Прошлая неделя прошла у меня под знаком Уральского форума, а так как я давно что-то не делился впечатлениями от мероприятий, в которых поучаствовал, то я решил стряхнуть пыль с этой темой и написал ✍️. А начав, уже не смог остановиться и чуть-чуть порассуждал о мероприятиях по ИБ, которые... ну это вы уже в блоге прочитаете 🫵
Читать полностью…Гомофобное шифрование — новый термин от члена ЦИК Антона Лопатина. «Можно быть профессором и разбираться в блокчейне, криптографии, гомофобном шифровании и в чем-либо еще», — заявил Лопатин на круглом столе в Общественной палате, посвященный наблюдению за ДЭГ. Предположим, что Лопатин имел в виду гомоморфное шифрование, которое применяется при электронном голосовании. @cikrf
Читать полностью…🎭 Венецианские маски – символ стремления к приватности (privacy) и сохранению тайны
🔸Венецианские маски (машкары) традиционно ассоциируются с карнавалом в Венеции, но они использовались и в повседневной жизни с целью скрыть лицо и максимально затруднить установление личности носителя макси. Это служило самым разнообразным целям: романтических свиданий, деловых или политических переговоров, совершения преступлений.
🔸Некоторые макси помогали искажать голос их носителей, а также к максам добавлялись различные накидки и плащи, скрывавшие фигуру и вводившие в заблуждение окружающих о социальном/профессиональном статусе конкретного человека.
🔸И приходит в оперы множество людей в машкарах, по-словенски в харях, чтоб никто никого не познавал, кто в тех операх бывает, для того что многие ходят з женами, также и приезжие иноземцы ходят з девицами; и для того надевают мущины и женщины машкары и платья странное, чтоб друг друга не познавали. Так и все время каранавала ходят все в машкарах: мущины, и жены, и девицы; и гуляют все невозбранно, кто где хочет; и никто никого не знает. (с) стольник П. А. Толстой, 1697
🔸В связи с популярностью масок в Венецианской республике, их использование начиная с 17 века ограничивалось сложной системой законов:
– благородным гражданам, уличённым в использовании масок, запрещалось появление в Большом совете в течение двух лет, на них также налагался штраф в сто дукатов, простолюдинам грозило тюремное заключение до пяти лет;
– в 1615 году вышел закон, запрещающий проституткам ношение масок во время поездок в гондолах;
– людям в масках не разрешалось заходить в церкви, закон 1718 года запретил им даже приближаться к соборам;
– в 1703 году для борьбы с азартными играми запретили ношение масок в казино.
❣️Самые загадочные любовные письма в истории❣️
Среди неразгаданных тайн и секретных документов, которые хранят многие архивы мира, есть и любовные письма.
О самых известных и загадочных письмах, хранящих чьи-то сердечные тайны, рассказала Анастасия Ашаева, старший научный сотрудник Музея криптографии, в Дзене Музея криптографии.
Читаем и радуемся, что сегодня можем просто признаться в любви, написав сообщение в Telegram 😎
Интересно, согласно исследованию в Топ10 кириллических паролей за 2023-й год не вошла "наташа", которая в прошлом году была на 5-м месте 😲 Да и "марина" опустилась на одну позицию - с 7-й на 8-ю. А вот Топ10 всех вариантов паролей в мире и в России почти не отличаются - только по одной позиции (у нас есть 12345zz, а у "них" - 123123qwe). Этот мир не исправим 🤓
Читать полностью…Если посмотреть цифры по непрерывности для платформы "Гостех", у меня как-то не бьется история с тремя девятками, то есть 525 минут (почти 9 часов) допустимого простоя в год, и 15 минутами на восстановления для типовых систем и 0 минут - для критичных ГИС. Технологические окна 🪟? И все-таки SLA в 99,9% для широко распиаренного Гостеха - это маловато.
Читать полностью…Во время проведения операции по удалению раковой опухоли толстой кишки у хирургического робота Da Vinci 🤖 произошел сбой, что привело к повреждению и сожжению толстой кишки. Больной пришлось срочно проводить повторную операцию, которая, к сожалению, в итоге не помогла. Спустя несколько месяцев пациентка скончалась. И как оказалось, у компании Intuitive Surgical, производителе робота Da Vinci, это уже не первый кейс такого рода 🤖
"Ну и что", - спросите вы. "Это же не про ИБ. Неприятный сбой, с софтом/железом такое бывает". Да, соглашусь с этим, но... В данной истории надо смотреть чуть шире и задаться простым вопросом - а могла ли причиной данного сбоя 😵 стать компьютерная атака? И если вы не можете ответить однозначно отрицательно, то стоит задуматься о защите такого объекта как хирургический робот. Ну и про модель угроз не забыть, конечно. 🛡
На видео совсем другой робот, но оно показывает, что роботы в отличие от людей пока не умеют оценивать последствия своих действий. "Сказали" вырвать провод, он вырвал, и не важно, что в результате он сам себя обесточил. Негативные последствия и недопустимые события роботы 🤖 пока не просчитывают, следуя заданным командам, которые могут быть и модифицированы.
Я, когда учился в середине 2010-х годов на курсах SANS по АСУ ТП, экспериментировал ровно таким же образом с мини-светофором. Ты ему отправляешь неожиданные команды или явно враждебные 🤕 и он их прекрасно "кушает", переключаясь на зеленый, когда должен гореть красный. Более красочно это обычно показывается в голливудских боевиках типа "Ограбление по-итальянски" или "Крепкий орешек 4.0" ⚔️
Итого, ФСТЭК сейчас создает/разрабатывает (из публично озвученного на конференции в день Трифона-Мышегона):
1️⃣ Требования по обеспечению защищенности государственных информационных систем и значимых объектов критической информационной инфраструктуры Российской Федерации от несанкционированных воздействий типа «отказ в обслуживании»
2️⃣ Типовая программа и методики аттестационных испытаний
3️⃣ Методика анализа уязвимостей
4️⃣ Методика тестирования функций безопасности
5️⃣ Методика испытания системы защиты информации с использованием средств тестирования
6️⃣ Методика тестирования производительности NGFW
7️⃣ Центр компетенций по тестированию производительности, устойчивости функционирования и функциональных возможностей МЭ и иных сетевых устройств
8️⃣ Полигон для тестирования СрЗИ путем эмуляции действий нарушителей
9️⃣ Центр исследований в области обеспечения информационной безопасности при использовании технологий искусственного интеллекта
1️⃣0️⃣ Методика выявления уязвимостей и НДВ в ПО
1️⃣1️⃣ 5 ГОСТов по безопасной разработке, из которых парочка уже принята, но на слайдах не было отражено (руководство по оценке безопасности разработки, руководство по проведению статического анализа, руководство по разработке безопасного ПО, доверенный компилятор C/C++ и управление безопасностью ПО при использовании заимствованных и привлеченных компонентов)
1️⃣2️⃣ Показатель (и методика его определения) состояния защиты информации и обеспечения безопасности объектов КИИ в ОГВ и(или) организации
1️⃣3️⃣ Показатель (и методика его определения) зрелости деятельности ОГВ и организаций по защите информации и обеспечению безопасности объектов КИИ
1️⃣4️⃣ Требования о защите информации, содержащейся в государственных и иных информационных системах, обладателями которых являются РФ, субъект РФ, муниципальное образование
Несколько цитат ✍️, которые мне запомнились на Уральском форуме в Екатеринбурге. Вообще их было больше, но это прямо зацепили:
Тот бизнес, который не понимает важность кибербеза, не должен существовать
(с) Дмитрий Гусев
Требования регуляторов - это фанера под пятую точку
(с) Дмитрий Гусев
Договориться с нами легко, если делаете то, что мы [ИБ] сказали
(с) Александр ЕгоркинЧитать полностью…
Академики РАН в 2️⃣0️⃣1️⃣4️⃣-м делали такой прогноз 🔮 на ИБ в2️⃣0️⃣3️⃣0️⃣-м и видится мне, что они ошиблись лет на 6️⃣ в своих прогнозах в большую сторону. Это к разговору о том, насколько точны прогнозы в области информационных технологий и кибербеза и что то, что кажется очень далеким, может оказаться в реальности гораздо ближе 🛡
Читать полностью…А у нас тут исследование по фишингу 🤒 вышло, с разными примерами, картинками и аналитикой. А так как я к нему тоже руку ✍️ немного приложил, то не могу не поделиться 🎣
Читать полностью…Сачок все шутит 😊 И Позитив шутит. А я свое в прошлом году отшутил, подготовив аж 20+ валентинок про ИБ. Так что просто всех с праздником 👨💻 Кирилла и Мефодия (если вы российский католик) или Трифона-мышегона (если вы православный)! Ну и Святого Валентина, если вы традиционалист 🙏 Еще и день компьютерщика какой-то сегодня. Есть из чего выбрать 🤝
ЗЫ. Не исключаю, что в следующем году этот праздник будет запрещен в России, как рушащий устои, нарушающий скрепы и вообще нетрадиционный, если вспоминать одну из версий, кем был Валентин.
Кто спрашивал, что за инструмент 🥁 для моделирования угроз я вчера описывал? Звать его ThreatModeler! Есть платная версия и community edition.
ЗЫ. Вот и картинка пригодилась про модельера 😇
Завтра, главное, не попасться на удочку мошенников 🤒, которые могут отправить вам любовное послание 💌 от человека, который вам нравится, но вы боитесь ему признаться. Но вы лайкаете его/ее фотки в соцсетях и это легко отслеживается, как и ваши чувства, которые могут сыграть с вами злую шутку! 😈
Читать полностью…Помните, что в аббревиатуре CERT последние три буквы означают Emergency Response Team, то есть команда по реагированию на чрезвычайные ситуации. В 1988-м году к этим трем буквам добавили еще одну - C (Computer), создав первый CERT, который должен был реагировать на инциденты ИБ 👨💻
И вот Тинькофф объединил эти два направления - запустив выездные бригады "скорой помощи" по вопросам ИБ. Пишут, что банк ежемесячно проводит до 3000 выездов к зомбированным 🧟♂️ мошенниками клиентам!
А вот еще прекрасное от подписчика прилетело, за что ему спасибо!🔤🔤🔤🔤🔤🔤🔤🔤🔤🔤, мля, 😦 шифрование. Хотя на фоне отнесения ЛГБТ к экстремистской организации и гонениях на сексуальные меньшинства, рушащие устои и все такое, почему бы и шифрованию не быть гомофобным? А за его использование представителями ЛГБТ-сообщества надо требовать с них наличие лицензии ФСБ на деятельность в области шифрования 😮 А у кого нет, того не допускать к выборам! 😲
ЗЫ. Гомофо́бия (от др.-греч. ὁμός «подобный, одинаковый» φόβος «страх, боязнь») — ряд негативных установок и чувств по отношению к гомосексуальности или людям, которые идентифицируются или воспринимаются как ЛГБТ+ (лесбиянки, геи, бисексуалы и трансгендерные люди).Читать полностью…
Будьте осторожны 🔞, покупая секс-игрушки, - от них тоже можно подцепить вирус, компьютерный вирус 😎
История с небезопасностью вибраторов далеко не первая - взломы уже были раньше. Теперь вот заражение вредоносом 🦠
В свое время, в подзабытом уже немного Cisco SAFE, была сформулирована одна из аксиом, вляющих на архитектуру ИБ, - «любое устройство с IP-адресом может стать мишенью» 🤕 Сегодня впору поменять ее на «любое устройство с компьютером внутри может стать мишенью и плацдармом для атаки» 🤒
Вряд ли вы используете секс-игрушки в корпоративной или ведомственной сети, но вот если у вас есть в ней какие-то IoT-устройства (термостаты, умные лампочки, камеры, СмартТВ и т.п.), то подумайте о том, как вы будете:
1️⃣ их мониторить
2️⃣ их защищать
3️⃣ реагировать на атаки на них
4️⃣ проводить расследование (жду книгу «Forensics for Vibrators»
5️⃣ проводить обучение пользователей!
Предохраняйтесь 😷
Мне нравится, когда Сергей комментирует мои выступления, презентации, статьи и вебинары. Вот и в этот раз он решил прокомментировать вебинар по расчету стоимости инцидента, что приятно. Но мне не очень нравится авторский прием, когда кто-то за меня додумывает, что я вроде как имел ввиду.
Так вот вот скажу, что я не имел ввиду ничего связанного с обоснованием инвестиций в ИБ и не говорил ничего про вероятность инцидента. Я рассказывал о том, из чего складывается стоимость инцидента, которая оценивается постфактум, и не более того.
А вот то, что я хотел бы сказать по поводу количественной оценки вероятности риска ИБ и предсказания его стоимости (если не брать Монте-Карло, но там есть нюансы), я прямо сказал вчера, когда по приглашению клуба рисковиков выступал с темой "Почему я не люблю количественную оценку рисков" на площадке VK.
В своем коротком выступлении я делился мыслями о том, почему очень сложно считать 🧮 вероятность наступления риска ИБ (и инцидента тоже) и ущерб от него не методом светофора🚦, а количественно. Времени было немного, поэтому и презентация короткая. Полная версия у меня на 2-3 часа где-то.
ЗЫ. Вообще странно слышать в одном посте, что оценка рисков - это хороший метод, лучше которого еще не придумали, и тут же говорить, что вероятность реализации риска посчитать нельзя. В чем тогда смысл оценки рисков, если один из двух ключевых параметров риска (вероятность наступления негативного события) мы не можем посчитать?
ЗЗЫ. Презентацию своего выступления выложу в понедельник.
Уж не знаю, как они в реальности воюют на информационном фронте, но в слове "искусство" два "с" ставится в другом месте. А вот логотипы 🐲 у всех вновь создаваемых хакерских группировок, не только российских, но и вообще, действительно красивые и устрашающие. Напомнило дракона Смауга из трилогии "Хоббит" 🐉
Читать полностью…На фоне новостей про разделение Яндекса я зашел поглядеть свой портфель акций, чтобы решить, что делать с ценными бумагами автора российского поисковика. А у меня они были прикуплены во время COVID-19, незадолго до 24 февраля 2022 года 😲 Помимо этого у меня были и другие акции, в том числе и фонда CyberSecurity, в который входили акции Splunk, Broadcom, Crowdstrike, Palo Alto, Cisco, Okta, Fortinet, Cloudflare и др. С этим фондом у меня, конечно, вышла засада, - его курс упал в цене, а сейчас и вовсе эти акции продать затруднительно по причине того, что все участники этого фонда из недружественной страны, акциями которых торговать сейчас низзя ☹️
Но в моем портфеле были и позитивные истории, а именно акции 🟥 Я их прикупил еще будучи в Cisco, когда Позитив только-только вышел на биржу (🔤🔤🔤🔤). И вот сейчас могу сказать, что за 2+ года из всего моего портфеля самыми доходными бумагами оказался именно ⬜️ - 99,95% роста. Больше у меня ни одна бумага не дает таких цифр - даже сберовские с их 50% роста за все время инвестирования и даже золото с его 72%.
Не могу сказать, что этих акций много и что я вообще профессиональный инвестор, но на долгой дистанции интересно наблюдать за этой историей. Остается только жалеть, что не купил в свое время больше этих акций. Но кто ж знал, что оно все так обернется, что я покину Cisco и выйду в Positive Technologies, что мир разделится на "до" и "после". Но зато кибербез сейчас на коне 📈 и будет оставаться там еще долго. Если роботы и AGI нас не грохнут, конечно...
Помню, как на одном из Уральских форумов, когда он еще проходил на Магнитке (и эти два мероприятия не были разделены) Рустэм Марданов, Председатель Правительства Башкортостана, привел очень интересный алгоритм финансирования проектов (любых) в республике:
🔤 если инициатор может показать вклад проекта в цели республики и готов показать достигаемый результат количественно, то финансирование составляет 💯 от запрошенного
🔤 если инициатор говорит, что проект важный, и руководитель понимает, что важный, но посчитать количественно результат от него они не могут, то финансирование составляет 50% от запрошенного 🤑
🔤 если инициатор говорит, что проект важный, но не может объяснить важность и тупо ссылается на то, что проект предусмотрен какой-то нормативкой, то финансирование составляет 10% от запрошенного 👛
Очень интересный способ бюджетирования ИБ 🤑
К слову: на направление ИБ в рамках «Цифровой экономики» на 2018-й год бюджетом было выделено всего 10% от запрошенных 🥴
В интересное время живем. Nginx умер, да здравствует FreeNginx. Интересно, как это повлияет на ИБ обеих платформ, одна из которых является очень популярной при построении сайтов и проксей
Читать полностью…Сегодня на секции Уральского форума про кибератаки 🔓 я спросил у участников дискуссии, насколько они сами оценивают реальность атак на искусственный интеллект 🧠 и биометрию в этом, 2024-м году. Большинство ответило, что, да, вполне реально, и мы в этом году увидим атаки на ЕБС 🎭, включая утечки из нее, и различные ML-проекты. Кто-то ответил, что, да, актуально, но не в этом году. А вот в атаки 🤕 на квантовое шифрование (но это я уже спрашивал в кулуарах) никто пока не верит или считает их невозможными (на коротких расстояниях, до 100 км). Но тут, как спел Слепаков,
"А что, мля, если нет?"Читать полностью…
Вот такие графики работы 📊 меня немного смущают. Число инцидентов и число уязвимостей должно падать, а не расти из месяца в месяц. Да, с число критических уязвимостей все обстоит неплохо, но откуда такой рост по остальным типам уязвимостей? Либо все плохо 👎, но тогда бы и число критов росло, либо какая-то иная причина, например, рост числа активов. Поэтому неплохо было бы показать соотношение на одном графике, чтобы сразу стало понятна причина такого роста 📈
С инцидентами ситуация похуже - там рост по всем типам инцидентов при неизменном числе событий ИБ (если графики за один интервал времени, конечно же). Тоже не очень понятна причина такой негативной динамики... 📉
И вообще, что за странные названия у графиков. Что такое «инциденты»? Пропущенные, разрешенные в срок? А «уязвимости» выявленные или пропатченные? Одни недомолвки… Визуализация может как помочь в решении вопросов ИБ при общении с руководством, так и убить все благие начинания на корню 😵
Выложена полная запись вебинара 🟥 "Как оценить стоимость инцидента? Подходы и примеры", который я проводил 8-го февраля. Презентацию тоже прилагаю 👇
Читать полностью…Если посмотреть на эту картинку, то только внимательные подписчики обращают внимание, что "двухфакторной авторизации" не существует. А я поэтому эту картинку и запостил 😊
Читать полностью…Совбез на Инфофоруме заявил о 200 тыс. кибератак на информационную инфраструктуру РФ в 2023 г.
🔣 "из них" на Новосибирскую область - 150 тысяч (по данным новосибирского Минцифры на их коллегии)
🔣 "из них" 60 тысяч на всю отрасль транспорта (по данным Совбеза с Инфофорума)
🔣 "из них" на РЖД (часть транспортной отрасли) - 4,8 миллиона (по данным РЖД с Инфофорума)
🔣 "из них" на Госуслуги - 600 миллионов (по данным вице-президента Ростелекома на Дне госуслуг прекрасное название мероприятия).
Мне кажется, что наши госструктуры и госкомпании, которых хлебом не корми, но дай поучаствовать в рейтингах и занять там призовые места, в вопросах отчетности по кибератакам ориентируются на Польшу, в которой есть такая пословица - "Дела как в Польше, - тот пан, у кого лингам больше"! Но Ростелеком всех обскакал 🖕🖕
Есть хорошие технологии, которые отдельные несознательные лица начинают продвигать как вредные и опасные. Так РКН, под соусом борьбы с экстремизмом и вообще, активно блокирует VPN ⛔️ и будет эту деятельность к выборам только усиливать, не думая особо о последствиях. Это корпоративные заказчики могут отправить в РКН список своих адресов, использующих VPN, которые блокировать не надо. А что делать рядовым гражданам, которые используют VPN для обеспечения своей конфиденциальности? 🔐
А есть прямо противоположная история, когда опасные технологии начинают использовать во благо. Например, как делают некоторые банки 🏦, которые скрывают свой функционал внутри другого приложения. И основной функционал запускается только при определенных условиях, например, при работе с российских IP. По сути речь идет о классических троянах 🐴, но с благой целью, - дать россиянам пользоваться заблокированными в магазинах приложений банковскими клиентами.
И все вроде хорошо, но высока вероятность, что то, что сейчас делают подсанкционные банки вернется в сторону злоумышленников, которые возьмут эти подходы на вооружение 🤒 и начнут предлагать гражданам "новую версию заблокированного приложения". И так как граждане привыкнут, что приложения не те, какими кажутся с начала, это приведет к очередному витку кибермошенничества 🤒
А модели угроз строятся достаточно сложные. Вот это, например, модель для автономного транспорта. Сам автомобиль 🚗 в самом левом краю в виде одной иконки, а все остальное - это облачная 😶🌫️ инфраструктура, стоящая за ним, с компонентами и информационными потоками между ними.
В принципе, все тоже самое, и правда, можно в Visio или его бесплатных аналогах сделать. Но... Сила готовых сервисов в заложенной базу знаний, когда для каждого компонента уже включены угрозы для него и защитные меры. А еще база готовых шаблонов, чтобы было от чего отталкиваться, создавая свою модель. И этого прям не хватает в том же сервисе ФСТЭК, который уже больше года в режиме опытной эксплуатации. Там все сам, все сам...