Пост Лукацкого

11 мая 2023 16:45

Американская ФСТЭК (CISA) предлагает разработчикам ПО, поставляемого в госорганы США, проводить самоаттестацию, подтверждающую выполнение требований по безопасной разработке.

У нас требования по безопасной разработке тоже есть, но непонятно, как подтверждать их реализацию. Американцы показывают вариант.

Пост Лукацкого

11 мая 2023 06:40

Предсказуемо, администрирование средств защиты, защита данных, compliance, разработка архитектуры ИБ и планирование развития ИБ делаются преимущественно внутри организаций. А вот пентесты, redteaming, форензика, Threat Intellgence и purple teaming чаще всего реализуются внешними компаниями/организациями.

Это не то, чтобы догма, но некий срез по преимущественно американским организациям, имеющим SOCи. Ну и как набор сервисов и функций SOC тоже достаточно интересно взглянуть и сравнить с тем, что есть у вас.

Пост Лукацкого

10 мая 2023 16:51

Хакнули одного облачного провайдера и 60 клиентов оказались тоже скомпрометированы. Я бы назвал этот кейс «Kaseya 2.0».

Передавать в облака свои данные, приложения и инфраструктуру - это, конечно, хорошо, но только если вы выставляете к облачному провайдеру требования по ИБ и знаете, как их контролировать. Без этого облака могут протечь 🌧 а вы и сделать ничего не сможете.

Основой для формирования требований по оценке защищенности выбранного вами облачного провайдера могло бы стать руководство по аудиту от Cloud Security Alliance. Да, это преимущественно "бумажные" проверки, но и это уже что-то. Сертификация SOC2 (в России такую уже не пройти) тоже ничего не говорит о реальной защищенности (уже писал на днях про это), но хотя бы подтверждает, что хоть что-то в области ИБ у облачного провайдера сделано. Аналогичная история с "аттестацией" по ФЗ-152. Можно, конечно, потребовать от облака регулярного подтверждения прохождения пентестов или размещения себя на багбаунти, но многие ли согласятся? В любом случае, ответственность за контроль реализации защитных мер лежит только на вас и ни на ком другом.

Пост Лукацкого

10 мая 2023 06:40

Разгребая виртуальные завалы, наткнулся на презентацию, которую я делал в 2008-м году для конференции 🟥 (за 3 года до PHDays). Я тогда попытался посмотреть на будущее сканеров безопасности (в 2006-м я у 🟥 на мероприятии рассказывал про настоящее, на тот момент, решений класса Vulnerability Management), куда они могут развиваться и каким функционалом обладать. Просматривая сейчас эту презентацию, понимаешь, что что-то из описанного уже реализовано на рынке, что-то в процессе реализации, а что-то так пока и находится на стадии прототипа.

ЗЫ. Будь я нескромен, сказал бы, что я - пророк 😊 А так просто скромно потуплю взгляд в пол и пойду работать дальше. Программа бизнес-трека PHDays, за которую я отвечаю, сама себя не сделает и в ограненный алмаз не превратится 😊

Пост Лукацкого

09 мая 2023 18:10

Третий по величине город Техаса, Даллас, столкнулся с атакой шифровальщика. Началась она 3-го мая и последствия ощущаются до сих пор. Были выведены из строя суд, системы оплаты за водоснабжение, аварийные системы 911 и 311, онлайн-библиотека, городская администрация и куча других департаментов. Как и в любой иной публичной истории, город не мог скрыть этот факт (не то, что у нас) и ведет подробный рассказ у себя на сайте о том, что и когда перестало работать и когда восстановлено. Если не с точки зрения правильной защиты, то с точки зрения открытости, Даллас можно поставить в пример.

ЗЫ. А в это время шериф другого американского города, Сан-Бернардино, выплатил вымогателям 1,1 миллиона долларов.

Пост Лукацкого

09 мая 2023 14:23

Если верить статистике, средняя стоимость выкупа у вымогателей составляет порядка 20-24 биткойнов. Это в мире. А в России у взломанных компаний требуют выкуп гораздо ниже, на порядки. Не это ли доказательство того, что надо переводить юрлица в российскую юрисдикцию - как минимум выплаты киберпреступникам будут ниже!

ЗЫ. Но вообще, требовать выкуп в майские праздники, когда одни на шашлыках, а другие на параде, это не разбираться в своей целевой аудитории. Ну или заранее принять решение о выкладывании украденной информации.

ЗЗЫ. Мне кажется, что уже все должны были настроить свои средства защиты на такой индикатор как «объем выкачиваемых за интервал времени данных». Очевидно же, что выгрузка такого объема (если это не дистрибутивы или обновления ПО) - это аномалия и на нее надо реагировать. Но видно не для всех.

Пост Лукацкого

09 мая 2023 08:40

И хотя акцию "Бессмертный полк" немало где запретили, это не помешает многим публиковать сегодня в соцсетях истории своих воевавших бабушек и дедушек, указывая их полные имена и фамилии. Это история, которую надо помнить (в том числе и чтобы не совершать повторных ошибок).

Но также стоит помнить, что не надо использовать в качестве пароля или секретного слова девичью фамилию своей матери. И я думаю понятно, почему 🤔 Ну а если вы где-то их используете, то в этот майский день самое время сменить их. Пусть это будет вашей маленькой победой на пути к вашей безопасности!

ЗЫ. С праздником! За нашу Победу!

Пост Лукацкого

08 мая 2023 19:45

Google запустил бесплатный базовый курс по кибербезу

Пост Лукацкого

08 мая 2023 17:40

🥸 Представлена информация о новом российском транспортном протоколе RUSTP/UDTP.

🤔 Авторы не понимают сути задержек и тестировали протокол на передачи одного файла. В результате разработчики уверяют, что новый протокол полностью защищен от DDoS атак на L3 и L4, позволяет значительно сократить расходы провайдеров и обучение программистов, поддерживает историю сессии и соединения на технологии блокчейн, и обладает уникальными характеристиками переноса информации, поддерживая качество передачи трафика при произвольных задержках и потерях.

🤨 Авторы также пишут, что смогли повысить скорость передачи данных в их Москвы в Амстердам в 3 раза, а в Сидней в 50 раз, а сетевая технология «IPv17» удовлетворяет решениям ООН, требованиям ITU и рекомендациям IETF в части «Сети будущего».

#rustp #udtp #протокол @SecLabNews

Пост Лукацкого

08 мая 2023 12:34

Диссертация про историю CTF (на английском)

Пост Лукацкого

07 мая 2023 20:02

А Шекспир-то был в теме ✍️

Пост Лукацкого

07 мая 2023 14:26

"Простите меня" (с) LockBit. Конечно хорошо, что у вымогателей есть свое понятие чести и они готовы предоставить медицинской/детской/социальной организации ключ расшифрования данных бесплатно, но все-таки, строя систему защиты, рассчитывать на это не стоит.

Пост Лукацкого

07 мая 2023 08:40

Вот последний совет от ChatGPT прям умиляет. Пожалуйтесь регуляторам и тогда топ-менеджмент сразу задумается о кибербезе в своей компании. Видимо, на истории CSO Twitter обучали 😊 Что характерно, у нас тоже нередко звучат такие советы. Мол, напишите анонимку во ФСТЭК (или поднимите размер штрафов), пусть они придут и проверят организацию на предмет ИБ, выдадут предписание об устранении и вот тогда-то руководитель ИБ и заживет как человек, получит все необходимые ресурсы и статус. Ага, щаз.

Без понимания того, как работает бизнес, как зарабатывает и теряет деньги, что прибыль может прекрасно сочетаться с убытками в один и тот же год, как формируются денежные потоки, какие интересы у ключевых лиц, принимающих решения, ничего не изменится. "Говорить на языке бизнеса" - набившая оскомину фраза, но она подразумевает именно это. Чтобы заинтересовать топ-менеджмент вопросами ИБ надо думать как топ-менеджмент или хотя бы стремиться к этому. А запугивать его - будет только хуже.

Пост Лукацкого

06 мая 2023 15:15

Беда пришла откуда не ждали. Google планирует отказаться от символа замочка в браузере, заменив его на нейтральный (см.👆). В Гугле провели исследование и считают, что символ замочка 🔒 уже не отражает исходного смысла и не гарантирует защищенности сайта.

А вытекает из этого очень важная история, а именно, необходимость переобучения пользователя (когда символ замочка заменят) и переделку всех курсов обучения и тренингов повышения осведомленности, в которых этот замочек - один из основных элементов, на который надо обращать внимание при Интернет-серфинге.

ЗЫ. Устои рушатся 😱

Пост Лукацкого

06 мая 2023 08:40

Ну что за идиотская манера принижать инциденты, произошедшие у себя? "Злоумышленник получил доступ", но это "якобы взлом". "Утекли персональные данные", но "ущерба нет".

Это инциденты, как ни крути. Они могут не быть недопустимыми событиями, - это так. Но они остаются инцидентами! В этом-то и преимущество недопустимых событий - не всего, что у вас плохого происходит в ИБ, надо бояться. Есть вещи, которые действительно не приводят к серьезным негативным последствиям. И надо это прямо и заявлять. А не вот это вот дурацкое "хакеры к нам влезли, но это не инцидент"...

Пост Лукацкого

11 мая 2023 13:15

С технологической точки зрения уровень удовлетворенности в ИБ хуже всего от управления активами, автоматизации ИБ (SOAR), предотвращения утечек данных, уничтожения вредоносного ПО на лету и захвата полной копии сетевого траффика. А вот VPNами, SIEMами и мониторингом логов на оконечных устройствах довольны чаще всего.

Интересная статистика с точки зрения приложения сил отечественных вендоров соответствующих классов решений. Да, бездумно копировать Запад конечно не нужно, но посмотреть на часто встречающиеся там проблемы и извлечь из них уроки здесь, вполне себе полезное занятие.

ЗЫ. Но управление активами - это конечно адский ад. Та компания, которая лучше всех реализует эту задачи, озолотится.

Пост Лукацкого

10 мая 2023 19:53

Мечта ИБшника - средство защиты с одной кнопкой «защити меня», а не вот это вот все с тысячами настроек… Само смотрит телеметрию, само коррелирует и выстраивает цепочки атак, само оценивает опасность, само реагирует, само генерит и отправляет отчет об успехе с привязкой к бизнес-целям предприятия (недопустимым событиям). Сказка, а не ИБ. Будет ли когда-нибудь такое?

Помню, в 98-м году, когда мы строили SOC (тогда еще такого-то слова никто не знал) в Нацбанке сопредельного государства, с которым мы сейчас конфликтуем, первая недоSIEM, собирающая и автоматически коррелирующая данные от IDS и сканеров безопасности, выглядела как космос. Сейчас - это уже норма и в некоторых IDS это встроенная фича, не требующая внешнего коррелятора. А SIEM уже умеют коррелировать данные от десятков разных средств защиты и автоматически реагировать на выявленные атаки (при наличии интеграции с SOAR). Так что думаю не за горами тот момент, когда в одном решении будет и SIEM, и SOAR, и сканер уязвимостей, и встроенная CMDB, и ASM, и много чего еще. Осталось чуть-чуть подождать - технологии сейчас развиваются очень быстро.

Пост Лукацкого

10 мая 2023 13:24

Иностранцы написали про новую коалицию русских хакеров... 🤔 Дай, думаю, зайду, посмотрю на "секреты мастерства, различные техники и приемы". Зашел и сразу вышел. Кроме котиков, мемасиков и тому подобной "полезной информации" 😺 там нет ничего. Сразу напомнило "Союз меча и орала" из "12-ти стульев" 😂 А на Западе ведь преподнесут это как нечто ужасное, несущее угрозу западным ценностям и демократии. А там одни 🤡

Пост Лукацкого

09 мая 2023 20:26

Напомнило шутку про крутого и сверхсекретного хакера, который прекратил ломать Пентагон, потому что его мама позвала делать уроки 😊

Пост Лукацкого

09 мая 2023 16:21

В Европе сегодня запускают новый центр компетенций по ИБ. Европейский. В довесок к центру компетенций НАТО (CCDCOE). Новый будет в Бухаресте, «старый» размещен в Таллине. Европа, как мне кажется, начинает отходить от своего «старшего брата» и хочет выстраивать свою политику, не только внешнюю и военную, но и в киберпространстве.

Пост Лукацкого

09 мая 2023 11:17

На самом первом PHDays я рассказывал про нормативку и про публичные примеры кибервойн, когда одно государство атакует другое. Атака на Газпром в 1982-м, "Лунный лабиринт", "Титановый дождь", "Аврора", "Сад", ну и, конечно же, Stuxnet. Но 12 лет назад приходилось по крупинкам собирать то, что сегодня происходит ежедневно и уже особо и не скрывается.

Одни государства пестуют киберармии в других, обучают их, снабжают технологиями и знаниями, а то и вовсе руководят. Арсенал, в свое время существовавший только у спецслужб, сегодня доступен многим. Деяния в киберпространстве, приводящие к существенному ущербу и недопустимым событиям, поощряются, а их авторы не наказываются. Можно только фантазировать о том, что будет еще через 12 лет...

Пост Лукацкого

08 мая 2023 20:41

Коллеги подогнали презентацию проекта IPv17, датированную 2012-м годом, которая объясняет, что же предлагается под соусом протокола, соответствующего решениям ООН, требованиям ITU и рекомендациям IETF.

Пост Лукацкого

08 мая 2023 17:42

Если кому интересно, то презентация RUSTP/UDTP от 2019 года обнаружена здесь. На слайде результаты теста.

Пост Лукацкого

08 мая 2023 15:56

Израильтяне делают «Киберкупол» (по аналогии с ПВОшным «Железным куполом») на базе DNS и хотят его предлагать своим компаниям из разных сфер экономики. Англичане такое же для своих госорганов предлагают. Бесплатно

Пост Лукацкого

08 мая 2023 08:40

Gazprom Locker?! Все как в реальной жизни - все заблокировано, требует денег, еще и шантажирует ростом цены.

Пост Лукацкого

07 мая 2023 17:21

Многие DDoS-атаки, о которых хвалятся хакерские группировки с двух сторон, похожи на это видео. На первый взгляд выглядят страшно, но на самом деле - "встал, отряхнулся и пошел". Ну кто-то схватит PRа немного, но, в целом, простой в течение даже нескольких часов для большинства опубликованных целей никакого ущерба не несет...

Пост Лукацкого

07 мая 2023 12:13

Фишинг на тему коронации сменился шуточками на ту же тему 👑

Пост Лукацкого

06 мая 2023 19:21

Пару дней назад был международный день пароля. Недорогой подарок к такому дню мог бы выглядеть так 🎁 Еще бы строка для номеров карт, CVV и PIN-кодов и подарок был бы просто бесценный; ничего не забудешь.

ЗЫ. Ну а сегодня празднуется Всемирный день голого садовода, День травы, День встречи с Белым рыцарем и коронация дождавшегося все-таки Чарльза (а он ждал своего «Оскара» дольше Ди Каприо). У вас еще есть время отметить 🎉

Пост Лукацкого

06 мая 2023 12:29

Помню, в прошлой жизни, была у нас история с найденной на сайте уязвимостью в процессе аутентификации, которая могла стать причиной утечки пользовательских паролей (2-х миллионов паролей, к слову). Мы тогда тоже принудительно сбросили всем пароли, чтобы пользователи сайта завели себе новые. А бывает и так, что инцидент произошел, но тебе не хочется об этом говорить публично. Поэтому ты преподносишь это как механизм за(бо|щи)ты клиентов. Тоже путь…

Пост Лукацкого

05 мая 2023 19:14

«Хакерская империя»: Китай выпустил доклад про кибероружие ЦРУ

Устали от американских обвинений в кибератаках в адрес России, Китая, Ирана, КНДР? Можно почитать свежий отчёт с китайской стороны. Документ был опубликован вчера от имени Национального центра реагирования на компьютерные вирусы (CVERC) и инфобез-компании Qihoo 360 (оригинальная ссылка открывается только из Китая, видимо). Про него написали китайские медиа, а МИД Китая призвал США «ответить на озабоченности международного сообщества и перестать использовать кибероружие для шпионажа и кибератак по всему миру».

Во вступлении доклада рассказывается про поддержку ЦРУ цветных революций — от Мьянмы до Украины. «Поскольку бывшая госсекретарь США Мадлен Олбрайт считает Интернет ключом к победе над Китаем, на самом деле "цветные революции" были подогреты западными державами с помощью интернета». (Хорошо известно, что любая угроза безопасности может считаться национальной, только если она связана с именем скончавшейся год назад Мадлен Олбрайт.) Далее перечисляется инструменты, которые США якобы предоставляли протестующим в разных странах: TOR, Speak2Tweet, RIOT, некую технологию stampede, разработанную RAND Corporation, а также противоцензурную систему.

Однако вступление про цветные революции мало связано с остальным докладом. Основное содержание излагается во второй и третьей частях. Если коротко, то китайские специалисты утверждают, что им удалось найти реальные случаи использования против организаций в КНР тех инструментов ЦРУ, которые попали в утечку Vault7 в 2017 году. Так, Qihoo 360 ещё в 2020 году писала о группировке APT-C-39, которую компания связывала с ЦРУ.

Во второй части кратко описано, какие инструменты из Vault7 смогли найти исследователи. Третья и, наверно, самая любопытная часть содержит некоторые подробности расследования, проведённого китайскими специалистами.

Например, здесь утверждается, что ЦРУ в основном проводили атаки с использованием бесфайловых программ, но криминалистам удалось найти способ и получить образцы кода.

Ещё одна история: исследователям удалось случайно получить используемый ЦРУ инструмент для кражи данных. И оказалось, что это один из инструментов из ANT catalog'а — утечки АНБ 2013 года. Из этого делается вывод, что либо АНБ и ЦРУ атакуют одни и те же цели, либо они делятся друг с другом инструментарием. Стоит добавить, что в адрес АНБ Qihoo 360 выдвигала обвинения прошлой осенью.

Авторы доклада утверждают, что у ЦРУ есть несколько разновидностей кибероружия, способного отключать коммерческие антивирусы.

Не могу с уверенностью сказать, насколько реально много тут новой информации. Например, в докладе упоминается атака на роутеры MikroTik, но это просто пересказ истории из Vault7.

В заключении делается вывод о том, что американская кибергегемония распространяется по всему миру, и поэтому США по праву нужно признать «хакерской империей»

На официальном сайте CVERC у доклада стоит приписка — «Часть первая». Ждём продолжений?