Прочитал тут в отчете: "Russian EW is also apparently achieving real time interception and decryption of Ukrainian Motorola 256-bit encrypted tactical communications systems, which are widely employed by the Armed Forces of Ukraine", что означает, что Россия научилась в реальном времени дешифровать коммуникации, защищенные 256-тибитным ключом 🤔 Видимо, только для конкретного технического решения, хотя... Деталей в отчете нет, но интересненько... Как? 🧑💻
Читать полностью…Вчера по радио говорили про концепцию риск-шеринга, которую активно обсуждают в России. Это инновационная модель лекарственного обеспечения с оплатой за результат. Оплата за разработку фармпрепарата по госконтракту осуществляется по факту получения терапевтического эффекта, иначе сумма контракта снижается.
Мне кажется, если уж такая консервативная отрасль, как медицина, переходит на модель с оплатой за результат, то уж кибербезу это давно пора делать. На прошедшем PHDays эту тему активно обсуждали и на пленарке, и в отдельных дискуссиях бизнес-трека. Но надо признать, что пока большинство ИБшников опасается брать на себя ответственность за результат (причем не только требовать такой результат с вендоров и поставщиков услуг, но и обеспечивать его внутри своей компании). Да и сам результат-то не всегда мы способны описать в понятным всем терминах.
Интересный опыт у Минцифры, которым она поделилась на PHDays (вторая ссылка выше), - прописывать в контрактах с поставщиками ИБ-услуг штрафные санкции за простой в результате инцидента. И это не просто какие-то смешные цифры, а десятки процентов от суммы контракта. Правда, в этом случае и сумма контракта может быть повышена и это обосновано и понятно руководству. Но сама по себе идея оплаты за результат дисциплинирует.
3 года тюрьмы, 800 тысяч штрафа и конфискованный компьютер 💻 Таков приговор российскому ИТшнику за DDoS-атаки на российские объекты КИИ
Читать полностью…Квиз на закрытом Positive CISO Club тоже прошел на ура! Были и простые вопросики, которые 20+ команд угадывали быстрее отведенных на вопрос 30 секунд. Например, про троянского коня 🐴 Но были и более сложные истории, например, про фреймворк ERM&CK, анонсированный на PHDays 12 🤔
Читать полностью…На PHD12 не только VK занимался повышением осведомленности пользователей, но и холдинг Rambler, который к киберфестивалю запустил и онлайн-игрушку, и советы по ИБ от "Кибербезопакла", легендарного первого ИБшника 🤔 Наконец-то у нас awareness стал входить в моду и про него говорят уже не только ИБ-компании!
Читать полностью…Новое отечественное Security Experts Community – "это открытое сообщество специалистов по ИБ, которые хотят делать мир чуточку безопаснее и помогать коллегам на пути обеспечения защищённости своей инфраструктуры". Про него рассказали в некоторых докладах и дискуссиях на PHDays и уже сейчас в нем обсуждаются и реализуются всякие open source инициативы, к которым можно присоединиться, начав "дружить домами".
Читать полностью…Сколько тратить на ИБ от ИТ-бюджета?! 🛍 Вопрос до сих пор наипопулярнейший. Из этого заблуждения (что ИБ - это часть ИТ и считаться должна именно от ИТ) проистекает огромное количество проблем. А ведь если задуматься, то мы защищаем не ИТ, мы защищаем активы, мы нейтрализуем риски, мы боремся с недопустимыми событиями. И бюджет на ИБ должен зависеть от их стоимости, а не от того, сколько ИТ тратит на сетевуху, ОС, СУБД и принтеры.
Читать полностью…PHDays завершился; как и сутки молчания, связанные с погружение в киберфестиваль. Скоро придет время порефлексировать над произошедшим. Как организатор бизнес-трека, я так и не смог послушать ни одну из сессий (кроме двух, модерируемых мной). Но зато сейчас есть время все внимательно пересмотреть и переслушать, чтобы выцепить ключевые идеи, которые я буду потихоньку выкладывать.
Читать полностью…👨💻 Более 8 тыс. человек проверили портал Госуслуг на прочность
В начале февраля мы запустили проект по поиску уязвимостей на Госуслугах. За три месяца количество участников багбаунти превысило 8,4 тыс. За успешную работу участники получают вознаграждение: подарки с символикой проекта — за небольшие баги, до 1 млн рублей — за критические уязвимости.
По итогам проекта можно сказать, что работа исследователей помогла улучшить систему безопасности Госуслуг. При этом доступа к внутренним данным не было — участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга (чтобы их нельзя было использовать для взлома).
Уязвимости и выплаты
Всего найдено 34 уязвимости, большинство из них — со средним и низким уровнем критичности. Максимальная выплата составила 350 000₽, а минимальная — 10 000₽. Спонсор проекта — Ростелеком.
Возраст багхантеров
➖ минимальный — 17 лет
➖ средний — 28 лет
➖ максимальный — 55 лет
Тестирование проходило на платформах:
➖ BI.ZОNE Bug Bounty
➖ Standoff 365
В будущем мы планируем и дальше проводить багбаунти Госуслуг, а также расширить действие программы на другие ведомства. Следите за анонсами в канале, чтобы не пропустить запуск следующего проекта.
@mintsifry
Помнится, когда Cisco Talos назвал одну из хакерских атак Squirrel Waffle ("беличья вафля"), у меня возникла мысль, что придумывают такие названия в каком-то особом состоянии сознания. И вот у нас новый лидер. "Текущий волк"? 🐺 Кто это придумал?! 🤔
ЗЫ. Хорошо, что не "текущая волчица" 😊
Всегда хотел во всю голосину спеть «Выйду ночью в поле с конем». А теперь и повод появился ;-) На PHD возвышается большая скульптура троянского коня, в чреве которой устроен бестиарий киберугроз, рассказывающий о самых нашумевших вирусах, троянах, червях и т.п. недавнего прошлого и настоящего.
ЗЫ. У вас тоже есть шанс посетить его - так как он находится в открытой части киберфестиваля PHD в Парке Горького, открытого до субботы включительно.
Было время, в Интернете шутили про ИБ. Сейчас что-то шуток стало гораздо меньше. Имеющиеся каналы с ИБшными мемасиками сдулись и прекратили свою активность. Видимо, не время сейчас шутить, "Отечество в опасности", как говорилось в известном декрете заксобрания Франции 1792-го года!
Читать полностью…Ну и в продолжение предыдущего поста про помощь иностранному государству. Не знаю как вам, но мне, наши украинские товарищи, по доброте душевной, прислали тут на днях смску с предупреждением, что нельзя ни в коем случае вестись на происки американской, а также европейской, китайской и даже белорусской разведок, так как взаимодействие с ними может бать квалифицировано по статье 275 УК РФ. При этом хочу поблагодарить украинских товарищей, которые предупредили меня об этом заранее, до того, как ролик ЦРУ появился в Интернете. Так я не совершил роковой ошибки и не связался с ЦРУ! И хотя в присланной смске был просто скопирован текст 275-й статьи УК РФ, я понял скрытый смысл этого сообщения, которое меня спасло от непоправимого!
А чтобы от этого поста была хоть какая-то польза, хочу напомнить, что существует три сценария, когда вы можете изменить стране:
😏 Вы это сделали осознанно, передав иностранной организации что-то, что является угрозой для безопасности России
😡 Вас использовали втемную, попросив поучаствовать в каком-нибудь исследовании и т.п.
😱 Вы сделали что-то, даже не задумываясь о последствиях, но что могло привести к реализации угрозы безопасности России.
Приведу классический пример для третьего случая, так как он самый неочевидный. Представьте, что в региональной прессе публикуется статья об успехах хлеборобов, которая сопровождается фотографией хлебного фургона, стоящего у ворот местной воинской части и подписью "Ежедневно наши военные получают целый фургон хлеба, выпеченного на нашем местном заводе имени Отто Фредерика Роведдера". Безобидная статья и безобидная фотография времен СССР! Но вот незадача. Количество буханок хлеба в фургоне - это константа и оно не представляет секрета. Ежедневная норма хлебобулочных изделий на одного военнослужащего тоже не секрет. То есть поделив первое на второе мы получаем численность военнослужащих местной в/ч, а это уже гостайна и ее неосознанное раскрытие прекрасно попадает под статью 275; даже если вы об этом не думали. А вы думайте!🏌️
У многих маркетологов перед оффлайн-мероприятиями всегда встает (а если не встает, то они маркетолухи) вопрос мерча (на PHDays 12 уже начали продавать свой мерч). Предлагаю надписи для футболок:
👕 Go BUG yourself - для организаторов программ bug bounty
👕 Go HACK yourself - для производителей BAS-решений
👕 Go TRACK yourself - для производителей UEBA-решений
👕 Go FSTEC yourself - для производителей сканеров исходных кодов и компаний, проводящих оценку соответствия
👕 Go SOC yourself - для поставщиков SIEM
👕 Go BLOCK yourself - для производителей МСЭ
ЗЫ. Отдаю идеи бесплатно - за футболки с надписью 🎽!
В году этак 97-98-м я занимался разработкой сайта "Информзащиты". Да, был у меня такой опыт 💻 Тогда вообще многие компании самостоятельно занимались разработкой своих же сайтов и каждая уважающая себя компания должна была иметь в штате веб-мастера (я был, правда, не веб-мастером, но мне было интересно). Потом, уже следующую версию, которая согласно ТЗ должна была обладать более широким функционалом, мы заказывали у внешней веб-студии.
Я по-прежнему отвечал за сайт, но уже с точки зрения заказчика, ставящего задачи и принимающего результат. Все-таки "кесарю кесарево" и разработкой сайтов должны заниматься профессионалы (правда, нельзя забывать про безопасность сайтов - веб-студии часто не очень компетентны в этих вопросах). Так вот ФСТЭК поменяла себе сайт. Ну не знаю.... Мне кажется, что давно прошло то время, когда разработкой сайта надо было заниматься самостоятельно. Все-таки надо было поручить эту задачу не ГНИИ ПТЗИ. Вон и у головного МинОбороны сайт получше, не говоря уже о Минцифры.
Как проверить, что утекшая база с персданными фейковая или скомпилированная? Об этом 10-тиминутный доклад с PHDays 12
Читать полностью…Если вы были на PHDays 12 и осталась какая-то недосказанность в ваших отношениях с этим мероприятием (вы не просто хотите сказать, как все было классно, но и сказать, что именно, или вы хотите рассказать, где мы накосячили /про регистрацию мы в курсе/ и где можно улучшить ситуацию, или даже вы хотите предложить классную идею на будущее), то заполните, пожалуйста, небольшую форму. Никаких стандартных вопросов о том, кто из спикеров вас потряс больше всего (я-то не выступал 😂), какой партнер выдал вам лучший мерч или сколько треков помимо курируемого мной бизнесового вы посетили, не будет 😊 4 необязательных вопроса ❓ с ответами в свободной форме - отвечать можно на любое количество из них. Есть что сказать, заполняйте; нет - чего время зря терять. Я буду вам благодарен - хочется в следующем году сделать мероприятие еще лучше!
Читать полностью…Если вдруг вы увидите на улицах Москвы такие граффити, то не пугайтесь, они безопасны 😊 Тем более и PHD уже закончился 😭
ЗЫ. Я, кстати, под конец киберфестиваля PHDays зашел к кибергадалке 🧙🏻♀️, которой задал вопрос о том, какие киберугрозы меня ждут. Но ответ получил позитивный - если меня что-то и ждет, то я к ним готов! На том мы и расстались. А вот узнать свое будущее 🔮 по паролю я уже не успел - к субботней полночи все кибераттракционы завершили свою работу 🧙♂️
Извещение об инциденте утечки ПДн из базы данных сайта ИнфоТеКС
20 мая около 19:00 в телеграмм-канале "Утечки информации" была опубликована информация о появлении в открытом доступе данных, полученных предположительно из базы данных пользователей сайта www.infotecs.ru. По факту публикации компания «ИнфоТеКС» незамедлительно начала проверку данной информации. Превентивно был отключен личный кабинет (ЛК) пользователей сайта www.infotecs.ru, а спустя 3 часа после старта проверки была остановлена работа всего сайта с целью детального анализа логов и образов виртуальных машин, реализующих ИТ-инфраструктуру сайта.
В 22:00 20 мая после блокировки доступа к личному кабинету пользователей началось детальное расследование данного инцидента специалистами компании «ИнфоТеКС» и экспертами компании "Перспективный мониторинг" (входит в ГК «ИнфоТеКС» и является аккредитованным центром ГосСОПКА).
Проверка подтвердила факт утечки базы данных с учетными записями зарегистрированных пользователей сайта. Предварительно установлено, что компрометации подверглась только база данных учетных записей пользователей сайта, содержащая следующие обязательные для заполнения пользователем поля: логин, имя пользователя и адрес электронной почты. Пароль доступа в базе не хранится, вместо него в базе хранится хэш от пароля, по которому пароль восстановить невозможно. Анализ базы показал, что из 60 911 записей скомпрометированной базы подавляющее большинство являются фейками, автоматически сгенерированными записями ботов, одноразовыми, технологическими записями и тп. В настоящее время идет очистка базы от устаревших данных, расследование инцидента продолжается. Уведомление об инциденте направлено в Роскомнадзор в соответствии с требованиями.
Также расследование установило, что сервисы сайта ИнфоТеКС (веб-сервер, система управления сайтом, операционные системы, системы виртуализации и балансировки нагрузки) не были скомпрометированы злоумышленником. Учетные записи сервисов сайта хранятся в других базах и не были скомпрометированы. В ближайшее время сайт www.infotecs.ru будет запущен в работу.
Все программное и аппаратное обеспечение сайта www.infotecs.ru расположено в выделенном контуре безопасности, не имеет возможности взаимодействовать с внутренней ИТ-инфраструктурой компании. Работа с сайтом как пользователей, так и администраторов сайта осуществляется исключительно через документированные возможности систем управления сайтом и вспомогательными системами через защищенные SSL/TLS-соединения. Никакого ущерба внутренней ИТ-инфраструктуре компании нанесено не было. Все бизнес-процессы компании продолжают функционировать в штатном режиме. Данный инцидент никак не повлиял на разработку и выпуск продуктов ViPNet, их качество и безопасность.
Что касается содержания скомпрометированной базы данных и безопасности персональных данных пользователей сайта «ИнфоТеКС», отметим, что при регистрации на сайте пользователь может внести в базу еще ряд необязательных полей, таких как ФИО, телефон, место работы, должность и т.д. Эти данные компания никогда и не при каких условиях не передает третьим лицам, а использует исключительно в собственных маркетинговых целях. В большинстве учетных записей эти поля не заполнены. Верифицируемыми данными, помимо логина и хэша, является только адрес электронной почты, который используется в процедуре регистрации пользователя. Остальные данные компания «ИнфоТеКС» не проверяет и не может подтвердить или опровергнуть их корректность.
Мы настоятельно рекомендуем зарегистрированным пользователям сайта www.infotecs.ru оперативно сменить пароль доступа к ЛК сразу после того, как он будет запущен в работу. Об этом мы сообщим дополнительно.
Если пользователь сайта www.infotecs.ru использовал при регистрации тот же логин и пароль, что используется в других учетных записях (личных и корпоративных), настоятельно просим сменить этот логин и пароль во всех своих учетных записях, не дожидаясь запуска в работу ЛК.
Помните, на CISO Forum, во время интервью на сцене, которое я брал у Владимира Бенгина, был упомянут проект "русский Shodan"? Так вот на PHDays компания CyberOK рассказала о "русском Shodan", новом сканере сетевого периметра Rooster, который может просканировать все адресное пространство IPv4 всего за сутки. А в презентации CyberOK про Rooster на PHDays было упомянуто, что проект делался для Минцифры. Все сошлось! 🧐
Но было бы глупо делать просто "еще один Shodan". У Rooster есть и ряд ключевых отличий. Во-первых, он сканирует все TCP-порты, а не ограниченное их число как Shodan. Во-вторых, он детектит уязвимости не через анализ заголовков/баннеров уязвимых сервисов. Да, их многие не меняют, но это сродни афоризму Козьмы Пруткова "не верь глазам своим" или более народному "На заборе хрен написано, а там дрова лежат!". Поэтому у Rooster проверки наличия реальной уязвимости делаются иначе.
А если вспомнить антипленарку на "Магнитке", то, помните, там прозвучала идея об автоматических штрафах за наличие неустраненных критических уязвимостей на периметре организаций, которые могут привести к проникновению внутрь и утечке ПДн, за которой последует оборотной штраф? Учитывая, что за ПДн у нас отвечает Минцифры, законопроект об оборотных штрафах готовит Минцифры, на Магнитке в антипленарке участвовало Минцифры, "русский Shodan" затевало Минцифры, то я бы, сложив буквы А, Б, В, Г и Д, получил бы прекрасное и защищенное будущее, которое нас ждет.🔮
Российское IP-пространство сканируется на ежедневной основе, автоматом выявляются уязвимости, автоматом рассылаются уведомления о необходимости их устранения, автоматом проводится повторная проверка, автоматом выписывается штраф за неустранение уязвимости после определенного интервала времени или отсутствии реализации компенсирующих мер, делающих невозможной эксплуатацию. Прекрасный новый мир! 🌐
ЗЫ. Последние два абзаца - это мои фантазии, конечно. Я просто сложил 1+1, но будет ли так в реальности, кто знает?..
Киберфестиваль Positive Hack Days 12 завершился! Это было очень громко и грандиозно 🎊
Хотим поблагодарить всех, кто посетил наш кибергород и территорию безопасности в Парке Горького, всех зрителей онлайн-трансляции, а также спикеров и партнеров, которые принимали участие в организации PHDays 12.
Итогами двух дней работы киберфестиваля мы поделимся позднее, а пока предлагаем посмотреть, как прошел второй день Positive Hack Days 12!
P. S. записи всех треков можно будет посмотреть на нашем сайте, а также positiveevents5242">на YouTube-канале Positive Events.
#PHD12
«ВКонтакте» запустил арт-проект о безопасности в Сети, где опубликовал работы нескольких художников на эту тему. И хотя сами комиксы, если на чистоту, довольно банальные и скорее вымученные, чем остроумные — ну не цепляют — идея не такая и плохая.
Ведут все работы в одно место — на страницу безопасности VK. Если пользуетесь соцсетью и до сих пор не были там, обязательно зайдите.
P.S. — обращает внимание имя одного из авторов «Макс Шадгаев» 🤔. Из девяти авторов только у него не указана страница в VK. Совпадение? 🙊
Помимо основной программы PHDays сегодня у нас проходит еще и очередное заседание CISO Positive Club. В этот раз я выступаю в роли развлекающего аудиторию человека - буду вести очередной ибшный квиз 🤯
Читать полностью…Сейчас уже можно об этом говорить. 5 лет назад, в этот день, я делал фейковый сайт PHDays ;-)
ЗЫ. А английского я как и тогда не знал (слово Fack пишется не так), так и сейчас 😂
ROI у киберпреступности - 2500%, если верить инфографике SANS. Вот когда на российском рынке ИБ будет схожие показатели ROI, то значит мы работали не зря!
Читать полностью…Получили еще один кружок от Алексея Лукацкого, бизнес-консультанта по информационной безопасности Positive Technologies. Делимся 👀
А также подробнее рассказываем о секции с очень интересным названием «Готовы ли вы отвечать своими фаберже за результат?», которая ждет вас в рамках бизнес-трека на киберфестивале Positive Hack Days 12.
🥷 Долгие годы специалисты по информационной безопасности жили в парадигме «самурай без господина и без цели» (ну не рассматривать же всерьез работу «на регулятора» как цель специалиста по ИБ).
Мы внедряли решения, мы пользовались услугами аутсорсеров, мы выходили на инвестиционные комитеты с просьбой выделения новых бюджетов... Но брали ли мы на себя ответственность за тот результат, которого от нас ждали?
Кстати, вы можете, читая эти строки, ответить себе на вопрос: «А что для меня результат ИБ?»? Недопущение недопустимых событий? Прохождение аудита или аттестации по требованиям регуляторов? Соблюдение SLA? Отсутствие инцидентов? 🤔
Когда вы видите «мы», то речь идет не только о руководителях и специалистах по ИБ внутри компаний. Аналогичный вопрос «а несете ли вы ответственность за сделанное вами» можно и нужно задавать и поставщикам услуг ИБ, вендорам и интеграторам, взаимодействующим со своими заказчиками. И ответ на этот вопрос не так прост, как кажется.
Искать его мы будем 20 мая с 12:30 до 13:30 вместе с заказчиками, а также руководителями отечественных разработчиков, интеграторов и поставщиков услуг ИБ.
👉 Полная программа бизнес-трека — на нашем сайте.
#PHD12
Думаю, многие уже видели депрессивный видео-ролик ЦРУ, размещенный в соцсетях и телеге, в котором они предлагают россиянам, недовольным своей жизнью, начать контактировать с иностранными спецслужбами в целях помощи прогрессивной демократии, у которой на днях дефолт случится. Ролик, конечно, знатный. Построен на всевозможных стереотипах о России (медведей в ушанках с балалайкой в одной руке и бутылкой водки в другой на улицах городов, правда, нет).
Но наши (в смысле российские) креативщики не остались в долгу и подготовили для американских граждан ответку, которую вы и видите в приложенном видео. И тоже вокруг сложившихся стереотипов вокруг Америки. Самый главный там приведен в конце - про "рашн хакер" 💻 Потому и запостил. Все-таки этот стереотип уже вряд ли замылишь - "русские хакеры" с нами надолго.
ЗЫ. Зато у них негров линчуют (с)
У нас есть 3 билета на PHDays 12, которые мы хотим разыграть среди наших подписчиков! 🎫
Возможно, последний шанс получить билет бесплатно 🌚
Если хотите принять участие в розыгрыше, то правила очень простые.
1. Нужно быть подписчиком наших каналов в Telegram (мы проверим).
@PositiveEvents
@Positive_Technologies
@positive_investing
2. Оставить комментарий «Участвую» под этим постом в канале Positive Events.
3. Немножко подождать ⏰
Розыгрыш будет быстрым — уже завтра в 18:00 выберем победителей рандомайзером и вручим билеты.
Удачи! ☘️
#PHD12
7 лет назад на PHD прозвучала фраза, которая не потеряла своей актуальности до сих пор: "Бизнес идет впереди не оборачиваясь, безопасник бежит в хвосте в попытке догнать, регулятор сзади - мужики ну вы че" 😱
Читать полностью…