alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Если почитать описание Премии Рунета, то это «общенациональная награда в области высоких технологий и интернета. Поощряет выдающиеся заслуги компаний-лидеров и отдельных деятелей, внесших значительный вклад в развитие российского сегмента сети Интернет (Рунета)» и, как по мне, так ключевыми там являются слова «выдающиеся заслуги» и «значительный вклад» 🏆

Так вот к номинации «Информационная безопасность» 🛡 в этом году у меня есть вопросы с этой точки зрения. Там половина номинантов с трудом тянет на выдающийся и значительный вклад, как по мне. Часть вообще обычные продавцы продуктов и сервисов ИБ 🤷 А ведь есть те, кто всерьез достоин был приза, но не подался или их не подали. А жаль 😭

ЗЫ. В других номинациях было еще хуже. Как можно было наградить за развитие Рунета ГРЧЦ, который только и делает, что блокирует всех и вся?.. 🤠

Читать полностью…

Пост Лукацкого

Ура, день не пройдет зря, так как сегодня празднуется день основания Гостехкомиссии СССР (ФСТЭК является ее правопреемницей) (1973)

Читать полностью…

Пост Лукацкого

Судя по направлению исследований бойцов из последней заметки, они достаточно активно занимаются атрибуцией хакерских группировок и кампаний, - за последние 8 лет достаточно интересные темы выступления на разных ИБ-конференциях. Но судя по тому, что они до сих пор копают одну и ту же тему с разных сторон, явных прорывов у них все-таки нет.

Читать полностью…

Пост Лукацкого

Джо Салливан, бывший CISO Uber, выступая на прошлой неделе на BlackHat Europe, опираясь на свой опыт, предложил каждому CISO подготовить свой персональный план реагирования на инциденты, связанный с тем, что ваша деятельность на благо компании может быть повернута против вас. Ключевые положения плана отражены на слайде!

Читать полностью…

Пост Лукацкого

MongoDB взломали. Пока говорят только об утечке некоторых данных по клиентам. Про ее облачную базу данных Atlas пока свидетельств никаких нет - расследование идет. Россиянам ничего не грозит, так как с начала СВО MongoDB прекратила обслуживать соотечественников и удалила все их данные из Atlas 🖕 Про возможную компрометацию конвейера разработки вообще не упоминают 👨‍💻

Читать полностью…

Пост Лукацкого

Сейчас какой-то вал мошенничеств, базирующихся на очень простой схеме:
1️⃣ Фейковый начальник сообщает вам, что с вами свяжется сотрудник ФСБ или МВД и ему надо оказать содействие.
2️⃣ Фейковый сотрудник ФСБ, присылая вам свое фото с удостоверением в качестве "доказательства", просит помочь в поимке преступников с поличным и просит перевести деньги (иногда разными траншами и даже в разные банки).
3️⃣ Жертва под давлением "руководителя" и "сотрудника ФСБ", как зомби, выполняет все, что ей говорят, даже не усомнившись в том, что ее разводят.

Такое происходит сейчас везде - в госкомпаниях, частном бизнесе, промышленности, ИБ-компаниях, госорганах... Просто везде. Стоит включить такой сценарий в повышение осведомленности для сотрудников. И лучше не затягивать этот момент!

Читать полностью…

Пост Лукацкого

В свое время бытовала прекрасная поговорка, что лучший подарок - это книга 🎁. По мере цифровизации сферы книгоиздательства эта поговорка стала немного терять свою актуальность, так как дарить печатное издание при наличии электронного стало достаточно странно. Из этого правила есть два исключения:
🔤 Это ваша книга и вы хотите таким образом выразить свое уважение одаряемому
🔤 Это подарочное или коллекционное издание, которое просто приятно держать в руках, листать, смотреть прекрасные иллюстрации, иметь на книжной полке.

В области кибербеза у нас практически нет книг, которые приятно дарить. У меня в личной библиотеке около пятисот изданий по кибербезу и нет почти ни одного подарочного. Есть несколько книг с автографами, есть несколько редких "манускриптов", изданных очень небольшим тиражом в 2-3 сотни экземпляров. Коллекционное издание только одно, которое я сам с радостью получил и которое мог бы подарить (например, на Новый год 🎄). Речь идет о "Музей криптографии. Коллекция", о котором я уже писал.

Так что если вы мучаетесь вопросом: "Что подарить коллеге, который/которая трудится на ниве кибербеза?", то это издание станет хорошим выбором. В книжном магазине Музея криптографии еще можно найти этот подарок. Я, кстати, тут его пересматривал в очередной раз и у меня ассоциативно родилось несколько мини-квизов, которые я запущу в ближайшее время. Размять мозги и узнать что-то новое, что может быть лучше в долгие зимние вечера?.. 🤓

Читать полностью…

Пост Лукацкого

с утра какая-то зараза
в периметре нашла дыру
и данные крадет пока я
ору

Читать полностью…

Пост Лукацкого

Отечественные разработчики NGFW, часто берут “iptables” и навешивают на него кучу функционала, не задумываясь о производительности комплексного решения и насколько компоненты вообще cочетаются между собой.

Читать полностью…

Пост Лукацкого

У англичан тоже есть рождественский челендж. Центр спецсвязи Великобритании подготовил очередную криптографическую загадку. Может и Музей криптографии в этом году запустит наш, российский новогодний челендж с загадками по криптографии для пытливых умов?

Читать полностью…

Пост Лукацкого

Ничего не имею против безопасности (часто даже за 😂), но презентовать мессенджер как «более защищенный, чем иностранные аналоги», - это абсолютно не понимать, как и зачем 99% людей пользуется мессенджерами.

ЗЫ. Тоже самое относится и к куче других ИТ-решений для обывателя

Читать полностью…

Пост Лукацкого

Меня иногда спрашивают, откуда я беру идеи для постов и сколько источников надо мониторить, чтобы писать так часто, не повторяясь? Все просто - надо чаще смотреть по сторонам 💡

Вот ехал вчера в метро и увидел в вагоне ролики повышения осведомленности. Учат, как распознавать фишинг. Вполне себе тема для коротания вечеров перегонов между станциями. В эти экранчики, правда, мало кто вечером смотрел, но во время часов пик, когда народ стоит в вагонах, прижимаясь друг к другу, как шпроты в банке, внимание вполне может быть сосредоточено на роликах. Ну и правда, не в подмышку же к соседу справа или в смартфон к соседу слева пялиться 😎

Читать полностью…

Пост Лукацкого

Минутка финансовой грамотности 💸
1️⃣Вымогательство денег за слабости в системе защиты - это не багбаунти, это выкуп
2️⃣ Деньги в обмен на молчание об уязвимости - это не багбаунти, это взятка.
3️⃣ Использование термина багбаунти не отменяет того факта, что все вышеперечисленное это отмывание денег 💵
4️⃣ Выход на багбаунти без решения вопроса об источнике выплаты вознаграждения - это неумелое финансовое планирование.
5️⃣ Вывод систем на багбаунти без устранения выявленных уязвимостей - это нецелевое расходование средств (возможно).

Читать полностью…

Пост Лукацкого

Сегодня на последнем в этом году CISO Club буду рассказывать про подходы и практики финансирования ИБ в организациях. В следующем году пересмотрим, я надеюсь, правила участия в клубе, чтобы учесть возросший интерес к его мероприятиям.

Читать полностью…

Пост Лукацкого

Вслед за Казахстаном, в России появился свой законопроект, внесенный вчера в Госдуму, легализующий деятельность багхантеров. Пока нет большого смысла его обсуждать - он даже первое чтение еще не прошел, но направление он задает вполне определенное. Все-таки у нас что-то начинают регулировать, когда явление набирает обороты и отмахнуться от него уже не получается. Так что ждем-с принятия этого законопроекта, а также ряда иных законопроектов, направленных на регулирование вопросов поиска уязвимостей в информационных системах 🔍

Читать полностью…

Пост Лукацкого

Если вернуться к начальному кейсу с моделью атрибуции, то она там базируется на том, что кто-то уже поставил метку семплу на VirusTotal или в AlienVault. Но с таким подходом есть два нюанса:
1️⃣ Мы предполагаем, что кто-то проставил изначальную метку корректно и не сделал при этом ошибки. Но сами же авторы пишут, что в ряде семплов метки иногда указывают на совсем разные группировки, что уже заставляет задуматься в точности первичной идентификации.
2️⃣ В условиях, когда основные TI-платформы находятся в руках США, по версии которых основные кибер-угрозы исходят из Китая, России, Северной Кореи и Ирана, то о какой непредвзятости можно говорить?
3️⃣ Наконец, для огромного числа семплов метки вообще никто не проставлял. Например, возьмем песочницу/TI-платформу Cisco Secure Malware Analytics; там метки у загруженных семплов - огромная редкость (посмотрите на колонку Tag на скриншоте).

Вот и получается, что при наличии огромных баз семплов (тот же vx-underground продает свою коллекцию вредоносов на почти 30 миллионов семплов) большая их часть никак не маркирована и поэтому строить ML-аналитику на такой основе непросто.

Читать полностью…

Пост Лукацкого

ФСТЭК стукнул сегодня полтинник 5️⃣0️⃣! Ура! 🎆

Читать полностью…

Пост Лукацкого

На европейском BlackHat был интересный доклад от австрияков про применение ИИ для атрибуции хакерских группировок и кампаний. Авторы предложили метод ADAPT (Attribution of Diverse APT Samples), который базируется на достаточно очевидной, хотя и не без греха, идее. Они взяли 6455 семплов с VirusTotal и у AllienVault, которые приписывались 172 группировкам, проанализировали метки, используемые для маркировки APT, вытащили с помощью различных статических анализаторов типа FLOSS, Yara, OLEtools, LIEF и т.п. признаки, преобразовали их и затем кластеризовали.

Точность атрибуции кампаний составила от 91% и выше, а группировок - от 84%. Пока модель тестировалась на известных APT и кампаниях, но авторы трудятся сейчас на ADAPT 2.0, которая будет базироваться на живых данных реального мира.

Читать полностью…

Пост Лукацкого

А на Авито компании с лицензиями ФСБ на гостайну тоже продаются 😎

Какое-то гнездо разврата странное место. Сертифицированные СКЗИ продаются. Грамоты с подписью директора ФСБ или начальника 8-го Центра продаются. Компании с гостайной продаются. Может там и гостайна заодно продается?

Куда смотрит милиция? (с)

Читать полностью…

Пост Лукацкого

Странная продажа бизнеса Информзащиты (лицензиата ФСБ и ФСТЭК на минуточку) неизвестной (по крайней мере мне) управляющей компании, которая занимается закрытыми паевыми фондами 😱 Может у нас свой Thoma Bravo объявился?

ЗЫ. Кстати наличие лицензии ФСБ на деятельность в области шифрования делает предприятие стратегическим для целей нацбезопасности 😕 и инвестиции в него (как и смена владельцев, продажи долей и т.п.) - процедура непростая и может требовать согласования 🧐

ЗЗЫ. Это не ФГУП НПП Гамма.

Читать полностью…

Пост Лукацкого

MITRE родила очередной "продукт" - модель угроз EMB3D для встроенных устройств критической инфраструктуры. Базируясь на существующих фреймворках CWE, ATT&CK и CVE, EMB3D фокусируется именно на встроенных устройствах, которые встречаются в различных сферах и отраслях - нефтезаг, медицина, БПЛА, автомобили, спутники и т.п. Пока эту модель угроз не выложили в паблик - обещают сделать это в начале 2024-го года.

Читать полностью…

Пост Лукацкого

https://github.com/onhexgroup/Conferences

"Conference slides

Blackhat Asia 2023

Offensivecon 2023

Blackhat USA 2023

Recon 2023

Blackhat Europe 2023"

Читать полностью…

Пост Лукацкого

Этот мемасик я придумал в начале 2021-го года. В этом году он разошелся как-то особенно хорошо и мне уже два десятка человек прислало его с пометкой «для твоего канала» 🤠

ЗЫ. Еще немножко мемасиков от меня

Читать полностью…

Пост Лукацкого

олег умел писать плейбуки
но это тщательно скрывал
не потому что было стыдно
а чтоб плейбуки не писать

Читать полностью…

Пост Лукацкого

Небольшое видео о философии кибербеза и самом важном, что в ней есть! А также о паре бутылок пива 🍻

Читать полностью…

Пост Лукацкого

Тот случай, когда нечего предложить пострадавшим 😢, так как стоимость услуг по расследованию инцидентов и восстановлению данных обычно существенно выше финансовых возможностей малого бизнеса.

А уж с физлицами ситуация еще хуже 🤷🏻 Когда два года назад я запускал свой сайт, первая моя заметка как раз была посвящена размышлению на тему рынка ИБ для ИП и физлиц. И с тех пор ситуация вообще никак не сдвинулась с мертвой точки 😞 Услуги специалистов по ИБ стоят дорого и небольшие предприниматели их просто не потянут. Тут могло бы быть место автоматизации, но пока ниша пустует...

Читать полностью…

Пост Лукацкого

7 шагов: никогда ещё Штирлиц не был так близок к провалу

Исследователи американского Института инженеров электротехники и электроники разработали систему, биометрически идентифицирующую посетителя здания через напольные датчики.

Датчики замеряют структурную вибрацию, создаваемую при ходьбе, а подключенная к ним система позволяет сопоставить эти данные с ранее полученным биометрическим образцом и установить или подтвердить личность с точностью 93-98% (в зависимости от материала полов) уже после семи шагов.

Среди преимуществ системы авторы отмечают, в частности, возможность скрытной установки датчиков и сложность намеренной имитации чужой походки.

Читать полностью…

Пост Лукацкого

Где вы еще видели, чтобы государство не только открыто признавало, что кооптирует в свои ряды хакеров и поддерживает их в их деятельности, но и открыто снабжает их средствами автоматизации их деятельности?

ЗЫ. С английским там, правда, есть проблемы.

Читать полностью…

Пост Лукацкого

Hive Systems больше известна не своими решениями по ИБ, а ежегодно публикуемой таблицей надежности паролей. В этом году они также провели анализ восприятия инцидентов ИБ и утечек данных. Именно восприятия, а не реальных инцидентов. За основу в Hive Systems взяли данные по инцидентам и утечкам из DBIR и сравнили с тем, что пишут в СМИ (выбрав только американскую NYT и европейскую Guardian), в поисковой системе Google и в научных публикациях.

Интересный подход, который при правильном использовании может показать, насколько реальная жизнь отличается от того, как ее рисуют СМИ и поисковые системы. Даже по приведенной картинке понятно, что отличия есть и существенные. Google, например, почти не упоминает атак на web-приложения и сайты, а академические источники больше пишут про DDoS, чем его есть в нашей жизни. NYT пытается соблюдать паритет, но тоже не всегда, - забывает про украденные или утерянные активы (ПК, данные и т.п.). А вот британская Guardian вообще сфокусировалась на трех типах инцидентов.

Это к разговору о том, насколько можно оценивать актуальность угроз по СМИ и поисковым системам. Нельзя. Авторы, кстати, сами пишут в разделе ограничений, что строить выводы на их анализе нельзя, так как он нерепрезентативен и многого не учитывает. Но в целом, все равно, интересный анализ.

Читать полностью…

Пост Лукацкого

Похоже объявление Путина через Жогу о желании пойти в первый раз после обнуления на президентские выборы запустило очередную волну антироссийских выпадов, от которых будут страдать рядовые граждане. GoDaddy 🇺🇸 разрывает взаимоотношение с клиентами из России (даже релокантами, трудовой договор с которыми по мнению Минтруда, заключать нельзя). Тоже самое делает европейский датацентр Hetzner 🇪🇺 Опять волнуюсь за свой хостинг…

ЗЫ. «Русскость» обычно определяют по почтовому адресу - физическому и электронному; в т.ч. и ранее использованному.

ЗЗЫ. Вероятно, этот сценарий повторят все, кто в списке РКН на приземление. Так что, если у вас есть проекты на этих хостингах (например, свой VPN или еще что-нибудь проИБшное), то стоит задуматься.

Читать полностью…
Подписаться на канал