alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

"15 минут на обнаружение и реагирование на инциденты", - говорили они. Ага, счаз... Реальные опросы показывают, что компаниям нужно гораздо больше времени на обнаружение кибератак, чем декларируемые многими коммерческими SOCами 15 минут.

И тут возникает закономерный вопрос: кто прав? То ли компании ничего не смыслят в ИБ и не умеют своевременно детектить атаки. То ли коммерческие SOCи врут лукавят или свои маркетинговые цифры брали на очень небольшой инфраструктуре (например, своей). А может и правда у них есть некая серебряная пуля, способная сократить время обнаружения и реагирования в 10-20 раз?

Могу сказать, что в Сиско тоже цифры по времени обнаружения были ближе к графику, чем к маркетингу (и тем более не пресловутое право 1-10-60). Поэтому, сталкиваясь с SOCом, который впаривает вам про среднее время обнаружения в 15 мин, попросите у него доказательства…

Читать полностью…

Пост Лукацкого

Немного предыстории. Когда я строил дом 🏡 10 лет назад, я заранее закладывал риск отключения электричества и сбоя в отоплении. Поэтому использовал и пассивные меры защиты (замена 160-го бруса на 200-й), и активные (газовая плита вместо электрической, дровяной камин и т.п.). И вот на Рождество риск реализовался в худшем варианте - в районе не только вырубили электричество (на улице было -25), но и произошел сбой в отоплении в одном из тепловых контуров (часть радиаторов работала, а большая часть нет). В итоге температура стала существенно понижаться. Стал искать мастеров, готовых в Рождество приехать и все починить. В итоге остановился на одном, который сразу сказал, что он деньги берет только в том случае, если он сможет мне помочь. В обратном случае - сколько бы он не работал, денег он с меня не возьмет. Чем и подкупил меня 🙂

И мне такой подход мастера напомнил, что неплохо бы и в ИБ у нас иметь такое же. Этакая результативная ИБ - заказчик платит 🤑 только тогда, когда поставщик гарантирует результат. Так, например, происходит в Bug Bounty. Вы, как заказчик, платите только тогда, когда багхантеры находят уязвимости в ваших системах. Они могут сделать это за час и получат свои 400 тысяч рублей, а могут промучаться год и не найти ничего, так и не получив никакого вознаграждения. А что если бы и SOCи были результативные? Пропустил атаку, допустил утечку - не получишь денег, лежащих на особом счету, с которого и списываются деньги в случае выполнения условий контракта. 🧐

Наверное, такая схема будет работать не для всех сегментов рынка ИБ, но для многих такой сценарий вполне возможен. Оплата не "почасовая", а "за результат"; не "за лицензию на ПО", а "за получение результата от его покупки". Даешь результативную ИБ в каждый дом бизнес!!! 👍

Читать полностью…

Пост Лукацкого

Не читали мой канал во время новогодних праздников? Был цифровой детокс? Хочется быстро погрузиться в то, что произошло за 9 дней нового года? Я сделал подборку горячей десятки+ новостей.

Читать полностью…

Пост Лукацкого

Продукт-мечта!.. Думаю в новом году Гартнер порадует нас новыми аббревиатурами, а вендора придумают какие-нибудь новые категории продуктов по ИБ, чтобы быть в новых нишах лидерами!

Читать полностью…

Пост Лукацкого

В 2015-м году Fortinet выпустил видео, которое выглядело так, как будто сотрудники ИБ-вендора под кайфом 🍀🤢 поют какую-то чушь. Видимо, понимая, что оно именно так и выглядит, Forinet удалила это видео с Youtube, а заодно и из Интернет-архивов. Но Интернет-то помнит... 😇

Но... как бывший сотрудник крупной международной компании могу сказать, что это для американского бигтеха норма 🥳 На корпоративных тусовках чего-то только не делаешь 🤘 А уж какую чушь творят большие боссы и в каких клипах они снимаются для поднятия корпоративного духа и желая показать, что они такие же как все и как рядовые сотрудники 🤪 Короче, хорошо, что ролики Cisco про ИБ не утекали в сеть 😂

Читать полностью…

Пост Лукацкого

А российские хакеры еще и на атомные объекты США нацелились

Читать полностью…

Пост Лукацкого

Не знаю, как вы проводите свои последние дни праздника, а я все-таки посетил музей криптографии. Сейчас, когда ни вакцинацию от COVID-19 не надо подтверждать для посещения музея, ни ПЦР сдавать, самое время для расширения профессионального кругозора. Кроме того, мне было интересно, насколько наш музей отличается от национального криптологического музея при АНБ? Ну что я могу сказать - музей однозначно рекомендован к посещению; особенно если у вас есть дети 12+, которые найдут в музее множество интерактивных занятий - от VR-экскурсий в квантовую запутанность до разгадывания шифров. Но и для взрослых в музее есть что узнать нового. И хотя у меня есть определенные вопросы и к логике прохождения залов и к отдельным экспонатам, о чем я еще напишу отдельно и в блоге, я 3 часа там провел точно не зря.

ЗЫ. Зал с "Фиалками" особенно хорош 👍

Читать полностью…

Пост Лукацкого

Некие бойцы провели исследование по использованию GPU в обнаружении атак, а именно задействовали карты NVIDIA GeForce 8600GT и Snort (назвав решение Gnort). На Pentium 4 c 3,4 ГГц и 2 ГБ ОЗУ разработанный прототип достиг значения в 2,3 Гбит/сек, вдвое превысив показатели Snort в аналогичной конфигурации, но без GPU.

Если же использовать несколько GPU и переработать архитектуру передачи сетевого трафика в GPU, то скорость может быть увеличена еще больше. Вполне себе вариант замены иностранных IDS.

Читать полностью…

Пост Лукацкого

Самые популярные статьи блога lukatsky.ru за 2022 год:
1️⃣ Новый Указ Президента может сделать безопасников заместителями генеральных директоров
2️⃣ Крупнейшая реформа законодательства о персональных данных за последние 10 лет
3️⃣ Список 170+ российских разработчиков средств ИБ
4️⃣ Уроки кибервойны или семь почему
5️⃣ Минцифры выдает гостовые TLS-сертификаты. Риски и возможности
6️⃣ DLP вне закона! Так решил суд!
7️⃣ Какие зарубежные ИБ-компании приостановили бизнес в России?
8️⃣ О новых Постановлениях Правительства о руководителе ИБ и службе ИБ
9️⃣ Немного разъяснений по 250-му Указу Президента
1️⃣0️⃣ Организацию ликвидируют за невыполнение мер защиты ПДн

Читать полностью…

Пост Лукацкого

И то ли остатки украинского языка, то ли некая платформа по исполнительному листу, то ли предложение умножить доход выдавали в этом сообщении фишинговую рассылку 😬

Читать полностью…

Пост Лукацкого

Слабенький отчет про российскую и китайскую киберпреступность, их схожесть и различия. Но вдруг, кто-то найдет что-то интересное...

Читать полностью…

Пост Лукацкого

Есть такое исследование "The Secrecy Heuristic: Inferring Quality from Secrecy in Foreign Policy Contexts", в котором было проведено три эксперимента. В них участники серьезнее оценивали информацию из секретных источников, чем если бы информация была публично доступной. Респонденты считали, что если какое-либо решение готовилось на базе секретных материалов, то доверять ему можно было серьезнее, чем в случае с работой с открытыми источниками.

Результаты этого исследования об эвристике секретности перекликаются с тем, что говорит нам психология восприятия рисков, о которой я уже писал неоднократно и тут, и в блоге. Информация из "доверенных источников" воспринимается надежнее, чем из всех доступных. Может быть именно поэтому наши регуляторы любят секретить свои документы? Хотя может просто привычка...

Читать полностью…

Пост Лукацкого

Помните нашумевшую уязвимость CVE-2022-41082 (#ProxyNotShell)? Так вот еще немало непатченых Exchange-серверов, в том числе и в России.

Но хоть тут мы США не догнали, хотя и держимся на «почетном» втором месте. Но я бы предпочел быть вторым после Гренландии, у которых всего один непатченный Exchange. Может это вообще единственный почтовик на всю страну? Там живет-то всего 56 тысяч человек.

Читать полностью…

Пост Лукацкого

Как почувствовать эффект Барбары Стрейзанд на себе?.. Вот произошла где-нибудь утечка ПДн и ты знаешь, что твои данные там могут быть. Если компания признает факт утечки, то интерес к ней сразу пропадает. Ну признала и признала; молодец. А вот когда компания идет в отказ и твердит «ви фсё врёте», то тут наоборот, идешь, скачиваешь базу (интересно, под незаконный оборот ПДн это не попадет, когда поправки в УК примут?) и проверяешь свои ПДн. А когда находишь, то начинаешь чехвостить этих вралей (хотя бы и внутри себя)… Парадокс, однако 🤔

PS. Хотя может это только у меня так...

Читать полностью…

Пост Лукацкого

А теперь к более серьезным вещам. И хотя про взломы RSA был уже не один фейк опубликован, в данном случае стоит прислушаться к Брюсу Шнайеру. И хотя еще предстоит перепроверить результаты исследований китайцев, есть вероятность, что они действительно сделали то, что пишут, а именно сломали 2048-битный ключ RSA. А значит 2023-й год поставит перед многими ИБ-специалистами совершенно новые задачи и заставит пересмотреть все свои планы. Менять основы ИБ, лежащие в фундаменте многих систем электронной коммерции, - штука непростая...

Читать полностью…

Пост Лукацкого

Фишинг есть фишинг, но не исключено, что в какой-то момент времени вендора могут начать за пользователей решать, что им хорошо, а что небезопасно. Да еще и деньги брать за это 🤑

Читать полностью…

Пост Лукацкого

Интересно, что согласно опросу CyberRisk Alliance Business Intelligence и RSA Conference, для защиты e-mail самыми эффективными считаются шифрование электронной почты и решения по защите BEC (Business Email Compromise). А вот тренинги персонала, сканирование аттачей, защита от подмены адресов и фишинга требуют существенных улучшений и доработок, чтобы показать свою эффективность.

Читать полностью…

Пост Лукацкого

Результаты опроса CyberRisk Alliance Business Intelligence и RSA Conference показывают, что компании в Топ3 планируемых к использованию решений ИБ включают Zero Trust, автоматизацию реагирования и XDR. В Топ3 непланируемых инвестиций попали - защита АСУ ТП, защита IoT, XDR. Да, последний класс решений попал сразу в две категории 🙂, но планируют XDR в 1,5 больше респондентов, чем не планирует.

Интересно, что в тройку уже реализованных решений входят антивирус (тут все понятно), патч-менеджмент (тут тоже все очевидно) и EDR. Вот последний пункт для меня оказался сюрпризом - EDR с 78% обошли даже сканеры безопасности (72%).

Читать полностью…

Пост Лукацкого

Почему, приходя к топ-менеджеру, мы не можем "продать" ему ИБ? А вы ответили сами себе на 5 возражений, которые есть и у топ-менеджера?
1️⃣ Это ко мне не относится.
2️⃣ Это не так важно по сравнению с другими моими проблемами.
3️⃣ А это точно просто?
4️⃣ А что мне это даст?
5️⃣ Ну это не так срочно, можно отложить на потом.

Если вы не можете ответить самому себе, то как вы ответите на возражения тех, кто должен у вас ИБ "купить"?

Читать полностью…

Пост Лукацкого

Центр Карнеги выпустил исследование о кибероперациях России в Украине, ее результатах, последствиях и перспективах

Читать полностью…

Пост Лукацкого

Mandiant снова что-то раскопала про Turla, которую связывают с ФСБ, и которая атакует Украину

Читать полностью…

Пост Лукацкого

Из книги одного американского военного: «поведение солдата внутри подразделения полностью определяется первыми 10 днями после его назначения в него. Если не осуществить прямое и непосредственное влияние на солдата в течение этих 10 дней, то его поведение будет определяться наблюдением за окружающими и теми правильными или неправильными выводами, которые он из этих наблюдений сделал».

Мне кажется, это можно применить и к новому члену команды ИБ. Если за первые 10 дней его не направить в нужное русло, то дальнейшее его поведение будет непредсказуемым и может быть как на пользу службе ИБ, так и во вред.

Читать полностью…

Пост Лукацкого

Киберпреступники предсказуемо стали использовать ChatGPT в своих целях. И еще одно исследование на ту же тему

Читать полностью…

Пост Лукацкого

С bash:

xxx: Этим гениям давно пора уже создать Программно-Аппаратное Средство Криптозащиты, Управления Доступом и Аутентификации (от создателей ШИПКА, АККОРД и т.д.).
yyy: Ага,ты уже скопировал данные? Нет, ПАСКУДА в систему не пускает.
xxx: ПАСКУДА - на страже Вашей информации

Читать полностью…

Пост Лукацкого

Математик во мне негодует. Как у прокуратуры или ТАСС получилось 5,6%, когда там все 34%? Кто-то ошибся с цифрами в новости или кто-то считать не умеет…

Читать полностью…

Пост Лукацкого

Не знаю, как в Windows, но на macOS и iOS есть такой no-code инструмент автоматизации рутинных задач, как Shortcuts. Полезная штука, которую можно и для ИБ прикрутить. Например, вот так выглядит фрагмент плейбука для проверки наличия пользовательского пароля в публичных утечках (в данном случае в сервисе HaveBeenPwned). А дальше всего один клик и получение ответа без необходимости копировать e-mail, заходить на сайт и т.п.

ЗЫ. Но, кстати, хочу отметить, что разговоры о том, что для использования no/low-code не нужно знания программирования, - это все неправда. С одной стороны, вам не требуется знание языков программирования. Но с другой вам все равно нужно знать, как составлять алгоритмы, как обрабатывать исключения и ошибки, как проверять вводимые параметры и т.п. Без этого, никакой no code не поможет.

Читать полностью…

Пост Лукацкого

Интересный эксперимент... Один специалист по ИБ попросил написать ChatGPT книгу по ИБ, что тот прекрасно и сделал.

Конечно, тут не без нюансов. Во-первых, в книге не хватает иллюстраций. Кроме созданной DALL-E обложки больше ни одного скриншота или схемы, что для рассказа об анализе вредоносного ПО как-то странно. Во-вторых, ChatGPT не может писать книги целиком (в текущей версии) - только отдельные текстовые фрагменты. Поэтому кто-то должен был составить план-структуру книги и правильно формулировать вопросы для наполнения книги. Наконец, кто-то должен был проверить финальный вариант на предмет косяков.

Но, в целом, очень интересный опыт создания руководств how-to и материалов "для чайников".

Читать полностью…

Пост Лукацкого

От квизов по ИБ-шным фильмам народ устал. Завершаю эту историю; хотя в загашнике было еще два-три десятка фильмов и сериалов. Оставим для какой-нибудь оффлайн игры...

Читать полностью…

Пост Лукацкого

🇨🇳 Группа китайских учёных опубликовала исследование, где утверждается, что им удалось взломать 🔐 2048-битный RSA

Документ был выложен в 📄 открытый доступ для ознакомления. Авторитетный криптограф и один из разработчиков блочных шифров Twofish и Blowfish Брюс Шнайер предлагает отнестись к исследованию со всей серьезностью:

"This is something to take seriously. It might not be correct, but it’s not obviously wrong", - резюмирует китайское исследование американский криптограф.

💬 Брюс пишет следующее:

"Мы давно знаем из алгоритма Шора, что факторизация с помощью квантового компьютера проста. Но для факторизации ключей, которые мы используем сегодня, требуется большой 🖥квантовый компьютер, порядка миллионов кубитов. Исследователи объединили классические методы факторизации с уменьшением решетки с алгоритмом квантовой приближенной оптимизации. Это означает, что им нужен квантовый компьютер с 372 qbits, что вполне соответствует сегодняшним возможностям. (Через несколько месяцев IBM объявит о создании квантового компьютера с 1000 кубитами. Другие компании тоже на подходе)".

"У китайской группы не было такого большого квантового компьютера для работы. Они смогли считать 48-битные числа с помощью 10-килобайтного квантового компьютера. И хотя всегда есть потенциальные проблемы при увеличении масштаба чего-то подобного в 50 раз, очевидных препятствий нет.
"

📖 "Честно говоря, большая часть статьи не укладывается у меня в голове - как математика решеточного сокращения, так и квантовая физика. И еще есть наболевший вопрос, почему китайское правительство не засекретило это исследование. Но... может быть... и да! Или нет."

🤔 По электронной почте бывший главный архитектор по безопасности Microsoft Роджер Граймс сообщил криптографу следующее: "По-видимому, произошло следующее: другой парень ранее заявил, что смог взломать традиционное асимметричное шифрование с помощью классических компьютеров... но рецензенты нашли изъян в его алгоритме, и парню пришлось отказаться от своей статьи. Но эта китайская команда поняла, что шаг, который погубил все дело, может быть решен с помощью небольших квантовых компьютеров. Они провели испытания, и все получилось".

👆Более того, Граймс даёт дополнительное разъяснение по этому исследованию у себя на странице в одной из соц. сетей:

"🇨🇳Имея множество доказательств на руках ктайская команда утверждает, что они могут взломать современные традиционные алгоритмы асимметричного шифрования с помощью квантовых компьютеров, которые либо уже есть сегодня, либо точно появятся в этом году. Предположительно, это работает с шумящими/заполненными ошибками кубитами. И это решение также потенциально подрывает существующие квантово-устойчивые криптографические решения (т.е. основанные на решетке), которые NIST только что объявил в качестве наших новых пост-квантовых стандартов. 🧐Это одно из самых важных компьютерных открытий, если оно подтвердится то... поскольку они провели реальные испытания для подтверждения своих теорий... это кажется более вероятным, чем нет. И это 🙅‍♂️перечеркивает рекомендованные NIST сроки квантовой подготовки к 2033 году."

Telegram: @Russian_OSINT

Читать полностью…

Пост Лукацкого

Известного в соцсетях "енота из Херсона" зачислили курсантом специализированного факультета информационной безопасности мелитопольского государственного университета им. А.Макаренко! Мля, это не новогодняя шутка. У нас что, совсем с кадрами в ИБ так плохо?..

Читать полностью…
Подписаться на канал