29 октября хакерская группа Ukrainian Cyber Alliance заявила о взломе и уничтожении инфраструктуры Тверской администрации 🔓 Помимо всего прочего пострадала и система взимания оплаты за парковку 🅿️, которая не работала с 29-го по 31 октября. Если попробовать перевести потери бюджета от простоя парковок в деньги, то получится следующая арифметика:

1500 парковок (я округлил, в феврале этого года было 1387) по 30 рублей в час, то есть чуть больше 2-х миллионов рублей при полной круглосуточной загрузке. И хотя более половины сборов в бюджет от платных парковок – это штрафы за неуплату, это не сильно изменит сумму потерь 💰

С другой стороны, для жителей такая атака носит скорее положительный характер, так как они могут парковаться, не затрачивая на это никаких денежных средств, что даже при не очень высокой стоимости парковки (особенно по московским меркам) все равно деньги 💳

Это я к тому, что оценивая ущерб от любого инцидента надо смотреть на него с разных сторон ⚖️ И инцидент, может помимо негатива приносить и какой-то позитив. Вон в кейсе с Delta и CrowdStrike простой самолетов привел к экономии топлива на 50 миллионов долларов, а это, на секундочку, половина бюджета Твери на 2024 год. Это я все к тому, что инцидент, как и риск, имеет дуалистичную природу и не учитывать это было бы неправильно 🤔

Читать полностью…

Фишинг с глубокого озера

Говорят, что в глубинах цифрового озера обитают опасные существа 😱 Их зов трудно услышать, но они пленяют тех, кто оказался неосторожен. Эти сирены фишинга шлют заманчивые письма, притворяясь надёжными коллегами или давно потерянными друзьями. Их слова – словно песня, обещающая доступ к сокровенным данным, безмятежный доступ к скрытым файлам 😘

Ты видишь письмо, думаешь, что это просто запрос или уведомление. Но как только нажимаешь на ссылку, цифровая сирена 🤔 хватает тебя, утягивая в тёмные воды, из которых уже нет выхода. Она впивается в твою информацию, вытягивая всё, что было сокрыто, и оставляя после себя только пустоту. Лишь эхо её зловещей мелодии, шёпот слов, которые предостерегают: "Не все данные стоят твоей доверчивости…" 👋

Читать полностью…

Крипто-вампир: он высосет все твои средства

Глубокой ночью, когда город погружался во мрак, он 🧛‍♂️ подкрадывался к тем, кто доверил свои средства виртуальному миру. Крипто-вампир 🧛‍♀️ В одно мгновение ты видел все свои активы в кошельке, но следующее нажатие – и твои средства начинали истекать, словно кровь под клыками вампира 🧛 Один за другим токены исчезали, пока вампир не насытился. И на экране появилась надпись: "Твои средства – теперь мои…" 🦇

Читать полностью…

Призрак утечки данных

В темноте тихого офиса, когда все сотрудники уже ушли домой, в воздухе повисла странная тишина 😄 Серверная комната, обычно наполненная ровным гулом техники, вдруг замерла. Охранник, проверяющий помещения, уже собирался выключить свет, как вдруг заметил мерцающее свечение, словно тени данных ожили 👻

Тихо, будто сквозь сеть, возник силуэт – нечто прозрачное и зловещее 👻 Это был Призрак утечки данных. Он скользил между серверами, касаясь экранов холодными, невидимыми руками, и в его призрачных пальцах появлялись странные символы – пароли, документы, личные переписки. Он тащил эти фрагменты данных за собой, будто нити паутины, оставляя за собой цифровые следы, едва видимые глазу ☠️

"Что ты хочешь?!" – крикнул охранник, дрожащим голосом наблюдая, как файлы буквально утекают сквозь призрака, исчезая в цифровом небытие 👻

Но Призрак утечки данных не ответил 👻 – он был занят. Его безликое лицо озарила жуткая улыбка, пока он скрывался в темноте, оставляя за собой пустые экраны и полное отсутствие конфиденциальности. Только пустое эхо его зловещего шепота: "Никакие пароли тебя не спасут…" 👻

PS. Госдума тут решила провести ребрендинг Хеллоуина, переименовав его в "Ночь таинственных историй". Тот редкий случай, когда идея депутатов навела меня на что-то положительное. Решил написать несколько таинственных историй, разделив их между своим Telegram (/channel/alukatsky), VK (https://vk.com/id95181438), Instagram (https://www.instagram.com/alexeylukatsky/) и Facebook (https://www.facebook.com/alexey.lukatsky). Кто соберет их все?

Читать полностью…

Из моих виртуальных дневников. 9 лет назад. Хорошая ведь идея 💡 Но тогда к ней никто не был готов. А сейчас, после WAF-дня в Кибердоме (независимого тестирования WAF без предварительного согласования результатов с вендорами 🤬), можно было бы и попробовать. Дать на вход набор кода и вперед 👉

Читать полностью…

А мы тут прикольную визуализацию по защите инфраструктуры замутили 🛡 Кто придет на минский Positive SOCcon в первых рядах (тираж, как обычно, ограничен), тот получит физическое воплощение этой визуализации 💎

Читать полностью…

Как и планировалось, Delta 🛩 подала иск к CrowdStrike за сбой, связанный с неудачным обновлением ПО ИБ-компании 👨‍💻, и понесенными потерями в полмиллиарда долларов, которые получились в результате отмены 7000 рейсов с 19 по 24 июля, которая затронула 1,3 миллиона пассажиров ✈️

Авиакомпания официально насчитала, что она недосчиталась 380 миллионов долларов за возврат средств клиентам 🤑 за отмененные рейсы и еще 170 миллионов было потрачено на восстановление. 50 миллионов долларов было сэкономлено за счет простоя самолетов ✈️ При этом против Delta сейчас начато расследование, а также предъявлено несколько исков, например, вот. Так что потери на круг могут быть еще больше 💸

При этом CrowdStrike считает, что они несут ответственность не более, чем за 10 миллионов. И вообще, это Delta сама виновата 🖕, что отказалась от помощи CrowdStrike. И понять CrowdStrike можно - против них сейчас много исков возбуждено, например, раз, два, три. И если каждому платить запрошенное, то можно прикрывать лавочку ⛔

Но кейс интересен не суммой, а тем, что при любом исходе он может последствия на ИБ-отрасль. Если CrowdStrike 🦃 будет признана виновной, то этот прецедент поднимет вопрос об ответственности всех ИБ- и ИТ-компаний при похожих инцидентах. А вот если суд встанет на сторону CrowdStrike, то у клиентов может начаться отторжение к ИБ-продукции. Так что будем посмотреть 🤔

ЗЫ. Обратите внимание, что Delta посчитала не только потери, но и выгоды от инцидента (в виде экономии на топливе). Это хорошо иллюстрирует, что любой инцидент несет не только негативный окрас, но может иметь и положительные последствия.

Читать полностью…

Не могу не поделиться записью своего выступления на GITEX Global 2024 🍃, которая подтверждает то, что я написал после своего выступления в Сан-Паулу (Бразилия). Не надо бояться, надо пересиливать себя и тогда перед вами откроется истина, которая звучит очень просто - не важно как вы говорите на иностранном языке, важно - умеете ли вы пользоваться инструментами искусственного интеллекта 😂

ЗЫ. Правда, это истина справедлива пока только для записанных видео или для онлайн-трансляций - в остальных случаях язык все-таки знать надо.

Читать полностью…

Trellix провела опрос руководителей ИБ и выяснила, что 84% CISO считают, что их роль следует разделить на две части: техническую и бизнес-ориентированную 🤔 Это связано с увеличением ответственности, включая управление рисками, соблюдение регуляторных требований и взаимодействие с советом директоров. Жаль, что не очень понятно, тех, кого опрашивали хотели бы стать теми, кто общается с бизнесом, или теми, кто занимается техническими вопросами? 🧐

93% директоров по ИБ отметили, что регулирование помогло их карьере, но 79% считают, что поддерживать темп происходящих изменений невозможно. Думая, что и в России 🇷🇺 многие бы согласились с этим. 91% опрошенных ожидают, что рост обязанностей приведет к высокой текучести кадров среди CISO. Ну это старая песня - про сокращение числа CISO, высокую текучку говорят давно...

Читать полностью…

Если почитать различные доктринальные документы по кибербезопасности, выпущенные в США и Европе, то можно увидеть, что основными источниками угроз кибербезопасности называются 4 страны - Китай 🇨🇳, Россия 🇷🇺, Северная Корея 🇰🇵 и Иран 🇮🇷 Про группировки, которые якобы происходят из этих государств пишут многие, но вот мне никогда не встречались исследования ситуации с кибербезопасностью внутри этих стран. Кто атакует их самих? Ведь не может быть так, чтобы они не представляли интереса для других государств или группировок.

И если ситуацию с ИБ внутри России я знаю достаточно неплохо; про Китай тоже можно найти материалы, то вот про остальные две страны сведений практически нет 🤷‍♀️ Тем интереснее мне было увидеть отчет "Iran's cybersecurity threatscape for 2021-H1 2024" (на английском), выпущенный нашей компанией 🟥, который впервые поднимает завесу тайны и раскрывает некоторые интересные кейсы и примеры инцидентов и атак в Иране, а также действий кибергруппировок против этой ближневосточной страны 🕌

Читать полностью…

Запись вчерашнего прямого эфира CyberTalks для канала CyberYozh. Планировалась на 1-1,5 часа максимум, а проговорили 2,5 часа про 🛡, 🔓 и всякое разное.

Читать полностью…

Ирландский "Роскомнадзор" оштрафовал LinkedIn на 310 миллионов евро 💶 за незаконный анализ поведения пользователей и целевую рекламу в их адрес. Это в 6 раз больше недавнего штрафа для Marriott 🤑 К слову сказать, это 2,5% от оборота LinkedIn за весь прошлый год.

Но при всей своей величине 💶, эта сумма не дотягивает до рекорда и даже не входит в пятерку самых больших штрафов за нарушение GDPR, которая выглядит так:
1️⃣ Meta (2023) - 1,2 миллиарда евро 📱
2️⃣ Amazon (2021) - 746 миллионов евро 📱
3️⃣ Meta/Instagram (2022) - 405 миллионов евро 📱
4️⃣ Meta/Instagram/Facebook (2023) - 390 миллионов евро 📱📱
5️⃣ TikTok (2023) - 345 миллионов евро 📱

Во всех случаях, кроме Amazon, отличился ирландский регулятор по приватности. Текущий кейс с LinkedIn 📱 занимает шестое место в общем зачете и пятое по размеру штрафа у "ирландцев" 🇮🇪

В Топ10 лидером по штрафам является Meta 📱, которую нахлобучили уже в совокупности на 2,5 миллиарда евро. И учитывая, что это не первый, не второй и не третий раз, а компания все не извлекает уроки, то выводов я делаю два - либо архитектура решений Meta настолько сложна, что не может быть перестроена под выполнение требований GDPR (что все-таки вряд ли), либо стоимость получаемых бигтехом данных превышает все понесенные штрафы. И последнее заставляет лишний раз задуматься 🤔

Читать полностью…

CyberTalks: Истории про мошенников, утечки данных и принуждение к безопасности | Алексей Лукацкий x Павел Хавский

🌐 Прямой эфир 20:00 UTM + 3

💬 Наш Гость - Алексей Лукацкий, стаж в ИБ 30-лет, ну кто таким еще может похвастаться? Сегодня обсудим самые яркие истории о мошенничестве и утечках, страхах пользователей и новые требования к безопасности.

Что в эфире:

🟡Как изменились мошеннические схемы?
🟡Почему быть мошенником становится всё труднее?
🟡Истории из 90-х, когда вирусы на дискете заражали компании этаж за этажом.
🟡Почему некоторые ИБ-специалисты выбирают «тёмный путь»?
🟡Утечки данных: какие из них самые страшные и почему критично не оставлять цифровой след?
🟡Насколько агрессивным стало принуждение к безопасности и чем оно грозит бизнесу?

Проводим субботний вечер с пользой в компании с образованными людьми, а не с бутылкой

Читать полностью…

Интересная презентация о том, как обеспечивается ИБ в Рунете подразделением РКН. Из нее и перспективы развития систем предупреждения угроз в Интернете становятся понятны и направления будущих активностей (блокировки VPN, поиск уязвимостей, борьба с DDoS и т.п.) 🌐

Читать полностью…

На роскомнадзоровском форуме в Сочи был интересный доклад про низкорбитальные спутниковые 🛰 группировки, которые должны обеспечивать не наземную связь, не через вышки 🗼, а через спутники. Были озвучены серьезные риски ИБ применения DTC (Direct-to-Cell), когда обеспечивается связь через спутник без специального терминала, сразу с мобильным устройством, многие из которых уже оснащены соответствующими чипами 📞

Риски, конечно, с точки зрения государства, когда в обход имеющихся средств блокировок, кто-то может контактировать с условным Западом 👿 Но интересно не это, а то, что реально обсуждалась история с возможным запретом ввоза соответствующих современных мобильных устройств в страну. Такая себе перспектива, если честно... 🤬

ЗЫ. Фотки украли у @toxic_digital

Читать полностью…

Известный на Западе специалист по ИБ Айра Винклер (Ira Winkler) написал открытое письмо руководству ISC2, которая управляет сертификацией CISSP, и которая подверглась критике за неверное представление данных о рынке труда в области кибербезопасности 🤮 Директор ISC2, Дебра Тейлор 🤢, ссылаясь на доклад 2023 Workforce Study, заявила, что миру требуются более 1 миллиона специалистов по кибербезопасности, но анализ данных показал, что этот разрыв не отражает реальные вакансии.

Айра Винклер подробно анализирует ситуацию с ISC2, приводя следующие доказательства:
💀 Несоответствие данных. Ссылаясь на данные из отчета ISC2, автор отмечает, что информация о разрыве в 4,8 миллиона специалистов не отражает реальные вакансии. В документе говорится, что этот разрыв — это оценка потребности в людях, необходимых для защиты организаций, а не фактические вакансии ⚖️
💀 Стагнация на рынке труда. ISC2 сама признала, что прирост специалистов в глобальном масштабе составил всего 0,08% за год, что противоречит заявленному росту спроса 📊
💀 Значительная потеря рабочих мест. В Северной и Латинской Америке, а также в Европе потеряно около 60 000 рабочих мест, что свидетельствует о стагнации или даже снижении спроса на специалистов 📉
💀 Малый шрифт и недосказанность. ISC2 включила дисклеймер о том, что это лишь оценка потребности, а не реальный спрос на специалистов, но специально сделала это мелким шрифтом.
💀 Реакция сообщества. Автор приводит мнения бывших членов совета и сотрудников ISC2, которые поддержали его критику и выразили недоверие к организации.
💀 Риск репутации. Упоминается, что данная ситуация привела к обсуждению возможности коллективного иска, что подтверждает серьёзность проблемы 😱

Эти аргументы показывают, что ISC2 продвигает недостоверные данные о рынке труда, что наносит ущерб её репутации и вводит в заблуждение потенциальных кандидатов. Айра Винклер считает это либо неэтичным поведением, либо некомпетентностью ISC2 и предлагает прекратить вводящую в заблуждение практику ⛔

Читать полностью…

Вампир-вымогатель: плати или останешься в темноте

Он пришел без предупреждения 🧛, заблокировав каждый файл, каждый доступ, словно замок захлопнулся и все ключи потеряны. Рансомвэр-вампир 😈 Его холодное дыхание ощущалось в каждом углу системы. "Плати, или твои данные останутся в темноте навсегда," – шептал он, не оставляя ни малейшего шанса на спасение. Единственная надежда – выкуп, но кто знает, что еще он потребует?.. 👅

Читать полностью…

Кибер-зомби: пароли из прошлого

Они говорили, что слабые пароли давно ушли в прошлое 🙅‍♂️ Но в ночи, среди шорохов старых серверов, снова и снова появлялась тень. Старые, забытые логины, заполненные легкодоступными паролями, вылезали из самых глубоких архивов системы. 123456... password... qwerty… Привычные слова 😮 внезапно превратились в двери для цифровых зомби, которые поднимались из прошлого и безмолвно атаковали. Зомби паролей шли бесконечным потоком, пока не разрушали каждый замок, подчиняя себе всё 📍

Читать полностью…

Интересно, эксперты «в полях» 👨‍💻 и ученые-теоретики 🧑‍🔬 имеют разную оценку того, какие угрозы на базе ИИ наиболее вероятны и опасны. Депутаты Ученые на первое место ставят дипфейки 🎭, а реалисты не включают их даже в десятку 🤔

Читать полностью…

< Какое будущее ждет защитников цифрового мира

В октябре в Дубае прошла крупнейшая IT-выставка Ближнего Востока — GITEX GLOBAL 2024. Свои технологии представляли сотни компаний со всего мира, в том числе и Positive Technologies 😉

Робоголова Йорик, летающие автомобили, китайский и индийский кибербез — о том, что было показано на выставке, специально для Positive Hack Media рассказал Алексей Лукацкий.

🤖 Смотрите экскурсию и узнавайте, к каким киберугрозам нам стоит готовиться в будущем (и, на самом деле, в настоящем)!

@PositiveHackMedia

Читать полностью…

В третьем квартале 2024 года инвестиции в стартапы в области кибербезопасности значительно сократились 📉 Общий объем финансирования составил $2,1 млрд, что на 51% меньше, чем $4,3 млрд во втором квартале. Число сделок также упало до 116, что является самым низким показателем с 2013 года. Отсутствие крупных сделок и сезонные колебания усугубили спад 📉. Инвесторы по-прежнему заинтересованы в отрасли, но рост интереса к ИИ отвлекает внимание от кибербезопасности (а если ИИ в ИБ). Особенно сильно падение коснулось израильских стартапов (удивительно) 🇮🇱 Аналитики ожидают, что инвестиции восстановятся в будущем, но это потребует времени.

ЗЫ. А в другом отчете написано, что многие публичные ИБ-компании отказываются от своей публичности и переходят в разряд частных компаний, что дает им больше возможностей по развитию и меньше контроля извне. Но и меньше заемных денег на развитие. Так что тоже непростой вопрос... ❓

Читать полностью…

⚠️ Выявленные уязвимости могут быть устранены только путем физической замены десятков тысяч светофоров в Голландии, что произойдет не раньше 2030 года ⚠️

Тут отчет выпустили, в котором сообщается, что десятки тысяч светофоров в Нидерландах 🇳🇱 оказались уязвимыми для хакеров. Исследование, проведенное компанией Cybersprint, выявило слабые места в системе управления дорожным движением, которые могут позволить злоумышленникам взломать светофоры и изменить их работу 🚦 Основные проблемы связаны с отсутствием обновлений, использованием слабых паролей и уязвимостями в программном обеспечении. Эти уязвимости могут привести к серьезным последствиям для безопасности дорожного движения, включая создание аварийных ситуаций 💥

Эксперты предупреждают, что, хотя прямых атак на светофоры пока не зафиксировано, потенциальный риск для инфраструктуры остается высоким 🔝 Специалисты по кибербезопасности рекомендуют муниципалитетам и операторам усилить защиту систем, обновить программное обеспечение и внедрить более строгие требования к паролям 🛡

Светофоры и другие элементы дорожной инфраструктуры 🚧 становятся все более уязвимыми по мере их интеграции с интернетом, что открывает новые возможности для хакеров. В отчете подчеркивается необходимость улучшения киберзащиты в сфере критически важной инфраструктуры 🔓 Без своевременных мер по защите устройств и регулярных проверок безопасности проблемы могут привести к значительным перебоям в работе транспортных систем 🚑

Читать полностью…

Хочу отметить, что в пакете спутникового ТВ 📡 каналы ВГТРК так и не появились. А уже прошло три недели с момента атаки на ресурсы телерадиокомпании. В приложении KION той же компании каналы присутствуют 🤔 Анализ форумов и чатов техподдержки по другим нашумевшим кейсам последнего времени показывает, что компании восстанавливают свои основные функции не менее 10 дней, а некоторые и поболе ⏳

Читать полностью…

Проект CVE на днях отпраздновал свое 25-летие, начав с 321 записи в 1999 году и достигнув почти 29 тысяч в год в 2024-м (велик шанс, что в этом году будет достигнута планка в 30 тысяч записей). Проект хороший, но последние события (да-да, я про исключение мейнтейнеров Linux, работающих в подсанкционных компаниях) показывают, что все разговоре о свободе и благе для всех заканчиваются, когда речь заходит о геополитике. Когда я 9 лет назад выступал на тему "А что если нас завтра отключат от CVE?" многие поднимали меня на смех, но вот уже 2024 год и многие прогнозы сбываются.

Китайцы пилят свою базу, европейцы начали тоже, у нас есть БДУ... Видимо мы вплотную подошли к тому моменту, когда балканизация ИТ будет неизбежна. Это один из сценариев развития, который предсказывается разными аналитиками, и он все ближе. США, Китай, Россия - три больших блока, которые создают свое - свои операционки, свое железо, свои средства защиты, свои open source проекты (как бы странно это не звучало), свои базы знаний... Еще немного и протоколы у всех будут свои. Ну или выход в зарубежных Интернет только при наличии визы разрешения.

Читать полностью…

В издательстве «Бомбора» в конце года должна выйти книга 📖 известного специалиста в области информационной безопасности Адама Шостака (Adam Shostack), которая вышла в прошлом году и в оригинале называется «THREATS. What Every Engineer Should Learn from Star Wars» 🛸 На Хабре опубликован обзор этой книги от ее переводчика, человека с сорокалетним стажем в области ИТ и перевода.

Так как я давно интересуюсь темой моделирования угроз, а Шостак является одним из самых известных специалистов в этой сфере, написавшим ✍️ до последней книги еще как минимум одну, а также сотворившего множество статей и презентаций, то я ознакомился с книгой Адама еще в оригинале. Не могу сказать, что я со всем согласен, что он пишет 🤓 И не все моменты он прям так уж подробно и понятно разъясняет. Но в любом случае его книга занимает достойное место в моей виртуальной библиотеке.

Так что рекомендую следить за анонсами издательства и купить книгу по мере ее выхода 🤑 Ну или я про это напишу, когда узнаю о выходе книги. Все-таки "издательство предполагает, а Байден располагает". Перевод и публикация книг американских авторов - сейчас занятие непростое и непредсказуемое 🤷‍♀️

ЗЫ. Помню кейс, когда одна отечественная компания перевела 10 стратегий построения SOC Циммермана на русский язык, но так и не смогла опубликовать его, не получив разрешения от правообладателя 🖕 А уже выложенные переведенные главы даже пришлось удалить с сайта. Сейчас, может быть, можно уже было бы и выложить этот перевод вновь, но тут решать тем, кто переводил ✍️

Читать полностью…

А вот новая матрица от автора Russian APT Tool Matrix и Ransomware Tool Matrix 😷 На этот раз про уязвимости, используемые шифровальщиками в рамках заражения, закрепления в системе, повышение привилегий, распространения по внутренней сети 🗡

Читать полностью…

Никогда не "трогайти" ИТшников и ИБ-админов 🧑‍💻

ЗЫ. Спасибо подписчику за ссылку 🤝

Читать полностью…

А вот и вся презентация Сергея Хуторцева. Она весьма любопытна.

Читать полностью…

Интересный проект от Center for Threat Informed Defence - Attack Flow, который представляет собой, базирующийся на STIX, язык описания цепочек атак 📇 злоумышленников по достижению ими своих целей через комбинацию различных техник MITRE ATT&CK. С помощью Attack Flow можно описывать угрозы и реализующие их группировки, проводить эмуляцию угроз, разрабатывать методы обнаружения и реагирования на угрозы и т.п. Язык позволяет описывать различные действия (в том числе параллельно реализуемые), условия реализации тех или иных действий, комбинирующие операторы И и ИЛИ, активы и т.п. 🔓

В качестве примеры на сайте MITRE Engenuity приведено множество примеров описания с помощью Attack Flow различных атак, инцидентов и группировок - Turla, NotPetya и WhisperGate, взломы Uber, SolarWinds и SWIFT, использование уязвимостей в Ivanti и т.п. 🤕

Интересный проект... Иностранцы активно начинают смотреть в сторону цепочек 🔗 атак, понимая, что борьбы с атомарными событиями обречена на неудачу. Последних становится столь много, что не объединяя их в пути/цепочки, можно потратить множество ресурсов, но так и не добиться нужного результата.

Читать полностью…

Отечественная киберполиция решила сделать анимационный сериал по ИБ. Подготовлена первая серия про семью Везунчиковых и телефонных мошенников 🍿

Читать полностью…