alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Я вновь напомню заметку про утиный тест, в которой высказал мысль, что рядовому пользователю лучше внедрить при корпоративном обучении или в рамках программы повышения осведомленности простую мысль - если нечто похоже на фишинг, имеет признаки фишинга, то это скорее всего фишинг и поэтому на такого рода сообщения (в почте, в мессенджере, в СМС, по телефону...) лучше реагировать соответствующим образом. И даже если случайно вы удалите реальное, нефишинговое сообщение, то пусть это будет уроком тем, кто такую фигню допустил и не подумал, как его сообщение выглядит глазами пользователя, окруженного хакерами всех мастей.

Вот тут НСПК, без предварительного предупреждения, выкатила бета-версию своего приложения для Apple iOS, попутно впаривая каких-то "ежей" 🦔 Да, это классический косяк с кодировками и все такое. Но если бы я получил соответствующее сообщение, я бы его 100% пометил бы как фишинговое и удалил бы. Особенно если о нем заранее не предупредить по официальным каналам. Хотя даже если и предупредить, где гарантия, что это не очередная проверка на фишинг от ЦБ? ЦБ, вон, вчера проводила ранее анонсированную рассылку вредоносов 💌 по банкам с целью проверки их способности реагировать. Правда, не до всех почтовых ящиков рассылка ЦБ долетела, так как если у банка нормально настроен почтовый сервер, то письма без Reverse DNS должна отбрасываться еще на этапе начала сессии. Ну да это уже другая история.

Читать полностью…

Пост Лукацкого

Незаметно перевалил за двадцать тысяч подписчиков 🌡 Никогда не ставил перед собой цели гнаться за этим числом, монетизировать канал, продавать в нем рекламу, нагонять ботов (хотя наверняка они тут есть) и т.п. Просто пишу о том, чем занимаюсь, и то, что мне интересно 🛡 Спасибо вам!

Читать полностью…

Пост Лукацкого

Прикольно, конечно работает антимошеннический бот от Тинькофф. И голос и манера речи очень индивидуальны. Респект. Прям повеселили.

Читать полностью…

Пост Лукацкого

Сертификат ФСТЭК на Dr.Web восстановлен. Всего 2 недели без малого ушло на решение проблем.

Читать полностью…

Пост Лукацкого

Скажем «НЕТ» расизму в ИБ!

Картинка старенькая - до движения Black Lives Matter . Сейчас бы за такое линчевали, а раньше даже шутить можно было.

Читать полностью…

Пост Лукацкого

Расследуя киберпреступления в Международном уголовном суде (МУС), главное, - не выйти на самого себя 🤨

Читать полностью…

Пост Лукацкого

Когда вы оцениваете эффективность своей системы обучения ИБ, то какие вы метрики для этого используете? Количество обученных? Количество пройденных ими курсов? Число фишинговых симуляций? Но ведь эти, лежащие на поверхности метрики, никак не показывают реальную эффективность и, более того, результат обучения. Можно сколько угодно много проходить тренингов, но если поведение работников после них не меняется, то грош цена такому обучению.

Я бы использовал другие метрики (не отменяя предыдущих):
🔤Число инцидентов, связанных с работником, до и после обучения (можно еще инциденты и на ущерб завязать)
🔤(более широко) Число событий/действий по теме обучения, связанных с работником, до и после обучения
🔤Число уведомлений о нарушениях ИБ, о которых сообщает работник до и после обучения
🔤Число успешных пройденных фишинговых симуляций
🔤Время реакции работника (если можно замерить) на действия/события по теме обучения до и после обучения
🔤Тоже самое, что и в п.5, но применительно к частоте действий
🔤Число новых внедренных после обучения мер ИБ (переход на MFA, новые сегменты, снижение числа привилегированных учетных записей, классификация ценной для компании информации и т.п.) применительно к отдельным работникам или подразделениям.

Вообще, таким образом можно оценивать не только отдельных работников, но и целые подразделения, функции или даже отдельные предприятия в рамках группы компаний.

Читать полностью…

Пост Лукацкого

Я тут игрался с инструментом Ransomware Business Impact Analysis, который позволяет оценивать вероятность и ущерб от шифровальщиков, а также порекомендовать меры снижения вероятности наступления негативного события.

С ущербом, конечно, получилась шляпа. Инструмент разделяет ущерб на виды (продуктивность, репутация, реагирование, юридические издержки, замена, конкурентные преимущества и т.п.), но вот суммы (минимальную/максимальную/вероятную) туда надо вбивать самостоятельно (как их считать не сказано). Затем вы указываете используемые у вас защитные меры (далеко не все).

А вот дальше происходит магия и опираясь на введенные значения, вы получаете значение вероятности успешного заражения вас шифровальщиком в ближайший год и насколько это значение снизится, если вы реализуете нужные механизмы защиты из набора CIS Controls. И вот расчет вероятности, мне кажется, самым интересным моментом этого инструмента. Но как он его считает, я пока не понял. Покопаю еще. Сама же идея не то чтобы уникальна, но, отвечая на вопросы, ты волей или неволей задумываешься о том, на что с точки зрения воздействия на бизнес может повлиять шифровальщик, попавший к вам в инфраструктуру. А это уже немало.

Читать полностью…

Пост Лукацкого

Наши «Госуслуги» теперь и в Алжире! Не зря форум «Россия - Африка» провели - результат продвижения наших технологий на новые материки налицо. Скоро и ИБ там будет наша!

А если серьезно, то число мошеннических звонков через WhatsApp 📱 растет и никакие системы «Антифрод» тут не помогают и вряд ли помогут. В курсы повышения осведомленности эту угрозу, наряду со «службой безопасности Сбербанка», пора включать обязательно.

ЗЫ. А для блокираторов всего законодателей - это еще один повод для блокировки мессенджера. Правда, если они не боятся бунта мамочек из родительских чаток, которые поголовно создаются в WhatsApp ;-)

Читать полностью…

Пост Лукацкого

На заметку... У российских средств защиты не так часто приостанавливают действие сертификата. И я в очередной раз задаюсь вопросом "И что?" Что делать заказчику, если у средства защиты, им используемого, отозвали сертификат? Хоть какую-то процедуру или разъяснение на сайте регулятора повесили. Я помню месяца три отвечал на вопросы после отзыва сертификатов на зарубежные средства защиты после начала СВО и все мои ответы были "Не знаю, пишите в ФСТЭК".

Главное, чтобы Dr.Web не уехал за границу. А то будет как с Group-IB. Они официально объявили об уходе из страны в апреле 2023 года и уже в мае действие сертификатов на BotTrek TDS и Group-IB Threat Hunting Framework было приостановлено. В реестре ФСТЭК сейчас всего три продукта, у которых приостановлены действия сертификатов, - два от Group-IB и один от Dr.Web.

А пока у нас подвисает вопрос. По требованиям ЦБ в финорганизации должно быть два (а иногда и три) разных средства защиты от вредоноса. А так как ДИБ почему-то считает, что это может быть только антивирус, да еще и сертифицированный, то возникает проблемка; особенно если проверка ЦБ будет осуществляться именно сейчас, когда формально сертификат не действует.

Читать полностью…

Пост Лукацкого

И в России (раньше), и в США есть требования об уведомлении об инцидентах. Но есть два небольших нюанса, которые кардинальным образом отличают наши подходы. В Америке уведомлять надо не о каждом спамерском сообщении или случайной отправке письма, в подписи к которому ПДн указаны, а только о серьезных кейсах. А во-вторых, и это главное, такие кейсы становятся публичными.

Вот, например, уведомление MGM в Комиссию по ценным бумагам. А вот уведомление от казино Caesars. То есть у американцев нет вот этого: "Ничего не утекало и вообще это не у нас". Инцидент - будь добр уведоми, а регулятор будь добр опубликуй его, чтобы граждане понимали, что и как. И в следующий раз руководство компании десять раз подумает, прежде чем решит скрывать инцидент или отправлять восвояси CISO, пришедшего на инвестиционный комитет защищать годовой бюджет своего подразделения.

ЗЫ. Вот если бы у нас было требование публиковать данные об инцидентах на сайте какого-нибудь регулятора, которого все боятся и который бы был непредвзятый. Только где ж у нас такого найти...

Читать полностью…

Пост Лукацкого

Все-таки, погружаясь в изучение языков программирования, не стоит забывать и про родной язык 😔

Читать полностью…

Пост Лукацкого

Под пехотным киберкомандованием США (ARCYBER) есть отдельная, 780-я разведывательная бригада, отвечающая за кибер-тематику у американской пехоты (у ВВС и моряков есть свои подразделения). В бригаду входит 11- кибербатальон "Левиафан", созданный в прошлом году, который занимается так называемой кибер-электромагнитной активностью (Cyber Electromagnetic Activity, CEMA), а по-русски, кибербезом и радиоэлектронной борьбой. И они на днях меняли свою командиршу, по каковому случаю опубликовали слезливые фотки с церемонии передачи знамени батальона и вот это вот всё.

Но заметка не об этом. Фотографии выложены в 4K и на них прекрасно можно рассмотреть лица всей киберпехоты в хорошем разрешении. И то ли они не боятся, что их можно идентифицировать по лицам, а это дает оперативный простор для маневра, то ли просто не запариваются об этом. А теперь попробуйте вспомнить, видели ли вы когда-нибудь схожие фотографии со сборищ наших кибер-подразделений? У нас это вообще, чуть ли не под гостайну попадает. Как говориться "два мира - два Шапиро".

Читать полностью…

Пост Лукацкого

Вот этот "пресс-релиз" группировки ALPHV по поводу атаки на MGM и о том, как шли переговоры с представителями MGM по поводу выкупа.

Вы же знаете, что и как делать, если вы, вдруг, столкнетесь со схожей ситуацией? У вас есть контакты переговорщиков? А криптовалютный кошелек или понимание процедуры оплаты на него? А просто человек, который уполномочен вести такие переговоры?

Читать полностью…

Пост Лукацкого

А вы знаете, как хакнули MGM в Вегасе? Нашли работника отеля через LinkedIn, позвонили от его имени в HelpDesk и... Дальше пока непонятно, но вроде как сказали, что забыли пароль и попросили помочь вернуть доступ. Бинго… Всего 10 минут общения хакера со службой поддержки и компания с оборотом в десятки миллиардов долларов не устояла. Чем закончится вся история пока непонятно - идет расследование и восстановление. Но MGM, в отличие от Caesars, также столкнувшегося с хакерами, платить скорее всего не будет.

А пока у них идет расследование, задайтесь вопросом - а как вы проверяете подлинность звонящих в Helpdesk сотрудников? У вас есть какое-то секретное слово или вы выдали сотрудникам скретч-карты или вы аутентифицируете их по голосу? Есть у вас соответствующая процедура удаленной аутентификации сотрудников? Что интересно, проблема не нова, - она известна еще с COVID-19, когда многие ушли на удаленку и хакеры также представлялись работниками на дистанционке во время звонков в HelpDesk. 3 года прошло...

ЗЫ. Тем временем в отелях Venetian и Palazzo тоже проблемы с игровыми автоматами - принимают только наличные. Опять хакеры или ИБ решила пойти на опережение и сама все отключила?

Читать полностью…

Пост Лукацкого

Министерство госбезопасности Китая сделало доклад "Uncovering the main despicable means of cyberattacks and secret theft by US intelligence agencies" о том, что АНБ еще в 2009 году взломало сервера Huawei, подтвердив тем самым разоблачения Сноудена, сделанные им в 2013-м. Но помимо старой истории с Huawei китайцы 🇨🇳 приводят в отчете и другие примеры американской шпионской киберактивности, например, взлома северозападного политеха в сентябре 2022 года. Интересно, что в докладе рассказывается о различных примерах американского кибероружия, которое было использовано не только против Китая, но и, внимание, против России и 45 других государств и регионов 🐉

Учитывая, что в мае китайцы уже обвиняли ЦРУ в кибератаках на свои ресурсы, то похоже, что Китай плотно занялся этой темой и от дипломатии за закрытыми дверьми перешел к активным обвинениям своего основного геополитического противника. У китайцев 👲, конечно и у самих рыльце в пушку, но ранее американцев так активно никто не обвинял во взломах других стран (ну кроме Сноудена и Ассанжа, которые просто выложили секретные документы о киберарсенале американских спецслужб).

На минутку представил себе, а что если и Россия сейчас готовит схожий отчет с доказательствами американского кибершпионажа. История с "Триангуляцией" 🚩 сошла на нет и кроме повсеместных запретов iPhone так ни во что и не вылилась. А если бы ФСБ или МИДом был опубликован отчет с проверяемыми результатами, TTP, индикаторами и т.п.? История бы могла разворачиваться по другому сценарию. Если бы и Россия 🇷🇺 и Китай ратицифировали Римский статут, то могли бы со своими доказательствами пойти в Международный уголовный суд, который недавно заявил, что мог бы и расследовать киберпреступления. Вот была бы потеха, если бы судьи МУС 👨🏿‍⚖️ доказали бы вину США. Но это все фантазии, да и МУСу сейчас не до этого - они расследуют кибератаку неизвестных на свою инфраструктуру.

Читать полностью…

Пост Лукацкого

🎊 В следующем году киберфестиваль Positive Hack Days станет еще масштабнее: он пройдет одновременно в двух городах!

Четыре дня крутейших докладов, кибербитвы Standoff, интересных конкурсов для всей семьи и уникальной атмосферы. И все это — ×2.

Сохраняйте даты уже сейчас — 23–26 мая 2024 года. Следите за новостями в наших соцсетях — поделимся подробностями, как только будем готовы.

Вас ждет легендарный PHDays!
Это мы смотрим и посещаем

@Positive_Technologies
#PHD2024

Читать полностью…

Пост Лукацкого

🤖«Тинькофф» создал «боевых роботов» для борьбы с мошенниками

Боты будут как можно дольше удерживать злоумышленников на линии. Таким образом, за день мошенник сможет обзвонить меньше потенциальных жертв.

Читать полностью…

Пост Лукацкого

Аналитик Дэвид Кац предлагает сдаться предполагает, что сеть казино-отелей MGM ежедневно теряет от 10 до 20 процентов оборота и cash flow ежедневно в результате кибератаки, которая длится уже скоро две недели. То есть речь идет о 4,2-8,4 миллионов долларов каждый день.

Если не брать в расчет абсолютные значения, то потеря даже 10% оборота - это, пипец, как много. Для кого-то штраф в 3% от оборота (правда, годового) за инцидент ИБ - это уже недопустимое событие. А тут получается цифра в 3-7 раз выше. Если у них продлится 🍑 с разгребанием последствий, будет интересно посмотреть, чем это все закончится.

Читать полностью…

Пост Лукацкого

Очередная версия о том, что в SOC можно отдавать на аутсорсинг, а что оставить на инсорсинге. При этом оценка дается по двум срезам - ценности для организации и «продуктовости» (хрен знает, как это по-русски сказать, когда часть решений уже давно в перешла в commodity (стала как электричество), а састь требует кастомной доработки и настройки

Читать полностью…

Пост Лукацкого

Cyentia Institute провел анализ данных, предоставленных компанией XM Cyber из их продукта класса CTEM (Continuous Threat Exposure Management), и на основе полученных результатов выкатил интересное исследование "Navigating the Paths of Risk: The State of Exposure Management in 2023".

В отчете привлекла аналитика по популярным уязвимостям, которые могут быть использованы (до сих пор) для реализации кибератак в организациях (первый скрин).
Например, уязвимости в ПО UltraVNC и aPAColypse, выявленные в 2017-2019 годах, наряду с EternalBlue и BlueKeep, всё еще не везде устранены... И это с учетом того факта, что в этих организациях, судя по всему, есть приличные бюджеты на КБ раз они купили решение класса CTEM/APM🤪
А всё почему?А потому что, цитирую, "it
can take a surprisingly long time to remediate vulnerabilities in enterprise environments"
🥲
В подтвеждение этому информация о времени устранения выявленных уязвимостей на втором скрине - на ликвидацию их всех может уходить больше 6 месяцев! И это речь лишь про активно эксплуатируемые уязвимости😵‍💫

Читать полностью…

Пост Лукацкого

А вы знаете, что у американской CISA есть своя ГосСОПКА? Называется эта программа CyberSentry. По сути это SOC с функцией MDR (мониторинг и реагирование), реализуемый не силами самой CISA, а партнерами, которые на волонтерских началах готовы заниматься защитой критической инфраструктуры США. В последней устанавливаются "черные ящики", которые и передают телеметрию в CyberSentry и через которые реализуется реагирование на выявленные инциденты в офисных сетях и АСУ ТП. Для участников, пожелавших отдаться в руки CISA, участие в программе бесплатное.

Читать полностью…

Пост Лукацкого

"ИБ-Защита" - это даже хуже "ИТ-технологий" 😱

Читать полностью…

Пост Лукацкого

Отзыв сертификата ФСТЭК на антивирус Dr.Web поднял и другую проблему (за что спасибо подписчику, который обратил на это внимание). Согласно перечню контрольно-измерительного и испытательного оборудования, программных (программно-технических) средств, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 марта 2012 г. №171, у лицензиата должно быть 3 антивируса от разных производителей, но работающих на Windows и Linux.

Так вот, с сентябрьским отзывом сертификата на Dr.Web (и прошлогодним отзывом сертификатов на иностранные антивирусы) у нас в стране не осталось нужного количества сертифицированных решений, чтобы выполнять требования ФСТЭК к лицензиатам. Вот такой пердимонокль случился... Верю, что решение найдется 🥺

Читать полностью…

Пост Лукацкого

Я думаю, что я знаю, как распознать фишинговое письмо (я же, глядь, безопасник). И если мне ИТ скажет, что они сами за меня будут решать, какую почту мне получать, а какую нет (в целях моей кибербезопасности, конечно), то я возбухну и пойду (или не пойду) качать права, что я в ИБ больше, чем им лет и лучше них знаю, что такое фишинг. Хотел написать, что я стоял у истоков, но это как-то странно звучать будет. Мне же не столько лет, чтобы стоять у истоков фишинга ;-)

Но вот рядовым пользователям вбить в голову простую мысль, что если письмо выглядит как фишинг, то это скорее всего фишинг, стоит. Лучше перебдеть, чем потом разгребать последствия. По сути, это яркий пример утиного теста: «Если это выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, и есть утка.»

Читать полностью…

Пост Лукацкого

Не могу не поделиться. Выступал позавчера на Positive CISO Club про визуализацию ИБ, связь с бизнесом и вот это вот все. После выступления ко мне подходит, внимание, руководитель компании, обеспечивающей кейтеринг и бар в бизнес-центре, где мы проводили мероприятие, и говорит, что после моего выступления он решил к нам обратиться за безопасностью ;-) Одно дело, когда ты рассказываешь на профессиональную аудиторию и совсем другое, когда выступление заходит даже тем, на кого он не было изначально рассчитано 👌

Читать полностью…

Пост Лукацкого

LockBit хочет ввести минимальную сумму выкупа в размере 3% от годового оборота жертвы с возможной скидкой до 50%.

Мне кажется тут не обошлось без Роскомнадзора ;-) А еще откуда могли взяться 3%? Представьте, что российская компания стала жертвой LockBit и ее ПДн утекли. Она встанет перед выбором - 3% Роскомнадзору за утечку или оператору Lockbit, который еще и скидку может сделать. Выбор очевиден ;-)

ЗЫ. Хорошо, что LockBit по России не работает.

Читать полностью…

Пост Лукацкого

Помните, год назад я писал про российский анимационный фильм «Киберслав», который должен был выйти в 2022-м году? Кинопоиск вчера анонсировал, что они не забили на него 🔩 и все еще надеятся его выпустить в своем стриминге. Но уже в 2024-м году. Но тизер уже есть. Но короче и слабее трейлера. Но мы всё равно ждем 🛠 Пора уже не только русских хакеров, но и русских кибервитязей и киберстрижей на международную арену выводить 🪖

Читать полностью…

Пост Лукацкого

Неназванные источники утверждают, что какой-то чувак приперся в отель MGM в Лас-Вегасе и потребовал 40 миллионов за восстановление после кибератаки. И это прям странно, так как хакеры в здравом уме такие выкрутасы не проделывают.

Это какими надо обладать умственными способностями, чтобы припереться в казино, где охраны больше чем игроков (шучу, но все равно немало) и потребовать выручку за 2-3 дня работы одного казино и отеля? Или это кто-то недалекий из MGM решил распространить неофициально в СМИ, чтобы показать, что расследование идет по плану? А может просто какой-то идиот так неадекватно решил пошутить? В любом случае хакеры уже опубликовало свое официальное пояснение по сложившейся ситуации...

Читать полностью…

Пост Лукацкого

Продолжает развиваться проект OpenCRE - агрегатор требований по безопасной разработке из различных стандартов и баз (ASVS, SAMM, ISO27XXX, NIST, CWE, CAPEC и другие).

Проект просто пушка 🔥
Недавно разработчики обновили каталог, добавив связи с новыми источниками требований, а на днях выкатили своего чат-бота, с прикрученным PaLM от Google. Преимуществом OpenCRE-chat заявляется высокая точность ответов, так как информация берется из доверенных источников (best practics) и "не захламляется непроверенной информацией с других ресурсов"🧐

Читать полностью…
Подписаться на канал