alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Это заголовок, а что написано в статье? "Заказчики заявляют, что функциональность иностранных NAC-решений была на 80% неактуальной". Как можно исказить смысл этого высказывания? ☝️

Но вообще меня зацепило другое. Пока весь мир активно внедряет у себя Zero Trust, некоторые отечественные вендора "изобретают" NAC. Именно "изобретают", так как в своей исходной концепции NAC подразумевал контроль доступа на уровне сети и реализовывался он с помощью специального сервера политик, к которому обращалось сетевое оборудование за ответом "пущать или нет" (протокол 802.1x был корневым для NAC). И основными задачами NAC были ААА, применение политик доступ к сети и оценка состояния безопасности оконечных устройств в части проверки наличия антивируса, HIPS/EDR, патчей и т.п.

Но так как наши производители сетевого оборудования не умеют в безопасность (и похоже не особо хотят, "и так покупают"), то отечественный производитель ИБ решил назвать NACом то, что работает на узле и защищает его от широкого спектра угроз - контролирует пользователей, использует персональный МСЭ, мониторит подозрительную активность и т.п. "Ой, так это они же про EPP говорят!", скажете вы. Да, но в этом сегменте рынка плотно сидят другие отечественные игроки, которые на нем уже по два десятка лет и конкурировать с ними сложно. Поэтому что можно было бы сделать? Придумать свою нишу и быть в нем лидером. Но это сложно и требует ресурсов.

Второй путь - отнести свой продукт к уже известной нише, но в которой в России не осталось игроков. Тогда ты будешь в ней лидером и не надо тратиться на маркетинг, ниша-то уже известна. Бинго! Ну а чтобы два раза не вставать, вендор отечественного NACа заодно говорит, что он одновременно EDR, XDR и ZTNA. Ну а что, почему бы и нет, у всех свое понимание смысла этих аббревиатур. Вот так мы продолжаем жить в плену Gartner. Вот что значит сила бренда - компания из России ушла, а дело ее живет.

Читать полностью…

Пост Лукацкого

Общение экспертов с депутатами обычно выглядит именно так. Ты оговорил условия исходной задачи, все от тебя ожидаемое сделал, законопроект написал, тебе пообещали, что править суть не будут и только чуть-чуть поправят юридические формулировки. И ты весь в предвкушении ждешь, когда же выпустят нормативку, которая если и не сделает жизнь лучше, то хотя бы не сделает хуже и точно учтет мнение отрасли. А потом, бац…

ЗЫ. А вообще, хочется пожелать депутатам и сенаторам хороших летних каникул. Мы отдохнем от их инициатив, а они от нашей оценки их деятельности. Наверное…

Читать полностью…

Пост Лукацкого

Это, конечно, фееричная история. Американская администрация в лице офиса директора по национальной кибербезопасности решила провести ревизию всей ИБшной нормативки США в целях определениях дублей, нестыковок, сложностей в реализации и других моментов, мешающих реализации ИБ в стране 🇺🇸. И для этого она опубликовала соответствующий RFI и запросила у всех желающих поделиться своим мнением ✍️. Я не знаю, чем закончится эта история, но если они даже 10% от предложенного реализуют, то будет круто. Вот бы у нас так...

ЗЫ. Может они отчет о том, как устранять негативные последствия закона Гудхарта, упомянутый в моей заметке в блоге ☝️, прочитали?

Читать полностью…

Пост Лукацкого

Что-то тема с законом Гудхарта зашла (помимо моих заметок, вчера была еще и дискуссия в канале "Результативный CISO"). Поэтому я решил, что можно и отдельную заметку в блоге этому закону посвятить; с большим числом примеров и с рекомендациями по его обходу.

Читать полностью…

Пост Лукацкого

О, как у нас все лихо закручено. Проекты Указов Президента через Gmail проходят. А если задать поиск по доменам duma.gov.ru, mosoblduma.ru и других государевых структур, то там сплошь и рядом почта gmail.com указана как контактная. Депутатам бы с себя начать, прежде чем о безопасности граждан начинать заботиться 🤦‍♂️

Читать полностью…

Пост Лукацкого

Норвежские спецслужбы сообщили о том, что на ряд государственных заказчиков в стране была зафиксирована атаке, через уязвимости в продуктах для защиты мобильных устройств MobileIron (они же Ivanti). История чем-то схожая с операцией "Триангуляция", о которой сообщила ФСБ, что послужило причиной запрета iPhone'ов во многих российских заказчиках. Но есть один нюанс.

Сначала Ivanti отказывалась признавать факт наличия уязвимости, потом сделала эту информацию закрытой и распространяла ее только по своим, имеющим действующий контракт на техподдержку, заказчикам с пометкой TLP:AMBER+STRICT (то есть не раскрывать за пределы компании, получившей уведомление) и только после поднявшейся в ИБ-комьюнити шумихи информация об уязвимости была раскрыта. Ну такая себе политика ИБ-вендора...

ЗЫ. В России MobileIron, кстати, продавался.

ЗЗЫ. У вас же в модели угроз учтены мобильные устройства?

Читать полностью…

Пост Лукацкого

После обзора техник и тактик «российского ГРУ» Mandiant поделилась своим видением китайской киберугрозы, а также сделала обзор активности российской KillNet и действующих с ней сообща группировок.

Читать полностью…

Пост Лукацкого

Пишут, что в WhatsApp обратили внимание на проблему и уже без лишнего шума усложняют процедуру удаления аккаунтов.

Читать полностью…

Пост Лукацкого

Сегодня день самопомощи (заботы о себе)! Потому если вдруг вы искали ссылки на настройки приватности и безопасности в используемых вами и вашими сотрудниками соцсетях, чтобы защитить первых и помочь вторым, то их есть у меня 🧐
🌐 Whatsapp - https://www.whatsapp.com/security
🌐 Facebook/Instagram - https://www.facebook.com/privacy/center/?entry_point=privacy_basics_redirect
🌐 ВКонтакте - https://vk.com/data_protection и https://vk.com/safety
🌐 Одноклассники - https://ok.ru/page/safety/
🌐 Yappy - отсутствует
🌐 Дзен - отсутствует
🌐 Rutube - отсутствует
🌐 Youtube - https://www.youtube.com/intl/ALL_ru/howyoutubeworks/user-settings/privacy/
🌐 Tiktok - https://support.tiktok.com/ru/safety-hc
Как видим, у наших такие странички есть далеко не у всех. Лидирует холдинг VK (хотя Дзен пока не охвачен), Газпром-Медиа почетное второе место среди российских медиа-холдингов (связь с Газпромом обоих холдингов оставим в стороне).

Помоги себе - защити себя сам!

Читать полностью…

Пост Лукацкого

Вы знали, что в России разработан и будет аппробирован на осеннем дистанционном электронном голосовании алгоритм гомоморфного шифрования, который позволяет осуществлять различные операции над шифртекстом без раскрытия самого текста? Вот и я не знал, пока меня не позвали модерировать первое заседание экспертов ДЭГ, на котором я также узнал, что систему дистанционного голосования еще и на Bug Bounty планируют выложить. А вы говорите, что у нас криптография не развивается 👍

ЗЫ. Хотя ряд вопросов все-таки так и остался нераскрытым. Но они не в области криптографии...

Читать полностью…

Пост Лукацкого

Право на частную жизнь и тайну переписки? Нет, не слышали! Наш ВКонтакте не такой!

Читать полностью…

Пост Лукацкого

В этом фрагменте у нас началось хоть какое-то движение... но движение по кругу, которое еще и закончилось столкновением... может быть с ИТ (мягкое и пушистое). То есть ИБ начинает активно внедрять средства защиты, заниматься выстраиванием процессов и даже на вопрос "а зачем вам это все" готовы отвечать. Но это все равно движение по кругу, без цели и результата. Это на тренировках такое возможно - знай себе катайся по кругу и все (хотя даже там есть свои KPI, направленные на вполне конкретный и измеримый результат). А вот в реальной жизни, увы.

Вот сейчас попробуйте задуматься, вы занимаетесь ИБ ради чего? Довольны ли вы результатами своей работы? Не кажется ли вам, что вы как белка в колесе бегаете по кругу, а толку ноль?.. Выполнение требований ГОСТ 57580.1? Ну какая-же это благая цель? Вспоминая предыдущую заметку и закон Гудхарта, мы уже должны понимать, что вместо реальной и результативной кибербезопасности мы начинаем стараться выполнить ГОСТ (а заниматься ИБ и реализовывать ГОСТ по ИБ - это совсем не одно и тоже). Вспомните 250-й Указ и требование, что за ИБ должен отвечать топ-менеджмент. А что получилось в итоге? Попытка за замруководителя пройти 250 часов или просто купить корочку "для проверяющих".

Вот есть чатик по ИБ в финансовом секторе - я перестал его читать так как там вообще не обсуждают вопросы ИБ. Все время на протяжении нескольких лет обсуждение касается нормативки ЦБ - как трактовать то или иное требование ГОСТа, как заполнять отчетность, как объяснить аудитору, что он не прав, и т.д. Вроде одна из самых атакуемых отраслей (крутятся реальные деньги), но ИБ занимается откровенной херней.

Вот реально, это именно то, чем бы вы хотели заниматься? Бегать по кругу и выполнять бумажные требования?

Читать полностью…

Пост Лукацкого

Проукраинская группировка KiraSec взломала правительство Южной Африки за поддержку России

Читать полностью…

Пост Лукацкого

Вероятность попадания в авиакатастрофу составляет 1 к 8000000 (на самом деле цифра скачет от 1 к 5 миллионам до 1 к 11 миллионам). А вот вероятность погибнуть при падении метеорита ☄️ составляет 1 к 1600000 (в других источниках - 1 к 700000). Иными словами смерть от метеорита в 10 раз вероятнее, чем от авиакатастрофы. Это если опираться на данные измерений :-) А экспертная оценка скорее всего даст прямо противоположные результаты. Это к разговору об оценке рисков и использовании мнений экспертов :-) 🤔

Так что идея с недопустимыми событиями имеем право на существование, хотя их и называют неизмеримыми 📐 и поэтому неэффективными при общении с топами. Но именно их субъективность и облегчает их использование. Если того же можно добиться с помощью рисков, которые измерены и по которым не возникает вопросов о том, откуда взяты исходные данные 🧮 для расчетов, то почему бы не использовать риски. Но в абсолютном большинстве случаев, с которыми мне приходилось сталкиваться, реестры рисков устаревали к моменту завершения их подготовки.

Читать полностью…

Пост Лукацкого

У кого-то близится сезон бюджетирования 😊

Читать полностью…

Пост Лукацкого

Американцы выпустили план реализации своей национальной стратегии обеспечения кибербезопасности, о которой я уже тоже писал. Все 68 инициатив описывать не стал, но выделил два десятка тех, которые меня "зацепили". Есть над чем подумать, а может быть и перенять. По ряду направлений мы идем нога в ногу с потенциальным противников, по многим они нас опережают. Но ключевым отличием является, пожалуй то, что в США выработана единая концепция регулирования ИБ. Даже несмотря на наличие нескольких регуляторов. У нас пока не так - наши регуляторы либо грызутся, либо тянут одеяло на себя, либо вставляют палки в колеса другим, либо дублируют активности. Нет единства и согласия 😞

Читать полностью…

Пост Лукацкого

Сообщество ИБ-энтузиастов в Twitter (Infosec Twitter) умерло; судя по анализу его активности в соцсети с очень странным главным акционером. Под данным сообществом аналитики рассматривали тех, кто активно постит про уязвимости, CVE, TI и т.п. Число постов/твитов/кситов упало катастрофически

Читать полностью…

Пост Лукацкого

Российские депутаты регулируют Интернет в целях безопасности 🤦‍♂️

Читать полностью…

Пост Лукацкого

- Что-то Лукацкий осмелел. Давайте ему на SOC Forum запретим выступать?
- Что, опять?
- Да, пусть знает, что можно, а что нельзя писать.
- Да ему же все равно похер; он пишет то, что хочет!
- Ну тогда давайте ему доступ к сайту форума заблокируем?
- А давайте!..

🤦‍♀️

Читать полностью…

Пост Лукацкого

Я вот думаю, депутаты по скудоумию своему приняли поправки, запрещающие регистрацию на российских сайтах всем с иностранных e-mail. Теперь только российский телефонный номер, ЕСИА, ЕБС или иной российский сервис, обеспечивающий функцию авторизации (VK ID, Тинькофф ID, Яндекс.Паспорт и т.п.) можно использовать при регистрации на сайтах. Я вот владелец домена и сайта lukatsky.ru и есть у меня почта с этим доменом, почтовый сервер для которого хостится не в России. И у меня вопрос - я что, с домена lukatsky.ru теперь не могу нигде регаться? А как это будут проверять? По MX-записи?

А еще, после принятия закона, я попробую пройти квест с получением доступа к API ЕСИА или ЕБС, чтобы подключить их к своему сайту. Закон ведь и на физлиц, владеющих сайтами, будет распространяться. Ростелеком и Минцифры, готовьтесь...

ЗЫ. Хорошо, что ответственности за нарушение этой нормы нет...

ЗЗЫ. Интересно, как будут владельцы сайтов теперь реализовывать эту чушь? Например, что делать с уже зарегистрированными адресами? В некоторых сервисах в принципе нельзя поменять первоначально заданный e-mail - только удалять свою учетку. А что делать с теми, кто предлагает резервную почту указывать - может ли она быть не российская? В общем, как всегда, далекие от технологий депутаты даже не подумали спросить хотя бы экспертов о предмете регулирования...

ЗЗЗЫ. Интересно, а как теперь гражданам дружественных стран регистрироваться на российских ресурсах? Например, в рамках партнерских отношений у многих компаний есть личные кабинеты на сайтах, в которых иностранцы регистрируются со своими рабочими иностранными адресами. Посылать всех партнеров и иностранцев нахер? Работать только с россиянами и ни с кем другим?

Читать полностью…

Пост Лукацкого

1️⃣ Цифровой Блокпост предлагает вам свежие новости о кибератаках и советы, как не стать их жертвой. Следим за безопасностью ваших данных 24/7. Безопасность - это лучшая инвестиция в успешный бизнес!

2️⃣ На канале 0day Alert мы проводим анализ свежих, активно используемых и критически важных уязвимостей в современных системах и ПО. Мы предоставляем актуальную информацию, чтобы помочь вам оставаться на шаг впереди угроз в цифровом мире.

3️⃣ Добро пожаловать на канал Изобретая Будущее. Здесь мы представляем перспективные технологии, сегодня ещё выглядящие как фантастика, но которые могут стать реальностью уже завтра. Наша миссия - освещать последние достижения в области квантовой физики, искусственного интеллекта и инновационных разработок. Приглашаем в путешествие в мир науки и технологий будущего!

Читать полностью…

Пост Лукацкого

Тут CardinalOps разродился исследованием, согласно которому SIEMы от Splunk, IBM, SUMO Logic и Microsoft ловят всего 24% техник MITRE ATT&CK. Не смог пропустить мимо такую тему...

Читать полностью…

Пост Лукацкого

Эээ, так просто? Я надеюсь никто не будет пробовать деактивировать мою учетку в Whatsapp?

Читать полностью…

Пост Лукацкого

Сегодня гендиректор OpenAI Сэм Альтман запускает в большое плавание проект WorldCoin (ранее он был в бете). Его основная идея очень похожа на все криптовалютные проекты (кроме цифрового рубля, конечно) - возможность анонимного перевода денежных средств, но преподносится проект, как способ защиты от ботов, созданных искусственным интеллектом (кому, как не гендиру OpenAI, этого не знать). Однако в реализации схемы есть и существенные отличия. Например, орб - специальное устройство для сканирования радужной оболочки глаза с целью последующего вычисления World ID - уникального идентификатора, который может получить только человек. Этот идентификатор можно будет использовать для аутентификации на разных ресурсах без раскрытия своих ПДн.

На текущий момент в системе зарегистрировано около 2 миллионов пользователей. Распространяется Worldcoin преимущественно в Южмой Америке, Индии и Индонезии, странах Африки и Западной и Центральной Европе. Россия 🇷🇺 вряд ли попадет в этот список. Потому что у нас не приветствуют анонимные криптовалюты, а Worldcoin Token (WLD) - это обычная криптовалюта, которая уже попала в листинг крупных криптобирж. А еще потому что у нас в стране биометрия должна принадлежать государству, а не какой-то там частной компании.

С точки зрения ИБ лично у меня к проекту есть ряд вопросов:
👀 Данные биометрии либо не покидают орба и удаляются после сканирования, либо передаются в компанию Worldcoin и там хранятся в зашифрованном виде. Во втором случае очевидно их утечка - это вопрос времени.
👀 Какова процедура разбора конфликтов в случае такого уровня анонимности? Как подтвердить, что это ты и это у тебя что-то там украли или ты потерял свой World ID?
👀 Уже зафиксированы взломы операторов орбов, а значит мошенники могли получить доступ к данным уже зарегистрированных пользователей.
👀 Какова процедура верификации операторов орбов и где гарантии, что они не являются мошенниками?
👀 Интересно было бы почитать про способы защиты биометрической системы от фейков. А то вся история с "доступом только людей" может провалиться и в системе появятся боты.
👀 Разработчики по сути своей предлагают обменять свою биометрию на токены (после регистрации дают 25 токенов). Для чего такая щедрость и что вообще будут делать с этой биометрией? Те же вопросы есть и к ЕБС.
👀 Как блокируются World ID, которые уже начинают продаваться на черном рынке?

Вообще, интересный проект, который показывает, что "цифровая тюрьма" все ближе и для этого используются все классические технологии, имеющие прямое отношение к ИБ - блокчейн, криптография, биометрия, аутентификация... Глядишь, скоро появится в какой-нибудь ВШЭ курс по "безопасности цифровой демократии", где будут рассматривать ИБ в преломлении к различным государственным, общественным и частным проектам, которые у нас появляются как грибы после дождя.

Читать полностью…

Пост Лукацкого

Кто-то пытался поменять телефоны авиакомпании Delta ✈️ на картах Google для переадресации звонков на себя. А вы проверяете корректность ваших контактов в Яндекс.Картах? Ведь это разновидность фишинга 🎣, только вместо заманивания на левые сайты и сайты клоны, тут подменяют номер телефона.

ЗЫ. У меня лично был опыт смены номера дома на карте 🗺 и не могу сказать, что эта процедура какая-то сложная и требующая серьезного подтверждения подлинности автора запроса.

ЗЗЫ. После прочтения заметки вы же не просто подумаете "ух ты, что делается-то", но и внесете этот вектор в свою модель угроз 😱?

Читать полностью…

Пост Лукацкого

Пытаюсь представить такое на наших ИБшных конфах и не получается… А вообще странное сочетание. С одной стороны ты за толерантность и равноправие в ИБ, а с другой - проводишь мероприятия на тему “Women in Cybersecurity”, куда мужики не допускаются ⛔️.

То есть как туалет, так общий, а как закрытая конфа, так врозь? Я бы на месте американских ИБшников, если бы им не было пофиг, возмутился, устроил бы забастовку и подал бы жалобу в Верховный суд США 👮!

Вот в России тоже есть женсоветпоиб, но российские ИБшники никакого сексизма не чувствуют, туда не стремятся (если только самую малость). У ибшниц свои игры в куклы 🤰 и дегустации просекко, у ибшников свои бани и рыбалки (но календарик к новому году все ждут). И все довольны 🤝

Читать полностью…

Пост Лукацкого

Считается, что в «Смешариках» можно найти ответ на любой вопрос, а уж применить к кибербезу можно немало серий этого анимационного сериала. Но я человек старой закалки, да и смотреть все 318 серий просто времени нет, и поэтому являюсь сторонником другого нашего мультсериала, а именно «Ну, погоди» (но того, классического, не современного убожества). И вот фрагмент из 13-й серии, который прекрасно иллюстрирует разные уровни зрелости ИБ и отличия «обычной» и результативной кибербезопасности.

В первом фрагменте неувядающая классика. ИБ стремительно крутит педали, достигая заветной цифры 100 (представим, что это проценты, а не км/ч) и считает, что это офигенный результат. Аудиты показывают полное соответствие чему-то. Бурная деятельность, но по сути движение на одном месте 😰 Вроде как и цель есть (100%), а результата при этом нет. Поэтому я не очень люблю бумажные проверки в виде аудитов и аттестации - многократно видел результаты их прохождения, после которых компании ломали и не раз.

Тут в пору вспомнить Закон Гудхарта, который звучит как "Когда мера становится целью, она перестает быть хорошей мерой". А все потому, что эта мера становится объектом манипуляций - либо прямых, либо косвенных. И хотя Гудхарт писал про денежную политику, мы сами прекрасно видим, что он применим и в других сферах нашей жизни. Об этом же говорится в законе Кэмпбелла - "введение индикаторов или критериев, по которым оценивается работа того или иного института, неизбежно приводит к искажению как самих индикаторов, так и социальных процессов, которые тот должен оценивать".

Поэтому я не сторонник благих начинаний наших регуляторов и законодателей, которые, руководствуясь благими намерениями, принимают какие-то обязательные меры и нормы, заставляя нас их реализовывать. Они становятся целью и... мы начинаем подгонять результаты под цели, достигать их любой ценой, даже в ущерб здравому смыслу. Вот если бы регуляторы перестали выпускать обязательные нормы, а сосредоточились на методических указаниях?...

Читать полностью…

Пост Лукацкого

Даже если хакеры начнут ломать биотехнологические импланты (например, Нейролинк’овские от Илона Маска), то фольга останется единственным средством защиты! Закупайтесь фольгой, а не только солью и спичками!

Читать полностью…

Пост Лукацкого

Что-то mail[.]ru стал регулярно фишинг пропускать. Раньше такого не было - только spear phishing проскакивал иногда 👨‍💻

Читать полностью…

Пост Лукацкого

Тут все СМИ и Интернет пестрят заметками на тему "ChatGPT потупел" и т.п. и ссылаются на солидное исследование ученых из Стэнфорда. Ну так вот, дьявол, как говорится, в деталях. ChatGPT не тупел - он остался тем же; просто поменялось его поведение после соответствующего тюнинга. Об этом неплохо написано у Сергея Карелова (если кому-то лень читать оригинал исследования, а не заголовки СМИ).

И это имеет прямое отношение к ИБ - оставаясь неизменной, модель GPT-3.5 или GPT-4, может быть использована как в благих, так и во враждебных целях. GPT-4 ведь обучалась не на меньшем объеме данных, чтобы "поглупеть". И зависит это не от обучения самой модели, а от ее тюнинга. Хотите сделать ее высокоморальной и толерантной - тюните одни параметры (вспоминаем оригинальный фильм "Робокоп"); хотите сделать ее вредоносной, пишущей вредоносы и фишинговые сообщения, и ищущей уязвимости в коде, - тюните другие параметры. Это как кухонный нож - можно резать стейк, а можно зарезать человека.

Поэтому мало подключить ChatGPT к своему IRP/SIEM или иному продукту по ИБ, как это делают некоторые вендора. Нужно разбираться, что вы подключаете и зачем. Ну да про осознанность подключение ChatGPT к средствам ИБ я уже писал. Впору добавить 12-й пункт в тот список вопросов - "У вас есть специалисты по искусственному интеллекту, которые понимают, как он работает, и как работает конкретно ChatGPT?"

Читать полностью…
Подписаться на канал