отнести обычную хакерскую атаку 😷 к необыденному, к необычному, к неучтенному и к непредотвратимому, я не знаю 😔 Об этом говорится из каждого утюга и последние годы не проходит дня, чтобы про хакерские атаки и атаки шифровальщиков где-то да не написано было.

ЗЫ. Пункт меню "Удаленные рабочие места в облаке" в шапке заиграл новыми красками ☺️

Читать полностью…

Пост Лукацкого

А вот кому брутфорсер для решений Fortinet?..

Читать полностью…

Пост Лукацкого

Интересная история. Депутат Хинштейн обратился в Генпрокуратуру с просьбой инициировать иск о взыскании в пользу государства 60% акций башкирского оператора связи «Уфанет» 📡, а также о запрете продажи этих акций их владельцами, которые якобы проживают заграницей и имеют антироссийские взгляды. Депутат утверждает, что «Уфанет» имеет стратегическое значение, поскольку у компании есть лицензии ФСБ и ФСТЭК в сфере криптографической и технической защиты информации 🤦‍♂️

Ну ахренеть теперь... Если некто, владеющий ИБ-компанией, решит уехать из страны 😭, предварительно продав свой бизнес, государство у него этот бизнес может отжать?! "Прелестно-прелестно", как говорилось в мультфильме про попугая Кешу. Так вот и помогают развитию рынка ИБ в стране - один росчерк депутатского пера ✍️ и те, кто хотел получить лицензию ФСБ и ФСТЭК теперь 10 раз подумают, стоит ли. А без этого стартап у нас существовать не может.

Читать полностью…
Подписаться на канал