Пост Лукацкого

07 апреля 2024 12:39

Если личность израильского бригадного генерала, главы подразделения 8200, оставалась пару десятков лет нераскрытой, то вот участников российско-украинского конфликта постепенно раскрывают. BBC пишет, что украинское Минобороны награждает грамотами 🤠 различных иностранных хакеров, участвовавших в кибератах на российские объекты.

Это, безусловно, странный способ поощрения (хуже, разве что, "похлопывание по плечу", что сделать применительно к хакерам из США, Великобритании, Польши т.п. сложновато) для людей, некоторые из которых (один из героев статьи) потеряли свою работу 🗑. Но проблема даже не в этом, а, как отмечают эксперты, в размытии границ между гражданскими и военными хакерами, против чего настаивал в свое время "Красный Крест", выпустив свои правила на этот счет.

Но выпускать правила можно, но кто им будет следовать, когда жопа весь мир в огне. Украина таким образом показывает, что ее поддерживают во всем мире, журналисты получают эксклюзив, уволенные айтишники получают свою минуту славы. А что будет, когда все закончится, никто не думает. А ведь все эти хакеры-волонтеры, "вкусив крови", точно не пойдут по окончанию конфликта работать доярками и хлебопеками.... 😦

Пост Лукацкого

06 апреля 2024 20:21

В пятницу я выступал в секции "Интернет наших тел" на молодежном RIGF (Russian Internet Governance Forum) в Кибердоме, где, под руководством Руслана Юсуфова, обсуждали будущее технологий, сфокусировавшись на искусственном интеллекте и Интернете вещей. И хочу повторить свою мысль, которую я там озвучил. Никакого доверенного ИИ или этических норм разработки и использования ИИ не существует! Это миф и попытка засунуть голову в песок, превращаясь во второго Оппенгеймера, у которого тоже были благие намерения во время "манхеттенского проекта". А потом у нас была Хиросима и Нагасаки. А сейчас всерьез обсуждают боевые торпеды с ИИ и возможность дать ИИ "в руки" красную кнопку от ядерного оружия, считая, что он не подвержен эмоциям при принятии решений. Ну трындец какой-то 🤬

"Плохих парней" то, спецслужбы, военных и государства, кто заставит соблюдать все эти меморандумы и "билли о правах"? Они как занимались исследованиями в этих направлениях, так и будут продолжать это делать 😠 Они как использовали ИИ во вред, так и будут. Никакое сдерживание, как в случае с ядерными технологиями, тут уже не поможет. Это же не обогащение урана или плутония, для чего нужны специфические технологии. Тут все гораздо проще. Джин 🧞‍♂️ выпущен из бутылки. ИБ, а я могу говорить только в этой части, надо быть хотя бы на том же уровне развития технологий, что и у плохих парней. Остановить это уже не удастся ☹️

ЗЫ. Я еще упоминал евгенику, к которой мы также семимильными шагами идем, собирая и анализируя все больше данных о гражданах (а за этим, очевидно, последует идея профилирования, социального рейтинга, разделения на касты, сегрегация, уничтожение инакомыслия и выведение "человека покорного"), но это уже совсем не про ИБ и поэтому развивать эту тему тут я не буду.

ЗЗЫ. Если что, запись дискуссии есть на VK (начинается в 1ч 41мин).

Пост Лукацкого

06 апреля 2024 12:37

⚠️ В отличие от коллег со мной такого еще не случалось; поэтому предупредить надо заранее. Как сибарит-гедонист могу сказать, что ни у кого денег через мессенджер я просить не планировал и не планирую! А как большой «любимец» ФСБ, аккаунты «имени меня» точно не будут могут просить вас ответить на звонки и сообщения сотрудников спецслужб и помочь им поймать мошенников и преступников ❗️

Все, что могу именно я, так это попросить потратить тысячу рублей на билет 🎟️ на PHD2 (деньги вы переводите в фонд «Подари жизнь»), но это я и публично могу сделать 🙏 И если вам прилетит такой запрос в личке, да еще и на бОльшую сумму, то внимательно проверьте ссылки, на которые вас заманивают.

Пост Лукацкого

05 апреля 2024 20:31

Кстати, Maersk, когда оценивает последствия инцидентов, пытается увязать их с EBITDA, то есть с объемом прибыли до вычета амортизационных отчислений 🤑

Пост Лукацкого

05 апреля 2024 17:01

OWASP официально признает факт взлома одного из своих Web-ресурсов. Какая злая ирония - организация, учащая защите Web, сама пострадала от того, что один из ее, как уверяется, старых сайтов, был фигово сконфигурирован, что и стало причиной утечки резюме членов OWASP, поданных в период с 2006-го по 2014-й годы 👨‍💻

Ну и чтобы закольцевать историю, причиной взлома стал риск A05:2021-Security Misconfiguration из OWASP Top10 Web Application Risks. Отсылка в сообщении OWASP к старому серверу, возможно, говорит и о A06:2021-Vulnerable and Outdated Components, а также и, возможно, о других рисках, например, A01:2021-Broken Access Control в контексте упоминания возможности просмотра содержимого папок сервера 👀

Пост Лукацкого

05 апреля 2024 10:04

Знаете, как в международной логистической компании Maersk ⛴ принимают решения об инвестициях в кибербез? Борются не со всеми вредоносными событиями, а только с теми, которые несут для компании катастрофические последствия. Да, термин non-tolerable events компания Maersk пока не использует - вместо этого у них приняты extinction events (события, приводящие к ликвидации компании), а также уничтожение 💥 бренда, крупное мошенничество, а также нарушение GDPR с его оборотными штрафами 🤑

А вот крупные и мелкие простои, DDoS, дефейсы и т.п. не требует серьезных инвестиций и защита от них должна обеспечиваться постольку поскольку 💡 Иными словами, если ты идешь к топу, то показывай ему жопу ущерб в миллиарды. Но и просить на ИБ надо миллиард, а не миллион (это не уровень топ-менеджмента).

Пост Лукацкого

04 апреля 2024 20:21

Когда мне надо помедитировать, то я смотрю на этот график, что позволяет мне целиком погрузиться в него и перестать реагировать на любые внешние раздражители 🧘‍♀️

Пост Лукацкого

04 апреля 2024 17:02

Перепись APT-групп, атакующих Россию

Хочу поделиться небольшим проектом — списком вероятно государственных хакерских групп, атакующих (или атаковавших) российские организации. Методология простая: я собрал отчёты ИБ-компаний, в которых есть атрибуция атак на Россию конкретным APT-группам, и внёс их в таблицу. Прежде всего, это отчёты российских компаний, но также и некоторых иностранных.

Получилось 28 групп — где-то с указанием предположительной страновой привязки, где-то без. Киберпреступники и хактивисты в список не попали. Структуры, про которые нет отчётов, — тоже. Остальные оговорки см. в тексте.

Мой вклад здесь заключается в попытке систематизировать отчёты, поскольку в публичном пространстве я аналога с фокусом именно на Россию не нашёл. Список может пригодиться журналистам, исследователям и всем остальным в качестве справочника.

Планирую периодически обновлять список, поэтому буду благодарен за советы и уточнения.

(Источником вдохновения отчасти послужил пример из Германии.)

Пост Лукацкого

04 апреля 2024 13:34

Сегодня у меня на "Территории безопасности 2024" в рамках конференции "PRO обнаружение угроз" будет выступление про detection engineering, презу к которому я готовил во время ночного рейса. Как обычно некоторые случайные слайды из презентации 😮‍💨

Готовя слайды, понял, что материала гораздо больше, чем у меня будет времени при выступлении 😭 Возможно стоит будет провести расширенный вебинар, а то и сесть за «Обнаружение атак угроз» ✍️

Пост Лукацкого

04 апреля 2024 06:40

4 апреля - день главных героев криптографии - Алисы и Боба, общение которых вынесено на показ и является демонстрацией различных криптографических концепций 🔐 В этот день в 1977-м году Рон Райвест впервые ввел в оборот эту парочку в статье "A Method for Obtaining Digital Signatures and Public-Key Cryptosystems" 🗝 С тех пор число "друзей" Алисы и Боба расширилось - появились Ева, Нэнси, Гарольд, Мэлори, Трент и еще с пару десятков персонажей 🔑

Пост Лукацкого

03 апреля 2024 17:04

Интересно, всплеск интереса к созданию ИБ-компаний произошел в начале 2010-х, с пиком в 2014-2017, и последующим постепенным спадом. Но терзают меня смутные сомнения, что это корректная информация 🤠 Судя по статистике по рынкам США и Израиля, как минимум, там явно больше компаний появилось в последние пару лет, чем указано на гистограмме. А уж сколько российских ИБ-компаний вдруг стало сингапурскими, сербскими или дубайскими...

Пост Лукацкого

03 апреля 2024 10:01

А не охренел ли кто-то? То есть запрещать мне выступать на SOC Forum и жаловаться руководству - это можно и все исподтишка, без общения со мной. А как предлагать мне разместить рекламу в канале, а при отказе - таргетировать ее у меня же за счет функций Телеги, а теперь еще и предлагать выступить у них на стенде за деньги (видимо, своих спикеров не осталось), так это они в первых рядах 🖕

Пост Лукацкого

02 апреля 2024 20:23

Если вы еще не раскрыли глобальную кампанию кибершпионажа, то вы зря кормите своих маркетологов! Такой вывод можно сделать, если следить за новостями ИБ-вендоров. И это применимо и к зарубежным, и к российским ИБ-компаниям!

Пост Лукацкого

02 апреля 2024 13:34

Должна ли компания, проводящая вебинары по ИБ, верифицировать своих онлайн-участников, чтобы не пущать фейковых троллей 🧌 (только настоящих)? И как найти баланс между ударом по репутации и возможностью потерять участников, не желающих аутентифицироваться 🪪?

Фейковые учетки на Гитхабе «имени меня» уже были. Теперь вот это. Думаю, вершиной станет, когда виртуальный фейковый «Лукацкий» будет задавать вопросы настоящему Лукацкому 🎭

Пост Лукацкого

02 апреля 2024 10:39

Как по мне, так при таком подходе (без описания модели угроз и обоснования требований), проще было просто оставить вот эти две таблички из приложения 👣 Хотя и по табличкам у меня тоже вопросы. Вот что такое многофакторный генератор одноразовых паролей, основанных на криптографических методах? 🤔 Вот у меня браузер генерит пароли, поддерживает работу с отпечатками пальцев (то есть два фактора есть) и криптография там есть. Но боюсь, что это не то, что имел ввиду ЦБ. Но тогда что? 🤨

Пост Лукацкого

07 апреля 2024 08:40

The Guardian опубликовали интересный материал, который на русском языке можно было бы назвать "И на Йосси бывает проруха", в котором они пишут, что им удалось раскрыть личность засекреченного главы израильской 🇮🇱 спецслужбы 8200, которую часто сравнивают с американским АНБ. Речь идет о Йосси Сариэле, который написал несколько лет назад книгу "The Human Machine Team" о применении искусственного интеллекта 🧠 в современной войне и как ИИ может поменять ход военных действий. Цифровой след в виде анонимного e-mail автора книги в итоге и вывел на бригадного генерала. Армия обороны Израиля все отрицает 😶

Собственно про само расследование The Guardian пишет немного, фокусируясь больше на концепции применения ИИ на поле боя ⚔️ и примерах такого использования во время продолжающегося конфликта Израиля и ХАМАС. Про подразделение 8200, которым и руководит бригадный генерал Сариэль, в статье тоже практически ничего нет, а ведь именно оно ответственно за операцию (из известных) "Олимпийские игры" 🛡 (Stuxnet), а его выпускники создали многих ИБ-единорогов, известных по всему миру. Так что статья скорее интересна самим фактом раскрытия личности высокопоставленного разведчика за счет оставленного им в Интернет цифрового следа 👣

Пост Лукацкого

06 апреля 2024 16:34

Интересная заметка о сломе 3-й линии обороны человека от социохакинга. По знаниям "роботы" нас уже обходят и давно. По языковым и логико-аналитическим способностям с выходом GPT-моделей 🧠 тоже стали обходить. Теперь вот (автор о них и пишет) дала трещину и 3-я линия, эмоциональная. Разработана модель, которая способна считывать эмоции человека во время дискуссии, интерпретировать их и подстраивать под них свое "поведение", манипулируя собеседником и заставляя его принимать те решения, которые "нужны" модели 🎎

Когда я в интервью на тему голосовых дипфейков рассказываю, что в 2024-м году эта станет одной из основных тем, мне не верят и считают, что это все фигня и страшилки 😱 Но вот уже и нет, раз появились прототипы, значит скоро тоже самое появится и на той стороне баррикад. Улыбаемся и машем Готовимся... 🛡

Пост Лукацкого

06 апреля 2024 08:40

Люблю вступать в полемику по разным ИБ-вопросам, но не очень люблю, когда меня некорректно цитируют или приписывают мне то, чего я не говорил и даже являюсь противником! Вот Сергей комментирует мои слова с открывающей секцию с вчерашней конференции "PRO управление инцидентами" про услугу Incident Response Retainer. Так вот не могу не прокомментировать в ответ:
1️⃣ Есть отличия в обычной услуге Incident Response / Compromise Assessment и Incident Response Retainer. В первом случае вы платите тогда, когда инцидент уже случился и вы не смогли его расследовать и среагировать или у вас нет своих специалистов. Во втором случае вы платите ЗАРАНЕЕ за то, что может никогда не произойти. И да, может возникнуть вопрос в том, зачем это делать и почему ИБшник ЗАРАНЕЕ не уверен в своих силах? Ответ на это есть, но продажа такой "проактивной" услуги отличается от "реактивной" продажи сервиса.

2️⃣ Озвученный мной риторический вопрос был задан в контексте дискуссии про вовлечение бизнеса, а ему часто непонятно многое, что делает ИБ. И поэтому комментарий Сергея про то, что любой профессионал понимает, что вопрос с инцидентами стоит не "произойдет или нет", а "когда произойдет", не подходит для бизнеса, который не погружен в детали и у него такого понимания пока не сформировалось.

3️⃣ Не согласен со сравнением со страховкой. Ее я покупаю, когда хочу получить возмещение понесенного ущерба. Incident Response Retainer имеет совсем иную природу принятия решения.

4️⃣ В прошлый раз Сергей также комментировал мою заметку про прогнозы Gartner, в которой я упомянул, что не все из них применимы в России. Сергей считает, что это не так и все, что происходит в мире, происходит и у нас. И опять я не могу молчать. Весь мир сейчас идет в облака - в бизнес-приложениях, в ИБ, в ИТ-сервисах и т.п. Но не в России. Во-первых, многие обожглись об иностранные облака пару лет назад, когда их кинули, одномоментно заблокировав учетные записи. Во-вторых, у нас пока нет такого же уровня зрелости облаков. Поэтому облачные тенденции к нам не применимы. Персональная страховка руководителей ИБ? Половина ИБ-бюджета на борьбу с дезинформацией? Рост бюджета на борьбу с prompt injection? В России? Вы серьезно? Ну, common...

Пост Лукацкого

05 апреля 2024 18:40

Ну такая себе рекомендация от нижегородского МВД 😲

ЗЫ. Спасибо коллегам из @ep_uc за ссылку!

Пост Лукацкого

05 апреля 2024 13:33

Я не большой сторонник детальной предварительной оценки ущерба от реализации рисков ИБ (непросто это и очень много переменных, которые сложно заранее учесть), но на приведенных дашбордах интересно другое - они понятные бизнесу угрозы (кража денежных средств, утечка базы клиентов, взлом АБС и т.п) перекладывают на понятные ИБ сценарии реализации угроз (социальный инжиниринг, потеря устройств, компрометации электронной почты и т.п.), тем самым пробрасывая мостик между ИБ и бизнесом, делая обе стороны ближе друг другу.

Пост Лукацкого

05 апреля 2024 06:40

Выкладываю презентацию "Киберперестройка процессов обнаружения угроз", которую я вчера читал на "Территории безопасности 2024" в рамках конференции "PRO обнаружение угроз", и которая (презентация) является наброском чего-то большего, как я теперь понимаю.

Пост Лукацкого

04 апреля 2024 18:40

А ваша стратегия в области криптографии учитывает этот прорыв?

Пост Лукацкого

04 апреля 2024 14:36

Родилось название сессии на любом мероприятии с приглашенным мной - «Гость в горле»! Буду приходить и душнить про ИБ… ☹️

Пост Лукацкого

04 апреля 2024 10:03

- Тук-тук...
- Кто там?
- Это я, вредонос!
- Залетай...

Примерно так действует новое решение Knockin от 🟥, которое не надо ни инсталлировать, ни настраивать, ни менять свои DNS и MX-записи. Просто указываете свой корпоративный e-mail и проверяете, насколько ваши средства защиты электронной почты пропускают ✉️ вредоносы, конечно, предварительно "обеззараженные". Есть платная и бесплатная версии, отличающиеся числом проверяемых адресов и количеством вариантов вредоносов.

ЗЫ. Ну а пока вы проверяете себя, можно выпить 🥂 бокальчик красного (это же offensive) вина "Knock Knock", которое продолжает серию "хакерских" вин из моей заметки (в России продается во многих магазинах) 🍷

Пост Лукацкого

03 апреля 2024 20:19

Если не удастся насадить ЕБС людям, то можно увеличить число субъектов за счет котов и собак 🐱

ЗЫ. Комментарии к статье тоже неплохи 🐈‍⬛

Пост Лукацкого

03 апреля 2024 13:36

Есть такое понятие "Пузырь фильтров" 🫧, введенное в одноименной книге Илая Парайзером. Его суть заключается в том, что сайты, соцсети, поисковые системы в Интернете, принимают решения о том, что нам показывать, основываясь не на объективности, а на наших прежних действиях (лайках, просмотрах, кликах, нажатиях, движении курсора, времени просмотра и т.п.). То есть мы обычно видим то, что мы раньше смотрели и скорее всего предпочитаем. Вся иная информация пользователю не выдается ☹️

С этим явлением связан парадокс релевантности, когда люди предпочитают информацию, которая кажется им правильной, но на самом деле бесполезной, и отбрасывают все полезное, но не совпадающее с исходным мнением человека. Ну и, наконец, еще одно предубеждение предвзятости, когда человек ищет и интерпретируют только ту информацию, которая соотносится с его уже имеющимися убеждениями и точкой зрения; все остальное не воспринимается 😤

Такое сплошь и рядом происходит в ИБ, когда мы принимаем решения на основе не только неполной, но и неточной, а может быть даже и неверное информации. Не только потому, что мы ее не получаем из-за пузыря фильтров, но и потому, что мы просто не разбираемся в предмете или, наоборот, разбирались когда-то и с тех пор придерживаемся полученных годы назад знаний. В ИБ же все меняется очень быстро и надо постоянно держать руку на пульсе, все время получая новые знания. А иначе замкнутый круг... выйти из которого помогает только критичность мышления и постоянное обучение 👨‍🎓

Пост Лукацкого

03 апреля 2024 06:40

Выложена запись моего выступления "Вас взломали? Чек-лист первоочередных действий", а я выкладываю презентацию к нему 👇

Пост Лукацкого

02 апреля 2024 17:01

Когда вы в очередной раз будете думать, что ИБ - это скучно, в тени ИТ и на смузи не заработаешь, то вот вам доказательство от противного 💡

Пост Лукацкого

02 апреля 2024 11:32

А вот эта внезапная фраза в тексте документа меня смутила 🤌 Она оторвана от всего окружающего текста и, похоже, что это осталось из драфта с замечаниями и предложениями 🤔 И это в принятом документе... 🤨

ЗЫ, Интересно, я что, единственный, кто читает документы ДИБа, выкладываемые на сайт?

Пост Лукацкого

02 апреля 2024 10:02

Тот редкий случай, когда можно сравнить два схожих документа, выпущенных в России и в Европе и посвященных одной теме - дистанционной идентификации пользователей. У соседей - это документ ENISA, о котором я уже писал, а у нас это стандарт Банка России СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации» 🪪

У нас это очень сухой и формальный документ, написанный канцелярским языком 😓 Более того, местами возникают вопросы, почему именно такие несколько десятков требований названы обязательными? Отчего защищаемся? Какая модель угроз? В документе ENISA этим вопросам как раз уделено много внимания и все угрозы проиллюстрированы - очень удобно читать и быстро разбираться в проблеме. У ЦБ дочитал до конца и ничего не понял пошел читать заново 😭