alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

🎭 В Петербурге система оплаты лицом перепутала близнецов. Как пишет «Фонтанка», в конце августа житель города по имени Алексей зашел за покупками в «Пятерочку». Там с недавних пор заработал совместный со «Сбером» сервис «Оплата улыбкой», и Алексею удалось им воспользоваться. Проблема в том, что биометрию через приложение банка он не сдавал, в отличие от его брата-близнеца, который живет в Анапе.

💬 Алексей: «Самое смешное, что это было неосознанно: стал оплачивать покупку и случайно нажал на "Оплату улыбкой", причем я даже не понял сначала, что это за функция. Потом загорелся экран, появилось мое изображение, я удивился, думаю: "Надо улыбнуться, что ли?" И я улыбнулся, после чего появилась надпись "покупка оплачена". Сумма покупки была совсем небольшая, подумал, что это, наверное, какой-то бонус программы "СберСпасибо". Зашел в мобильный банк, а списания нет. И только потом я подумал, а не списались ли средства у моего брата».

📌 "Ъ FM" ожидает комментария от «Сбера». При этом на сайте банка говорится, что близнецы и правда могут столкнуться со сложностями при использовании биометрии. Например, если один из братьев уже сдал образец в систему, у второго, скорее всего, это сделать не получится.

@kfm936

Читать полностью…

Пост Лукацкого

Если бы у нас статья об оскорблении чувств верующих трактовалась не узко в религиозном контексте, то я бы на месте профессиональных криптографов подал в суд на депутатов и сенаторов ⚖️, которые ставят знак равенства между VPN и средствами обхода блокировок, оскорбляя тем сам чувства экспертов.

Говорят, что хуже дурака только дурак с инициативой 🤦‍♂️. На самом деле, гораздо хуже дурак, у которого есть возможность реализации инициативы 😔

ЗЫ. Заодно бы подал в суд на тех, кто считает, что приставка «крипто» связана с криптовалютами, а не криптографией 👩‍⚖️

Читать полностью…

Пост Лукацкого

Open source инструмент для эмуляции хакерских атак Caldera пополнился расширением для тестирования промышленных решений и сетей - https://github.com/mitre/caldera-ot

Читать полностью…

Пост Лукацкого

С очень опасной инициативой вышел МИРЭА на министра цифрового развития. ВУЗ предлагает открыть в России много-много школ киберразведки.

Почему это опасно? Этак людей научат еще больше и лучше обходить блокировки, добывать информацию, которую от них скрывают, проводить анализ разрозненных фактов и сводить их воедино, делая выводы, и вот это вот все. Ведь специалист по киберразведке без навыков критического мышления и аналитических способностей - не специалист. А с ними он опасный субъект для государства. Умных и делающих выводы у нас как-то в последнее время не любят (или любят, но так, что больно становится).

Читать полностью…

Пост Лукацкого

В каталоге известных и активно эксплуатируемых уязвимостей CISA сегодня под тысячу записей. И это прям дофига. И все их выискивать достаточно непросто без наличия простой и понятной процедуры приоритизации. И тут вы, наверное, ждете, что я открою вам истину и расскажу, как правильно проводить такую приоритизацию? Увы, этого не будет. У каждого она своя.

Кто-то не мудрствуя лукаво просто использует CVSS. Но вот, например, выступление представителя суперкомпьютерного центра в американском Питсбурге, который делится собственным опытом выстраивания процесса управления уязвимостями. Он говорит, что для двух ПК с уязвимостями с одинаковым CVSS могут быть кардинально разные последствия и поэтому надо в формулу CVSS добавлять еще данные по сценариям использования или размеру ущерба для бизнеса.

🟥 в июле выпустила исследование "Пять проблем в управлении уязвимостями и как их решить", в котором на 3-м месте находится как раз ошибка приоритизации слабых мест. 24% компаний не учитывают значимость актива. А ведь при приоритизации могут приниматься в расчет и другие параметры. Не случайно на рынке появляются разные системы оценки/рейтинговая дыр - закрытые и публичные, простые и со сложными формулами, обязательные и нет, по популярности на черном рынке. Каждый выбирает для себя. Главное - все-таки ее выбрать и придерживаться 💡

Читать полностью…

Пост Лукацкого

Хотите приобщиться к вселенской мудрости по ИБ? А своевременно узнавать о знаменательных событиях в нашей с вами сфере? А искать и находить российские компании по кибербезу, не обращаясь к моему сайту? В общем, семейный подряд "Лукацкий, сын и Co" запустил "мудрого ИБобота", который поможет со всеми этими вопросами.

Пока всего три функции, но если бот найдет свою аудиторию, то есть планы и по его расширению. Вообще, это был интересный опыт - вместе с сыном творить бота. О том, что он умеет и как его создавали можно почитать в блоге. А потом можете запустить бота, располагаемого по адресу: /channel/secwise_bot

Читать полностью…

Пост Лукацкого

Стены туалетов в офисах компаний 🚽 - недооцененная площадка для проведения мероприятий по повышению осведомленности персонала. В некоторых повернутых на ESG-повестке компаниях такие стены завешаны плакатами об окружающей среде и тем, что писсуары могут быть и вовсе без воды, что экономит целые озера жидкости, которой так не хватает жаждущим народам Африки 🌍

Я тут подумал, что ведь на стены можно и плакаты по ИБ вешать и там что-нибудь про длину пароля вписать, про фишинг и другие тематические советы. А если пойти дальше, то можно и интерактива добавить и наносить на внутреннюю, "рабочую" поверхность писсуара фото сотрудников, нарушающих правила ИБ 🚽 И делать так ежемесячно. Мне кажется, что число нарушителей будет катастрофически снижаться - никто не захочет, чтобы коллеги его помечали 🚽

Читать полностью…

Пост Лукацкого

К разговору о моде и стиле.

Настоящие old money, девочки, это когда ты в июне 2011 года купил на один доллар 100 единиц какой-то электронной хуйни у знакомых программистов и забыл. А в сентябре 2023 эту хуйню нашел на старой флешке, а это оказывается теперь два с половиной миллиона долларов.

Читать полностью…

Пост Лукацкого

Была тут недавно дискуссия на тему, у кого больше... кругозор, у ИБшника или ИТшника. Я, конечно же, отстаивал первую точку зрения, а мой оппонент вторую. Мол, чего с бумажных безопасников взять; кроме требований ФСТЭК и Секретнета они ничего и не знают. Я же с такой постановкой вопроса не согласен и у меня есть три свежих факта, доказывающих это:

🔤 Один из исследователей объявил о найденных серьезных уязвимостях на сайте компании, выпускающей мужские пояса целомудрия (это такая хрень, которую жена, уезжающая в командировку, надевает мужу на 🍌 и контролирует ее дистанционно, через Интернет), что позволяло утечь не только традиционным персональным данным клиентов (e-mail, домашний адрес, пароль в открытом виде, IP), но и GPS-координатам поясов целомудрия. Это, кстати, не первый случай, когда хакеры ломают производителей секс-игрушек. Пару лет назад такой фокус уже был проделан хакерами в отношении другого производителя поясов верности. Но в том случае жертвы получали от взломщика сообщения "Твой член теперь мой". Если честно, то я бы хотел его оставить в своих руках все-таки 🫠

🔤 В канале Sachok я подсмотрел историю о том, что хакеры взломали инфраструктуру и вывели из строя два космических телескопа на Гавайях и в Чили, что привело к их временному отключению, которое длилось несколько недель. На сайте астрономической лаборатории приводится не очень детальная история инцидента, начало которого датировано 1-м августа. Ряд проектов из-за этого было приостановлено. А вдруг мы пропустили приближайщийся к нам астероид? Вот уж недопустимое событие-то нас ждет в этом случае...

🔤Наконец, третий пример касается недавнего размещения на форуме компьютерной игры War Thunder секретных чертежей европейского истребителя Eurofighter Typhoon. А в начале этого года там были выложены чертежи американского истребителя F/A-18 Hornet. В обоих случаях игроки, имеющие доступ к секретным материалам, выкладывают их для того, чтобы включить в симулятор новые модели вооружений и им все равно, что в жаре 🥵 дискуссии они забывают о секретности. А потом к тебе приходят люди в черном, как к Джеку Тейшере, публиковавшем в течении года секретные материалы об операции на Украине в одном из игровых чатов в Дискорде...

А теперь скажите, должен ли ИТ-специалист отслеживать игровые сайты, разбираться в том, как работают пояса верности и космические телескопы, чтобы не только оценивать уязвимости в этих ИТ-, а иногда и ОТ-активах, но и уметь оценивать ущерб от них, а также недопустимость событий, связанных с эксплуатацией уязвимостей и утечкой конфиденциальной информации? А вот ИБшник все это должен знать и уметь, что требует от него более широкого кругозора, чем у специалистов ИТ. Правда, речь о хорошем ИБшнике 👌

ЗЫ. А вообще все профессии важны и нужны. Не будь ИТ, молодежь бы не получила отсрочку от армии до 30 лет 😊 Так что всем peace 🤝

Читать полностью…

Пост Лукацкого

Интересный взгляд на бумажного безопасника 🏮

Читать полностью…

Пост Лукацкого

Я в свое время публиковал в онлайне, на портале bankir.ru, книжку "Мифы информационной безопасности". Портал уже умер, книгу не найти, концов тоже. Я тут хотел второе издание замутить - за эти годы много новых мифов появилось. Но так и не смог найти того, кто бы мог мне ответить насчет авторских прав. Преемник портала bankir.ru меня просто проигнорировал и не ответил на мое письмо 😔

Вот и у иностранцев нашел книжку схожую, прикольную - про подноготную рынка ИБ. Автор "срывает покровы" и рассказывает о том, почему большинство антивирусов - это полная фигня, почему многие не запускают IPS, про культ Шнайера, про торговлю страхом, про торговлю плацебо (в книге используется термин "змеиное масло") в ИБ, про реальную безопасность Apple, про то, пишут ли антивирусные вендоры вирусы, про миф MitM, про снижение ИБ с помощью VPN, про критическую инфраструктуру и т.п. Занятное чтение...

ЗЫ. Я не помню, писал я уже или нет, но как-то я выступал на РусКрипто с презентацией про мифы ИБ (еще до публикации книги). После публикации презентации с этими мифами два гендиректора российских ИБ-компаний написали даже гневное письмо моему вице-президенту с требованием разобраться со мной, так как я подрываю основы и доверие к ИБ-компаниям своими выступлениями. А я всего лишь говорил, что задача ИБ-компании - зарабатывать деньги 😃

Читать полностью…

Пост Лукацкого

Комикс по ИБ, созданный специалистом по ИБ 🇺🇸 на краудфандинговые деньги. В сентябре должны выпустить 💻

Читать полностью…

Пост Лукацкого

Минэнерго пообещало 9 миллионов небольшим энергетическим компаниям, которые подадутся в конкурс на обеспечение ИБ 🏆

Конкурс раздел на три этапа - на первом надо будет представить в МинЭнерго описание имеющихся у участника ресурсов по ИБ и новых потребностей. На второй и третьей фазах конкурса надо будет реализовать обещанное. Одно но - сумма указана в долларах и платит его американское МинЭнерго ☄️

Читать полностью…

Пост Лукацкого

Когда ты решил посканить промышленную сетку в поисках уязвимостей и случайно включил проверку на подверженность DoS-атакам 🫢

Читать полностью…

Пост Лукацкого

Не люблю такие СМСки - хрен знает, от кого они прилетают. Вот прилетела тут вчера. Якобы я являюсь участником электронного голосования и могу рассчитывать на призовые баллы. Офигенно, наверное. Только вот я не регистрировался ни на каком электронном голосовании в этом году. И тогда как понимать эту смску? Фишинг 🎣 (там ниже еще и ссылка на сайт есть)? Кто-то за меня зарегистрировался в электронном голосовании? Или просто чей-то косяк?...

ЗЫ. Впору вспомнить последнее предложение моей недавней статьи про безопасность ДЭГ по результатам модерации соответствующего мероприятия: "Да, всегда остаются вопросы доверия к тем, кто все это реализует и какие цели преследуются организаторами голосования. Но тут уж ничего не поделаешь — технологии вряд ли могут решить эти вопросы".

Читать полностью…

Пост Лукацкого

Эта история заставляет задуматься о том, как система защищена от дипфейков?

Читать полностью…

Пост Лукацкого

Так часто бывает, тратится куча денег на навороченные решения по ИБ, а людей, которые могли бы их эффективно использовать, нет или нет денег на их обучение. И самое неприятное в этой истории, что все шишки летят в средство защиты, а не в менеджера ИБ, который не учел этот нюанс. Мол средство защиты настолько сложное, что пользоваться им невозможно. Хотя и такое тоже бывает, что уж скрывать.

Читать полностью…

Пост Лукацкого

FraudGPT, DarkGPT, WormGPT, Evil-GPT и другие джепеты в руках злоумышленников. Сначала это были просто плагины и скрипты для джейлбрейка ChatGPT, а позже появились и собственные языковые модели, обученные на датасетах, составленных по хакерским форумам. Что дальше? Не за горами переобученные на даркнете модели YaML, ruGPT и mGPT? Who knows?..

Читать полностью…

Пост Лукацкого

Пока ЦБ 🏦 запускает цифровой рубль, игнорирует предложения отрасли по внесению изменений в ГОСТ 57580.1 и подносит все новые и новые пачки бумаг к своему принтеру, NIST выпустил неплохой бюллетень NIST IR 8408, рассказываются, что такое стейблкойны и какие нюансы ИБ необходимо учитывать при работе с ними.

Если вам нужен быстрое включение в тему блокчейна, криптовалют, смарт-контрактов, криптовалютных токенов, централизованных и децентрализованных финансов CeFi и DeFi, инфраструктуры стейблкойна ⛓, то NIST IR 8408 является очень неплохим введением в проблематике. Там же написано и про вопросы ИБ, стабильности и доверия при работе с стейблкойнами. Очень неплохой документ. Нашим бы такое, но увы 🤷

ЗЫ. А ISO тоже не стоит на месте. Одобрен стандарт ISO/TS 23526 "Security aspects for digital currencies", а по ISO/IEC PWI 13133 NP "Security reference model for digital currency hardware wallet" открыто голосование.

Читать полностью…

Пост Лукацкого

💦 Как и зачем фабрикуют утечки?

Страшный сон любого CISO — увидеть название своей компании на сайте утечек какого-нибудь Lockbit или просто в объявлении «продам базы» на даркнет-форумах. Впрочем, такая ситуация — не повод паниковать. Утечка может оказаться фейком.

В статье на Dark Reading Юлия Новикова, руководитель отдела мониторинга цифровых угроз, приводит две основные причины изготовления фейков: молодые группировки ищут славы и бесплатного пиара, а также одни злоумышленники пытаются обмануть других, продав устаревшую или бесплатно доступную информацию.

Три основных способа изготовления фальшивок:
🟣скрейпинг, то есть сбор открытой информации из веба. К этой категории относятся многие «утечки баз из соцсетей»;
🟣манипуляции с устаревшими базами. Реальные, но произошедшие много лет назад утечки регулярно всплывают под видом новых;
🟣объединение баз. Комбинируя открытые данные и старые утечки можно слепить нечто, похожее на новую утечку, хотя фактически новой информации в ней нет.

Как отличить фальшивую утечку от настоящей? Подробные советы приведены в статье, но две основные рекомендации — не общаться с преступниками и до принятия любых решений тщательно проверить доступные данные, чтобы оценить правдивость утечки.
В целом работа с утечками и мониторинг даркнета являются достаточно специфической работой, сильно отличающейся от повседневных задач ИБ-команды, поэтому их очень эффективно отдать на аутсорсинг узким специалистам.

#советы @П2Т

Читать полностью…

Пост Лукацкого

У хакеров не бывает выходных и они работают в режиме 24/7. Если ваша служба ИБ работает в режиме 8/5, то кто вас защищает в остальные 🔤🔤🔤 часов в неделю?

Чтобы было еще понятнее - 5️⃣ полных суток в неделю вы никак не защищены!

Читать полностью…

Пост Лукацкого

Вы же помните, что я веду список 📋 отечественных вендоров по ИБ (именно разработчиков, чисто сервисных компаний там нет). Так вот я обновил его на днях, добавив с десяток+ новых имен, и поправив информацию по некоторым компаниям 🏢

Были добавлены компании, которые выпускают решения в сегментах PAM, SIEM, SDLC, киберполигоны, compliance, антибот, антиDDoS, WAF, SGRC, Kubernetes, ЭП, MDM, Deception, антифрод и др. 🛒

Читать полностью…

Пост Лукацкого

Известный в узких кругах писатель, сценарист, блогер и предприниматель Сергей Минаев поделился новостью о том, что он нашел флешку 2011-го года со 100 биткойнами, нынешняя цена которых составляет свыше 2 с половиной миллионов долларов! И если исключить из поста классовую ненависть к богатым и злорадство по поводу такой потери, то проблема в нем поднята действительно актуальная, по крайней мере, я регулярно сталкиваюсь с тем, что я не помню свои старые пароли. И вот как ими управлять на горизонте не то что нескольких лет, а десятилетий? Фиг знает. Кто решит эту проблему, тот озолотится, как мне кажется.

Читать полностью…

Пост Лукацкого

Как говорится, найди разницу. На одном фото мошенническая реклама в Фейсбуке в 2019-м году, на другом - вчерашняя в VK. 4 года разницы, а мошенники не меняются; только канал доставки своих сообщений меняют

ЗЫ. А Андреева все не стареет 😊

Читать полностью…

Пост Лукацкого

С одной стороны ИБ и ИТ работают в связке и стремятся к одной цели 🤝. ИТ стремятся, чтобы было все хорошо. ИБ хочет, чтобы не было плохо. Казалось бы одно и тоже, но дьявол 😈 кроется в деталях. И этому мало где учат, как и тому, как дружить двум сторонам одной медали подразделениям. Мне кажется, про это надо говорить и этому надо учить молодежь, которая приходит в профессию. И учить не только и не столько в формате скучных ВУЗовских лекций или даже конференций пиджаков.

Поэтому PHD, организованный Позитивом, - это фестиваль ИБ, на котором говорят и про ИТ. А еще у нас появился ИТ-пикник, который в эту субботу организовывал Тинькофф. И там говорили про ИТ, в том числе и с точки зрения ИБ. Секция с Димой Гадарем (Тинькофф), Сергеем Головановым (Касперский) и Денисом Кораблевым (Позитив) собрала аншлаг - я даже не мог пробраться в шатер 🎪, чтобы в тепле и без дождя послушать коллег о наболевшем.

Хорошее начинание, которое поможет молодежи и узнать о ведущих ИТ/ИБ-компаниях страны, стремящихся развивать рынок, и попробовать устроиться к ним на работу, и просто отдохнуть на природе и даже послушать прикольные музыкальные группы. Все в одном. Почти как PHD, только с ИТ-точки зрения 😊 Тинькофф-банк - молодец! 🤝

Читать полностью…

Пост Лукацкого

Мда... Такого американцы не ожидали. В своей обновленной стратегии кибербезопаности, о которой я уже писал в блоге, они пишут про международную борьбу с ransomware, про преследование киберпреступников и вот это вот все. А один из тех, кого США и их партнеры должны ловить, проводить опрос в Твиттере, организует аукцион в Интернете и планирует победителю отправить мерч со своим портретом с сайта ФБР. Ну совсем обнаглели вымогатели и ничего не боятся 😈 Еще и имя в Твиттере себе выбрали известное.

ЗЫ. Интересно, почему учетку не блочат или ФБР не обращалась за этим к Илону Маску, просто следя за киберпреступником?

Читать полностью…

Пост Лукацкого

ИТ-Армия Украины подвела итоги своей деятельности (направленной против России) за прошедший год. Меня в их анонсе зацепила фраза, то результатом их активности стали финансовые потери 💰 400 российских компаний на сотни миллионов и даже миллиарды долларов. Как они считали эти потери? Я бы посмотрел на методику из чисто исследовательского интереса. Сами жертвы-то не всегда способны оценить масштаб своих потерь 🤑 А тут хакеры оценивают за своих жертв сколько последние потеряли...

Ну или голимый PR...

Читать полностью…

Пост Лукацкого

Группировка Turla, известная также как Venomous Bear, WhiteBear, Snake, Uroburos, Group 88, Waterbug, Krypton, Makersmark, Iron Hunter, UNC4210, ATK13 и Pacifier APT признана самой опасной мировой киберугрозой 🥇

Правда, кем признана и когда, непонятно. А национальность автора статьи предполагает некоторую предвзятость, но в любом случае это успех. Если бы я был участником Turla, я бы это заявление распечатпл, в рамочку и повесил на стену, над рабочим местом. И гордился бы втихаря; а то и прибавки бы к жалованью попросил. Самый опасный чувак в виртуальном мире, шутка ли 🥷

Читать полностью…

Пост Лукацкого

Август - тяжелый месяц у разработчиков шпионского ПО 🕵️‍♂️. Бразильский 🇧🇷 вендор ПО для слежки WebDetetive был взломан и все данные по 77000 контролируемых/взломанных мобильных устройств на базе Android были стерты с серверов компании. В начале месяца другой производитель шпионского ПО, польская 🇵🇱 LetMeSpy после своего взлома и удаления всех данных прекратила свое существование (число банкротств компаний в результате инцидента ИБ уже превышает несколько десятков). Аналогичная судьба парой лет ранее постигла и другого производителя шпионского ПО - компанию Support King, выпускавшую ПО SpyTrac.

Ну а WebDetetive тоже не первый производитель шпионского ПО, который был взломан. Они просто пополнили список, который уже включал в себя TheTruthSpy, Xnspy, KidsGuard, mSpy (взломана была дважды), Xnore, Family Orbit, Spy Master Pro, Mobistealth, FlexiSpy. И это все только за последние 5-6 лет 🫠

Читать полностью…

Пост Лукацкого

🤭 О чем будут говорить наши эксперты на IT-пикнике? Отмечайте интересные пункты и не опаздывайте.

Начнем с общей программы. В 17:00 Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies, примет участие в дискуссии «ИБ против IT».

С 12:30 до 18:00 заглядывайте в наш научпоп-лекторий.

12:30–13:00 «Как создавать продукты, делающие компании неуязвимыми к кибератакам»
Михаил Козлов, руководитель продукта MaxPatrol VM

13:00–13:30 «Зачем айтишнику личный бренд»
Александр Цыпкин, известный писатель, драматург, публицист, эксперт по стратегическим коммуникациям

13:30–14:00 «Как поймать хакера с помощью искусственного интеллекта»
Александра Мурзина, руководитель отдела перспективных технологий

14:00–14:30 «Как устроен мир вокруг нас: реверс-инжиниринг embedded-устройств»
Алексей Усанов, руководитель направления исследований безопасности аппаратных решений

14:30–15:00 «Кибербезопасные инвестиции: позитивная история роста»
Юрий Мариничев, директор по связям с инвесторами

15:00–15:30 «Преступления в open source: расследуем трояны в Python Package Index»
Станислав Раковский, старший специалист отдела исследования угроз ИБ

15:30–16:00 «Как потерять годовой бюджет компании из-за одной ошибки в коде»
Антон Володченко, руководитель продукта PT Application Inspector
Светлана Газизова, руководитель направления аудита безопасной разработки, Swordfish Security

16:00–16:30 «Пароль: N4G0R5HK3S!D1TK0R0L. Что хакерам известно о паролях»
Николай Анисеня, руководитель отдела перспективных технологий

16:30–17:00 «Как заработать на ипотеку, или Вкатываемся в bug bounty»
Анатолий Иванов, руководитель платформы Standoff 365 Bug Bounty

17:00–17:30 «Нейросети в атаке и на защите Web3»
Андрей Безрядин, эксперт в сфере IT и блокчейн, территориальный представитель стриминга Emanate

17:30–18:00 «Как мы создавали фиджитал-мерч для айтишников»
Арсен Валиев, основатель фиджитал-бренда 6OG (создатель крутого мерча для PHDays 12)

@Positive_Technologies

Читать полностью…
Подписаться на канал