alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

🤖 Сервисы онлайн-переводов, системы анализа спама и фрода, голосовые ассистенты, интернет вещей и умные устройства — без этих сервисов, в которых применяются технологии машинного обучения (machine learning, ML), невозможно представить современную жизнь.

В наших продуктах и решениях по кибербезопасности машинное обучение применяется для обнаружения атак, а нашим экспертам оно помогает выявлять новые зависимости в данных.

🥷 Однако ML также становится одним из инструментов киберпреступников, при этом оно само по себе может быть уязвимым и представлять угрозу. Так, например, в 2021 году неизвестные скопировали лицо основателя Dbrain Дмитрия Мацкевича для дипфейк-видео с рекламой супердоходов, а в Москве были зафиксированы случаи использования голосов клиентов для получения кредитов.

Александра Мурзина, руководитель отдела перспективных технологий Positive Technologies, рассмотрела машинное обучение с точки зрения защищенности и вспомнила самые интересные инциденты. Подробнее — в нашем блоге на Хабре.

#PositiveЭксперты

Читать полностью…

Пост Лукацкого

ГРЧЦ, который недавно взломали белорусские "КиберПартизаны", заключил договор на... внимание, покупку системы защиты ресурсов ГРЧЦ от DDoS-атак. Все бы ничего, но именно ГРЧЦ в России отвечает за технические средства противодействия угрозам (ТСПУ), которые не только фильтруют запрещенный в России контент, но и борются с DDoS. Именно на базе ТСПУ Роскомнадзор планировал в прошлом году начать строить национальную систему защиты от DDoS-атак 👨‍💻 Но судя по заключенному договору что-то пошло не так... Если ты сам не используешь свои же решения, то это нехороший знак 😰

Читать полностью…

Пост Лукацкого

Вот тут я с ИБшным НИИ Минцифры не согласен. Да, делиться паролями не стоит, но вот менять их часто? Это устаревший совет, как по мне. В условиях нормально выстроенной MFA и при отсутствии утечек, пароли вообще можно не менять годами.

Читать полностью…

Пост Лукацкого

Планы по развитию нормативки от НКЦКИ во исполнение 250-го Указа Президента. Тут и положение об аккредитации центров ГосСОПКА, и требования к центрам ГосСОПКА, и приказ ФСБ, который это все утвердит.

Видится мне, что за основу будут взяты уже имеющиеся методические, непубличные, документы НКЦКИ. Правда, на одном из SOC Forum НКЦКИ распространял этот документ на CD, но я так и не знаю, можно ли им с кем-то делиться или нет? При этом регулятор, как это написано в презентации, открыт к предложениям.

Читать полностью…

Пост Лукацкого

Вчера многие стали писать про то, что ФСТЭК хочет ограничить доступ иностранных IP-адресов к важным узлам и сетям КИИ, запретить open relay и даже блокировать взаимодействие e-mail-серверов с иностранных IP.

Ну что я могу сказать по этому поводу? Все немного не так, как об этом пишут те, кто пересказывает скачанную из Интернет презентацию Елены Торбенко из ФСТЭК, которая выступала на конференции ИБ АСУ ТП КВО. Речь не идет о запрете - всего лишь о рекомендациях, которые еще и применяются не ко всем без разбора и не во всех случаях. Регуляторам дает субъектам КИИ совет, что можно сделать, а не что обязательно надо сделать.

Более того, часть из этих советов не новы - их еще в прошлом году ФСТЭК в своих письмах рассылала. Но не надо во всем искать злой умысел - надо трезво смотреть на рекомендации и применять к себе то, что применимо.

Читать полностью…

Пост Лукацкого

С 2010-го Касперский был спонсором Ferrari и все у последней было хорошо. Но в марте 2022-го она отказалась от сотрудничества с ЛК и случился «упс» - автопроизводителя недавно накрыло шифровальщиком, а на этой неделе он заявил об отказе выплачивать запрошенный выкуп. Впору задуматься… Например о том, как быстро можно разрушить достигнутое… Или о том, что Ferrari не стала скрывать от клиентов, что их данные могли утечь. Не то, что некоторые…

Читать полностью…

Пост Лукацкого

Вы когда-нибудь пользовались услугами косметологов? Я вот только на массаж ходил, но я знаю, что по уровню и глубине косметологические процедуры делятся на 4 уровня:
1️⃣ Наружные косметические средства (крема, гели, сыворотки и т.п.) для защиты внешнего вида.
2️⃣ Инъекции для стимуляции внутренней активности (выработка колагена и т.п.).
3️⃣ Физиотерапия (массаж, ***терапии, ионофорез, миостимуляция и т.п.).
4️⃣ Хирургические вмешательства.

Чем старше пациент, тем более сложные процедуры ему нужны для поддержания внешнего вида (исключения только подтверждают правило). И если вновь вспомнить про стадии развития и становления компании, но использовать не модель Адизеса, а косметологию, то мы поймем, что почти все организации у нас также могут рассматриваться с этой точки зрения.

Когда она молода, то ей не нужны серьезные внутренние инъекции и тем более хирургия - достаточно просто поддерживать в защищенном состоянии существующие процессы и процедуры, в том числе и за счет кибергигиены. На этапе взросления компании может понадобиться стимуляция внутренних процессов - повышать осведомленность персонала, мониторить активы и активности и т.п. А вот для взрослых и тем более стареющих компаний нужны более серьезные вмешательства, чтобы "не потерять лицо"; иногда даже хирургические.

В чем основной вывод из этой аналогии? Не надо думать, что мы и наши компании всегда будут молоды и привлекательны. Поэтому не стоит рассчитывать только на "крема и гели" (средства защиты внешнего периметра), которыми завален рынок. Да, применять их просто и недорого. Но ориентируйтесь в первую очередь на свой реальный "возраст", как бы болезненно и дорого не стоило поддерживать себя в приличном состоянии. Ну а вендорам стоит делать свои решения для "инъекций" и "физиотерапии" доступнее - тогда их начнут применять более активно. В итоге выиграют все.

Читать полностью…

Пост Лукацкого

Мы тут закрытый "Позитив CISO-клуб" организовали (invitation only). В хорошем месте, в неформальной обстановке, выпить/закусить, пообщаться... Все дела. Но главное там не это, конечно (хотя кому как 🤔), а возможность рассказывать о чем-то полезном для тех, кто хочет достичь результативной ИБ.

На первом заседании "Позитив Клуба" я рассказывал о первом шаге - нахождении общих точек соприкосновения с топ-менеджерами. Разумеется, речь не о догмах, а о наблюдениях и идеях, которые срабатывали в моей практике и практике 🟥.

ЗЫ. Запись мероприятий не велась и не будет вестись. Так что все, что там происходит, остается там, но чуть-чуть слайдов по привычке выложу.

Читать полностью…

Пост Лукацкого

На прошлой неделе удалось мне побывать на дубайской GISEC 🇦🇪 Мало того, что это была чуть ли не первая моя заграничная командировка с начала COVID-19, так это еще и первый раз, когда я был на ближневосточной специализированной выставке по кибербезу. Учитывая мой опыт участия в американской RSA Conference и европейской Infosecurity Europe, было с чем сравнивать.

Читать полностью…

Пост Лукацкого

Нестареющая классика от Arkanoid ⛔️

Читать полностью…

Пост Лукацкого

На трассе тут схватил саморез в колесо и пришла мне в голову хорошая аналогия. Когда вы используете IDS с набором предустановленных сигнатур, то вам ничего не надо делать с этим средством защиты (ну почти, но сейчас это неважно). Как и с антивирусом, кстати. Поставил и оно пассивно работает, ловит известные угрозы и не дает им реализовываться. Для их работы даже специалист не нужен (кроме процесса инсталляции, да и то не всегда). Примерно также на "простых" автомобилях - у тебя есть обычные колеса и все; они едут и едут. И узнаешь ты о том, что у тебя пробило колесо либо от проезжающих мимо и сигналящих тебе машин, либо по тому, как начинает уводить авто в сторону.

С решениями класса xDR (NDR, EDR, CDR, XDR и т.п.) ситуация прямо противоположная. Чтобы они дали нужный эффект их нужно настроить, рассказав, что хорошо, а что плохо, чтобы снизить число ложных срабатываний. И надо регулярно следить за политиками работы этих решений, чтобы они не фолсили. Ровно та же история с автомобилями, которые умеют контролировать давление в шинах и показывают, когда у вас пробито или спущено колесо. Но чтобы этот механизм был эффективен, вы должны сначала задать нужные параметры по давлению на передние и задние колеса (с учетом сезона и загрузки). И только потом бортовой компьютер начнет сам контролировать нужные параметры, сигналя вам в случае обнаружения отклонений. Ваша задача только вовремя менять параметры давления исходя из окружающей ситуации. То есть без человека все это уже не работает.

Да, искусственный интеллект должен помочь с этой проблемой, но только на стороне потребителя и при условии, что на стороне разработчика грамотно обучена модель и она регулярно обновляется (вы же не думали, что ML обучили один раз и больше не надо). То есть полная автоматизация обнаружения - это, конечно, пока еще мечта, и к ней идут вендора. Ну а пока не надо тупить, а лучше понимать, что в своей инфраструктуре хорошо, а что плохо.

ЗЫ. А как же шины Run Flat? А они тоже имеют свою аналогию в ИБ, но об этом как-нибудь в другой раз.

Читать полностью…

Пост Лукацкого

Даже в ИБ цели и метрики лучше привязывать к деньгам, а не к иным формам оценки эффективности

Читать полностью…

Пост Лукацкого

На фоне текущих новостей хочется вспомнить, что Россия отзывала свою подпись не только под Римским статутом, тем самым выходя из под действия Международного уголовного суда, но и под Будапештской конвенцией о киберпреступности 2001-го года ✍️ Тогда нашу страну не устроила статья 32-я, разрешающая участникам Конвенции, без согласия государства, получать доказательства совершенных киберпреступлений, в том числе и за счет доступа к компьютерам на территории России 👨‍💻

Спустя полтора десятка лет Россия 🇷🇺 предложила в ООН свою версию конвенции по данной тематике («О сотрудничестве в сфере противодействия информационной преступности»), работа над которой продолжается уже группой экспертов разных стран. Но примут ли ее и когда, пока непонятно (планировали в 2024-м).

ЗЫ. К слову сказать, подключение как можно большего числа стран к Будапештской конвенции (сейчас их около 70) было одной из основных задач США в киберпространстве.

Читать полностью…

Пост Лукацкого

В последнее время все чаще из разных источников звучит, что роль CISO чуть ли не расстрельная; что это борьба за выживание; что уровень стресса зашкаливает…

Читать полностью…

Пост Лукацкого

Побывав в Дубае и посмотрев на то, как индусы завоевывают местный рынок, в том числе и в части кибербезопасности, я подумал, что Указ 250 полезен даже не тем, что он привлекает внимание к ИБ топ-менеджмента компании (хотя тут есть нюансы), а тем, что он закрывает российский рынок для страны, которая обошла Китай по числу жителей, которым надо кормить свои семьи и поэтому они готовы работать почти даром. Если бы толпы индийских ИТшников и ИБшников ринулись в Россию, то конкурировать с ними было бы оооочень сложно.

Читать полностью…

Пост Лукацкого

Занятная история. Исследователи дали свободу действия ChatGPT (уже на базе модели GPT-4) и поставили ему (или ей?) задачу обойти CAPTCHA. Искусственный интеллект 🧠 не смог это сделать, но... и вот тут самое интересное. ChatGPT зашел на портал для фрилансеров Taskrabbit и привлек фрилансера для того, чтобы он обошел CAPTCHA за ChatGPT. На резонный вопрос фрилансера, не с роботом ли он общается, ИИ от OpenAI творчески ответил, что у него плохое зрение и он не видит картинку 🧠

Да, ChatGPT не смог решить задачу самостоятельно, но он ее все-таки решил, привлекая других людей, с которыми он провел переговоры и заплатил им деньги. Все автоматически и без участия человека. Я 6 лет назад писал про то, что искусственный интеллект заменит пентестеров, но не предполагал такой сценарий развития. Ведь если ИИ сам привлекает пентестеров, сам ставит им задачу, сам принимает работу и сам ее оплачивает, то можно ли говорить, что это ИИ провел пентест или нет? 🤔

Читать полностью…

Пост Лукацкого

Благодаря команде 🟥 интеллектуальные ИБ-квизы выходят на новый уровень и становятся атмосфернее.

ЗЫ. В таком месте мне еще не доводилось выступать. А уж запах ладана в помещении…

Читать полностью…

Пост Лукацкого

Если компания замалчивает факт значимой утечки или сваливает все на остальных, то чья это вина - CISO или его начальства?

На РусКрипто, в кулуарах, зашла речь о том, что нередко именно бизнес принимает решение замалчивать значимые инциденты и с невозмутимым лицом заставлять свой PR отвечать на запросы СМИ, что ничего не было. Ну, ХЗ.

Инцидент инциденту рознь и возможно CISO не смог объяснить важность этого своим топам. А может не захотел. А может они все равно к нему не прислушались, не считая это недопустимым для себя событием. Но и тогда, одно дело замалчивать и совсем другое - признать, но назвать незначительным…

Читать полностью…

Пост Лукацкого

Ну и сама презентация, чтобы было понятно, о чем речь

Читать полностью…

Пост Лукацкого

Я уже не раз писал про ChatGPT и могу сказать, что 2023-й год станет переломным с точки зрения применения машинного обучения на базе GPT-моделей в различных сферах нашей жизни (по крайней мере за пределами РФ точно, а по мере разработок в этой сфере со стороны наших крупных игроков, то и у нас). Но это повлечет за собой и еще одно, не самое очевидное на первый взгляд изменение.

По опыту работы с ChatGPT могу сказать, что сначала ты задаешь ему совершенно дурацкие сформулированные вопросы. То есть в голове-то у тебя все по полочкам разложено и ты знаешь, что ты имеешь ввиду, когда спрашиваешь. Но для ускорения, ты половину смысла из вопроса для ChatGPT убираешь и твой вопрос или задача звучат как 1-м классе. Видя чушь, которую тебе сгенерировал чатбот, ты начинаешь уточнять вопрос, пока не получаешь то, что ты хотел. Обычно на 3-4 итерации. Очень хорошо это видно при работе с ML, генерирующим картинки (DALL-E или Midjorney или Stable Fusion), - чтобы получить задуманную картинку, надо сделать несколько итераций, добавляя в вопрос (prompt) все больше и больше деталей. Неслучайно сейчас появляются специальные сервисы и даже курсы по формированию запросов к ML-моделям. Кто-то даже говорит о появлении новой профессии - prompt engineer.

По мне так это глупость - там нет ничего от новой профессии. Этому либо можно научиться за пару дней, видя кучу примеров перед глазами, либо на это уйдет гораздо больше времени, но не потому, что там надо чему-то учиться, как, например, на курсах программирования. И если предположить, что языковые модели ML начнут проникать гораздо больше и глубже в нашу жизнь, то это приведет только к одному - все больше и больше людей научатся задавать правильные вопросы. А научившись этому, мы начнем пользоваться этим не только при общении с чат-ботами, но и в обычной жизни.

И тогда нам не придется задавать "дурацкие" вопросы во всяких чатах или на конференциях по ИБ. Ведь в правильно сформулированном вопросе кроется не менее 50% ответа. В отличном вопросе доля готового ответа может достигать 80-90%. То есть, учась общаться с ChatGPT, мы автоматически учимся не только формулировать правильные вопросы, но и... самостоятельно находить на них ответы, уже без искусственного интеллекта. То есть вместо того, чтобы в чатике вбросить "пришлите пример политики сканирования уязвимостей", мы в процессе уточнения вопроса сами же и сможем на него ответить, сразу написав политику именно для нас, а не переписывая то, что нам пришлют. И таких примеров в ИБ будет все больше и больше. То есть заявления, что ChatGPT может убить многие профессии может и имеет под собой основания, но одновременно ChapGPT сделает многих людей умнее. И это хорошо.

ЗЫ. Хотя умение задавать правильные вопросы не приведет к росту числа людей, умеющих рисовать комиксы или плакаты по ИБ для программы повышения осведомленности😊 А жаль…

Читать полностью…

Пост Лукацкого

Ландшафты вендоров по различным технологиям становятся уже нормой. Вот так, например, выглядит "карта" индийских ИБ-игроков. Около трех сотен компаний. У нас в стране чуть меньше (но у нас и населения в 10+ раз меньше и ИТ развиты все-таки не так, как в Индии). И покрытие ИБшных направлений у индусов пошире - почти в каждом сегменте по несколько игроков для конкуренции между ними. И при этом число игроков в сегменте незашкаливающее - есть как делить рынок.

Читать полностью…

Пост Лукацкого

Думаю, многие (как минимум, москвичи) слышали о масках-шоу в двух столичных барах La Virgen и Underdog. События связывают с историей прошлого лета, когда на странице баров в Инстаграме (запрещен на территории РФ) было размещено сообщение о сборе пожертвований в помощь ВСУ. Только на следующий день администрация баров выступила с официальным заявлением, сославшись на то, что "это все хакеры": "Друзья! Нас взломали, и только сегодня мы получили доступ к нашему аккаунту. От нашего имени вам могли рассылать разную ложную информацию и собирать деньги. Мы не имеем отношения к этим действиям! Все наши сборы пожертвований всегда были направлены на помощь собакам из приюта".

История чем-то напоминает описанную мной вчера историю про взлом сайта брянской областной думы, а также ряда других российских государственных и не очень организаций. Перекладывание ответственности на хакеров становится нормой. Впору выпустить руководство о том, что надо сделать, чтобы свалить все на хакеров (фальсификация логов, фейковые сообщения e-mail, бумажные докладные, заявления в правоохранительные органы "по горячим следам" и т.п.). А то иначе все это выглядит как-то слабенько, непродуманно.

Читать полностью…

Пост Лукацкого

Пока один чиновник грозит гиперзвуковой ракетой зданию МУС в Гааге, от других в очередной раз просят отказаться от iPhone 📱 В этот раз может и получится. Однако странно выглядит объяснение, что iPhone менее защищен, чем тот же Android. Мне всегда казалось, что все с точностью наоборот.

Похоже, что советчики администрации Президента что-то знают о планах врага - в отдельных каналах проскакивали страшилки о возможности киберконтрнаступления, в котором могут быть задействованы представители американского CyberCom, которые будут атаковать среди прочего мобильники высокопоставленных чиновников. Или наши спецслужбы уже столкнулись уже с заражениями чиновников ПО типа Pegasus. Версий больше одной, но интересно, удастся ли в этот раз проконтролировать исполнение распоряжения?.. А то ведь у нас все благие намерения разбиваются о нежелание/неумение контролировать их реализацию 🤦‍♂️

Читать полностью…

Пост Лукацкого

У Ицхака Адизеса есть модель жизненного цикла организации, которая описывает развитие и угасание любого предприятия. Интересно, что эта модель может быть применена и к управлению ИБ на предприятии.

Сначала, на этапе младенчества, вам не нужна никакая формализация и даже как такового управления ИБ вам не нужно. По мере роста и потребности в ИБ изменяются. Задача компании - удовлетворять все возрастающее число клиентов и ей не до процедур и не до упорядочивания внутренних процессов ИБ.

Ну а на этапе бюрократии и загнивания и ИБ превращается в один сплошной формализм и бумажную ИБ в ущерб результативной. Задача компании в этом случае заключается в упорядочивании всего и поэтому так хорошо заходят всякие "процессные" истории - ISO 270xx, ISM3 и т.п.

Понимание этапа жизненного цикла позволяет не заниматься ерундой (если вы поднимаетесь к вершине и удерживаетесь на ней) и вовремя свалить (если развитие компании пошло на спад). Почему свалить? Ну вряд ли вы захотите работать в компании, в которой ИБ заключается в тупом выполнении бумажных требований без какой-либо движухи. Ну разве что и ваш жизненный цикл перешел во вторую половину и вам хочется покоя и хорошей зарплаты 🫡

ЗЫ. Жаль, что у нас на специальностях по ИБ не преподают теорию организации 🤔

Читать полностью…

Пост Лукацкого

Брянские депутаты заявили, что неизвестные хакеры взломали сайт областной думы и разместили фейковую новость, которая вызвала в регионе определенную шумиху (на первой картинке). В последнее время все чаще и чаще различные косяки или необдуманные слова и действия стали валить на хакеров.

Я тут когда был в Дубае, увидев табличку на траволаторе, что он не работает в целях сохранения электроэнергии (через час он уже работал), тоже сначала подумал, что у нас могли бы такой повод использовать для обоснования своего бездействия.

Раньше, все думали, что хакеры - это миф. Потом про них писали эпизодически и ИБшники расстраивались, что об их борьбе с плохими парнями никто не говорит и не пишет, кроме специализированных СМИ. А сейчас хакеры из каждого утюга лезут и все на них сваливают. Удобно же...

Читать полностью…

Пост Лукацкого

Некоммерческая, но все-таки американская, Linux Kernel Organization отказалась принимать обновления в ядро Linux от компании Байкал Электроникс, попавшей под санкции США. Если отбросить долгие дискуссии о правомерности и осмысленности такого решения, то в контексте ИБ нас, видимо, ждет не просто свое рекомендованное ядро Linux, поддерживаемое ФСТЭК, но и вообще своя ветка Linux.

И если для потребителей это будет не очень заметно, то вот отечественным производителям, которые имеют международные планы, придется поддерживать две ветки - российскую и общепринятую. И хотя это не должно быть (особенно на первых порах) слишком затратно, это все-таки осложнит жизнь российским производителям средств защиты на базе Linux.

Читать полностью…

Пост Лукацкого

«…В это время Гена при помощи очков виртуальной реальности вновь попадает в компьютер, на сей раз с мухобойкой-антивирусом, очищает себя от вируса, однако он, как и дедушка, не позволяет себе ударить вируса Петю мухобойкой… Вирус, воспользовавшись мягкотелостью учёного вызывает туда сотни своих собратьев-вирусов, которые устраивают в компьютере настоящее шоу, помешать которому Гена пытался в течении очень большого количества времени, но в конце концов Петя поставил лестницу из системы компьютера в интернет и ушёл по ней в открытый мир, обещая иногда возвращаться…»

Вы ознакомились с фрагментом полнометражного мультфильма «Барбосуины Team», в котором также не обошли тему кибербеза и способов ее визуализации.

Читать полностью…

Пост Лукацкого

А у вас тоже есть свое кладбище метрик ИБ, которые вам казались идеальными, но не были никем принятыми?

Читать полностью…

Пост Лукацкого

Интересная, однако, аналогия с CISO и «Игрой в кальмара»

Читать полностью…

Пост Лукацкого

Фильмы про хакеров на конференции Screenshot_2023

В следующие выходные, 25-26 марта, Музей криптографии проведёт конференцию Screenshot_2023 о прошлом, настоящем и будущем цифровой среды. В программе много интересного, но отдельно отмечу показ и обсуждение двух документалок про хакеров вечером 25 марта: сериала «Русские хакеры: Начало» (18:30-21:30) и фильма «Имя нам легион: история хактивизма» (21:30-23:00).

Зарегистрироваться можно на сайте конференции.

Читать полностью…
Подписаться на канал