alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Mandiant вычислил Ростелеком-Солар

Специалисты Mandiant нашли на VirusTotal вредоносную программу, предназначенную для атак на киберфизические системы, а конкретно для отключения электроэнергии. Вредонос был загружен на сайт из России в 2021 году. Специалисты отмечают, что по своим возможностям программа, которую в Mandiant обозначили как COSMICENERGY, похожа на INDUSTROYER.

Главный нюанс: согласно одному из комментариев в коде, вредонос мог быть разработан для учений на киберполигоне Ростелеком-Солара в качестве инструмента для редтиминга. То есть из лучших побуждений и в оборонительных целях. Впрочем, достаточных подтверждений этому ресёрчеры найти не смогли, поэтому допускают, что программа всё же была разработана злоумышленниками. А значит операторам систем с устройствами, уязвимыми к атак с помощью вредоноса, должны быть настороже. В любом случае, говорится в отчёте, барьеры для входа в разработку вредоносов против киберфизических систем снижаются.

Читать полностью…

Пост Лукацкого

За 12 лет я был на PHDays обычным участником, спикером и модератором. А вот теперь я стал организатором. Причем в отношении PHD это совсем не то, что организатор других ИБ-мероприятий; а у меня есть такой опыт 🏄‍♂️

Сначала тебе дают отдают в полное управление бизнес-трек и говорят, организуй. И тебе кажется это несложным. Ну при моем-то опыте организаций разных, хотя и менее масштабных мероприятий. Потом оказывается, что все желающие выступить, включая партнеров, не влезают в один шатер, и надо строить второй 🎪 Потом тебя просят подвинуться и ты идешь в третий шатер. А попутно у тебя еще два закрытых мероприятия в параллель основному треку и Positive CISO Club вечером первого дня. Я, пожалуй, впервые не смог прослушать ни одного выступления или дискуссии за все три дня PHDays. Ну кроме тех, что я сам и модерировал. Сейчас пересматриваю все видео и как будто заново участвуешь в мероприятии 🤠

И ладно, если бы тебе надо было просто придумать темы и найти спикеров. Это как раз оказалось самой простой задачей. Тебе еще надо умудриться найти способ не разругаться с большими чиновниками, которые за день до мероприятия решают вдруг, что без их участия мероприятия не обойдется. Или партнеры, которые вдруг решили, что они обязаны выступать только в пятницу и никаких суббот. А вопрос помощницы другого большого начальника «А где тут VIP-туалет?»? Так и хотелось ответить: «Вам везде!» 🚽

Но все равно - это новый колоссальный опыт 🏋️‍♀️, который я получил и который был бы невозможен без команды 🟥 А пока послевкусие и продолжительный отходняк... 😱

Читать полностью…

Пост Лукацкого

Делать обзоры выступлений непросто, а делать обзоры обзоров тем более. Поэтому не буду. Если вы хотите почитать, что говорили ФСБ, ФСТЭК, Минцифры, Госдума на PHDays, то милости прошу в блог

Читать полностью…

Пост Лукацкого

Все-таки нейросеть "Кандинский" не зря так называется. Она очень абстрактна и явно уступает по качеству картинок MidJourney 🎨 Вот, например, что она рисует по запросу "ответственность за результат в области кибербезопасности" в разных стилях (Telegram-версия "Кандинского" вообще один депрессняк рисует 🧑🏻‍🎨).

ЗЫ. Может, конечно, надо с промптами поиграться (даже не может, а надо), но все-таки, все-таки...

ЗЗЫ. Хотя, как простенькие заставки к новостям, этого вполне хватает. Если не придирать к нюансам анатомии, например, рук…

Читать полностью…

Пост Лукацкого

Прочитал тут в отчете: "Russian EW is also apparently achieving real time interception and decryption of Ukrainian Motorola 256-bit encrypted tactical communications systems, which are widely employed by the Armed Forces of Ukraine", что означает, что Россия научилась в реальном времени дешифровать коммуникации, защищенные 256-тибитным ключом 🤔 Видимо, только для конкретного технического решения, хотя... Деталей в отчете нет, но интересненько... Как? 🧑‍💻

Читать полностью…

Пост Лукацкого

Вчера по радио говорили про концепцию риск-шеринга, которую активно обсуждают в России. Это инновационная модель лекарственного обеспечения с оплатой за результат. Оплата за разработку фармпрепарата по госконтракту осуществляется по факту получения терапевтического эффекта, иначе сумма контракта снижается.

Мне кажется, если уж такая консервативная отрасль, как медицина, переходит на модель с оплатой за результат, то уж кибербезу это давно пора делать. На прошедшем PHDays эту тему активно обсуждали и на пленарке, и в отдельных дискуссиях бизнес-трека. Но надо признать, что пока большинство ИБшников опасается брать на себя ответственность за результат (причем не только требовать такой результат с вендоров и поставщиков услуг, но и обеспечивать его внутри своей компании). Да и сам результат-то не всегда мы способны описать в понятным всем терминах.

Интересный опыт у Минцифры, которым она поделилась на PHDays (вторая ссылка выше), - прописывать в контрактах с поставщиками ИБ-услуг штрафные санкции за простой в результате инцидента. И это не просто какие-то смешные цифры, а десятки процентов от суммы контракта. Правда, в этом случае и сумма контракта может быть повышена и это обосновано и понятно руководству. Но сама по себе идея оплаты за результат дисциплинирует.

Читать полностью…

Пост Лукацкого

3 года тюрьмы, 800 тысяч штрафа и конфискованный компьютер 💻 Таков приговор российскому ИТшнику за DDoS-атаки на российские объекты КИИ

Читать полностью…

Пост Лукацкого

Квиз на закрытом Positive CISO Club тоже прошел на ура! Были и простые вопросики, которые 20+ команд угадывали быстрее отведенных на вопрос 30 секунд. Например, про троянского коня 🐴 Но были и более сложные истории, например, про фреймворк ERM&CK, анонсированный на PHDays 12 🤔

Читать полностью…

Пост Лукацкого

На PHD12 не только VK занимался повышением осведомленности пользователей, но и холдинг Rambler, который к киберфестивалю запустил и онлайн-игрушку, и советы по ИБ от "Кибербезопакла", легендарного первого ИБшника 🤔 Наконец-то у нас awareness стал входить в моду и про него говорят уже не только ИБ-компании!

Читать полностью…

Пост Лукацкого

Новое отечественное Security Experts Community – "это открытое сообщество специалистов по ИБ, которые хотят делать мир чуточку безопаснее и помогать коллегам на пути обеспечения защищённости своей инфраструктуры". Про него рассказали в некоторых докладах и дискуссиях на PHDays и уже сейчас в нем обсуждаются и реализуются всякие open source инициативы, к которым можно присоединиться, начав "дружить домами".

Читать полностью…

Пост Лукацкого

Сколько тратить на ИБ от ИТ-бюджета?! 🛍 Вопрос до сих пор наипопулярнейший. Из этого заблуждения (что ИБ - это часть ИТ и считаться должна именно от ИТ) проистекает огромное количество проблем. А ведь если задуматься, то мы защищаем не ИТ, мы защищаем активы, мы нейтрализуем риски, мы боремся с недопустимыми событиями. И бюджет на ИБ должен зависеть от их стоимости, а не от того, сколько ИТ тратит на сетевуху, ОС, СУБД и принтеры.

Читать полностью…

Пост Лукацкого

PHDays завершился; как и сутки молчания, связанные с погружение в киберфестиваль. Скоро придет время порефлексировать над произошедшим. Как организатор бизнес-трека, я так и не смог послушать ни одну из сессий (кроме двух, модерируемых мной). Но зато сейчас есть время все внимательно пересмотреть и переслушать, чтобы выцепить ключевые идеи, которые я буду потихоньку выкладывать.

Читать полностью…

Пост Лукацкого

👨‍💻 Более 8 тыс. человек проверили портал Госуслуг на прочность

В начале февраля мы запустили проект по поиску уязвимостей на Госуслугах. За три месяца количество участников багбаунти превысило 8,4 тыс. За успешную работу участники получают вознаграждение: подарки с символикой проекта — за небольшие баги, до 1 млн рублей — за критические уязвимости.

По итогам проекта можно сказать, что работа исследователей помогла улучшить систему безопасности Госуслуг. При этом доступа к внутренним данным не было — участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга (чтобы их нельзя было использовать для взлома).

Уязвимости и выплаты
Всего найдено 34 уязвимости, большинство из них — со средним и низким уровнем критичности. Максимальная выплата составила 350 000₽, а минимальная — 10 000₽. Спонсор проекта — Ростелеком.

Возраст багхантеров
минимальный — 17 лет
средний — 28 лет
максимальный — 55 лет

Тестирование проходило на платформах:
BI.ZОNE Bug Bounty
Standoff 365

В будущем мы планируем и дальше проводить багбаунти Госуслуг, а также расширить действие программы на другие ведомства. Следите за анонсами в канале, чтобы не пропустить запуск следующего проекта.

@mintsifry

Читать полностью…

Пост Лукацкого

Помнится, когда Cisco Talos назвал одну из хакерских атак Squirrel Waffle ("беличья вафля"), у меня возникла мысль, что придумывают такие названия в каком-то особом состоянии сознания. И вот у нас новый лидер. "Текущий волк"? 🐺 Кто это придумал?! 🤔

ЗЫ. Хорошо, что не "текущая волчица" 😊

Читать полностью…

Пост Лукацкого

Всегда хотел во всю голосину спеть «Выйду ночью в поле с конем». А теперь и повод появился ;-) На PHD возвышается большая скульптура троянского коня, в чреве которой устроен бестиарий киберугроз, рассказывающий о самых нашумевших вирусах, троянах, червях и т.п. недавнего прошлого и настоящего.

ЗЫ. У вас тоже есть шанс посетить его - так как он находится в открытой части киберфестиваля PHD в Парке Горького, открытого до субботы включительно.

Читать полностью…

Пост Лукацкого

Чего творится-то... Американцы посягнули на святое, на киберучения и киберполигоны. Хорошо, что их еще на Standoff 17-20 мая не было. А то бы они гораздо больше всего увидели и узнали 😂

Читать полностью…

Пост Лукацкого

В догонку вчерашней заметки про обзор угроз для искусственного интеллекта от немецкого BSI делюсь ссылкой на карту атак на ИИ

Читать полностью…

Пост Лукацкого

Полторы недели назад американский суд приговорил бывшего ИТшника компании Ubiquiti к 6 годам тюрьмы за кражу гигабайтов данных у своего уже бывшего работодателя, вымогательство почти 2-х миллионов долларов под видом анонимного хакера и последующий слив информации в СМИ.

Чтобы найти виновника Ubiquiti потратила 1,5 миллиона долларов и сотни часов работы сотрудников и консультантов, но хуже всего, что утечка данных привела к потере рыночной капитализации компании на 4 миллиарда (!) долларов. Интересно, что во время расследования обвиняемый хоть и признал свою вину, но пытался придать своим действия легальный характер, сославшись на проводимые киберучения; правда, никем не санкционированные. Правда, в суде эта аргументация не сработала.

На днях был произошел схожий случай уже в Англии. Бывший аналитик ИБ, участвовавший в расследовании атаки шифровальщика на свою компанию, решил поживиться на беде своего работодателя. Имея доступ ко всем данным расследования, он подменил реквизиты криптокошелька хакера, первоначально требовавшего выкуп, на свои собственные. Но так как руководство компании не планировало платить выкуп и продолжило расследование, то бывший ИБшник компании понял, что могут выйти на него, попытался затереть все следы своего преступления, но не успел, - его задержали правоохранительные органы. 5 лет длилось расследование, в течение которого обвиняемый все отрицал, но в итоге он признал свою вину и в июле суд вынесет вердикт, в рамках которого обвиняемому грозит от 2 до 14 лет лишения свободы.

Это к разговору о модели угроз, которая часто не учитывает внутреннего нарушителя, а средства защиты не умеют мониторить происходящее внутри, фокусируясь только на периметре. А ведь будь в организации EDR/NTA/XDR/SIEM, доказательства были бы собраны гораздо быстрее, чем за несколько лет.

Читать полностью…

Пост Лукацкого

Немецкий BSI выпустил не очень большой, но все-таки интересный отчет с обзором различных проблем и атак на системы, базирующиеся на искусственном интеллекте. Как введение в проблему вполне себе подойдет.

Читать полностью…

Пост Лукацкого

В году этак 97-98-м я занимался разработкой сайта "Информзащиты". Да, был у меня такой опыт 💻 Тогда вообще многие компании самостоятельно занимались разработкой своих же сайтов и каждая уважающая себя компания должна была иметь в штате веб-мастера (я был, правда, не веб-мастером, но мне было интересно). Потом, уже следующую версию, которая согласно ТЗ должна была обладать более широким функционалом, мы заказывали у внешней веб-студии.

Я по-прежнему отвечал за сайт, но уже с точки зрения заказчика, ставящего задачи и принимающего результат. Все-таки "кесарю кесарево" и разработкой сайтов должны заниматься профессионалы (правда, нельзя забывать про безопасность сайтов - веб-студии часто не очень компетентны в этих вопросах). Так вот ФСТЭК поменяла себе сайт. Ну не знаю.... Мне кажется, что давно прошло то время, когда разработкой сайта надо было заниматься самостоятельно. Все-таки надо было поручить эту задачу не ГНИИ ПТЗИ. Вон и у головного МинОбороны сайт получше, не говоря уже о Минцифры.

Читать полностью…

Пост Лукацкого

Как проверить, что утекшая база с персданными фейковая или скомпилированная? Об этом 10-тиминутный доклад с PHDays 12

Читать полностью…

Пост Лукацкого

Если вы были на PHDays 12 и осталась какая-то недосказанность в ваших отношениях с этим мероприятием (вы не просто хотите сказать, как все было классно, но и сказать, что именно, или вы хотите рассказать, где мы накосячили /про регистрацию мы в курсе/ и где можно улучшить ситуацию, или даже вы хотите предложить классную идею на будущее), то заполните, пожалуйста, небольшую форму. Никаких стандартных вопросов о том, кто из спикеров вас потряс больше всего (я-то не выступал 😂), какой партнер выдал вам лучший мерч или сколько треков помимо курируемого мной бизнесового вы посетили, не будет 😊 4 необязательных вопроса с ответами в свободной форме - отвечать можно на любое количество из них. Есть что сказать, заполняйте; нет - чего время зря терять. Я буду вам благодарен - хочется в следующем году сделать мероприятие еще лучше!

Читать полностью…

Пост Лукацкого

Если вдруг вы увидите на улицах Москвы такие граффити, то не пугайтесь, они безопасны 😊 Тем более и PHD уже закончился 😭

ЗЫ. Я, кстати, под конец киберфестиваля PHDays зашел к кибергадалке 🧙🏻‍♀️, которой задал вопрос о том, какие киберугрозы меня ждут. Но ответ получил позитивный - если меня что-то и ждет, то я к ним готов! На том мы и расстались. А вот узнать свое будущее 🔮 по паролю я уже не успел - к субботней полночи все кибераттракционы завершили свою работу 🧙‍♂️

Читать полностью…

Пост Лукацкого

Извещение об инциденте утечки ПДн из базы данных сайта ИнфоТеКС

20 мая около 19:00 в телеграмм-канале "Утечки информации" была опубликована информация о появлении в открытом доступе данных, полученных предположительно из базы данных пользователей сайта www.infotecs.ru. По факту публикации компания «ИнфоТеКС» незамедлительно начала проверку данной информации. Превентивно был отключен личный кабинет (ЛК) пользователей сайта www.infotecs.ru, а спустя 3 часа после старта проверки была остановлена работа всего сайта с целью детального анализа логов и образов виртуальных машин, реализующих ИТ-инфраструктуру сайта.

В 22:00 20 мая после блокировки доступа к личному кабинету пользователей началось детальное расследование данного инцидента специалистами компании «ИнфоТеКС» и экспертами компании "Перспективный мониторинг" (входит в ГК «ИнфоТеКС» и является аккредитованным центром ГосСОПКА).

Проверка подтвердила факт утечки базы данных с учетными записями зарегистрированных пользователей сайта. Предварительно установлено, что компрометации подверглась только база данных учетных записей пользователей сайта, содержащая следующие обязательные для заполнения пользователем поля: логин, имя пользователя и адрес электронной почты. Пароль доступа в базе не хранится, вместо него в базе хранится хэш от пароля, по которому пароль восстановить невозможно. Анализ базы показал, что из 60 911 записей скомпрометированной базы подавляющее большинство являются фейками, автоматически сгенерированными записями ботов, одноразовыми, технологическими записями и тп. В настоящее время идет очистка базы от устаревших данных, расследование инцидента продолжается. Уведомление об инциденте направлено в Роскомнадзор в соответствии с требованиями.

Также расследование установило, что сервисы сайта ИнфоТеКС (веб-сервер, система управления сайтом, операционные системы, системы виртуализации и балансировки нагрузки) не были скомпрометированы злоумышленником. Учетные записи сервисов сайта хранятся в других базах и не были скомпрометированы. В ближайшее время сайт www.infotecs.ru будет запущен в работу.

Все программное и аппаратное обеспечение сайта www.infotecs.ru расположено в выделенном контуре безопасности, не имеет возможности взаимодействовать с внутренней ИТ-инфраструктурой компании. Работа с сайтом как пользователей, так и администраторов сайта осуществляется исключительно через документированные возможности систем управления сайтом и вспомогательными системами через защищенные SSL/TLS-соединения. Никакого ущерба внутренней ИТ-инфраструктуре компании нанесено не было. Все бизнес-процессы компании продолжают функционировать в штатном режиме. Данный инцидент никак не повлиял на разработку и выпуск продуктов ViPNet, их качество и безопасность.

Что касается содержания скомпрометированной базы данных и безопасности персональных данных пользователей сайта «ИнфоТеКС», отметим, что при регистрации на сайте пользователь может внести в базу еще ряд необязательных полей, таких как ФИО, телефон, место работы, должность и т.д. Эти данные компания никогда и не при каких условиях не передает третьим лицам, а использует исключительно в собственных маркетинговых целях. В большинстве учетных записей эти поля не заполнены. Верифицируемыми данными, помимо логина и хэша, является только адрес электронной почты, который используется в процедуре регистрации пользователя. Остальные данные компания «ИнфоТеКС» не проверяет и не может подтвердить или опровергнуть их корректность.

Мы настоятельно рекомендуем зарегистрированным пользователям сайта www.infotecs.ru оперативно сменить пароль доступа к ЛК сразу после того, как он будет запущен в работу. Об этом мы сообщим дополнительно.
Если пользователь сайта www.infotecs.ru использовал при регистрации тот же логин и пароль, что используется в других учетных записях (личных и корпоративных), настоятельно просим сменить этот логин и пароль во всех своих учетных записях, не дожидаясь запуска в работу ЛК.

Читать полностью…

Пост Лукацкого

Помните, на CISO Forum, во время интервью на сцене, которое я брал у Владимира Бенгина, был упомянут проект "русский Shodan"? Так вот на PHDays компания CyberOK рассказала о "русском Shodan", новом сканере сетевого периметра Rooster, который может просканировать все адресное пространство IPv4 всего за сутки. А в презентации CyberOK про Rooster на PHDays было упомянуто, что проект делался для Минцифры. Все сошлось! 🧐

Но было бы глупо делать просто "еще один Shodan". У Rooster есть и ряд ключевых отличий. Во-первых, он сканирует все TCP-порты, а не ограниченное их число как Shodan. Во-вторых, он детектит уязвимости не через анализ заголовков/баннеров уязвимых сервисов. Да, их многие не меняют, но это сродни афоризму Козьмы Пруткова "не верь глазам своим" или более народному "На заборе хрен написано, а там дрова лежат!". Поэтому у Rooster проверки наличия реальной уязвимости делаются иначе.

А если вспомнить антипленарку на "Магнитке", то, помните, там прозвучала идея об автоматических штрафах за наличие неустраненных критических уязвимостей на периметре организаций, которые могут привести к проникновению внутрь и утечке ПДн, за которой последует оборотной штраф? Учитывая, что за ПДн у нас отвечает Минцифры, законопроект об оборотных штрафах готовит Минцифры, на Магнитке в антипленарке участвовало Минцифры, "русский Shodan" затевало Минцифры, то я бы, сложив буквы А, Б, В, Г и Д, получил бы прекрасное и защищенное будущее, которое нас ждет.🔮

Российское IP-пространство сканируется на ежедневной основе, автоматом выявляются уязвимости, автоматом рассылаются уведомления о необходимости их устранения, автоматом проводится повторная проверка, автоматом выписывается штраф за неустранение уязвимости после определенного интервала времени или отсутствии реализации компенсирующих мер, делающих невозможной эксплуатацию. Прекрасный новый мир! 🌐

ЗЫ. Последние два абзаца - это мои фантазии, конечно. Я просто сложил 1+1, но будет ли так в реальности, кто знает?..

Читать полностью…

Пост Лукацкого

Киберфестиваль Positive Hack Days 12 завершился! Это было очень громко и грандиозно 🎊

Хотим поблагодарить всех, кто посетил наш кибергород и территорию безопасности в Парке Горького, всех зрителей онлайн-трансляции, а также спикеров и партнеров, которые принимали участие в организации PHDays 12.

Итогами двух дней работы киберфестиваля мы поделимся позднее, а пока предлагаем посмотреть, как прошел второй день Positive Hack Days 12!

P. S. записи всех треков можно будет посмотреть на нашем сайте, а также positiveevents5242">на YouTube-канале Positive Events.

#PHD12

Читать полностью…

Пост Лукацкого

«ВКонтакте» запустил арт-проект о безопасности в Сети, где опубликовал работы нескольких художников на эту тему. И хотя сами комиксы, если на чистоту, довольно банальные и скорее вымученные, чем остроумные — ну не цепляют — идея не такая и плохая.

Ведут все работы в одно место — на страницу безопасности VK. Если пользуетесь соцсетью и до сих пор не были там, обязательно зайдите.

P.S. — обращает внимание имя одного из авторов «Макс Шадгаев» 🤔. Из девяти авторов только у него не указана страница в VK. Совпадение? 🙊

Читать полностью…

Пост Лукацкого

Помимо основной программы PHDays сегодня у нас проходит еще и очередное заседание CISO Positive Club. В этот раз я выступаю в роли развлекающего аудиторию человека - буду вести очередной ибшный квиз 🤯

Читать полностью…

Пост Лукацкого

Сейчас уже можно об этом говорить. 5 лет назад, в этот день, я делал фейковый сайт PHDays ;-)

ЗЫ. А английского я как и тогда не знал (слово Fack пишется не так), так и сейчас 😂

Читать полностью…

Пост Лукацкого

ROI у киберпреступности - 2500%, если верить инфографике SANS. Вот когда на российском рынке ИБ будет схожие показатели ROI, то значит мы работали не зря!

Читать полностью…
Подписаться на канал