А мы выпустили уже четвертый Positive Research 📖 На этот раз выпуск содержит статьи по мотивам лучших докладов киберфестиваля PHD2 🟥
Читать полностью…Я когда был в Бразилии 🇧🇷, не увидел много-много диких обезьян, чтобы там не говорилось в советской классике. Зато увидел живых капибар, бродящих в городских парках, о которых донна Роза д'Альвадорец в исполнении Александра Колягина из "Здравствуйте, я ваша тетя" не упоминала 🦍 А еще бразильская армия недавно провела крупнейшие киберучения в Южном полушарии 🌍 под названием "Ciber Guardian 2024" (видео прошлогоднее, поэтому меня вы на нем не ищите). Это, уже 6-е по счету событие, объединило специалистов по кибербезопасности из разных стран, включая как военные, так и гражданские структуры (и не спрашивайте меня, откуда я это знаю 🤠).
Как это часто бывает на мероприятиях такого уровня и при таком организаторе, основной целью стало совершенствование навыков защиты критической инфраструктуры и укрепление межведомственного взаимодействия в случае кибератак 🤝 При этом моделировались реальные атаки на системы управления и связи в разных сферах - от транспорта и финансов ↔️ до водоснабжения и атомной энергетики. Были сценарии даже для сферы биозащиты, что на фоне разговоров об утечках опасных вирусов 🦠 из лабораторий по всему миру (то в Африке, то в Китае, то в США), было достаточно актуально.
А еще, учитывая непростые взаимоотношения 📇 стран Латинской Америки со своим североамериканским соседом, пытающимся играть роль старшего брата, была поднята тема защиты государственных учреждений и критически важных объектов от кибершпионажа 🇺🇸 и атак на национальные информационные системы. Все же помнят киберинцидент в Венесуэле 🇻🇪 и кого Мадуро обвинял в его реализации? 🫵
В Ирландии придумали, как обокрасть невнимательных граждан на €1000. Мошенники начали наклеивать фейковые QR-коды на парковочные автоматы, и, переходя по такому, жертва схемы платит непонятно кому. @bankrollo
Читать полностью…✋Китайские ученые "взломали шифр" 🎖 военного уровня c помощью квантового компьютера или нет?
SCMP пишут сенсационное: китайские ученые из Шанхайского университета успешно осуществили первую в мире атаку на широко используемые методы шифрования с использованием квантового компьютера. Исследование было проведено под руководством 🇨🇳Ван Чао из Шанхайского университета c помощью 🖥 D-Wave Advantage, произведённого канадской компанией D-Wave Systems.
Это первый случай, когда квантовый компьютер представляет реальную и существенную угрозу для нескольких полномасштабных структурированных алгоритмов SPN, используемых сегодня.
Using the D-Wave Advantage, they successfully attacked the Present, Gift-64 and Rectangle algorithms.
А вот еще один вариант приоритизации инцидентов. В целом схема не нова и вполне понятна - 4 уровня критичности 📉 (максимальный - уже скорее недопустимое событие). Мне понравилось, что они не только выделяют 5 видов возможного ущерба и где-то его оценивают количественно, но чаще нет ⚖️, но и то, что они выделяют еще и технические атрибуты, которые также позволяют классифицировать инциденты по уровню опасности! 🪣
Читать полностью…Применение искусственного интеллекта в цепочках поставок программного обеспечения 👨💻 для целей оборонной промышленности США имеет огромный потенциал для повышения уровня кибербезопасности 🇺🇸 ИИ может улучшить соблюдение стандартов NIST, повысить уверенность пользователей в программных модулях и библиотеках, взятых из внешних репозиториев, и ускорить процесс управления ИБ в цепочке поставок.
ИИ способен 🤖 автоматизировать обработку угроз, предлагать оптимальную частоту для повторного сканирования, анализировать уязвимости и оценивать риски компрометации в цепочках поставок 🧑💻 Для аналитиков кибербезопасности Министерства обороны США ИИ может помочь лучше контролировать соответствие ПО требованиям NIST и самого министерства, а также поддерживать в актуальном состоянии данные о выявленных уязвимостях. Это не только снижает зависимость от ручных процессов, но и делает оценку уязвимостей более точной и своевременной 👨💻
В очередном отчете CSIAC дается обзор текущих исследований в этой сфере 👀
12 октября группировка C.A.S взяла ответственность за атаку и полное уничтожение инфраструктуры телерадиокомпании ГТРК ЛНР, которая подтвердила факт атаки, но не поделилась деталями и не привела оценок ущерба 📺 Вроде рядовое событие последнего времени - кто-то взломал кого-то и громогласно сообщил об этом. Но я бы подсветил в этой истории немного иные аспекты 🤔
1️⃣Во-первых, атаки против российских организаций становятся все более и более деструктивными. В начале года мы предсказывали это и сейчас уже можно констатировать, что это стало тенденцией. Сначала у вас вытягивают все данные, а потом уничтожают все, до чего могут дотянуться. Так как у многих инфраструктура построена на виртуализации, то получив доступ к центру управления можно разом потереть все; особенно если нет резервных копий 📀
2️⃣Во-вторых, чтобы утащить данные и потом удалить инфраструктуру, нужно время. А это значит, что хакеры сидят в скомпрометированных инфраструктурах не день, не два и даже не неделю. Иногда это месяцы прежде чем они наносят свой удар 👊 Но их никто не замечает, так как не внедряет средства мониторинга сетевого трафика (NTA), которые бы позволяли видеть признаки компрометации сети.
3️⃣В-третьих, вспоминается история, когда в одной из региональных телекомпаний мы проводили стратсессию с руководством с целью определения недопустимых для топов событий. Жаркие споры, а на выходе... ничего 🤷♀️ Не было ничего столь серьезного на радаре у генерального и его замов, чтобы они осознали важность ИБ. Мы хотели уже сворачивать дискуссию, когда на огонек заглянул главный за медиа-архив, который, услышав, что ничего важного в компании для ИБ нет, задал сакраментальный вопрос - а что будет делать телекомпания, если кто-то похерит весь архив вещания за годы существования компании? 🤔 И вопрос этот привел всех в ступор, так как и правда, без видео нельзя вещать на аудиторию, нельзя делать повторы, нельзя делать нарезки из прошлых передач, нельзя продавать контент другим компаниям... Много чего нельзя 🤔
Так что удаление всего медиа-архив в ГТРК ЛНР - это может стать серьезной проблемой и недопустимым событием (если архив не хранился согласно правилу 3-2-1).
Вот тут пишут, что якобы взломали очередного российского разработчика. Не знаю, не проверял. Но и отрицать, что такое невозможно, не буду. Практика показывает, что это происходит сплошь и рядом, о чем утверждает и НКЦКИ, который, возможно, расскажет о схожих история сегодня на SOCtech.
Читать полностью…На прошедшем Positive Security Day мы анонсировали новый продукт - автопентестер PT Dephaze 🤕 Но пост будет не об этом, а о том, что я стал голосом 🗣 в голосовом помощнике у этого решения, который объясняет, как действует автопентестер и что он нашел в процессе контролируемого тестирования защищенности инфраструктуры компании.
Лицом в одном из решений по ИБ я уже был, теперь вот голосом стал 😅 Я уже писал про использование голосовых помощников в SOC, но за прошедшее время произошел достаточно серьезный скачок, что расширяет их спектр применения 👍
ЗЫ. На видео Ярослав спрашивает меня в зале, чтобы я подтвердил, что это не заранее записанный голос. Подтверждаю!
Ближайшую неделю я тут, в Дубае 🕌, на крупнейшей в регионе выставке достижений ИТ-хозяйства, где ИБ занимает своих три зала из трех десятков (классическое соотношение 1:10). Буду, наверное, немного спамить зарисовками из мира забугорного ИБ. Вам все равно, а мне записная книжка ✍️
Заодно язык прокачивать буду 😱 - все-таки 4 выступления, парочка интервью и ИБ-квиз, впервые за пределами России 🕹
Вот что значит важность визуализации и говорить о безопасности на языке целевой аудитории 😛 Сразу становится понятно, что такое "вода достигла высоты в 9 футов" (это под три метра). Фраза "practically unsurvivable" ("на практике выжить нельзя") тоже цепляет и говорит о недопустимости промедления в части эвакуации или принятия иных защитных мер💀
Представляю, как бы изменилась ситуация с ИБ к лучшему, если бы про кибербез «говорили» также. Пока я движение в этом направлении видел только в Кибердоме 🛍 И хотя технологии сегодня явно удешевляют процесс создания такого рода видео и анимации, пока это все еще штучные произведения, а жаль...
Компания National Public Data (NPD), которая предоставляет услуги проверки данных, столкнулась с серьезным инцидентом кибербезопасности, в результате которого утекли персональные данные сотен миллионов американцев, о чем многие писали совсем недавно 💥 Взломщики выложили на BreachForums базу данных, включающую номера социального страхования, полные имена, адреса и телефоны 🛍 В общей сложности утекли данные 272 миллионов уникальных номеров соцстрахования и 600 миллионов телефонных номеров. Но не это главное!
Вследствие утечки пострадавшие подали коллективный иск против компании, обвинив ее в небрежности и неправомерном обогащении 🤔 NPD не смогла справиться с последствиями и подала заявление о банкротстве, чтобы защититься от многочисленных исков и штрафов, которые требуют прокуроры из более чем 20 штатов США 🤑 Федеральная торговая комиссия также начала расследование.
У нас пока зрелость субъектов в защите своих прав находится на нижайшем уровне. Суды 👩🏼⚖️ тоже не горят желанием разбираться в этом. Да и уполномоченный орган по защите прав субъектов тоже не сильно усердствует в этой самой защите, фокусируясь на борьбе с инакомыслием и VPNами 🏝
Но этот инцидент или по сути недопустимое событие показывает, насколько критически важно обеспечивать защиту данных, особенно в таких чувствительных областях, как обработка номеров социального страхования 📝 Да, пока в США. В Европе бы за такое компания получила бы под сотню-две миллионов долларов штрафа, что тоже немало. У нас же, пока не ввели оборотные штрафы и непонятна правоприменительная практика, ситуация совсем иная, у нас всем насрать это допустимо 🔠 А вот NPD оказалась неспособной справиться с финансовыми последствиями и ответственностью перед сотнями миллионов людей и, возможно, прекратит свое существование 😵
Евросоюз 🇪🇺 создал новую правовую основу для введения ограничительных мер против лиц и организаций, ответственных за дестабилизирующие действия против ЕС и его государств-членов ⛔️ Это решение направлено на усиление противодействия России и включает санкции против тех, кто участвует в кибератаках, дезинформации и иных формах подрыва стабильности. В пакет санкций могут входить заморозка активов 🥶, запрет на поездки, а также ограничения на бизнес и экономические отношения с ЕС 💶
То есть никаких конкретных имен или компаний в новых требованиях нет 👌 - это просто констатация, основной целью которой является защита суверенитета и безопасности ЕС, а также усиление давления на тех, кто способствует агрессивным действиям в отношении европейских стран 🫵
Учитывая, как широко трактуется термин "вредоносная киберактивность" 🖥 в Европе и США, то это может грозить различным российским компаниям и специалистам по ИБ... в перспективе, конечно.
Ника вчера была в ударе - написала не только про PR-реакцию утечку данных у Бургер Кинг 🍔 и возможную реакцию компании на это (а закусочная славится своим креативом), но и про то, как не очень верно себя ведет Dr.Web после публикации хакерами "доказательств" компрометации инфраструктуры 🔓 и как очередное сообщение от компании заставляет задавать еще больше вопросов, чем дает ответы на ранее заданные.
Я же вспомнил про июльский взлом Аванпост 🅰️ Деталей от ИБ-компании нет до сих пор. Хотя прошло уже 2,5 месяца. Молчание может иметь под собой несколько причин:
1️⃣ Расследование до сих пор идет, а значит дело совсем серьезно.
2️⃣ Расследование прошло, но компания решила спустить все на тормозах, считая, что все само собой забудется 🤐 Увы, не забудется. Я позавчера общался с одним банком, пользующимся Dr.Web (по требованиям ЦБ антивирусов должно быть два) и планировавшим приобретать отечественный PAM. Так вот после обоих кейса было принято решение отказаться от обоих решений ⛔️
Мне кажется у нас компании, особенно из области ИБ, недооценивают важность антикризисного PR и думают, что "и так сойдет", "все скоро забудут" или "все равно альтернатив у них нет". Но это в любом случае плохая стратегия, которая еще аукнется... Не надо так делать ❌
Строить изначально архитектурно надежный и безопасный дом 🏠 в районе, где раньше разрушительные ураганы были в редкость? 🌪 Нецелесообразно. Страховать дом? Во время урагана уже нереально, а до этого дорого и многие считают, что "обойдется". В итоге, когда приходит 😱, начинают применять вот такие подручные средства в надежде, что они защитят дом от урагана 5-й, максимальной (а кто-то говорит, что и 6-й) категории ⛏
Также и в ИБ. Сначала ты думаешь, что тебя никто не будет атаковать, а с хакерами ты встречаешься только на PHD, Hacking Week или при просмотре голливудских боевиков 🤕 Когда атаки стороной тебя уже не обходят, а с безопасностью у тебя по-прежнему швах, то и страховые отказываются с тобой работать либо выставляют такой ценник, что лучше не надо. И тогда ты начинаешь строить защиту из подручных инструментов купленных в соседнем Home Depot 🛡
Но в отличие от мира физического, кибербез можно начинать строить на любой стадии развития ИТ-инфраструктуры. Да, это иногда обойдется дороже, чем сразу закладывать нужные элементы в архитектуру. Но все же... Лучше не ждать, когда накроет и останется только один вариант 🥺😦
Меня тут спросили, зачем я делаю каждый раз новую презентацию 📈, когда можно взять старую и прочитать ее еще раз, и потом еще раз, и потом еще и еще; ведь все равно аудитории разные. А вот именно потому что они разные и надо делать каждый раз новую презентацию, пусть и на ту же тему 💡
Например, я в Сан-Паулу 🇧🇷 тоже выступал на тему анализа защищенности, но быть в стране, где футбол возведен в культ и не использовать это в качестве аналогии - было бы странно ⚽️ Но эта же аналогия , например, не очень зайдет в ОАЭ 🇦🇪 (а вот в Саудовской Аравии могла бы и зайти) и поэтому я переделывал свою презу под местную специфику 🕌 И вот так каждый раз. Аудиторию, перед которой выступаешь, надо уважать 😘
У меня только один вопрос - зачем она наклеила фишинговый QR обратно на табличку вместо того, чтобы выкинуть его? 🤔
Читать полностью…ونوه أليكسي لوكاتسكي، المدير الإداري مستشار قسم أعمال الأمن السيبراني لدى شركة بوزيتف تكنولوجيز إلى نمو سوق الأمن السيبراني في الإمارات والذي يشهد تطورًا ملحوظًا خلال السنوات الماضية نتيجة الطلب المتزايد على حماية البنية التحتية الحيوية، مشدداً على أن للذكاء الاصطناعي دورا محوريا في تعزيز قدرات الأمن السيبراني عام 2024.
Ну а я сегодня жгу на GITEX. Коротенько, минут на 20, про разные варианты оценки защищенности и что из этого применимо на уровне CEO и как это правильно сделать? 🙌
Читать полностью…"Алексей, а какого результата достиг ты в Дубае, продвигая историю с результативным кибербезом?", - спросите меня вы. А я отвечу. Вот оно публичное признание нас как вендора года в области результативного кибербеза! 🎖
"Хорошо, Алексей. А почему ты единственный стоишь под наклоном? Ты колеблешься вместе с линией партии (вспоминая мем времен СССР)?", - опять спросите вы 🇷🇺 А у меня снова найдется ответ. Это не потому, что так проявляется усталость после 12 часов на ногах. И не потому, что во мне уже 4 бокала красного вина (а красный - цвет нашей компании) 🍷 А потому, что я даю тем самым сигнал всем, что результативный кибербез сдвигается влево, тот самый пресловутый shift left, в сторону безопасной разработки, которая стала одним из трех ключевых направлений, которые 🟥 двигала на стенде на GITEX!
Cisco начала расследование после появления сообщений о продаже украденных данных на хакерском форуме 👨💻 Утверждается, что данные были украдены известным хакером под ником IntelBroker, который заявил, что вместе с другими хакерами EnergyWeaponUser и zjj взломал систему Cisco 10 июня 2024 года ⛏ Среди украденных данных — исходный код решений Cisco, GitHub и GitLab проекты, тикеты Jira и токены API, корзины AWS и Azure, конфиденциальные документы клиентов, сертификаты SSL и ключи шифрования 🏷 Хотя Cisco пока не подтвердила сам взлом, она активно расследует это событие, чтобы оценить возможные последствия как для своей инфраструктуры, так и для безопасности своих клиентов 👀
В июне IntelBroker уже публиковал украденные им данные Apple, AMD, T-Mobile. Тогда, источник, близкий к атаке, сообщал, что это произошло за счет взлома внешнего провайдера услуг DevOps и разработки ПО (опять цепочка поставок) 🧑💻 Что является причиной нынешней утечки, если она подтвердится, пока не сообщается 🤔
Вот что значит доброжелательные админы ☺️ Если вам лень самим менять пароли, они это сделают за вас 🤘
Читать полностью…В дата-центре "Ярославская" в Москве произошел серьезный инцидент, начавшийся 5 октября и продолжавшийся до 9 октября 2024 года (четверо суток) 📷 Проблема возникла из-за сбоя связи между коммутатором и ядром сети, что вызвало недоступность ряда хостов клиентов ✈️ Первоначальные попытки устранить сбой через перезагрузку и замену компонентов коммутатора не дали результата 😔
Позже, когда все возможные технические причины были исключены, выяснилось, что все произошло из-за кибератаки 🤕, направленной на неназванный федеральный телеканал, но мы-то помним, что это за телекомпания по другим новостям. Атакующие использовали недокументированные уязвимости 😵 в ПО процессора коммутатора, что привело к сбою оборудования. В результате невозможности изоляции коммутатора от направленных на него атак и невозможности устранить уязвимость было принято решение о полной замене оборудования на другой тип и производителя 🗑
Что интересного можно отметить в этом кейсе, отчетом по которому со мной любезно поделился подписчик, за что ему спасибо?
1️⃣ Налицо разность менталитета ИТшника и ИБшника. 2-3 дня думать, что у тебя чисто техническая проблема и не принять во внимание возможность инцидента?.. Интересно, а у этого хостера вообще был ИБшник? Отчет явно писал не ИБшник (да, техдиректор), так как он вряд ли бы использовал термин "недокументированные уязвимости" ✍️
2️⃣ Надо отдать должное хостеру - он поделился отчетом (у меня он есть) о проблеме с описанием происходящего, не стал ничего скрывать 👍
3️⃣ 4 дня простоя - это прям много. А если бы на этом хостинге был бы Интернет-магазин сувениров про президента страны, у которого в эти дни было день рождения? Магазин бы недосчитался огромной выручки... Я бы посмотрел на оценку ущерба 🤑
4️⃣ Zero Day уязвимость в коммутаторе ядра - это не такая уж и частая проблема, но как мы видим, и не невозможная. И если нельзя сегментировать сеть и ограничить доступ к коммутатору извне (интересно было бы описание или хотя бы идентификатор уязвимости увидеть), то получается, что замена оборудования на другого вендора оказалось единственным вариантом, что заставляет задуматься? У вас, кстати, есть оборудование под замену на такой случай? 🤔
5️⃣ Когда вы размещаете часть своей инфраструктуры в облаках или у хостера, надо быть готовым к тому, что вы можете пострадать по касательной - атаковать будут не вас, но вас заденут. У вас это есть в модели угроз? 🤔
На прошлой неделе, на одном мероприятии (какое, вы и сами знаете) представитель НКЦКИ 👮 заявил, что организация приняла решение придавать гласности все кейсы, в которых атака шла через подрядчиков (а таких кейсов уже под сотню за последнее время). Все это делается, чтобы страна знала своих героев, а заказчики были более разборчивы в выборе партнеров 🤝
Но дальше еще интереснее - на завтрашнем SOCtech НКЦКИ 👮♀️ сделает доклад, в котором раскроет детали одного сложного инцидента, связанного с ведением APT-группировкой кибершпионажа в сети организации 🎩 Представитель Национального координационного центра по компьютерным инцидентам рассмотрит факторы, способствующие возникновению и развитию компьютерного инцидента, а также неоднозначную атрибуцию хакерской группировки 🇷🇺 На моей памяти, это чуть ли не первый случай, когда представители НКЦКИ не просто участвуют в дискуссии или рассказывают статистику по инцидентам, а прям раскрывают детали расследования. Такую открытость можно только приветствовать 🥳
А еще на SOCtech будет выступать УБК МВД России 🇷🇺, которые на днях отметили 2 года с момента своего создания. Но будут они не праздновать, а рассказывать, что нужно сделать после взлома, как и какие следы сохранить, чтобы помочь или хотя бы не навредить правоохранительным органам в поиске преступников 🥷. Что нужно сделать до взлома, о чем подумать и на что обратить внимание. И это тоже первый раз, когда представители другого правоохранительного органа будет рассказывать не про мошенничество, а именно про компьютерные инциденты 😷
SOCtech в этом году прям в ударе. Кто хочет успеть зарегистрироваться, то вперед (промокод KazimirSOC).
Известный в узких кругах ИБ-эксперт CyberKnow обновил свой список группировок, действующих по обе стороны в израиле-палестинском конфликте ⚔️, с указанием стран, где они располагаются. Достаточно показательная визуализация. В российско-украинском конфликте нет столь явного перевеса у одной из сторон, а тут просто вопиющей разрыв между теми, кто поддерживает Израиль 🇮🇱 и тех, кто явно против них.
Читать полностью…На сладенькое у нас культура ИБ 🍬 Норникель делает классные конфеты с элементами повышения осведомленности 🍬
Читать полностью…На последней DEFCON был доклад о том, как можно взломать умные пылесосы Ecovacs (модели Deebot, Goat, Spybot и Airbot) и шпионить за квартирой, в которой он используется, подсматривать за жильцами и подслушивать их разговоры. Я про это даже рассказывал на ИТ-Пикнике 🧹 И вот новая напасть - недавно в Австралии произошел инцидент, когда робот-пылесос, взломанный злоумышленниками, начал выкрикивать расистские оскорбления в адрес афроамериканской семьи 👨👩👧👦
По поводу инцидента с взломом робота-пылесоса, вендор заявил, что проблема была связана с уязвимостями в системе безопасности устройства 😵, которые позволили злоумышленникам получить доступ; причем об этой уязвимости было известно уже давно. Вендор пообещал провести расследование и выпустить обновление для устранения проблемы (ну а что он еще мог обещать) 🔄
Инцидент подчеркивает растущие риски в области интернета вещей (IoT) и что даже бытовая техника может быть уязвима для кибератак 🥤 Роботы-пылесосы и другие умные устройства с подключением к интернету могут стать целью хакеров, если не обеспечена надлежащая безопасность. Пользователям необходимо следить за обновлениями прошивок, использовать сложные пароли и двухфакторную аутентификацию для минимизации рисков атак на умные устройства 👩💻 Но мы же это все и так знаем, не так ли?..
А ТВ-каналов ВГТРК в спутниковом пакете больше нет 🤔 А говорили, что вещание не прервано, ущерба нет, все в штатном режиме… И как теперь выходные без новостей? Пойду хоть Youtube посмотрю 📱
Читать полностью…