alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Не знаю, что вы больше празднуете, День Святого Патрика 🍀 или Масленицу 🥞, но в любом случае поздравляю вас с применением гомоморфного шифрования на выборах главы государства! Да пребудет с вами гомоморфизм! 🥂

Читать полностью…

Пост Лукацкого

Тут в "Коммерсанте" кратко формулируют, почему новости об утечках персональных данных никого не пугают и кому выгодна шумиха про них и введение оборотных штрафов 💡

Я только добавлю свои 5 копеек 🪙 относительно комаров и болота. С точки зрения теории вероятностей у жителя Земли умереть от укуса комара 🦟 шансов в 140 тысяч раз больше, чем стать жертвой акулы. То есть это мелкое насекомое не так уж и безобидно, как мы к этому привыкли (и это лишний раз показывает иррациональность человеческой оценки риска - мы акул боимся, но то, что от бегемотов и коров умирает больше людей, чем т них, в расчет не берем) 🦈

И про болото. Все-таки тут у меня есть выбор - ходить туда, где воет собака Баскервилей или нет. А вот с персданными, которые я вынужден оставлять на множестве ресурсов, чтобы не быть вырванным из жизни, увы, ситуация иная - у меня нет выбора. И, как минимум, различные госорганы обрабатывают мою личную информацию. Но в остальном всецело поддерживаю мысль Максима 🤝

Читать полностью…

Пост Лукацкого

Кстати, в последней загадке, правильный ответ 042!

Читать полностью…

Пост Лукацкого

Во исполнение ранее принятых требований по повышению безопасности ПО, используемого в госорганах США, CISA разработала аттестационную форму, которую обязаны заполнять все поставщики софта для госов. Если поставщик ее не заполняет, то предприятия обязаны запрашивать ее, а если те отказываются предоставлять, то это является формальным поводом для отказа от использования небезопасного программного обеспечения. При этом указание недостоверных сведений в этой форме будет рассматриваться как уголовное преступление со всеми вытекающими 😡

Самоаттестация требуется для любого ПО, выпущенного после 14.09.2022, крупно обновленного после этой даты, а также для всех остальных видов ПО, которые имеет регулярные обновления. Самоаттестация не требуется для
ПО, разработанного госорганами
open source, которое свободно доступно и получено федеральными агентствами (для этого другие требования есть)
для проприетарных компонентов и open source, встроенного в ПО, поставляемое в госорганы (для этого другие требования есть)
для общедоступного ПО.

Форма подписывается гендиректором компании-разработчика и должна содержать доказательства выполнения требований к безопасной разработке, подтвержденные третьей стороной, так называемыми Third Party Assessor Organization (3PAO), аккредитованными для этой работы. В требования по безопасной разработке, которые надо подтверждать, включены многие пункты из NIST SSDF:
1️⃣ Разделение сред для разработки и сборки
2️⃣ Регулярный аудит, мониторинг и регистрация событий для доверенных отношений между окружениями разработки и сборки
3️⃣ Внедрена MFA
4️⃣ Шифрование секретов и кредов
5️⃣ Мониторинг инцидентов ИБ
6️⃣ Средства анализа исходных кодов (SAST/DAST/SCA)
7️⃣ Поиск уязвимостей перед выпуском релиза
8️⃣ Наличие программы vulnerability disclosure

У меня, конечно, есть определенные вопросы к отдельным формулировкам и требованиям этой формы, но сама идея - прямо огонь 🔥 Если бы у нас Минцифры выпустило аналогичные требования для всего ПО, попадающего в реестр отечественного, или хотя бы для того ПО, которое закупается за государственные деньги, то уровень безопасности в стране существенно бы поднялся, качество разработки бы выросло, квалификация разработчиков бы поднялась, с рынка бы ушли фирмы-однодневки. И вообще наступил бы безопасно-софтверный рай 😇

Читать полностью…

Пост Лукацкого

Очень интересный отчет по результатам расследования взлома английской библиотеки 📚 в октябре прошлого года. Приятный пример открытости компании, пострадавшей от взлома, в результате которого утекло 600 ГБ персональных данных и другой информации. Компания не стала скрывать этот факт, провела расследование 👨‍💻 и опубликовала его результаты. Можно только приветствовать такую открытость.

Структура отчета описывает все ключевые и интересные для аудитории моменты:
резюме
причины и анализ атаки
оценка ущерба
реагирование и восстановление
технологическая инфраструктура
будущая оценка рисков
извлеченные уроки и рекомендации

Читать полностью…

Пост Лукацкого

Раз уж я начал эту неделю с темы про невозможность оценки вероятности рисков ИБ, то и закончу неделю тоже темой про риски. Но замахнусь на святое и попробую доказать, что сам термин "риск ИБ" не имеет смысла, так как его используют некорректно.

Читать полностью…

Пост Лукацкого

Счетная палата США 🇺🇸 выпустил отчет о безопасности американской критической инфраструктуры, который можно рассматривать как неплохой такой обзор всех активностей и инициатив, которые реализуются у нашего геополитического соперника 🏭

Перечислены все КИИ, все министерства, вся нормативка, все государственные ИБ-проекты, все продукты и сервисы, предоставляемые CISA для КИИ с их описанием, а также возможные последствия от реализации недопустимых для КИИ событий 💥

Ключевых выводов у Счетной палаты два:
1️⃣ У некоторых "подопечных" негативный опыт использования продуктов и сервисов CISA. Например, бывали случаи, когда между репортингом об уязвимости в средствах промышленной автоматизации до ее опубличивания проходил год и более.
2️⃣ У CISA не хватает квалифицированного персонала в области защиты АСУ ТП персонала. Их всего 9 человек (интересно, сколько в 8-м Управлении ФСТЭК?).
Передовые практики подсказывают, что для устранения этих проблем надо лучше планировать загрузку персонала и заниматься оценкой пользовательского опыта, но CISA этим не занимается 🗑

Знакомая ситуация, не правда ли?..

ЗЫ. А последние примеры недопустимых событий в списке почему-то все связаны с Россией. Почему? Не любят они нас что ли? 😈

Читать полностью…

Пост Лукацкого

Насколько богат русский язык ✍️ смыслами и нюансами. Вот вроде простое слово "подвержен", но какой смысл 😦 вкладывали в него авторы текста? Речь идет о свершившемся факте? Я бы тогда на их месте использовал более понятное и короткое "подвергся". Или речь о том, что сайт был настолько "хорошо" спроектирован и внедрен, что его архитектура была изначально подвержена DDoS-атаке? А что сейчас? 🥺 Уже не подвержена или все еще подвержена и хакеры могут повторить свой успех?

Читать полностью…

Пост Лукацкого

Курс "Базовая кибербезопасность: первое погружение", который я записывал, разместили на платформе Альпина.Лаб, что, безусловно, приятно 😇 Теперь в кибербез могут погрузиться все, у кого куплено корпоративное обучение на этой платформе

Читать полностью…

Пост Лукацкого

Офис директора национальной разведки США 🇺🇸 выпустил отчет с оценкой угроз оплоту демократии Америке. Документ, не в пример литовскому, получился более адекватным и конкретным (видна школа). На вдвое меньшем количестве страниц американцы четко выделили:
4 основные источника угроз (тут ничего нового - Китай 🇨🇳, Россия 🇷🇺, Иран 🇮🇷 и Северная Корея 🇰🇵), с описанием основных активностей актора, экономических и технологических драйверов, влияющих на нацбезопасность, вопросов ядерных и обычных вооружений, космических, кибер- и разведопераций. Все предельно конкретно и без воды, как у прибалтов; картинок и фоточек тоже нет.
Про наши кибервозможности пишут, что Россия активно "работает" по Украине, а также нацелена на АСУ ТП и подводные кабеля (а как же хуситы?).
Китай 👲 в киберпространстве активно плющит инфраструктуру некоренных американцев на Гуаме и пытается нарушить коммуникации📡 между Азией и США, проводит кибероперации против критической и военной инфраструктуры первой экономики мира, а также мониторит своих граждан и проводит репрессии против диссидентов, нарушая их права (кто бы говорил).
Тегеран наращивает киберпотенциал и может стать основной угрозой ИБ для США; продолжает активно атаковать инфраструктуры на Ближнем Востоке 🕌, а также пытается сорвать выборы 2024-го года.
Пхеньян стоит за множеством попыток кибершпионажа и многими киберпреступлениями, а также активно атакует США и Южную Корею.
Из конфликтов, которые могут перерасти во что-то большее, что станет угрозой США, называют палестино-израильскую войну, конфликт в Китайском море, конфликт Индии 🇮🇳 и Китая, Индии и Пакистана 🇵🇰, Азербайджана 🇦🇿 и Армении 🇦🇲, а также потенциальные проблемы на Балканах, в Судане 🇸🇩, Эфиопии 🇪🇹, регионе Сахель (это Африка - Мали, Чад, Буркина-Фасо, Нигер и т.п.; помните литовцы про это тоже писали?), Гаити 🇭🇹 и Венесуэле 🇻🇪. У них пупок порвется, если они везде начнут вмешиваться.
Также у угрозам относят искусственный интеллект 🧠, цифровой авторитаризм и транснациональные репрессии.
Из других упомянутых угроз перечислены оружие массового уничтожения 💥 (ядерное, химическое, биологическое), изменения климата, эпидемии 🦠, миграция, организованная преступность, включая киберпреступность 🤒, торговлю людьми, терроризм, а также частные военные компании. Все это с примерами.

ЗЫ. Про ИБ там немного, но есть. Основное предназначение документа - понимать, куда обращен взор одной и сверхдержав, где и кому она будет вставлять палки в колеса.

Читать полностью…

Пост Лукацкого

Я много раз подступался к теме предсказания кибератак, но последняя заметка подхлестнула мое желание «закрыть гештальт» с этой темой и подсобрать 🫴 воедино все разрозненные заметки и мысли, которые у меня были написаны ✍️ на протяжении последних лет 20 с лишним. Но тему я так и не закрыл и, как мне кажется, даже выпустил джина из бутылки, так как там дофига чего еще всплывает, если начать копать глубже... 🪙

Читать полностью…

Пост Лукацкого

"Интернет был построен, чтобы объединять, а не защищать" (с) CISO Microsoft

Смелое заявление от компании, которая регулярно попадает на передовицы из-за очередного взлома своих сервисов или ее клиентов, использующих продукты Microsoft.

Читать полностью…

Пост Лукацкого

Вчера все репостили эту прекрасную картинку, которая была сделана на сайте Муниципального бюджетного общеобразовательного учреждения "Кольцовская школа №5 с углубленным изучением английского языка" (спасибо за ссылку подписчику) 🤡

На самом деле и в названии памятки и в названии файла закралась ошибка и речь в них идет об излечении ребенка от киберзависимости и обеспечении его личной информационной безопасности. И ничего более ☺️

ЗЫ. Но картинка стала вирусной - мне ее раз 10 переслали из разных чатиков. Напомнило вот эту карикатуру, которую я на днях делал.

Читать полностью…

Пост Лукацкого

Небольшое, семиминутное видео про то, ради чего работает (должен работать) безопасник. Писалось для проекта AM Talk!

Читать полностью…

Пост Лукацкого

Вот это пароль… 😲 Я со счета сбился, когда считал нажатия. При такой длине, можно и пренебречь отсутствием букв 😮 И как он его запоминает-то?..

Читать полностью…

Пост Лукацкого

В последние пару дней многие обсуждают тему отключения облачных сервисов 😶‍🌫️ Microsoft и Amazon для российских пользователей. Обсуждается эта новость в контексте различных бизнес- и офисных приложений, а я бы хотел посмотреть на нее с точки зрения ИБ. Какие ИБ-сервисы из облака предлагал Microsoft, которые 20-го числа могут быть отключены (не претендую на полноту):
1️⃣ Microsoft Defender for Cloud/Endpoint/Office 365/Identity/IoT
2️⃣ Microsoft Azure Active Directory и MS Azure AD Conditional Access
3️⃣ Microsoft Entra Permission Management (бывший CloudKnox) и Entra Verified ID
4️⃣ Microsoft Purview Privileged Access Management
5️⃣ Microsoft Endpoint Manager и Microsoft Intune
6️⃣ Microsoft Sentinel
7️⃣ RiskIQ Intelligence
8️⃣ Azure Security Center
9️⃣ Microsoft Information Protection & Rights Management Service (RMS)
1️⃣0️⃣ Microsoft Advanced Threat Analytics
1️⃣1️⃣ Azure Firewall
1️⃣2️⃣ Microsoft Passport и Azure MFA
1️⃣3️⃣ Azure Key Vault
1️⃣4️⃣ GitHub Advanced Security (под вопросом).

Вообще вопрос, зачем было использовать на протяжении пары лет сервисы компании, которая ушла из России и которая неоднократно порывалась прекратить доступ к своим продуктам российскому бизнесу и пользователям, но что уж тут поделать 🙌 За оставшиеся 3 дня (17-19 марта) осталось решить кучу вопросов - от поиска альтернативы до удаления ПДн, которые располагались в облаках Microsoft, от выгрузки событий безопасности в открытом формате (если они вам нужны) до подготовки процедуры удаления всех установленных в вашей инфраструктуре агентов, а также блокирования ранее открытых портов на периметровых МСЭ для средств защиты Microsoft

ЗЫ. Хотя после того, как еще и на западном побережье Африки 3 из 4 Интернет-кабеля оказались попорченными (хуситы баловались в Красном море, это восточная часть Африки), вопрос осмысленности использования облачных сервисов встает особенно остро 🤔

Читать полностью…

Пост Лукацкого

У Макдональдса по всему миру глобальный сбой 🍔 - онлайн-заказы, заказы через приложение, заказы через киоски в самих ресторанах не работают. Компания уверяет, что это не результат кибератаки. А я в этой истории жду оценок ущерба 🤑 от такого сбоя. Всегда интересно посмотреть, во сколько оценивают простой бизнес-сервиса в течение нескольких часов. И не так уж и важна причина (сбой на стороне подрядчика или DDoS). Потому что потом это можно экстраполировать и на другие схожие бизнесы, завязанные на онлайн-заказы 🛍 (типа вот этой истории).

Читать полностью…

Пост Лукацкого

💥💥💥 Запускаем «Резбез Challenge» — конкурс на лучшую статью по результативной кибербезопасности

Как участвовать? Напишите статью по теме из перечня, в работе должны быть глубокий анализ проблемы и предложения, как ее решать.

Три лучших автора получат денежные призы, а их работы будут опубликованы на Резбезе. Статья участника должна соответствовать:
🟢 Принципам результативной кибербезопасности.
🟢 Политике сообщества.
🟢 Правилам конкурса.

Когда?
Работы принимаются с 15 марта по 31 мая включительно. Победители будут объявлены до 15 июня.

Где заполнить заявку? Прямо в этих буквах!

Читать полностью…

Пост Лукацкого

Из интересного:
1️⃣ Первые признаки аномальной активности были замечены 25 октября, но блиц-расследование ничего не выявило. Однако, ИТ/ИБ-служба заблокировала активность, провела сканирование сети (ничего не выявлено), мониторило логи (ничего не выявлено), смена пароля.
2️⃣ Спустя 2 дня Интернет-провайдер зафиксировал аномальный всплеск выкачиваемых данных - 440 ГБ. Позже выкачали еще 160 ГБ.
3️⃣ Проникновение произошло скорее всего (до конца не выяснили) через ферму терминальных серверов, используемых внутренними ИТ-админами и внешними, доверенными партнерами. Авторы отчета склоняются к атаке именно через партнеров, которых поймали на фишинг.
4️⃣ MFA на терминальных серверах не было, а антивирусы и МСЭ были, так как "дорого".
5️⃣ Хакеры задействовали легальные инструменты ИТ, сделали резервные копии 22 баз данных и выкачали их (помимо разрозненных файлов с чувствительной информацией).
6️⃣ Калькуляция финансового ущерба продолжается, а вот остальные виды потерь прописаны неплохо (хотя бы и на уровне категорий).
7️⃣ Описаны способы кризисных коммуникаций, которые позволили уведомить всех сотрудников, но при этом не раскрыть деталей расследования инцидента хакерам, которые могли находиться еще в сети.
8️⃣ Подробно расписаны шаги по перестройке всей, ранее плоской legacy инфраструктуры, - сегментация, ролевой доступ, air-gap резервирование, MFA, PAM для удаленного доступа третьих лиц, управление уязвимостями и инцидентами...
9️⃣ Из рекомендаций интересно выглядит совет заранее подготовиться и иметь на готове контакт фирмы, которая может оперативно приехать и помочь с расследованием

Читать полностью…

Пост Лукацкого

Сама по себе история не так чтобы и интересна и уникальна - 9 грабителей в американской Миннесоте подозреваются в том, что выводили из строя беспроводные камеры видеонаблюдения 👀 за счет подавителей сигнала Wi-Fi (джаммеров), после чего обкрадывали дома своих жертв. Но автор вынес в заголовок очень мудрую мысль - технологии становятся дешевле и проще для приобретения 💯

Этот вывод можно распространить не только на подавителей сигнала (и не только Wi-Fi, но и GPS/ГЛОНАСС), но и на многие другие направления, которые раньше казались недосягаемыми - спутники, банкоматы, беспилотный транспорт и т.п. Их можно без труда приобрести на Интернет-аукционах и маркетплейсах и потом использовать (не) по назначению. А значит то, что еще раньше казалось невозможным или очень дорогостоящим и потому считалось неактуальным, сегодня или уже завтра может стать вполне себе реальной проблемой 🔜 Так что стоит регулярно пересматривать свою модель угроз на предмет реалистичности сделанных оценок относительно возможностей нарушителя!! 👨‍💻

Читать полностью…

Пост Лукацкого

Совершенствуется CAPTCHA... Все для защиты от пронырливых роботов 🤖 Скоро для решения таких задачек понадобятся свои программы и сервисы, для доступа к которым нужны будут тоже свои CAPTCHA... 🤖

Читать полностью…

Пост Лукацкого

Для апологетов американской системы летоисчисления, когда дата начинается с месяца, а не дня, напоминаю, что сегодня празднуется «день Пи» с чем вас и поздравляю!

Читать полностью…

Пост Лукацкого

🆕 BlackCat/ALPHV ушли в туман, LockBit потерял свою инфраструктуру, но есть жизнь вымогательская и после них. В феврале было зафиксировано 32 новых семейства шифровальщиков 🤒, нападающих на организации (даже LockBit 4.0, о котором я писал в списке уже есть). Там где есть деньги, всегда кто-то будет крутиться 🤑

Читать полностью…

Пост Лукацкого

В новом отчете Recorded Future интересен не только список потенциальных жертв из совершенно разных стран, по части из которых задаешься вопросом "а нахрена этих-то атаковать?" (Ангола, Ботсвана, Монголия, Тринидад и Тобаго и т.д.) 🏝 И не то, что целевыми устройствами для обнаруженного ВПО является смартфоны. И даже не способами атак на них через уязвимости в Whatsapp и iMessage 📱

Отчет показывает, что обнаруживать такие кампании можно и не имея средств защиты на оконечных мобильных устройствах 📞 Компенсировать их отсутствие можно за счет анализа сетевого трафика, который по любому будет, если ВПО захочет коммуницировать с C2-инфраструктурой. И анализировать его можно за счет применения решений класса NTA/NDR 💡 или DNS Firewall/NGFW/SASE, то есть того инструментария, который есть в нашем распоряжении. Главное 🤔, не забывать их правильным образом настраивать.

Читать полностью…

Пост Лукацкого

Если вдруг у вас случится казус с непатченными Fortinet'ами, в которых нашли зеродей, 🤬 то у вас есть возможность протестировать новый сайт ГосСОПКИ и через него сообщить об инциденте 📞 Ну и вообще поглядывайте за ним наряду с safe-surf.ru

Читать полностью…

Пост Лукацкого

Что объединяет основного антагониста главного героя романа "Гарри Поттер" 😈 и средства, используемые для обхода блокировок, введенных Роскомнадзором? То, что их нельзя называть! 🤐 Одного - на протяжении всех романов Джоан Роулинг, второе - с 1-го марта 2024 года. В связи с этим предлагаю ввести в оборот новую аббревиатуру - ССКНП, то есть "средства и сервисы, которые нельзя пропагандировать" (сокращенно, "ссука"; не путать с СуКИИ)!

Читать полностью…

Пост Лукацкого

Интересный кейс тут услышал. Банк 🏦 решил бороться с мошенничеством при переводе денежных средств, а поскольку денег особо не было (банк не из первой сотни даже), то кредитная организация стала внедрять самописный и достаточно простой в реализации антифрод 💰:
контроль IP-адресов и блокировка по геолокации, что отсекало всех "иностранцев", включая и клиентов банков, работающих из-за рубежа ⛔️
контроль "черных" и "белых" списков счетов, в том числе опираясь на межбанковский обмен с коллегами и фиды от Банка России
установление и контроль пороговых значений сумм платежей 🌡
контроль определенных параметров платежных поручений (назначение платежа, сумма, ИНН, КПП и т.п.)
контроль и блокирование новых, ранее не встречавшихся у клиентов получателей денежных средств 🆕

То есть служба ИБ банка отработала "на ура", но вот бизнес такого рвения не оценил, потому что:
число жалоб клиентов возросло многократно 📈
нагрузка на call center банка и его сотрудников возросла многократно
в Интернете вырос негативный фон относительно финансового организации 🤠
у банка снизилось число проданных банковских продуктов.
Зато уровень мошенничества снизился почти до нуля. Только вот кому это оказалось нужно? Не о таком результате думал бизнес, когда ставил задачи безопасникам.

Аналогичная ситуация происходит и в управлении инцидентами, управлении уязвимостями и многих других процессах ИБ, где целью ставится доведения ключевого показателя деятельности до нуля (ноль дыр, ноль угроз, ноль утечек, ноль еще чего-нибудь). На достижение этого "результата" уходят избыточные ресурсы, но бизнес от этого только страдает! Поэтому выбирая результат работы ИБ, к которому служба стремится, нужно искать баланс (точного ответа, какой он, - не существует)! 🟰

Читать полностью…

Пост Лукацкого

⚠️ Зеродей CVE-2024-21762 в устройствах Fortinet, которому подвержено около 150 тысяч торчащих в Интернет железок, начинает эксплуатироваться по миру. Я не знаю зачем это пишу 🆘, ведь вы же не используете NGFW покинувшей страну компании с отозванным сертификатом и непонятно откуда получаемыми обновлениями?.. Или как? 🤬

Читать полностью…

Пост Лукацкого

Проводя киберучения (не штабные), лучший результат достигается тогда, когда участники используют привычный им инструментарий 🛠, а не навязанный организаторами (а с их точки зрения лучше как раз наоборот). С другой стороны лучше так, чем вообще никаких киберучений.

ЗЫ. У чувака на видео, кстати, то ли большой опыт кидания шлепок, то ли шлепки с правильной аэродинамикой. Я попробовал покидать свои и они так четко не летят в цель, как у араба 🤕 Сразу вспоминаются старые китайские фильмы про боевые искусства, где в качестве оружия использовалось все, что под руку попадется - от расчесок до палочек для еды 🥢

Читать полностью…

Пост Лукацкого

За последний месяц на рынок (не российский) было выброшено 3 LLM API Gateway/Firewall ⛔️ А как вы защищаете обращения к внешним LLM (неважно, зарубежным или российским)? 😦

Читать полностью…
Подписаться на канал