alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

🆕 23 апреля, не нарушая традиций, MITRE выпустила новое обновление матрицы ATT&CK, сфокусировавшись на том, что нужно обнаруживать и как это сделать наиболее эффективно. С точки зрения цифр, было добавлено 12 техник в Enterprise-матрицу, 5 - в "мобильную" версию и 2 - в версию для АСУ ТП, а также 34 новых вредоносов (29 для корпоративной и 5 для мобилок), 13 новых группировок 👨‍👨‍👦‍👦 (7, 5 и 1 соответственно) и 9 новых хакерских кампаний. Всего в 15-ю версию MITRE ATT&CK теперь включено 14 техник (по 12 для мобильной и АСУ ТП версий), 368 техник, 481 подтехника (в 16-й версии добавят подтехники и для АСУ ТП версии), 152 группировки, 794 вредоноса и 30 кампаний. Добавления были и российских компаний, но без их упоминания (геополитика-с) 🔢

Следуя трендам были добавлены новые техники, связанные с компрометацией сетевых устройств (T1584.008), Fortinet, привет, а также с применением искусственного интеллекта 🧠 (T1588.007). Множество техник было модифицировано под влиянием новых кейсов, зафиксированных за последнее время (особенно в контексте взломов облаков).

В отличие от прошлой версии, в которую добавили псевдокод, демонстрирующий способ описание детекта техники, в новой версии от него отказались, посчитав достаточно сложным для восприятия. Но сама идея была правильная, поэтому в 15-й версии псевдокод поменяли на язык запросов, схожий со Splunk'овским.

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688" )
( (CommandLine="reg" CommandLine="add" CommandLine="/d" ) OR ((CommandLine="Set-ItemProperty" OR CommandLine="New-ItemProperty") AND CommandLine="-value" )) CommandLine=" Microsoft \Windows NI\CurrentVersion|Winlogon" (CommandLine="Userinit" OR CommandIine="Shell" OR CommandLine="Notify")

Читать полностью…

Пост Лукацкого

⚠️ Dropbox уведомил Комиссию по ценным бумагам об инциденте с сервисом Dropbox Sign.

Но, что странно, Dropbox пишет, что неизвестные хакеры 👨‍💻 получили доступ к e-mails, именам пользователей, настройкам учетных записей, а также, в ряде случаев, к хэшированным паролям, номерам телефонов, ключам API, токенам OAuth и MFA. И при этом Dropbox уверяет, что доступа к данным пользователей нет 🤔

Имея такой «фулхаус» 🃏 на руках и не воспользоваться? Врут, небось, и готовят аудиторию к следующему анонсу?.. 🔈

Но прямо сейчас я пойду и поменяю не только пароль 💡 от Dropbox, в день пароля-то, но и отозву все токены аутентификации (ими можно пользоваться даже при измененном пароле).

Читать полностью…

Пост Лукацкого

Зеленский уволил главу кибербеза СБУ Илью Витюка, которого он же месяц назад наградил погонами бригадного генерала

Читать полностью…

Пост Лукацкого

Шутка за 100 для тех, кто еще помнит эти имена 😂

ЗЫ. На сайте McAfee, кстати, из раздела Executive Team убрали данные по их гендиректору, Грегу Джонсону. Опять меняют?

ЗЗЫ. Главное, не путаться в разных McAfee, которые теперь McAfee (консьюмерские продукты), Trellix (слияние McAfee Enterprise и Fireeye) и SkyHigh (слияние SkyHigh и McAfee SSE) 😦

Читать полностью…

Пост Лукацкого

Мир
Труд
Май
Кибербез


Подготовили мотивирующие плакаты в советской стилистике с важными советами по кибергигиене.

🔮 Листайте карточки, ностальгируйте и пишите в комментариях, какие еще советы можно перенести на советский плакат. 

💫 Все плакаты можно не только репостнуть и отправить друзьям, но и скачать в высоком разрешении и повесить у себя в офисе.

🏠 Подписаться на Кибердом & Бизнес

Читать полностью…

Пост Лукацкого

Новая схема от мошенников с сопредельной стороны (прислана подписчицей, за что ей спасибо!). Обзванивают 📞 бывших сотрудников (начиная с гендиректоров и бухгалтеров, данные по которым открыто лежат в ЕГРЮЛ) компаний с иностранным участием и, прикрываясь службой в правоохранительных органах и стращая уголовными делами 👮 по иноагентским статьям и госизменой, требуют всякого, например, бухгалтерские документы.

Так что, если вы еще недавно числились в какой-нибудь такой фирме, то будьте готовы к соответствующим звонкам 📞 и сообщениям. Как модификация схемы, может прилететь сообщение от вашего "бывшего генерального директора", который будет запрашивать разное, якобы в рамках следственных действий, или просить оказать содействие 🆘

ЗЫ. То же легко пробивается через соцсети (LinkedIn, Facebook, VK и иже с ними).

Читать полностью…

Пост Лукацкого

21 год тюрьмы получил специалист по кибербезопасности АНБ за шпионаж в пользу России 🇷🇺 За 85 тысяч долларов он слил (и пообещал слить еще) несколько совершенно секретных документов агентам ФБР, выдавшим себя за сотрудников российских спецслужб 👀

А если бы они себя выдавали за агентов 🗿 Гондураса, он тоже бы сливал данные? Может ему вовсе неважно было, кому сливать украденные файлы? А с другой стороны, зачем Гондурасу секретные документы 🤫 АНБ?

Читать полностью…

Пост Лукацкого

Как работает DDoS ;-)

Читать полностью…

Пост Лукацкого

Интересное название у очередного шифровальщика - Псоглав 🐺

Иностранные исследователи пишут, что это слово из славянских языков, как бы намекая в очередной раз на Россию. Как по мне, так намек странный, - Псоглав - это слово из сербского (в хорватском или словенском языках окончания немного иные - psoglavac и psoglavec соответственно) и означает чудовище с головой собаки или волка и телом человека 🚶‍♂️

Вроде и «браться-славяне», но точно не Россия, где аналогичного демона в явном виде нет (кроме хоть как-то близкого «Полкана»). Но если написать ✍️ про потенциальное авторство Боснии и Герцеговины или Монтенегро, то это уже не так интересно; они же часть «правильной» Европы. Хорошо что пока не связали с релокацией многих русских в Сербию…

Читать полностью…

Пост Лукацкого

АНБ обновило набор национальных криптографических 🤒 стандартов (Commercial National Security Algorithm Suite 2.0, CNSA 2.0), распространив обновления на операторов и владельцев национальной системы безопасности (NSS) и военных (DIB) в обязательном порядке (остальные могут применять их по своему желанию). Изменения связаны с включением в CNSA 2.0 новых, квантово-устойчивых алгоритмов ⚛️

Читать полностью…

Пост Лукацкого

Хорошая попытка зафишить спикеров RSA Conference ✉️

Читать полностью…

Пост Лукацкого

Возвращаясь к позавчерашней статистике Mandiant, есть и другие цифры; на этот раз от PaloAlto Unit42. У этой компании на первое место в числе причин успешных атак выходит социальный инжиниринг, включая фишинг (42%). На втором месте - использование уязвимостей (31%), на третьем, с 15%, - компрометация учетных данных 🗡

А вот шифровальщики, по данным Unit42, в основном использовали эксплойты (48%) и подбор пароля (20%); последний преимущественный для RDP, который использовался в 40% всех заражений ВПО 🔓 VPN-шлюзы тоже в прицеле - в 50% на смотрящих в Интернет криптошлюзах почему-то отсутствовала многофакторная аутентификация, что вкупе с подбором пароля представляет открытые ворота для злоумышленников 🥅

Уходя на майские праздники, можете ли вы положительно ответить на следующие вопросы:
✔️ Вы уверены, что ваш корпоративный почтовый сервер готов к тому, что когда хакеры постучатся в него "тук-тук" (knock-knock), он сможет противостоять им? PT Knockin вам в помощь.
✔️ Вы уверены, что у вас выстроен процесс поиска и устранения хотя бы публичных торчащих уязвимостей, а также анализа незакрытых портов и сервисов? СКИПА от CybeOK или Censys и Shodan вам в помощь.
✔️ Вы уверены, что отслеживаете утекшие пароли ваших сотрудников. Сервис НКЦКИ вам в помощь.
✔️ Вы уверены, что у вас пропатчен RDP и он пробрасывается через VPN?
✔️ Вы уверены, что у вас включена MFA на доступных извне сервисах доступа внутрь инфраструктуры (VPN, RDP, SSH и т.п.)?

Читать полностью…

Пост Лукацкого

Эксперт по OSINT разоблачил видео девушки, которая пишет, что она купается 🏊‍♀️ в 5.30 утра в французской Ницце. Оказалось, что купается она не в 5.30, а в 6.04 утра. Если не придираться к тому, что девушка могла зайти в воду в 5.30, отплыть от берега (а видно, что она далеко от него) и снять видео (и тогда вполне возможно, что время будет таким, какое разоблачает Тревор), то вокруг OSINT ходит много всяких мифов и легенд и используют его часто в каких-то личных задачах - пробить девушку, узнать адрес или реальное имя, доказать фейковость и т.п. 🔍

Но OSINT может применяться не только против отдельных лиц, но и против компаний. И не только для изучения их слабых мест, но и для оценки площади атаки и ее снижения. Кто-то называет это Digital Risk Protection, кто-то корпоративным OSINT, кто-то да как только не называют. Суть не в названии, а в содержании и в том, занимается этим ИБ или нет. Мы, кстати, про это будем говорить на PHD2 и... что оооочень интересно, в дискуссии будет принимать участие ФСТЭК 🏛, которая подготовила проект требований по этой теме. Так что если вам интересно, что вас ждет и как это можно реализовать, то вы знаете, где об этом услышать.

Читать полностью…

Пост Лукацкого

Ассоциации компаний по защите и хранению персональных данных неплохо было бы сначала изучить закон о персональных данных и правоприменение по нему. Тогда они разместили бы у себя на сайте хотя бы политику в отношении персональных данных и расписали бы согласие на их обработку чуть более конкретно. Пока это сраный стыд 🤠

Мой предыдущий пост про эту, так сказать, "ассоциацию" был верен 🤮 К слову, напомню, что RPPA появилась задолго до!

Читать полностью…

Пост Лукацкого

Когда у сотрудников дубайского офиса 🟥 не только машины красные, но и вход в них по паролю.

И потом не говорите, что вы не знаете, как реализовать многофакторную аутентификацию на автомобиле ☺️ Ключ/брелок - фактор владения, а пароль/PIN - фактор знания! Скоро, глядишь, на бортовом компьютере надо будет пароль вводить или голосовую идентификацию проходить, чтобы двигатель завелся. Пока у многих автопроизводителей голосовые помощники просто используются для удобства 🚗

Читать полностью…

Пост Лукацкого

Я уже писал о том, как была представлена тема искусственного интеллекта в ИБ на прошедшей в Дубае GISEC, а теперь и небольшое смонтированное мной видео подоспело 🧠 Режиссер и монтажер из меня такой себе, но настроение, надеюсь, передал!

Читать полностью…

Пост Лукацкого

Ну что, с международным днем пароля вас! 🎆 Порадуйте себя сегодня новой сложно угадываемой, но легко запоминающейся комбинацией! 💻

Читать полностью…

Пост Лукацкого

ЛАНИТ, IBS IT Services, IBS Infinisoft, IBS Soft, IBS Expertise, ГК "Астра", Secret Technologies, Aladdin RD, Центр кибербезопасности (Cybersecurity Center), РАМЭК-ВС, К-Технологии... Вот новый список компаний, имеющих отношение к ИБ, кто попал под очередной пакет американских санкций 🫵

Читать полностью…

Пост Лукацкого

Я обычно не пишу про хакерские взломы компаний, так как их число очень велико и ежедневно набирается с десяток только публичных кейсов, не говоря уже о непубличных 👨‍💻 Но всегда бывают исключения - либо инцидент имеет некие существенные последствия для бизнеса (как с UnitedHealth Group), либо сам кейс достаточно интересен. Вот это как раз такой случай - группировка SiegedSec взломала баптистскую церковь Вестборо, религиозную организацию, известную своей непримиримой анти-ЛГБТ позицией ⛪️, как и говорится в Евангелии ☝️

SigedSec выкрала базу данных церкви, исходные коды сайта, а также приватные данные, обещая выложить все это в паблик. Попутно SiegedSec призвала делиться с ней информацией об всех гомофобных организациях, выступающих против людей определенной ориентации или принадлежащих к определенным меньшинствам. Так что ждем новых взломов от SiegedSec

Ничего святого у хакеров нет! ⚡️ Эта фраза в данном случае имеет двойной смысл - и прямой, и переносный. После множества взломов больниц и госпиталей, школ и детских садов, хакеры добрались и до церквей (а там даже бессмертные из "Горца" никогда не дрались на мечах и вампиры боялись заходить на освященную землю). Так что любые попытки провести черту между тем, что можно атаковать и что нет, провалились 👿

⚠️ На картинке, дорожка состоит не из шести и даже не из семи, а из восьми цветов. Никакой пропаганды и даже намека на нее 😈

Читать полностью…

Пост Лукацкого

Формирование хакерских группировок в альянсы - уже не новость. Но вот объединение российских 🇷🇺 и китайских 🇨🇳 неожиданно…

Читать полностью…

Пост Лукацкого

На GISEC опять несколько рекордов для книги Гиннесса поставили:
🥇 Крупнейший урок повышения осведомленности по Интернету вещей - 293 человека (если бы я свои вебинары называл уроками повышения осведомленности, то я бы давно уже рекордсменом Гиннесса стал)
🥇 Наибольшее число национальностей (104), участвовавших в уроке повышения осведомленности по Интернету вещей
🥇 Наибольшее число национальностей в геймифицированном тренинге по кибербезу.

Жаль, что представители Книги рекордов Гиннесса на PHD2 не приедут - мы бы им показали, у кого больше… национальностей 💪 К слову, в России их 190, а на PHD2 будут не только граждане России... 🤝

Читать полностью…

Пост Лукацкого

В Великобритании 🇬🇧 заработал закон, который устанавливает минимальные требования по безопасности к устройствам, продаваемым гражданам в UK. Согласно этому закону, названному Product Security and Telecommunications Infrastructure Act (PSTI), вендора несут ответственность до 10 миллионов фунтов 💸 или 4% от годового оборота за использование легко угадываемых паролей или паролей, заданных по умолчанию, а также несвоевременное обновление выявленных уязвимостей.

Интересные последствия могут наступить. Вендора либо откажутся от поставок в UK своих незащищенных по английским требованиям товаров, включая автомобили (как в кейсе с Volkswagen) и холодильники, маршрутизаторы и ☎️ смартфоны (вообще любое Iot-устройство), либо будут внедрять защитные меры повсюду, что положительно скажется на безопасности и отрицательно на ценах 🤔

ЗЫ. Кстати, в Топ10 паролей в Англии, помимо нестареющей классики в виде 123456, входят также liverpool, chelsea и arsenal ⚽️ У нас в списке 10 самых популярных паролей ни зенита, ни спартака, ни цска. Зато есть марины и наташи 😂

Читать полностью…

Пост Лукацкого

10-я версия интерфейса управления ПО, которое генерит спам, разработанное северокорейской группировкой Kimsuky, мало чем отличается от интерфейсов генераторов вирусов 90-х годов. С - Стабильность

Читать полностью…

Пост Лукацкого

В России аббревиатура CISO часто звучит как «ЦИ-СО» или «СИ-СО». Интересно, что в ОАЭ 🇦🇪 это звучит как «СИ-ЗО».

Читать полностью…

Пост Лукацкого

Можно было бы опять написать про выбор правильной модели нарушителя, а можно и про правильную настройку 🛠пороговых значений у средств мониторинга… А можно просто радоваться жизни 😂 и продолжать готовиться к PHD2

Читать полностью…

Пост Лукацкого

Странные люди в этой Okta работают. Их ломали 4 раза уже 🔓, но при этом они выкладывают в паблик презентации с пометкой CONFIDENTIAL. Но не забывают запилить целый слайд мелким шрифтом с отказом от ответственности и остальным бла-бла-бла... Какое-то странное отношение к кибербезопасности 😠

Читать полностью…

Пост Лукацкого

Помните, в ФЗ-152, в ст.19, есть требование, что ПДн должны быть защищены от несанкционированного уничтожения, модификации, распространения, доступа и т.п. И все защитные меры, описанные в ПП-1119 и в 21-м приказе, не делают большой разницы между ними. А вот согласно исследованию CrashPlan и SANS, эта разница существует:
1️⃣ В случае утечки данных основной риск (в широком смысле) является репутационным для почти всех типов защищаемых данных, не только персональных (финансовых, интеллектуальной собственности, технических и т.п.)
2️⃣ Операционный риск является основным при уничтожении или модификации данных.
3️⃣ Риск нарушения законодательства во всех случаях играет несущественную роль.

Последний вывод, наверное, самый важный. Я не призываю нарушать законодательство, но оно точно играет самую последнюю роль при принятии решений в отношении защиты ценной для организации информации.

Читать полностью…

Пост Лукацкого

В рамках сдачи экзамена на CISSP, среди множества доменов, которые надо изучать, есть и такой - физическая безопасность. Однако, нередко, ИБшники его игнорируют, считая, что это тема для специалистов служб обычной безопасности, которым и надо заморачиваться охраной, решетками на окнах, обходом периметра и т.п. 🚪 Но на мой взгляд недооценка вопросов физической безопасности может привести к достаточно печальным последствиям, например, таким как в недавней истории с "Вкусно и точка" или более древним кейсом с NASA, в сети которой было обнаружено также устройство на базе Raspberry PI, которое перехватывало и передавало наружу конфиденциальную информацию 🤬

Поэтому стоит обращать внимание на следующие моменты (самостоятельно или делегируя их в другие подразделения с соответствующим обучением):
1️⃣ Реализация требований той же ФСБ к защите помещений (но без фанатизма и выполнения невыполнимого)
2️⃣ Ежедневный осмотр офисного пространства на предмет посторонних устройств (можно поручить уборщицам)
3️⃣ Блокирование перемещения по физическому пространству офиса за счет наличие кодовых замков на этажах и между ними 🏠
4️⃣ Контроль доступа в облачные среды и арендуемые ЦОДы
5️⃣ Контроль IoT-устройств (термостаты, СКУДы, видеонаблюдение, СмартТВ и т.п.)
6️⃣ Контроль наклеенных стикеров с паролями
7️⃣ Запирание/приковывание устройств в удаленных локациях или у мобильных сотрудников 🤒
8️⃣ Интеграция СКУД с системами контроля доступа в инфраструктуру
9️⃣ Защита систем видеонаблюдения и их данных, чтобы не повторилась история с немецким миллиардером Хаубом
1️⃣0️⃣ Готовность системы видеонаблюдения для проведения расследований инцидентов ИБ

Читать полностью…

Пост Лукацкого

🆕 Мы к вам с новостями. Во-первых, впереди четыре выходных (хоть суббота и рабочая). Во-вторых, новый выпуск подкаста «КиберДуршлаг» такой интересный — не оторваться. А в-третьих, команда, которая его делает, уходит на каникулы до сентября (не скучайте, скоро вернемся с новыми интересными выпусками).

Гостем финального выпуска первого сезона стал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

Обсудили с ним тренды управления уязвимостями, влияние развития искусственного интеллекта на кибербезопасность, введение оборотных штрафов за утечки данных, а также опасности, которыми нам грозят баги в роботах-пылесосах и кардиостимуляторах.

Смотрите на YouTube и слушайте на любой удобной аудиоплатформе.

🍂 До встречи осенью!

#КиберДуршлаг
@Positive_Technologies

Читать полностью…

Пост Лукацкого

На GISEC разговорился с одним человеком, который высказал мысль, с которой я не могу согласиться. Он считает, что если система скомпрометирована и есть подозрение на нахождение внутри злоумышленника 👿, немедленный патчинг внешних уязвимостей должен помочь в данной ситуации. Я же считаю, что патчинг скомпрометированных систем в принципе не может спасти ситуацию и, скорее, ее усугубляет, создавая иллюзию защищенности! 😈

Если хакер сидит внутри инфраструктуры, надо локализовывать его, не давая развивать наступление 💻 и расширять плацдарм, затем выносить из инфраструктуры, потом определить точку входу и причину успешной компрометации, и только потом устранять ее, в том числе и за счет установки патчей и выстраивания процесса управления активами и уязвимостями. Но просто установка патчей, увы, не спасет! 🕳

На GISEC, на одном из стендов, увидел слоган компании, которая занималась борьбой с утечками, - "Надо защищать данные, а не периметр!" Если не фокусироваться на первой части, то слоган очень хорошо 🤔 описывает ситуацию, когда мы дофига ресурсов тратим на защиту внешних границ, а когда компанию пробивают тем или иным способом, то специалисты по ИБ разводят руками, а то и вовсе не верят в это, считая свои бастионы неприступными. Но нет... 😯

Мы на GISEC в течение трех дней давали всем желающим проверить защищенность своего периметра с помощью сервиса PT Knockin 👊, который просто отправляет e-mail с обеззараженным вредоносом на корпоративную почту. Каково же было удивление многих ИБшников, которые, считая, что их почта защищена от проникновения, получали прошедшее через все преграды письмо ✉️ "с приветом". А если бы оно было не обеззаражено? Поэтому периметр периметром, но стоит думать и о том, что делать, если все-таки инфраструктура скомпрометирована. Вы же в курсе, что делать? 💪

Читать полностью…
Подписаться на канал