Пост Лукацкого

02 декабря 2023 11:13

В 2014-м году CISO Yahoo говорил, что SIEM не на базе Hadoop сегодня уже мало что может и мало кому нужен. А еще он говорил, что средства защиты для ЦОД надо выбирать, оценивая их не по пропускной способности в мегабитах, а по потребляемой мощности в киловаттах ⚡️

А пока вы осмысливаете прочитанное, можете посмотреть презентации с последней ATTACKcon 4.0 в приложенном архиве. А презентации с #SOCtech вы можете скачать сами - они уже выложены на сайте 🕸

Пост Лукацкого

01 декабря 2023 19:02

Термин «патч» в контексте обновления ПО пришел с тех времен, когда программы писали на перфокартах «с дырками». Когда вносились изменения в код, просто наклеивали заплатку (англ. patch) из бумаги на нужное отверстие. Так и пошло 😂

Пост Лукацкого

01 декабря 2023 16:01

Польскую Naftor, которая занимается в т.ч. и кибербезом, взломали Blackcat 😺Тут вам и про Zero Trust в широком смысле, и про атаки на подрядчиков, что является в России проблемой 🔤🔤Не устаю напоминать две вещи:
1️⃣ Ломают всех, даже ИБ-компании
2️⃣ На случай взлома вашего ИТ и ИБ-подрядчика надо иметь соответствующий плейбук и действовать в соответствии с ним 🐈

ЗЫ. На второй картинке свежее объявление о продаже доступа в одну европейскую ИБ-компанию.

Пост Лукацкого

01 декабря 2023 12:34

Вторая презентация с #soctech была посвящена нюансам выбора технологического стека для SOC

Пост Лукацкого

01 декабря 2023 08:58

Моя первая презентация с вчерашнего #soctech про мониторинг угроз от|на подрядчиков. Я специально сделал disclaimer во время выступления, что, во-первых, вариантов угроз на цепочку поставок достаточно много (от аппаратных имплантов до несанкционированных действий сотрудников подрядчиков), а во-вторых, по каждой из них можно отдельно говорить не менее 20 минут, а у меня на все было 20 минут. Так что в презентации некоторые мысли о том, на что стоит обратить внимание...

Пост Лукацкого

30 ноября 2023 20:22

Во... тут все без ошибок. И даже Россию упомянули, куда уж без нее 😈

ЗЫ. Вообще, когда говорят, что ИИ еще далеко до человека и вообще все это детский сад, то я смотрю на такие картинки и понимаю, что я бы такое никогда сам не нарисовал. А если бы кого-то просил, то стоило бы мне это не одну тысячу рублей. А тут ты берешь DALL-E или Midjourney и они тебе рисуют все, что нужно. И правки вносят без раздумий и споров. И разговоров "я художник, я так вижу" они тоже себе не позволяют 👎 Может и хорошо, что ИИ еще далеко до человека? 🤨

Пост Лукацкого

30 ноября 2023 16:19

И потом не говорите, что это была недокументированная возможность 😎 Вас же заранее предупредили 🛠

ЗЫ. Спасибо подписчику, что обратил внимание

Пост Лукацкого

30 ноября 2023 09:01

Второй выступление на #SOCtech у меня посвящено мониторингу атак на|от подрядчиков. Аппаратные импланты, SLSA, TLS Fingerprinting с хешами JA3, каталог шаблонов атак на цепочку поставок MITRE, что такое syft и какое отношение он имеет к SBOM и т.п.

Пост Лукацкого

30 ноября 2023 05:40

Сегодня на #SOCtech у меня два выступления. Первое посвящено выбору технологий SOC в зависимости от различных исходных данных. На что обращать внимание при выборе SIEM, как режим работы SOC влияет на необходимость технологий для Threat Hunting и Forensics, когда нужны конвертеры правил для SIEM, что такое тесты Atomic Red Team и многое другое...

Пост Лукацкого

29 ноября 2023 19:12

Провокационное, мягко скажем, название для выступления. Надеюсь там не было дано инструкций для bad guys 👨‍💻 Хорошо, что доступ к записям выступлений закрытый и возможен только для участников или тех, кто готов заплатить 3️⃣2️⃣0️⃣0️⃣0️⃣ рублей (что для юрлиц, что для физлиц, без разницы). А techtalk так и вовсе не выкладывали 🤔

Пост Лукацкого

29 ноября 2023 14:33

Индусы вдруг ищут...

Пост Лукацкого

29 ноября 2023 08:58

В «украденной» в одном непубличном канале блок-схеме действий в случае инцидента не хватает одного варианта отмазки - «там не все данные клиентов, а только малая часть».

Вот и Okta по этому пути пошла. Сначала она заявила об утечке данных всего 1% клиентов. А теперь выясняется, что утекли данные всех 100% заказчиков.

Вы же знаете, что делать, если у вашего подрядчика, особенно в области ИБ, утечка?

Пост Лукацкого

29 ноября 2023 05:40

Что сделает нормальный ИБшник, когда узнает о том, что на компании, использующие такие же, как и у него решения, были совершены кибернападения и они были успешны? Конечно, же начнет сокращать площадь атаки:
1️⃣ прикроет доступные извне порты PCOM-устройств,
2️⃣ поменяет пароли, особенно заданные по умолчанию (у Unitronics нет MFA в решениях),
3️⃣ настроит периметровые средства сетевой безопасности для блокирования доступа к известным портам,
4️⃣ поставит инфраструктуру на дополнительный мониторинг,
5️⃣ обновит все ПО и будет отслеживать его целостность (как на ПЛК и HMI, так и на других компонентах АСУ ТП)
6️⃣ по возможности обеспечит целостность сетевых коммуникаций (хоть наложенными средствами)
7️⃣ запросит у вендора рекомендации по ИБ его оборудования
8️⃣ проведет киберучения для своей команды по реагированию на инциденты.

Но нет, американские ИБшники не такие; они думают, что палестинско-израильский конфликт их не коснется и что океан, разделяющий их и пропалестинских хакеров, является надежным препятствием для кибератак. Но нет...

Пост Лукацкого

28 ноября 2023 19:03

Вот у отдельных индивидуумов 💻 жизнь интересная. Жаловаться на мои заметки в Telegram ✈️ и потом со мной делиться сим достижением.

А я чего? Я ничего. Продолжаю писать о том, что мне интересно. Подстраиваться под чужие ожидания в отношении меня, которым я не соответствую, я не планирую 🖕

Пусть человек хоть так сублимирует свою энергию 🐇 и мелкую моторику развивает в процессе написания жалоб. Так, глядишь, настрополится и можно в кибердружинники или Лигу безопасного Интернета попроситься - там барабанщики такой тонкой душевной организации нужны 🖕

Пост Лукацкого

28 ноября 2023 12:31

Скромненькая, почти двухсотстраничная презентация с анализом использования легитимных коммерческих средств удаленного доступа (AnyDesk, TeamViewer, ConnectWise, FileZilla, WinSCP и т.п.) в деятельности хакеров. Артефакты, индикаторы, примеры...

#soctech

Пост Лукацкого

02 декабря 2023 07:40

Не хотите выходить из дома в эту снежную погоду? Понимаем.

Проведите время дома с пользой и посмотрите лекцию из цикла Дискуссионного клуба Музея криптографии про кибербезопасность. В этой встрече приняли участие спикер от Positive Technologies и эксперт по кибербезопасности Алексей Лукацкий.

Смотрите запись лекции на Youtube-канале Музея криптографии

Пост Лукацкого

01 декабря 2023 18:03

США ввело санкции против северокорейской APT Kimsuky (APT43)

Пост Лукацкого

01 декабря 2023 14:25

не помогли два новых патча
мне залатать дыру внутри
и чтоб закрыть ее решаюсь
на три

Пост Лукацкого

01 декабря 2023 11:03

гисы багбаунти боятся
не из за рейтинга цэтэ
их гложет неопределенность
и энтропия зеродей

Пост Лукацкого

01 декабря 2023 05:40

ℹ️ Прекрасный дисклеймер. Первый раз такое вижу, но прям хорошо 📌 А то так и за несанкционированный доступ к ПДн можно было бы загреметь. Ведь субъекты не давали согласия на предоставление такого доступа журналистам, пусть и вследствие утечки.

ЗЫ. Это в тему взлома национальной лаборатории Айдахо при МинЭнерго США.

Пост Лукацкого

30 ноября 2023 19:12

Совет, обращать внимание на ошибки в тексте, что должно выдать неграмотных фишеров, скоро канет в лету. ИИ не ошибается в написании слов и operator у него никогда не будет opeator’ом 😱, а ransomwar пишется с e на конце ✍️

Пост Лукацкого

30 ноября 2023 12:27

Сначала надавили на страх, потом подсластили пилюлю в виде халявы. Два в одном.

Пост Лукацкого

30 ноября 2023 07:51

🆕 Не успело ГУР украинского МинОбороны взять на себя, публично признав, взлом Росавиации, в гонку публичных заявлений о взломе российских организаций включилась и СБУ, руководители которой недавно были отправлены в отставку по обвинению в коррупции. Украинская спецслужба призналась в том, что вместе с хакерами стояла за взломом российского Минтруда и соцзащиты 🆒

Нечасто можно услышать признание, что одно государство и конкретное ведомство, стоит за нападением. А тут уже третий пример (первым было признание Минцифры год назад, что оно курирует ИТ-армию Украины). Все меняется в нашем кибермире - геополитика, политика, дипломатия 🛡

Пост Лукацкого

30 ноября 2023 02:44

С профессиональным праздником, коллеги! 👍 С международным днем защиты информации! 🥳 Пусть наш труд оценивают по достоинству, а мы не будем бояться брать ответственность за тот результат, к которому мы стремимся! Ура! 👍

Пост Лукацкого

29 ноября 2023 16:12

Свежий проект RULER (Really Useful Logging and Event Repository) про то, какие логи и какие события в них наиболее полезны при расследовании инцидентов. Проект только в самом начале своего развития и пока там данные только по антивирусам (из наших там только Каспер) и средствам удаленного администрирования. Автор приглашает всех участвовать.

ЗЫ. Как пишет автор, проект не про то "что надо регистрировать", а про то, что включено по умолчанию и приносит пользу.

#soctech

Пост Лукацкого

29 ноября 2023 12:31

Коллекция публичных отчетов об инцидентах с индикаторами компрометации, раскрытых самими компаниями-жертвами или с их согласия. Нечасто компании признают факт инцидента ИБ у себя, а уж выложить детальные результаты расследования тем более 😎

#soctech

Пост Лукацкого

29 ноября 2023 05:40

Вся ИБ решений Unitronics на сайте производителя 🤠

Пост Лукацкого

29 ноября 2023 05:40

Сначала сломали американскую Idaho National Lab, занимающуюся ядерной энергетикой. Потом хакнули китайскую China Energy Engineering Corporation и почти в тоже самое время словенскую Holding Slovenske elektrarne (HSE). Электроэнергетике приходится несладко, как и вообще предприятиям, которые раньше считали себя неуязвимыми. "Кто будет ломать АСУ ТП? Это же надо в ней разбираться!", - говорили они. "Да у нас вообще никаких открытых протоколов, только проприетарные, что делает нас более защищенными!" И вот история начинает показывать, кто был прав.

Иранская хакерская группа Cyber Av3ngers взломала систему Муниципального управления водоснабжением города Аликвиппы в штате Пенсильвания. Взлому подверглась система АСУ ТП израильской Unitronics, решения которой используется преимущественно в США, Австралии и Италии, но есть заказчики и в России. Unitronics строила свое решение на базе проприетарного протокола PCOM, который позволяет удаленно управлять промышленными контроллерами (TCP-порт 20256). И как это часто бывает, PCOM не содержит ни механизма шифрования, ни аутентификации, без которых можно не только перехватывать управляющий трафик, но и вмешиваться в него - можно менять конфигурацию устройств и даже прерывать взаимодействие между ПЛК и управляемыми датчиками и исполнительными устройствами.

Доступность многих устройств Unitronics через Интернет и наличие модуля в Metasploit делает компании, использующие решения израильского вендора, легкой мишенью. И ладно, если бы речь шла о какой-нибудь 0-Day. Но нет. В апреле этого года уже было зафиксировано несколько атак в рамках кампании #OpIsrael, направленной против организаций из Земли Обетованной, которые использовали решений Unitronics. После 7-го октября атаки вновь повторились и мы видели немало заявлений про-палестинских группировок о взломе/проникновении в системы промышленной автоматизации Израиля. Были среди них и решения Unitronics.

Пост Лукацкого

28 ноября 2023 15:59

Каково это быть чуваком, которого будут звать «коровьим хакером» или «коровьим пентестером»? 🐄

Но вообще странно. Они пишут, что они первые провели анализ IoT-протокола в сенсорах, висящих на коровах. Но я про это рассказывал (а про что я еще не рассказывал и не писал?) еще в году 2010-м или около того, опираясь на известные уже тогда исследования по взлому датчиков, отслеживающих местоположение и «здоровье» коров 🐄

Угнать стадо коров, подменив геолокацию, это вам не шутки. В Техасе за такое и грохнуть могут 🤠

Пост Лукацкого

28 ноября 2023 08:59

Выложены все видео-записи с прошедшей Moscow Hacking Week:
🔤 Standoff 101 (28 видео)
🔤 Standoff 12 (42 видео)
🔤 Standoff Talks (19 видео)
🔤 Standoff Hacks (standoff365/featured">скоро)