Пост Лукацкого

02 марта 2024 07:40

Птенцы Ким Чэн Ына 🇰🇵 не унимаются - покусились на консульскую службу российского МИДа... Интересно, откуда они получили доступ к ПО, которого в паблике нет? Атака на подрядчиков? Или просто повезло?..

Пост Лукацкого

01 марта 2024 16:06

Реклама страхования киберрисков в Лондоне... Но я не очень понял ее. Не зашло... 🤷‍♀️ (как обычно, спасибо подписчику 🤝)

Пост Лукацкого

01 марта 2024 09:04

Российская ИТ-компания "Гет-Нэт" из Перми крышевала хакеров?!.. 😂 Опять?!.. Атаки через подрядчиков выходят на новый уровень прям 😈

Пост Лукацкого

29 февраля 2024 19:13

Две шутки, которые скоро перестанут быть шутками. Сколько уже раз было, когда ты пытаешься зарегать e-mail типа lukatsky69, а он уже занят (шутка) 🥴 С паролями еще хуже. Скоро свободные пароли кончатся как и IPv4-адреса, и биткойны...

Пост Лукацкого

29 февраля 2024 13:04

А теперь и вторую

Пост Лукацкого

29 февраля 2024 09:36

Я бы в список еще добавил кибер-музей в Муроме

Пост Лукацкого

29 февраля 2024 02:40

🤔 Кого можно назвать человеком года в сфере кибербезопасности?

Узнаете, посмотрев на обложку нового Positive Research. Ищите свежий выпуск, если хотите разгадать загадку.

Больше никаких спойлеров — только короткие анонсы нескольких материалов, опубликованных в бумажной версии и на сайте нашего медиа:

• «Из любви к запретному»: история XSpider и создания Positive Technologies — подробное интервью с Дмитрием Максимовым, сооснователем Positive Technologies и «отцом» нашего первого продукта — сканера уязвимостей XSpider, которому недавно исполнилось 25 лет. Без скандалов, интриг, расследований, но подробно и с душой.

• В рубрике «Темная комната» по традиции сохраняем анонимность автора, который говорит о проблеме CISO — отрицании киберинцидентов и нежелании признавать, тем более, публично свои ошибки.

• Презентуем еще одну интересную рубрику — «Неудобные вопросы», в которой спрашиваем экспертов по кибербезопасности о том, о чем не принято говорить в корпоративном мире.

Читайте, делитесь впечатлениями, а кто же там все-таки на обложке… напишем в другой раз, чтобы не портить сюрприз.

#PositiveResearch

Пост Лукацкого

28 февраля 2024 14:47

Лежащая на поверхности идея сделать на базе матрицы ATT&CK таксономию попыток мошенничества. Вот в проекте ATT&CK4FRAUD эту попытку попробовали реализовать, но не довели до конца...

Пост Лукацкого

28 февраля 2024 06:03

Picus Security выложили свою десятку техник, используемых хакерами в 2023-м году. Относиться к данному 🔝 надо с определенной долей скепсиса, так как это только то, что наблюдают специалисты Picus Security у своих заказчиков. У других ИБ-компаний, которые делились своими Топ10 TTP, другая десятка 🔟 Например, у WatchTower (вы слышали про эту ИБ-компанию?) в десятку входят техники, 7 из которых отсутствуют у Picus. 7 из 10 ‼️ Это очень большое отклонение.

Пост Лукацкого

27 февраля 2024 22:33

Немного смущает, когда у удостоверяющего центра вдруг оказывается просроченным сертификат и несколько дней этого никто не замечает… 🤔

Пост Лукацкого

27 февраля 2024 16:02

Нет позиции - пусть будет экспозиция! Это краткий пересказ заметки Александра Леонова про термин "exposure", который активно используется у иностранцев. Александр считает, что раз наши регуляторы его не определили (а должны?), то пусть будет дословная калька - "экспозиция". Как по мне, так exposure прекрасно переводится как "незащищенность". Можно еще и игривое "обнаженность" 🍑 или "нагота" использовать. Ну уж точно не фотографическое "экспозиция"... 🤕

Хотя зачем вообще задумывать о переводе этого термина? "Exposure Management" вполне себе можно произносить в тех редких случаях, когда это зачем-то надо. И если уж на то пошло, то Александр забыл про свой проект с аббревиатурами для разных классов управления уязвимостями. Если уж у него есть СУУ, СДУП, СДУК и иже с ними, то почему бы не быть и СУНК (система управления незащищенности или наготой компании)? 🍞

Пост Лукацкого

27 февраля 2024 09:02

Закономерный вопрос - кто победит ❓ Хакеры, занимающиеся "чистым" творчеством, или ИБшники, уехавшие на Магнитку, которые погружены в корпоративную бюрократию и на практическую ИБ у которых остается всего 23 минуты из всего рабочего дня ⁉️

ЗЫ. В каждой шутке есть только доля шутки 🤡

Пост Лукацкого

26 февраля 2024 19:13

Вот чего не хватает нашей ИБ - когда о ней начинают говорить топовые инстаграмщицы и блогеры 😲 Представляете, что было бы, когда какая-нибудь Бузова 😱 у себя в Инсте скажет, что для доступа к ее видео надо поставить сертификат Минцифры?.. Шок-контент 😲

Пост Лукацкого

26 февраля 2024 15:51

Дошли наконец-то руки дочитать список новых санкций от США 🇺🇸. В этот раз они существенно расширили список ИБ-компаний. Все они попали в список по разным основаниям - кто-то из-из того, что относится к технологическому сектору, кто-то из-за активной работы с оборонкой. В любом случае это следующие имена:
1️⃣ Код безопасности
2️⃣ Редсофт (выпускают сертифицированную по требованиям ФСТЭК операционную систему)
3️⃣ Т1 Холдинг
4️⃣ РусБИТех
5️⃣ Валидата
6️⃣ КриптоПро
7️⃣ Фактор-ТС
8️⃣ Системы практической безопасности.

В этот раз американцы не сильно запаривались с поиском оснований и просто стали включать в санкционный список ⛔️ просто потому, что компания "having operated in the technology sector of the Russian Federation economy", то есть просто работает в технологическом секторе, что открывает для Байдена огромное поле для все новых и новых пакетов санкций (в технологическом секторе у нас много кто работает) ⛔️

ЗЫ. 5 игроков рынка криптографической 🗝 защиты информации, в том числе выпускающие и "железные" СКЗИ. И осталась у нас вроде только одна криптографическая компания, лицензиат ФСБ, которая не под санкциями 👏 Ну или две.

Пост Лукацкого

26 февраля 2024 09:02

🆕 Интересный пример реакции компании на инцидент ИБ. Компания Change Healthcare (США) столкнулась 21-го февраля с инцидентом 🔓 Первоначально компания не признавала это проблемой ИБ и просто ссылалась на недоступность отдельных приложений, а потом и сетевых коммуникаций. Спустя 12 часов компания признала, что это инцидент ИБ 🤕 Ожидалось, что нарушение работы сервисов продлится не менее одного дня. Но прошло уже 4 дня, а компания все еще не восстановилась.

С 21-го по 23-е февраля компания отделывалась на специально созданной страничке повторяющейся фразой, что они знают про инцидент, что во избежании проблем у клиентов и партнеров они отключили себя от внешнего мира, что это внутренняя проблема компании и на другие активы группы UnitedHealth Group 🏥 этот инцидент не распространился и что инцидент продлится не менее суток.

С 23-го риторика поменялась. К стандартной фразе добавились слова о том, что компания работает 🛠 над разными подходами к восстановлению, что они не готовы брать на себя ответственность за озвучивание сроков восстановления, что они будут предпринимать агрессивные (как это?) меры по восстановлению и т.п. 🤕

Логика в публикации апдейтов на сайте не прослеживается. Где-то идентичные сообщения разделяют 3 часа, где-то 12 минут, где-то 9, где-то и вовсе 1 минута. В чем смысл постить одно и тоже случайным образом не очень понятно. Ясности это точно не добавляет 🤦‍♂️

Согласно источникам, атака началась через Zero Day в ConnectWise и это привело к сбоям в поставке лекарств в аптечные сети по всей Северной Америке 🇺🇸 Рейтинговое агентство Moody's заявило, что эта атака негативно 📉 скажется на кредитном рейтинге UnitedHealth Group, в которую входит Change Healthcare (другое регйтинговое агентство, Fitch, правда, уверяет, что негативного влияния на рейтинг пока никакого нет). Сама пострадавшая компания пока никак не оценивает финансовые потери от данного 4-хдневного (пока) инцидента 🤑

📌 Для информации: Схожая история случилась в России летом прошлого года, когда в Приморье вышла из строя система распространения льготных лекарств. А 4-мя годами ранее, наше Правительство предлагало разрешить продажу лекарств в Интернет только тем аптекам, которые имеют аттестат ФСТЭК на свои информационные системы.

Пост Лукацкого

01 марта 2024 19:13

Господа безопасники, выбросьте уже историю с секретными и кодовыми словами на свалку истории или используйте что-то уникальное, отличное от "девичьей фамилии матери" или "имени первого питомца", легко гуглящихся или находимых в соцсети (вы же понимаете, что если девушка имеет маму в "друзьях" в соцсети, то у последней обычно ее девичья фамилия написана открытым текстом и явно подсвечена в скобках?) 😮

Проявите творческую жилку - задайте вопрос "имя первой девушки, которая вам не дала" или "имя первого парня, который отказал тебе в свидании" 😅 Это запоминается на всю жизнь, но это то, чем никто не будет (как правило) делиться в паблике. Хотя лучше в целом посмотреть на CJM 🗺 для вашего бизнеса и может быть и вовсе уйти от кодовых слов и секретных вопросов, смысла в которых не много, а конверсию они снижают (вы же в курсе, что такое конверсия?)... 📉

Пост Лукацкого

01 марта 2024 12:31

Мы открыли новый набор на PT START!

Сегодня мы начинаем принимать заявки на очередную стажировку PT START, которая запустится 20 марта. Впервые мы проведем стажировки сразу по трем направлениям: разработка 👨‍💻, QA 🤌 и кибербезопасность 📞

Стажировка состоит из трех обучающих модулей:
🔤 PT-START Basic: видеолекции и лабораторные практикумы по основам результативной кибербезопасности
🔤 PT-START Intensive: интенсивы по разным направлениям, когда стажеры плотно взаимодействуют с техническими лидерами наших команд и знакомятся с продуктами компании
🔤 PT-START Internship: оплачиваемая стажировка в командах Positive Technologies. В этом потоке она будет длиться 6 месяцев

Приглашаем начинающих специалистов принять участие в отборе. Стажерами могут стать студенты бакалавриата, специалитета или магистратуры по специальностям «Информационная безопасность», «Информационные технологии» и других технических направлений, а также выпускники, завершившие обучение не более двух лет назад.

Подать заявку можно 🔤🔤 1️⃣4️⃣ 🔤🔤🔤🔤🔤. Мы рассмотрим ее и дадим ответ до 19 марта.

Пост Лукацкого

01 марта 2024 05:40

"В конце концов, я LROT из ЗЕТЫ!" 😲 Вебтун "Zero Day Attack" про хакера-гея и непростые метания хакерогейской души, вставшей на темный путь кракера 🤠

ЗЫ. Вебтун - это корейские комиксы, а манга - японские. Не путайте! 😂

ЗЗЫ. Не является рекламой или пропагандой нетрадиционных сексуальных отношений, включая ЛГБТ!

Пост Лукацкого

29 февраля 2024 16:15

Фоточки с клуба рисковиков подогнали, где я рассказывал про невозможность ⛔️ количественной оценки рисков. Презу я уже выкладывал и слайды не будут чем-то новым. Просто тот редкий случай, когда можно смело 😏 надевать худи "Не введи нас во искушение, но избави нас от Лукацкого" 😱

Пост Лукацкого

29 февраля 2024 09:36

📺 Музеи — это окно в мир истории и культуры, где прошлое становится доступным для нас здесь и сейчас.

На протяжении последних десятилетий компьютеры и информационные технологии стали неотъемлемой частью человеческого бытия. Виртуальные миры, программные коды и вычислительные машины, которые изменили нашу жизнь — все это можно найти в IT-музеях, где каждый сможет не только увидеть артефакты цифрового прогресса, но и вдохновиться для будущих инноваций. Музеи являются источником знаний о том, как современность стала такой, какой мы ее знаем.

Мы составили подборку интересных IT-музеев, в которых вы почувствуете себя участником развития цифровой эпохи, узнаете о первых вирусах, ознакомитесь с техникой советского и зарубежного производства, а также увидите другие экспонаты, благодаря которым так стремительно эволюционировал наш рукотворный мир. Подробнее читайте в наших карточках.

Яндекс-музей
Музей криптографии
Политехнический музей
Музей советских игровых автоматов
Онлайн-музей вредоносных программ

Пост Лукацкого

29 февраля 2024 06:04

Выкладываю первую свою презу с Digital Kyrgyzstan

Пост Лукацкого

28 февраля 2024 17:09

Почему у меня слово "чеклист" на смартфоне автоматически меняется на "чекист"? 🫡 Вроде день сотрудника госбезопасности уже прошел...

Пост Лукацкого

28 февраля 2024 09:33

Во всей этой истории с Lockbit безопасникам интересно не то, что группировка меньше чем через неделю восстановила инфраструктуру, и не то, что они уже снова начали заражать новых жертв, и не то, что они пишут более сложную и опасную версию Lockbit 4.0, и не то, что они вдруг порефлексировали в открытом письме в адрес ФБР, а всего одна фраза из него:

I didn't pay much attention to it, because for 5 years of swimming in money I became very lazy, and continued to ride on a yacht with titsy girls.

Я не уделил достаточно внимания [результатам пентеста своей инфраструктуры], потому что после 5 лет купания в деньгах я стал очень ленивым и продолжал ходить на яхте с грудастыми девками.

Пост Лукацкого

28 февраля 2024 02:40

Вторая моя публичная презентация на Digital Kyrgyzstan 🇰🇬 посвящена SOCам и она продолжает первую историю про методы атак на банковские инфраструктуры. Если в ней я только наметил технологии, которые позволяют выявлять и бороться 🛡 с описываемыми атаками, то во второй презентации я рассказываю, как это все объединить 🎮 вместе, на каких принципах строится свой центр противодействия киберугрозам и почему триады SIEM+NTA+EDR недостаточно, чтобы называться SOCом! 🧃

3-я презентация посвящена больше стратегии построения SOC и на чем ему нужно фокусироваться, чтобы быть эффективным и приносить результат и пользу 🍬 Ну а 4-е выступление (3-4 в закрытой части 🤫) уже про то, как вообще увязать ИБ с бизнесом и на чем стоит фокусироваться, в том числе и с точки зрения центров противодействия киберугрозам. Все 4 выступления дают целостную картину мониторинга и реагирования, которое не только важно для ИБ, но и понятно для топ-менеджеров. Что и требовалось... 🤗

Пост Лукацкого

27 февраля 2024 19:02

Кстати, о спецслужбах... 👮🏻 Мне тут после вчерашней заметки про недопустимые события несколько человек уже написало в личку, что они уже эти НС в страшных снах 😴 видят. Так вот, как муж психоаналитика, могу сказать, что этому есть свое название - "энэсэофобия". Но этот страх не имеет отношения к НС - это боязнь спецслужб, следящих за тобой в соцсетях 👀. У некоторых ИБшников это уже стало профессиональным заболеванием. И недопустимые события тут ни причем 🤷‍♀️

Пост Лукацкого

27 февраля 2024 12:38

Альянс пяти глаз (на пятерых) 👀 во главе с английским NCSC выпустил бюллетень, в котором описал изменения в тактиках и техниках группировки, за которой якобы стоит СВР, которая атакует западную демократию 🤕 Честно говоря, в этот раз не особо интересное чтиво оказалось 🤠 Все изменение - первичный вектор сместился с использования уязвимостей на периметре и внутренних системах на поиск слабых мест в облаках 😶‍🌫️, используемых жертвами (кража токенов, атаки на MFA и т.п.).

После того, как американцы 2 года назад кинули всех россиян с доступом к облачным сервисам, доверие к облакам сильно пошатнулось (и не только в России, но и в других регионах и странах). Так что даже почерпнуть из бюллетеня что-то интересное и полезное не получится... 🤷‍♀️

Пост Лукацкого

27 февраля 2024 05:40

Я уже упоминал, что у меня в Бишкеке 🇰🇬 будет 4 или 5 выступлений. Одно из них посвящено атакам на инфраструктуры финансовых организаций и тому, как этому противостоять. Времени будет немного, поэтому буду перемежать конкретные кейсы взлома организаций из Кыргызстана с общей статистикой атак на финансовые организации 🛡

Пост Лукацкого

26 февраля 2024 17:40

Пора создавать ассоциацию ИБ-компаний, которые попали под санкции (Association of Sanctioned Security), так как их число уже перевалило за 20. Сокращенно, я бы ее назвал 🔤🔠🔠 И пусть попробуют ее тоже санкционировать - предвижу заголовки американской прессы 🍑

Пост Лукацкого

26 февраля 2024 12:33

Хакерские форумы все активнее включают в правила запрет на любые операции, связанные с шифровальщиками (продажу, разработку, рекрутинг персонала и т.п.). И лично у меня это поднимает несколько вопросов:
1️⃣ Если эта тема токсична и ею стремно заниматься, так как поймают и накажут (как Lockbit и др.), то значит остальные темы не так опасны для их организаторов и спецслужбы и правоохранительные органы не сильно напрягаются в борьбе с продажей доступов в организации, продаже зеродеев и т.п.?
2️⃣ Если на обычных форумах такие темы блочат, то скорее всего рансомварьщики перейдут на специалиазированные форумы (такие есть) и в чем тогда смысла? Прикрыть свою жопу?
3️⃣ Сокращение числа площадок, где рекламируются шифровальщики, сокращение кормовой базы, а также более активная роль правоохранителей в поимке, не означает ли более агрессивной политики группировок вымогателей и роста суммы выплат? Раньше они не позволяли себе атаки на медицинские организации, а сейчас в полный рост.

Пост Лукацкого

26 февраля 2024 05:40

Зашел у меня тут разговор с коллегами, которые работают в государственном секторе, про недопустимые события 💥 С самим термином вроде уже потихоньку многие смирились и логика его появления стала более понятной. Но вот, как их определять, до сих пор вызывает вопросы, основной из которых звучит так:

Пусть Минцифры даст 🫴 нам список недопустимых событий и мы тогда сможем с ними эффективно бороться!