- Что-то Лукацкий осмелел. Давайте ему на SOC Forum запретим выступать?
- Что, опять?
- Да, пусть знает, что можно, а что нельзя писать.
- Да ему же все равно похер; он пишет то, что хочет!
- Ну тогда давайте ему доступ к сайту форума заблокируем?
- А давайте!..
🤦♀️
Я вот думаю, депутаты по скудоумию своему приняли поправки, запрещающие регистрацию на российских сайтах всем с иностранных e-mail. Теперь только российский телефонный номер, ЕСИА, ЕБС или иной российский сервис, обеспечивающий функцию авторизации (VK ID, Тинькофф ID, Яндекс.Паспорт и т.п.) можно использовать при регистрации на сайтах. Я вот владелец домена и сайта lukatsky.ru и есть у меня почта с этим доменом, почтовый сервер для которого хостится не в России. И у меня вопрос - я что, с домена lukatsky.ru теперь не могу нигде регаться? А как это будут проверять? По MX-записи?
А еще, после принятия закона, я попробую пройти квест с получением доступа к API ЕСИА или ЕБС, чтобы подключить их к своему сайту. Закон ведь и на физлиц, владеющих сайтами, будет распространяться. Ростелеком и Минцифры, готовьтесь...
ЗЫ. Хорошо, что ответственности за нарушение этой нормы нет...
ЗЗЫ. Интересно, как будут владельцы сайтов теперь реализовывать эту чушь? Например, что делать с уже зарегистрированными адресами? В некоторых сервисах в принципе нельзя поменять первоначально заданный e-mail - только удалять свою учетку. А что делать с теми, кто предлагает резервную почту указывать - может ли она быть не российская? В общем, как всегда, далекие от технологий депутаты даже не подумали спросить хотя бы экспертов о предмете регулирования...
ЗЗЗЫ. Интересно, а как теперь гражданам дружественных стран регистрироваться на российских ресурсах? Например, в рамках партнерских отношений у многих компаний есть личные кабинеты на сайтах, в которых иностранцы регистрируются со своими рабочими иностранными адресами. Посылать всех партнеров и иностранцев нахер? Работать только с россиянами и ни с кем другим?
1️⃣ Цифровой Блокпост предлагает вам свежие новости о кибератаках и советы, как не стать их жертвой. Следим за безопасностью ваших данных 24/7. Безопасность - это лучшая инвестиция в успешный бизнес!
2️⃣ На канале 0day Alert мы проводим анализ свежих, активно используемых и критически важных уязвимостей в современных системах и ПО. Мы предоставляем актуальную информацию, чтобы помочь вам оставаться на шаг впереди угроз в цифровом мире.
3️⃣ Добро пожаловать на канал Изобретая Будущее. Здесь мы представляем перспективные технологии, сегодня ещё выглядящие как фантастика, но которые могут стать реальностью уже завтра. Наша миссия - освещать последние достижения в области квантовой физики, искусственного интеллекта и инновационных разработок. Приглашаем в путешествие в мир науки и технологий будущего!
Тут CardinalOps разродился исследованием, согласно которому SIEMы от Splunk, IBM, SUMO Logic и Microsoft ловят всего 24% техник MITRE ATT&CK. Не смог пропустить мимо такую тему...
Читать полностью…Эээ, так просто? Я надеюсь никто не будет пробовать деактивировать мою учетку в Whatsapp?
Читать полностью…Сегодня гендиректор OpenAI Сэм Альтман запускает в большое плавание проект WorldCoin (ранее он был в бете). Его основная идея очень похожа на все криптовалютные проекты (кроме цифрового рубля, конечно) - возможность анонимного перевода денежных средств, но преподносится проект, как способ защиты от ботов, созданных искусственным интеллектом (кому, как не гендиру OpenAI, этого не знать). Однако в реализации схемы есть и существенные отличия. Например, орб - специальное устройство для сканирования радужной оболочки глаза с целью последующего вычисления World ID - уникального идентификатора, который может получить только человек. Этот идентификатор можно будет использовать для аутентификации на разных ресурсах без раскрытия своих ПДн.
На текущий момент в системе зарегистрировано около 2 миллионов пользователей. Распространяется Worldcoin преимущественно в Южмой Америке, Индии и Индонезии, странах Африки и Западной и Центральной Европе. Россия 🇷🇺 вряд ли попадет в этот список. Потому что у нас не приветствуют анонимные криптовалюты, а Worldcoin Token (WLD) - это обычная криптовалюта, которая уже попала в листинг крупных криптобирж. А еще потому что у нас в стране биометрия должна принадлежать государству, а не какой-то там частной компании.
С точки зрения ИБ лично у меня к проекту есть ряд вопросов:
👀 Данные биометрии либо не покидают орба и удаляются после сканирования, либо передаются в компанию Worldcoin и там хранятся в зашифрованном виде. Во втором случае очевидно их утечка - это вопрос времени.
👀 Какова процедура разбора конфликтов в случае такого уровня анонимности? Как подтвердить, что это ты и это у тебя что-то там украли или ты потерял свой World ID?
👀 Уже зафиксированы взломы операторов орбов, а значит мошенники могли получить доступ к данным уже зарегистрированных пользователей.
👀 Какова процедура верификации операторов орбов и где гарантии, что они не являются мошенниками?
👀 Интересно было бы почитать про способы защиты биометрической системы от фейков. А то вся история с "доступом только людей" может провалиться и в системе появятся боты.
👀 Разработчики по сути своей предлагают обменять свою биометрию на токены (после регистрации дают 25 токенов). Для чего такая щедрость и что вообще будут делать с этой биометрией? Те же вопросы есть и к ЕБС.
👀 Как блокируются World ID, которые уже начинают продаваться на черном рынке?
Вообще, интересный проект, который показывает, что "цифровая тюрьма" все ближе и для этого используются все классические технологии, имеющие прямое отношение к ИБ - блокчейн, криптография, биометрия, аутентификация... Глядишь, скоро появится в какой-нибудь ВШЭ курс по "безопасности цифровой демократии", где будут рассматривать ИБ в преломлении к различным государственным, общественным и частным проектам, которые у нас появляются как грибы после дождя.
Кто-то пытался поменять телефоны авиакомпании Delta ✈️ на картах Google для переадресации звонков на себя. А вы проверяете корректность ваших контактов в Яндекс.Картах? Ведь это разновидность фишинга 🎣, только вместо заманивания на левые сайты и сайты клоны, тут подменяют номер телефона.
ЗЫ. У меня лично был опыт смены номера дома на карте 🗺 и не могу сказать, что эта процедура какая-то сложная и требующая серьезного подтверждения подлинности автора запроса.
ЗЗЫ. После прочтения заметки вы же не просто подумаете "ух ты, что делается-то", но и внесете этот вектор в свою модель угроз 😱?
Пытаюсь представить такое на наших ИБшных конфах и не получается… А вообще странное сочетание. С одной стороны ты за толерантность и равноправие в ИБ, а с другой - проводишь мероприятия на тему “Women in Cybersecurity”, куда мужики не допускаются ⛔️.
То есть как туалет, так общий, а как закрытая конфа, так врозь? Я бы на месте американских ИБшников, если бы им не было пофиг, возмутился, устроил бы забастовку и подал бы жалобу в Верховный суд США 👮!
Вот в России тоже есть женсоветпоиб, но российские ИБшники никакого сексизма не чувствуют, туда не стремятся (если только самую малость). У ибшниц свои игры в куклы 🤰 и дегустации просекко, у ибшников свои бани и рыбалки (но календарик к новому году все ждут). И все довольны 🤝
Считается, что в «Смешариках» можно найти ответ на любой вопрос, а уж применить к кибербезу можно немало серий этого анимационного сериала. Но я человек старой закалки, да и смотреть все 318 серий просто времени нет, и поэтому являюсь сторонником другого нашего мультсериала, а именно «Ну, погоди» (но того, классического, не современного убожества). И вот фрагмент из 13-й серии, который прекрасно иллюстрирует разные уровни зрелости ИБ и отличия «обычной» и результативной кибербезопасности.
В первом фрагменте неувядающая классика. ИБ стремительно крутит педали, достигая заветной цифры 100 (представим, что это проценты, а не км/ч) и считает, что это офигенный результат. Аудиты показывают полное соответствие чему-то. Бурная деятельность, но по сути движение на одном месте 😰 Вроде как и цель есть (100%), а результата при этом нет. Поэтому я не очень люблю бумажные проверки в виде аудитов и аттестации - многократно видел результаты их прохождения, после которых компании ломали и не раз.
Тут в пору вспомнить Закон Гудхарта, который звучит как "Когда мера становится целью, она перестает быть хорошей мерой". А все потому, что эта мера становится объектом манипуляций - либо прямых, либо косвенных. И хотя Гудхарт писал про денежную политику, мы сами прекрасно видим, что он применим и в других сферах нашей жизни. Об этом же говорится в законе Кэмпбелла - "введение индикаторов или критериев, по которым оценивается работа того или иного института, неизбежно приводит к искажению как самих индикаторов, так и социальных процессов, которые тот должен оценивать".
Поэтому я не сторонник благих начинаний наших регуляторов и законодателей, которые, руководствуясь благими намерениями, принимают какие-то обязательные меры и нормы, заставляя нас их реализовывать. Они становятся целью и... мы начинаем подгонять результаты под цели, достигать их любой ценой, даже в ущерб здравому смыслу. Вот если бы регуляторы перестали выпускать обязательные нормы, а сосредоточились на методических указаниях?...
Даже если хакеры начнут ломать биотехнологические импланты (например, Нейролинк’овские от Илона Маска), то фольга останется единственным средством защиты! Закупайтесь фольгой, а не только солью и спичками!
Читать полностью…Что-то mail[.]ru стал регулярно фишинг пропускать. Раньше такого не было - только spear phishing проскакивал иногда 👨💻
Читать полностью…Тут все СМИ и Интернет пестрят заметками на тему "ChatGPT потупел" и т.п. и ссылаются на солидное исследование ученых из Стэнфорда. Ну так вот, дьявол, как говорится, в деталях. ChatGPT не тупел - он остался тем же; просто поменялось его поведение после соответствующего тюнинга. Об этом неплохо написано у Сергея Карелова (если кому-то лень читать оригинал исследования, а не заголовки СМИ).
И это имеет прямое отношение к ИБ - оставаясь неизменной, модель GPT-3.5 или GPT-4, может быть использована как в благих, так и во враждебных целях. GPT-4 ведь обучалась не на меньшем объеме данных, чтобы "поглупеть". И зависит это не от обучения самой модели, а от ее тюнинга. Хотите сделать ее высокоморальной и толерантной - тюните одни параметры (вспоминаем оригинальный фильм "Робокоп"); хотите сделать ее вредоносной, пишущей вредоносы и фишинговые сообщения, и ищущей уязвимости в коде, - тюните другие параметры. Это как кухонный нож - можно резать стейк, а можно зарезать человека.
Поэтому мало подключить ChatGPT к своему IRP/SIEM или иному продукту по ИБ, как это делают некоторые вендора. Нужно разбираться, что вы подключаете и зачем. Ну да про осознанность подключение ChatGPT к средствам ИБ я уже писал. Впору добавить 12-й пункт в тот список вопросов - "У вас есть специалисты по искусственному интеллекту, которые понимают, как он работает, и как работает конкретно ChatGPT?"
Ну что, последняя неделя работы весенней сессии наших избранников наступает, а значит законопроект об оборотных штрафах за инциденты с ПДн уже не успеют внести в Госдуму и прогнать через две палаты парламента с последующим заруливанием на гаранта Конституции. Теперь на пересдачу только осенью…
Читать полностью…🤘 Ищите на главных музыкальных площадках страны: сотрудники IT-компаний записали трибьют-альбом «Прощальный концерт» в честь 130-летия Владимира Маяковского.
Вы могли слышать все семь треков из этого сборника, написанных на стихи поэта, если были на «Маяк-Фесте» — музыкальном фестивале на Positive Hack Days. Айтишники показали, что умеют не только кодить и разрабить, но и зажигать со сцены. А с сегодняшнего дня альбом доступен на всех популярных цифровых платформах.
Авторами и исполнителями песен стали сотрудники IT-компаний CyberOK, Positive Technologies, SmartPlayer, «Артенеси», «КРОК», «ЛАСП Технологии», «Милдсофт и корпорации «Строй Инвест Проект».
Инициатором идеи и главным продюсером проекта выступила Positive Technologies, альбом выпущен при поддержке компаний «Инфосистемы Джет» и Rambler&Co.
💬 «Нет сомнений в том, что если бы Маяковский жил в наше время, то наверняка давал бы концерты в метавселенных и продавал произведения на NFT-маркетплейсах», — говорит генеральный продюсер киберфестиваля Positive Hack Days Виктория Алексеева.
Слушайте и не говорите, что вы не слышали! А еще делитесь впечатлениями в комментариях.
#PositiveTechnologies #PHD12
Что-то тема с законом Гудхарта зашла (помимо моих заметок, вчера была еще и дискуссия в канале "Результативный CISO"). Поэтому я решил, что можно и отдельную заметку в блоге этому закону посвятить; с большим числом примеров и с рекомендациями по его обходу.
Читать полностью…О, как у нас все лихо закручено. Проекты Указов Президента через Gmail проходят. А если задать поиск по доменам duma.gov.ru, mosoblduma.ru и других государевых структур, то там сплошь и рядом почта gmail.com указана как контактная. Депутатам бы с себя начать, прежде чем о безопасности граждан начинать заботиться 🤦♂️
Читать полностью…Норвежские спецслужбы сообщили о том, что на ряд государственных заказчиков в стране была зафиксирована атаке, через уязвимости в продуктах для защиты мобильных устройств MobileIron (они же Ivanti). История чем-то схожая с операцией "Триангуляция", о которой сообщила ФСБ, что послужило причиной запрета iPhone'ов во многих российских заказчиках. Но есть один нюанс.
Сначала Ivanti отказывалась признавать факт наличия уязвимости, потом сделала эту информацию закрытой и распространяла ее только по своим, имеющим действующий контракт на техподдержку, заказчикам с пометкой TLP:AMBER+STRICT (то есть не раскрывать за пределы компании, получившей уведомление) и только после поднявшейся в ИБ-комьюнити шумихи информация об уязвимости была раскрыта. Ну такая себе политика ИБ-вендора...
ЗЫ. В России MobileIron, кстати, продавался.
ЗЗЫ. У вас же в модели угроз учтены мобильные устройства?
После обзора техник и тактик «российского ГРУ» Mandiant поделилась своим видением китайской киберугрозы, а также сделала обзор активности российской KillNet и действующих с ней сообща группировок.
Читать полностью…Пишут, что в WhatsApp обратили внимание на проблему и уже без лишнего шума усложняют процедуру удаления аккаунтов.
Читать полностью…Сегодня день самопомощи (заботы о себе)! Потому если вдруг вы искали ссылки на настройки приватности и безопасности в используемых вами и вашими сотрудниками соцсетях, чтобы защитить первых и помочь вторым, то их есть у меня 🧐
🌐 Whatsapp - https://www.whatsapp.com/security
🌐 Facebook/Instagram - https://www.facebook.com/privacy/center/?entry_point=privacy_basics_redirect
🌐 ВКонтакте - https://vk.com/data_protection и https://vk.com/safety
🌐 Одноклассники - https://ok.ru/page/safety/
🌐 Yappy - отсутствует
🌐 Дзен - отсутствует
🌐 Rutube - отсутствует
🌐 Youtube - https://www.youtube.com/intl/ALL_ru/howyoutubeworks/user-settings/privacy/
🌐 Tiktok - https://support.tiktok.com/ru/safety-hc
Как видим, у наших такие странички есть далеко не у всех. Лидирует холдинг VK (хотя Дзен пока не охвачен), Газпром-Медиа почетное второе место среди российских медиа-холдингов (связь с Газпромом обоих холдингов оставим в стороне).
Помоги себе - защити себя сам!
Вы знали, что в России разработан и будет аппробирован на осеннем дистанционном электронном голосовании алгоритм гомоморфного шифрования, который позволяет осуществлять различные операции над шифртекстом без раскрытия самого текста? Вот и я не знал, пока меня не позвали модерировать первое заседание экспертов ДЭГ, на котором я также узнал, что систему дистанционного голосования еще и на Bug Bounty планируют выложить. А вы говорите, что у нас криптография не развивается 👍
ЗЫ. Хотя ряд вопросов все-таки так и остался нераскрытым. Но они не в области криптографии...
Право на частную жизнь и тайну переписки? Нет, не слышали! Наш ВКонтакте не такой!
Читать полностью…В этом фрагменте у нас началось хоть какое-то движение... но движение по кругу, которое еще и закончилось столкновением... может быть с ИТ (мягкое и пушистое). То есть ИБ начинает активно внедрять средства защиты, заниматься выстраиванием процессов и даже на вопрос "а зачем вам это все" готовы отвечать. Но это все равно движение по кругу, без цели и результата. Это на тренировках такое возможно - знай себе катайся по кругу и все (хотя даже там есть свои KPI, направленные на вполне конкретный и измеримый результат). А вот в реальной жизни, увы.
Вот сейчас попробуйте задуматься, вы занимаетесь ИБ ради чего? Довольны ли вы результатами своей работы? Не кажется ли вам, что вы как белка в колесе бегаете по кругу, а толку ноль?.. Выполнение требований ГОСТ 57580.1? Ну какая-же это благая цель? Вспоминая предыдущую заметку и закон Гудхарта, мы уже должны понимать, что вместо реальной и результативной кибербезопасности мы начинаем стараться выполнить ГОСТ (а заниматься ИБ и реализовывать ГОСТ по ИБ - это совсем не одно и тоже). Вспомните 250-й Указ и требование, что за ИБ должен отвечать топ-менеджмент. А что получилось в итоге? Попытка за замруководителя пройти 250 часов или просто купить корочку "для проверяющих".
Вот есть чатик по ИБ в финансовом секторе - я перестал его читать так как там вообще не обсуждают вопросы ИБ. Все время на протяжении нескольких лет обсуждение касается нормативки ЦБ - как трактовать то или иное требование ГОСТа, как заполнять отчетность, как объяснить аудитору, что он не прав, и т.д. Вроде одна из самых атакуемых отраслей (крутятся реальные деньги), но ИБ занимается откровенной херней.
Вот реально, это именно то, чем бы вы хотели заниматься? Бегать по кругу и выполнять бумажные требования?
Проукраинская группировка KiraSec взломала правительство Южной Африки за поддержку России
Читать полностью…Вероятность попадания в авиакатастрофу составляет 1 к 8000000 (на самом деле цифра скачет от 1 к 5 миллионам до 1 к 11 миллионам). А вот вероятность погибнуть при падении метеорита ☄️ составляет 1 к 1600000 (в других источниках - 1 к 700000). Иными словами смерть от метеорита в 10 раз вероятнее, чем от авиакатастрофы. Это если опираться на данные измерений :-) А экспертная оценка скорее всего даст прямо противоположные результаты. Это к разговору об оценке рисков и использовании мнений экспертов :-) 🤔
Так что идея с недопустимыми событиями имеем право на существование, хотя их и называют неизмеримыми 📐 и поэтому неэффективными при общении с топами. Но именно их субъективность и облегчает их использование. Если того же можно добиться с помощью рисков, которые измерены и по которым не возникает вопросов о том, откуда взяты исходные данные 🧮 для расчетов, то почему бы не использовать риски. Но в абсолютном большинстве случаев, с которыми мне приходилось сталкиваться, реестры рисков устаревали к моменту завершения их подготовки.
Знаете, чем Gartner навредил рынку ИБ? Он приучил нас выбирать не решение своих задач в ИБ, а аббревиатуры классы средств защиты (NGFW, WAF, VM, DLP, EDRM, SIEM и т.п.). А ведь нам нужно не это - нам нужно предотвратить реализацию недопустимых событий или, для апологетов старой школы, бороться с актуальными для нас угрозами и нарушителями. Бессмысленно выбирать NGFW, если мы не знаем, с какими угрозами он борется. То, что вендор присвоил своему продукту какую-то аббревиатуру ✍️, еще не значит, что продукт способен бороться с соответствующей угрозой 😱
В далекие-далекие времена, когда только появились требования ФСТЭК к МСЭ (98-й год, если мне не изменяет память), отличие одного класса от другого заключалось, среди прочего, в том, может ли МСЭ работать на уровне выше сетевого. Не может? Низший класс. Может? На тебе класс защищенности повыше. Но так как разбирать прикладные протоколы мало кто тогда умел, а получить заветную бумажку хотели все, то что делали отечественные вендора пакетных фильтров? Они добавляли функцию прокси для протокола FTP. Поддерживаются прикладные протоколы? Да! Ну а то, что это всего один протокол, то кого это волнует? В требованиях про число прикладных протоколов ни слова. И такой вот обман только рос и расцветал буйным цветом. В итоге вендора стали делать не продукты, решающие задачи потребителя, а те, которые соответствовали пунктам приказов ФСТЭК 😰 Но это вообще беда любых обязательных требований - все быстро забывают цель их принятия и делают самоцелью сами требования.
Сейчас регулятор фокусируется на результативном кибербезе, на непрерывной истории, на безопасной разработке. Но порция яда в вендоров все-таки давно была впрыснута и яд распространяется по телу отечественной отрасли ИБ. Мы по-прежнему заложники продуктов ИБ, которые относятся к какому-то известному классу или типу. Нас интересует именно это, а не то, от чего или кого защищает то или иное решение. Почему бы не начать думать в новой парадигме? Дайте мне решение от угроз 1, 2, 5 и 7 или нарушителей с такими-то возможностями! Было бы гораздо проще для потребителя. Да и не только 📞
Регулятору бы не пришлось тратить ресурсы на сертификацию, которая, в целом, ничего не гарантирует с точки зрения реальной ИБ (на киберполигонах продукты не выставляют, на багбаунти тоже). Ну и что, что продукт выполняет какие-то функциональные требования? Хакер-то их не читал и он ломать будет совсем не так, как написано в руководящих документах. Вендорам бы тоже не пришлось бы тратить деньги на ненужную сертификацию. Освободившиеся ресурсы пошли бы на рост зарплат разработчиков или улучшение качества продуктов. Все бы только выиграли от этого. А оценка реальной защищенности проводилась бы с помощью пентестов или багбаунти. В конце концов какая разница, защитил я периметр с помощью NGFW за хулиард бабла или правильно настроенным ACL на маршрутизаторе? Если результат достигнут. Ведь всем нужна же результативная безопасность, а не рост числа сертификатов или наименований отечественных продуктов ИБ. Так думаю.... 🧐
❗️Кого, когда и как уведомлять об инцидентах с персональными данными? Во всех подробностях непросто разобраться даже тем, кто не первый год в кибербезопасности.
Почему это нужно делать, наверняка знают все: новые поправки к Федеральному закону № 152-ФЗ «О персональных данных», которые обязывают сообщать о таких инцидентах в ФСБ и Роскомнадзор, вступили в силу еще в конце прошлого года.
▪️ Что является инцидентом с персональными данными, и чем он отличается от утечки?
▪️ Как и по каким каналам могут произойти утечки персональных данных?
▪️ О чем сообщать в РКН, а о чем в ФСБ?
▪️ Как оценить ущерб от инцидента с персональными данными?
▪️ Как может выглядеть плейбук по управлению этим видом инцидента?
Чтобы не пришлось искать ответы самостоятельно, бизнес-консультант по безопасности Positive Technologies Алексей Лукацкий собрал всю полезную информацию по уведомлениям об утечках персональных данных в удобной рабочей тетради.
🆓 Качайте по ссылке и пользуйтесь. А в комментариях делитесь впечатлениями.
@Positive_technologies #PositiveЭксперты
Иногда получишь письмо - видишь сразу спам. Иногда сразу видно, что фишинг (на личные адреса, не корпоративные; там все чётенько). А иногда прям зависаешь над сообщением, силясь понять, что это было 🖕 Вот редкий пример. И, что характерно, допускаю, что он пройдет все антиспам-фильтры 💻
Читать полностью…