Я, конечно, не возьмусь утверждать, что это первый случай использования дипфейков, но он все равно заслуживает внимания. На картинке справа мы видим изображения "великого Ильича", которое на самом деле писалось не с вождя мирового пролетариата, а с адвоката Иосифа Славкина, который, как считалось, был очень похож на Ленина. Но увы... Надежда Константиновна Крупская, соратница и жена вождя, легко распознала подделку и возмутилась, что на портретах изображают не суженого (на картинке слева). Правда произоошло это не сразу, а спустя полтора десятка лет после смерти вождя. А до этого момента Славкин неплохо зарабатывал на этих, отчасти легальных (художники знали про натурщика), отчасти нет (власти молодой республики не догадывались о таком очковтирательстве), дипфейках.
Читать полностью…Екатеринбургская реклама задается сакраментальным вопросом... И правда, что лучше, компания ИБ, которую взломали, или та, которую еще нет? У которой уже есть опыт реального бега с горящей жопой и криками "все пропало, нам больше не будут доверять клиенты" 😭 расследования инцидента или у той, которая уверена в своих бастионах?
Читать полностью…Достаточно часто, говоря о том, что на ИБ надо смотреть с точки зрения бизнеса, я слышу возражение: «Ну мы же не владельцы бизнеса - у нас его нет. Как мы можем понять, что нужно бизнесменам?» А все просто на самом деле. Попробуйте оценить свои эмоции и мысли, когда вам надо потратиться на что-то, что имеет отношение к вашей личной безопасности и защите. Это может быть страхование жизни, ДМС (когда вы платите за него сами), КАСКО или вакцинация перед поездкой в Танзанию в платной клинике. И вы сразу поймете, что чувствует топ-менеджер, который «сцуко, опять не дал денег на ИБ».
Я вот на днях оплачивал ежегодное обслуживание газового котла в загородном доме. И поверьте, я в курсе и про важность этого вопроса, и про вероятность пожаров, и про возможные сбои в работе котла или утечки газа. Но жаба душила все равно. И уговорил я себя не потому, что я за безопасность, а потому что эти траты укладывались в мои границы риск-аппетита. Вот и все; банально. Я готов был потратить эти деньги и даже готов к тому, что за год я не воспользуюсь услугами планового техосмотра котла и аварийных выездов (за почти 10 лет аварий не было ни одной).
Вот и с бизнесом также. Работает совсем иная мотивация, отличная от классических «это позволит нам бороться с угрозами» или «мы снизим риски» или «таковы требования регуляторов». Я так думаю 😎 Я же не бизнесмен 🧐
Но важно дополнить - я все-таки в голове держу недопустимые для меня вещи, например, взрыв газа или разморозка труб зимой из-за остановшегося котла. И мне по барабану на вероятность этого события. И ущерб я оцениваю на понятийном уровне, а не с калькулятором в руках. А потом уже для этого недопустимого я оценивают риск-аппетит 🤑
ЗЫ. Прислушивайтесь к себе и регулярно задавайте самому себе вопрос: «А сам бы купил у себя с такой аргументацией, которую я планирую использовать?» Отрезвляет 😠
Россияне 🇷🇺, вы же помните, какой праздник 12-го июня?! Вы же проверили свои плейбуки, процессы, арсенал и специалистов, которые в выходной день будут противостоять атакам, число которых может возрасти? Еще не поздно все это проверить, чтобы не бегать с горящей 🍑 в этот день.
Это, конечно, неточно, но логика в этом предположении есть. Praemonitus praemunitus, как говорили латиняне ⛔️
А пока все солидные люди готовятся к поездке на ПМЭФ ТК26 подготавливает проект рекомендаций по квантово-криптографической защите.
Читать полностью…АНБ, CISA, ФБР и ряд других организаций и компаний выпустили очередной бюллетень об опасностях ПО для удаленного доступа, которое может быть использовано не только в легитимных, но и вредоносных целях. В бюллетене даны TTP по MITRE ATT&CK, которые стоит отслеживать для мониторинга работы ПО для удаленного доступа, а также рекомендации - общие для всех рекомендаци и конкретные для MSP/SaaS, MSSP, разработчиков ПО для удаленного доступа.
Читать полностью…MITRE вместе с NIST разработали проект документа NIST IR 8441"Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)" по защите гибридных спутниковых систем (земля + космос). Достаточно оперативно пишут, заразы (либо из загашников достали). О фокусе на защиту спутниковых группировок в целях нацбезопасности Байден высказал совсем недавно, а вот уже и документ почти готов. Вкупе с представленными матрицами атак (тут и тут) и конкурсом по легальному взлому спутника Moonlighter на DEFCON выглядит это все как то, что американцы сильно напряглись по поводу защиты спутников 🛰
ЗЫ. И это еще Илон Маск не включился в процесс 😊
Verizon выпустил свой традиционный ежегодный отчет по инцидентам DBIR. И хотя его почему-то называют все отчетом по утечкам, это не так. Тут скорее классическая ошибка, которая переводит слово "breach" как "утечку". Аналогичная проблема была и в GDPR и в нашем ФЗ-152 - почему-то все говорят об уведомлении об утечках, хотя в реальности число проблем, требующих уведомления гораздо шире. Но вернемся к DBIR.
В работе над отчетом принимало участие 67 организаций по всему миру; преимущественно из США и Европы. Из условно российских в работе над отчетом принимала Лаборатория Касперского ("условно", потому что ЛК тут выступает больше как международная компания). При этом с точки зрения проанализированных инцидентов львиная доля (3/4) приходится на США и Канаду, на втором месте регион EMEA (Европа, Ближний Восток и Африка); затем идет азиатский регион и Южная Америка.
Интересно, что в разных регионах отличаются популярные шаблоны организации атак. Например, у азиатов на первое место выходит социальный инжиниринг, а у остальных - это проникновение через уязвимости. Мотивация тоже в азиатоском регионе отличается от других - если везде на первое место выходит финансовый интерес (в США - это вообще 99% всех атак), то в Азии хоть монетизация и интересна хакерам, но не в 90+% как у других. Шпионаж занимает 39%, что в 4-5 раз превышает аналогичный показатель предыдущих стран.
В отчете много различной статистики по тому, как злоумышленники получали доступ к данным, что закономерно приводит нас к вопросу: "А маппинг на MITRE ATT&CK есть?" Есть! Также как и маппинг в защитные меры CIS Controls. Эти два фреймворка, один для описания действий хакеров, второй - для описания защитных мер, стали уже стандартом де-факто в США. И хорошо то, что DBIR стал теперь не только описывать тренды и давать статистику, но и перешел в более практическую плоскость - позволяет понять самые популярные техники "плохих парней", а также способы противодействия им.
В 2018-м году Gartner предсказывал, что скоро пентесты уйдут с рынка и их заменят BASы и Red Teaming. Пока мы видим, что ушел Gartner 😂
ЗЫ. Но разделение red team и пентестов интересное… 👍
В 2013-м году Роскомнадзор выпустил 996-й приказ, утверждающий методы обезличивания. Так вот в ту самую пору я из лесу вышел, был сильный мороз был я участником разработки этого самого приказа и методички к нему. И к предложенным изначально 4-м методам обезличивания я предложил 5-й, хеширование и шифрование. Так как вообще-то, в нормальном обществе, хеширование, как и криптография в целом, как раз и являются методами обезличивания персональных данных (если не вдаваться в отличия обезличивания от анонимизации и псевдонимизации).
И только у нас это считают средством криптографической защиты (хотя хеш-функция не может быть средством, в отличие от продукта, реализующего хеш-функцию) со своим отдельным регулированием. И руководство РКН того времени направило версию проекта приказа по обезличиванию, включающую и шифрование с хешированием, на согласование в разные ведомства. Из ФСБ тогда пришел отлуп и пятый метод обезличивания был исключен из финальной версии приказа №996. А жаль...
ЗЫ. Как из хешированных данных понять, что там есть хоть какая "информация, относящаяся прямо или косвенно к определенному или определяемому лицу", представители РКН вряд ли смогут ответить - они вообще в технических вопросах не очень сильны. Также они ли вряд ли смогут объяснить, почему хеширование не попадает под определение обезличивания, то есть "действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных"?
ЗЗЫ. Скан взят из канала @bureaucraticsecurity
Если вчера в блоге я рассмотрел курс на практическую безопасность, взятый нашими регуляторами, то сегодня мы пойдем чуть дальше и посмотрим на результативный кибербез, который развивает описанный тренд за счет четкого целеполагания и контроля его достижения. Недопустимые события, багбаунти, пентесты на максималках и вот это вот все. Результативный кибербез не противоречит практическому, описанному вчера. 2-й и 3-й этапы, упомянутые в конце вчерашней заметки, и есть реализация практической ИБ. Поэтому все, что вы делаете в рамках выполнения свежих требований ФСТЭК, ФСБ, Минцифры, не пропадет. Но чтобы перейти на новый уровень и сделать шаг в развитии и своего кибербеза и себя, вам нужно сфокусироваться на том, что важно для бизнеса и доказать, что вы можете это не допустить.
Читать полностью…Что-то меня смущает, что все, о чем я фантазирую в канале, потом вдруг где-то всплывает в реальности. Писал я тут про MITRE ATT&CK для космической отрасли и космических аппаратов 🛰. И вот в субботу стало известно, что на августовском DEFCON 5 команд хакеров будет пробовать взломать космический спутник Moonlighter. Учитывая атаки на украинский Viasat 📡, а также российские спутники вещания во время СВО, данный сценарий уже не кажется таким уж и фантастическим.
Поэтому отработка техник и тактик нападения, а также защиты, вполне укладывается в общий курс обеспечения национальной безопасности США, который затем будет навязываться всем их сателитам (двусмысленно читается, согласен). Ну а если меня читают коллеги из Роскосмоса и они тоже хотят проверить свои спутники, то у нас осенью будет очередной Standoff и еще есть время реализовать этот сценарий.
ЗЫ. Картинка Бена Каплана
ЗЗЫ. То, что сегодня взломали очередное телерадиовещание и разместили якобы экстренное сообщение В.В.Путина о введении военного положения и всеобщей мобилизации, опять случайность. Пост к этому никакого отношения не имеет!!!
Инфотекс опубликовал итоги расследования компрометации пользователей своего сайта 🧑💻. Если вкратце, то атака supply chain через разработчика нового сайта 😈
К опубликованным результатам, как и к первоначальному сообщению об инциденте, есть вопросы. Но открытость компании все равно можно только приветствовать.
А всем лишнее напоминание о том, что обычно веб-студии нихрена не понимают в ИБ и их работы надо проверять и перепроверять. У меня был опыт запуска сайта Информзащиты два десятка лет назад и промо-сайта Cisco и с тех пор ситуация несильно изменилась 😭
ЗЫ. Сайт был на Битриксе, который в последнее время ломают частенько. Поэтому обратите внимание на рекомендации.
Про новый приказ ФСБ по мониторингу защищенности я уже написал в пятницу вечером. В блоге же я попробовал не просто пересказать приказ, а задаться рядом вопросов, которые у меня возникли при его прочтении. Да, по мере правоприменения, думаю, многое станет ясно, но пока вопросов больще чем ответов. Также я попробовал порассуждать над тем, кто же у нас отвечает за защищенность - ФСТЭК, ФСБ или Минцифры, каждый из которых выпустил какой-то НПА (и не один) на эту тему. Ну и завершил все списком полезных, как мне кажется, ссылок по теме анализа защищенности.
Читать полностью…У Gmail появилась фича, позволяющая проверить, попала ли ваша почта в базы, слитые в Darknet, и узнать, какие действия стоит предпринять для защиты своей учетной записи. Пока что данная функция доступна только для американцев с подпиской Google One, но обещают, что эта возможность появится у пользователей еще 20 стран в ближайшее время. Может и Россию не забудут.
Тут интересно не сама возможность, а то, что рядовых пользователей все активнее вовлекают в свою персональную ИБ. Такое же делает Mozilla, VK, Яндекс. Они интегрировали свои продукты и системы с внешними или внутренними сервисами по проверке утечек и сообщают пользователям, когда их учетные записи стали достоянием плохих парней. Тут главное, чтобы пользователь на основе полученной информации что-то все-таки сделал, а не игнорил предупреждения, а то потом он же будет обвинять всех вокруг, что о его кибербезопасности никто не побеспокоился.
ЗЫ. Вношу рацпредложение: сделать такой же сервис на Госуслугах! Тогда и охват будет шире!
Редакция CISOCLUB посетила международный фестиваль по кибербезопасности Positive Hack Days 12 и пообщалась с Алексеем Лукацким из Positive Technologies про оценку эффективности систем информационной безопасности.
Вопросы:
0:22 Какие метрики или KPI могут использоваться для оценки эффективности системы информационной безопасности в бизнесе?
1:49 Как бизнес может оценивать и анализировать эффективность своих текущих решений по информационной безопасности?
3:30 В своем Telegram-канале вы проводили опросы аудитории, поделитесь результатами и подведите итоги
Спикер:
Алексей Лукацкий
Бизнес-консультант по информационной безопасности, Positive Technologies
Подумалось 💭, если вдруг, откуда не возьмись, к нам приехал зашибись и Windows перестала обновляться и на всех рекламных плазмах страны появилось вот такое. Лучше, наверное, порно, как когда-то на Садовом кольце в Москве 🤔 Всё, интересное, чем экран загрузки или синий "экран смерти"... 🐇 А с другой стороны, как в этом здании работать, если тебе в окно тычется нечто 🙏
Читать полностью…10 лет прошло с разоблачений Сноудена. И что изменилось? Правительства стали меньше шпионить за своими гражданами? Нет. Даже наоборот. Рынок шпионского ПО вырос многократно, а шпионские скандалы со слежкой за чиновниками, диссидентами, журналистами и другими превратились в норму жизни. Все это, как и прежде, преподносится как обеспечение национальной безопасности, борьба с терроризмом и защита интересов граждан.
Такого ли будущего хотел Эдвард Джозеф Сноуден, российский граждан с сентября 2022 года, празднующий через пару недель свое сорокалетие? Где ты Эдвард? Счастлив ли ты? Доволен ли тем, как все повернулось? Нашел ли ты себя в России? Повторил бы ты все еще раз, если бы тебе представилась возможность все вернуть вспять?
Вы еще не пересматривали видео с PHDays? А зря. Во-первых, мы разбили на Youtube все по positiveevents5242/playlists">плейлистам, соответствующим трекам программы PHD. А во-вторых, вы можете увидеть там то, что пропустили на самом мероприятии, так как не смогли физически присутствовать на всех 13 параллельно идущих треках.
Например, доклад Росбанка о том, как они считают рублем свою кибербезопасность и согласовывают свои расчеты с финансовым директором. Озвученный вывод о том, что инвестировать в ИБ банка и в сам Росбанк выгоднее, чем инвестировать в акции Microsoft, Apple, Google, Amazon и Nvidia, конечно, еще требует осмысления. По такой логике вкладывать в акции Позитива еще выгоднее - у 🟥 рост даже больше (мы еще и дивиденды выплачиваем, не что, что некоторые 🤑). Но это уже детали. Тут интересен сам опыт расчета ROI, а также рисков ИБ, и согласования этих расчетов с топ-менеджментом компании.
Олег у себя написал заметку про атаки на web-сайты под управлением Битрикс и задался сакраментальным и риторическим одновременно вопросом. Если ФСТЭК выпускает рекомендации и требования по оценке защищенности и устранению уязвимостей, НКЦКИ выпускает бюллетени по уязвимостям в Битриксе, РКН расследует факты утечек через уязвимый Битрикс, ресерчеры находят уязвимости, ИБ-компании выпускают рекомендации по защите, сам Битрикс вроде как выпускает обновления, то почему Битрикс продолжают ломать, а его клиенты не обновляют свои web-ресурсы? 😕 Я решил чуть развернуто прокомментировать его заметку и добавить несколько предложений по решению этой проблемы.
ЗЫ. Исходная заметка Олега.
Я за этим делом слежу по телеграм-каналам, но вот и Коммерсант написал статью. Оно, конечно, интересное. Хакерская группа, ломавшая банки по всему миру (кроме России и СНГ), была задержана ФСБ и ее пытаются осудить в военном гарнизонном суде. Это уже само по себе интересно, так как военные суды у нас занимаются делами военнослужащих, а значит кто-то из задержанных носил погоны во время своих хакерских проделок (на самом деле речь идет о сотруднике ФСБ, хотя первоначально следствие это опровергало, но в финальным материалах дела уже согласилось с этим). Интересно, почему еще западные СМИ не публикуют сенсационные расследования о том, что наконец-то появились доказательства, что пресловутые русских хакеры - это и есть военные 🫡
Особую пикантность в дело добавляет тот факт, что предполагаемый главарь группировки имеет благодарность от Президента Путина за обеспечение кибербезопасности при проведении Чемпионата мира по футболу в РФ в 2018 году, а также грамоту от директора ФСБ РФ за обеспечение кибербезопасности РФ. При этом в защищающих группировку телеграм-каналах утверждается, что одно время она выполняла даже функции кибервойск РФ, а один из участников группировки обращался и ФСБ, и к Евгению Пригожину (ЧВК Вагнер), с предложением вернуть группировку в «строй», чтобы она послужила России в текущем геополитическом конфликте.
В общем, интересная история.
Сегодня я читал в одной солидной компании тренинг для топ-менеджеров по кибербезопасности и в качестве одного из кейсов показывал, как можно сделать дипфейк на обычном домашнем компьютере и насколько он будет неотличим от реального видео. А тут очень удачно попалось две новости, показывающие, что это уже не единичный случай, а вполне себе серьезная история, имеющая далеко идущие последствия 😭
Во-первых, взлом телекомпании "МИР" и демонстрация в ее эфире в течение почти 40 минут фейкового выступления Президента России, который "объявил" о всеобщей мобилизации и введении военного положения в приграничных районах. А во-вторых, история с китайским г-ном Гуо, который работает в технологической компании в Фучжоу (Китай) и который после проведения видео-звонка с мошенником, использующим дипфейк и замаскировавшемся под друга жертвы, перевел ему "на бизнес-проект" 4,3 миллиона юаней (667 тысяч долларов) 🤑
Три кейса. В одном я представился генеральным директором компании, а мог бы и его фото подставить в любой ролик, в том числе и нелицеприятный. Во втором, дипфейк (а там голос не совпадал с движением губ) мог бы обрушить курс акций компаний, если бы в уста высокопоставленного чиновника вложить совсем другой текст. Третий же кейс показывает как дипфейки могут повлиять на конкретного человека и заставить его выполнить то, о чем он потом будет жалеть 😰
А вы знаете, что противопоставить дипфейкам?
Приветствую различные формы обучения, но в данном случае у меня есть вопросы к этим организаторам обучающего марафона желаний:
1️⃣ Где они видели таких женщин после 40? У меня, конечно, есть предположение, но боюсь тогда для них не очень актуально это предложение. Хотя такой образ может быть у 14-тилетнего СММщика, для которого девушка в 25 уже старуха 👵, а 40+ - вообще ближе к сказочной героине, жрущей добрых молодцев, с именем, начинающемся на Б, а заканчивающемся на А (из двух слов)
2️⃣ Когда обещают доход в миллион, но денег не берут, это выглядит как реклама от прыщавых юнцов «зрелым дамам куни бесплатно» (извините за мой французский)
3️⃣ «До 1 миллиона»? 13 тысяч тоже подходит 😭
4️⃣ До 1 миллиона в год? Тогда для ИТшника это немного. В месяц? Что ж ты сам тогда там не работаешь?
5️⃣ Почему в одной рекламе из женщины хотят сделать айтишницу, а в другой - айтишника? Или на тест-драйве профессий будущего совмещают ИТ и толерантность, а будущий айтишни(к|ца) становится еще и трансгендером. А что, айтиквир, это модно 😱
Хорошо, что кибербез так не рекламируют. А то я бы вышел с инициативой о пожизненном блокировании автора такой рекламы.
Обновляю тут презентацию по повышению осведомленности в области ИБ для рядовых пользователей...
Читать полностью…Как пишут индийские СМИ причиной крушения поездов в Индии, в результате которого погибло почти триста и ранено более 1000 человек, стало изменение в системе электронной блокировки, отвечающей за контроль движения поездов и отсутствие конфликтов, приводящих к потенциальному столкновению. Но что-то пошло не так... Я, конечно, не стрелочник, но допускаю, что причиной этого недопустимого события мог быть и компьютерный инцидент. По крайней мере такой сценарий заложен в киберполигоне Standoff, видео с которого я показал в канале на днях (что интересно, именно фрагмент с крушением поездов), а у нас все сценарии основаны на реально возможных событиях.
ЗЫ. Причины инцидента в Индии пока выясняются...
Люблю это фотку с PHD’12 (но не с 12-го по счету, а из 2012-го).
ЗЫ. Надо обязательно добавить «олды поймут» ;-)
На секции про искусственный интеллект и кибербезопасность на ЦИПРе Руслан Юсуфов рассказывал историю, как таксист 🚕, который как-то вез его, узнал и стал спрашивать про цифровую сингулярность 😊 Меня, конечно, таксисты еще не узнают (правда, когда я был молод, стюардессы узнавали в самолетах, - так часто я летал), но зато водители маршруток и автобусов 🚘 демонстрируют похвальную осведомленность в том, что происходит с рынком киберпреступности 😡
Читать полностью…