Пост Лукацкого

05 ноября 2022 21:23

Jeppesen, американская дочка Boeing, занимающаяся навигацией 🗺 и планированием полетов, пострадала от инцидента ИБ. Пока не подтверждено, но источники говорят про ransomware. Как минимум, пострадала система NOTAM (Notice to Air Missions), которая отвечает за уведомление авиационных властей и пилотов о потенциальных опасностях на протяжении полетного маршрута 🛫.

Вообще, авиация в последнее время нередко страдает от кибератак. В мае была индийская SpiceJet (тоже шифровальщик). В августе Accelya, поставляющая технологии многим авиакомпаниям. Также в августе была утечка из-за хакеров у Bangkok Airways. Интересно, что Boeing в 2018-м году пострадал от... WannaCry. Да-да, от того самого, который годом ранее наделал делов.

Вообще, транспортная отрасль сегодня сталкивается с большим число кибератак. На днях были атакованы железные дороги 🛤 в Иране, а чуть раньше тоже железные дороги, но на Тайване 🚂

Пост Лукацкого

05 ноября 2022 13:06

Никто не застрахован от действия инсайдеров. Даже Илон Маск ;-)

Пост Лукацкого

04 ноября 2022 20:22

Пока в Америке празднуют 70-тилетие АНБ, выкладываю видео-интервью со мной, сделанное алтайским Центром информационной безопасности в сентябре и где меня назвали почему-то «русским Илоном Маском» ;-)

Пост Лукацкого

04 ноября 2022 13:23

Поисковик по отчетам Threat Intelligence

Пост Лукацкого

04 ноября 2022 07:50

Из последнего отчета можно узнать, что самым популярным вектором проникновения были партнеры и обновления ПО. Вроде про supply chain говорят давно, но когда видишь значение 60%, это немного меняет отношение к этому вектору и способам его нейтрализации, мониторинга и реагирования.

Пост Лукацкого

03 ноября 2022 20:03

Как за рекламой в канале приходить, так это мы в первых рядах. За посты в канале жаловаться моему руководству и исключать из программы мероприятия... так тоже в первых рядах. Видимо проблема не в людях, а в первых рядах.

С днем народного единства всех!

Пост Лукацкого

03 ноября 2022 15:50

Последние несколько дней соцсети, ИТ-порталы и Telegram-каналы просто бурлят на новости о том, что Cisco Meraki отключила всех своих клиентов в России, заблокировала у них все точки доступа, сменила SSiD, добавив в него слово "санкции", а особо желтушные издания еще и насосали из пальца про требование возврата денег за железо. В этой истерии все забывают про один маленький нюанс - решения Meraki никогда не продавались в России. Их просто не успели начать продавать - это должно было произойти аккурат весной 2022 года (после нескольких переносов даты). Но не успели. Отдельные железки были выданы для тестов партнерам, а также некоторым работникам Cisco в личное пользование (вот у них-то и произошло обсуждаемое).

Так что о каких отключенных клиентах все пишут, не совсем понятно. Но проверять факты у нас не принято. ИТшные издания любят репостить частные сообщения из соцсетей, выдавая их за свои источники и глобализуя проблему до масштабов вселенской катастрофы. Некоторых журналистов хлебом не корми, а дай потанцевать на костях. Грустно...

ЗЫ. Не умаляю саму проблему удаленного отключения устройства, но все-таки надо отделять мух от котлет.

ЗЗЫ. Из той же серии новость о том, что Cisco планирует вернуться в Россию. Но это уже из серии анекдотов.
-Верно ли, что Рабинович выиграл «Волгу» в лотерею?
- Все верно. Только не Рабинович, а Иванов. И не «Волгу», а сто рублей. И не в лотерею, а в карты. И не выиграл, а проиграл. (с)

Пост Лукацкого

03 ноября 2022 12:02

Вот всегда знал, что поэт из меня хреновый и кроме юношеских попыток писать в турпоходах нечто в стиле Михаила Щербакова "сижу и пишу стихи я, а вокруг бушует стихия" у меня так ничего и не получалось. Сейчас мой максимум - это написать или переделать какой-нибудь "пирожок" или писать в стиле Остапа Бендера "Сидел Гаврила за решеткой, Гаврила вирусы писал...". А есть люди, прям с чувством слога и рифмы. Вот читатель Latinec прислал на "стих" выше:

Вот ты сидишь и ждешь нервозно,
Когда любимый позвонит.
- Ура звонок! Аллекнешь слезно,
"Сбербанк!" - сотрудник говорит!

И ты во гневе православном
От карты CVC твердишь
"Лишь бы отстал!" - не это главно,
С любимым в мыслях ведь - Париж!

А кто-то в опыте - хитрее,
С ним диалог другой ведет:
- Мол, да всегда кредит милее,
Неважно сколь процент грядет!

- И обязательно пришлите
С деньжищей карту в адрес мне.
Прошу доставку укажите -
Четвертый кратер, на Луне!

- Нельзя? Тогда я честно каюсь,
Прошу в Женеву иль Париж,
Мобилизация! Скрываюсь",
И в трубке лишь - отбой и тишь!

Мораль сей басенки - буквальна!
Не изведешь в себе овцу
Так и продолжишь перорально
Ловиться в сети - подлецу!

Пост Лукацкого

03 ноября 2022 08:01

После того, как Илон Маск заявил о том, что он будет брать 20 баксов в месяц за верификацию учетной записи Твиттер, произошло две вещи. Во-первых, многие звезды шоу-бизнеса возмутились и стали угрожать уходом с платформы. Особенно мне понравилось, когда Стивен Кинг, писатель с состоянием в 500 миллионов долларов, стал спорить с Маском, состояние которого составляет 200 миллиардов долларов, и который предложил "скинуть" цену до 8 баксов в месяц, об этих злосчастных 12 баксах разницы 😊

Ну а параллельно активизировались фишеры, которые стали рассылать пользователям фишинговые сообщения с просьбой подтвердить свой аккаунт, чтобы не платить 20 долларов.

Если бы такое сообщение получил Стивен Кинг, думаю, он купился бы на него, опасаясь потерять 20 долларов в месяц.

Пост Лукацкого

02 ноября 2022 21:58

вот ты сидишь и ждешь покорно
когда любимый позвонит
ура звонок снимаешь трубку
сбербанк сотрудник из сб

Пост Лукацкого

02 ноября 2022 18:09

5 лет назад в SC27 ISO шли бурные дебаты. Как правильно - cyber security, cybersecurity или cyber-security? 🤔 Вот времена-то были; не то, что сейчас 🥳 Самое интересное, что пока так к единому мнению и не пришли в мире. Разве что через дефис никто не пишет. Русскому языку в этом плане повезло - никаких разночтений. У нас просто «информационная безопасность» ;-)

Пост Лукацкого

02 ноября 2022 13:08

Сейчас будет реклама. Не Positive Technologies 😊 Прикольный способ показать одновременно, что пароли должны быть разные для разных учетных записей, что запоминать их все сложно 🤔, и поэтому надо использовать менеджер паролей. Ну а вишенкой на торте известный голливудский актер Райан Рейнолдьс, известный по роли Дедпула и ждущий четвертого ребенка (так что под мобилизацию бы у нас не попал).

Пост Лукацкого

02 ноября 2022 07:03

Минцифры интересуется использованием VPN в стране. И это вызывает у меня двойственные чувства. С одной стороны Минцифры - не РКН и может действительно просто изучать ситуацию (но зачем?). С другой, VPN по нынешним временам - это средство доступа к вражеской дезинформации, что может представлять риск для государства. А Иван Бегтин не исключает доступа в VPN через госуслуги. Так что будем посмотреть…

Но у вас же есть план Б?

Пост Лукацкого

01 ноября 2022 22:17

На Хабре опубликовали рейтинг ИТ-компаний, как работодателей, по итогам 2022 года (не спрашивайте, почему за 2 месяца до конца года; это типичная проблема почти всех годовых рейтингов). Из ИБ-компаний в список попали Positive Technologies (2-е место), Лаборатория Касперского (7-е место), Инфосистемы Джет (21-е место), Газинформсервис (24-е место) и Ростелеком-Солар (75-е место). В опросе участвовало 16 тысяч человек (я не участвовал), на вход которым подали 750 (!) компаний. Потом отсекали тех, кто у респондентов ни с чем не ассоциировался (методика описана в статье). Потом убрали тех, кто ушел из России. В итоге осталось 83 компании.

ЗЫ. Авторы пишут, что они сами включали в рейтинг компании, которые активно набирают айтишников/программистов. Поэтому в списке местами странные компании типа Aviasales (1-е место рейтинга), банки, ритейл и т.п. Но цифровая трансформация коснулась всех. Не уверен, но предположу, что ИБ-компании тоже в область рассмотрения попали, так как они по сути и есть ИТ-компании (Минцифры уж точно их таковыми считает).

Пост Лукацкого

01 ноября 2022 15:05

Одна из первых (из попавшихся мне) публикаций, в которой пытаются оценивать экономическую эффективность системы ИБ предприятия. Опубликована в октябре 1972 (!) года. Там же говорится и о "катастрофических" последствиях от действий злоумышленников (ровно та же идея сейчас продвигается Минцифрой с их недопустимыми событиями или Банком России с их критическими рисками). Прошло 50 лет...

Пост Лукацкого

05 ноября 2022 19:02

«Хайли лайкли» уже не в моде (какое нафиг «хайли лайкли», когда тут и так все ясно). Но сама по себе эта оценка - не плод чиновничьего воображения. Речь идет о градации неопределенностей 🔮 при принятии решений, принятой в американском ЦРУ. Одно радует, Highly Likely все-таки не последний вариант 😂

Пост Лукацкого

05 ноября 2022 09:31

Мне кажется, пора уже вводить медали "За отражение DDoSа", "За взятие сайта", "Защитнику Интернета", "За отличие в охране виртуальной границы", "За заслуги перед НКЦКИ", "За спасение от утечки", "За устранение уязвимости"...

А то результат хорошей работы ИБшников не видны и закрадываются сомнения, а делом ли они заняты. А так приходишь ты на инвестиционный комитет за очередным бюджетом на ИБ, а у тебя вся грудь в орденах и медалях. И видно, человек работал, а не на порнхабе по перехваченному у сотрудника маркетинга логину сидел.

Можно, конечно, еще для бизнеса что-то полезное делать. Тогда и доказывать свою результативность не придется. Но это странно как-то, да? Почему у депутатов через одного то медаль "75 лет Победы", то "За развитие Сибири и Дальнего Востока", то "За труды по сельскому хозяйству"? Они это получают явно не за то, что помогают гражданам, которые их выбрали и которые платят им зарплату из своих налогов. Вот и в ИБ надо так.

Пост Лукацкого

04 ноября 2022 17:22

Интересно, для сотрудников ДИБ ЦБ, 8ки ФСБ, ФСТЭК, Управления К МВД и иже с ними проводят такие семинары? Наверное, полезная штука узнать в сжатой форме «Как оно там, на гражданке?» Готов лекции читать ;-)

Пост Лукацкого

04 ноября 2022 12:33

Используя в качестве аналогии системы защиты периметра иллюстрации с замками и крепостями, помните, что и в сверхукрепленных сооружениях всегда были backdoors 🚽. А иначе как-то неудобно получается ;-)

Пост Лукацкого

04 ноября 2022 07:50

Mandiant - не единственная компания, которая решила выпустить отчет по итогам 2022 года до его окончания. LogRhytm вместе с SANS сделали это в... сентябре.

Пост Лукацкого

03 ноября 2022 18:34

Имя Бориса Акунина исчезло с афиш российских театров. А имя Алексея Лукацкого исчезло из программы SOC Forum. Так что я не буду модерировать одну из секций и предложенные мной доклады в программу тоже не попадут. А темы я предлагал такие:
📌 Анализ существующих дашбордов в российских и зарубежных SOC и роадмап по их улучшению
📌 Анализ моделей лицензирования коммерческих SOC. 7 вариантов, используемых в реальном мире
📌 Анализ структуры стоимости услуг коммерческих SOCов. Почему провайдеры SOCов вас обманывают?
📌 Российский SOC через 5 лет. Аналитика на основе секретных отечественных разработок.

Ну может в блоге их разовью или сделаю вебинар, не ограниченный 20-тью минутами. Поглядим... Контента-то дофига накопилось - надо им делиться.

ЗЫ. Сводить счеты таким образом?.. Фи, быть таким... Но хоть в иноагенты не включили, и то хорошо.

Пост Лукацкого

03 ноября 2022 12:32

Мне кажется, если бы Сбер организовал конкурс вот таких 👆 стихов и публиковал бы их в своих соцсетях и приложении, это могло бы дать бОльший эффект в деле повышения осведомленности граждан, чем все остальные мероприятия. Это было бы вовлечение граждан, а также их мотивация (деньгами или снижением % по ипотеке), что гораздо эффективнее чем пассивные библиотеки знаний о действиях мошенников или советах по выбору паролей, на которые обычные пользователи не заходят. Они же не знают, что у них проблема и не ищут 🔎 пути ее решения.

Поэтому отдельные ресурсы - это не способ решения проблемы, если нет массированной рекламной кампании по привлечению людей на эти сайты, разделы, библиотеки и т.п. Не зря же тот же новозеландский CERT, о котором я уже не раз писал выше, свои плакаты про кибербез размещает в оффлайне, в местах массового скопления людей - в аэропортах, на заборах, рядом с барами, в разделах частных объявлений в газетах и т.п.

Пост Лукацкого

03 ноября 2022 11:15

Согласно свежему исследованию против компаний из Великобритании и Украины активно задействуется не только зараженный SolarWinds Network Performance Monitor (NMP), но и зараженный менеджер паролей KeePass. Я не так часто публикую ссылки на TI-отчеты, но в данном случае речь идет о троянизации средства защиты, а это не так уж и часто происходит. Будьте бдительны!

Пост Лукацкого

03 ноября 2022 05:40

"Кто первый, того и тапки". Такого принципа придерживается Mandiant, которая за два месяца до конца года решила сделать прогнозы на 2023-й год в области ИБ.

Отчет коротенький и его можно изложить всего в нескольких тезисах:
📌 Больше атак от неорганизованных и негосударственных хакеров
📌 Европа обойдет США с точки зрения более атакуемого шифровальщиками региона
📌 Больше вымогательства
📌 Россия, Китай, Иран и Северная Коре я - основные кибервраги
📌 Беспарольная аутентификация завоевывает мир
📌 Смена фокуса хакеров с компрометации ПК в сторону компрометации учетной записи
📌 Хакеры будут изучать больше отчетов ИБ-компаний и ИБ-специалистов для изучения защитных тактик и техник
📌 Киберстрахование - это шняга
📌 ...ну и еще немного в самом отчете👇🏻

Пост Лукацкого

02 ноября 2022 20:05

Вам не кажется, что у нас новости по ИБ как-то мельчают?..

Пост Лукацкого

02 ноября 2022 13:47

Правительство поручило госорганам c 1 декабря использовать адреса электронной почты только в национальной доменной зоне. Никаких больше джимейлов и тому подобного. Это, в частности, задачка для дипломатов, которые по-прежнему ради удобства иногда используют местные почтовые сервисы в странах пребывания.

Делается это всё для обеспечения информационной безопасности работы госорганов.

«Согласно приказу Роскомнадзора, в российскую национальную доменную зону входят следующие группы доменных имён:
- домен верхнего уровня .RU;
- домен верхнего уровня .РФ;
- домен верхнего уровня .SU;
- иные домены верхнего уровня, управление которыми осуществляется зарегистрированными на территории России юридическими лицами, являющимися зарегистрированными владельцами баз данных указанных доменов в международных организациях распределения сетевых адресов и доменных имён».

Пост Лукацкого

02 ноября 2022 10:34

История с запретом получения e-mail с зарубежных почтовых серверов продолжается. Помимо госорганов теперь почту рубят и компании с госучастием. Все ради безопасности.

ЗЫ. Хотелось бы, конечно, видеть полный список того, что скрывается за "и т.п." и по каким признакам рубится почта. А то, одно дело блокировать почту с иностранных доменов, и совсем другое - блокировать почту с TLD .RU, но прилетающую с иностранных IP-адресов (MX-то я могу настроить где угодно).

Пост Лукацкого

02 ноября 2022 05:20

Куда деваться... Израильский EDR-вендор решил завоевать российский рынок. Своевременно, ничего не скажешь. Хотя может они хотят до 01.01.2025-го года все продать, а дальше хоть трава не расти. Ну или они просто не в курсе о запрете применять иностранное ПО и принятом курсе на импортозамещение. Ну или метятся в заказчиков, которые не госы, не КИИ, не системообразующие и т.п. Правда, им EDR не подойдет, но это уже мелочи.

Пост Лукацкого

01 ноября 2022 18:19

Пока Интернет вещей не стал столь популярен, чтобы всерьез задумываться о модели угроз для него или от него. Но представьте, что через год-другой (если все будет хорошо), у вас в бизнес-центре появится вот такой вот робот-окнотёр с встроенной видеокамерой?.. И будет не только окна поливать, но и данные сливать, которые он увидит. А то и Wi-Fi научится ломать без непосредственного доступа пентестера в помещение...

А ведь большинство моделей угроз (например, по линии ПДн в ПП-1119 и 378-м приказе ФСБ) исходят из факта действий именно человека, как нарушителя. Помните там были требования решеток или ставень на окнах только первого и последнего этажей. Явно ведь против человека требование писалось. Так что думаем вперед, а не только сиюминутно.

Пост Лукацкого

01 ноября 2022 11:23

Кстати, не исключено, что условием поддержки упомянутых ОС, будет их обязательное размещение на платформах BugBounty. Если уж государство поддерживает эти ОС, расчищая путь от конкурентов, то оно может и условия выставлять. А повышения уровня ИБ рекомендованного ПО вполне может быть таким условием.