alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Римейк на ранее опубликованное видео

Читать полностью…

Пост Лукацкого

В продолжение темы обхода MFA. Например, сегодня Malwarebytes описали как достаточно «легко» обойти MFA у Google, просто украв с помощью инфостилера аутентификационный токен 🖥и даже смена пароля ничем не поможет ⚠️

Помню, я удивлялся, почему у меня длительное время оставался доступ к некоторым облачным сервисам Cisco уже после увольнения. А все просто - токен продолжал действовать 💯

Регулярно проверяйте список устройств, подключенных к вашему аккаунту. Тот же совет применим и к другим используемым вами сервисам, например, Telegram или WhatsApp 🛡

Читать полностью…

Пост Лукацкого

Есть такой классный фильм "Пока не сыграл в ящик" (The Bucket List) с Джеком Николсоном и Морганом Фрименом, в котором два неизлечимо больных раком героя хотят выполнить все свои несбыточные желания, которые они записали в список перед смертью ⚰️ А так получилось, что на английском я сейчас как раз тему Bucket List обсуждал с преподавателем. Да и новый год начался - все планы на год составляют. И я подумал, когда, как не сейчас, поднять эту тему в блоге и попробовать составить список возможных ИБшных мечт... 👉

Читать полностью…

Пост Лукацкого

Информация ограниченного доступа у нас в законодательстве есть. Ограниченного распространения 🚫 есть. Теперь вот и ограниченного использования 😲 хотят ввести в оборот… При этом в последнем случае речь вообще не про ДСП или что-то схожее, а про всякие экстремистские материалы и иже с ними 🤦‍♂️

Читать полностью…

Пост Лукацкого

На портал "Резбез" выложили мою статью про факторы, влияющие на стоимость инцидента 💰 Не все из них применимы к любому инциденту, но многое. И да, это все часто оценка пост-фактум. Но все-таки... Лучше иметь представление о том, во что с финансовой точки зрения может обойтись инцидент 🤑

Формат материала не позволял указывать там ссылки на реальные кейсы, но они есть и их немало. Думаю, запилить вебинар по этой теме с рассмотрением уже конкретных примеров и финансовых оценок инцидентов; там где они опубликованы, конечно.

Читать полностью…

Пост Лукацкого

После вибратора с подключением к Интернет, я думал меня сложно удивить, но LG смогла. Зачем стиральной машине Wi-Fi и Интернет? 🙈

Зато теперь фраза «слив данных» заиграла новыми красками 😎 Почти 4 Гига в сутки… И все это только для того, чтобы просигналить, что стирка закончилась?.. Или стиралка и вправду сливает данные с телефона, к которому она имеет доступ (приложение LG ThinQ, прилагаемое к стиралке, требует доступ к камере, микрофону, локации, фото, файлам на устройстве 🖕)? А может стиралку уже в ботнет большой включили и она DDoSит какое-нибудь НАТО?

ЗЗЫ. А еще в стиралку 🧺 встроен TLS, что как бы намекает, что она является СКЗИ со всеми вытекающими правилами ввоза и т.п.

Читать полностью…

Пост Лукацкого

Немного цифр вам в ленту по поводу CVE:
🔤 В 2023-м году было зарегистрировано 2️⃣8️⃣9️⃣0️⃣2️⃣ CVE против 25081 в 2022-м году! Получается около 80 CVE в день!
🔤 Средний CVSS был равен 7,12 (хотя кто вообще считает средний CVSS?).
🔤 36 уязвимостей имело CVSS, равный 1️⃣0️⃣!
🔤 Количество CNA, выросло с 56 до 84. Среди новичков Moxa, Xerox, Lexmark, ARM, AMI и другие "железячники".
🔤 Основные контрибьюторы CVE по числу зарегистрированных уязвимостей - Microsoft, VulDB, GitHub и две компании по безопасности WordPress - WPScan и PatchStack.
🔤 Основной число дыр, 4100 CVE, связано с XSS. На втором месте - SQL Injection - 2000 CVE.
🔤 WPScan и PatchStack WPScan и PatchStack на двоих зарегистрировали 6700 CVE.
🔤 46% компаний устраняют 10-15 уязвимостей в день. 22% - 5-9, 21% - 16-20!

Читать полностью…

Пост Лукацкого

История перестает быть томной. Кто-то подломил учетку американской Комиссии по ценным бумагам в Твиттере и разместил объявление, что Bitcoin ETF получили разрешение на листинг на всех национальных зарегистрированных биржах. Биткойн сразу же взлетел 📈 примерно на тысячу долларов, а потом обвалился примерно на две тысячи 💸. Все бы ничего, но у меня возникло три вопроса по данному инциденту:
1️⃣ Должна ли Комиссия по ценным бумагам уведомлять Комиссию по ценным бумагам об инциденте ИБ в Комиссии по ценным бумагам?
2️⃣ Что если такое произойдет в России и кто-нибудь от имени ЦБ 🏦 напишет о падение ключевой ставки сразу на 7%? Как отреагирует наш рынок? И будет ли кто-то проверять эти сведения или сначала СМИ про это напишут, а потом, с началом паники, все побегут проверять факты?
3️⃣ Это уже пятый кейс за неделю с взломом учетных записей в Твиттере и рекламой в них криптовалютного скама. Причем мне кажется, что у той же Mandiant была включена двухфакторная аутентификация в Twitter (а у вас включена?). И тогда возникает вопрос, не баг ли это в самом Твиттер 🔤, который позволяет обходить аутентификацию любого аккаунта?

ЗЫ. После сообщения от SEC, что их взломали, предсказуемо набежали хейтеры, которые стали задавать риторический вопрос «Как Комиссия по ценным бумагам может защитить инвесторов, если она не способна защитить даже свою учетку в Twitter?»

ЗЗЫ. Буквально час назад Твиттер отчитался об экспресс-расследовании. По их словам у SEC не была включена MFA на учетке 🤌 и кто-то получил доступ к телефону, ассоциированному с аккаунтом. На их месте я бы так и ответил ;-) Чем-то кейс с 23andMe напоминает… И предсказуемо набежали хейтеры и стали напоминать SEC их же советы финансовым организациям включить MFA 😇

Читать полностью…

Пост Лукацкого

Сценарий с "сообщением от директора" 💬 находит своих последователей и жертв не только у нас в стране, но и на сопредельной территории... 🫡

Читать полностью…

Пост Лукацкого

В приличном обществе не принято упоминать Stuxnet, да и с тех пор уже было немало примеров влияния кибератак на физический мир, но тут интересный материал появился. Журналисты раскопали, что 36-тилетний голландец 🇳🇱 Эрик ван Саббен, завербованный Нидерландами в 2005 году и проникший на атомные объекты Ирана, стал пешкой в игре США и Израиля против иранской ядерной программы.

Согласно расследованию Эрик внедрил вредоносный код Stuxnet, разработка которого обошлась в 1 миллиард (!) долларов, на заводе по обогащению в Натанзе, что привело в итоге к замедлению иранской госпрограммы на несколько лет. Интересно, что голландская разведка были в курсе, что американцы использовали их агента, но не знали ничего про внедрение Stuxnet. Правительство тоже не было проинформировано об операции. Сразу после операции Эрик ван Саббен покинул Иран, но всего спустя две недели побиг ⚰️ в автокатастрофе рядом со своим домом в Дубае.

Читать полностью…

Пост Лукацкого

Христианские ливанские хакеры атаковали аэропорт Бейрута (столица Ливана), что привело к его временному закрытию. На всех плазмах аэропорта были показаны сообщения, обвиняющие Хезболлу и Иран 🇮🇷 за попытку втягивания Ливана 🇱🇧 в войну с Израилем🇮🇱

Мне это напомнило дискуссию с одним российским аэропортом 🛫, который уверял, что на них не распространяется ФЗ-187 о безопасности КИИ. Мое удивление и недоумение было неподдельным, так как сфера транспорта ✈️ была прямо указана в законе. Но потом оказалось, что этот аэропорт (правда, это зависит от конкретной воздушной гавани) действительно не относился к КИИ, обеспечивая, по сути, только функции управляющей компании и работу с предприятиями, арендующими площади аэропорта для питания, упаковки багажа 🛅, продажи товаров, отеля, парковки, регистрации на рейсы и т.п. услуг для пассажиров. А вот собственно сами полеты были в ведении авиакомпаний ✈️ и ряда других организаций, которые также арендовали у аэропорта площади для своих нужд.

Так что атака на аэропорт - это неприятно, но к атакам на КИИ может и не относиться. Хотя потери от приостановки функционирования и самого аэропорта, и работающих в нем арендаторов, и невозможности пассажиров добраться до своих самолетов, могут быть значительными и иногда даже большими, чем атака на какую-нибудь стоматологию 🦷, относящуюся к сфере здравоохранения, то есть к КИИ.

Читать полностью…

Пост Лукацкого

Picus Security выпустил свой ежегодный отчет с Топ10 техник по итогам 2023-го года согласно MITRE ATT&CK. Как и всегда, относиться к отчету надо с оглядкой на то, что это преимущественно американский опыт одной конкретной компании.

Но так как это все-таки Топ10, то стоит посмотреть на свои средства защиты и ответить на вопрос: "А мои СрЗИ ловят/блокируют данные техники?" 🫵 Тем более, что в подтехники Picus не лез, а значит эта 🔟 может быть применима к любой ОС

Читать полностью…

Пост Лукацкого

Чаты и каналы Telegram по информационной безопасности 2024: https://zlonov.ru/telegram-security-list-2024/

Читать полностью…

Пост Лукацкого

NIST выпустил финальную версию таксономии и терминологического словаря враждебного машинного обучения

Читать полностью…

Пост Лукацкого

Типы атак действительно идентичны для всех стран мира и если шифровальщики действуют против американцев и европейцев, они также действуют против китайцев и россиян. Но вот в семействах шифровальщиков, а значит и в используемых ими техниках, могут быть серьезные отличия 🤨

Вот, например, две статистики - одна по результатам расследования инцидентов, которое проводил 🟥 за последние пару лет, а вторая - статистика от другой организации, преимущественно по западному миру. И мы видим 🙌, что пересечения хоть и есть, но их не так уж много. Даже "мировые лидеры" не все у нас встречаются, что уж говорить о менее популярных семействах.

Читать полностью…

Пост Лукацкого

Неплохой обзор использования Github в киберпреступных целях - хостинг C2, распространение вредоносов, хранилище утечек, Dead Drop Resolver с примерами и рекомендациями по обнаружению

Читать полностью…

Пост Лукацкого

Конечно, не стоит думать, что MFA - это панацея. Существуют техники обхода многофакторной аутентификации, которые даже используются в реальных инцидентах и достаточно успешно. Поэтому на корпоративном уровне всегда необходимо не просто ограничиваться общей рекомендацией "используйте MFA", но и более внимательно отнестись к тому, какой вариант MFA использовать, какой должна быть архитектура, как ее могут обойти и что будет, если центральный сервер/сервис MFA выйдет из строя (было лично у меня пару кейсов, когда облачный сервис MFA переставал на время работать).

ЗЫ. Картинки идентичны, только одна в Dark Theme

Читать полностью…

Пост Лукацкого

После сегодняшнего разрешения Комиссией по ценным бумагам листинга Bitcoin ETF💸, о котором сообщалось на взломанной странице SEC в Твиттере вчера, очевидный вопрос - а был ли взлом или кто-то раньше времени слил инсайд и кто-то наварился на этом? Комиссии по ценным бумагам впору провести расследование против… Комиссии по ценным бумагам 😂

Читать полностью…

Пост Лукацкого

👋 Я уже не раз высказывал мысль, что вендор по ИБ, если он реально занимается ИБ, а не просто зарабатыванием денег 🤑 (что тоже неплохо, но явно недостаточно), должен демонстрировать свою реальную безопасность и безопасность своих продуктов 🛡 Ровно по этой причине в свое время появилась оценка соответствия в форме сертификации программного обеспечения или аудита/сертификации процессов и организаций. Именно поэтому появились требования к таким оценкам - ISO 15408, ISO 27001, PCI DSS, SOC2, РД ФСТЭК, ГОСТ 57580.1 и много чего еще.

Но потом, как это часто бывает, все превратилось в тыкву 😄. Вспоминая не раз уже мной упомянутый в канале закон Гудхарта, соответствие требованием превратилось в самоцель. И даже если ты изначально с благими намерениями шел в эту историю, то потом все это вновь вернулось в "к собранию акционеров/инвесторов надо получить сертификат соответствия". Кстати, ровно та же история с сертификациями специалистов типа CISSP. Сначала ты всерьез готовишься, учишь, сдаешь экзамены. А потом начинаешь побираться по конференциям и вебинарам, задавая сакраментальный вопрос "А сколько CPE дадут за присутствие?" И вот уже вместо демонстрации навыков и умений в самоцель превращается поддержание сертификата.

И что мне нравится в Позитиве 🟥, так это "творческий непокой", как говорилось в "Покровских воротах" ☝️. Постоянно ломаются какие-то незыблемые вещи и все переворачивается с ног на голову. Иногда это даже дает мощный толчок развития. И вот, несмотря на наличие сертификатов соответствия ФСТЭК, мы анонсировали выход на Bug Bounty (на Standoff 365) двух продуктов - Network Attack Discovery (NAD) и Sandbox. За найденные криты платим до 1 миллиона рублей 🤑

Так что если вам хочется поломать не только саму компанию (за год с лишним с момента объявления Bug Bounty на реализацию недопустимых событий так никому пока и не удалось), но и ее продукты, 🛡 то милости просим к нашему шалашу И пусть щепки летят 🪓

Читать полностью…

Пост Лукацкого

Mandiant завершила расследование инцидента с взломом их учетки в Твиттер. Краткий вывод: у них не была включена MFA 😲

Если чуть подробнее, то Mandiant пишет, что у них был переходный период и из-за неразберихи между командами, отвечающими за соцсети и изменения политики Твиттера в области MFA, они и прошляпили 🤠 А сам пароль к учетке забрутфорсили. А сделали это криптоскамеры и дальше большое расследование этой кампании CLICKSINK 💸

Все по классике:
Вообще у нас все круто, но переходный период и все Твиттер виноват. Но данные клиентов не пострадали, а мы сделали выводы
Хотя, чего тут еще скажешь? Была бы утечка, можно было бы сослаться на то, что утечки никакой не было, это все компиляция и происки врагов, как красные банки демонстрировали в последнее время. А тут всё как бы налицо - всё видно, не отмажешься. Приходится смиренно признавать свой косяк и уводить внимание ‼️ в сторону расследования тех, кто стоял за взломом; что не отменяет невыполнения базовой меры ИБ.

ЗЫ. Пойду-ка проверю все свои аккаунты на предмет включенной MFA, а то мало ли, у меня тоже переходный период и бла-бла-бла 🤡

Читать полностью…

Пост Лукацкого

Если бы ФСТЭК по своим методическим документам делала постеры, то по методике оценки защищенности ПО, у нее бы получилось что-нибудь аналогичное. Но так как ФСТЭК такого не делает, то делюсь свежим постером от SANS

Читать полностью…

Пост Лукацкого

На фоне того, как у нас активно привлекают 😡 за репосты и публикации многолетней давности, и в связи с потенциальным принятием поправок в УК РФ за сбор, хранение, использование и распространение информации, содержащей персональные данные, задумался, а можно ли привлечь 🫵 специалиста по ИБ, который опубликует ссылку на ресурс, на котором размещена утечка (или пробник утечки) с персональными данными? И, как говорилось в фильме "17 мгновений весны": "И я не мог себе ответить точно ни в положительном, ни в отрицательном аспекте". Посему немного подул на воду, размышляя о возможных рисках... ⚠️

Читать полностью…

Пост Лукацкого

Визуализация скрытности современного вредоносного ПО 😈

Читать полностью…

Пост Лукацкого

Ну а что, "марафоны желаний" от Блиновской же собирали много людей, почему обучение DDoSу не может собирать 😂 Правда, стоит эта школа DDoSа в 3 раза дороже Блиновской и денежных марафонов ler_chek. Но это же от самого командира анонимус России, а он как крутон не может стоит дешево! Главное, налоги вовремя платить 🤑

Но если без шуток, то по ту сторону баррикад уже не только самообучение и готовые инструкции активно применяются, но и обучение с куратором, домашками. Еще осталось "сертификаты государственного образца" 📃 выдавать и будет вообще как в "лучших домах Лондона"...

Читать полностью…

Пост Лукацкого

Вы не скучали по ИБ, пока отдыхали 10 дней? Следили за новостной повесткой? Не потерялись в череде новогодних фейерверков, гирлянд, брызг шампанского, отключений электроэнергии из-за внезапных морозов в Средней полосе России?.. Ну вот для постепенного вхождения в рабочий ритм, я подготовил вам Топ15 разноплановых новостей ИБ за первые 8 дней нового, 2024-го года!

Читать полностью…

Пост Лукацкого

xxx: Этим гениям давно пора уже создать Программно-Аппаратное Средство Криптозащиты, Управления Доступом и Аутентификации (от создателей ШИПКА, АККОРД и т.д.).
yyy: Ага,ты уже скопировал данные? Нет, ПАСКУДА в систему не пускает.
xxx: ПАСКУДА - на страже Вашей информации

bash.org #AA-265719

Читать полностью…

Пост Лукацкого

Еще и у NetGear увели аккаунт в Твиттер…

Читать полностью…

Пост Лукацкого

Я бы в такой список включал только тех, кто отметил хотя бы одну годовщину 1️⃣ существования канала. Тогда понятно, что для автора - это не баловство, не служебная разнарядка и есть надежда на развитие

Читать полностью…

Пост Лукацкого

Неграмотность пользователей снижает эффективность атаки по словарю 💡

Читать полностью…

Пост Лукацкого

Все и всегда знают где ты сейчас.
Так будет на Земле уже в ближайшие годы.

Первый бастион приватности, что исчезнет всего через несколько лет, будет приватность информации о местоположении человека.
Все для такого отказа от приватности почти готово.
Первое (и главное) условие – желание и готовность людей делиться своим местоположением с другими людьми, - уже выполнено среди представителей наиболее технически подкованного поколения Z (молодежь до 25 лет). А именно они определят, каким будет мир в ближайшую пару десятков лет.
Недавний опрос в США показал, что 94% представителей поколения Z выступают за геолокацию, считая, что это дает им множество преимуществ и помогает им чувствовать себя в большей безопасности при посещении рискованных или новых мест.
Совместное использование местоположения уже стало нормой личной жизни поколения Z. 78% говорят, что используют его на первом свидании или вечеринке в гостях у незнакомца, а 77% — при посещении концертов, фестивалей или других масштабных мероприятий. Самыми большими поклонниками совместного доступа к местоположению являются женщины поколения Z: 72% из них утверждают, что это дает им лучшее ощущение физического благополучия. [1]

Второе условие – наличие технологий, определяющих местоположение человека при отсутствии у него желания делиться этой информацией. И это тоже уже есть.
Трое аспирантов Стэнфорда в рамках проекта под названием «Прогнозирование геолокации изображений» (PIGEON) разработали ИИ-систему, способную точно определять местоположение фотографий, и даже тех, которые ИИ-система никогда раньше не видела. Первоначально разработанный для определения местоположений в Google Street View, PIGEON теперь может с высокой точностью угадывать местоположение изображения Google Street View в любой точке земного шара.
И хотя точность определения местоположения еще предстоит совершенствовать (сейчас около 40% оценок попадают примерно в 25 километровый круг от цели), но:
• это по всему миру, и в том числе, в тех местах, которые ИИ-система никогда не видела при обучении;
• это уже более точные оценки, чем у 99,99% людей, включая Тревора Рэйнболта, одного из лучших в мире профессиональных игроков в GeoGuessr, игры, в которой пользователи угадывают местоположение фотографии, сделанной из Google Street View;
• скорость совершенствования ИИ-систем нынче измеряется уже не годами, а месяцами.

Картинка https://disk.yandex.ru/i/VLgXkvy9kTl-aw
[1] https://bit.ly/3RPr0Cc
{2] https://arxiv.org/abs/2307.05845
#Приватность

Читать полностью…
Подписаться на канал