ФСБ РОССИИ ВСКРЫТА РАЗВЕДЫВАТЕЛЬНАЯ АКЦИЯ АМЕРИКАНСКИХ СПЕЦСЛУЖБ С ИСПОЛЬЗОВАНИЕМ МОБИЛЬНЫХ УСТРОЙСТВ ФИРМЫ APPLE... Деталей на сайте ФСБ нет 🤔
Как бы теперь ввоз iPhone, даже по параллельному импорту, не запретили. Стоит подумать об этом, если у вас на смартфоны какие-то процессы завязаны (например, курьеры или мобильные агенты). Но интересно другое - запретов использования техники Apple (как и других, условно персональных, иностранных ИТ-решений) в госорганах я помню несколько. Но все безрезультатно, так как запретить на бумаге можно, но если не дать адекватную альтернативу, то все, кому запретили, все равно будут искать способы обхода запретов.
А что касается запрета на ввоз мобильных устройств Apple, то это вряд ли произойдет прям сейчас. А вот запретить ввоз техники, неподдерживающей отечественные алгоритмы шифрования вполне можно и это даже не будет выглядеть как борьба с иностранными шпионами - все в рамках импортозамещения. Тем более на днях некая общественность потребовала внедрить в смартфоны, продаваемые в России, российскую криптографию. А мы же помним, как у нас относятся к голосам общественности?..
Ну и наконец. Если вернуться к исходной истории и попробовать порассуждать на тему самого пресс-релиза ФСБ, то я бы смотрел в сторону Pegasus и иных шпионских программ, коих развелось в мире немало и многих из них стоят на страже национальной безопасности многих государств; в ее широком толковании. И несмотря на все заявления о том, что следить за гражданами плохо, те же США прекрасно это делают; как и многие другие государства. Что позволено Юпитеру, то не позволено быку.
Так что думаю, что пресс-релиз ФСБ надо читать не как "в мобильной продукции Apple найдена вредоносная функциональность, позволяющая шпионить за россиянами", а как "в отношении представителей российских госорганов и дипломатических представительств ведется шпионская деятельность, в том числе и за счет шпионского ПО, которое незаметно устанавливается на различные смартфоны, включая и Apple iPhone".
И да, ФСБ пишет, что наличие шпионской активности с iPhone доказывает сотрудничество Apple с иностранными спецслужбами, но тут, без дополнительных деталей, конечно, фиг это проверишь. Когда Сноуден свои откровения в 2013-м году выпустил, то многие американские ИТ-производители обвинялись в сотрудничестве со спецслужбами, но потом оказалось, что те же АНБ или ЦРУ просто использовали 0Day уязвимости или самостоятельно внедряли закладки в ИТ-продукцию; без участия со стороны вендоров. Возможно, у ФСБ есть прям факты, доказывающие сотрудничество, но мы это вряд ли когда узнаем из-за режима секретности.
Помню, лет 10 или чуть меньше назад, на ИБ-мероприятиях представители ФСБ регулярно заявляли, что они, дескать, нашли закладки в продукции Microsoft и Cisco, но фактов так и не предъявляли, а потом и вовсе сертифицировали эту продукцию по своим требованиям и даже на отсутствие НДВ. Так что шпиономанию никто не отменял, как и геополитическую борьбу. Без публикации технических деталей пока это так и выглядит.
А модель угроз еще раз пересмотрите...
В любом случае помните, что документ является основой для разработки собственных документов по управлению уязвимостями. То есть он не догма, как его будут рассматривать многие, а руководство к действию. Но и сильно отходить от него не нужно.
Ложка дегтя - не учтена история с АСУ ТП, в которых не всегда работают те же подходы, что и при управлении уязвимостями в ИТ-инфраструктуре. А уж устранение критических уязвимостей в течение суток в средствах промышленной автоматизации... это вообще космос. Но опять же - взяв документ, разработанный ФСТЭК, за основу, можно что-то сделать и для своих АСУ ТП.
▶️ Новый выпуск на канале
Наши смартфоны, ноутбуки и умные часы обходятся нам очень дорого. И речь не только о деньгах. За удобства и экономию времени нам приходится платить… своими данными! Казалось бы, ну кому интересно, какие роллы я заказываю чаще всего? Однако из таких деталей пазла складывается портрет пользователя, который уже может быть интересен злоумышленникам.
В этом выпуске мы не только поговорим подробнее о том, что такое кибергигиена и почему ее важно соблюдать, , но и расскажем, кто такие пентестеры, что такое литспик и как не сойти с ума в мире, где постоянно случаются утечки данных, а твоя умная колонка фиксирует все твои поисковые запросы.
Смотреть выпуск
#выпуск
Видео с сегодняшней сессии на ЦИПРе. Мы там с Русланом Юсуфовым выступили на стороне технопессимистов и получилось прям хорошо; попугали немного народ будущим ИИ; я поменьше и в краткосрочной перспективе, а Руслан основательно и на горизонте 5-10 лет.
ЗЫ. Секция начинается с 11-й минуты
В 11.45 начнется прямой эфир с ЦИПРа про искусственный интеллект и кибербез, где я буду в роли технопессимиста
Читать полностью…🤔 Считаете, что результатом кибератак могут быть только трудно оцениваемые утечки данных, простои информационных систем, эксплуатация уязвимостей и кража денег с кредитных карт? Это не так!
Недооценка вопросов кибербезопасности может привести к реализации различных недопустимых событий, наступление которых приводит к невозможности реализации стратегических или операционных целей компании.
Одним из примеров таких последствий является банкротство.
Мы собрали несколько примеров компаний, вынужденных объявить о своем банкротстве из-за несоблюдения мер результативной кибербезопасности. Подробнее — на карточках.
#PositiveTechnologies
4 года прошло с момента создания этой картинки. До сих пор позиция Медвежонка мне ближе, чем Ёжика
Читать полностью…Бывало и я ошибался. А счастье было так возможно… и так возможно, и вот так! Если бы ФСТЭК докрутила тему с матрицей техник и тактик, то может что и получилось бы. Но увы...
Читать полностью…OWASP разработал свою десятку рисков для языковых моделей OWASP LLM Top Ten v.1:
🚀 Prompt Injections
💧 Data Leakage
🏖 Inadequate Sandboxing
📜 Unauthorized Code Execution
🌐 SSRF Vulnerabilities
⚖️ Overreliance on LLM-generated Content
🧭 Inadequate AI Alignment
🚫 Insufficient Access Controls
⚠️ Improper Error Handling
💀 Training Data Poisoning
Американцы обновили руководство по борьбе с шифровальщиками, выпущенное в сентябре 2020-го года, расширив его рекомендациями по предотвращению первичных векторов заражения, учли облачные резервные копии и архитектуру Zero Trust. Также в руководстве обновили чеклист за счет советов по threat hunting.
Читать полностью…Пентест пентесту рознь... Одно дело - увлеченные этим люди, и совсем другие - делающие это из под палки, потому что так папа сказал в нормативке записано
В моем детстве у многих моих сверстников была мечта - иметь дома игрушечную немецкую железную дорогу . Но не просто паровоз с парой вагончиков и набор рельсов, но целый мини-город - с домами, вокзалом, деревьями, горами... А так как удовольствие это было не из дешевых, даже обычный мини-комплект, то мы ходили в "Детский мир" на Лубянке, в котором такой "город" был построен и он вызывал зависть у всех детей.
Прошло 40+ лет и вот уже твоя детская мечта у тебя под боком. Да еще и сопряжена с профессией. Да, речь о киберполигоне Standoff. Причем именно в его полной версии, с физическим воплощением в городе 🫡. Просто виртуальный киберполигон не дает того эффекта. На нем можно тестировать свои навыки и в этом плане он ничем не отличается от своего физического собрата (инфраструктура-то одна). Но только видя как сталкиваются поезда, останавливаются колеса обозрения, разливается нефть, прекращается подача электричества или останавливается движение, понимаешь, что в реальной жизни эти недопустимые события могут произойти точно так же; только в ином масштабе.
Для визуализации ИБ физическая версия Standoff подходит как нельзя лучше - вокруг него постоянно толпы народа и даже далекое от ИБ руководства компаний и ведомств, страны и отдельных регионов, становится ближе к тому, чем нам приходится заниматься ежедневно, но чего никто не видит. И эти руководители, тоже имевшие эту детскую мечту, подолгу простаивают рядом с ней, вспоминая свое счастливое детство и видя свое настоящее. И студентам в ВУЗах тоже было бы неплохо такие "мини-города" иметь, чтобы понимать, чему их учат. И для CTF такие города нужны, и для крупных холдингов и компаний.
Количество читателей органически и постоянно растет и, видимо, это привлекает все больше и больше рекламодателей, каждому из которых я отказываю. А все почему?
Не хочется терять то чувство свободы, которое есть. Хочу пишу, хочу не пишу. Хочу критикую, хочу в любви признаюсь. Могу и на хер послать. И никто мне не может сказать: «Мы провели совещание на тему вашего последнего поста и решили, что он не так сильно нас восхваляет, как мы ожидали. А еще вы в посте использовали слово «хрен», что непозволительно и не должно ассоциироваться с именем нашей солидной компании. Также нас возмутил тот факт, что в качестве иллюстрации к заметке вы использовали сине-желтую картинку, а мы не хотим, чтобы нам предъявляли претензии за поддержку сами знаете кого. Ну и что, что у нас логотип сине-желтый. Наконец, не используйте слово «кибервойна», - оно создает нехорошии эманации а PR-поле. Учтите наши рекомендации в следующий раз, а то мы поставим вопрос об изменении договора в одностороннем порядке; пункт 6892-й на 66-й странице, написанный 1-м кеглем и белым цветом на белом фоне нам это позволяет.»
Вот и начинают мучаться рекламовзятели, удовлетворяя рекламодателя, напрочь забывая о контенте, читателе и себе. А потом перестают критиковать, начинаются накрутки и все, покатилось по наклонной. Ну его в жопу такой диджитал. Лучше быть свободным художником. Поэтому и отказываю. Даже знакомым. Даже 🟥. Публикую только то, что зашло мне, или то, что мне интересно, или то, к чему я приложил руку (например, курс какой или вебинар или материал).
ЗЫ. А вообще, в описании канала написано, что рекламу не размещаю. Но кто ж у нас читает описания?
НКЦКИ опубликовал бюллетень, связанный шпионской активностью от имени Apple. Интересная история раскручивается:
1️⃣ ФСБ говорит, что за шпионской активностью стоит Apple, сотрудничающая с иностранными спецслужбами 🫡
2️⃣ В бюллетене НКЦКИ о сотрудничестве Apple со спецслужбами уже ни слова, но упоминается, что вредоносный код использует "предусмотренные производителем уязвимости" 🤔.
3️⃣ В бюллетене дается ссылка на кампанию "Триангуляция", которая была выявлена Лабораторией Касперского, в описании которой вообще ни слова ни про злой умысел Apple, ни про оставленные специально уязвимости, ни про сотрудничество со спецслужбами. Достаточно трезвый технический анализ кампании, которая похожа на любую другую с незаметной установкой вредоносного ПО на смартфоны, например, банковских троянцев.
То ли ЛК знает не все, то ли в пресс-службе ФСБ решили подлить масла в огонь, обвинив Apple в том, что это она стоит за шпионской активностью. Нууу, такое себе 🤔
К техническим деталям отчета ЛК у меня лично вопросов нет - все четко 👨💻 От бюллетеня НКЦКИ я ждал и некоторых рекомендаций по борьбе с угрозой. Если не в части самостоятельного обнаружения признаков компрометации пользователем, то хотя бы в части мониторинга индикаторов с помощью решений класса NTA/NGFW/SWG; тем более, что в бюллетене есть соответствующие C2-домены. Если пользователь подключается к корпоративному или ведомственному Wi-Fi со скомпрометированного смартфона, то такой мониторинг сетевого трафика может помочь идентифицировать проблему. Ну и меры по нейтрализации ВПО тоже неплохо было бы написать. Например, сброс до заводских настроек позволяет временно устранить угрозу или бэкап до какой даты можно ставить безбоязненно? А в остальном все не так уж и страшно. Разве, что СМИ все прям активизировались, - не часто у нас ФСБ официальные пресс-релизы такого типа выпускает.
Засим откланиваюсь - пойду Wireshark'ом трафик помониторю в домашней сетке; вдруг что...
На сайте ФСТЭК выложена совершенно корявая версия методички по управлению уязвимостями в формате PDF - ее, видимо, не проверили после конвертации. Работать с ней нельзя - ни копировать из нее текст, ни делать поиск, ничего этакого. И картинки как-то не очень качественно сжаты. Я в итоге переделал его в то, с чем работать удобнее. Прилагаю.
Читать полностью…ФСТЭК, спустя 2 месяца с публикации проекта своего методического «Руководства по организации процесса управления уязвимостями в органе (организации)» утвердил этот документ. Я пока глубоко не погружался в документ, но он мне понравился - явных косяков я в нем не увидел, кроме одного (о нем ниже). Во-первых, сразу бросается в глаза оформление - наконец-то в методичках стали появляться иллюстрации, блок-схемы, таблицы... Работать с таким документом гораздо приятнее и удобнее.
Во-вторых, предположу, что приказы 17/21/31/31/239 уже не будут сильно меняться (хотя я бы все-таки реализовал задумку с единым каталогом защитных мер и ссылками на него из разных приказов), и ФСТЭК займется процессами, стоящими за большинством из мер защиты. Работа эта небыстрая, но зато благодарная - становится понятно, что скрывается за отдельными пунктами приказов регулятора. А самое главное, что кибербез становится непрерывным, а не дискретным (от аттестации до аттестации).
В-третьих, документ устанавливает следующие сроки устранения выявленных уязвимостей:
🔥 критический уровень опасности - до 24 часов
⚡ высокий уровень опасности - до 7 дней
🖕 средний уровень опасности - до 4 недель
🪫 низкий уровень опасности - до 4 месяцев.
При этом важно помнить, что фразу "устранение уязвимостей" надо трактовать не буквально. Как мне кажется речь идет о невозможности использования выявленных уязвимостей, что может быть достигнуто как установкой обновлений (прямое прочтение термина "устранение уязвимостей"), так и реализацией компенсирующих мер, о чем методичка тоже говорит достаточно явно. Если вспомнить выступление В.С.Лютикова на PHDays, то он об этом также говорил (либо патч, либо компенсирующие меры).
Я бы, конечно, задался своим, набившим оскомину, вопросом: «А вы учли это в своей модели угроз?», но это уже будет перебор, а то и неуважение к представителям власти.
Дело в том, что у берегов Норвегии узрели белугу 🐬, которую сразу нарекли Hvladimir’ом, от норвежского «hval», то есть белуга, и хорошо знакомого всей Европе славянского имени Владимир (а это может быть рассмотрено как посягательство на…). А к Гвладимиру была прикреплена камера GoPro. И думают гордые викинги, что это шпион 🕵️♀️, следящий за секретными перемещениями норвежского лосося и кильки. Ихтиологи напоминают, что этого персонажа засекли еще несколько лет назад, а сейчас вообще он секаса 🐇 ищет (сезон такой начался). Но кого в другой сезон, шпиономании, волнуют такие мелочи?..
А если серьезно, вдруг у белуги не только камера прикручена, но и средство снятия данных с оптических каналов связи? Как с этим бороться? Шифруйте данные, господа и дамы. «Кузнечик» 🦗 и никакая белуга вам не страшна! 🐬
Но есть и другая схожая с ATT&CK матрица - от аэрокосмической корпорации. Она, в отличие от SHIELD, описанной в предыдущем посте, рассчитана на конкретные космические миссии 🛰 Но я, если честно, прям колоссальной разницы не увидел. Наверное, потому что я не космонавт 👩🚀
Читать полностью…Если вдруг вас пригласят в Роскосмос заниматься ИБ, то европейское космическое агентство вам помогло, адаптировав матрицы MITRE ATT&CK и SHIELD для космических кибератак 🚀 Но рассказывать об этом на конференциях вы не сможете - помните о приказе ФСБ, который не приветствует раскрытие информации о ИБ в Роскосмосе 🛸
Читать полностью…Новозеланский CERT переводит свои материалы на национальные языки; в данном случае на самоанский (не путать Самоа и Самуи). Представил, как бы звучали НПА ФСТЭК, ФСБ, Минцифры… на якутском, бурятском, гагаузском, ногайском, абазинском…
Читать полностью…Льюис Кэролл, проезжая по России, записал чудное русское слово "защищающихся" (thоsе whо рrоtесt thеmsеlvеs, как он пометил в дневнике). Английскими буквами ✍️ Вид этого слова вызывает ужас... 😱
zаshtshееshtshауоуshtshееkhsуа. Ни один англичанин или американец это слово произнести не в состоянии 😱
Знал бы я это раньше, так бы и написал в анкете на американскую визу. Меня тогда бы не отправили на спецпроверку и я бы еще успел смотаться до COVID-19 на один или даже два RSA Conference. Но нет…
Наконец-то нормальные книги для CISO стали публиковать. Про метрики, дашборды и сразу код для их автоматизации
Читать полностью…Mandiant тут выпустил отчет, в котором пишет о новом вредоносном коде COSMICENERGY для промышленных площадок, схожий по функционалу с INDUSTROYER и INDUSTROYER V2⚡️ При этом авторы отчета нашли в коде упоминания компании Ростелеком-Солар, которая использовала данный код в рамках проводимых киберучений. Это позволило на Западе многим заявить о том, что Россия опять хочет поставить весь мир на колени, атаковать критическую инфраструктуру и вот это вот все ⚡️
Однако, авторы в отчете не делают таких однозначных выводов. Они как раз считают, что вполне возможно, что речь возможна шла как раз о воссоздании реальных сценариев атак против энергосистемы. Но есть и другое предположение в отчете - кто-то просто использовал имеющийся код Солара для разработки вредоносного кода. Авторы указывают, что это популярная практика у плохих парней и ровно также они действовали в рамках атаки TRITON (ее тоже приписывали россиянам). Ну и американцы не были бы американцами, если бы не приплели сюда еще и НТЦ Вулкан, утечка данных из которого произошла совсем недавно и в которой были найдены свидетельства о разработки в интересах Минобороны платформы для проведения киберучений по отработке атак на АСУ ТП ⚡️
ЗЫ. В любом случае во всем виновата Россия 🇷🇺, даже если она и не виновата. Так и живем.
Англосаксы выпустили отчет о деятельности государственных хакеров, спонсируемых Китаем. С техниками, тактиками и другими индикаторами, а также методами, используемыми китайцами для обхода различных средств защиты
Читать полностью…Интересно посмотреть на модель угроз, требующую, судя по всему неменяющийся, пароль на публичный Wi-Fi в маршрутке
Читать полностью…CISO SolarWinds (вы же помните, чем известна эта компания) предлагает создать аналог закона Сарбейнса-Оксли (SOX), но не для финансовых директоров, а для CISO. Чтобы те не повторяли «ошибок» Джо Салливана, ex-CISO Uber…
Читать полностью…Trustwave, спустя пару месяцев после утечки данных из НТЦ Вулкан, разродилась подробным анализом ставших достоянием общественности файлов. А все уже и забыли...
Читать полностью…Согласно свежему исследованию, угроза со стороны квантовых компьютеров обойдется финансовому сектору США в 3,3 триллиона (!) долларов, что позволяет авторам говорить о новой Великой Депрессии!
Читать полностью…