alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Продолжая тему с инициативой Центробанка, интересен вопрос, как ЦБ планирует обойти часть 2-ю статьи 273 УК РФ, а именно "Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности"?

Обычно юристы ЦБ перестраховываются по 10 раз, прежде чем запускать хоть какую-нибудь инициативу от имени регулятора. Тут либо есть договоренность с правоохранительными органами, но кого это волнует, если будет заявление в полицию, либо ЦБ планирует к моменту запуску инициативы внести поправки в ст.273 УК РФ в части распространения вредоносного ПО в рамках легальных тестов на проникновения и иных схожих работ. Вот последнее было бы прям круто и могло бы способствовать росты рынка пентестов и багбаунти. Правда, легализация все равно потребует наличия договора между стороной, распространяющей вредонос, и потенциальной "жертвой", чего у ЦБ с банками просто нет. Так что вопросы к инициативе остаются, хотя сама по себе она, если не вдаваться в детали, очень правильная.

Читать полностью…

Пост Лукацкого

В отчете ЦСР по рынку ИБ говорится о том, что сегмент защиты данных, который включает в себя и СЗИ от НСД, и DLP, и средства шифрования (не путать с VPN), в России упал за прошлый год на 40% (один из двух просевших сегментов рынка) что странно, учитывая тот факт, что у нас с защитой этих самых данных носятся все как с писанной торбой. Может быть это связано как раз с усталостью рынка - средства защиты есть, а утечек меньше не становится. А может с тем, что сегмент защиты данных есть, а как эти данные выявлять и классифицировать, чтобы потом защищать, никто не знает. Но итог пока неутешителен - снижение сегмента рынка на 40%.

Но так как в мире этот сегмент растет на 19% ежегодно, то возникла мысль вдуть жизнь в угасающий рынок, для чего 23 октября в Москве пройдет первое масштабное мероприятие, посвященное именно защите данных. Никаких SOCов (хотя про реагирование на утечки будет), никаких VPN (хотя про гомоморфное шифрование будет), никаких персданных (хотя про практику поведения в суде будет), никаких NGFW (хотя секция "НеГартнер" про новые технологические решения тоже будет). Вообще программа выглядит вполне себе приятной (что немудрено ☺️).

Я буду вести дискуссию "То, о чем никто не хочет думать, занимаясь защитой данных", куда забрал все темы, о которых мало кто задумывается при построении архитектуры защиты данных, а именно:
1️⃣ Если данные утекают через открытые БД на периметре, то как мониторить защищенность внешнего периметра организации?
2️⃣ Если мы все говорим про уход в облака, то как там мониторить работу с данными?
3️⃣ Чтобы защищать данные, их надо выявить и классифицировать, и желательно в автоматическом режиме. Как?
4️⃣ Если утечка произошла у подрядчика в рамках supply chain, то как этого недопустить в будущем?
5️⃣ Ну и еще пару горячих тем будет; не буду раскрывать раньше времени.

Так что буду рад увидеть у себя на секции 23 октября.

Читать полностью…

Пост Лукацкого

Раньше, в LinkedIn была практика, когда китайцы стучались в личку и предлагали поделиться с ними уязвимостями за вознаграждение. Сейчас они перешли к другой практике. Пишут вот такие письма и предлагают поучаствовать в исследованиях или написать для них статьи по темам кибербеза, что, как мы понимаем, является прямой дорогой к статьям 275 и 275.1 УК РФ, то есть к госизмене.

ЗЫ. Может и не являться, но зачем рисковать? Объясняться-то потом с товарищем майором вам, а не Го Сяочунь, которую по-русски зовут Кристиной 😊

Читать полностью…

Пост Лукацкого

Интересный вектор. Не то, чтобы новый, - его даже в фильмах использовали. Но там речь шла об акустике с идеальным слухом, а тут уже речь об автоматизации данного процесса.

Читать полностью…

Пост Лукацкого

Интересный такой дашборд по Cyber Threat Intelligence. Сделан на базе одного из многочисленных сервисов по созданию дашбордов "все в одном". Я себе такой давно ищу, но в чисто локальном варианте, без облаков, доступа в Интернет и т.п. ограничений. Пока не нашел (если вдруг знаете какой-нибудь софт для этой задачи, то напишите в личку). А этот сервис интересен еще и тем, что в явной форме позиционирует кибербез и OSINT как один из основных сценариев своего использования. На самом деле это вообще единственный сценарий из явно заявленных; все остальное банально - "для бизнеса" или "для команд" или "для персонального использования".

Читать полностью…

Пост Лукацкого

🛡 Если вы живете в Беларуси и работаете в сфере кибербезопасности, не планируйте ничего на 28 сентября.

Именно в этот день пройдет первая конференция «Позитивный SOC» (Positive SOCcon) от Positive Technologies в Минске (отель DoubleTree by Hilton).

Указ Президента Беларуси № 40 определил концепцию национальной защиты информационной инфраструктуры организаций Беларуси от внешних и внутренних угроз.

На конференции будем говорить о том, как сделать защиту эффективной и измеримой, построить систему результативной кибербезопасности и защититься от кибератак, несущих недопустимый ущерб.

Обсудим все актуальные вопросы организации и работы SOC.
В деталях разъясним положения указа № 40.
Разберемся, какие системы мониторинга, аналитики и реагирования сегодня необходимы каждой компании.
Поговорим, насколько эффективным может быть автопилот в системах ИБ.
Подискутируем о том, что мешает кибербезопасности стать результативной.

Забронируйте дату и следите за новостями, скоро поделимся подробной программой и расскажем, как зарегистрироваться.

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Вам же знакомо классическое условие для нормального моделирования угроз? Надо знать, что вы защищаете, понимать, как оно работает, зачем его используют, и как его работа может быть нарушена. Тогда и модель угроз сама выстраивается без труда. Так вот чтобы понять модель угроз робота-стриптизерши надо обязательно посетить стриптиз-клуб и понять, ради чего туда ходят люди и что они там делают. Тогда вы поймете, что помимо очевидной истории взлома через беспроводной интерфейс, более реальная история - взлом за счет установки импланта в процессе засовывания купюры за резинку чулков 🤑 (это я со слов друзей знаю, вы не подумайте ничего). Кстати, купюра и может быть таким имплантом!

ЗЫ. Если пост наберет много-много лайков, то возможно в государстве F киберполигона Standoff, а также на его виртуальных аналогах - городах Софтвилл и Хакербург, появится и такая зона для тестирования безопасности. И вы на законных основаниях сможете отпроситься в стриптиз-бар "по работе" 😂

Читать полностью…

Пост Лукацкого

Оказывается, учебники английского языка для специалистов по кибербезу очень популярны у нас в стране (как минимум, с точки зрения их написания). После публикации заметки в выходные подписчик прислал мне еще два учебника, а я потом нашел еще три. Так что есть из чего выбрать, если вам хочется совместить полезное с полезным 😊

Читать полностью…

Пост Лукацкого

ФБР, Европол и другие правоохранительные органы 👮🏿‍♂️ провели операцию по перехвату управления одной из площадок по организации DDoS-атак. Вот так заходишь утром в канал для получения очередных инструкций (это я не про себя, если что) и новых целей, а там тебя и 32349 твоих коллег уже ждут сотрудники в штатском ⚖️

Читать полностью…

Пост Лукацкого

Я, конечно, не экономист, но мне кажется действия или бездействие Центрального банка 🏦 сделали для импортозамещения на рынке ИБ гораздо больше всех остальных вместе взятых. При цене доллара в 60 рублей в ноябре 2022 года (при бюджетировании) можно было планировать покупку зарубежных средств защиты 🤑; даже из недружественных государств по параллельному импорту. Но при цене в 100 рублей 📉 за доллар это становится уже нецелесообразно и даже если не хотел (а отчет ЦСР показывает, что пока импортозамещение не так активно занимает умы потребителей в ИБ), то все равно придется смотреть в сторону отечественного производителя. Но...

Это приводит к снижению конкуренции и чтобы заставить отечественных вендоров заняться улучшением своих продуктов (с точки зрения функциональности, удобства, масштабирования, качества, поддержки и т.п.) их нужно пинком выпихивать на международные рынки 🌍, чтобы они вновь начали нормально конкурировать с иностранцами (даже если только и из дружественных стран). Но тут нам уже не поможет Центральный банк, который не занимается экспортопригодностью отечественных решений по ИБ. И самое печальное, что ни ФСТЭК, ни ФСБ, устанавливающие требования к продуктам ИБ, также не занимаются этим. У них нет в полномочиях задач, связанных с помощью в выходе наших решений на международные рынки. Это у нас функция Минцифры, но они за ИБ в этой части не отвечают.

Читать полностью…

Пост Лукацкого

Немного продолжает подплющивать от ситуации с Литрес. Слева пример сгенерированных ими паролей, который они присылают при регистрации (да-да, в открытом виде). Справа это уже я менял пароль (там не меньше 20 символов), но Литрес считает, что это они его сгенерили. Смешные…

Читать полностью…

Пост Лукацкого

Вот тут пишут, что женщины обладают врожденным инстинктом моделирования угроз и оценки рисков и грех не использовать это в кибербезе, в котором засилье мужиков и гендерный перекос 💃

Читать полностью…

Пост Лукацкого

С утра была дискуссия на тему, кому нужна эта дурацкая утечка Литрес, если там кроме логинов, хешированных паролей и почт особо ничего и нет. Даже истории покупок нет (по крайней мере в публично выложенном фрагменте). Но когда одну из моих пока еще неиспользованных и созданных три недели назад учеток подломили и я менял там пароль, то я увидел несколько сценариев, как плохие парни могут воспользоваться утечкой:
📕 Скачать все книги, которые вы купили и которые хранятся в разделе "Мои книги". Я по своей основной учетке прикинул - с 2008 года куплено 140 книг, то есть это под 75-90 тысяч рублей примерно. Потом эти книги можно выложить в паблик или продавать за платные смски. Если бы так взломали Amazon, то там у меня книг тысяч на 10-15; и не рублей.
📕 С Литреса можно выводить деньги. Раньше это работало и для обычных покупателей (можно было со своего счета вывести деньги), но сейчас, насколько я понял, это работает только для авторов самиздата на Литрес, а также для тех, кто озвучивает аудиокниги.
📕 Если у вас есть купоны и сертификаты Литреса, то, допускаю, что ими тоже можно воспользоваться.
📕 Если вы весь из себя добропорядочный семьянин, а покупаете на Литрес жесткое порно, то вот вам и тема для шантажа (я, правда, не знаю, есть ли там порно, но отметка о взрослом контенте в личном кабинете есть).

ЗЫ. А Литрес тупо молчит и ни пароли не сбросит, ни письма пользователем не разошлет. Выходные, чо...

Читать полностью…

Пост Лукацкого

Американские власти распространяют среди своих полицейских и других правохранителей ДСПшное предупреждение об опасности Flipper Zero 😈

Читать полностью…

Пост Лукацкого

У американцев наблюдается некоторый коллапс в медицинском обслуживании, который начался в четверг с обычного "инцидента с данными". Станции скорой помощи закрылись в ряде штатов. Многие медицинские системы отключены. Анализы крови не принимаются. Хирургические операции не проводятся. И такое происходит по многим штатам, в которых больницами заправляет холдинг Prospect Medical Holdings. Яркий пример, когда недопустимое событие одной компании превращается в отраслевое.

Читать полностью…

Пост Лукацкого

ЦБ хочет проверять реальную защищенность банков путем отправки им писем с вредоносным кодом. Хорошая инициатива, но вопросы к процедуре, конечно, есть. Помните 213-й приказ ФСБ про мониторинг защищенности, о котором я уже писал в конце весны? Там была странная конструкция про внезапный мониторинг защищенности без предупреждения, но с предварительным уведомлением. Так и тут. ЦБ планирует внезапные проверки, но при этом адреса для отправки вредоносов собираются с самих банков, которые, получаются, знают, кого будут проверять.

А это превращает всю идею в профанацию. Ну это все равно, что я иду сдавать экзамен, а ответы на вопросы у меня уже в кармане. Никакой неожиданности. Что мешает мне поставить данные адреса на дополнительный мониторинг? Ведь, если бы честными до конца, данная проверка превратится в самоцель (да-да, я снова про закон Гудхарта), а банки будут стремиться не выстроить защиту, а пройти проверку, навесив на 30 адресов e-mail кучу средств защиты, чтобы никто не прошел. 🧙‍♂️

По уму нельзя спрашивать ни 30, ни даже 1 адрес тех, кого будут проверять. Если уже "формировать условия, приближенные к реальным", то надо применять либо OSINT и пробить эти адреса через соцсети, либо запросить "адреса сотрудников, неработающих в службе ИБ" в других департаментах ЦБ. Если уж сюрприз, то полный, а не заранее подготовленный, когда все все знают и понимают, но делают вид, что все взаправду.

Где вы видели, чтобы реальные хакеры просили у жертв поделиться адресами для атак?..

Читать полностью…

Пост Лукацкого

Странные люди встречаются - пытаются убрать ссылку из каталога российских разработчиков средств защиты информации, который я у себя на сайте разместил. И при этом не имеют отношения к сайтам, ссылки на которые они требуют удалить 🤦‍♂️

Читать полностью…

Пост Лукацкого

Вслед за США и многими европейскими странами запрет на китайскую микроэлектроники 🇨🇳 при разработке вооружений ввела и Индия, опасаясь, что она напичкана закладками. И это, конечно, очень интересная история. То, что китайцы ведут свою игру - это не вызывает ни у кого вопросов. И то, что они активно шпионят 👲 через свои изделия - тоже не секрет. Случаев со смартфонами, сетевым оборудованием, банкоматами и т.п. известно не мало. По прошлой жизни помню как на курсах по supply chain атакам нам показывали китайские импланты в сетевое оборудование 🐉. Так что решение Индии явно не случайно. А перед Россией встает вопрос, который был сформулирован Чернышевским еще 150 лет назад, - "Что делать?" Не использовать китайское железо мы не можем, своего у нас пока нет, а американское нам уже в достаточном количестве не поступает...

ЗЫ. У меня тоже рецепта нет 🤷

Читать полностью…

Пост Лукацкого

Думаю вы слушали о решениях класса Attack Surface Management? По крайней мере я про них уже писал. А о подходе по управлению сопротивляемостью атакам вы слышали? Это достаточно новая история, хотя и состоит из уже известных компонентов. Новизна - в объединении их вместе. А еще мне понравился термин - "сопротивляемость атакам"...

Читать полностью…

Пост Лукацкого

Так как у народных избранников мозги работают не так как у народа, который их вроде избрал, то они на все смотрят с отрицательной точки зрения и пытаются не стимулировать, а запрещать. Вот и вчера заместитель председателя Госдумы Борис Чернышов (фракция ЛДПР) направил в Минцифры письмо с предложением разработать и внедрить специальный знак "ненадежного оператора" для компаний, допустивших утечку персданных клиентов По мнению депутата Чернышова, такой знак поможет гражданам нашей великой страны сразу понять, стоит ли доверять компании или нет.

Я хочу напомнить, что в 2011-м году в России уже была идея маркировки операторов персональных данных, но не тех, кто допустил утечку, а тех, кто, наоборот, уделяет должное внимание вопросам кибербеза. На картинке вы видите народный логотип, выигравший в голосовании 4500 человек на специально созданном сайте (до сих пор жив). Почему "пивная пробка" выиграла в голосовании я до сих пор не знаю (хотя 12 лет назад я и задавался этим вопросом), но сама идея не несла негативной коннотации, а была позитивной. Должны были быть разработаны правила выдачи и отзыва логотипа, вестись реестр добросовестных операторов ПДн и много чего еще полезного. Но не взлетело 😭 Вот о чем стоило бы подумать депутатам, а то и умеют только, что запрещать да блокировать.

ЗЫ. Картинка ☝️ не фейк - это именно тот логотип, который выиграл "народное голосование".

Читать полностью…

Пост Лукацкого

Буду там 👇

Читать полностью…

Пост Лукацкого

Американская NCC Group сократила 43 своих пентестеров (30% своей североамериканской команды). Но пока официально это не анонсировала. А вот HackerOne официально сообщила о сокращении 12% своего штата. Непросто американцам сейчас 😩. Однако это не помешало HackerOne выпустить неплохое исследование, отвечающее на множество интересных вопросов относительно легальных хакеров и багхантеров, среди которых:
1️⃣ Почему легальные хакеры нашли в прошлом году 65 тысяч уязвимостей, а CVE зарегистрировано только 25 тысяч?
2️⃣ Какие инструменты используют белые хакеры и багхантеры?
3️⃣ В чем мотивация багхантеров и почему они должны пойти искать уязвимости у вас на сайте или иных ИТ-активах?
4️⃣ Почему 50% найденных уязвимостей хакеры не раскрывают?
5️⃣ Какие самые популярные точки приложения сил легальных хакеров и багхантеров?

Попробовал написать об этом в блоге.

Читать полностью…

Пост Лукацкого

Приходите вы в самый-самый-самый банк страны. Менеджер (или менеджерша, или менеджерица?), вся такая вежливая, проводит к своему столу и предлагает установить мобильное приложение подсанкционного банка к вам на устройство 👨‍💻. И все бы ничего, но вот и пароль от самого лэптопа, и пароль от AppleID записаны на приклеенной к лэптопу же бумажке 👨‍💻. Правда, пароль длинный, со спецсимволами, все как полагается! 🧑‍💻 Но что-то все-таки не то в таком подходе...

Читать полностью…

Пост Лукацкого

В тему с сертификацией ФСТЭК вдруг подумалось 💭 Регулятор же рассматривает конкретное средство защиты, как самостоятельный комплекс, оторванный от всего; висящий в вакууме. Поэтому в требования прописывается чуть ли не максимум того, что вообще должен уметь продукт определенного класса. А ведь в реальности это не так. Мы строим систему защиты из говна и палок множества решений, коммерческих и open source, встроенных и наложенных. То есть отсутствие механизма защиты в одном средстве компенсируется его наличием в другом, возможно совсем иного класса. И покупая продукты, мы прекрасно понимаем, что не обязательно искать продукт «все в одном». А регулятор таких допущений себе позволить не может. В итоге, средство защиты по версии регулятора - это «олимпийский чемпион», который может то, что не нужно 95% компаний или это может быть реализовано в связке с другими решениями.

Читать полностью…

Пост Лукацкого

После фразы «из соображений безопасности мы не можем восстановить прежний пароль» можно было бы пошутить насчет «а хакеры могут», но не буду 🤔

А вот отмеченный красным фрагмент меня зацепил. Если я не запрашивал восстановление пароля, но при этом получил письмо с запросом на подтверждение, то это явно не то, что стоит игнорировать. Это как раз повод пойти и поменять пароль; так сказать, во избежание. Или, как минимум, написать в техподдержку; особенно если MFA у вас не установлен.

ЗЫ. Когда Литрес пишет, что утекли только e-mail пользователей, они, мягко говоря, звиздят лукавят. С помощью утекших паролей зайти в учетку элементарно со всеми вытекающими, мной описанными ранее. Когда они говорят, что они усилили уровень защиты и ужесточили контроль, то тут они опять звиздят лукавят. Усилить уровень защиты - это ввести MFA, генерить сложные пароли и не присылать их в открытом виде. И как они за сутки успели усилить и ужесточить, если даже до сих пор по своим клиентам не разослали никаких писем? Хотя напоминание о неоплаченных покупках слать не забывают.

Читать полностью…

Пост Лукацкого

Помню, у меня давно была идея о создании курсов английского с примерами из кибербеза, чтобы ученики постигали азы иностранного языка на привычных примерах и понятных текстах. И вот кто-то сделал.

ЗЫ. Сам пока не читал - она у меня в отложенных на Литресе была

Читать полностью…

Пост Лукацкого

SANS выпустил постер про реагирование на инциденты и их расследование на платформах macOS и iOS

Читать полностью…

Пост Лукацкого

Кто-то уже попытался вломиться в одну из моих учеток на Литрес 🧑‍💻. Учитывая, что двухфакторной аутентификации там нет, первичный пароль при заведении учетки они делают из 7 символов (и букв там нет), а пароль они присылают на e-mail в открытом виде 😫, то удивительно, как их раньше-то не взломали 🤔

ЗЫ. Поменяйте пароль!

Читать полностью…

Пост Лукацкого

Модель разделения ответственности применительно к инструментам искусственного интеллекта, разворачиваемых в разных локациях

Читать полностью…

Пост Лукацкого

Помню была у меня история много лет назад, когда я еще работал на Винде. Накрылся у меня жесткий диск; да так, что восстановить данные с него было нельзя, а я обращался к разным компаниям и людям по данному вопросу. Были безвозвратно потеряны данные примерно за полгода. Почему у меня не было настроено резервное копирование? Было, но я его отключил, так как на Винде оно работало через жопу, неудобно и очень медленно, постоянно приводя к тормозам на компе. В какой-то важный момент (видимо презу, как обычно в последний момент делал) я психанул и вырубил бэкап. А жесткий диск подвел... 💾

Потом я перешел на macOS, которая сделана для людей, и резервное копирование там настраивается в пару кликов и больше не требует никаких усилий со стороны пользователя (ну разве что проверять иногда, что бэкапы делаются). Позже, я включил еще облачный бэкап важных файлов, а потом и резервирование данных на локальный NAS. Да, я после того случая с потерей данных стал параноиком. Урок был извлечен, хотя он и был болезненный. 🤕

И вот философский вопрос. Какими должны быть уроки по кибербезу, чтобы мы их извлекали и делали правильные выводы? 👨‍🎓 Шифровать данные без возможности восстановления? Реально украсть в рамках пентеста и выложить в сеть ценные данные? ЗаDDoSить Интернет-магазин в канун Рождества и Нового года и потерять кучу бабла? Таки ввести оборотные штрафы и компенсации? Нет у меня ответа на этот вопрос. Возможно, потому что я слишком слабохарактерный...

ЗЫ. Это видео с примером урока плавания собрало в Интернете несколько тысяч комментариев, которые, понятно, можно поделить пополам - от "так и надо учить без всяких уси-пуси" до "что за зверь эта инструкторша, не пускать ее к детям больше никогда". Говорят, в советском детстве так многих учили плавать. Я не знаю - сам тонул дважды и в итоге научился как-то плавать без помощи 🏊🏻‍♂️ Но своих детей я так не рискнул «учить» 🤷

Читать полностью…
Подписаться на канал