Пост Лукацкого

07 августа 2023 16:51

Приходите вы в самый-самый-самый банк страны. Менеджер (или менеджерша, или менеджерица?), вся такая вежливая, проводит к своему столу и предлагает установить мобильное приложение подсанкционного банка к вам на устройство 👨‍💻. И все бы ничего, но вот и пароль от самого лэптопа, и пароль от AppleID записаны на приклеенной к лэптопу же бумажке 👨‍💻. Правда, пароль длинный, со спецсимволами, все как полагается! 🧑‍💻 Но что-то все-таки не то в таком подходе...

Пост Лукацкого

07 августа 2023 10:04

В тему с сертификацией ФСТЭК вдруг подумалось 💭 Регулятор же рассматривает конкретное средство защиты, как самостоятельный комплекс, оторванный от всего; висящий в вакууме. Поэтому в требования прописывается чуть ли не максимум того, что вообще должен уметь продукт определенного класса. А ведь в реальности это не так. Мы строим систему защиты из говна и палок множества решений, коммерческих и open source, встроенных и наложенных. То есть отсутствие механизма защиты в одном средстве компенсируется его наличием в другом, возможно совсем иного класса. И покупая продукты, мы прекрасно понимаем, что не обязательно искать продукт «все в одном». А регулятор таких допущений себе позволить не может. В итоге, средство защиты по версии регулятора - это «олимпийский чемпион», который может то, что не нужно 95% компаний или это может быть реализовано в связке с другими решениями.

Пост Лукацкого

06 августа 2023 19:47

После фразы «из соображений безопасности мы не можем восстановить прежний пароль» можно было бы пошутить насчет «а хакеры могут», но не буду 🤔

А вот отмеченный красным фрагмент меня зацепил. Если я не запрашивал восстановление пароля, но при этом получил письмо с запросом на подтверждение, то это явно не то, что стоит игнорировать. Это как раз повод пойти и поменять пароль; так сказать, во избежание. Или, как минимум, написать в техподдержку; особенно если MFA у вас не установлен.

ЗЫ. Когда Литрес пишет, что утекли только e-mail пользователей, они, мягко говоря, звиздят лукавят. С помощью утекших паролей зайти в учетку элементарно со всеми вытекающими, мной описанными ранее. Когда они говорят, что они усилили уровень защиты и ужесточили контроль, то тут они опять звиздят лукавят. Усилить уровень защиты - это ввести MFA, генерить сложные пароли и не присылать их в открытом виде. И как они за сутки успели усилить и ужесточить, если даже до сих пор по своим клиентам не разослали никаких писем? Хотя напоминание о неоплаченных покупках слать не забывают.

Пост Лукацкого

06 августа 2023 16:01

Помню, у меня давно была идея о создании курсов английского с примерами из кибербеза, чтобы ученики постигали азы иностранного языка на привычных примерах и понятных текстах. И вот кто-то сделал.

ЗЫ. Сам пока не читал - она у меня в отложенных на Литресе была

Пост Лукацкого

06 августа 2023 08:40

SANS выпустил постер про реагирование на инциденты и их расследование на платформах macOS и iOS

Пост Лукацкого

05 августа 2023 22:44

Кто-то уже попытался вломиться в одну из моих учеток на Литрес 🧑‍💻. Учитывая, что двухфакторной аутентификации там нет, первичный пароль при заведении учетки они делают из 7 символов (и букв там нет), а пароль они присылают на e-mail в открытом виде 😫, то удивительно, как их раньше-то не взломали 🤔

ЗЫ. Поменяйте пароль!

Пост Лукацкого

05 августа 2023 16:43

Модель разделения ответственности применительно к инструментам искусственного интеллекта, разворачиваемых в разных локациях

Пост Лукацкого

05 августа 2023 08:40

Помню была у меня история много лет назад, когда я еще работал на Винде. Накрылся у меня жесткий диск; да так, что восстановить данные с него было нельзя, а я обращался к разным компаниям и людям по данному вопросу. Были безвозвратно потеряны данные примерно за полгода. Почему у меня не было настроено резервное копирование? Было, но я его отключил, так как на Винде оно работало через жопу, неудобно и очень медленно, постоянно приводя к тормозам на компе. В какой-то важный момент (видимо презу, как обычно в последний момент делал) я психанул и вырубил бэкап. А жесткий диск подвел... 💾

Потом я перешел на macOS, которая сделана для людей, и резервное копирование там настраивается в пару кликов и больше не требует никаких усилий со стороны пользователя (ну разве что проверять иногда, что бэкапы делаются). Позже, я включил еще облачный бэкап важных файлов, а потом и резервирование данных на локальный NAS. Да, я после того случая с потерей данных стал параноиком. Урок был извлечен, хотя он и был болезненный. 🤕

И вот философский вопрос. Какими должны быть уроки по кибербезу, чтобы мы их извлекали и делали правильные выводы? 👨‍🎓 Шифровать данные без возможности восстановления? Реально украсть в рамках пентеста и выложить в сеть ценные данные? ЗаDDoSить Интернет-магазин в канун Рождества и Нового года и потерять кучу бабла? Таки ввести оборотные штрафы и компенсации? Нет у меня ответа на этот вопрос. Возможно, потому что я слишком слабохарактерный...

ЗЫ. Это видео с примером урока плавания собрало в Интернете несколько тысяч комментариев, которые, понятно, можно поделить пополам - от "так и надо учить без всяких уси-пуси" до "что за зверь эта инструкторша, не пускать ее к детям больше никогда". Говорят, в советском детстве так многих учили плавать. Я не знаю - сам тонул дважды и в итоге научился как-то плавать без помощи 🏊🏻‍♂️ Но своих детей я так не рискнул «учить» 🤷

Пост Лукацкого

04 августа 2023 17:57

Для борьбы с атаками cache side channel на криптографические ключи и секреты разработали новый алгоритм шифрования SCARF

Пост Лукацкого

04 августа 2023 13:24

ФСТЭК утвердила давно ожидаемые многими требования к NGFW и СУБД. Но написать я хотел не о них, они скорее послужили причиной для заметки. Вспомним закон Гудхарта, который утверждает, что "когда мера становится целью, она перестает быть хорошей мерой". Давайте его рассмотрим на примере сертификации средств защиты информации. В идеальном мире (где он только?), где и органы по сертификации, и испытательные лаборатории, и потребители, и регуляторы знают, что и как делать (и делают все своевременно) сертификация позволяет подтвердить качество и функциональность продуктов ИБ. Но вот в реальности...

😕 С точки зрения многих потребителей им нужна не качественная защита, а сертифицированные средства, чтобы проверяющие не имели к ним претензий. То есть сертификат нужен, что не было проблем с надзором, а не с хакерами.
😕 с точки зрения испытательных лабораторий они оценивают безопасную разработку и функциональность продукта в соответствие с требованиями, а не тем, что происходит в реальном мире. То есть выданный сертификат говорит, что продукт соответствует бумаге, а не противодействует реальным атакам. Никто же не выставляет сертифицированные продукты на багбаунти или киберполигоны на постоянной основе 😞
😕 С точки зрения отдельных регуляторов (например, ЦБ) им проще сослаться на действующие требования по сертификации, а не расписывать что реально нужно в той или иной ситуации. То есть в условиях, когда система сертификации работает идеально, это работает. Но когда система отстает, то и все ссылающиеся на нее требования тоже.

Ну а пока у нас появляется два новых набора РД с требованиями по защите к СУБД и NGFW.

Пост Лукацкого

04 августа 2023 06:40

💅 Ничто не может остановить фанатов (и не только фанатов), желающих увидеть себя в роли Барби или Кена. И нужно-то всего ничего: скормить сервису на базе нейросети свое фото и указать электронный адрес. В этом-то и опасность. Почему? Сейчас расскажем.

Оставляя свои персональные данные в сети, вы участвуете в создании собственного глобального профиля, говорит Алексей Лукацкий, бизнес-консультант Positive Technologies по информационной безопасности.

Если сервис генерации барби-картинок продаст ваши фото и e-mail, их можно будет соотнести с массивом данных, доступных в интернете. И, если у вас есть привычка всюду указывать один и тот же адрес почты, очень скоро мошенники смогут узнать ваш номер телефона, привычки, примерный список покупок, набор устройств в системе «умного дома», следить за вашими профилями в соцсетях и многое другое.

А с помощью фото ваше изображение можно будет сравнить с другими, например сделанными системами видеонаблюдения. Так злоумышленники смогут узнать, посещаете ли вы театры и концерты, в какие магазины ходите, где паркуете машину и куда предпочитаете ездить в отпуск.

👣 О том, во что это может вылиться и можно ли «замести» свой цифровой след, читайте в колонке Алексея Лукацкого в «Российской газете».

Небольшой спойлер: просто не указывайте свой настоящий электронный адрес 😏

@Positive_Technologies

Пост Лукацкого

03 августа 2023 16:45

Новая пророссийская хакерская группа 🎸 Удачное позиционирование. Даже если ни хера не делать, никто претензий не предъявит. Во-первых, некому; они же неизвестные. Во-вторых, не за что; никто же не знает, что они делают.

Пост Лукацкого

03 августа 2023 10:01

Американская CISA предупреждает о повышении риска взлома The Sphere в Лас-Вегасе в связи с проведением в городе с 5 по 13 августа трех ИБшных конференций - Defcon, BlackHat и BSides. Регулятор США опасается размещения порнографии на огромном шаре. А я ведь предупреждал 😂

Пост Лукацкого

02 августа 2023 19:59

Ну уж если «блондинки» хотят на белых хакеров учиться... Хотя может их белый цвет привлекает 👩‍🦳

Пост Лукацкого

02 августа 2023 13:23

С помощью решений по ИБ южнокорейского крупного ИБ-вендора Genians оказались взломаны некоторые клиенты местных криптобирж. Похоже на supply chain атаку, но расследование только началось. Решения Genians активно используются в госсекторе Южной Кореи

Пост Лукацкого

07 августа 2023 13:36

ФБР, Европол и другие правоохранительные органы 👮🏿‍♂️ провели операцию по перехвату управления одной из площадок по организации DDoS-атак. Вот так заходишь утром в канал для получения очередных инструкций (это я не про себя, если что) и новых целей, а там тебя и 32349 твоих коллег уже ждут сотрудники в штатском ⚖️

Пост Лукацкого

07 августа 2023 06:40

Я, конечно, не экономист, но мне кажется действия или бездействие Центрального банка 🏦 сделали для импортозамещения на рынке ИБ гораздо больше всех остальных вместе взятых. При цене доллара в 60 рублей в ноябре 2022 года (при бюджетировании) можно было планировать покупку зарубежных средств защиты 🤑; даже из недружественных государств по параллельному импорту. Но при цене в 100 рублей 📉 за доллар это становится уже нецелесообразно и даже если не хотел (а отчет ЦСР показывает, что пока импортозамещение не так активно занимает умы потребителей в ИБ), то все равно придется смотреть в сторону отечественного производителя. Но...

Это приводит к снижению конкуренции и чтобы заставить отечественных вендоров заняться улучшением своих продуктов (с точки зрения функциональности, удобства, масштабирования, качества, поддержки и т.п.) их нужно пинком выпихивать на международные рынки 🌍, чтобы они вновь начали нормально конкурировать с иностранцами (даже если только и из дружественных стран). Но тут нам уже не поможет Центральный банк, который не занимается экспортопригодностью отечественных решений по ИБ. И самое печальное, что ни ФСТЭК, ни ФСБ, устанавливающие требования к продуктам ИБ, также не занимаются этим. У них нет в полномочиях задач, связанных с помощью в выходе наших решений на международные рынки. Это у нас функция Минцифры, но они за ИБ в этой части не отвечают.

Пост Лукацкого

06 августа 2023 17:34

Немного продолжает подплющивать от ситуации с Литрес. Слева пример сгенерированных ими паролей, который они присылают при регистрации (да-да, в открытом виде). Справа это уже я менял пароль (там не меньше 20 символов), но Литрес считает, что это они его сгенерили. Смешные…

Пост Лукацкого

06 августа 2023 12:29

Вот тут пишут, что женщины обладают врожденным инстинктом моделирования угроз и оценки рисков и грех не использовать это в кибербезе, в котором засилье мужиков и гендерный перекос 💃

Пост Лукацкого

05 августа 2023 23:24

С утра была дискуссия на тему, кому нужна эта дурацкая утечка Литрес, если там кроме логинов, хешированных паролей и почт особо ничего и нет. Даже истории покупок нет (по крайней мере в публично выложенном фрагменте). Но когда одну из моих пока еще неиспользованных и созданных три недели назад учеток подломили и я менял там пароль, то я увидел несколько сценариев, как плохие парни могут воспользоваться утечкой:
📕 Скачать все книги, которые вы купили и которые хранятся в разделе "Мои книги". Я по своей основной учетке прикинул - с 2008 года куплено 140 книг, то есть это под 75-90 тысяч рублей примерно. Потом эти книги можно выложить в паблик или продавать за платные смски. Если бы так взломали Amazon, то там у меня книг тысяч на 10-15; и не рублей.
📕 С Литреса можно выводить деньги. Раньше это работало и для обычных покупателей (можно было со своего счета вывести деньги), но сейчас, насколько я понял, это работает только для авторов самиздата на Литрес, а также для тех, кто озвучивает аудиокниги.
📕 Если у вас есть купоны и сертификаты Литреса, то, допускаю, что ими тоже можно воспользоваться.
📕 Если вы весь из себя добропорядочный семьянин, а покупаете на Литрес жесткое порно, то вот вам и тема для шантажа (я, правда, не знаю, есть ли там порно, но отметка о взрослом контенте в личном кабинете есть).

ЗЫ. А Литрес тупо молчит и ни пароли не сбросит, ни письма пользователем не разошлет. Выходные, чо...

Пост Лукацкого

05 августа 2023 19:36

Американские власти распространяют среди своих полицейских и других правохранителей ДСПшное предупреждение об опасности Flipper Zero 😈

Пост Лукацкого

05 августа 2023 12:41

У американцев наблюдается некоторый коллапс в медицинском обслуживании, который начался в четверг с обычного "инцидента с данными". Станции скорой помощи закрылись в ряде штатов. Многие медицинские системы отключены. Анализы крови не принимаются. Хирургические операции не проводятся. И такое происходит по многим штатам, в которых больницами заправляет холдинг Prospect Medical Holdings. Яркий пример, когда недопустимое событие одной компании превращается в отраслевое.

Пост Лукацкого

04 августа 2023 20:09

Сидишь в отпуске 🏝, а тут к тебе с бизнес-аккаунта москвичка родом из Гонконга в друзья лезет. Думал, скоротаю время в бассейне, пока электричество вырубили, но нет. После моего «мне 72, но я здоров как бык» интерес ко мне угас и общение прервалось. Наверное, она не любит животных 🐃

ЗЫ. Шо Хин - это китайский "Дед Мороз", кстати 🎅

Пост Лукацкого

04 августа 2023 16:34

Эксперты по ИБ за пределами РФ прям слюной исходят из-за этой временной шкалы, которая демонстрирует косяки на стороне Microsoft

Пост Лукацкого

04 августа 2023 10:03

Завелись тут осы на даче. Наткнулся случайно, когда косил газон и всколыхнул гнездо. Стал разбираться с тем, как бороться с ними. Нашел три способа - купить патентованное средство, конечно же дорогое, пригласить специалистов и сделать все своими силами и подручными средствами. Все как в ИБ - навороченные средства защиты, open source и аутсорсинг. Но пост не об этом, а о том как измерять эти три варианта. С одной стороны цель все равно одна (устранить ос) и именно ее достижение нам и нужно измерять. Но в ИБ же никто не хочет измерять отсутствие недопустимых событий (это ж непростая цель и для многих недостижимая). Поэтому все стремятся измерять что-то промежуточное.

И вот тут важно помнить, что когда вы выстраиваете систему оценки/измерения эффективности ИБ, то у вас должны быть разные показатели для оценки процессов, в которых участвует человек, и которые построены на использовании полной автоматизации? 5 минут на взятие инцидента в работу для аналитика первой линии - это вроде как и нормально. Но вот для SOC, в котором этот процесс полностью автоматизирован, это как-то многовато... И это еще мы не учитываем, что эти показатели будут отличаться для коммерческих решений и open source.

Поэтому бессмысленно искать в Интернете или у коллег «лучшие значения метрик». «Дай списать» тут не работает и придется самому оценивать текущие значения (сами-то метрики не так уж и важны), пути улучшения и потом уже целевые показатели. И зависеть они будут не только от уровня автоматизации, но и уровня компетенций аналитиков.

ЗЫ. Ну и про закон Гудхарта не забудьте; метрики - не самоцель.

Пост Лукацкого

03 августа 2023 20:04

Американцы вчера отметили национальный день книжки-раскраски. CISA тоже не осталась в стороне, выпустив свою ✍️

Пост Лукацкого

03 августа 2023 13:06

❗️Сегодня ночью произошел взлом соцсетей некоторых банков, в том числе и нашего.

Если вы перешли по ссылке из фейкового поста про акцию с 1win и оставили данные своей карты, то для безопасности ваших средств советуем временно её заблокировать.

Сделать это можно 3 способами:

1⃣ Через Уралсиб Онлайн.
Заходим в раздел «О карте» и выбираем пункт «Заблокировать карту».
2⃣ По телефону горячей линии +7 800 250-57-57
3⃣ Непосредственно в отделении банка Уралсиб.
Не забудьте взять с собой паспорт.

Главное — не затягивайте. Мошенники в любой момент могут расплатиться вашей картой или снять с нее деньги.

Пост Лукацкого

03 августа 2023 06:40

Я уже не раз писал о том, что у нас регуляторы в области кибербеза не только не дружат, но и достаточно активно конкурируют между собой, иногда даже перетягивая одеяло на себя. Например, посмотрим на свеженький 406-ФЗ, который все знают как закон о запрете регистрации с нероссийских e-mail, но есть в нем и другой раздел, посвященный теме хостинг-провайдеров. Теперь требования по их кибербезу устанавливает не ФСТЭК, а Минцифры по согласованию с ФСБ. Правда, требования ФСТЭК по защите персданных никто не отменял.

Меня в этом законе заинтересовал не только пункт про защиту информации, но и про изменение самого определения хостинг-провайдера. Раньше, это было "лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет". В новом законе это "лицо, осуществляющее деятельность...". Я не юрист, но не подпадает ли под новое определение гораздо большее число компаний, в том числе размещающих собственные сайты у себя в ДМЗ? Тут опять потребуется комментарий от Минцифры, которое в последнее время разгребает всю ту кашу, которую заварили депутаты то ли по скудоумию своему в области технологий, то ли вполне осознанно. В последнем случае это жопа, так как там помимо требований по защите информации, есть еще и требования по СОРМу, и куча других ограничений.

А что же ФСТЭК? Она инициировала поправки в Указ Президента №1085, определяющий полномочия ФСТЭК. Помимо запроса на увеличения численной штатности, ФСТЭК готова взять на себя централизованный учет всех защищаемых информационных систем и мониторинг текущего состояния их защищенности (учитывая, что защищенностью у нас занимаются Минцифры, РКН, ФСБ и ФСТЭК, а мониторингом так и вовсе ФСБ), информирование всех подопечных об угрозах и уязвимостях в ИС и мерах по защите от них, разработку процессов управления отраслевой защитой информацией и безопасностью ЗОКИИ. В целом ФСТЭК и так занимается большинством из этих задач (исключая, быть может, мониторинг защищенности); так что ничего совсем нового в предлагаемых поправках нет.

Так что битва якодзун регуляторов продолжится с новой силой...

Пост Лукацкого

02 августа 2023 16:51

Microsoft, после недавнего скандала со взломом их облака Azure, разродилась рекомендациями по защите от кражи аутентификационных токенов

Пост Лукацкого

02 августа 2023 10:00

Боль… Мы стараемся ее исключить, устранить источник боли. И когда это произошло, мы забываем про нее... до следующего раза. Вот так и ИБ. Мы ее сами преподносим как боль - угрозы, инциденты, уязвимости… Поэтому очень сложно держать фокус топ-менеджмента на ИБ - они выделили бюджет и забыли эту тему как страшный сон; до следующего года или когда вдруг нарыв вскроется и придется судорожно решать проблему с болью и последствиями... Надо быть более позитивными и искать не только боли, которые ИБ лечит, но и плюшки, которые она дает.

Попробую на неделе в блоге про это написать.