alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Google выпустил модель угроз для постквантовой криптографии. Когда А.П.Баранов на РусКрипто использовал фразу «фантазийная криптография», я подумал, что он, в контексте высказанной им мысли, просто использовал слово «фантазия» как синоним «непонятно как работает». А теперь я уже и не уверен 🤔 У Google в модели угроз термин «фантазийная криптография» (fancy cryptography) тоже используется 🔐

Читать полностью…

Пост Лукацкого

Бесплатный курс по облачной ИБ от Рича Могула

Читать полностью…

Пост Лукацкого

Вот не понимаю я такой статистики. Зачем сравнивать и ориентироваться на прошлогодние значения числа утечек ПДн? Ну составляет текущий объем утечек 40% от прошлогоднего (а утечка 500 миллионов ПДн "имени Роскомнадзора" до сих пор никем не подтверждена). И что? Это плохо? Это хорошо? 🤔 Это вообще не ориентир. Вообще может сложиться впечатление, что у нас с защитой персданных ситуация становится только хуже, но это не так ☹️

Я сторонник "экономического" взгляда на ИБ и могу сказать, что ситуация с защитой становится лучше. Об этом говорит рост цен на пробив 🤑 В свое время, для одного банка мы внедряли программу измерения эффективности ИБ и все-все-все метрики свели к одной - стоимость пробива данных по клиенту на черном рынке. Свести ее к нулю невозможно, но вот добиваться постоянного повышения вполне. И если цена на черном рынке растет, то значит банк реально усложняет жизнь хакерам и инсайдерам. Вот и отчет DLBI показывает, что оно так и происходит, а значит определенные усилия дают свой эффект 💪

Но число же опубликованных утечек стало больше! Да, стало. Но это вообще не показатель. Нельзя сравнивать число утечек до СВО и после - это вообще две разных Вселенных, живущих по своим законам. Раньше взломы были преимущественно финансово мотивированными, а сейчас ломают все, что в зоне .RU 🇷🇺 А так как всякие мелкие конторы, интернет-магазины и т.п. по-прежнему защищены из рук вон плохо, то и результат мы имеем такой, какой все видят, - число публичных утечек растет. И оно будет расти 📈

И математику тут в лоб не надо применять. Если у вас в прошлом году было 200 утечек, а в этом 250, это не значит, что рост составил 25%. Если взять рейтинг 4000 крупных предприятий по Интерфаксу, то в прошлом году у вас утекли данные 5% компаний, а в этом - 6,25%. 1,25% - это много? А сколько утечек было в компаниях именно из этого рейтинга? 5 в прошлом и столько же в этом году? И можно ли тогда вообще говорить о взрывном росте утечек?

Вот и получается, что у нас ситуация немного отличается от того, что лежит на поверхности, и от того, по чему судят депутаты и сенаторы, внося очередную инициативу по ужесточению, запрету, ограничению, увеличению штрафов и т.п. "ТщательнЕе надо" (с) как говорил Жванецкий 🤓

Читать полностью…

Пост Лукацкого

Крымское МВД поставит ростовые фигуры полицейских рядом с банкоматами для профилактики киберпреступности. ҟҟ

Читать полностью…

Пост Лукацкого

А Тинькофф молодцы 👍 И оплату найденных багов в Bug Bounty подняли в 2,5 раза, до 1 миллиона, и CTF в тессеракте объявили. То есть и свои продукты безопаснее делают, и исследователей привлекают, и молодежь развивают.

Ну и чтобы уж второй пост не писать, 🟥 тоже новые продукты на Bug Bounty вывела - Maxpatrol SIEM и VM. Сумма вознаграждения за найденные уязвимости также составляет до 1 миллиона рублей 😳 А в кибербитве Standoff 13, которая стартует в мае, на кону 7,5 миллионов рублей.

Если бы такое предлагали, когда еще я учился, то может быть бы мне багхантером. Я ведь тоже искал способы обхода средств защиты - Secret Net сносил с компа, продукты ISS (еще до ее покупки и убиения IBM'ом) обходил и все такое. И все бесплатно, пользы общей для. А так бы мог заработать на этом. И хотя кандидат в президенты страны от коммунистов носился с лозунгом "Поиграли в капитализм и хватит", могу сказать, что капиталистический подход Bug Bounty - любой труд должен быть оплачен, мне нравится больше субботников с красным кумачом 🧣

Читать полностью…

Пост Лукацкого

Ну а чтобы вы не чувствовали себя обделёнными интеллектуальными играми 🎮, вот вам три картинки, в которых зашифрованы анаграммы по криптографии. Анаграммы даны по возрастанию сложности 📈

Напомню, что анаграмма - это слово, перестановка букв которого дает другое слово 🎮 Раньше использовалась как метод тайнописи, с чем связано много разных забавных историй и казусов. Про них я как-нибудь расскажу потом, а у вас есть возможность угадать, что же скрыто в данных трех картинках. Правильные ответы дам в конце дня или на выходных! 🕹

Так-то у вас должно получиться минимум 2 слова, представляющих собой анаграмму, но ответом считается только одно слово, имеющее отношение к криптографии 💡

ЗЫ. А если вы не любитель интеллектуальных игр, то можете почитать про то, как сложность требований регуляторов приводит к тому, что на прошедших выборов многие избирательные комиссии применяли несертифицированные СКЗИ, используя неквалифицированные сертификаты, что является нарушением, приводит к неквалифицированной электронной подписи и, крамольную мысль выскажу, делает бюллетени нелегитимными 🤨

Читать полностью…

Пост Лукацкого

Вот, собственно, и сами рассекреченные материалы, за которые спасибо Музею криптографии! 🙏 А у нас квиз в самом разгаре 🕹

Читать полностью…

Пост Лукацкого

Сервис FlightRadar запустил карту атак на GPS (GPS Jamming). Видимо, описанная ранее история с нарушением работы систем радионавигации набирает обороты. А если мы ее экстраполируем на любые устройства с GPS (БПЛА, беспилотный транспорт, станки и даже мобильные телефоны), то сразу становится понятно, что это тема непростая. И в обычных компаниях ее могут "повесить" на ИБ.

Читать полностью…

Пост Лукацкого

Сегодняшний день на РусКрипто 2024 🤒 подарил новый термин от Баранова Александра Павловича "фантазийная криптография" и заявление от него же, что

"вся наша криптография основана на непонимании, как она работает"
😯

и добавлении, что

"квантовая криптография - это вторая тема, которую мы не понимаем, но полагаемся на нее и активно продвигаем".


Это, конечно, сильные заявления от человека, почти 20 лет фактически руководившего криптографической службой в стране 🇷🇺

Ну а я пока готовлю интеллектуальный криптографический квиз "Игра в имитацию", который пройдет уже завтра. Места во всех 8-ми командах уже расписаны, но, возможно, парочка мест еще найдется. В этом году прямо аншлаг на возможность размять мозги 🧠 и расширить свой кругозор!!!

Читать полностью…

Пост Лукацкого

Читал я тут курс по ИБ для собственников и владельцев бизнеса 🧐 из совершенно разных сфер экономики - от строительства до ритейла (не госы). И могу сказать, что тема недопустимых событий, ответственности CISO за результат, бизнес-взгляда на ИБ и т.п. очень хорошо воспринимается топами и прям находит у них отклик. Сначала они скептически смотрят на тему ("Опять будут пугать штрафами и мифическими угрозами"), а после смотрят совсем по-другому. Ну и отзывы это подтверждают - средняя оценка 9,5 (по 10-балльной шкале) 👍 Похоже нащупал и контент, и форму подачи. Но есть еще куда развиваться.

Читать полностью…

Пост Лукацкого

На досуге подрабатываю ИБ-дизайнером в виду отсутствия оных в реальной жизни 🎨 Обратились тут за консультацией, как мол, привлечь молодежь на кафедры ИБ. А то, говорят, цитаты из речи гаранта про будущие поколения и важность кибербезопасности, а также проброс к цитате Ленина про "учиться, учиться и учиться" не дают должного эффекта.

А я что, мне не сложно нагенерить кучу идей (вот чего-чего, а генерить идеи - это мое; в отличие от их реализации). Вот один из плакатов быстренько сваял "из того что было". А чего, не все знают, что история инфобеза насчитывает тысячелетия, в отличие от ИТ, которые могут похвастаться только тем, что отсчитывают свою историю от Ады Лайвлес и Чарльза Беббиджа 🧮 Родословная от дочери Байрона - это солидно, но заниматься тем, что еще Рамзес II привечал, вдвойне лучше.

ЗЫ. Да, если вы думаете, что я шучу про Древний Египет, то нет. Вот тут я рассказывал несколько историй из истории 🤓 Ну и в курсе про введение в ИБ тоже.

Читать полностью…

Пост Лукацкого

Интересный кейс подсмотрел у Алексея Мунтяна. История началась в 2018-м году, а закончилась только в февраля этого года. Один итальянский 🇮🇹 банк столкнулся в период с 11 по 21 октября 2018 года с атаками на свою систему мобильного банкинга, что повлекло за собой к утечке персональных данных клиентов банка. Банк был оштрафован и на этом историю можно было бы закончить, но тогда и писать было бы не очень (у кого данные не утекали?) 🏦

Но...в процессе расследования выяснилось, что в это же самое время у пострадавшего банка был пентест 🛡 со стороны компании NTT Data в соответствие с заключенным договором. Пентест длился с 1 по 26 октября 2018-го года. При этом сами инструментальные работы проводились с 1 по 12 октября, подготовка отчета шла с 13 по 22 октября, а уточнение представленной информации и отправка финального отчета - с 23 по 26 октября ✉️

Но дальше выяснились пикантные детали - NTT Data привлекла к проведению пентеста субподрядчика, что было явно запрещено договором. NTT Data не уведомила банк о субподряде 🤐 Субподрядчик нашел уязвимости, которые были использованы в атаке на банк, 10 октября 😵 19 октября он сообщил об этих уязвимостях в NTT Data, которая, в свою очередь, проинформировала банк об этих уязвимостях только 22 октября (уже после утечки ПДн). При этом в договоре с NTT Data было требование немедленного уведомления о критических уязвимостях

NTT Data стала оправдываться 🧑🏻‍⚖️ тем, что у нее был заключен договор не с банком, а с его материнской компанией, что он должен был все проклассифицировать, прежде чем отправлять данные об уязвимостях, что он был загружен 🤓 и поэтому был субподряд, что субподрядчик - "честный человек", что NTT Data добропорядочная компания и никогда никого не обманывала и GDPR не нарушала, что она вообще не знала 🤷‍♀️ об утечке и об атаках на банк, так как не оказывала услуг мониторинга ИБ, а только пентесты... Но суд во внимание это все не принял и наказал NTT Data на 800 тысяч евро.

А теперь, внимание, вопросы:
1️⃣ Не напоминает ли это все историю с будущими оборотными штрафами за инциденты с ПДн?
2️⃣ То, что банк хакнули через уязвимости, выявленные в ходе пентеста, это совпадение?
3️⃣ А вы, привлекая пентестеров на работы, четко описываете все такие кейсы в договоре?

Читать полностью…

Пост Лукацкого

Тут Gartner описал сферы влияния CISO, которые помогают ему достигать 🤔 чего-то важного и ценного в своей деятельности. Интересная такая картинка, с которой я местами согласен, а местами как-то не очень. Но идея показано верно - больше всего времени тратится там, где большого толка ждать не приходится ☹️ И если уж стремиться к нанесению бизнес-пользы, то и общаться надо с правильными людьми. Ну или наоборот - общаясь с правильными людьми, начинаешь думать как они и приносить для них пользу 🤑

Читать полностью…

Пост Лукацкого

Депутат заявляет, что сейчас из всех средств защиты в России отечественных уже 97%. В прошлом июне он заявлял, что таких средств "всего" 90%. И это рекорд, такой же как и число голосов, отданных за никому неизвестных кандидатов в президенты страны 🤥

Читать полностью…

Пост Лукацкого

Интересный документ выпустило ENISA - про различные практики подтверждения подлинности субъекта при удаленной идентификации 🫦 Начав с обзора сценариев, где это необходимо, они описывают модель угроз для разных сценариев и методов, а затем уже описывают, как это сделать правильно и безопасно 🛡

Читать полностью…

Пост Лукацкого

😱 Что вы будете делать, если вашу компанию взломают?

🅰️ Бегать по кругу с паническим «А-а-а-а-а-а-а-а-а!»
🅱️ Пытаться что-то сделать, вспоминая все, что знаете о кибербезопасности.
©️ Действовать по заранее разработанному плану.

Понятно, что хотелось бы выбрать последний вариант, но как составить этот самый план? Об этом вам расскажет на вебинаре 26 марта в 14:00 Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

Он посоветует, к чему стоит подготовиться заранее, и поделится чек-листом действий, которые нужно предпринять решительно и оперативно, чтобы минимизировать денежные потери и репутационные риски.

Регистрируйтесь, готовьте ваши вопросы и подключайтесь онлайн.

#PositiveЭксперты
@Positive_Technologies

Читать полностью…

Пост Лукацкого

Утром читал спецкурс по киберугрозам в рамках Russian Internet Governance Forum (RIGF) и среди прочего высказал мысль, что любой конфликт в реальном мире будет находить свое отражение в виртуальном пространстве. И вот ☝️очередное подтверждение этому - индийская кибергруппировка будет пытаться найти заказчиков, стоящих за терактом в «Крокус Сити Холле»

Читать полностью…

Пост Лукацкого

А CISA вновь обновило свое руководство по DDoS-атакам. Последний раз они это делали в сентябре. Добавили категоризацию DDoS-атак, новую визуализацию и переписали меры в зависимости от этапа жизненного цикла DDoS (как предотвратить, как убедиться, что под атакой, как реагировать, что делать потом).

Читать полностью…

Пост Лукацкого

Берите идею на вооружение - крымские полицейские плохого не посоветуют!Если что, то у меня ростовая кукла уже готова! 🤡 Правда, пока она пугает только меня, когда я приезжаю на дачу и забываю, что она стоит у входа и выглядывает из окна. Это реально страшно, в ночи увидеть себя в окне 😱 Но может она и воров еще пугает. По крайней мере, соседей справа и слева уже обнесли, а меня не трогают.

Читать полностью…

Пост Лукацкого

Все-таки у "народных избранников" есть сложности с арифметикой 🧮 А как иначе можно трактовать продолжающуюся эпопею с законопроектом по страхованию утечек ПД. Я уже приводил цифры, прозвучавшие на заседании Совета Федерации, посвященного этой теме. Средний объем утечки в России - 2,5 миллиона записей. Если поделить максимально возможную сумму предлагаемого оборотного штрафа в 500 миллионов рублей на 2,5, то мы получим 200 рублей на одну запись.

Больше этой суммы просто нет смысла (даже в самом худшем сценарии развития) выплачивать компенсации, страховаться, оформлять банковскую гарантию, иметь резервный фонд и т.п. А граждан, чьи данные утекли, эта сумма не устроит. Бизнесу не только не выгодно, но и нецелесообразно идти в эту историю, так как платить штраф тупо проще 🤑 (даже если предположить, что суд сразу накажет оперативно и по максимуму, что маловероятно).

Законы экономики никто не отменял и даже депутатам и сенаторам это не под силу. Пока реальные потери (а не их мифическая возможность) от неделанья чего-то не будут превышать выгоды от неделанья, бизнес не поднимется со стула 🙌 Дайте ему налоговые льготы, снижение ставок страхования, отнесение затрат на ИБ и страхование на себестоимость, а не затраты из прибыли... Вот тогда можно уже с калькулятором в руках сравнивать альтернативы. А пока это разговор слепого с глухим 😠

Читать полностью…

Пост Лукацкого

Подогнали видео моих двух выступлений в Кыргызстане на темы (на каждую по 17 с небольшим минут):
1️⃣ "Способы проникновения в банковскую инфраструктуру и методы противодействия им" (презентация по ней)
2️⃣ "SOC на минималках. Основные защитные меры, закрывающие большинство угроз" (презентация по ней).

Читать полностью…

Пост Лукацкого

19 февраля кем-то был создан в Телеге ✈️ канал, который тупо копирует все мои посты отсюда 🤠 И в названии канала моя фамилия использована. Ко мне отношения он не имеет (ссылку давать не буду, чтобы не рекламировать). Допускаю, что сделан мошенниками, желающими выдать себя за меня 😈 Будьте бдительны 🎭 у меня канал только один - /channel/alukatsky

Читать полностью…

Пост Лукацкого

Звонит мне человек, представляется генеральным директором одного небольшого финтеха на 50 программистов (ИБ своей нет) и рассказывает душераздирающую историю, как их пошифровали и требуют выкуп. И вопрошал он меня, что делать в такой ситуации?

А я немного 🤏 впал в ступор, так как объяснить гендиру в кризисной ситуации по телефону последовательность действий, когда у тебя нет тех, кто это будет реализовывать, тот еще челендж. Если, конечно, не отделываться общими фразами и не начинать с похожего на рекламу «Обратитесь к нам, мы вам поможем».

В итоге родилась идея чеклиста и вебинара по тому, что делать, если вас у вас первые признаки инцидента. Вебинар пройдет 26 марта в 14.00. Забейте себе пару часиков в календаре, а ссылку я пришлю позже.

Примерный план вебинара:
1️⃣ Какие действия необходимо предпринять руководству компании в случае инцидента?
2️⃣ На что важно обратить внимание в первую очередь?
3️⃣ Кого надо привлекать для реагирования на инциденты?
4️⃣ Стоит ли вести переговоры с вымогателями и уведомлять регуляторов об инцидентах?
5️⃣ Привлекать или нет внешние компании по ИБ для расследования инцидентов?
6️⃣ Каким рекомендациям стоит следовать и в какой последовательности?

Читать полностью…

Пост Лукацкого

Если к докладу на ИБ-конференции без потери смысла можно в начало добавить «Гарри Поттер и», а в конце «на блокчейне», то можно с уверенностью утверждать, что мы имеем дело с вполне определенной питерской ветвью научной ИБ-школы! 😎

Читать полностью…

Пост Лукацкого

В привлечении в ИБ молодежи не надо быть формалистами - надо давить на болевые точки нашей смены. Например, чего боится молодой пацан 18-ти лет, который выпустился из школы? 😱 Армии!!! Хотя, скорее этого боятся его родители, так как они знают, чего опасаться, а юноша, у которого еще молоко на губах не обсохло, нет. А чего может хотеть здоровый парень с бушующим тестостероном? 😎 Вот это и надо выносить на плакаты, которые развешивать на стенах приемной комиссии!

Если уж мы говорим в ИБ о том, что надо говорить на одном языке с бизнесом, то надо трактовать это шире. Говорить на одном языке надо с целевой аудиторией. В данном случае это абитуриенты! И не надо бояться. А то вот это все скучное "если хотите попасть на специальность 10.04.01, соберите мочу в баночку и сдайте ее в окно 27Б", уже порядком поднадоело 🤠

ЗЫ. У меня, кстати, и другие идеи для плакатов есть 🫵

ЗЗЫ. Был бы у меня дизайнер нормальный, я бы завалил этот мир офигенным визуалом. Но увы, поразъехались по Сербиям да Таиландам, бары себе завели, работать не хотят. Вот и приходится полагаться только на себя да ИИ супостатский

Читать полностью…

Пост Лукацкого

У боязни дырок есть научное название - трипофобия 😱. Поэтому все ИБшники в чем-то немного трипофобы, а в чем-то борцы с трипофобией. Поэтому, если вас девушка или юноша, с которыми вы хотите познакомиться, спросят: "А ты кем работаешь?", можно смело, с налетом таинственности, ответить "Я доктор трипофобии" и загадочно улыбнуться 😱 Это придаст вам веса в глазах окружающих!

ЗЫ. Не забудьте добавить, что у вас отсрочка от армии и льготная ипотека. Тогда зависть ценность ваша в глазах других взлетит на недосягаемую высоту.

Читать полностью…

Пост Лукацкого

В свежевышедшем исследовании "The Future of Application Security 2024" компании Checkmarx поднимался интересный вопрос о том, почему ИБ допускает публикацию в прод уязвимых приложений🤔
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
🖕 Сроки горят, бизнес давит
🦥 Уязвимость некритична/будет исправлена в следующей версии.
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
🙏 Надеялся, что уязвимость не проэксплуатируют
😎 Уязвимость не эксплуатабельна.

Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно😁

Читать полностью…

Пост Лукацкого

🔜 Грядет PHD2, на котором я буду нести с гордо поднятой головой ответственность за бизнес-трек 🧐, который в этом году будет идти 4 дня на 4-х разных площадках в пределах стадиона "Лужники" 🏟 - тут вам и Большая спортивная арена, и шатер поменьше на 600 человек, и совсем маленькие залы. Для каждого из них предлагается достаточно обширная и емкая программа, которая должна по задумке учесть интересы совершенно разных категорий специалистов - от начинающих ИБшников до CISO и от безопасных разработчиков до генеральных директоров 🤓

Мы уже объявили CFP на доклады во всех треках программы, но так как описать всю грандиозную задумку на сайте киберфестиваля оказалось непросто, я написал отдельную заметку, где и изложил и идею, и подробно описал все стримы внутри бизнес-трека, и сдал все явки и пароли 🫴

Так что если вам есть что сказать и вы хотите выступить на арене, на которой до вас стояли Леонид Агутин, Майкл Джексон, Rammstein и "Машина времени", то самое время податься на CFP 🫵

Читать полностью…

Пост Лукацкого

Red Canary выпустила уже 6-й ежегодный отчет с обзором угроз 🤕, который был сделан за счет анализа данных, получаемых с инфраструктуры заказчиков. Как по мне, так отчет не так чтобы и интересен с практической точки зрения. Учитывая постоянные изменения в тактике злоумышленников (не в контексте MITRE ATT&CK), читать про них спустя год после их использования... ну такое себе. Каких-то открытий в отчете нет - все идут в облака, злоумышленники используют ИИ, человеческий фактор рулит, при всем многообразии техник, хакеры используют от силы 10-20 🚫

Самое полезное в отчете - это рекомендации после каждого раздела. Из того, что мне понравилось, отмечу (хотя тоже не новость):
1️⃣ Для борьбы с первичным векторов атаки необходимо выстроить процесс управления уязвимостями и патчами. Если организация не в состоянии это сделать, то хотя бы бы закрывать трендовые уязвимости на периметре.
2️⃣ Отключите автоматическое монтирование контейнеров в Windows.
3️⃣ Управляйте активами, а то защищать, не зная, что, - это такое себе занятие.
4️⃣ Простые рекомендации для защиты от звонков мошенников под видом сотрудников в службу поддержки, а также от имени последних (рекомендации ENISA ☝️ могут помочь решить эту задачу)
5️⃣ Неплохие рекомендации по защите от подмены SIM-карт (SIM Swapping)
6️⃣ Разработайте и внедрите стратегию мониторинга за средствами удаленного управления.
7️⃣ И еще куча рекомендаций для защиты от разных техники и вредоносов
8️⃣ Рекомендаций по ИИ почему-то не дали 😭

ЗЫ. Кстати, название отчета не очень хорошо отражает его суть. Все-таки он не про обнаружение, а про сами кем-то (понятно кем) обнаруженные угрозы. Статистики там много, различные срезы. Но вообще читать отчеты на 160 страниц - этот тот еще квест 👍 Я бы его все-таки разбил на множество маленьких частей - тогда пользы было бы больше.

Читать полностью…

Пост Лукацкого

Вот уже и крест на мне ставят 🦬 Хорошо, что не мне 😇

Читать полностью…
Подписаться на канал