Пост Лукацкого

24 сентября 2023 16:49

Что-то в этом есть 😄

Пост Лукацкого

24 сентября 2023 08:40

Интересно, сейчас все обсуждают утечку почтового архива зама руководитея ФНС, курирующего вопросы информатизации и ИБ (последние письма датированы августом 2023-го года). Но странная ситуация. Все обсуждают, ЧТО утекло, а не ПОЧЕМУ эта информация публикуется в канале, который уже не один год сливает очень чувствительные данные по высокопоставленным чиновникам 🧐

Шалтая-Болтая за схожие фокусы прихватили очень быстро. Проукраинские каналы с утечками ПДн россиян тоже прикрывают регулярно (хотя они также быстро восстают из пепла) ⛔️ А тут канал продолжает работать много лет, сливает не только персданные, но и конфиденциалку и ДСП; и хоть бы что 🤷‍♀️ И все наши депутаты, сенаторы, роскомнадзоры и иже с ними активно обсуждают, что с началом СВО увеличилось число утечек персональных данных российских граждан, что против нас ведется кибервойна, что серый цифровой профиль гражданина регулярно пополняется новыми данными, а про источник утечек гораздо более критичной и более ценной информации - ни слова?..

Cui prodest? Cui bono?

Пост Лукацкого

23 сентября 2023 15:17

Вдруг вспомнилось, что раньше логотип ГосСОПКИ был другой. Но ассоциация с медведем и всяческими группировками, в названии которых встречалось слово Bear (Fancy, Energetic, Cozy...), были уж слишком явные. Наверное, поэтому заменили на радар.

ЗЫ. Хотя вот ЦИБ ФСБ не стеснялся таких ассоциаций и в своем настенном календаре на 2019 год хорошо прошелся по теме медведей и страхов американских военных, на мониторах которых вдруг появляется медвежья морда 😊

Пост Лукацкого

23 сентября 2023 07:47

Кто-то подумает, ну просто сайт взломали и все 😂. Кто-то продолжит мысль, что могли и правда украсть исходники сертифицированной и защищенной по 4-му классу операционной системы. Кто-то задумается, а не внедрили ли чего-нибудь 🧑‍💻 в ПО заранее и не раскатали ли 👨‍💻 это начиненное "разным" обновление по клиентам? Кто-то из клиентов подумает, а не проник ли ко мне уже враг через "защищенную" ОС 👨‍💻 и не надо ли поставить эти узлы на дополнительный мониторинг, а также провести ретроспективный анализ их взаимодействия за последние полтора года (для этого, конечно, надо иметь средство для мониторинга такой сетевой активности)?

Кто-то вспомнит, что это уже 8-й или 9-й публичный случай взлома отечественной компании, работающей на ниве ИБ, и пора бы уже навести порядок в этой сфере, например, потребовав от всех лицензиатов сформировать перечни недопустимых событий для себя, иметь круглосуточно действующий SOC (хотя мониторинг среды разработки - это особое искусство), вывести свой софт на традиционную Bug Bounty, а также запустить Bug Bounty на недопустимые события. А можно и вовсе запустить нечто похожее на взаимное проникновение ИБ в ИБ 😋, то есть пентесты друг друга. Кто как не разработчик в области ИБ знает косяки других разработчиков в области ИБ.

В общем, много выводов можно сделать из простого сообщения в одном проукраинском Telegram-канале. Главное их сделать... 😬

Пост Лукацкого

22 сентября 2023 20:05

Перестал детально отслеживать нормативку и всплывают регулярно интересные моменты. Например, апрельские поправки в 235-й приказ ФСТЭК, в котором заменили «уполномоченное лицо» на «замруководителя субъекта КИИ», увязав его с 250-м Указом.

И тут сразу вопрос возникает с тем, что по мнению Минцифры замруководителя по ИБ может быть один на группу компаний, а по мнению ФСТЭК уже 🤷нет. По ФСТЭК это лицо подчиняется именно руководителю организации, а по Минцифре руководитель ИБ может быть в службе безопасности, директор которой уже подчиняется руководителю организации.

Получается, Минцифры, как инициатор 250-го Указа, следует его духу, а ФСТЭК- букве. Иными словами, один регулятор смотрит буквальное исполнение 250-го, а второй - сутевое 🤔

Пост Лукацкого

22 сентября 2023 13:23

Недостатки, которые ФСТЭК выявляет при категорировании объектов КИИ

Пост Лукацкого

22 сентября 2023 06:40

Находясь на Дальнем Востоке, понимаешь, что мой канал выглядит иногда не совсем так, как ты задумываешь. Если по Москве я публикую первую заметку в 7.40, то в Южно-Сахалинске рабочий день подходит к концу (почти 4 часа вечера). И ты успеваешь прочитать всего 3 заметки в день, все в вечернее время, добирая с утра то, что было мной опубликовано во время дальневосточного сна. Поэтому хочу провести опрос на тему времени и частоты публикаций в канале. Отдай свой голос 🫵

Пост Лукацкого

21 сентября 2023 18:47

Мы перезапустили наш ежегодный сборник аналитических материалов Positive Research, превратив его в полноценное медиа-издание о кибербезе. Стильно, модно, интересно 😊

Встречайте - https://ptresearch.media/

Пост Лукацкого

21 сентября 2023 16:09

Сегодня (или уже вчера по местному времени) на Sakhalin Security 2023 в выступлении представителя НКЦКИ был упомянут Битрикс и массовые атаки на него. Говорилось это все в контексте, что многие пользователи Битрикса были взломаны за полгода до начала массовых атак, установлены шеллы и все такое. И все это прекрасно бэкапилось (резервное копирование - важная штука). После атак, когда все переустановили свои Битриксы из резервных копий... были снова установлены и забэкапленные шеллы и все такое. И снова атаки, снова компрометации, снова подмены страниц с политическими лозунгами, снова утечки информации.

Вдруг находится критическая RCE-уязвимость в Битриксе, позволяющая хакеру выполнить команды операционной системы на уязвимом сервере и, получив контроль над его ресурсами, проникнуть затем во внутреннюю сеть компании-заказчика. Дыра обнаружена 13 сентября и занесена в БДУ ФСТЭК. CVSS - 10. Вы думали Битрикс уведомил об этой уязвимости своих клиентов? Хрен!

Я это уже писал как-то, но повторю. Битриксу надо менять свое отношение к ИБ - и в части архитектуры собственных продуктов (разговоры про то, что нельзя удаленно за клиента обновлять его сервера, - это для бедных), и в части работы по вопросам ИБ со своими клиентами. А то вдруг внесут в законодательство ответственность ИТ-поставщиков за небезопасность их продуктов или выкинуть из реестра отечественного ПО за попустительское отношение к ИБ. А то чего хуже - обяжут на BugBounty выйти.

Пост Лукацкого

21 сентября 2023 10:03

Я вновь напомню заметку про утиный тест, в которой высказал мысль, что рядовому пользователю лучше внедрить при корпоративном обучении или в рамках программы повышения осведомленности простую мысль - если нечто похоже на фишинг, имеет признаки фишинга, то это скорее всего фишинг и поэтому на такого рода сообщения (в почте, в мессенджере, в СМС, по телефону...) лучше реагировать соответствующим образом. И даже если случайно вы удалите реальное, нефишинговое сообщение, то пусть это будет уроком тем, кто такую фигню допустил и не подумал, как его сообщение выглядит глазами пользователя, окруженного хакерами всех мастей.

Вот тут НСПК, без предварительного предупреждения, выкатила бета-версию своего приложения для Apple iOS, попутно впаривая каких-то "ежей" 🦔 Да, это классический косяк с кодировками и все такое. Но если бы я получил соответствующее сообщение, я бы его 100% пометил бы как фишинговое и удалил бы. Особенно если о нем заранее не предупредить по официальным каналам. Хотя даже если и предупредить, где гарантия, что это не очередная проверка на фишинг от ЦБ? ЦБ, вон, вчера проводила ранее анонсированную рассылку вредоносов 💌 по банкам с целью проверки их способности реагировать. Правда, не до всех почтовых ящиков рассылка ЦБ долетела, так как если у банка нормально настроен почтовый сервер, то письма без Reverse DNS должна отбрасываться еще на этапе начала сессии. Ну да это уже другая история.

Пост Лукацкого

20 сентября 2023 22:05

Незаметно перевалил за двадцать тысяч подписчиков 🌡 Никогда не ставил перед собой цели гнаться за этим числом, монетизировать канал, продавать в нем рекламу, нагонять ботов (хотя наверняка они тут есть) и т.п. Просто пишу о том, чем занимаюсь, и то, что мне интересно 🛡 Спасибо вам!

Пост Лукацкого

20 сентября 2023 17:02

Прикольно, конечно работает антимошеннический бот от Тинькофф. И голос и манера речи очень индивидуальны. Респект. Прям повеселили.

Пост Лукацкого

20 сентября 2023 14:52

Сертификат ФСТЭК на Dr.Web восстановлен. Всего 2 недели без малого ушло на решение проблем.

Пост Лукацкого

20 сентября 2023 10:01

Скажем «НЕТ» расизму в ИБ!

Картинка старенькая - до движения Black Lives Matter ✊. Сейчас бы за такое линчевали, а раньше даже шутить можно было.

Пост Лукацкого

19 сентября 2023 20:09

Расследуя киберпреступления в Международном уголовном суде (МУС), главное, - не выйти на самого себя 🤨

Пост Лукацкого

24 сентября 2023 12:45

2016-й год, если что. С исходной предпосылкой ошибся (на текущий момент), но последствия еще тогда можно было предположить и подумать о вариантах нейтрализации (хотя думать об этом не хотелось). Кто-то подготовился, кто-то нет…

ЗЫ. Первый раз я такой сценарий на штабных киберучениях в 2012-м опробовал, еще до Крыма. Подняли на смех, сказали, что я квасу обпился…

Пост Лукацкого

23 сентября 2023 19:29

vx-underground решили ответить Вазаваке на его идею с мерчем с фото из «Самые разыскиваемые преступники 😈 по версии ФБР» своим мерчем. Все троллят друг друга 😕

Пост Лукацкого

23 сентября 2023 11:46

👱‍♀️🚶‍♂️🛣👅💦

⬆️Это не просто набор эмодзи, а фраза, которую можно использовать в качестве пароля (ChatGPT утверждает, что так в картинках выглядит скороговорка «Шла Саша по шоссе и сосала сушку»).

Да, представьте себе, пароли с эмодзи тоже бывают. Как рассказал на IT-пикнике Николай Анисеня, руководитель отдела перспективных технологий Positive Technologies, у них есть свои плюсы и минусы.

➕ Такой пароль может быть в два раза короче сложнозапоминаемой абракадабры из букв, цифр и символов, но при этом останется не менее устойчивым — это гарантируют существующие 3500 эмодзи.

➖ Вас может предать любимый смартфон, который запоминает и показывает недавно используемые эмодзи. Так что мошенникам останется только собрать их в нужную комбинацию.

Хотите больше знать о паролях (и не только в картинках)? Смотрите полную версии доклада Николая по ссылке.

#PositiveЭксперты

Пост Лукацкого

23 сентября 2023 06:40

Я тут на днях проводил на Сахалине 🌋 штабные киберучения и один из рассматриваемых кейсов был связан с атаками на цепочку поставок и, в частности, с заявлением некой хакерской группировки о взломе отечественного ИБ-вендора 👨‍💻 и кражи исходных кодов его продуктов. Интересно, что участники киберучения как рекомендации по кейсу упоминают про необходимость усиления контроля за обновлениями и установления более жестких требований к поставщикам ПО (стараюсь не спрашивать, а сами они эти требования устанавливают? 🤫). Но вот мысль провести полную ревизию того, что это ПО делает внутри самой компании, которая его использует, и что оно могло делать месяцы назад, не возникает почти никогда.

А ведь мы понимаем, что публикация факта взлома разработчика ПО 🔓 - это уже конец истории, когда хакеров не волнует, что будет дальше (если нет требования выкупа). Да, это может быть просто взлом сайта и слив базы данных всего его пользователей, а также тикетов техподдержки, логи изменений и т.п. А может быть и более глубокая история, а именно компрометация и конвейера разработки и даже внедрение закладки в ПО (вспоминаем SolarWinds). И тогда история примет совсем иной оборот, не так ли?..

И вот свежайший пример. Хакеры "братского народа" 💀 написали, что взломали ✊ компанию РЕД СОФТ (имеет сертификат ФСТЭК по требованиям безопасности) и получили полный доступ к их данным. Выложенный семпл не очень информативен, но, как минимум, ФИО и email сотрудников, а также change log с упоминанием всяческих CVE там точно присутствуют. И вот что дальше?

Пост Лукацкого

22 сентября 2023 16:57

Нарушения, которые выявляет ФСТЭК в рамках госконтроля в састи обеспечения безопасности объектов КИИ

Пост Лукацкого

22 сентября 2023 10:03

Запись моего небольшого выступления "Может ли кибербез приносить ощутимый результат?" с конференции Киберриторика в Санкт-Петербурге 13-го сентября этого года.

Пост Лукацкого

21 сентября 2023 20:12

Моя статья в Positive Research тоже попала 😊

Пост Лукацкого

21 сентября 2023 17:02

Интересная дискуссия на Sakhalin Security 2023 была. Касперский доказывал, что MDR - это нелицензируемый ФСТЭК вид деятельности, так как в его рамках никакого мониторинга ИБ нет и что там просто телеметрия передается и расследования проводятся 🌋 Озадачен 🤔

Понимаю нежелание получать лицензию на то, что предоставляется по унифицированным правилам во всех странах мира. И как аттестовать площадку, которая часть MDR, но располагается в каком-нибудь Сан-Паулу? 🇧🇷 И она не может использовать сертифицированные ФСТЭК средства защиты. Да и требования по квалификации персонала не выполнимы.

Дилемма - либо международный бизнес и уход от лицензирования (кто у тебя зарубежом купит 🤑 сервис, если он имеет лицензию одной российской спецслужбы и аккредитацию центра ГосСОПКИ другой?), либо патриотизм, выполнение законодательства и «прозябание» в рамках одной страны. Либо создание двух веток MDR (для 🇷🇺 и 🌎), что экономически не очень целесообразно.

Пост Лукацкого

21 сентября 2023 13:39

Иногда, смотря судебные решения и доводы сторон, понимаю, что я слишком прямолинеен, чтобы быть юристом в области кибербеза.

Например, представим, что шифровальщик накрыл компанию и у нее украли данные. Налицо утечка ПДн, которая попадает под ст.13.11 КоАП. И какие тут сомнения? Но оказывается, находятся компании, которые считают, что их нельзя привлекать к административной ответственности, так как их вина отсутствует из-за того, что причиной утечки ПДн стали «неправомерные действия третьих лиц, которые получили доступ к информации незаконно с использованием вредоносных компьютерных программ». Как тебе такое, Илон Маск? (с)

Судьи к таким доводам часто глухи, считая, что несанкционированный доступ к информации не имеет значения для квалификации содеянного по ч.1 ст.13.11 КоАП РФ. Но сама постановка вопроса о невиновности оператора, который и так уже пострадал от хакеров, забавна. Вспоминается «Берегись автомобиля»: «Деточкин виноват; но он и не виноват»!

Вспоминая заметку про типы бумажных ИБшников, хочется сказать, что задача ИБ (если не вдаваться в историю принесения прибыли для компании от ИБ) - защищать бизнес от разных угроз и делаться это может разными способами. Приведенная вариант ничем не хуже и не лучше проектов по реализации 21-го приказа ФСТЭК по защите ПДн. Может быть даже дешевле... если дело выиграно 👩🏼‍⚖️

Пост Лукацкого

21 сентября 2023 06:40

Министерство госбезопасности Китая сделало доклад "Uncovering the main despicable means of cyberattacks and secret theft by US intelligence agencies" о том, что АНБ еще в 2009 году взломало сервера Huawei, подтвердив тем самым разоблачения Сноудена, сделанные им в 2013-м. Но помимо старой истории с Huawei китайцы 🇨🇳 приводят в отчете и другие примеры американской шпионской киберактивности, например, взлома северозападного политеха в сентябре 2022 года. Интересно, что в докладе рассказывается о различных примерах американского кибероружия, которое было использовано не только против Китая, но и, внимание, против России и 45 других государств и регионов 🐉

Учитывая, что в мае китайцы уже обвиняли ЦРУ в кибератаках на свои ресурсы, то похоже, что Китай плотно занялся этой темой и от дипломатии за закрытыми дверьми перешел к активным обвинениям своего основного геополитического противника. У китайцев 👲, конечно и у самих рыльце в пушку, но ранее американцев так активно никто не обвинял во взломах других стран (ну кроме Сноудена и Ассанжа, которые просто выложили секретные документы о киберарсенале американских спецслужб).

На минутку представил себе, а что если и Россия сейчас готовит схожий отчет с доказательствами американского кибершпионажа. История с "Триангуляцией" 🚩 сошла на нет и кроме повсеместных запретов iPhone так ни во что и не вылилась. А если бы ФСБ или МИДом был опубликован отчет с проверяемыми результатами, TTP, индикаторами и т.п.? История бы могла разворачиваться по другому сценарию. Если бы и Россия 🇷🇺 и Китай ратицифировали Римский статут, то могли бы со своими доказательствами пойти в Международный уголовный суд, который недавно заявил, что мог бы и расследовать киберпреступления. Вот была бы потеха, если бы судьи МУС 👨🏿‍⚖️ доказали бы вину США. Но это все фантазии, да и МУСу сейчас не до этого - они расследуют кибератаку неизвестных на свою инфраструктуру.

Пост Лукацкого

20 сентября 2023 20:11

🎊 В следующем году киберфестиваль Positive Hack Days станет еще масштабнее: он пройдет одновременно в двух городах!

Четыре дня крутейших докладов, кибербитвы Standoff, интересных конкурсов для всей семьи и уникальной атмосферы. И все это — ×2.

Сохраняйте даты уже сейчас — 23–26 мая 2024 года. Следите за новостями в наших соцсетях — поделимся подробностями, как только будем готовы.

Вас ждет легендарный PHDays!
Это мы смотрим и посещаем

@Positive_Technologies
#PHD2024

Пост Лукацкого

20 сентября 2023 16:59

🤖«Тинькофф» создал «боевых роботов» для борьбы с мошенниками

Боты будут как можно дольше удерживать злоумышленников на линии. Таким образом, за день мошенник сможет обзвонить меньше потенциальных жертв.

Пост Лукацкого

20 сентября 2023 13:30

Аналитик Дэвид Кац предлагает сдаться предполагает, что сеть казино-отелей MGM ежедневно теряет от 10 до 20 процентов оборота и cash flow ежедневно в результате кибератаки, которая длится уже скоро две недели. То есть речь идет о 4,2-8,4 миллионов долларов каждый день.

Если не брать в расчет абсолютные значения, то потеря даже 10% оборота - это, пипец, как много. Для кого-то штраф в 3% от оборота (правда, годового) за инцидент ИБ - это уже недопустимое событие. А тут получается цифра в 3-7 раз выше. Если у них продлится 🍑 с разгребанием последствий, будет интересно посмотреть, чем это все закончится.

Пост Лукацкого

20 сентября 2023 06:40

Очередная версия о том, что в SOC можно отдавать на аутсорсинг, а что оставить на инсорсинге. При этом оценка дается по двум срезам - ценности для организации и «продуктовости» (хрен знает, как это по-русски сказать, когда часть решений уже давно в перешла в commodity (стала как электричество), а састь требует кастомной доработки и настройки

Пост Лукацкого

19 сентября 2023 16:54

Cyentia Institute провел анализ данных, предоставленных компанией XM Cyber из их продукта класса CTEM (Continuous Threat Exposure Management), и на основе полученных результатов выкатил интересное исследование "Navigating the Paths of Risk: The State of Exposure Management in 2023".

В отчете привлекла аналитика по популярным уязвимостям, которые могут быть использованы (до сих пор) для реализации кибератак в организациях (первый скрин).
Например, уязвимости в ПО UltraVNC и aPAColypse, выявленные в 2017-2019 годах, наряду с EternalBlue и BlueKeep, всё еще не везде устранены... И это с учетом того факта, что в этих организациях, судя по всему, есть приличные бюджеты на КБ раз они купили решение класса CTEM/APM🤪
А всё почему?А потому что, цитирую, "it
can take a surprisingly long time to remediate vulnerabilities in enterprise environments"🥲
В подтвеждение этому информация о времени устранения выявленных уязвимостей на втором скрине - на ликвидацию их всех может уходить больше 6 месяцев! И это речь лишь про активно эксплуатируемые уязвимости😵‍💫