alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Если бы я умел пользоваться даркнетом и был менее морально устойчив, то я бы подался. А вообще 🔥 тема! Я бы и за $8000 согласился эссе написать, если честно ✍️

Читать полностью…

Пост Лукацкого

Хакеры REvil возвращаются прокурору

Санкт-Петербургский гарнизонный военный суд вынес постановление о возврате прокурору уголовного дела в отношении бывшего военнослужащего старшего прапорщика запаса Артема Заеца и граждан Малоземова А.В., Бессонова А.С., Головачука М.А., Муромского Р.Г., Коротаева Д.В., Пузыревского Д.Д. и Хансвярова Р.А., обвиняемых в совершении преступления, предусмотренного ч.2 ст.187 УК РФ, последние двое также обвиняются в совершении преступления, предусмотренного ч.2 ст.273 УК РФ.

В предварительном слушании на обсуждение сторон был поставлен вопрос о возвращения данного уголовного дела прокурору в связи с нарушением правил подследственности и это нарушение заключается в том, что Заец обвиняется в совершении преступления, предусмотренного ч.2 ст.187 УК РФ, свершенного им в период прохождения военной службы, однако предварительное следствие по делу проведено следователями МВД РФ, а не следователями СК России, как этого требует п.в ч.2 ст.151 УПК РФ.

Государственный обвинитель считал, что оснований для возвращения уголовного делу прокурору не имеется. По мнению прокурора, уголовное дело в отношении Пузыревского, Заеца и других расследовалось по ст.187 УК РФ и ст.273 УК РФ следователями МВД России, выявившими вмененные обвиняемым противоправные деяния, то есть в соответствии с требованиями ч.5 ст.151 УПК РФ.
Обвиняемые и их защитники, каждый в отдельности, не возражали против возвращения уголовного дела прокурору.

Военный суд разъяснил.
Как следует из поступивших по запросу суда выписок из приказов МО РФ Заец с 1 августа 2018 года зачислен в ВА МТО (приобрел статус военнослужащего) и проходил военную службу в академии, а затем в войсковой части, откуда 12 января 2022 года был уволен и в этот день исключен из списков личного состава (утратил статус военнослужащего). Об обстоятельствах прохождение военной службы Заецом было известно и следствию, поскольку часть из указанных выше приказов приобщены к делу, также об этом давал показания и сам обвиняемый.
Согласно обвинительному заключению, Заец совершал вмененные ему преступления с 6 декабря 2018 года – дня его вхождения в состав организованной Пузыревским группы и до дня его задержания сотрудниками правоохранительных органов, в связи с чем их противоправная деятельность была прекращена, то есть до 13 января 2022 года.
Прохождение Заецом военной службы на момент совершения вменяемых ему, а также иным участникам организованной группы деяний, является в силу подпункта «в» ч.2 ст.151 УПК РФ основанием для проведения предварительного следствия по делу следователями СК России. Однако из материалов уголовного дела усматривается, что предварительное расследование по делу производилось следователями СД МВД России, обвинительное заключение подписано следователем названного управления, согласовано заместителем руководителя следственного органа.

На основании изложенного суд пришел к выводу, что при расследовании данного уголовного дела нарушены правила подследственности и это нарушение закона неустранимо в ходе рассмотрения дела по существу в суде.

Санкт-Петербургский гарнизонный военный суд вернул уголовное дело Генеральному прокурору Российской Федерации для устранения препятствий его рассмотрения судом.

Срок ранее избранной меры пресечения в виде заключения под стражей обвиняемым продлен до 14 ноября 2023 года.

#СПбГВС #военныесуды #опсспб #уголовныедела #хакеры #revil #273УКРФ #187УКРФ

Читать полностью…

Пост Лукацкого

Продолжим историю с цветами. В прошлой жизни я участвовал в проектах по созданию и аудиту SOCов и в рамках одного из этапов мы занимались тем, что формировали требования для помещений, в которых должны были сидеть аналитики. Риверберация, теплота освещения и блики, шумопоглощение, отражение звука, теплообразование, влажность, кондиционирование, восприятие информации в зависимости от ряда, в котором сидит аналитик... Вот только некоторая часть вопросов, которые учитывались при проектировании помещений для SOCа.

Цветовая гамма стен также важны в этом вопросе. Например, есть цветовые сочетания, которые могут повысить производительность труда и облегчить работу, а есть те, которые угнетают психику и нервную систему, заставляя пропускать атаки и иные события безопасности. Например, красный, желтый и оранжевый цвета тонизируют, но кратковременно. А вот синий, зеленый, голубой, наоборот, позволяют разумно расходовать ресурсы организма и дольше сохранять работоспособность. И это только небольшая часть вопросов, касающаяся применения цвета при проектировании SOCов. А еще, если вы делаете большие панели визуализации, то вам придется разбираться в цифровой субдискретизации и чем отличается 4:4:4 от 4:2:0, но это уже отдельная тема 📺

ЗЫ. Кстати, самым неприятным цветом для человека считается 448C по Pantone, который похож на что-то среднее между фекалиями и болотной жижей ("цвет детской неожиданности"). И еще. Вы никогда не встретите в SOC цвет паука, замышляющего преступление, и цвет последнего вздоха жако (все это реальные названия цветов). Теперь мучайтесь, что это за цвета 🌸

ЗЗЫ. И еще. Этот этап, проектирование помещения SOC, в России и странах СНГ никто и никогда не заказывал, считая его не первостепенным по сравнению с архитектурой SOC, выбором технических решений, разработкой плейбуков и системой оценки эффективности SOC.

Читать полностью…

Пост Лукацкого

Главное нашим это не показывать, а то тема прям офигенная ✈️ - тут и инновации, и повышение осведомленности, и нацбезопасность, и защита граждан, но, боюсь, бабла потратят дофига, а в последний момент все отменят из-за антитеррористических требований. И это вполне реальное предположение, помня подготовку к PHD, где тоже планировалось что-то похожее на шоу дронов, но нахождение площадки PHD напротив МинОбороны в последний момент сломало все планы 😔

ЗЫ. Спасибо подписчику за присланную ссылку!

Читать полностью…

Пост Лукацкого

На английском проходим психологию цвета и я после стал копать тему применительно к ИБ (оказалось, это целый океан информации). Про влияние цвета на наши чувства и ощущения, думаю, знают многие. Но, что интересно, в 2006-м году институт изучения цвета опубликовал результаты большого исследования, которое утверждает, что люди принимают решение о том, нравится им какой-либо продукт или нет в первые 90 секунд и от 62% до 90% этой оценки базируется на восприятии цвета 🌈. То есть от того, какой цвет у вашего NGFW (если он аппаратный) зависит количество его продаж! Как вам такое?

Какой цвет у кибербезопасности 🌈? Если вы введете это в поисковой системе, то вы увидите, что преимущественно это синий 🔮. Потому что синий - это цвет доверия (а вы думали, почему IBM выбрала голубой цвет?)! И этот цвет стал доминировать в дизайне и визуализации ИБ, что неосознанно привело к тому, что все теперь требуют синего цвета, а все "нестандартные" цвета отметаются. И только смелые креативщики идут поперек течения, навязывая свою цветовую гамму (правда, это недешевое удовольствие, навязывать свою точку зрения в синем океане посредственности).

ЗЫ. 4 года назад был даже организован специальный конкурс Cybersecurity Visual Challenge, который должен был помочь разработать новый язык визуализации ИБ. Но судя по продолжающемуся преобладанию синего в поисковой выдаче Google, а также исчезновению сайта конкурса, что-то пошло не так

Читать полностью…

Пост Лукацкого

Взломано 400 субъектов КИИ, уверяют проукраинские хакеры (откуда там магазины непонятно). Хотя вряд ли они знакомы с ФЗ-187 и тем, как у нас определяются КИИ. Украдено 6ТБ данных на всех (по 150 гигов в среднем у каждого). Ждем-с деталей...

Читать полностью…

Пост Лукацкого

Ты весь такой бравый, отличник, заканчиваешь ВУЗ по ИБ-специальности с красным дипломом, устраиваешься в солидную и известную компанию на престижную работу инженера по ИБ и через две недели узнаешь, что 👆 Так кончается детство и наступает зрелость 🌱

ЗЫ. Интересно, у него под звездочками "ucke" или "rustrate"?

Читать полностью…

Пост Лукацкого

🤔 Хотите стать системным аналитиком и присоединиться к команде Positive Technologies? Сейчас расскажем, как это можно сделать (причем совершенно бесплатно!).

Мы открываем Школу системного анализа. Ее преподаватели, эксперты команды PT Analytics, помогут вам подтянуть теорию, а главное, вместе с ними вы разберете множество практических задач.

Лучшие выпускники после окончания обучения получат предложение о работе в нашей компании и все без исключения — спецификацию, которая будет отлично смотреться в портфолио.

🤓 Кто может попасть в школу

Ждем заявок от студентов старших курсов бакалавриата, специалитета и магистратуры любых факультетов и вузов России, а также людей с опытом в IT. Честно предупреждаем, что базовые представления об инструментах системного анализа будут преимуществом. Можно попробовать учиться с нуля, но тогда вам придется самостоятельно заполнять пробелы в знаниях.

✏️ Как это сделать

В первую очередь нам важно качество образования, а не число выпускников, поэтому готовьтесь к конкурсному отбору (мы проверили, там ничего страшного). Чтобы участвовать в нем, до 19 сентября заполните анкету с небольшим рассказом о себе и решите тестовое, состоящее из трех задач.

👨‍🏫 Сколько и как учиться

Занятия начнутся уже 26 сентября и будут проходить онлайн. Курс короткий, всего четыре месяца, но очень интенсивный. Встречи — два раза в неделю по два часа, плюс нужно выделить время на выполнение домашней работы, которую обязательно проверят.

Если вам подходит такой режим, смело подавайте заявку! И поспешите: количество мест ограничено.

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Криптовалютный стартап Prime Trust объявил о своем банкротстве после того, как забыл пароль к криптокошельку 👛, содержащему активов на 38+ миллионов долларов 🤑

ЗЫ. Думаю Центробанку надо будет к инструкции по пользованию цифровым рублем прикладывать рецепт на лекарство 💊 от забывчивости паролей

ЗЗЫ. Похоже в судебный лексикон вводится новый термин «Wallet Event»

Читать полностью…

Пост Лукацкого

Англичане хотят ввести запрет не только на шифрование «точка-точка», активно используемое в мессенджерах, но и на выпуск вендорами патчей к уязвимостям, так как это может помешать программам слежки 🔎

Следующим шагом будет требование внедрять закладки в свои продукты для облегчения борьбы с терроризмом, экстремизмом и защиты детей 😎 Наверное...

Читать полностью…

Пост Лукацкого

0day продают. Всего за 1 миллион долларов 💵

Читать полностью…

Пост Лукацкого

И вообще, видя результаты пентестов, я бы с точки зрения продуктов фокусировался не на NGFW, а на тех же NDR, EDR, WAF и VM. Они ловят и предотвращают то, что NGFW в принципе не видит.

Читать полностью…

Пост Лукацкого

Неожиданное решение для тех, кто постоянно забывает пароли. Нет, это не парольный менеджер 💊

Но вообще, если задуматься, интересно получается. Это явно распространенная проблема, если ее сделали заглавной темой рекламы. А значит и решение пора искать адекватное. Не пора ли подумать о беспарольной аутентификации?..

Читать полностью…

Пост Лукацкого

Нигерийский спам - II. Уже на всех мониторах страны 😱 Нигерийские спамеры вышли на тропу войны 👉

Читать полностью…

Пост Лукацкого

Выручка этих компаний измеряется миллиардами долларов, а доступ к их инфраструктуре оценивается в смешную десятку тысяч. А обошлась продавцу она еще дешевле… И какой смысл после этого говорить об увеличении стоимости атаки? Да хоть в 10 раз увеличь ее, все равно это меньше стоимости системы защиты. Нужна иная стратегия, подразумевающая, что проникновение все-таки возможно, но должно занимать времени больше, чем время на его обнаружение и реагирование.

Читать полностью…

Пост Лукацкого

А на английском это звучало бы неоднозначно, учитывая, что крыса - это rat 🐀, а RAT - это еще и remote access tool и применительно к выборам это актуально вдвойне. Вдруг, кто залезет и поменяет голоса?.. 👍 Хотя в случае с выборами даже залезать не нужно - достаточно просто заявить в каком-нибудь канале и представить хоть какие доказательства (например, из ранее утекших баз). И все, инфоповод сгенерен, СМИ его подхватят сразу же. Надеюсь, в ЦИК готовы не только ловить левые бюллетени, карусели избирателей, но и к такому сценарию…

ЗЫ. Кстати, система дистанционного электронного голосования была выставлена на платформу Bug Bounty. Правда, всего на 3 дня. Видимо, перед выборами уже не успевали...

Читать полностью…

Пост Лукацкого

Тут народ задается вопросом, почему в реестр ФСТЭК внезапно вернулись сертификаты на иностранные средства защиты? Ну, во-первых, это не сегодня и не вчера произошло, несколько дней как. А объяснение на мой взгляд простое (если отбросить случайное восстановление из годовалой давности бэкапа) - госы накупили много таких средств защиты и выбросить их до окончания срока амортизации никто не даст, нецелевое расходование средств и статья. А применять несертифицированное они тоже не могут. И денег не так чтобы много на выбрасывание старого и одномоментную покупку нового и отечественного.

Поэтому, возможно, и появилось соломоново решение в виде восстановления сертификатов на иностранные средства защиты. Питать иллюзий в сторону послаблений не стоит все равно ⚖️ Вот только как уязвимости устраняются в иностранных решениях? Без этого сертификат как бы теряет смысл 🆒

ЗЫ. Если же это случайно восстановилось, то и удалят также быстро 🍸

Читать полностью…

Пост Лукацкого

Самые информированные в гостайнах люди те, у кого в руках черный маркер!

Читать полностью…

Пост Лукацкого

АНБ, CISA и NIST предупреждают о том, что противники США (почему они прямо не называют Китай 🇨🇳?) могут начать использовать квантовые компьютеры для атак на нестойкую к квантовым атакам криптографию. При этом американские спецслужбы дают еще и рекомендации и небольшую дорожную карту по подготовке к квантовым атакам. Конкретики там не очень много, но как направление движения в условиях потенциальной угрозы вполне себе...

Читать полностью…

Пост Лукацкого

Мы часто опираемся на вердикты, которые нам выдают антивирусы, а в случаях, когда мы им не верим, мы обращаемся к сервису VirusTotal. И если большинство антивирусов не находит вредоносной составляющей 🦠 в загруженном файле, то мы считаем, что все, успех достигнут, файл чист, а мы можем его пустить в нашу инфраструктуру.

Но то, как мы думаем, не секрет для хакеров, которые имеют свои сервисы 💻, которые не только проверяют, но и позволяют обеспечить невидимость файлов разных форматов от средств защиты. Например, вот относительно свеженький сервис, который позволяет скрыть вредоносность DOC, PDF, HTML, LNK и т.п.

Помнится, лет 5 назад я делал презентацию по стратегии защиты от вредоносного кода и подал ее на какую-то конференцию. Меня тогда орги даже спросили, зачем я решил рассказывать про антивирусы 😷. А у меня как раз была более сложная и целостная картинка - там были и средства мониторинга сетевых аномалий (NTA/NDR), и средства мониторинга ПК (EDR), и мониторинг DNS, и защита e-mail, и песочница и много чего еще, вплоть до UEBA и иных ML-решений. И каждое позволяет поймать какой-то один или два этапа жизненного цикла вредоноса. А кто-то до сих пор верит 🙏, что антивирус спасает от современного вредоносного кода 🆘

Читать полностью…

Пост Лукацкого

ПО Cobra DocGuard, помогающее пользователям защищать приложения, разработанное EsafeNet, которой сейчас владеет китайская ИБ-компания NSFocus, было скомпрометировано в рамках атаки supply chain и помогло группировке Carderbee атаковать ряд гонконгских компаний 🇭🇰 Исследователи не атрибутируют Carderbee, но использованные техники присущи китайцам. В частности, при компрометации использовался вполне легально полученный от Microsoft сертификат цифровой подписи.

Яркий пример того, что даже защитное ПО может пострадать и быть использовано для атаки на организации. Ну и далее классические рекомендации - zero trust, BugBounty для вендоров ИБ, контроль безопасной разработки, тестирование обновлений, контроль доступа со стороны вендоров ПО, контроль коммуникаций любого ПО, даже защитного,… Тем более, что Cobra DocGuard уже не первый раз используется для атак (история их не учит) 🐉

Читать полностью…

Пост Лукацкого

Несколько интересных цифр из одного отчета, в котором опросили CISO а железным занавесом%
1️⃣Только у 12% CISO з бюджеты растут - у остальных они либо замораживаются или не изменяются, либо и вовсе сокращаются. CISO
2️⃣От продуктов начинают требовать конкретный и измеримый результат - либо доказуемый ROI, либо снижение расходов, либо быстрая демонстрация ценности во время пилотов
3️⃣В список приоритетов не вошла сетевая безопасность, а 2/3 направлений касаются AppSec. К этим цифрам, конечно, надо относиться критически - все-таки от региона к региону ситуация меняется. У нас точно облачная безопасность вряд ли находится на первом месте. А защита данных по исследованию ЦСР и вовсе падает.
4️⃣С точки зрения процессов фокус не только на управление ИБ, но и на управление уязвимостями и мониторинг&реагирование.

Читать полностью…

Пост Лукацкого

А вы используете Active Directory для управления доступом к вашим средствам защиты? Медианное время захвата и компрометации контроллера домена AD составляет всего 16 часов.

ЗЫ. Интересная метрика - time-to-AD 😊

Читать полностью…

Пост Лукацкого

Интересные бюджетные стратегии для CISO отмечаются сейчас за железным занавесом. 80% компаний делают ставку на автоматизацию, 70% - на консолидацию бюджета и сокращение дублирующих статей расходов. 43% сокращают свои хотелки в области ИБ, а 23% сокращают персонал. Интересный показатель в 26% CISO, которые начинают активно использовать бесплатные пилоты, которые позволяют перекантоваться в сложные времена.

Читать полностью…

Пост Лукацкого

Если вдруг вы летите на «конференцию по новым компьютерным технологиям и защите компьютерных программ» и вас не пустили на границе (даже при наличии визы), то возможно это потому, что погранцы анализируют все ваши посты в соцсетях (за годы в ретроспективе) и оценивают их тональность, на основе чего оценивают риск посещения вами страны 👮‍♂️ По крайней мере, в США эта система используется.

Судя по функционалу продукта от Fivecast его и под ИБ можно использовать. Правда, в национальных масштабах только… 👁 Ну или в очень крупных корпорациях и холдингах.

Читать полностью…

Пост Лукацкого

Можно ли считать отправку простого радиосигнала с компьютера через разблокированную радиостанцию компьютерным взломом, вопрос риторический. FlipperZero тогда тоже не относится к арсеналу хакера, как и вообще все, что связано с атаками на беспроводные решения.

Вопрос в другом. Остановка железнодорожного движения 🚂 зафиксирована? Да. Возможно, в условиях военного времени прекращение, даже на несколько часов, доставки вооружений и боеприпасов 🛤 может рассматриваться как недопустимое событие. И не так уж и важно - был взлом системы централизованного управления транспортом 🚦 или компьютер только управлял проигрышем гимна России.

А второй вопрос 🙋‍♂️- возможно ли повторение такой истории, но уже в России? По крайней мере проукраинские хакеры у себя в чатиках таким вопросом уже задаются 🤔

Читать полностью…

Пост Лукацкого

Я регулярно спорю с PR-службой 🟥 на тему выпускаемых интервью или пресс-релизов. Я придумал какую-то херню какой-то информационный повод, приношу его в PR, а меня бац по сусалам.
- Леша, где ты взял эти цифры? А откуда эти факты? Где подтверждения во внешних источниках?
- Юля/Юля/Катя/Саша/Женя/Маша, я, так вижу глядь, эксперт, верьте мне на слово!
- Леша, ты сейчас херню непроверяемую ляпнешь, а отвечать нам. А компания мы публичная, акции на бирже котируются, нам надо думать о репутации… 🤬

К чему эта прелюдия? А я тут просто 🏖 прочитал у ТАСС, что коллеги из «Кода безопасности» заявили, что до конца года половина российских компаний перейдет на отечественные же NGFW 😮. А я же тролль 👿 со стажем человек с критическим мышлением; еще и прикладной математик по образованию. Поэтому я начал считать 🧮.

По данным ФНС в первом квартале этого года в стране было 2,770 миллионов коммерческих компаний. Теперь попробуем упростить задачу и представим, что у этих компаний нет филиалов и допофисов, сегментация внутри реализуется не с помощью NGFW, ЦОДы отдельно не защищаются и единственный МСЭ нового поколения (хотя я помню проекты, когда спеки на NGFW в одного заказчика содержали по несколько тысяч устройств) стоит на периметре (и без резервирования в режиме хотя бы Active-Standby). Тогда нам до конца года на всех нужно почти полтора миллиона 😮 NGFW.

Если предположить, что у кого-то эти решения уже стояли и были отечественного производства, то по оценкам заказчикам до конца года должно быть поставлено около 500-700 тысяч устройств 😮 Если предположить 🤔, что средний ценник на NGFW у нас порядка 200 тысяч рублей, то до конца года будет продано железок на 100-140 миллиардов рублей, что составляет больше половины всего рынка ИБ в 2023-м году по оценкам ЦСР. А ведь у ЦСР на всю сетевую ИБ приходится всего 40% рынка. А это далеко не только NGFW, но и NTA, песочницы, VPN и т.д. В общем не сходится у меня паззл 🧐

Читать полностью…

Пост Лукацкого

Мы еще не смогли успели посмотреть «Оппенгеймера», но на фоне популярности картины Нолана на прошлой неделе рассказали, какие инциденты на атомных электростанциях могли бы быть признаны недопустимыми событиями.

А потом задумались: какие недопустимые события придумывали киносценаристы? Вспомнили, пересмотрели фильмы и подготовили подборку, которая получилась настолько большой, что мы не смогли уместить все в один пост. Так что ждем ваших лайков и репостов — вторую часть опубликуем через неделю 😉

P. S. Пишите и свои варианты в комментариях 👀

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Спустя 20 дней Литрес сообщил об утечке моего пароля. Если это, конечно, не новый кейс, но это хрен поймешь, они же не пишут, когда мой пароль был раскрыт 🔓

Но есть и польза - для книги по измерениям появился пример метрики и конкретного ее значения (<21 дня на уведомление об инциденте). Можно поспорить с тем, насколько этот показателен верен, но это хоть что-то. От этой точки отсчета можно теперь отталкиваться. Теперь при следующей утечке можно будет сравнить значения и увидеть динамику!

Читать полностью…

Пост Лукацкого

Вот о таком примере я упомянул в конце прошлой заметки. Австралийская финансовая компания Latitude подтвердила в своем полугодовом финансовом отчете величину ущерба от атаки шифровальщика. 76 миллионов австралийских (это около 50 американских) долларов 🤑

Там в отчете еще есть интересный пассаж, согласно которому одно из подразделений, заработавшее 637 миллионов долларов за отчетный период, получило на 19% меньше прошлогодних показателей и причина этого - инцидент ИБ с шифровальщиком. То есть там еще где-то сотка миллионов недополучена из-за инцидента. Интересно, что в явные потери эта сумма вряд ли попадет (ведь она не потеряна, а недополучена, то есть это вероятностное событие, а не прямо потраченные средства). Это такой лайфхак у многих компаний - они в P&L включают только прямые потери, а не недополученную прибыль. Вон и FAIR в своем новом стандарте FAIR-MAM их не учитывает, а зря...

Читать полностью…
Подписаться на канал