alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Группа Fraud and Security Group ассоциации GSM (FASG) опубликовала первую версию фреймворка MoTIF о том, как хакеры атакуют мобильные сети 📡 При этом MoTIF покрывает атаки для сетей 2G, 3G, 4G, 5G, которые не покрываются MITRE ATT&CK и MITRE FiGHT (матрица TTP для сетей 5G) 📞

Читать полностью…

Пост Лукацкого

#RadioGroot

Гость: Алексей Лукацкий

В эфире:

⬇️про трансформацию профессии
⬇️про тренды в ИБ и приватности
⬇️про карьеру в ИБ и приватности / образование
⬇️про личный бренд
⬇️про управленческий трек

Читать полностью…

Пост Лукацкого

Член английского парламента, Уильям Врагг, позирует для журнала Times на фоне пароля от Wi-Fi, записанного на стене 🤬

Читать полностью…

Пост Лукацкого

Насилие как сервис? Для LockBit? Задумался 🤔

Читать полностью…

Пост Лукацкого

Работая в Cisco и имея дело с кучей продуктов по ИБ, никогда не задумывался о том, что есть немалое количество людей, которые "читают" с экрана 👨‍💻 не так как я или большая часть человечества. Потом, когда стал читать канал израильского кибербеза в Твиттер, долго ломал (и продолжаю ломать) мозг, перестраиваясь на чтение то слева направо (как обычно), то справа налево (как у семитов).

Сейчас, выходя с 🟥 на международные рынки, понимаешь, что привычные нам GUI подходят далеко не всем. Например, дашборды 📈 SIEM, NTA, EDR или мета-продуктов на Ближнем Востоке могут читаться аналитиками справа налево и классический шаблон F-движения глаза по экрану (я про него в курсе рассказываю) у арабов и евреев не очень-то и работает. И это надо учитывать в ряде случаев (в том числе и при подготовке отчетов по пентестам, по расследованиям и т.п.). 🫲🏻

Но помимо определенного геморроя для разработчиков и UXеров, есть в этом и положительный эффект, - узнаешь что-то новое, о чем никогда не задумывался 💡 в контексте ИБ. И хорошо, что языки тоже меняются, упрощаются. А то пришлось бы учитывать в интерфейсе какого-нибудь PT O2 или PT Carbon вертикальное восточноазиатское письмо Древнего Китая, Японии и Кореи, огамическое письмо кельтов (снизу вверх), а то и вовсе нумидийское (справа налево, снизу вверх) 🤦‍♂️

Век живи, век учись! ✍️

Читать полностью…

Пост Лукацкого

Зарегался я тут на RSA Conference и пока вся отечественная индустрия ИБ будет сажать картошку, жарить шашлыки или поедет в Питер и Тулу (самые популярные места для отдыха россиян в мае), я погружусь в кибербез на одной из крупнейших мировых конференций по ИБ. Сижу, 🧎 формирую себе персональную программу того, что интересно будет послушать, заодно присматриваюсь к различиям с российскими мероприятиями по ИБ, в том числе и грядущему через пару недель после RSAC PHD2. И вспоминается мне снова заочная дискуссия о том, есть ли отличия между Россией и всем миром с точки зрения ИБ. И могу сказать, что да, есть 🤓

Например, в программе RSAC нашли отражение такие темы (и там не один доклад 🎤 им посвящен), которые у нас обычно на мероприятиях по ИБ не любят или вовсе не рассматривают:
1️⃣ Ментальное здоровье, борьба с выгоранием 👍
2️⃣ Нейроразнообразие, то есть использование в ИБ людей с особым складом ума (аутисты, люди с синдромом дефицита внимания, дислексией и т.п.)
3️⃣ Мышление с точки зрения прайваси и интеграция ее и кибербезопасности
4️⃣ Безопасность телекоммуникаций 5G и 6G 📡
5️⃣ Безопасность API
6️⃣ Венчурный капитал и сделки слияния и поглощения в ИБ 🤑
7️⃣ Культура ИБ.

ЗЫ. В один из дней у меня получилось 12 параллельных докладов, которые мне интересны, и как между ними разорваться я пока не представляю 😦 Вот они муки выбора. Хотя скажу, что у посетителей PHD2 будет схожая проблема - там примерно такое же количество треков в параллель идет 🤘

Читать полностью…

Пост Лукацкого

В деревне Вилларибо средняя длина члена 15 см, а в Виллабаджо - 25 см. А все потому что в Виллабаджо проводились опросы, а в Вилларибо - замеры 💄


Примерно таким анекдотом можно проиллюстрировать первый в мире индекс киберпреступности, подготовленный двумя англичанами на основе опроса 92 мировых западных экспертов. Метод, основанный на экспертной оценке, показал, что Россия и тут заняла первое место 🏆 51% экспертов, предсказуемо, были из США, Великобритании и Австралии. Тем удивительнее, что в список лидеров попала еще и Гана 🇬🇭, страна, которую многие без усилий и не вспомнят. Из России было всего 2 эксперта "Имя, сестра" (с) кто пытался отстоять наши интересы (я надеюсь), но силы были не равны, мы все равно стали первыми! Есть чем гордиться 🎖

ЗЫ. Но я бы предпочел подход Вилларибо, а не Виллабаджо

Читать полностью…

Пост Лукацкого

В нашем исследовании по инцидентам в транспортной отрасли эти кейсы с взломом дорожных знаков 🚧 и информационных табло тоже нашли свое отражение, но, во-первых, таких кейсов не так уж и много, а во-вторых, по ним нет фотографий (а те, что есть, не пропустит цензура). А вот в США 🇺🇸 это прям бич какой-то. Не проходит недели, чтобы где-то не появилась какая-нибудь надпись - от безобидной "впереди зомби" или "Трамп - наш президент" до более возмутительных и нецензурных 🔞

Читать полностью…

Пост Лукацкого

Тут на RIGF, на секции по кибербезопасности и киберпреступности, вдруг пришла мысль, что можно ввести прогрессивный налог на размер криптографического ключа 🗝 Чем он больше, тем выше налог. И брать его с каждого пользователя Интернет, который пользуется браузерами с встроенным SSL. При использовании отечественных СКЗИ скидка 50%.

Вы представляете как это поменяет все? Люди либо будут отказываться от конфиденциальности, упрощая жизнь ФСБ в деле обеспечения нацбезопасности. Операторам не надо будет тратить колоссальные суммы 🤑 на выполнение закона Яровой и можно будет снизить тарифы на Интернет. Если граждане захотят соблюдения своих тайн, то они будут поддерживать отечественного производителя, который станет больше продавать СКЗИ. Всем польза от такой простой инициативы. И никаких затрат из бюджета не потребуется! 💡

Читать полностью…

Пост Лукацкого

Принятый недавно закон о кибербезопасности в Евросоюзе требует от ENISA повышать уровень кибербезопасности в 🇪🇺, что, в свою очередь, поднимает вопрос о том, а как посчитать этот уровень, чтобы понять, повышается он или нет. И ENISA выпустила очень достойный документ, который описывает, как они планируют считать индекс кибербезопасности 📊

Этот индекс состоит из 84 индикаторов, 60 из которых собирается на уровне каждой страны, а 24 относятся ко всему ЕС в целом. Все индикаторы сгруппированы в 4 области (и 16 суб-областей): 📈
1️⃣ политика (управление рисками, международная кооперация, юриспруденция...)
2️⃣ операции (готовность к реагированию, управлению угрозами/уязвимостями, устойчивость, взаимодействие...)
3️⃣ рынок/индустрии (инвестиции, ущерб от инцидентов...)
4️⃣ capacity /не знаю как перевести в данном контексте/ (кибергигиена, навыки ИБ, обучение и повышение осведомленности...).

Данные берутся из различных источников - Евростат, Евробарометр, Совет Европы, ISO, ENISA, Shodan и Horizon Dashboard Еврокомиссии. Все индикаторы нормализуются и суммируются, что и дает итоговое значение индекса. Выглядит достаточно просто (если есть все исходные данные) 📉

Читать полностью…

Пост Лукацкого

Сначала тебе говорят, что "ничего страшного, у нас сайт атаковали и просто подменили домены на мошеннические", а в следующем сообщении у тебя написано, что не работает не только почта, но и телефон, и сервисный центр 📞, и отгрузка, и CRM и т.д. И ты понимаешь, что это не просто атака на DNS, как это представляли изначально. Сама компания при этом предлагает решения по облачным АСУ ТП и разрабатывает решения для промышленной автоматизации, что ставит также много вопросов на тему «не задело ли и их»...

ЗЫ. Кейс с вышедшей из-за атаки телефонией 📞 я уже, кстати, рассматривал на киберучениях еще в 2018-м году.

Читать полностью…

Пост Лукацкого

‼️ Иногда лучше молчать, чем говорить. И это глава «Лиги безопасного Интернет» 😱 Чему она детей тогда учит?? 🤦‍♂️

Читать полностью…

Пост Лукацкого

#events #RadioGroot

🤖В гостях: Алексей Лукацкий, автор канала Пост Лукацкого и блога, вырастившего не одно поколение ИБэшников, Бизнес без Опасности

🕓Дата: 09 апреля в 19:00 по мск

🖼Формат: онлайн, трансляция в канале

🔗Добавить в календарь: здесь

🗣Обсудим:

⬇️карьерный путь - срез с предыдущего выпуска
⬇️создание и поддержание личного бренда
⬇️формирование уникального контента
⬇️баланс жизни, интересов и принципов
⬇️будущее специальностей

Читать полностью…

Пост Лукацкого

Хакер с ником IntelBroker (ранее известный как thekilbob) утверждает, что украл 💻 много-много всяких конфиденциальных данных у Госдепартамента США, американского же Минюста, ФБР и Министерства национальной безопасности и других ведомств. Удалось это, как полагается в последнее время, через подрядчика, - американского контрактора Acuity, который, также как водится, опроверг серьезность утечки, заявив, что данные устаревшие (хорошо хоть саму утечку не отрицают). Помимо персданных в утечке присутствует и гостайна разведывательного альянса "Пяти глаз" 👀

Месяцем ранее IntelBroker уже взламывал Acuity (да, снова) и украл данные иммиграционной службы, выставив их на продажу 🤑 Помимо персданных граждан США в утечку попали исходные коды ПО, частная переписка между ведомствами, руководства, а также данные по Украине и России и т.п. В утечке также присутствует гостайна и все это было получено за счет Zero Day в GitHub, с помощью которой удалось украсть GitHub-токен и реализовать ряд вредоносных действий. IntelBroker на протяжении последнего года взламывал и другие государственные структуры и КИИ 👨‍💻 - МинОбороны США, аэропорт Лос-Анджелеса, General Electric, DARPA и многих других. Он же, по одной из версий, стоит за атакой на оператора T-Mobile в ноябре 2022-го года.

История со взломом через подрядчиков продолжает оставаться 🔣1️⃣ и в России. А вы доверяете своим поставщикам? А требования по безопасности им выставляете? А как контролируете их реализацию?

ЗЫ. Да, это именно тот кейс, о котором я написал вчера 😂

Читать полностью…

Пост Лукацкого

Я конечно не претендую на лавры шоу "PT NGFW за стеклом", которые мои коллеги вели про разработку NGFW, но начну потихоньку выкладывать какие-то зарисовки с подготовки к PHDays в той ее части, которая касается бизнес-трека, который я курирую 🤴🏻

Если кто не знал, то в этом году бизнес-трек раскинет свои щупальца аж на 4 площадки на Лужниках, отличающиеся по своей вместительности - от пары-тройки тысяч человек Большой спортивной арены 🏟 до 40-70 человек в мини-залах под мастер-классы. И так как у нас еще несколько шатров будет в техническом треке, то очевидно, чтобы не путаться в них, надо было дать им какие-нибудь звонкие названия. Конечно же на космическую тему, которой посвящен весь грядущий PHD2 🚀

И вот, отринув идею с "Черной дырой", Кратером", "Астролябией" (хотя на английском это astrolabe и там можно какие-нибудь лабы проводить), родилось прекрасное название не скажу 🫢 Но использовать его оказалось нельзя 🤐, так как по-английски оно начиналось с таааакой заглавной буквы алфавита, что нас распяли бы все посетители; причем по разным причинам. В итоге, после просмотра макета, пришлось менять название шатра. Кто бы мог подумать, что еще при организации мероприятий по ИБ необходимо учитывать еще и то, чем занимаются геополитически подкованные филологи-лингвисты!

ЗЫ. Если кого-то интересует, что же за название было придумано изначально, то оно похоже на название модели автомобиля одного чешского автогиганта, поглощенного немецким автоконцерном, который покинул Россию некоторое время назад, и на которой перемещаюсь я сам

ЗЗЫ. На картинке попытка нарисовать что-то на тему Standoff 13, битвы красных и синих, которая пройдет в рамках грядущего PHD2.

Читать полностью…

Пост Лукацкого

Чешский министр транспорта в интервью Financial Times заявил, что Россия попыталась тысячи раз взломать европейские железные дороги 🚞 через проникновение в систему сигнализации. Каких-то деталей и тем более доказательств особо нет. Ранее ENISA также обвиняла Россию в атаках на железные дороги 🚆 Латвии, Литвы, Румынии и Эстонии.

Читать полностью…

Пост Лукацкого

Выкладываю запись своего интервью на RadioGroot, где мы с Крис Боровиковой, одним из соучредителей Сообщества профессионалов в области приватности RPPA, пару дней назад в течение часа беседовали о разном.

Читать полностью…

Пост Лукацкого

АНБ обновило свое руководство от февраля 2021-го года по внедрению концепции ZeroTrust. Чего-то нового там нет, просто агентство напоминает американским организациям о существовании ZT и пользе от нее 👨‍💻

Читать полностью…

Пост Лукацкого

Согласно опросу 66% россиян согласились бы вживить чип в свой организм. Так что совсем скоро ИБшникам придется разбираться еще и в этом направлении:
корпоративным - как защищать свой топ-менеджмент
вендорам - как вместить в небольшой чип с жесткими требованиями по автономной работе и энергоэффективности все свои хзащитные механизмы
регуляторам - какие требования установить для защиты таких устройств (уж точно не распространять в полном объеме 21-й приказ на чипы).

Ну а граждан ждет новый чудный мир вымогателей 🫴, которые будут атаковать уже не электронные пояса верности надетые на 💄, а встроенную в тело микроэлектронику.

Читать полностью…

Пост Лукацкого

Российский аналог Have I Been Pwned от НКЦКИ

На сайте safe-surf ru запущен новый сервис по поиску себя в утёкших базах данных. Можно искать по электронной почте, логину, номеру телефона, паролю. В результатах поиска показываются совпадения в базах с указанием названия сервиса и даты утечки.

По сути, это выглядит, как сервис Have I Been Pwned. Сообщается, что сами данные не хранятся на сайте, а история запросов не сохраняется.

Сервису не помешало бы более детальное описание, откуда берутся данные и как они хранятся (по аналогии с HIBP). Пока это не очень понятно, можно предположить, что база утечек формируется из всех слитых баз. Сообщается: «Мы получаем данные об утечках из публично доступных источников». Данные обновляются несколько раз в неделю.

Читать полностью…

Пост Лукацкого

Вчера был неожиданный, но, не скрою, приятный день - мне вручили награду 🎖 Virtuti Interneti («За заслуги в сфере интернета»), учрежденную Координационным центром доменов .ru/.рф в 2010 году. Даже не знаю, как реагировать на нее 🙈 Положил рядом с другими своими немногочисленными, но от этого не менее ценными наградами. Немного погоржусь и пойду дальше работать. Ну а кто, если не мы?..

Читать полностью…

Пост Лукацкого

Недавно, пару недель назад, в очередной раз обновился проект EDR Telemetry, в котором сравниваются различные EDR (российских там нет) по своим возможностям обнаружения тех или иных событий 🖥 Сейчас в списке есть Carbon Black, Cortex XDR, CrowdStrike, Cybereason, ESET Inspect, Elastic, Harfanglab, LimaCharlie, MDE, Qualys, Sentinel One, Symantec SES Complete, Sysmon, Trellix, Trend Micro, WatchGuard. Можно и самому поконтрибьютить...

Читать полностью…

Пост Лукацкого

Тут в одной утечке был выложен регламент взаимодействия одной организации с другой, солидной организацией. И так как это совсем разные организации и развернуть единую систему управления 🤝 идентификацией они не могут, то был предложен очень простой и очень эффективный (в случае нераскрытия паролей третьим лицам, конечно) механизм ⚙️

Я такую штуку описывал (хотя я и не автор) еще во время эпидемии COVID-19, когда у многих компаний не было возможности провести взаимную аутентификацию 🤝 даже своих пользователей на удаленке. Более надежным вариантом являются скретч-карты, но это и более дорогая история.

Единственное, что я отметил бы применительно к данной таблице, что она не полностью случайна. В ней указаны одни металлы из таблицы Менделеева. Хорошо хоть они не упорядочены по возрастанию их атомных номеров. А то можно было бы легко предсказать следующий металл 👍

Читать полностью…

Пост Лукацкого

В 2007-м году бывший контрактор ВМФ США, разозлившись 😠 на непродление контракта, внедрил в программное обеспечение подводной лодки , отвечающее за обнаружение различных угроз для нее, вредоносный код 👨‍💻. Судья, выносившая вердикт по этому делу (всего 1 год в тюрьме), задалась вопросом: "Если мы не можем доверять людям с высшим уровнем допуска к секретам, кому тогда мы можем?" Чего мы тогда хотим от обычного open source, внесение изменений в код которого проводится вообще без понимания и аутентификации того, кто их вносит?

Тут только внедрение практик SecDevOps поможет, сопряженное с идеологией ZeroTrust, когда мы проверяем любой код, независимо от того, кто его писал и вносил или откуда копировал. Кстати, 4-й уровень по стандарту SLSA требует контроля кода со стороны двух человек. Но я бы еще и в сторону Detection & Response посмотрел... 🔍

Читать полностью…

Пост Лукацкого

Можно предупреждать пользователей о каждой новой технике мошенников, а можно рассказать про семь «красных флагов», на которые стоит обращать внимание ‼️ и которые покрывают почти все прошлые и будущие способы обмана:
1️⃣«Срочное» или угрожающее сообщение («ваш счет будет заблокирован», «срочно свяжитесь с HR», «С вами свяжется сотрудник ФСБ»...)
2️⃣ Запрос чувствительной информации («Назовите кодовое слово», «Пришли фото кредитки с двух сторон, «Назовите одноразовый код из СМС»...)
3️⃣Слишком хорошо, чтобы быть правдой («Вы выиграли в лотерее», «Принят закон, обнуляющий все кредиты», «Ваш умерший в США родственник оставил вам наследство»...)
4️⃣Неожидаемое сообщение («Я ваш генеральный директор...», «Это майор главного управления ФСБ...»...)
5️⃣Несоответствие представленной информации реальности (ошибки в адресах, ссылках, контактах)
6️⃣Подозрительные аттачи (.rar, нестандартные названия, несоответствие расширения иконке...)
7️⃣Некорректный дизайн (низкокачественный логотип, ошибки в тексте, нет форматирования…)

Первые пять "флагов" 🚩 применимы к любому виду коммуникации, включая и телефонные звонки. Последние два - только для сообщений по e-mail и, в редких случаях, черех мессенджеры.

Читать полностью…

Пост Лукацкого

Тот редкий пример, когда инцидент ИБ на крупном российском предприятии попадает в бизнес-прессу. Агрохолдинг 🥩 Ткачева попал под шифровальщика; вымогатели требуют 500 миллионов рублей; часть систем остановила свою работу ⛔️

Читать полностью…

Пост Лукацкого

Crowdfence поднял стоимость на 0-Day уязвимости 📈 Хотя они называют это программой Bug Bounty, мне кажется, что сами вендора не стоят за покупкой дыр, имея собственные программы вознаграждения с гораздо меньшей суммой выплат. ZeroClick для iOS, аналог "Триангуляции", стоит 7 миллионов долларов 🤑

RCE в Chrome позволит заработать до 3 миллионов, а в Safari - до трех с половиной. А вот уязвимости в АСУ ТП вызывают низкий интерес со стороны покупателей, которые не готовы платить больше 30 тысяч долларов. Максимальная сумма выплат увеличена втрое - в 2019-м году стоимость 0-Day для iOS и Android составляла 3 миллиона долларов. Techcrunch рассуждает о том, кому могут быть проданы (или не проданы) такие уязвимости в случае обнаружения.

PS. В России за легальный поиск уязвимостей платят тоже миллионы, но пока рублей 💸

Читать полностью…

Пост Лукацкого

Прошло 3 года с последнего интервью в гостях у Крис. Многое с тех пор поменялось, только не а вот что "не", вы узнаете сегодня на эфире.

Читать полностью…

Пост Лукацкого

История с закладкой в библиотеку XZ обрастает все новыми подробностями. Эксперты всего мира пытаются атрибутировать, кто же стоит за пользователем по имени Jia Tan, который и залил вредоносный релиз 👨‍💻 Причем версии выдвигаются и опровергаются самые разные.

Например, что это точно не АНБ, так как спецслужба США 🇺🇸 вряд ли бы использовали квантово-неустойчивую криптографическую функцию ED448. Как обычно, валят все на китайцев, северокорейцев и русских. При этом обоснование этого как обычно на очень "высоком уровне" - временная зона, указывающая на Китай 🇨🇳 (а с Северной Кореей 🇰🇵 разница всего в 1 час). С другой стороны он работал во время китайских каникул, но при этом не работал на Рождество и Новый год. И вообще его рабочее время начиналось с 9 утра и заканчивалось в 5 вечера по восточноевропейскому времени, то есть Москва! 🇷🇺

Мысль, что неважно, откуда работает хакер, гораздо важнее - на кого он работает (а это не определить по часовому поясу), в голову экспертам не приходит 💡 Ну и хрен с ними.

Читать полностью…

Пост Лукацкого

Давно я что-то не писал про утечки данных из госорганов. Думаю надо вернуться к этой практике. Тут и утечку интересную подогнали. Персданные чиновников и граждан, исходные коды ПО, дырявый Git, руководства и документация, переписка... 🔓 все это на протяжении года собиралось кем-то нехорошим и сейчас начинает выкладываться в даркнете. В общем, подсоберу данных и напишу ✍️

Читать полностью…
Подписаться на канал