alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Шутки шутками, но вообще интересный способ вовлечения учащихся 👨🏻‍🎓👩🏼‍🎓 в учебный процесс. На каком-нибудь химфаке можно химические формулы давать, на филологическом паролем может быть окончание фразы «Mundus vult decipi, ergo…» на латыни, на геофаке название самого популярного минерала триасово-юрского периода, а на историческом - кого использовали жители Фемискиры против римских солдат, устроивших подкоп под стенами города… 🤬

Читать полностью…

Пост Лукацкого

Вот и такое тоже бывает... 😕 Кто-то хорошо отметил день чекиста... 🥂

ЗЫ. Ссылку не подскажу! 😡

Читать полностью…

Пост Лукацкого

Так совпало - Гарвард и ГРЧЦ Роскомнадзора поделились своими взглядами на развитие ИИ в 2024-м году.

По версии Гарварда Топ7 тенденций выглядят так:
1️⃣ ИИ даст белым воротничкам больше возможностей для проявления себя.
2️⃣ Рост числа дипфейков
3️⃣ Дефицит GPU-процессоров
4️⃣ Появление первых ИИ-агентов, не только помогающих, но и делающих что-то за людей
5️⃣ Принятие CREATE AI Act в США, который позволит студентам и исследователям получить доступ к ИИ-ресурсам, данным и инструментам
6️⃣ Мы будем задавать все более сложными вопросами о том, что мы хотим от ИИ в нашей жизни, и насколько результаты реализации ИИ наших целей будут совпадать (это так называемое выравнивание)
7️⃣ Сложное влияние принимаемой нормативки в области регулирования ИИ на бизнес; особенно в части защиты приватности.

ГРЧЦ имеет свой взгляд на развитие ИИ. По их мнению мы увидим следующее:
1️⃣ Третья революция пропаганды и шквал дезинформации
2️⃣ Применение нейросетей для поиска дезинформации
3️⃣ Внедрение духовного фильтра в использование цифровых инструментов и возрастание роли Русской православной церкви в принятии решений по вопросам применения ИИ
4️⃣ Избегание иностранных языковых моделей, построение своей LLM на наших этических нормах и вовлечение силовых структур в вопросы регулирования ИИ
5️⃣ Создание единого центра валидации качества решений на базе ИИ и их безопасности
6️⃣ Мультимодальные генеративные модели, преимущественно проприетарные
7️⃣ При внедрении ИИ надо будет учитывать вопросы этики и духовные скрепы

В чем разница этих взглядов? Ученые Гарварда (а там прогнозы озвучивали эксперты уровня Fellow) видят в ИИ больше пользы, а имеющие сложности предлагают решать, сильно не ограничивая технологии. Экспертный совет ГРЧЦ видит в ИИ либо плохое (пропаганда и дезинфорация) и поэтому его надо контролировать и ограничивать, либо думает о применении ИИ для поиска плохого и неразрешенного. То есть Гарвард думает о том, чтобы применение ИИ приносило пользу ☺️ а ГРЧЦ - чтобы использование ИИ не приносило вреда 👿 Кардинально разные подходы, которые выльются у нас и в соответствующие, как правило, запретительные и карательные решения. А жаль 🤠

Читать полностью…

Пост Лукацкого

Грядет очередной картель команд шифровальщиков... LockBit и ALPHV

Читать полностью…

Пост Лукацкого

Производитель косметики EOS выпустил кодовый замок для своего лосьона, чтобы мужчины не могли пользоваться им.

Насадка также подойдёт для шампуней и девушки в сети уже празднуют победу — теперь можно покупать дорогие средства для волос и не переживать, что их не будут использовать не по назначению

Прямой эфир - подписаться

Читать полностью…

Пост Лукацкого

Вроде как обновилась Вики по APT-группировкам. Странный формат, когда все на одной странице и сложно отслеживать изменения, ну да ладно...

Читать полностью…

Пост Лукацкого

Уж не знаю, кто ходит в день чекиста на сайт АНБ знакомиться с их ежегодным отчетом о проделанной работе; поэтому я вам этот отчет скачал, что бы вы не светили там свои IP-адреса (а мне уже терять все равно нечего 🤘). Ничего сверхестественного и секретного там нет - просто добротно сваяный документ про все хорошее, против всего плохого. Америка спасает кибермир, АНБ на острие и все должны быть ему обязаны и благодарны. Но мы-то знаем, кто отмечает свой полтинник и стошестилетие и кому мы действительно обязаны 🤓

Читать полностью…

Пост Лукацкого

На фоне сложностей с российско-китайским автопромом, многие автолюбители особо не смотрят на то, что происходит в Европе или Америке, которые запретили поставки своих авто в Россию. А там происходят занятные вещи. Например, Porsche перестает в 2024-м году продавать автомобили Macan в Европе из-за... проблем с кибербезом.

В Европе есть свои требования по кибербезу к автомобилям (почитайте их на русском языке 👇). Там интересно все - и знак маркировки на авто, и сертификаты соответствия, и модель угроз, и меры смягчения негативных последствий от реализации кибератак. Отказ от продаж Macan связан с тем, что его разрабатывали до появления требований и вносить правки будет слишком дорого. И это несмотря на то, что Macan был бестселлером Porsche в Европе (даже Cayenne был на втором месте по числу продаж).

ЗЫ. Другие модели VW Group, а именно VW e-Up, VW Transporter T6.1, Audi TT и R8 также подпадают под новые европейские требования, но они вроде соблюдены в этих автомобилях. По крайней мере, пока VW Group не объявляла о прекращении продаж.

Читать полностью…

Пост Лукацкого

Поздравляя сегодня по смс, соцсети, телефону, мессенджеру и другим средствам коммуникаций своих бывших|действующих коллег с праздником, который обычно празднуют 20-го декабря, 🫡 помните, что тем самым вы раскрываете их контакту врагу, который по одной только фразе "Поздравляю" 🫡 может понять принадлежность абонентов/пользователей к ВЧК|ГПУ|НКВД|НКГБ|ОГПУ|МГБ|КГБ|АФБ|МБВД|МБ|ФСК|ФСБ (хотя, думаю, представителей первых органов госбезопасности уже и не осталось) 🫡 Так что поздравляю за всех 🫡

Читать полностью…

Пост Лукацкого

ФСТЭК может ограничить использование софта бывшей Group-IB
https://www.vedomosti.ru/technology/articles/2023/12/19/1011732-fstek-mozhet-ogranichit-ispolzovanie-softa-bivshei-group-ib

Программные комплексы от Group-IB (с июля 2022 г. – FACCT) могут попасть под запрет, в них усмотрели угрозу безопасности субъектов критической информационной инфраструктуры (КИИ). Об этом рассказали «Ведомостям» два источника в компаниях в сфере кибербезопасности. Представитель FACCT уточнил, что действие сертификата ФСТЭК, который необходим для использования на объектах КИИ, было приостановлено.

Согласно реестру ФСТЭК, в отношении юрлица «Группа Айби ТДС» (F.A.C.C.T.) с 22 апреля 2016 г. действует лицензия на деятельность по технической защите конфиденциальной информации.

Но по продуктам этой компании Bot-Trek TDS и Group-IB Threat Hunting Framework (используются для выявления ботнетов и реагирования на киберинциденты) действие сертификатов средств защиты информации приостановлено 24 мая 2023 года.

По предположению представителя FACCT, запрос ФСТЭК к субъектам КИИ может быть связан с «текущей проверкой Bot-Trek TDS и Group-IB Threat Hunting Framework в рамках возобновления действия лицензии», что является «стандартной процедурой регулятора». Он также не исключил, что сама проверка ФСТЭК может быть вызвана уходом Group-IB из России.

Читать полностью…

Пост Лукацкого

В 11-ю статью европейского 🇪🇺 закона Cyber Resilience Act (CRA) хотят внести требование раскрытия вендорами госорганам в течении 24-х часов после начала использования в атаках непатченных уязвимостей.

ИБ-эксперты выступают против, считая, что государство будет использовать эти сведения для слежки или проведения разведки против неугодных.

Читать полностью…

Пост Лукацкого

В 12-й пакет европейских санкций включено несколько ИБ-компаний:
1️⃣ Бизон
2️⃣ Информзащита
3️⃣ Инфотекс

Читать полностью…

Пост Лукацкого

Если почитать описание Премии Рунета, то это «общенациональная награда в области высоких технологий и интернета. Поощряет выдающиеся заслуги компаний-лидеров и отдельных деятелей, внесших значительный вклад в развитие российского сегмента сети Интернет (Рунета)» и, как по мне, так ключевыми там являются слова «выдающиеся заслуги» и «значительный вклад» 🏆

Так вот к номинации «Информационная безопасность» 🛡 в этом году у меня есть вопросы с этой точки зрения. Там половина номинантов с трудом тянет на выдающийся и значительный вклад, как по мне. Часть вообще обычные продавцы продуктов и сервисов ИБ 🤷 А ведь есть те, кто всерьез достоин был приза, но не подался или их не подали. А жаль 😭

ЗЫ. В других номинациях было еще хуже. Как можно было наградить за развитие Рунета ГРЧЦ, который только и делает, что блокирует всех и вся?.. 🤠

Читать полностью…

Пост Лукацкого

Ура, день не пройдет зря, так как сегодня празднуется день основания Гостехкомиссии СССР (ФСТЭК является ее правопреемницей) (1973)

Читать полностью…

Пост Лукацкого

Судя по направлению исследований бойцов из последней заметки, они достаточно активно занимаются атрибуцией хакерских группировок и кампаний, - за последние 8 лет достаточно интересные темы выступления на разных ИБ-конференциях. Но судя по тому, что они до сих пор копают одну и ту же тему с разных сторон, явных прорывов у них все-таки нет.

Читать полностью…

Пост Лукацкого

Когда специалисты по ИБ говорят и пишут "митигация рисков", "коллаборация" и "комплаенс" Ожегов с Далем переворачиваются в гробу ⚰️ Особенно удручает тот факт, что также говорят и пишут люди, призывающие очистить русский язык от англицизмов 👋

Читать полностью…

Пост Лукацкого

Утренний квиз требует пояснений, как мне кажется. Чтобы ответить на него правильно, недостаточно было полагаться только на логику - надо было хорошо знать законодательство. Мы все знаем, что об утечках с персональными данными мы должны уведомлять РКН. Многие, почему-то решили, что этого достаточно, но нет 😮

77-й приказ ФСБ 🫡 требует, чтобы об утечках ПДн у субъектов КИИ они сообщали в соответствие с требованиями ФСБ, которые разрабатывались в соответствие с законом о безопасности КИИ. Согласно этим требованиям мы обязаны (независимо от категории значимости объектов КИИ) уведомлять ФСБ (ГосСОПКУ) об инцидентах, список которых утвержден НКЦКИ. Там есть разглашение информации, к которому утечка прекрасно подходит. То есть у нас появляется второй регулятор, которого надо уведомить, - это ФСБ 🫡

Уведомлять Минздравсоцразвития об утечках ПДн, насколько я знаю, не требуется. Как, кстати, и ФСТЭК 🤘 Поэтому у нас осталась одна неясность с Минцифрой. Многие подумали, что этот регулятор только устанавливает требования к аккредитации организаций, обрабатывающих биометрические ПДн, но это не так. 453-й приказ Минцифры, пришедший на смену 930-му (а я в квизе сослался на уже отмененный приказ 😞, спасибо, что обратили мое внимание), также требует уведомлять это ведомство в случае инцидентов с биометрией (только голос и лицо), включая, конечно, и утечки 🎭 Да, никто так и не знает, как, в какой форме и в течение какого времени это надо делать, но само требование есть.

И наконец. Выполнение обязанности по одной ветке законодательства (ФЗ-152), не отменяет обязанностей по другим веткам. Никаких договоренностей о том, что можно отдавать только в РКН и все, а он сам уже раздаст остальным регуляторам, не существует. Даже договоренность между НКЦКИ и ФинЦЕРТом о том, что финансовые организации могут не отправлять сведения об инцидентах в ГосСОПКУ, если они это делают в ФинЦЕРТ, не подкреплено никакими нормативными актами - это джентльменское соглашение 🧐 которое всех устраивает. Но, например, такого соглашения между ЦБ и РКН уже не существует (хотя ДИБ ЦБ на последнем Уральском форуме обещал его заключить). И уж тем более его нет между Минцифры и ФСБ, и даже между Минцифры и РКН (хотя второй подчиняется первому) 😕

Вот такая странная конструкция. Об одном и том же надо сообщать разным регуляторам, разными способами, в разном объеме и в разных форматах. Пора бы уже синхронизировать все, как мне кажется. Вон американцы в сентябре озаботились этой же проблемой.

ЗЫ. Позор мне. Стоило 1,5 года как перестать следить за нормативкой, как все, былые навыки утрачены 😞 Упустил из виду замену 930-го приказа на 453-й. На сам квиз это никак не влияет, но все равно, неудобно получилось

Читать полностью…

Пост Лукацкого

Картинка из утренней заметки, а то вдруг вы ее пропустили или посчитали неинтересной аннотацию 😊

Читать полностью…

Пост Лукацкого

Я тут подумал, что, допустим, у нас есть следующие исходные данные:
1️⃣ Внесенные в парламент законопроекты с указанием их дат и авторов законодательных инициатив
2️⃣ Выступления президента
3️⃣ Выступления депутатов и сенаторов, в том числе и в соцсетях.

Если натравить на все это ML (он же у нас вроде пока не запрещен и даже поощряется его применение), то можно найти много интересных взаимозависимостей и даже учредить множество наград для "избранников" народа, которые работают во благо отрасли ИБ. Я сходу придумал следующие номинации:
1️⃣ "ИБ-лизоблюд года" 🍑 Дается тому избраннику, кто быстрее всех реагировал на выступления президента страны и вносил по их результатам карательные или запрещающие законопроекты
2️⃣ "ИБ-балабол года" 😱 Дается тому избраннику, кто больше всего говорил и писал о важности что-то сделать в области регулирования (не важно, в хорошем или плохом смысле), но так ничего и не сделал, не внес ни одной инициативы
3️⃣ "ИБ-порожняк года" 💻 Дается тому избраннику, кто больше всех говорил на тему кибербезопасности с высокой трибуны, провел много заседаний, поучаствовал в наибольшем числе мероприятий, но все в пустоту
4️⃣ "Пассивный" 🙏 Дается самому незаметному избраннику, работающему по ИТ/ИБ-тематике.

Можно еще было бы предложить номинацию "ИБ-польза года", но боюсь она так и останется вакантной и никем неполученной.

Читать полностью…

Пост Лукацкого

Благодаря подписчице (за что ей спасибо) узнал о дискриминации по половому признаку в ИБ. Одна радость была в ванне 🛁 - воспользоваться шампунем (или гелем для душа, фиг поймешь, они же одинаковые) жены и намылить себя всего и везде 🧼 А теперь нет, кодовые замки стали на тюбики ставить. Так, глядь, мыльницы по отпечаткам пальцев начнут открываться...

Читать полностью…

Пост Лукацкого

Я уже не раз обращался к теме написания резюме и в последней статье 2 года назад специально сфокусировался на важной моменте при написании резюме ✍️ а именно на фиксации результатов, которые были достигнуты кандидатом на замещение вакантной должности. Ведь на работу берут за то, что сделал человек, а не за то, что он делал. Вроде разница в одну букву, но она колоссальная. Во втором случае речь о процессе, который в худшем случае вырождается в бег на месте; ну или в бег по кругу. А вот в первом случае вы достигли некой цели и получили результат. Попробовал набросать примеров, которые показывают реальный результат в резюме ИБшника.

Читать полностью…

Пост Лукацкого

Ну и сами европейские требования по кибербезопасности автомобилей

Читать полностью…

Пост Лукацкого

MITRE Engenuity Center for Threat-Informed Defense (Center) анонсировал новый проект SMAP (The Sensor Mappings to ATT&CK Project), который еще больше облегчает специалистам по обнаружению инцидентов ИБ маппинг различных типов событий, регистрируемых различными популярными инструментами, с техниками из MITRE ATT&CK. За счет такого маппинга можно выявлять отдельные события или цепочки событий ИБ.

В настоящий момент в SMAP маппятся следующие инструменты регистрации событий:
1️⃣ Auditd
2️⃣ CloudTrail
3️⃣ OSQuery
4️⃣ Sysmon
5️⃣ WinEvtx
6️⃣ ZEEK (бывшая Bro)

Авторы SMAP считают, что проект поможет ответить на три животрепещущих вопроса, которые волнуют специалистов по ИБ разного уровня:
1️⃣ Какие известные техники могут быть обнаружены моими инструментами (из списка выше)?
2️⃣ Если я добавлю инструмент Х, то как изменятся мои возможности по обнаружению?
3️⃣ Я волнуюсь по поводу выпущенного TI-отчета и хочу убедиться, что в моей сети не было описанных индикаторов.

Добавлю, что в моей прошлой жизни, во время аудитов SOCов и анализа их возможностей, мы делали тоже самое в ручную с помощью ATT&CK Navigator. SMAP ускоряет эту работу, но пока только для описанных типов сенсоров для Windows, Linux, облаков AWS и сетевого трафика.

Читать полностью…

Пост Лукацкого

Несмотря на все заявления русскоязычной группировки ALPHV, что ее сайт имел проблемы с "железом", оказалось, что это были совсем иные проблемы, а именно действия спецслужб. Правда, ALPHV уже переехали на новую площадку. Это к разговору об эффективности блокировки доменов и ведения черных списков, за которые РКН и его ГРЧЦ получили на днях премию Рунета...

Когда блокировки и черные списки работают? Я вижу несколько условий для этого:
🔤 Закрытый от внешнего мира сегмент Интернет
🔤 Контроль всех хостеров и регистраторов
🔤 Блокировка VPN
🔤 Контроль всех коммуникаций за пределы России
🔤 Блокировка P2P-технологий типа Тора и т.п.

Как мы видим из действия награжденного за развитие Рунета РКН'овского ГРЧЦ и направления регулирования, мы активно движемся по этому списку и, возможно, в 2024-м году они будут реализованы полностью.

ЗЫ. Группировка ALPHV через 15 минут после захвата домена заявляет, что это ее старый домен. Через 2 часа Минюст США выпускает заявление, что они все-таки захватили сервера ALPHV. Через 2.5 часа хакерская группировка опровергает захват домена и угрожает американцам возмездием. Продолжаем наблюдать...

Читать полностью…

Пост Лукацкого

Кучно пошло. Продажа Информзащиты, санкции против Бизона, Инфотекса и Информзащиты (интересно, как бы цена компании упала, если бы покупатели знали о санкциях?), интерес регулятора к FACCT/Group-IB… Вся прогрессивная ИБ-общественность интересуется сакраментальным вопросом - почему Каспера обходят все санкции?..

Читать полностью…

Пост Лукацкого

Банки, конечно, подзасрали мозги 🧠 своим ограниченным набором секретных слов, большинство которых крутится вокруг «девичья фамилия матери», вопроса, который гуглится по соцсетям на раз-два. Мы так привыкли к этому варианту, что даже если у нас есть свобода выбора, используем все равно его.

Если уж и использовать секретные слова, то подходить надо креативно ☝️Особенно слова с негативной коннотацией хороши. Вы вряд ли пишите везде то, что вам не нравится или с чем у вас связаны негативные воспоминания. Например, имя девочки в школе, которая вам отказала в танце на выпускном 🤐

ЗЫ. Новая фамилия вашей бывшей жены (мужа) тоже легко гуглится, но в остальном, есть достойные примеры 😂

Читать полностью…

Пост Лукацкого

Если подходить к задаче про шифровальный диск ☝️формально, то у нее есть три правильных ответа, так как этот диск принадлежал Enigma I и точно не мог принадлежать остальным шифровальным машинам, которые использовали буквы вместо чисел на диске. Но для этого вы должны были либо иметь коллекционное издание Музея криптографии, либо быть фанатом его экспозиции. А вот ответ про "Фиалку" скорее рассчитан на вашу логику.

ЗЫ. Почему-то часто вопрос с частицей «не» многие читают так, как будто «не» нет 🤷

Читать полностью…

Пост Лукацкого

Если вернуться к начальному кейсу с моделью атрибуции, то она там базируется на том, что кто-то уже поставил метку семплу на VirusTotal или в AlienVault. Но с таким подходом есть два нюанса:
1️⃣ Мы предполагаем, что кто-то проставил изначальную метку корректно и не сделал при этом ошибки. Но сами же авторы пишут, что в ряде семплов метки иногда указывают на совсем разные группировки, что уже заставляет задуматься в точности первичной идентификации.
2️⃣ В условиях, когда основные TI-платформы находятся в руках США, по версии которых основные кибер-угрозы исходят из Китая, России, Северной Кореи и Ирана, то о какой непредвзятости можно говорить?
3️⃣ Наконец, для огромного числа семплов метки вообще никто не проставлял. Например, возьмем песочницу/TI-платформу Cisco Secure Malware Analytics; там метки у загруженных семплов - огромная редкость (посмотрите на колонку Tag на скриншоте).

Вот и получается, что при наличии огромных баз семплов (тот же vx-underground продает свою коллекцию вредоносов на почти 30 миллионов семплов) большая их часть никак не маркирована и поэтому строить ML-аналитику на такой основе непросто.

Читать полностью…

Пост Лукацкого

ФСТЭК стукнул сегодня полтинник 5️⃣0️⃣! Ура! 🎆

Читать полностью…

Пост Лукацкого

На европейском BlackHat был интересный доклад от австрияков про применение ИИ для атрибуции хакерских группировок и кампаний. Авторы предложили метод ADAPT (Attribution of Diverse APT Samples), который базируется на достаточно очевидной, хотя и не без греха, идее. Они взяли 6455 семплов с VirusTotal и у AllienVault, которые приписывались 172 группировкам, проанализировали метки, используемые для маркировки APT, вытащили с помощью различных статических анализаторов типа FLOSS, Yara, OLEtools, LIEF и т.п. признаки, преобразовали их и затем кластеризовали.

Точность атрибуции кампаний составила от 91% и выше, а группировок - от 84%. Пока модель тестировалась на известных APT и кампаниях, но авторы трудятся сейчас на ADAPT 2.0, которая будет базироваться на живых данных реального мира.

Читать полностью…
Подписаться на канал