alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Вслед за английским центром кибербезопасности NCSC, американская CISA начала предлагать субъектам критической инфраструктуры услугу защищенного DNS. У нас такое мог бы предлагать РКН на базе НСДИ (Национальная система доменных имен). Но нет, он только запрещать и блокировать может.

Поэтому стих (такой же прекрасный, как и регулирование РКН):

в рунете стало полно пидарасов
со знанием дела сказал ркн
поэтому надо им всем отчекрыжить
их впн

Читать полностью…

Пост Лукацкого

🔄 Выложенное вчера вечером видео про видовые утечки является фейком, о чем мне сообщило несколько подписчиков 🙏 Спасибо за внимательность. Но я это видео выложил именно как демонстрацию утечки со стороны карманного устройства, у которого настолько улучшился за последнее время зум, что в реальности такие вещи вполне возможно провернуть (может не так качественно и не в формате HD, но все же) 🔭

А пока вам видео про специалистов по расследованию (форензике) и их нелегкий труд. Volatility из предыдущего поста частично помогает его автоматизировать.

Читать полностью…

Пост Лукацкого

Выступаю сегодня на дне инвестора 🕯 в рамках Moscow Hacking Week (онлайн-трансляция тоже будет) и буду говорить про важность кибербеза и примеры того, к чему приводит недооценка вопросов ИБ. А тут и кейс свежий подогнали - генеральный директор австралийской Optus был уволен на днях после крупнейшей в истории Австралии утечки данных. И как Сэма Альтмана за него, конечно, никто не вступится и никто обратно не вернет 😕

Читать полностью…

Пост Лукацкого

Я в Кибердоме был уже несколько раз и каждый раз находится что-то новое, чего я еще не видел. Вот и в этом видео я увидел несколько комнат, в которых я не был. Надеюсь на SOCtech, где у меня два выступления по выбору технологий для SOC и индикаторам, на которые надо обращать внимание при мониторинге атак со стороны подрядчиков, я смогу увидеть все оставшиеся помещения и останется только крыша, которую должны открыть в следующем году (если все пойдет по плану).

ЗЫ. Будучи на Moscow Hacking Week, которая проходит тоже в Кибердоме, я эти помещения тоже не увидел 😞 Они заняты под "красные" и "синие" команды вроде 😭 Ну либо там есть какие-то потайные места, до куда меня ноги еще не донесли. Там вообще много всего - вроде обычная стена или книжная полка, а нажмешь в правильном месте и, бац, это дверь в потайную комнату то с камином, то с кальяном, то с коньяком, то еще с чем-нибудь на букву "К".

#soctech

Читать полностью…

Пост Лукацкого

Когда у тебя в резюме 10+ сертификаций, каждая из которых по скромным подсчетам обходится в 500 баксов (если сдал с первого раза и если не считать обучения, которое стоит в 5-15 раз больше), то задаешься вопросом: "А когда ты вообще работаешь, мил человек, если ты все время готовишься к экзаменам?" 👨🏼‍🎓

Зато если ты написал, что это твое хобби, то и вопросов уже никаких не остается. У кого-то хобби появляться на заднем плане ТВ, кто-то приверженец экстремального глаженья белья, кто-то коллекционирует кинжалы или таблетки экстази, а кто-то сертификации по ИБ 🤪 Какие вопросы - это же хобби!

Читать полностью…

Пост Лукацкого

NIST выпустил руководство по Phish Scale, методу даже не обучению борьбе с фишингом, а тому, как оценивать сложность/способность человека самостоятельно обнаруживать фишинг без участия технических средств.

Да, руководство можно использовать и при обучении и повышении осведомленности. Там много полезных данных. Например, там приведен список индикаторов, на которые стоит обращать внимание:
1️⃣ Ошибки
2️⃣ Технические индикаторы (тип вложения, URL, подмена домена...)
3️⃣ Визуальные индикаторы (отсутствие бренда или лого, имитация логотипа, индикаторы безопасности...)
4️⃣ Язык и контент (запрос чувствительной информации, срочность, угрозы...)
5️⃣ Общие тактики (бесплатный сыр, ограниченное по времени предложение...).

Читать полностью…

Пост Лукацкого

Сегодня я выступаю на Standoff 12 в рамках Moscow Hacking Week с рассказам о киберугрозах будущего. Вроде в 13.30. Должна быть онлайн-трансляция. Усаживайтесь поудобнее и смотрите 🍿

Читать полностью…

Пост Лукацкого

Есть такие уязвимости, которые надо патчить не дожидаясь перитонита. Зовут их трендовые или, на американский манер, KEV (known exploited vulnerabilities)

Читать полностью…

Пост Лукацкого

Вы помните нашумевшие в этом году атаки на Barracuda ESG, Cisco IOS XE, Citrix NetScaler, Cisco VPN, аппаратные решения SonicWall, Sophos, PaloAlto, Arista, F5, Juniper, Pulse Secure и т.п.? 👨‍💻 Это только верхушка айсберга, связанного с атаками на уровень ниже приложений, - уровень прошивок ПО для оборудования, BIOS/UEFI, подсистему управления BMC, системы хранения NAS/SAN, загрузчики устройств (bootloader), микрокод в чипсетах и т.п.

Технологии типа DMA (Direct Memory Access), PCIe или NMVe дают вредоносным программам гораздо больше возможностей по доступу к памяти и обходу средств защиты на уровне операционной системы (например, VBS или Device Guard), антивирусов и EDR. Иногда в кофейне краем уха услышишь, что делается в нашей лаборатории исследования железа и понимаешь, что это совершенно иной мир, с которым обычный ИБшник сталкивается редко, а если и сталкивается, то не всегда знает, что делать. Особенно в связи с уходом иностранных вендоров и закрытия стандартных каналов обновления уязвимых прошивок.

ЗЫ. А еще помните, что одна четверть всех трендовых, то есть широко эксплуатируемых, уязвимостей связана с прошивками ”железа” и в 2024-м году число руткитов, буткитов, шифровальщиков и ВПО их использующих, будет только расти.

ЗЗЫ. У китайцев, кстати, тоже не меньше, чем у американцев, проблем на уровне железа.

Читать полностью…

Пост Лукацкого

Каждый выбирает для себя (с)

Читать полностью…

Пост Лукацкого

КриптоПро популярен у продавцов Авито 😊 И никакого тебе учета СКЗИ 😊

Читать полностью…

Пост Лукацкого

В одном крупном холдинге у CISO среди метрик оценки его эффективности есть и такая - повысить операционную эффективность группы компаний путем ослабления защитных мер до минимально достаточного уровня! Обратите внимание - не путем усиления, а путем ослабления защитных мер! 😎

Иными словами надо не бездумно увеличивать число средств защиты, процессов ИБ, плодить оргштатную структуру и другими способами показывать свою значимость и наращивать "капитализацию", а найти баланс между уровнем ИБ, инвестициями в кибербез и пользой для бизнеса. А это оооочень непростая задача! И она реально для CISO, должности, которая является сплавом технических и организационных знаний с учетом бизнес-потребностей своего, нет, не работодателя, а бизнеса. На этом уровне CISO уже не просто наемный менеджер - он разделяет интересы своей компании и старается нащупать баланс 🤝

Читать полностью…

Пост Лукацкого

Запись 🎞 моего выступления про кибербез как неотъемлемую часть бизнес-модели любой компании или предприятия лежит на сайте конференции SberPro Tech 2023. Смотреть с 4:00:30. Всего 22 минуты, но зато каких 👀

Читать полностью…

Пост Лукацкого

Не нашел в списке, но скидки есть еще на курсы SANS (600 баксов, то есть около 10%) и тренинги FAIR

Читать полностью…

Пост Лукацкого

Плохо подготовленный социальный инжиниринг ;-)

Читать полностью…

Пост Лукацкого

Куда катится этот мир?.. Небольшой норвежский бар на 5 сотрудников стал жертвой LockBit 😂 Что у них можно было украсть? Объемы выпитого пива 🍻 и результаты соревнований по дартсу каждое воскресенье? 😂

Читать полностью…

Пост Лукацкого

SANS тут выложил небольшой кусок курса по форензике оперативной памяти, посвященный Volatility. Сам курс гораздо полнее, но вдруг кто-то что-то найдет и в этом фрагменте и лабораторной по нему

Читать полностью…

Пост Лукацкого

Почему кибергруппировки так любят создавать и регулярно обновлять себе логотипы? Я понимаю московское метро, Сбер, Почта России, выборы 2018… Бабло есть, его надо тратить, но хакерам-то это зачем? Других дел нет?

ЗЫ. Отдельные группировки даже конкурсы устраивают с выбором из нескольких десятков вариантов... 😂

Читать полностью…

Пост Лукацкого

Если вдруг вас спросят, а что такое видовая утечка информации, то вот вам краткая иллюстрация этого явления 😊

В ДСПшных документах ФСТЭК по защите АСУ ТП 2007-го года среди способов реализации угроз были упомянуты малогабаритные телескопы, но с учетом развития оптики, к ним можно теперь и смартфоны спокойно причислять 😊

Читать полностью…

Пост Лукацкого

Завтра, 23-го ноября, в онлайн-кинотеатре Kion начнется показ документального сериала про кибербез. Правда, анонсов нигде про это нет и деталей про сам сериал тоже 🤨 То ли фиговый PR, то ли осознанный ход 🤬

Читать полностью…

Пост Лукацкого

История с увольнением Сэма Альтмана и последующий твит Ильи Суцкевера по данному факту очень напоминает то, что происходит часто в кейсах с инцидентами ИБ. Посмотрите на формулировки:
1️⃣ Не "я виноват, что принял такое решение", а "я сожалею о своем участии в действиях правления". Я не виноват, меня заставили...
2️⃣ Не "мое плохое решение", а "их решение".
3️⃣ "Мы построили вместе" когда надо присоседиться к чему-то позитивному.
4️⃣ Нет конкретных обещаний, есть одни намерения.

Иными словами, чувак был вынужден (или его вынудили) написать этот текст, но всеми силами он старается снять с себя всю ответственность и переложить ее на группу непонятных людей. То есть он пытается размыть ответственность за случившееся и уж точно не считает себя виноватым. В инцидентах ИБ если и доходит до признания случившегося, тоже непонятно, кто конкретно виноват. И все кивают "на того парня"... 🤠

Я допускаю, что Суцкевер - классный ученый, но вот как менеджер, который должен уметь принимать решения, он оказался не готов (хотя хрен знает, как я бы повел себя в такой ситуации). Это в продолжении истории этого понедельника. Есть классные специалисты, а есть классные менеджеры. CISO - это сплав двух качестве, а не одного.

Читать полностью…

Пост Лукацкого

Страны Европы, пострадавшие (отмечены голубым) от кибератак, ассоциированных с конфликтом России и Украины. Интересно, что пророссийские группировки не атаковали Турцию (это понятно), Португалию, Ирландию, Хорватию, Боснию и Герцеговину, Монтенегро, Албанию и Андорру.

Читать полностью…

Пост Лукацкого

Считается, что термин «хакер», применительно к современному пониманию, появился в 1963-м году, в студенческой газете The Tech, издаваемой MIT

Читать полностью…

Пост Лукацкого

Кибер-руководство Украины подало в отставку. Главу ДССТЗИ и его зама обвиняют в растрате государственных денег при закупке иностранного ПО.

Читать полностью…

Пост Лукацкого

Институт изучения мировых рынков (этакий "русский IDC") выпустил отчет "Реальность и перспективы российского рынка кибербезопасности 2023 — 2025", в котором авторы пытаются оценить текущую степень зависимости российских компаний от иностранного ПО в области кибербезопасности, выявить основные драйверы, затрудняющие факторы и общую степень готовности отечественных компаний к переходу на отечественное ПО в ближайшие два года.

Очевидно, что в текущих условиях заказчики постепенно мигрируют на российское ПО, потенциал которого огромен (сейчас мигрировали только около 30% компаний). Наиболее перспективны такие сегменты для миграции как "Аналитика и реагирование" и "Сетевая безопасность".

Отчет не затрагивает тему сетевого оборудования, а это достаточно важная история для обеспечения ИБ предприятий. Недавно нашумевшая уязвимость в Cisco IOS XE (CVE-2023-20198) лишний раз показала этот факт. И вот новая RCE в Cisco, которая продается в Даркнете и которая, по словам "продавца", дает еще больший эффект, чем недавняя дыра.

И вот тут снова надо вернуться к отчету ИИМР. Там перечислены причины, почему компании остаются на иностранном ПО (думаю, к железу применимы те же причины). Но отвеченным остается вопрос - а как использующие иностранное ПО и железо компании решают вопрос с оперативными обновлениями? Если доступа к ним нет, то последствия могут быть слишком серьезными. Если доступ есть, то к доверенному источнику или к "иранским" телеграм-каналам, где выкладываются непонятно откуда взятые обновления?

Это у многих иностранных средств защиты есть или скоро появятся отечественные аналоги. А вот сетевому оборудованию похвастаться особо нечем - адекватных аналогов пока что-то на горизонте не видно. И выход тут один - выстраивание процесса управления уязвимостями и компенсирующие меры, позволяющие устранять если не сами дыры, то хотя бы снижать последствия от их эксплуатации (сегментация, мониторинг сетевой активности и аномалий, МСЭ внутри инфраструктуры...).

Читать полностью…

Пост Лукацкого

Визуализация в целом и ИБ в частности - тема достаточно непростая и я ей посвятил немало выступлений и заметок тут и в блоге. Сейчас перезапущу сайт на новом хостинге и все-таки выложу обещанный курс по дашбордам в ИБ. А пока поделюсь прелестным подарком, который я получил от основателя проекта Дата Йога Андрея Демидова 🃏

Казалось небольшая колода карт 🃏, но в ней сосредоточена вся мудрость визуализации, а именно набор наиболее популярных видов визуализации данных с примерами, что и когда стоит, а когда не стоит применять исходя из тех задач, которые перед вами стоят - показать рост или снижение, сфокусировать внимание на каком-то показатели или просто подкрепить свои доводы "картинкой".

ЗЫ. На сакраментальный вопрос "Где достать?" сразу отвечу - "Не знаю" 🤷

Читать полностью…

Пост Лукацкого

Дашборд по ИБ в управлении обслуживания фермеров (Farms Service Agency), входящем в структуру Минсельхоза США. Тамошний CISO считает, что с помощью такого дашборда он следует подходу, ориентированному на результат (Result-based Management), увязанному со стратегическими целями агентства. Как по мне, так при хорошей задумке реализация на троечку. Сама по себе идея измерения текущего состояния ИБ и его улучшения неплоха, но тут, как мне кажется, измерения ради измерения. Вроде и делается что-то, но как это все связано с помощью американским фермерам?

Большинство метрик уровня compliance - завершено в срок, реализовано защитных мер, соответствует требованиям, сделано по расписанию, обработано запросов… Скучно 🥱 и совсем не про реальный результат 🤨

Читать полностью…

Пост Лукацкого

Муж не дебил, он админ с чувством юмора 💻

Читать полностью…

Пост Лукацкого

Неминуемо приближается Черная пятница, а значит настало время тратить деньги, хотя это и стало делать сложнее🤷
Уже по традиции можно посмотреть скидки на различные курсы, сервисы и утилиты по направлению ИБ в репозитории InfoSec Black Friday Deals ~ "Friday Hack Fest" 2023 Edition 🔥

Еще можно заглянуть в Awesome Black Friday/Cyber Monday Deals - 2023 - здесь также можно найти скидки на книги, утилиты, сервисы различных направлений🛍

Читать полностью…

Пост Лукацкого

Когда с вашей символикой делают разные прикольные штуки, значит любят, значит появляются фанаты, значит тема ушла в народ!

Читать полностью…
Подписаться на канал