alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Хакеры взломали Twitter Виталика Бутерина. Мошенники разместили на странице фишинговую ссылку по раздаче NFT. Пользователи потеряли в общей сложности более $691 000. @banksta

Читать полностью…

Пост Лукацкого

CISA обновило свое руководство по защита от DDoS-атак на сайты. В первой части даются советы по выбору защитных мер в зависимости от роли сайта и потенциального репутационного ущерба. Во второй описываются различные технические меры защиты от DDoS-атак

Читать полностью…

Пост Лукацкого

Латышский CERT разродился отчетом об анализе киберактивности и извлеченных уроках по следам российско-украинского конфликта - https://www.nksc.lt/doc/rkgc/report_on_cyber_lessons_learned_during_the_war_in_ukraine.pdf

Читать полностью…

Пост Лукацкого

Интересное наблюдение. У нас ломают компании и сливают, в основном, персданные. Из свежих кейсов - позавчерашний МТС Банк и вчерашний Ростелеком (если украинские чатики не врут). А у китайцев, если и течет 💦, то исходные коды, описания проектов и т.п., как недавно у Хуавей. А все почему?

У нас всегда понятно, где имя, а где фамилия, и данные можно использовать понятным образом. Например, обогатить имеющиеся базы, поспамить, безакцептно списать средства (как после свежей утечки в одном банке) и тп. А у китайцев 🇨🇳 хрен разберешь, где что. Да еще и иероглифами 🧧. Напишешь так господину Си Цзунь Пуну «Уважаемый, Си! Мы предлагаем вам бесплатный курс омолаживания и чистки кожи», а потом окажется, что Си - это фамилия, а вовсе не Пун. Поэтому проще исходники тырить, да другое ноу-хау.

ЗЫ. Интересно, а у Хуавея есть компания в экосистеме, которая им услуги SOC предоставляет?

Читать полностью…

Пост Лукацкого

Обещали — публикуем! 👀

На нашем YouTube-канале Positive Events можно посмотреть записи выступлений со стенда Positive Technologies на IT-пикнике, который прошел в Коломенском.

•‎ Уязвимости в тренде? Как понять, что вы не дуршлаг. О том, как создавать продукты, делающие компании неуязвимыми к кибератакам

•‎ Как поймать хакера с помощью искусственного интеллекта

•‎ Как устроен мир вокруг нас: реверс-инжиниринг embedded-устройств

•‎ Преступления в open source: расследуем трояны в Python Package Index

•‎ Как (не) потерять годовой бюджет компании из-за одной ошибки в коде

Пароль: N4GOR5HK3S!D1TKOROL. Что хакерам известно о паролях

•‎ Как заработать на ипотеку, или Вкатываемся в bug bounty

Приятного просмотра! 🍿

#PositiveЭксперты

Читать полностью…

Пост Лукацкого

Кто приносит заметную пользу инфобезу в России? Конечно же БИТ ИТМО 😇

Аспирант Дмитрий Сивков, магистранты Роман Сафиуллин и Кирилл Ерыпалов под руководством Алисы Воробьевой перевели на русский язык матрицу MITRE Atlas - обширную базу знаний о техниках и тактиках злоумышленников, совершающих атаки на системы искусственного интеллекта. Больше не нужно "прыгать" между матрицей и переводчиком. Достаточно открыть заветную ссылку.

Пользуйтесь матрицей для изучения методов и тактик атак, это поможет вам лучше понимать угрозы и средства защиты.

В MITRE Atlas вы найдете навигатор, содержащий разнообразные данные, которые могут быть использованы для исследований и анализа киберугроз.

Пользуйтесь русскоязычной MITRE Atlas, чтобы развить навыки необходимые для будущей карьеры в кибербезопасности и стать более конкурентоспособными на рынке труда.

Матрица на английском языке постоянно обновляется — по мере выявления атак в нее добавляются новые кейсы — и мы не отстаем, обновления выходят на русском языке с задержкой в несколько дней.

👉 Русскоязычная версия размещена на сайте факультета: https://atlas.securityhub.ru/. Как и англоязычный аналог, она интерактивная — в каждое из полей можно углубляться, изучая кейсы.

Читать полностью…

Пост Лукацкого

"Интеграл" Минцифры постит у себя регулярно всякую аналитику или переводы интересных материалов по ИБ. НТЦ ГРЧЦ делает тоже обзоры всяких инициатив в рамках своей сферы (другой вопрос, что они выхватывают из мировой повестки только то, что укладывается в направления их деятельности - запрещать, блокировать, не разрешать, ограничивать). Вот еще бы ФСТЭК, НКЦКИ и ФинЦЕРТ начали бы постить регулярную и оперативную экспертную аналитику. Цены бы им не было 🥇

ЗЫ. Пока ФСТЭК просто репостит новости своего сайта, НКЦКИ публикует еженедельную статистику по числу заблокированных им угроз разных типов. ФинЦЕРТ не постит ничего.

Читать полностью…

Пост Лукацкого

Свеженькая кривая хайпа от Гартнера по SecOps. Ее можно детально пообсуждать (там много текста в отчете), но может быть в блоге опишу. А пока я обратил внимание на два момента:
🔤SOARы при всей своей раскрученности должны выйти на плато продуктивности только через 5-10 лет. Это, конечно, интересно. Хотя, с другой стороны, история с кучей продуктов, которые что-то должно интегрировать через себя, на практике наталкивается на кучу сложностей, которые приходится решать часто вручную. Ну и какая там тогда автоматизация?
🔤Гартнер ввел новую аббревиатуру (мля, не смешно уже) - ASCA (Automated Security Control Assessment). Это решения, которые позволяют убедиться, что средства защиты типа SIEM или XDR корректно настроены; и делается это на непрерывной основе.

Читать полностью…

Пост Лукацкого

Фееричная история, конечно. Было длительное затишье с такими кейсами. Я уже думал, что они ушли в прошлое, так как надо очень сильно постараться, чтобы поверить в такое нагромождение событий; да еще и перевести немалую сумму денег 🤑

Читать полностью…

Пост Лукацкого

Эта история заставляет задуматься о том, как система защищена от дипфейков?

Читать полностью…

Пост Лукацкого

Так часто бывает, тратится куча денег на навороченные решения по ИБ, а людей, которые могли бы их эффективно использовать, нет или нет денег на их обучение. И самое неприятное в этой истории, что все шишки летят в средство защиты, а не в менеджера ИБ, который не учел этот нюанс. Мол средство защиты настолько сложное, что пользоваться им невозможно. Хотя и такое тоже бывает, что уж скрывать.

Читать полностью…

Пост Лукацкого

FraudGPT, DarkGPT, WormGPT, Evil-GPT и другие джепеты в руках злоумышленников. Сначала это были просто плагины и скрипты для джейлбрейка ChatGPT, а позже появились и собственные языковые модели, обученные на датасетах, составленных по хакерским форумам. Что дальше? Не за горами переобученные на даркнете модели YaML, ruGPT и mGPT? Who knows?..

Читать полностью…

Пост Лукацкого

Пока ЦБ 🏦 запускает цифровой рубль, игнорирует предложения отрасли по внесению изменений в ГОСТ 57580.1 и подносит все новые и новые пачки бумаг к своему принтеру, NIST выпустил неплохой бюллетень NIST IR 8408, рассказываются, что такое стейблкойны и какие нюансы ИБ необходимо учитывать при работе с ними.

Если вам нужен быстрое включение в тему блокчейна, криптовалют, смарт-контрактов, криптовалютных токенов, централизованных и децентрализованных финансов CeFi и DeFi, инфраструктуры стейблкойна ⛓, то NIST IR 8408 является очень неплохим введением в проблематике. Там же написано и про вопросы ИБ, стабильности и доверия при работе с стейблкойнами. Очень неплохой документ. Нашим бы такое, но увы 🤷

ЗЫ. А ISO тоже не стоит на месте. Одобрен стандарт ISO/TS 23526 "Security aspects for digital currencies", а по ISO/IEC PWI 13133 NP "Security reference model for digital currency hardware wallet" открыто голосование.

Читать полностью…

Пост Лукацкого

💦 Как и зачем фабрикуют утечки?

Страшный сон любого CISO — увидеть название своей компании на сайте утечек какого-нибудь Lockbit или просто в объявлении «продам базы» на даркнет-форумах. Впрочем, такая ситуация — не повод паниковать. Утечка может оказаться фейком.

В статье на Dark Reading Юлия Новикова, руководитель отдела мониторинга цифровых угроз, приводит две основные причины изготовления фейков: молодые группировки ищут славы и бесплатного пиара, а также одни злоумышленники пытаются обмануть других, продав устаревшую или бесплатно доступную информацию.

Три основных способа изготовления фальшивок:
🟣скрейпинг, то есть сбор открытой информации из веба. К этой категории относятся многие «утечки баз из соцсетей»;
🟣манипуляции с устаревшими базами. Реальные, но произошедшие много лет назад утечки регулярно всплывают под видом новых;
🟣объединение баз. Комбинируя открытые данные и старые утечки можно слепить нечто, похожее на новую утечку, хотя фактически новой информации в ней нет.

Как отличить фальшивую утечку от настоящей? Подробные советы приведены в статье, но две основные рекомендации — не общаться с преступниками и до принятия любых решений тщательно проверить доступные данные, чтобы оценить правдивость утечки.
В целом работа с утечками и мониторинг даркнета являются достаточно специфической работой, сильно отличающейся от повседневных задач ИБ-команды, поэтому их очень эффективно отдать на аутсорсинг узким специалистам.

#советы @П2Т

Читать полностью…

Пост Лукацкого

У хакеров не бывает выходных и они работают в режиме 24/7. Если ваша служба ИБ работает в режиме 8/5, то кто вас защищает в остальные 🔤🔤🔤 часов в неделю?

Чтобы было еще понятнее - 5️⃣ полных суток в неделю вы никак не защищены!

Читать полностью…

Пост Лукацкого

И никаких дипфейков не надо, чтобы люди повелись на сообщение кумира/селебрити 🤷

Читать полностью…

Пост Лукацкого

Ты весь из себя такой крутой CISO, настроил механизмы защиты почты от фишинга и спама. И тут тебя накрывает новая волна 🌊 фишинга, созданного с помощью ChatGPT, FraudGPT и других средств на базе искусственного интеллекта

Читать полностью…

Пост Лукацкого

Один день из жизни животных аналитиков SOC. Хэппиэнда не будет 🤷‍♂️

ЗЫ. Видео не мое, но идея мне понравилась. Надо будет подумать об этом 🎬

Читать полностью…

Пост Лукацкого

Интересно, о чем думают люди, заявляющие, что «утечки не было и вообще это не наше»? Ведь если ты в курсе реального 3,14здеца, то должен понимать, что детали точно всплывут, как они всплывали уже не раз. Хуже, конечно, когда ты не в курсе, что у тебя на хозяйстве происходит.

Отмазки про маскированные данные и сборную из разных банков утечку карт выглядят по-детски. Ведь это также проверяется на раз-два. Оперативная реакция, это, безусловно, хорошо, но надо же просчитывать на шаг-другой вперед. Бизнес-игра «А что если» не просто так придумана 🎲

Есть определенная ирония, что анализ утечки делает компания DLBI, которая была привлечена другой частью экосистемы МТС для мониторинга утечек. Очень быстро удалось продемонстрировать результаты своей работы и свою непредвзятость.

ЗЫ. Интересно, кто банк мониторил?

Читать полностью…

Пост Лукацкого

За джунами в ИБ нужен глаз да глаз... Берегите «детей» 🚸

Читать полностью…

Пост Лукацкого

Насчет пользы инфобезу я бы поспорил, но как человек, сам переводивший матрицу MITRE ATT&CK (правда, в контексте маппинга ее с методикой оценки угроз ФСТЭК), не могу не отметить эту работу. Хотя повторюсь, практическая польза от перевода матрицы выглядит сомнительной (перевод книг по ИБ имеет больше пользы, как мне кажется), но учитывая, что по опросам у меня в канале, не так уж и много людей хотя бы читает по английски, такая работа может и полезна. В общем, у меня разноплановое отношение к ней, но если кому-то зайдет, то и хорошо.

ЗЫ. Но лучше учить английский. Даже не китайский, так как на последнем пока мало чего по ИБ интересного есть.

Читать полностью…

Пост Лукацкого

Пользователи мудрого ИБобота пишут, что он дважды выдал один и тот же совет в течение двух дней. Я бы мог сказать, что хороший совет не грех и повторить, но я отвечу иначе! Советы выбираются случайным образом и вполне возможная ситуация, что он дважды выбрал один и тот же совет. Хотя для продукта, выпущенного в прод в первый же день это, конечно, странно 👨‍💻 Посмотрим, что будет завтра!

ЗЫ. Вариант с отсечкой ранее выданных советов тоже рассматриваю, но у него есть и свои отрицательный стороны. В частности то, что новые пользователи их не увидят до окончания всего цикла и то, что я список регулярно пополняю, а значит отсечка будет обнуляться.

ЗЗЫ. Проведенные тесты показывают, что это реально так совпало 😲

Читать полностью…

Пост Лукацкого

Жительнице Зеленограда написал Джон Бон Джови. Они общались три месяца в соцсетях. В итоге девушка перевела рок-звезде (а ещё ФБР и американскому прокурору) 1,5 миллиона рублей.

Мужчина с аватаркой Джона Бон Джови написал 32-летней Насте в апреле 2023-го. Исполнитель признался, что давно хотел познакомиться с такой, как она. Отношения развивались довольно быстро, социальная дистанция в соцсетях сокращалась изо дня в день. И вот уже Джон предлагает Насте купить секретную VIP-карту для прохода на любые концерты. Всего за 150 000 рублей. От такого подгона девушка отказаться не могла и сразу перевела американской рок-звезде деньги на его российскую карту. И стала ждать.

Пока VIP-карта шла из США, Джон отправился в турне по Австралии. Там он узнал, что у его дочери проблемы, а карты VISA и Mastercard почему-то не работают. Поэтому попросил Настю отправить еще денег на самую стабильную в мире российскую карту. Настя отправила ему ещё 276 000 рублей.

Вскоре музыкант попытался вернуть ей деньги переводом. Но проклятые санкции не проходят бесследно: операцию заблокировали. Из-за сомнительных (с точки зрения американского законодательства) переводов у Джона начались проблемы с его родной налоговой. Насте на почту даже написал директор ФБР Роберт Мюллер, и, чтобы у Бон Джови не было проблем, ей пришлось перевести на счет ФБР еще 480 000 рублей. Правда, почему-то на ту же российскую карту рок-звезды.

Подозрения у Насти возникли, когда ей отдельно написал ещё и американский прокурор, попросив перевести дополнительно 690 000 рублей, чтобы отозвать дело. Деньги снова надо было переводить на ту же российскую карту.

Читать полностью…

Пост Лукацкого

🎭 В Петербурге система оплаты лицом перепутала близнецов. Как пишет «Фонтанка», в конце августа житель города по имени Алексей зашел за покупками в «Пятерочку». Там с недавних пор заработал совместный со «Сбером» сервис «Оплата улыбкой», и Алексею удалось им воспользоваться. Проблема в том, что биометрию через приложение банка он не сдавал, в отличие от его брата-близнеца, который живет в Анапе.

💬 Алексей: «Самое смешное, что это было неосознанно: стал оплачивать покупку и случайно нажал на "Оплату улыбкой", причем я даже не понял сначала, что это за функция. Потом загорелся экран, появилось мое изображение, я удивился, думаю: "Надо улыбнуться, что ли?" И я улыбнулся, после чего появилась надпись "покупка оплачена". Сумма покупки была совсем небольшая, подумал, что это, наверное, какой-то бонус программы "СберСпасибо". Зашел в мобильный банк, а списания нет. И только потом я подумал, а не списались ли средства у моего брата».

📌 "Ъ FM" ожидает комментария от «Сбера». При этом на сайте банка говорится, что близнецы и правда могут столкнуться со сложностями при использовании биометрии. Например, если один из братьев уже сдал образец в систему, у второго, скорее всего, это сделать не получится.

@kfm936

Читать полностью…

Пост Лукацкого

Если бы у нас статья об оскорблении чувств верующих трактовалась не узко в религиозном контексте, то я бы на месте профессиональных криптографов подал в суд на депутатов и сенаторов ⚖️, которые ставят знак равенства между VPN и средствами обхода блокировок, оскорбляя тем сам чувства экспертов.

Говорят, что хуже дурака только дурак с инициативой 🤦‍♂️. На самом деле, гораздо хуже дурак, у которого есть возможность реализации инициативы 😔

ЗЫ. Заодно бы подал в суд на тех, кто считает, что приставка «крипто» связана с криптовалютами, а не криптографией 👩‍⚖️

Читать полностью…

Пост Лукацкого

Open source инструмент для эмуляции хакерских атак Caldera пополнился расширением для тестирования промышленных решений и сетей - https://github.com/mitre/caldera-ot

Читать полностью…

Пост Лукацкого

С очень опасной инициативой вышел МИРЭА на министра цифрового развития. ВУЗ предлагает открыть в России много-много школ киберразведки.

Почему это опасно? Этак людей научат еще больше и лучше обходить блокировки, добывать информацию, которую от них скрывают, проводить анализ разрозненных фактов и сводить их воедино, делая выводы, и вот это вот все. Ведь специалист по киберразведке без навыков критического мышления и аналитических способностей - не специалист. А с ними он опасный субъект для государства. Умных и делающих выводы у нас как-то в последнее время не любят (или любят, но так, что больно становится).

Читать полностью…

Пост Лукацкого

В каталоге известных и активно эксплуатируемых уязвимостей CISA сегодня под тысячу записей. И это прям дофига. И все их выискивать достаточно непросто без наличия простой и понятной процедуры приоритизации. И тут вы, наверное, ждете, что я открою вам истину и расскажу, как правильно проводить такую приоритизацию? Увы, этого не будет. У каждого она своя.

Кто-то не мудрствуя лукаво просто использует CVSS. Но вот, например, выступление представителя суперкомпьютерного центра в американском Питсбурге, который делится собственным опытом выстраивания процесса управления уязвимостями. Он говорит, что для двух ПК с уязвимостями с одинаковым CVSS могут быть кардинально разные последствия и поэтому надо в формулу CVSS добавлять еще данные по сценариям использования или размеру ущерба для бизнеса.

🟥 в июле выпустила исследование "Пять проблем в управлении уязвимостями и как их решить", в котором на 3-м месте находится как раз ошибка приоритизации слабых мест. 24% компаний не учитывают значимость актива. А ведь при приоритизации могут приниматься в расчет и другие параметры. Не случайно на рынке появляются разные системы оценки/рейтинговая дыр - закрытые и публичные, простые и со сложными формулами, обязательные и нет, по популярности на черном рынке. Каждый выбирает для себя. Главное - все-таки ее выбрать и придерживаться 💡

Читать полностью…

Пост Лукацкого

Хотите приобщиться к вселенской мудрости по ИБ? А своевременно узнавать о знаменательных событиях в нашей с вами сфере? А искать и находить российские компании по кибербезу, не обращаясь к моему сайту? В общем, семейный подряд "Лукацкий, сын и Co" запустил "мудрого ИБобота", который поможет со всеми этими вопросами.

Пока всего три функции, но если бот найдет свою аудиторию, то есть планы и по его расширению. Вообще, это был интересный опыт - вместе с сыном творить бота. О том, что он умеет и как его создавали можно почитать в блоге. А потом можете запустить бота, располагаемого по адресу: /channel/secwise_bot

Читать полностью…

Пост Лукацкого

Стены туалетов в офисах компаний 🚽 - недооцененная площадка для проведения мероприятий по повышению осведомленности персонала. В некоторых повернутых на ESG-повестке компаниях такие стены завешаны плакатами об окружающей среде и тем, что писсуары могут быть и вовсе без воды, что экономит целые озера жидкости, которой так не хватает жаждущим народам Африки 🌍

Я тут подумал, что ведь на стены можно и плакаты по ИБ вешать и там что-нибудь про длину пароля вписать, про фишинг и другие тематические советы. А если пойти дальше, то можно и интерактива добавить и наносить на внутреннюю, "рабочую" поверхность писсуара фото сотрудников, нарушающих правила ИБ 🚽 И делать так ежемесячно. Мне кажется, что число нарушителей будет катастрофически снижаться - никто не захочет, чтобы коллеги его помечали 🚽

Читать полностью…
Подписаться на канал