И просматривая список команд, участвующих в начавшейся сегодня битве Standoff, увидел цепляющее название команды из Сицилии - EvilBunnyWrote. Я думал, сицилийские хакеры назовут себя как-нибудь традиционно. Например, CyberKozaNostraH. Но нет.
Не думал, что между итальянским и русским языком столько общего, роднящее хакеров наших стран. А у меня и футболочка с классикой русского, и теперь становится понятно, что итальянского языка, есть для такого случая. Думаю надеть на PHD ;-)
На прошлом PHDays я модерировал дискуссию про open source, где среди прочего задал вопрос представителю Минцифры о планируемом государевом репозитории ПО, который мог бы стать источником проверенного софта, которое в свою очередь можно было бы использовать, например, на объектах КИИ, для которых нет отечественных, да еще и сертифицированных средств защиты. Но этого репозитория, к сожалению, до сих пор нет и не очень понятно, когда он вообще появится, что приводит к появлению собственных открытых репозиториев ПО - корпоративных или у госорганов 💻
Но Минцифры, состоящее из разных департаментов (а за репозиторий и кибербез отвечают разные), не сидело без дела и выпустило методические рекомендации по обеспечению ИБ при создании и эксплуатации открытых репозиториев программного обеспечения, в котором собрало то, что должно повысить защищенность ПО, размещаемого в "русском гитхабе/гитлабе". Помимо традиционных защитных мер в виде антивирусов, контроля и разграничения доступа, сетевой безопасности и т.п., Минцифры рекомендует и более интересные механизмы результативного кибербеза:
1️⃣ Информирование регуляторов (ФСТЭК, ФСБ или ЦБ - в зависимости от того, кто создает репозиторий) об уязвимостях, выявленных в загружаемом в репозиторий ПО
2️⃣ Регулярный анализ защищенности репозитория на предмет уязвимостей в инфраструктуре (не в размещаемом ПО)
3️⃣ Регулярные пентесты и багбаунти, которая названа достаточно длинно и сложно - программа по выявлению уязвимостей инфраструктуры с возможностью привлечения независимых экспертов и исследователей программного обеспечения за вознаграждение.
Помимо встроенных в репозиторий мер, Минцифры рекомендует предлагать пользователям открытого репозитория и коммерческие сервисы ИБ (Минцифры заботится об отечественном рынке кибербеза):
1️⃣ Тестирование размещаемого ПО на уязвимости
2️⃣ Программа багбаунти
3️⃣ Публикация отчетов о безопасности ПО
4️⃣ Безопасная разработка (SecDevOps).
Хорошая тема. Интересно, распространяются ли данные рекомендации на защищенный репозиторий ядра Linux отечественных защищенных операционных систем, созданный совместно ФСТЭК и ИСП РАН?
Когда тебе кто-то навязывает свой взгляд на безопасную разработку, то стоит спросить его, а сколько новых обновлений ПО в день у него внедряется в прод? И с одной стороны это очень простой и понятный показатель, а с другой - он показывает, насколько вообще зрелое отношение к безопасной разработке у участников дискуссии.
Например, вы сами софт не пишите, но требуете от других выполнять ваши обязательные нормативы, рассчитанные на жизненный цикл мероприятий по ИБ в несколько дней минимум (и это еще прям спринтерская скорость). И как реализовывать эту нормативку, когда у вас по несколько десятков обновлений ПО в день минимум? А может и по несколько тысяч. Тут нужны совсем иные подходы, которые, кстати, могут быть не очень применимы для компаний с достаточно консервативной разработкой.
Поэтому многие задачи в ИБ имеют более одного решения и навязывать какое-то одно не совсем правильно. Скорее стоит стремиться в сторону описания желаемого/итогового результата, а уж каким образом он достигнут, не так уж и важно (с некоторыми оговорками).
Сыну в институте дали задание... Интересная история, кстати. Я тут подумал, а что если вместо тестового вируса EICAR 🦠, используемого как раз для демонстрации сработки антивирусных программ, преподаватель по доброте душевной отправит что-нибудь из коллекции vx-underground, а студенты доверяя преподу запустят вирус на своем домашнем компе? А если это единственный комп в семье и на нем же работает папа/мама на удаленке? Интересная конструкция может получиться 🤔
С другой стороны, это хорошая проверка наличия критического мышления у студента. Если он, не задумываясь, запускает вирус, который преподносится как тестовый, на своем компе, то в ИБ ему еще рановато идти и есть, куда и какие навыки развивать. А вот если он начинает спрашивать у препода про гарантии и ответственность или просто интересоваться вопросом из песни Слепакова "А что, глядь, если нет?", то это прям хороший кандидат в ИБ.
ЗЫ. Сын 👦🏼 не стал бездумно запускать вирусы - поинтересовался последствиями и т.п. Значит не зря все 🤠
😡 ШОК-КОНТЕНТ!!! 😱
Одно меня примиряет с этой историей, что есть еще люди, кто понимает, кто такой Слава Полунин ("Асисяй" и "сНежное шоу") 😊, и готов за ужин с ним заплатить больше чем со мной . Но вообще до сих пор нахожусь под впечатлением 😵💫
ЗЫ. Хоть кто-то, помимо 🟥, оценил меня по достоинству ✅
Алексея Лукацкого не проведёшь 👍
Я предотвратил и регулярно предотвращаю немассовую фишинговую атаку на меня. Мне пытаются регулярно разослать электронные письма с приглашениями для «уточнения персональных данных», предложением повышения моих инвестиционных накоплений, напоминанием о ждущем меня призе или выигрыше в лотерею.
В письмах бывают фишинговые ссылки или вредоносные вложения, маскирующиеся под различные документы, которыми хотели заразить IT-инфраструктуру Алексея Лукацкого. Но мои системы защиты не допустили попадания этих писем мне.
Хакеры могут использовать этот приём против других людей, организаций и их клиентов. Никогда не открывайте подозрительные файлы! А Алексей Лукацкий всегда под надёжной защитой!
ЗЫ. Если мне когда-нибудь будет нечего писать, то вторым сценарием спасения меня после обращения к ChatGPT, будет написание ежедневных постов об очередной попытке меня развести, заразить, атаковать, вывести из строя и вот это вот все. Учитывая наличие у меня нескольких аккаунтов e-mail, соцсетей, мессенджеров, сайта и того же у членов моей семьи, поверьте, я могу об атаках на себя писать по несколько раз на день!
В дополнение к первым двум выпуска (тут и тут) SANS выпустил третий выпуск руководства SANS по безопасности АСУ ТП для новичков
Читать полностью…- Дверь есть?
- Есть!
- Тогда какие к нам претензии?! Еще и инновационно!
Когда ты бездумно выполняешь требование нормативки, не осознавая, зачем оно нужно
"Я бы в хакеры пошел, пусть меня научат!" МинОбороны США активно и не скрываясь нанимает хакеров в свои ряды
Читать полностью…На Хлебозаводе замечен троянский конь🐴
Инсталляция из разноцветных стикеров является одним из символов фестиваля по кибербезопасности Positive Hack Days. А если снять с арт-объекта светло-розовый стикер и прийти с ним на фестиваль 19 и 20 мая в Парк Горького, можно получить ценный подарок от Rambler&Co.
Есть же интересные профессии у людей. Измеритель параметров вращения Земли! 🤔 Или вот, например, кибер-переговорщик, который с вымогателями общается. Мы как раз про такого сейчас думаем в контексте программы на PHDays.
Это к разговору о том, что такое специалист по ИБ. Споры идут постоянно, а четкого ответа нет. Мне вообще видится программа обучения специалиста по ИБ как Lego - куча атомарных модулей по разным темам, включая технологии, нормативку, бизнес, психологию и т.п., а дальше ты сам из них строишь свое «здание». И нет никаких предопределенных треков и стримов (может за редким исключением). И никаких 4-5 лет обучения по ФГОСам, устаревающим к концу обучения (а в связи с всерашним указом президента, так и все 7 лет). Такие модули и обновлять гораздо легче ✍️
Да, диплом гособразца за такое не получить. Но это как с сертификацией/аттестацией/аудитом. Шашечки или ехать, бумажка или реальная ИБ, диплом или полезные знания…
Вроде сейчас меняется система образования и можно было бы все по другому сделать, но похоже, что все опять будут жрать ФГОС кактус 🌵, а потом ругать стстему образования, готовящую бесполезных в практической жизни ИБшников.
А сегодня у нас опять праздник! И это не пятница! Интерпол решил, что 12-го мая надо праздновать день шифровальщика. Но не тот, который 5-го мая, а тот который ransomware 😊 Точнее конечно не день шифровальщика, а антишифровальщика, то есть Anti-Ransomware Day. Дата приурочена к началу эпидемии WannaCry 12-го мая 2017 года. 🥃
Читать полностью…Когда вы будете на PHDays, то там будет четыре дискуссии, имеющие прямое отношение к тем темам и опросам, которые я в последние дни поднимал в канале и которые очень хорошо укладываются в набившее оскомину "ИБ, общающаяся с бизнесом" 🧐:
1⃣ "Как руководство компании оценивает недопустимые события". Тут топы разных компаний будут говорить о том, как они смотрят на риски, недопустимые события и приходящих к ним CISO. Этакий взгляд "сверху". 🤑
2⃣ "CISO 2.0. С бордом на одном борде". Тут сами CISO будут делиться опытом общения с топами и лайфхаками, как им удается (или не удается) доносить смыслы ИБ до руководства. 💪
3⃣ "Готовы ли вы отвечать своими фаберже за результат". Тут представители преимущественно вендоров, интеграторов и провайдеров ИБ-услуг (но будет и заказчик) будут рассказывать, готовы ли они нести ответственность за результат ИБ и если да, то какую, и что для них результат. 😡
4⃣ "CISO 2.0 и его команда". А тут преимущественно CISO будут обсуждать необходимые руководителю ИБ компетенции, чтобы нормально общаться с бизнесом. ✍️
На PHDays будет и много другого полезного контента, но эту группу дискуссий я решил выделить отдельно, так как, как мне кажется, получается целостная картина взгляда на ИБ с точки зрения бизнеса.
ЗЫ. В ближайшие несколько дней буду еще постить описания разных секций с PHDays. Потерпите. Я последнее время был погружен в подготовку этого мероприятия и я считаю, что получилось очень даже неплохо.
Вот и до московского транспорта добралось повышение осведомленности граждан по вопросам ИБ
Читать полностью…В конце апреля Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, принял участие в благотворительном аукционе Meet For Charity.
Меценат, пожелавший остаться анонимным, заплатил за ужин с Алексеем 250 000 рублей. Все вырученные средства будут направлены в фонд Милосердие детям. За три дня аукциона ставка увеличивалась четыре раза: первая была сделана в размере 50 тысяч рублей.
У мецената будет возможность задать любые вопросы Алексею о кибербезопасности, а также посетить киберфестиваль Positive Hack Days 12 в Парке Горького с персональной экскурсией.
За время существования Meet For Charity на благотворительность было собрано более 257 млн рублей. В аукционе принимали участие многие известные люди, такие как: актер Александр Петров (было собрано 110 тыс. рублей), режиссер Федор Бондарчук (80 тыс. рублей), народный артист России Слава Полунин (290 тыс. рублей).
🤔 А что бы вы спросили у Алексея Лукацкого, оказавшись с ним на ужине?
#PositiveЭксперты
Если вдруг вы пользуетесь услугами RU-CENTER, то рекомендую проверить настройки безопасности. Эти "умелые" 🤦♂️ люди в одностороннем порядке сбросили настройки двухфакторной аутентификации, включенной на аккаунте, даже не уведомив об этом владельцев и не указав об этом факте в журнале активности.
ЗЫ. Если вдруг меня начнут обвинять в том, что это я сам забыл все включить, а теперь понапраслину навожу на солидную организацию, то вот скрин с доказательством того, что это было сделано еще полтора года назад. Но в последний месяц или два все куда улетучилось.
Интересное чтиво на 200 страниц про различные аспекты управления уязвимостями:
1️⃣ Текущий статус управления уязвимостями и различные системы оценки критичности уязвимостей
2️⃣ Роль оценки рисков в управлении уязвимостями
3️⃣ Математика, стоящая за анализом уязвимостей (машинное обучение, теория игр, статистика и т.п.)
4️⃣ Форкастирование уязвимостей
5️⃣ Оценка эффективности (метрики и вот это вот все)
6️⃣ Масштабирование управления уязвимостями (облака, управление активами, архитектура БД, поиск и т.п.)
7️⃣ Выстраивание процесса внутри компании
8️⃣ Примеры из реального мира
9️⃣ Будущее управления уязвимостями
В США последние пару недель активно идет дискуссия об ответственности CISO за результаты своей деятельности. Но если я в чатике поднимал на днях вопрос в контексте совершенно иного понимания ответственности, то в США речь идет именно б уголовной ответственности. Причиной такой дискуссии стал вердикт, вынесенный Джо Салливану, бывшему CSO Uber. Да, трехлетний срок ему дали условный, а штраф впаяли всего 50 тысяч (примерно квартальный доход), но это все-таки клеймо. И многие CISO начинают говорить о том, что их работа становится более рискованной и им надо платить больше.
Не зря Gartner предсказывает, что многие CISO покинут свою работу в ближайшее время, а сами CISO считают свою позицию расстрельной.
А почему бы в России не запретить Даркнет, подумали депутаты. Я бы пошел дальше и запретил бы заодно уязвимости и атаки. Ну а чего мелочиться. Хакеров, кстати, тоже можно запретить.
Читать полностью…Наш ритм жизни таков, что мы не всегда успеваем оглянуться по сторонам, а самое главное, посмотреть вперед и задаться вопросом: «А что там, впереди, через 5, 10 лет? Что нас ждет?»
В информационной безопасности это особенно важно, так как мы строим системы защиты не только от текущих угроз, но и делаем системы устойчивыми к будущим недопустимым событиям.
На форсайт-сессии «Угрозы 2030. Что может стать недопустимым?» представители различных организаций, включая и регуляторов, под руководством опытного футуролога попробуют сформировать перечень будущих угроз ИБ и недопустимых событий в России — с учетом технологических, экономических, социальных и геополитических тенденций 🔮
Что войдет в этот шорт-лист?
Угрозы для квантовых вычислений и блокчейна, искусственного интеллекта и больших данных? А может быть впору задуматься об угрозах для биотехнологий и кибератаках на геномный редактор CRISPR/Cas9? Возможно, мы осмелеем и замахнемся на графеновые нанотрубки? А может, все это блажь и через 7-10 лет мы и дальше будем бороться с шифровальщиками, утечками персональных данных и DDoS-атаками?
Обсудим это на бизнес-треке PHDays 12.
Ждем вас 19 и 20 мая в Парке Горького!
🎫 Приобрести билеты можно на нашем сайте.
#PHD12
Какова вероятность, что вы наведете камеру на гигантский QR-код, сделанный дронами, увидев его в небе? А если это мошеннический код, ведущий на вредоносный или фишинговый сайт?
ЗЫ. Представьте, что вы такое увидите на PHDays?!
Мы скачали вредоносный семпл из вашего репозитория и запустили на боевой системе. Мы думали, что семпл уже обезврежен…
Мир непуганных идиотов
Как-то, несколько лет назад, компания Apple захотела купить компанию Corellium, которая занималась ПО, позволяющем запускать iOS на устройствах не-производства Apple и проводить ее анализ с точки зрения ИБ. Предложив "смешные" 23 миллиона долларов, Apple столкнулась с отказом от Corellium, хотевшей больше денег. В итоге Apple подала в суд на малую, но гордую калифорнийскую компанию за нарушение авторских прав. И вот в начале недели независимый американский суд признал, что Apple была не права и ее иск был отклонен.
Читать полностью…В бизнес-треке PHDays будет одна секция, которую я скромно назвал "Утекло? Да и ... с ним!", где мне хотелось бы поговорить с компаниями, которые реально столкнулись с различными инцидентами; не только утечками персональных данных. И знаете, что я вам скажу, это оказалось непростой задачей. Во многих компаниях, в которые мы обращались с предложением выступить и поделиться своим опытом реагирования на инцидент, нам отказали. Во многих случаях это было решение PR 🤷
Хотя, как по мне, если уж он произошел, то почему бы не извлечь пользу и не показать свою открытость перед рынком, рассказать, что случилось, почему, что было предпринято, какие уроки извлечены и т.д. Но нет, часто компанию ограничиваются просто сухим постом в блоге. Возможно с точки зрения PR это и хорошо, но все-таки.
Тем ценнее, что на секции "Утекло? Да и ... с ним!" согласились участвовать компании, которые смогут рассказать, что у них произошло. Не у всех дошло до утечки - но все столкнулись с подозрительными или явно вредоносными действиями в своей инфраструктуре. Где-то это была даже APT. И вот qze1ov-sad-retail-is-story">одна из таких историй, которую мы среди прочего обсудим на секции. Но будут и другие, в том числе и ранее нестановившиеся достоянием публики.
Ну что, еще одну компанию по кибербезопасности сломали; частично. Не нашу, американскую. Известную в области промышленного кибербеза. Речь идет о Dragos. Скрывать они этот факт не стали и даже попытались извлечь из этого какую-то пользу, правильным образом преподнеся результаты расследования.
Их описание (на русском и английском) мало чем отличается от обычного расследования - исходный вектор (как и в случае с недавним инцидентом у BI.ZОNE атаковали через внешний облачный сервис), временная шкала, техники и тактики, индикаторы компрометации, скрины переписки с вымогателями, извлеченные уроки, рекомендации, контакты для связи. Ну все, что может быть интересно в такого рода кейсах.
Утверждается, что это была "попытка" атаки - злоумышленники не смогли проникнуть в инфраструктуру (а облако к своей почему-то никто не относит). Ну эта песня знакомая - все-таки хочется нивелировать неприятный осадочек от своего взлома; все-таки ИБ-компания как-никак.
В любом случае, несколько выводов я бы сделал из этой истории:
1️⃣ Ломают любую компанию. ИБ и не ИБ. Вопрос стоит не "если", а "когда".
2️⃣ Скрывать такого рода факты бессмысленно - всплывет.
3️⃣ Открытость нивелирует негативные последствия от взлома; в отличие от попытки скрыть всеми правдами и неправдами.
ЗЫ. Из интересного, но объяснимого - расследования Dragos проводит внешняя компания, хотя Dragos и сам имеет такую экспертизу. Думаю это связано с тем, чтобы показать свою непредвзятость в этом деле и показать, что компания ничего не скрывает.
Когда оружейная компания (Glock) начинает выпускать шторки для веб-камер и продавать их за 7 евро, то это является сигналом перспективности рынка ИБ; как минимум сегмента веб-шторок от подсматривания 😊
Читать полностью…