CISA запустил свой собственный "Мультисканер", VirusTotal, инструмент по статическому и динамическому анализу файлов и URL на вредоносность. С ноября прошлого года этот сервис был доступен для государственных и военных структур США, а сейчас его сделали доступным для всех, но... Требуется регистрация (без регистрации тоже можно, но вы не увидите результатов анализа 😂). Результаты выдаются в форматах PDF и STIX 2.1.
В то время, как в Америке Энди Уорхолл завоевывал все культурные пьедесталы, тамошнее министерство обороны занималось оценкой защищенности своих информационных систем. И именно тогда, 15 апреля 1967 года впервые термин “penetration” был использован в контексте практической проверки ИБ. Так что с праздником всех пентестеров!
Читать полностью…Американские кибервоенные выпускают свой журнал The BYTE. Интересный выпуск, посвященный внутренней кухне кибербригады, ее программам обучения, а также проводимой ими ИБ-конференции AvengerCon, где они, в рамках формирования культуры хакерства 🧑💻 у своих бойцов, изучают достаточно интересные темы типа "Rootkit Development", ИИ в наступательных операциях, а также проводят лабы в IoT hacking village, Car hacking village и т.п. 🫡
Читать полностью…Группировка CyberAv3ngers заявила, что вывела из строя систему электроснабжения 🔋 в Тель-Авиве и Нетанье. Доказательств не привела, но судя по израильским СМИ отключения действительно имеют место ⚡️
Считается, что эта группировка связан с кибер-электронным командованием Корпуса стражей исламской революции (IRGC-CEC), против некоторых членов которого американцы в феврале ввели санкции. Также США 🇺🇸 ввели пару дней назад санкции против лидера кибервойск ХАМАС (тогда же они ввели санкции против россиянина за организацию фишинговых атак, но на фоне всего происходящего это и не так важно).
Параллельно, другая проиранская группировка Handala, заявила, что взломала систему тактических радаров 📡, разработанных компанией RADA ☝️ (некоторые каналы пишут, что выведена из строя тактическая система ПРО "Железный купол", но это не так - это вообще другая система 🛸). В качестве доказательств приведено много скринов системы.
Многие другие группировки, выступающие против Земли Обетованной 🇮🇱, сейчас активно атакуют военные ресурсы Израиля, пытаясь помешать последнему отбивать атаки сотен дронов и ракет 🚀, запущенных против него. При этом начавшийся конфликт, грозящий перерасти в войну на Ближнем Востоке, активно сопровождается дезинформацией, которая не дает возможности четко судить о происходящем, но панику наводит нехилую 😱
Чешский министр транспорта в интервью Financial Times заявил, что Россия попыталась тысячи раз взломать европейские железные дороги 🚞 через проникновение в систему сигнализации. Каких-то деталей и тем более доказательств особо нет. Ранее ENISA также обвиняла Россию в атаках на железные дороги 🚆 Латвии, Литвы, Румынии и Эстонии.
Читать полностью…Выкладываю запись своего интервью на RadioGroot, где мы с Крис Боровиковой, одним из соучредителей Сообщества профессионалов в области приватности RPPA, пару дней назад в течение часа беседовали о разном.
Читать полностью…АНБ обновило свое руководство от февраля 2021-го года по внедрению концепции ZeroTrust. Чего-то нового там нет, просто агентство напоминает американским организациям о существовании ZT и пользе от нее 👨💻
Читать полностью…Согласно опросу 66% россиян согласились бы вживить чип в свой организм. Так что совсем скоро ⏳ ИБшникам придется разбираться еще и в этом направлении:
➖корпоративным - как защищать свой топ-менеджмент
➖вендорам - как вместить в небольшой чип с жесткими требованиями по автономной работе и энергоэффективности все свои хзащитные механизмы ❓
➖регуляторам - какие требования установить для защиты таких устройств (уж точно не распространять в полном объеме 21-й приказ на чипы).
Ну а граждан ждет новый чудный мир вымогателей 🫴, которые будут атаковать уже не электронные пояса верности надетые на 💄, а встроенную в тело микроэлектронику.
Российский аналог Have I Been Pwned от НКЦКИ
На сайте safe-surf ru запущен новый сервис по поиску себя в утёкших базах данных. Можно искать по электронной почте, логину, номеру телефона, паролю. В результатах поиска показываются совпадения в базах с указанием названия сервиса и даты утечки.
По сути, это выглядит, как сервис Have I Been Pwned. Сообщается, что сами данные не хранятся на сайте, а история запросов не сохраняется.
Сервису не помешало бы более детальное описание, откуда берутся данные и как они хранятся (по аналогии с HIBP). Пока это не очень понятно, можно предположить, что база утечек формируется из всех слитых баз. Сообщается: «Мы получаем данные об утечках из публично доступных источников». Данные обновляются несколько раз в неделю.
Вчера был неожиданный, но, не скрою, приятный день - мне вручили награду 🎖 Virtuti Interneti («За заслуги в сфере интернета»), учрежденную Координационным центром доменов .ru/.рф в 2010 году. Даже не знаю, как реагировать на нее 🙈 Положил рядом с другими своими немногочисленными, но от этого не менее ценными наградами. Немного погоржусь и пойду дальше работать. Ну а кто, если не мы?..
Читать полностью…Недавно, пару недель назад, в очередной раз обновился проект EDR Telemetry, в котором сравниваются различные EDR (российских там нет) по своим возможностям обнаружения тех или иных событий 🖥 Сейчас в списке есть Carbon Black, Cortex XDR, CrowdStrike, Cybereason, ESET Inspect, Elastic, Harfanglab, LimaCharlie, MDE, Qualys, Sentinel One, Symantec SES Complete, Sysmon, Trellix, Trend Micro, WatchGuard. Можно и самому поконтрибьютить...
Читать полностью…Тут в одной утечке был выложен регламент взаимодействия одной организации с другой, солидной организацией. И так как это совсем разные организации и развернуть единую систему управления 🤝 идентификацией они не могут, то был предложен очень простой и очень эффективный (в случае нераскрытия паролей третьим лицам, конечно) механизм ⚙️
Я такую штуку описывал (хотя я и не автор) еще во время эпидемии COVID-19, когда у многих компаний не было возможности провести взаимную аутентификацию 🤝 даже своих пользователей на удаленке. Более надежным вариантом являются скретч-карты, но это и более дорогая история.
Единственное, что я отметил бы применительно к данной таблице, что она не полностью случайна. В ней указаны одни металлы из таблицы Менделеева. Хорошо хоть они не упорядочены по возрастанию их атомных номеров. А то можно было бы легко предсказать следующий металл 👍
В 2007-м году бывший контрактор ВМФ США, разозлившись 😠 на непродление контракта, внедрил в программное обеспечение подводной лодки , отвечающее за обнаружение различных угроз для нее, вредоносный код 👨💻. Судья, выносившая вердикт по этому делу (всего 1 год в тюрьме), задалась вопросом: "Если мы не можем доверять людям с высшим уровнем допуска к секретам, кому тогда мы можем?" Чего мы тогда хотим от обычного open source, внесение изменений в код которого проводится вообще без понимания и аутентификации того, кто их вносит? ❓
Тут только внедрение практик SecDevOps поможет, сопряженное с идеологией ZeroTrust, когда мы проверяем любой код, независимо от того, кто его писал и вносил или откуда копировал. Кстати, 4-й уровень по стандарту SLSA требует контроля кода со стороны двух человек. Но я бы еще и в сторону Detection & Response посмотрел... 🔍
Можно предупреждать пользователей о каждой новой технике мошенников, а можно рассказать про семь «красных флагов», на которые стоит обращать внимание ‼️ и которые покрывают почти все прошлые и будущие способы обмана:
1️⃣«Срочное» или угрожающее сообщение («ваш счет будет заблокирован», «срочно свяжитесь с HR», «С вами свяжется сотрудник ФСБ»...)
2️⃣ Запрос чувствительной информации («Назовите кодовое слово», «Пришли фото кредитки с двух сторон, «Назовите одноразовый код из СМС»...)
3️⃣Слишком хорошо, чтобы быть правдой («Вы выиграли в лотерее», «Принят закон, обнуляющий все кредиты», «Ваш умерший в США родственник оставил вам наследство»...)
4️⃣Неожидаемое сообщение («Я ваш генеральный директор...», «Это майор главного управления ФСБ...»...)
5️⃣Несоответствие представленной информации реальности (ошибки в адресах, ссылках, контактах)
6️⃣Подозрительные аттачи (.rar, нестандартные названия, несоответствие расширения иконке...)
7️⃣Некорректный дизайн (низкокачественный логотип, ошибки в тексте, нет форматирования…)
Первые пять "флагов" 🚩 применимы к любому виду коммуникации, включая и телефонные звонки. Последние два - только для сообщений по e-mail и, в редких случаях, черех мессенджеры.
Тот редкий пример, когда инцидент ИБ на крупном российском предприятии попадает в бизнес-прессу. Агрохолдинг 🥩 Ткачева попал под шифровальщика; вымогатели требуют 500 миллионов рублей; часть систем остановила свою работу ⛔️
Читать полностью…5 причин, почему генеральный директора (CEO) 🤑 в частности и топ-менеджмент в целом не горят желанием, чтобы CISO им подчинялись (CISO часто хотят как раз обратного):
1️⃣ CEO не хочет заниматься техническими вопросами, которыми его часто грузит CISO
2️⃣ CEO не хочет разбираться в конфликтах между CISO и CIO/CDTO/CTO 🤼♂️
3️⃣ CEO не считает тему кибербезопасности настолько важной
4️⃣ CEO считает, что риски ИБ ничем не отличаются от других рисков и не должны выделяться
5️⃣ CEO не хочет разбираться в непонятном жаргоне и языке, на котором говорит CISO 🤑
Хотите поднять свой статус? Поборите эти пять причин, найдите способ доказать, что вы говорите с бизнесом на одном языке, что вы не конфликтуете, а умеете находить сбалансированное решение с ИТ, что недооценка ИБ может привести к катастрофическим последствиям 🤔 Ну или не пытайтесь поднимать свой статус - тоже вариант.
LastPass в своем блоге делится историей, как ее сотруднику позвонил через Whatsapp мошенник, представившийся генеральным директором 👺 компании. Помимо звонков, мошенник также отправлял текстовые 💬 и голосовые сообщения, но так как это было нетипично для компании, то сотрудник не попался на удочку.
На фото в блоге можно увидеть, что телефон звонящего отсутствует в телефонной книге жертвы, а также не имеет ни единой общей группы. И если первое еще вполне может быть (у многих ли сотрудников есть телефон генерального), то второе в современных компаниях с активным руководством уже может вызывать подозрение (хотя тоже бывает, что руководство не состоит ни в каких чатах и вообще не пользуется смартфонами) ⛔️
В прошлом году McAfee проводила опрос 7000 человек и оказалось, что каждый четвертый сталкивался или знает того, кто сталкивался, с использованием голосовых дипфейков. 🟥 про схожую тему тоже писал (неоднократно). Это становится популярной тактикой мошенников, от которой, к сожалению, нет технических мер защиты Это банки могут вычислять мошенников по номерам и блокировать их. Некоторые даже возвращают деньги 👍 в случае успешного мошенничества, но только если вы пользуетесь их мобильной связью. Но никто пока не защищает от звонков через мессенджеры (кроме самих мессенджеров, но там эти функции только-только стали появляться 📞).
Я вот тоже получал звонки от "Госуслуг" с префиксом +1 (США), но я вообще через мессенджеры не звоню и звонки не принимаю, так что со мной такой фокус сложно провести 🥴 А что делать тем, кто почему-то считает, что звонить надо именно через мессенджеры (это примерно тоже самое, что написать "привет" и молчать, ожидая ответа или проверяя, на связи человек или нет 🤦♂️) и для них это норма? Заранее оговоренные фразы и одноразовые пароли работают только в очень ограниченном числе сценариев. Поэтому только обучение и повышение осведомленности, которое должно постоянно обновляться, вслед за постоянным изменением ландшафта угроз. А технология дипфейков будет только развиваться...
"После того, как я представлялась, некоторые клиенты просили поговорить с «парнем, который работает в сфере ИТ», а не со мной"
"Я не чувствую себя комфортно в одежде, в которой чувствую себя лучше всего, потому что когда я это делаю, мужчины в моем отделе пристально смотрят на мое тело"
"Культурная программа" на работе и на мероприятиях ориентированы на большинство (мужчин), например, дегустация виски и дни игры в гольф"
"Предыдущий начальник сказал мне, что мне следует составить документ, потому что у меня это хорошо получается, но затем отдал его кому-то другому, чтобы он мог получить повышение, а не я"
"Когда меня повысили до 6-го грейда, коллеги-мужчины говорили за моей спиной, что я получила эту должность только потому, что я женщина."
Группа Fraud and Security Group ассоциации GSM (FASG) опубликовала первую версию фреймворка MoTIF о том, как хакеры атакуют мобильные сети 📡 При этом MoTIF покрывает атаки для сетей 2G, 3G, 4G, 5G, которые не покрываются MITRE ATT&CK и MITRE FiGHT (матрица TTP для сетей 5G) 📞
Читать полностью…#RadioGroot
⛄Гость: Алексей Лукацкий
В эфире:
⬇️про трансформацию профессии
⬇️про тренды в ИБ и приватности
⬇️про карьеру в ИБ и приватности / образование
⬇️про личный бренд
⬇️про управленческий трек
Член английского парламента, Уильям Врагг, позирует для журнала Times на фоне пароля от Wi-Fi, записанного на стене 🤬
Читать полностью…Работая в Cisco и имея дело с кучей продуктов по ИБ, никогда не задумывался о том, что есть немалое количество людей, которые "читают" с экрана 👨💻 не так как я или большая часть человечества. Потом, когда стал читать канал израильского кибербеза в Твиттер, долго ломал (и продолжаю ломать) мозг, перестраиваясь на чтение то слева направо (как обычно), то справа налево (как у семитов).
Сейчас, выходя с 🟥 на международные рынки, понимаешь, что привычные нам GUI подходят далеко не всем. Например, дашборды 📈 SIEM, NTA, EDR или мета-продуктов на Ближнем Востоке могут читаться аналитиками справа налево и классический шаблон F-движения глаза по экрану (я про него в курсе рассказываю) у арабов и евреев не очень-то и работает. И это надо учитывать в ряде случаев (в том числе и при подготовке отчетов по пентестам, по расследованиям и т.п.). 🫲🏻
Но помимо определенного геморроя для разработчиков и UXеров, есть в этом и положительный эффект, - узнаешь что-то новое, о чем никогда не задумывался 💡 в контексте ИБ. И хорошо, что языки тоже меняются, упрощаются. А то пришлось бы учитывать в интерфейсе какого-нибудь PT O2 или PT Carbon вертикальное восточноазиатское письмо Древнего Китая, Японии и Кореи, огамическое письмо кельтов (снизу вверх), а то и вовсе нумидийское (справа налево, снизу вверх) 🤦♂️
Век живи, век учись! ✍️
Зарегался я тут на RSA Conference и пока вся отечественная индустрия ИБ будет сажать картошку, жарить шашлыки или поедет в Питер и Тулу (самые популярные места для отдыха россиян в мае), я погружусь в кибербез на одной из крупнейших мировых конференций по ИБ. Сижу, 🧎 формирую себе персональную программу того, что интересно будет послушать, заодно присматриваюсь к различиям с российскими мероприятиями по ИБ, в том числе и грядущему через пару недель после RSAC PHD2. И вспоминается мне снова заочная дискуссия о том, есть ли отличия между Россией и всем миром с точки зрения ИБ. И могу сказать, что да, есть 🤓
Например, в программе RSAC нашли отражение такие темы (и там не один доклад 🎤 им посвящен), которые у нас обычно на мероприятиях по ИБ не любят или вовсе не рассматривают:
1️⃣ Ментальное здоровье, борьба с выгоранием 👍
2️⃣ Нейроразнообразие, то есть использование в ИБ людей с особым складом ума (аутисты, люди с синдромом дефицита внимания, дислексией и т.п.)
3️⃣ Мышление с точки зрения прайваси и интеграция ее и кибербезопасности
4️⃣ Безопасность телекоммуникаций 5G и 6G 📡
5️⃣ Безопасность API
6️⃣ Венчурный капитал и сделки слияния и поглощения в ИБ 🤑
7️⃣ Культура ИБ.
ЗЫ. В один из дней у меня получилось 12 параллельных докладов, которые мне интересны, и как между ними разорваться я пока не представляю 😦 Вот они муки выбора. Хотя скажу, что у посетителей PHD2 будет схожая проблема - там примерно такое же количество треков в параллель идет 🤘
В деревне Вилларибо средняя длина члена 15 см, а в Виллабаджо - 25 см. А все потому что в Виллабаджо проводились опросы, а в Вилларибо - замеры 💄
В нашем исследовании по инцидентам в транспортной отрасли эти кейсы с взломом дорожных знаков 🚧 и информационных табло тоже нашли свое отражение, но, во-первых, таких кейсов не так уж и много, а во-вторых, по ним нет фотографий (а те, что есть, не пропустит цензура). А вот в США 🇺🇸 это прям бич какой-то. Не проходит недели, чтобы где-то не появилась какая-нибудь надпись - от безобидной "впереди зомби" или "Трамп - наш президент" до более возмутительных и нецензурных 🔞
Читать полностью…Тут на RIGF, на секции по кибербезопасности и киберпреступности, вдруг пришла мысль, что можно ввести прогрессивный налог на размер криптографического ключа 🗝 Чем он больше, тем выше налог. И брать его с каждого пользователя Интернет, который пользуется браузерами с встроенным SSL. При использовании отечественных СКЗИ скидка 50%.
Вы представляете как это поменяет все? Люди либо будут отказываться от конфиденциальности, упрощая жизнь ФСБ в деле обеспечения нацбезопасности. Операторам не надо будет тратить колоссальные суммы 🤑 на выполнение закона Яровой и можно будет снизить тарифы на Интернет. Если граждане захотят соблюдения своих тайн, то они будут поддерживать отечественного производителя, который станет больше продавать СКЗИ. Всем польза от такой простой инициативы. И никаких затрат из бюджета не потребуется! 💡
Принятый недавно закон о кибербезопасности в Евросоюзе требует от ENISA повышать уровень кибербезопасности в 🇪🇺, что, в свою очередь, поднимает вопрос о том, а как посчитать этот уровень, чтобы понять, повышается он или нет. И ENISA выпустила очень достойный документ, который описывает, как они планируют считать индекс кибербезопасности 📊
Этот индекс состоит из 84 индикаторов, 60 из которых собирается на уровне каждой страны, а 24 относятся ко всему ЕС в целом. Все индикаторы сгруппированы в 4 области (и 16 суб-областей): 📈
1️⃣ политика (управление рисками, международная кооперация, юриспруденция...)
2️⃣ операции (готовность к реагированию, управлению угрозами/уязвимостями, устойчивость, взаимодействие...)
3️⃣ рынок/индустрии (инвестиции, ущерб от инцидентов...)
4️⃣ capacity /не знаю как перевести в данном контексте/ (кибергигиена, навыки ИБ, обучение и повышение осведомленности...).
Данные берутся из различных источников - Евростат, Евробарометр, Совет Европы, ISO, ENISA, Shodan и Horizon Dashboard Еврокомиссии. Все индикаторы нормализуются и суммируются, что и дает итоговое значение индекса. Выглядит достаточно просто (если есть все исходные данные) 📉
Сначала тебе говорят, что "ничего страшного, у нас сайт атаковали и просто подменили домены на мошеннические", а в следующем сообщении у тебя написано, что не работает не только почта, но и телефон, и сервисный центр 📞, и отгрузка, и CRM и т.д. И ты понимаешь, что это не просто атака на DNS, как это представляли изначально. Сама компания при этом предлагает решения по облачным АСУ ТП и разрабатывает решения для промышленной автоматизации, что ставит также много вопросов на тему «не задело ли и их»...
ЗЫ. Кейс с вышедшей из-за атаки телефонией 📞 я уже, кстати, рассматривал на киберучениях еще в 2018-м году.
‼️ Иногда лучше молчать, чем говорить. И это глава «Лиги безопасного Интернет» 😱 Чему она детей тогда учит?? 🤦♂️
Читать полностью…