Пост Лукацкого

21 мая 2023 10:20

PHDays завершился; как и сутки молчания, связанные с погружение в киберфестиваль. Скоро придет время порефлексировать над произошедшим. Как организатор бизнес-трека, я так и не смог послушать ни одну из сессий (кроме двух, модерируемых мной). Но зато сейчас есть время все внимательно пересмотреть и переслушать, чтобы выцепить ключевые идеи, которые я буду потихоньку выкладывать.

Пост Лукацкого

20 мая 2023 07:22

👨‍💻 Более 8 тыс. человек проверили портал Госуслуг на прочность

В начале февраля мы запустили проект по поиску уязвимостей на Госуслугах. За три месяца количество участников багбаунти превысило 8,4 тыс. За успешную работу участники получают вознаграждение: подарки с символикой проекта — за небольшие баги, до 1 млн рублей — за критические уязвимости.

По итогам проекта можно сказать, что работа исследователей помогла улучшить систему безопасности Госуслуг. При этом доступа к внутренним данным не было — участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга (чтобы их нельзя было использовать для взлома).

Уязвимости и выплаты
Всего найдено 34 уязвимости, большинство из них — со средним и низким уровнем критичности. Максимальная выплата составила 350 000₽, а минимальная — 10 000₽. Спонсор проекта — Ростелеком.

Возраст багхантеров
➖ минимальный — 17 лет
➖ средний — 28 лет
➖ максимальный — 55 лет

Тестирование проходило на платформах:
➖ BI.ZОNE Bug Bounty
➖ Standoff 365

В будущем мы планируем и дальше проводить багбаунти Госуслуг, а также расширить действие программы на другие ведомства. Следите за анонсами в канале, чтобы не пропустить запуск следующего проекта.

@mintsifry

Пост Лукацкого

19 мая 2023 13:37

Помнится, когда Cisco Talos назвал одну из хакерских атак Squirrel Waffle ("беличья вафля"), у меня возникла мысль, что придумывают такие названия в каком-то особом состоянии сознания. И вот у нас новый лидер. "Текущий волк"? 🐺 Кто это придумал?! 🤔

ЗЫ. Хорошо, что не "текущая волчица" 😊

Пост Лукацкого

19 мая 2023 06:40

Всегда хотел во всю голосину спеть «Выйду ночью в поле с конем». А теперь и повод появился ;-) На PHD возвышается большая скульптура троянского коня, в чреве которой устроен бестиарий киберугроз, рассказывающий о самых нашумевших вирусах, троянах, червях и т.п. недавнего прошлого и настоящего.

ЗЫ. У вас тоже есть шанс посетить его - так как он находится в открытой части киберфестиваля PHD в Парке Горького, открытого до субботы включительно.

Пост Лукацкого

18 мая 2023 17:27

Было время, в Интернете шутили про ИБ. Сейчас что-то шуток стало гораздо меньше. Имеющиеся каналы с ИБшными мемасиками сдулись и прекратили свою активность. Видимо, не время сейчас шутить, "Отечество в опасности", как говорилось в известном декрете заксобрания Франции 1792-го года!

Пост Лукацкого

18 мая 2023 13:16

Ну и в продолжение предыдущего поста про помощь иностранному государству. Не знаю как вам, но мне, наши украинские товарищи, по доброте душевной, прислали тут на днях смску с предупреждением, что нельзя ни в коем случае вестись на происки американской, а также европейской, китайской и даже белорусской разведок, так как взаимодействие с ними может бать квалифицировано по статье 275 УК РФ. При этом хочу поблагодарить украинских товарищей, которые предупредили меня об этом заранее, до того, как ролик ЦРУ появился в Интернете. Так я не совершил роковой ошибки и не связался с ЦРУ! И хотя в присланной смске был просто скопирован текст 275-й статьи УК РФ, я понял скрытый смысл этого сообщения, которое меня спасло от непоправимого!

А чтобы от этого поста была хоть какая-то польза, хочу напомнить, что существует три сценария, когда вы можете изменить стране:
😏 Вы это сделали осознанно, передав иностранной организации что-то, что является угрозой для безопасности России
😡 Вас использовали втемную, попросив поучаствовать в каком-нибудь исследовании и т.п.
😱 Вы сделали что-то, даже не задумываясь о последствиях, но что могло привести к реализации угрозы безопасности России.

Приведу классический пример для третьего случая, так как он самый неочевидный. Представьте, что в региональной прессе публикуется статья об успехах хлеборобов, которая сопровождается фотографией хлебного фургона, стоящего у ворот местной воинской части и подписью "Ежедневно наши военные получают целый фургон хлеба, выпеченного на нашем местном заводе имени Отто Фредерика Роведдера". Безобидная статья и безобидная фотография времен СССР! Но вот незадача. Количество буханок хлеба в фургоне - это константа и оно не представляет секрета. Ежедневная норма хлебобулочных изделий на одного военнослужащего тоже не секрет. То есть поделив первое на второе мы получаем численность военнослужащих местной в/ч, а это уже гостайна и ее неосознанное раскрытие прекрасно попадает под статью 275; даже если вы об этом не думали. А вы думайте!🏌️

Пост Лукацкого

17 мая 2023 18:40

У многих маркетологов перед оффлайн-мероприятиями всегда встает (а если не встает, то они маркетолухи) вопрос мерча (на PHDays 12 уже начали продавать свой мерч). Предлагаю надписи для футболок:
👕 Go BUG yourself - для организаторов программ bug bounty
👕 Go HACK yourself - для производителей BAS-решений
👕 Go TRACK yourself - для производителей UEBA-решений
👕 Go FSTEC yourself - для производителей сканеров исходных кодов и компаний, проводящих оценку соответствия
👕 Go SOC yourself - для поставщиков SIEM
👕 Go BLOCK yourself - для производителей МСЭ

ЗЫ. Отдаю идеи бесплатно - за футболки с надписью 🎽!

Пост Лукацкого

17 мая 2023 16:23

Если вдруг кто-то хотел, но не успел купить билеты

Пост Лукацкого

17 мая 2023 12:41

И просматривая список команд, участвующих в начавшейся сегодня битве Standoff, увидел цепляющее название команды из Сицилии - EvilBunnyWrote. Я думал, сицилийские хакеры назовут себя как-нибудь традиционно. Например, CyberKozaNostraH. Но нет.

Не думал, что между итальянским и русским языком столько общего, роднящее хакеров наших стран. А у меня и футболочка с классикой русского, и теперь становится понятно, что итальянского языка, есть для такого случая. Думаю надеть на PHD ;-)

Пост Лукацкого

17 мая 2023 06:40

На прошлом PHDays я модерировал дискуссию про open source, где среди прочего задал вопрос представителю Минцифры о планируемом государевом репозитории ПО, который мог бы стать источником проверенного софта, которое в свою очередь можно было бы использовать, например, на объектах КИИ, для которых нет отечественных, да еще и сертифицированных средств защиты. Но этого репозитория, к сожалению, до сих пор нет и не очень понятно, когда он вообще появится, что приводит к появлению собственных открытых репозиториев ПО - корпоративных или у госорганов 💻

Но Минцифры, состоящее из разных департаментов (а за репозиторий и кибербез отвечают разные), не сидело без дела и выпустило методические рекомендации по обеспечению ИБ при создании и эксплуатации открытых репозиториев программного обеспечения, в котором собрало то, что должно повысить защищенность ПО, размещаемого в "русском гитхабе/гитлабе". Помимо традиционных защитных мер в виде антивирусов, контроля и разграничения доступа, сетевой безопасности и т.п., Минцифры рекомендует и более интересные механизмы результативного кибербеза:
1️⃣ Информирование регуляторов (ФСТЭК, ФСБ или ЦБ - в зависимости от того, кто создает репозиторий) об уязвимостях, выявленных в загружаемом в репозиторий ПО
2️⃣ Регулярный анализ защищенности репозитория на предмет уязвимостей в инфраструктуре (не в размещаемом ПО)
3️⃣ Регулярные пентесты и багбаунти, которая названа достаточно длинно и сложно - программа по выявлению уязвимостей инфраструктуры с возможностью привлечения независимых экспертов и исследователей программного обеспечения за вознаграждение.

Помимо встроенных в репозиторий мер, Минцифры рекомендует предлагать пользователям открытого репозитория и коммерческие сервисы ИБ (Минцифры заботится об отечественном рынке кибербеза):
1️⃣ Тестирование размещаемого ПО на уязвимости
2️⃣ Программа багбаунти
3️⃣ Публикация отчетов о безопасности ПО
4️⃣ Безопасная разработка (SecDevOps).

Хорошая тема. Интересно, распространяются ли данные рекомендации на защищенный репозиторий ядра Linux отечественных защищенных операционных систем, созданный совместно ФСТЭК и ИСП РАН?

Пост Лукацкого

16 мая 2023 16:40

Когда тебе кто-то навязывает свой взгляд на безопасную разработку, то стоит спросить его, а сколько новых обновлений ПО в день у него внедряется в прод? И с одной стороны это очень простой и понятный показатель, а с другой - он показывает, насколько вообще зрелое отношение к безопасной разработке у участников дискуссии.

Например, вы сами софт не пишите, но требуете от других выполнять ваши обязательные нормативы, рассчитанные на жизненный цикл мероприятий по ИБ в несколько дней минимум (и это еще прям спринтерская скорость). И как реализовывать эту нормативку, когда у вас по несколько десятков обновлений ПО в день минимум? А может и по несколько тысяч. Тут нужны совсем иные подходы, которые, кстати, могут быть не очень применимы для компаний с достаточно консервативной разработкой.

Поэтому многие задачи в ИБ имеют более одного решения и навязывать какое-то одно не совсем правильно. Скорее стоит стремиться в сторону описания желаемого/итогового результата, а уж каким образом он достигнут, не так уж и важно (с некоторыми оговорками).

Пост Лукацкого

16 мая 2023 06:40

Сыну в институте дали задание... Интересная история, кстати. Я тут подумал, а что если вместо тестового вируса EICAR 🦠, используемого как раз для демонстрации сработки антивирусных программ, преподаватель по доброте душевной отправит что-нибудь из коллекции vx-underground, а студенты доверяя преподу запустят вирус на своем домашнем компе? А если это единственный комп в семье и на нем же работает папа/мама на удаленке? Интересная конструкция может получиться 🤔

С другой стороны, это хорошая проверка наличия критического мышления у студента. Если он, не задумываясь, запускает вирус, который преподносится как тестовый, на своем компе, то в ИБ ему еще рановато идти и есть, куда и какие навыки развивать. А вот если он начинает спрашивать у препода про гарантии и ответственность или просто интересоваться вопросом из песни Слепакова "А что, глядь, если нет?", то это прям хороший кандидат в ИБ.

ЗЫ. Сын 👦🏼 не стал бездумно запускать вирусы - поинтересовался последствиями и т.п. Значит не зря все 🤠

Пост Лукацкого

15 мая 2023 18:40

😡 ШОК-КОНТЕНТ!!! 😱

Одно меня примиряет с этой историей, что есть еще люди, кто понимает, кто такой Слава Полунин ("Асисяй" и "сНежное шоу") 😊, и готов за ужин с ним заплатить больше чем со мной . Но вообще до сих пор нахожусь под впечатлением 😵‍💫

ЗЫ. Хоть кто-то, помимо 🟥, оценил меня по достоинству ✅

Пост Лукацкого

15 мая 2023 13:07

Алексея Лукацкого не проведёшь 👍

Я предотвратил и регулярно предотвращаю немассовую фишинговую атаку на меня. Мне пытаются регулярно разослать электронные письма с приглашениями для «уточнения персональных данных», предложением повышения моих инвестиционных накоплений, напоминанием о ждущем меня призе или выигрыше в лотерею.

В письмах бывают фишинговые ссылки или вредоносные вложения, маскирующиеся под различные документы, которыми хотели заразить IT-инфраструктуру Алексея Лукацкого. Но мои системы защиты не допустили попадания этих писем мне.

Хакеры могут использовать этот приём против других людей, организаций и их клиентов. Никогда не открывайте подозрительные файлы! А Алексей Лукацкий всегда под надёжной защитой!

ЗЫ. Если мне когда-нибудь будет нечего писать, то вторым сценарием спасения меня после обращения к ChatGPT, будет написание ежедневных постов об очередной попытке меня развести, заразить, атаковать, вывести из строя и вот это вот все. Учитывая наличие у меня нескольких аккаунтов e-mail, соцсетей, мессенджеров, сайта и того же у членов моей семьи, поверьте, я могу об атаках на себя писать по несколько раз на день!

Пост Лукацкого

15 мая 2023 06:40

А Gartner тем временем разродился своим очередным видением тенденций на рынке ИБ

Пост Лукацкого

20 мая 2023 10:35

«ВКонтакте» запустил арт-проект о безопасности в Сети, где опубликовал работы нескольких художников на эту тему. И хотя сами комиксы, если на чистоту, довольно банальные и скорее вымученные, чем остроумные — ну не цепляют — идея не такая и плохая.

Ведут все работы в одно место — на страницу безопасности VK. Если пользуетесь соцсетью и до сих пор не были там, обязательно зайдите.

P.S. — обращает внимание имя одного из авторов «Макс Шадгаев» 🤔. Из девяти авторов только у него не указана страница в VK. Совпадение? 🙊

Пост Лукацкого

19 мая 2023 16:57

Помимо основной программы PHDays сегодня у нас проходит еще и очередное заседание CISO Positive Club. В этот раз я выступаю в роли развлекающего аудиторию человека - буду вести очередной ибшный квиз 🤯

Пост Лукацкого

19 мая 2023 10:09

Сейчас уже можно об этом говорить. 5 лет назад, в этот день, я делал фейковый сайт PHDays ;-)

ЗЫ. А английского я как и тогда не знал (слово Fack пишется не так), так и сейчас 😂

Пост Лукацкого

18 мая 2023 20:47

ROI у киберпреступности - 2500%, если верить инфографике SANS. Вот когда на российском рынке ИБ будет схожие показатели ROI, то значит мы работали не зря!

Пост Лукацкого

18 мая 2023 15:34

Получили еще один кружок от Алексея Лукацкого, бизнес-консультанта по информационной безопасности Positive Technologies. Делимся 👀

А также подробнее рассказываем о секции с очень интересным названием «Готовы ли вы отвечать своими фаберже за результат?», которая ждет вас в рамках бизнес-трека на киберфестивале Positive Hack Days 12.

🥷 Долгие годы специалисты по информационной безопасности жили в парадигме «самурай без господина и без цели» (ну не рассматривать же всерьез работу «на регулятора» как цель специалиста по ИБ).

Мы внедряли решения, мы пользовались услугами аутсорсеров, мы выходили на инвестиционные комитеты с просьбой выделения новых бюджетов... Но брали ли мы на себя ответственность за тот результат, которого от нас ждали?

Кстати, вы можете, читая эти строки, ответить себе на вопрос: «А что для меня результат ИБ?»? Недопущение недопустимых событий? Прохождение аудита или аттестации по требованиям регуляторов? Соблюдение SLA? Отсутствие инцидентов? 🤔

Когда вы видите «мы», то речь идет не только о руководителях и специалистах по ИБ внутри компаний. Аналогичный вопрос «а несете ли вы ответственность за сделанное вами» можно и нужно задавать и поставщикам услуг ИБ, вендорам и интеграторам, взаимодействующим со своими заказчиками. И ответ на этот вопрос не так прост, как кажется.

Искать его мы будем 20 мая с 12:30 до 13:30 вместе с заказчиками, а также руководителями отечественных разработчиков, интеграторов и поставщиков услуг ИБ.

👉 Полная программа бизнес-трека — на нашем сайте.

#PHD12

Пост Лукацкого

18 мая 2023 09:54

Думаю, многие уже видели депрессивный видео-ролик ЦРУ, размещенный в соцсетях и телеге, в котором они предлагают россиянам, недовольным своей жизнью, начать контактировать с иностранными спецслужбами в целях помощи прогрессивной демократии, у которой на днях дефолт случится. Ролик, конечно, знатный. Построен на всевозможных стереотипах о России (медведей в ушанках с балалайкой в одной руке и бутылкой водки в другой на улицах городов, правда, нет).

Но наши (в смысле российские) креативщики не остались в долгу и подготовили для американских граждан ответку, которую вы и видите в приложенном видео. И тоже вокруг сложившихся стереотипов вокруг Америки. Самый главный там приведен в конце - про "рашн хакер" 💻 Потому и запостил. Все-таки этот стереотип уже вряд ли замылишь - "русские хакеры" с нами надолго.

ЗЫ. Зато у них негров линчуют (с)

Пост Лукацкого

17 мая 2023 16:23

У нас есть 3 билета на PHDays 12, которые мы хотим разыграть среди наших подписчиков! 🎫

Возможно, последний шанс получить билет бесплатно 🌚

Если хотите принять участие в розыгрыше, то правила очень простые.

1. Нужно быть подписчиком наших каналов в Telegram (мы проверим).

@PositiveEvents
@Positive_Technologies
@positive_investing

2. Оставить комментарий «Участвую» под этим постом в канале Positive Events.

3. Немножко подождать ⏰

Розыгрыш будет быстрым — уже завтра в 18:00 выберем победителей рандомайзером и вручим билеты.
Удачи! ☘️

#PHD12

Пост Лукацкого

17 мая 2023 15:27

7 лет назад на PHD прозвучала фраза, которая не потеряла своей актуальности до сих пор: "Бизнес идет впереди не оборачиваясь, безопасник бежит в хвосте в попытке догнать, регулятор сзади - мужики ну вы че" 😱

Пост Лукацкого

17 мая 2023 10:05

В исследовательских целях, конечно же 📕

Пост Лукацкого

16 мая 2023 19:56

Вот и до московского транспорта добралось повышение осведомленности граждан по вопросам ИБ

Пост Лукацкого

16 мая 2023 13:05

Небольшое видео-интервью на полях CISO Forum 2023

Пост Лукацкого

15 мая 2023 18:40

В конце апреля Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, принял участие в благотворительном аукционе Meet For Charity.

Меценат, пожелавший остаться анонимным, заплатил за ужин с Алексеем 250 000 рублей. Все вырученные средства будут направлены в фонд Милосердие детям. За три дня аукциона ставка увеличивалась четыре раза: первая была сделана в размере 50 тысяч рублей.

У мецената будет возможность задать любые вопросы Алексею о кибербезопасности, а также посетить киберфестиваль Positive Hack Days 12 в Парке Горького с персональной экскурсией.

За время существования Meet For Charity на благотворительность было собрано более 257 млн рублей. В аукционе принимали участие многие известные люди, такие как: актер Александр Петров (было собрано 110 тыс. рублей), режиссер Федор Бондарчук (80 тыс. рублей), народный артист России Слава Полунин (290 тыс. рублей).

🤔 А что бы вы спросили у Алексея Лукацкого, оказавшись с ним на ужине?

#PositiveЭксперты

Пост Лукацкого

15 мая 2023 16:18

Если вдруг вы пользуетесь услугами RU-CENTER, то рекомендую проверить настройки безопасности. Эти "умелые" 🤦‍♂️ люди в одностороннем порядке сбросили настройки двухфакторной аутентификации, включенной на аккаунте, даже не уведомив об этом владельцев и не указав об этом факте в журнале активности.

ЗЫ. Если вдруг меня начнут обвинять в том, что это я сам забыл все включить, а теперь понапраслину навожу на солидную организацию, то вот скрин с доказательством того, что это было сделано еще полтора года назад. Но в последний месяц или два все куда улетучилось.

Пост Лукацкого

15 мая 2023 09:55

Интересное чтиво на 200 страниц про различные аспекты управления уязвимостями:
1️⃣ Текущий статус управления уязвимостями и различные системы оценки критичности уязвимостей
2️⃣ Роль оценки рисков в управлении уязвимостями
3️⃣ Математика, стоящая за анализом уязвимостей (машинное обучение, теория игр, статистика и т.п.)
4️⃣ Форкастирование уязвимостей
5️⃣ Оценка эффективности (метрики и вот это вот все)
6️⃣ Масштабирование управления уязвимостями (облака, управление активами, архитектура БД, поиск и т.п.)
7️⃣ Выстраивание процесса внутри компании
8️⃣ Примеры из реального мира
9️⃣ Будущее управления уязвимостями

Пост Лукацкого

14 мая 2023 21:05

В США последние пару недель активно идет дискуссия об ответственности CISO за результаты своей деятельности. Но если я в чатике поднимал на днях вопрос в контексте совершенно иного понимания ответственности, то в США речь идет именно б уголовной ответственности. Причиной такой дискуссии стал вердикт, вынесенный Джо Салливану, бывшему CSO Uber. Да, трехлетний срок ему дали условный, а штраф впаяли всего 50 тысяч (примерно квартальный доход), но это все-таки клеймо. И многие CISO начинают говорить о том, что их работа становится более рискованной и им надо платить больше.

Не зря Gartner предсказывает, что многие CISO покинут свою работу в ближайшее время, а сами CISO считают свою позицию расстрельной.