alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

не помогли два новых патча
мне залатать дыру внутри
и чтоб закрыть ее решаюсь
на три

Читать полностью…

Пост Лукацкого

гисы багбаунти боятся
не из за рейтинга цэтэ
их гложет неопределенность
и энтропия зеродей

Читать полностью…

Пост Лукацкого

ℹ️ Прекрасный дисклеймер. Первый раз такое вижу, но прям хорошо 📌 А то так и за несанкционированный доступ к ПДн можно было бы загреметь. Ведь субъекты не давали согласия на предоставление такого доступа журналистам, пусть и вследствие утечки.

ЗЫ. Это в тему взлома национальной лаборатории Айдахо при МинЭнерго США.

Читать полностью…

Пост Лукацкого

Совет, обращать внимание на ошибки в тексте, что должно выдать неграмотных фишеров, скоро канет в лету. ИИ не ошибается в написании слов и operator у него никогда не будет opeator’ом 😱, а ransomwar пишется с e на конце ✍️

Читать полностью…

Пост Лукацкого

Сначала надавили на страх, потом подсластили пилюлю в виде халявы. Два в одном.

Читать полностью…

Пост Лукацкого

🆕 Не успело ГУР украинского МинОбороны взять на себя, публично признав, взлом Росавиации, в гонку публичных заявлений о взломе российских организаций включилась и СБУ, руководители которой недавно были отправлены в отставку по обвинению в коррупции. Украинская спецслужба призналась в том, что вместе с хакерами стояла за взломом российского Минтруда и соцзащиты 🆒

Нечасто можно услышать признание, что одно государство и конкретное ведомство, стоит за нападением. А тут уже третий пример (первым было признание Минцифры год назад, что оно курирует ИТ-армию Украины). Все меняется в нашем кибермире - геополитика, политика, дипломатия 🛡

Читать полностью…

Пост Лукацкого

С профессиональным праздником, коллеги! 👍 С международным днем защиты информации! 🥳 Пусть наш труд оценивают по достоинству, а мы не будем бояться брать ответственность за тот результат, к которому мы стремимся! Ура! 👍

Читать полностью…

Пост Лукацкого

Свежий проект RULER (Really Useful Logging and Event Repository) про то, какие логи и какие события в них наиболее полезны при расследовании инцидентов. Проект только в самом начале своего развития и пока там данные только по антивирусам (из наших там только Каспер) и средствам удаленного администрирования. Автор приглашает всех участвовать.

ЗЫ. Как пишет автор, проект не про то "что надо регистрировать", а про то, что включено по умолчанию и приносит пользу.

#soctech

Читать полностью…

Пост Лукацкого

Коллекция публичных отчетов об инцидентах с индикаторами компрометации, раскрытых самими компаниями-жертвами или с их согласия. Нечасто компании признают факт инцидента ИБ у себя, а уж выложить детальные результаты расследования тем более 😎

#soctech

Читать полностью…

Пост Лукацкого

Вся ИБ решений Unitronics на сайте производителя 🤠

Читать полностью…

Пост Лукацкого

Сначала сломали американскую Idaho National Lab, занимающуюся ядерной энергетикой. Потом хакнули китайскую China Energy Engineering Corporation и почти в тоже самое время словенскую Holding Slovenske elektrarne (HSE). Электроэнергетике приходится несладко, как и вообще предприятиям, которые раньше считали себя неуязвимыми. "Кто будет ломать АСУ ТП? Это же надо в ней разбираться!", - говорили они. "Да у нас вообще никаких открытых протоколов, только проприетарные, что делает нас более защищенными!" И вот история начинает показывать, кто был прав.

Иранская хакерская группа Cyber Av3ngers взломала систему Муниципального управления водоснабжением города Аликвиппы в штате Пенсильвания. Взлому подверглась система АСУ ТП израильской Unitronics, решения которой используется преимущественно в США, Австралии и Италии, но есть заказчики и в России. Unitronics строила свое решение на базе проприетарного протокола PCOM, который позволяет удаленно управлять промышленными контроллерами (TCP-порт 20256). И как это часто бывает, PCOM не содержит ни механизма шифрования, ни аутентификации, без которых можно не только перехватывать управляющий трафик, но и вмешиваться в него - можно менять конфигурацию устройств и даже прерывать взаимодействие между ПЛК и управляемыми датчиками и исполнительными устройствами.

Доступность многих устройств Unitronics через Интернет и наличие модуля в Metasploit делает компании, использующие решения израильского вендора, легкой мишенью. И ладно, если бы речь шла о какой-нибудь 0-Day. Но нет. В апреле этого года уже было зафиксировано несколько атак в рамках кампании #OpIsrael, направленной против организаций из Земли Обетованной, которые использовали решений Unitronics. После 7-го октября атаки вновь повторились и мы видели немало заявлений про-палестинских группировок о взломе/проникновении в системы промышленной автоматизации Израиля. Были среди них и решения Unitronics.

Читать полностью…

Пост Лукацкого

Каково это быть чуваком, которого будут звать «коровьим хакером» или «коровьим пентестером»? 🐄

Но вообще странно. Они пишут, что они первые провели анализ IoT-протокола в сенсорах, висящих на коровах. Но я про это рассказывал (а про что я еще не рассказывал и не писал?) еще в году 2010-м или около того, опираясь на известные уже тогда исследования по взлому датчиков, отслеживающих местоположение и «здоровье» коров 🐄

Угнать стадо коров, подменив геолокацию, это вам не шутки. В Техасе за такое и грохнуть могут 🤠

Читать полностью…

Пост Лукацкого

Выложены все видео-записи с прошедшей Moscow Hacking Week:
🔤 Standoff 101 (28 видео)
🔤 Standoff 12 (42 видео)
🔤 Standoff Talks (19 видео)
🔤 Standoff Hacks (standoff365/featured">скоро)

Читать полностью…

Пост Лукацкого

С дня благодарения (четвертый четверг ноября) в США начинается праздничный сезон, длящийся до Нового года. А у хакеров начинается предрождественский и предновогодний чёс 🎁

Будьте внимательны! Самое время провести повышение осведомленности среди сотрудников, фишинговые симуляции 💌 и вот это вот все. И помните, что «Черной пятницей» все не заканчивается!

Читать полностью…

Пост Лукацкого

Если бы я был хакером, взломавшим предприятие, занимающееся ядерными вооружениями, ИБ АСУ ТП, строительством 50+ атомных реакторов, радиологической медициной, климатом и кучей других, в том числе секретных проектов, последнее, что я бы крал, - это список сотрудников 💻

Вообще, всегда удивляло, почему все так носятся с этими давно уже всем известными краденными персданными. Что там вообще бывает интересного? ИНН/SSN, возраст, место жительства, уровень образования и другая малополезная инфа? Где доносы на коллег, компрометирующие фотки с корпоративов, сведения об интрижках с коллегами и другое персональное грязное белье? Последнего же ничего нет в утечках обычно. Почтовые архивы перестали почти выкладывать.

Когда публикуются только дампы с ПДн организаций, у которых есть гораздо более ценные активы, у меня сразу возникает несколько предположений:
🔤 Это просто сродни надписи «Здесь был Вася» и вообще детский сад (но именно за это будут впаивать оборотные штрафы) 🙏
🔤 Это поматрошенные и брошенные выпотрошенные данные, никому уже ненужные (значит инцидент случился задолго до) 💻
🔤 Это прикрытие и отвлечение внимания от более ценной украденной информации (у INL точно, что было брать) 🤑
🔤 Это прикрытие более серьезных действий (внедрение закладок в разрабатываемый код, кража денег, перехват управления…) и инцидент еще даст о себе знать, но спустя какое-то время и не там, где это все ждут 😎
🔤 Все хакеры проходили один и тот же тренинг «Как взломать организацию», в рамках отработки заданий все крали данные, а на домашку ни у кого уже не хватило желания. Вот и творчт только то, что уже делали под руководством инструктора 🖕

Читать полностью…

Пост Лукацкого

Вторая презентация с #soctech была посвящена нюансам выбора технологического стека для SOC

Читать полностью…

Пост Лукацкого

Моя первая презентация с вчерашнего #soctech про мониторинг угроз от|на подрядчиков. Я специально сделал disclaimer во время выступления, что, во-первых, вариантов угроз на цепочку поставок достаточно много (от аппаратных имплантов до несанкционированных действий сотрудников подрядчиков), а во-вторых, по каждой из них можно отдельно говорить не менее 20 минут, а у меня на все было 20 минут. Так что в презентации некоторые мысли о том, на что стоит обратить внимание...

Читать полностью…

Пост Лукацкого

Во... тут все без ошибок. И даже Россию упомянули, куда уж без нее 😈

ЗЫ. Вообще, когда говорят, что ИИ еще далеко до человека и вообще все это детский сад, то я смотрю на такие картинки и понимаю, что я бы такое никогда сам не нарисовал. А если бы кого-то просил, то стоило бы мне это не одну тысячу рублей. А тут ты берешь DALL-E или Midjourney и они тебе рисуют все, что нужно. И правки вносят без раздумий и споров. И разговоров "я художник, я так вижу" они тоже себе не позволяют 👎 Может и хорошо, что ИИ еще далеко до человека? 🤨

Читать полностью…

Пост Лукацкого

И потом не говорите, что это была недокументированная возможность 😎 Вас же заранее предупредили 🛠

ЗЫ. Спасибо подписчику, что обратил внимание

Читать полностью…

Пост Лукацкого

Второй выступление на #SOCtech у меня посвящено мониторингу атак на|от подрядчиков. Аппаратные импланты, SLSA, TLS Fingerprinting с хешами JA3, каталог шаблонов атак на цепочку поставок MITRE, что такое syft и какое отношение он имеет к SBOM и т.п.

Читать полностью…

Пост Лукацкого

Сегодня на #SOCtech у меня два выступления. Первое посвящено выбору технологий SOC в зависимости от различных исходных данных. На что обращать внимание при выборе SIEM, как режим работы SOC влияет на необходимость технологий для Threat Hunting и Forensics, когда нужны конвертеры правил для SIEM, что такое тесты Atomic Red Team и многое другое...

Читать полностью…

Пост Лукацкого

Провокационное, мягко скажем, название для выступления. Надеюсь там не было дано инструкций для bad guys 👨‍💻 Хорошо, что доступ к записям выступлений закрытый и возможен только для участников или тех, кто готов заплатить 3️⃣2️⃣0️⃣0️⃣0️⃣ рублей (что для юрлиц, что для физлиц, без разницы). А techtalk так и вовсе не выкладывали 🤔

Читать полностью…

Пост Лукацкого

Индусы вдруг ищут...

Читать полностью…

Пост Лукацкого

В «украденной» в одном непубличном канале блок-схеме действий в случае инцидента не хватает одного варианта отмазки - «там не все данные клиентов, а только малая часть».

Вот и Okta по этому пути пошла. Сначала она заявила об утечке данных всего 1% клиентов. А теперь выясняется, что утекли данные всех 100% заказчиков.

Вы же знаете, что делать, если у вашего подрядчика, особенно в области ИБ, утечка?

Читать полностью…

Пост Лукацкого

Что сделает нормальный ИБшник, когда узнает о том, что на компании, использующие такие же, как и у него решения, были совершены кибернападения и они были успешны? Конечно, же начнет сокращать площадь атаки:
1️⃣ прикроет доступные извне порты PCOM-устройств,
2️⃣ поменяет пароли, особенно заданные по умолчанию (у Unitronics нет MFA в решениях),
3️⃣ настроит периметровые средства сетевой безопасности для блокирования доступа к известным портам,
4️⃣ поставит инфраструктуру на дополнительный мониторинг,
5️⃣ обновит все ПО и будет отслеживать его целостность (как на ПЛК и HMI, так и на других компонентах АСУ ТП)
6️⃣ по возможности обеспечит целостность сетевых коммуникаций (хоть наложенными средствами)
7️⃣ запросит у вендора рекомендации по ИБ его оборудования
8️⃣ проведет киберучения для своей команды по реагированию на инциденты.

Но нет, американские ИБшники не такие; они думают, что палестинско-израильский конфликт их не коснется и что океан, разделяющий их и пропалестинских хакеров, является надежным препятствием для кибератак. Но нет...

Читать полностью…

Пост Лукацкого

Вот у отдельных индивидуумов 💻 жизнь интересная. Жаловаться на мои заметки в Telegram ✈️ и потом со мной делиться сим достижением.

А я чего? Я ничего. Продолжаю писать о том, что мне интересно. Подстраиваться под чужие ожидания в отношении меня, которым я не соответствую, я не планирую 🖕

Пусть человек хоть так сублимирует свою энергию 🐇 и мелкую моторику развивает в процессе написания жалоб. Так, глядишь, настрополится и можно в кибердружинники или Лигу безопасного Интернета попроситься - там барабанщики такой тонкой душевной организации нужны 🖕

Читать полностью…

Пост Лукацкого

Скромненькая, почти двухсотстраничная презентация с анализом использования легитимных коммерческих средств удаленного доступа (AnyDesk, TeamViewer, ConnectWise, FileZilla, WinSCP и т.п.) в деятельности хакеров. Артефакты, индикаторы, примеры...

#soctech

Читать полностью…

Пост Лукацкого

У хакеров тоже «черная пятница» и «киберпонедельник» 🤑

Читать полностью…

Пост Лукацкого

Американские и английские регуляторы по ИБ начали койны 🪙 выдавать отдельным экспертам, работающим во благо государства. Англичане выдают койн от имени NCSC, а американцы - от имени директора CISA. А у нас дают медали 🏅 «За укрепление…». Вроде еще и грамоты дают или просто в «зал славы» на сайте включают. А иногда именное табельное оружие вручают; ну или, как минимум, серебряный кинжал 🗡

ЗЫ. Как по мне, так койн - это что-то между ведомственной медалью и грамотой 🏅 Сделать проще, жирными от селедки пальцами не заляпаешь, и не надо морочиться с бюрократической машиной, как с медалями.

Читать полностью…

Пост Лукацкого

Чем закончилась утечка из «Здравсити»

Если компания заявляет, что утечки данных не было, стоит ли ей верить на слово?

1 февраля на одном хакерском форуме появилось сообщение о взломе онлайн-сервиса по заказу лекарств «Здравсити». Злоумышленник выставил на продажу данные почти 9 миллионов клиентов, включая имена, даты рождения, телефоны, email'ы и пр. Для подтверждения был опубликован небольшой фрагмент похищенной базы.

2 февраля об утечке сообщил телеграм-канал «Утечки баз данных». На это обратили внимание СМИ, а вскоре отреагировал и руководитель маркетплейса:

«Информация о взломе онлайн-сервиса "Здравсити" не соответствует действительности. На текущий момент мы проводим тщательное расследование инцидента. Первые выводы свидетельствуют о том, что появившаяся информация носит провокационный характер. Из пробных строк выгрузки, приведенных в качестве примера подтверждения, определенно видно, что база неактуальная».

На этом опровержении публичная история утечки закончилась. Ничего интересного.

Но не расходитесь. Из материалов судебного дела можно узнать, что было дальше.

14 февраля, спустя почти две недели, компания «Проаптека», которая, очевидно, отвечает за развитие сервиса, уведомила Роскомнадзор «о неправомерной или случайной передаче персональных данных, повлекшей нарушение прав субъектов персональных данных», а 17 февраля направила в ведомство ещё одно уведомление. Причиной инцидента был назван «несанкционированный доступ к базе данных, расположенной у внешнего подрядчика, скачивание базы данных пользователей – участников программы лояльности клиентов через создание пользователя с административными правами посредством команд API».

Через пять месяцев, 17 июля, Роскомнадзор составил по этому поводу протокол об административном правонарушении. А ещё через два месяца суд признал компанию виновной по ч.1. ст. 13.11 КоАП и назначил штраф в 60 тысяч. Представитель компании в суде с правонарушением согласился, правда, как часто бывает в таких делах, просил ограничиться предупреждением.

Но, напомню, публичная история утечки закончилась опровержением. Теперь вот и вы в курсе.

К сожалению, это, скорее, типичная история, чем исключение. Организации могут говорить что угодно, уточнять информацию их никто не обязывает, оповещать клиентов тем более. Наиболее распространённая стратегия реагирования — сидеть тише воды, ниже травы. А пока подробности инцидента остаются тайным знанием узкого круга, злоумышленники аналогичным образом ломают и другие организации. Не особо способствует повышению осведомлённости о причинах и последствиях утечек и Роскомнадзор, в основном
ограничиваясь рапортами о количестве составленных протоколов (то есть о своих успехах).

Стоит ли удивляться
скепсису граждан относительно способности государства и бизнеса защищать персональные данные?

Читать полностью…
Подписаться на канал