alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Вот и нас такое может ждать. Наверное… Хотя кого у нас очернять? Основной кандидат и вероятный победитель 🏆 вне досягаемости и проводить такие операции против него бессмысленно 🤦‍♂️

Читать полностью…

Пост Лукацкого

Генеральный директор HP в интервью на полях Давоса, на вопрос, какого рожна они блокируют принтеры 🖨 с неофициальными картриджами, ответил буквально следующее: "Мы сталкивались с тем, что в картридж можно внедрить вирус, который через картридж попадает в принтер, а затем и в локальную сеть".

Оставим в стороне корректность этого заявления, массовость 😂 таких историй, а также усилия (их отсутствие) со стороны HP по предотвращению реализации такой возможности в принципе. Просто задам классический вопрос - у вас в модели угроз это предусмотрено? Вы проводите спецпроверки и специсследования покупаемых картриджей и как вообще вы проверяете их подлинность? В конце концов, если такое возможно для пиратских картриджей, то почему такое невозможно в легальных? Подумайте об этом на досуге!

Читать полностью…

Пост Лукацкого

У нас не так часто появляются крупные новые мероприятия по кибербезопасности, поэтому я не мог не написать про 4 новых конференции, объединенных единой концепцией, но посвященных 4-м разным темам внутри ИБ. Речь о "Территории безопасности: все pro ИБ", в рамках которой 4 апреля 2024 года на единой площадке (HYATT REGENCY PETROVSKY PARK) пройдут 4 отдельных мероприятия, каждое со своей программой и спикерами:
1️⃣ PRO расследования инцидентов 🕵️‍♂️
2️⃣ PRO обнаружение угроз 🔍
3️⃣ PRO управление уязвимостями 🕳
4️⃣ PRO безопасную разработку 👨‍💻

Идейный вдохновитель нового мероприятия знаком всем, кто посещал московский CISO Forum. Теперь эта команда организовывает "Территорию безопасности". У меня на ней будет модерация пленарки одной из 4-х конференций и проведение мастер-класса по процессу обнаружению угроз.

Читать полностью…

Пост Лукацкого

- У нас инцидент! Давайте обрежем доступ в Интернет.
- Я бы не стал, это может повлечь негативные последствия для нас.
- Пофиг. Режем…
- …
- Почему у меня нет доступа к SIEM? Нас атаковали!
- Нет. Просто у нас SIEM в облаке, а мы отрубили доступ в Интернет!
- Почему мне никто не сказал?..

Читать полностью…

Пост Лукацкого

Пример того, как должен выглядеть сайт по криптографии - http://cryptography.ru/ Не вычурно, спокойный дизайн, лаконично, без сложных формул 🤘

Читать полностью…

Пост Лукацкого

Термин «нормализация отклонений» ввела Дайян Воган (Diane Vaughan), обсуждая катастрофу «Челленджера» 🚀 (вы помните, что это?). В условиях отсутствия недопустимого оно превращается со временем в норму.

В ИБ такое происходит сплошь и рядом. Когда у тебя долгое время не происходит инцидентов, сначала легкие, а потом и более опасные нарушения 😦 политик ИБ становятся в порядке вещей 👿 Именно поэтому киберучения в любой форме (от штабных до фишинговых симуляций) так важны 🤓

Читать полностью…

Пост Лукацкого

Плохие парни осваивают ML и предлагают заказную разработку на его основе (хорошо, что про DevSecOps в предложении ни слова). А ты 🫵 уже осваиваешь все это, чтобы быть на одной волне с теми, кто тебя атакует?

Читать полностью…

Пост Лукацкого

Минцифры тут отчиталось о результатах деятельности Национального технологического центра цифровой криптографии в 2023 году. Как по мне, хотя я известный критик наших регуляторов, ничего конкретного в пресс-релизе Министерства нет. На сайте центра в разделе "наши проекты" так вообще полная пустота (даже про "мультисканер", который запустили еще до появления Центра цифровой криптографии, ни слова).

Читать полностью…

Пост Лукацкого

Запилил на сайте раздел "Мои ближайшие выступления", куда потихоньку включаю те мероприятия, на которых планирую выступать 🎙 или модерировать. Пока у нас только начало года - так что планы не очень обширны, но зато уже есть подтвержденные даты аж на сентябрь 🍁

Читать полностью…

Пост Лукацкого

За 1️⃣0️⃣ лет наука в России серьезно продвинулась вперед. Раньше угрозы оценивали по хакерским конфам, теперь по форумам в Интернете. Пора возвращать присуждение кандидата наук «по совокупности заслуг» и всем специалистам по Threat Intelligence дать корочку к.т.н.

Это, к слову, решит множество важных государственных задач. Мы станем страной 🔣1️⃣ по числу кандидатов наук, а они порадуют своих мам (а родителей надо регулярно радовать). А вот уровень энтропии из-за возросшего числа кандидатов не изменится (ни в какую сторону), то есть и тут польза!

ЗЫ. Дважды входил в реку под названием «кандидатская» и дважды так и не переплыл ее. Но за диссертациями по ИБ приглядываю.

Читать полностью…

Пост Лукацкого

Они сговорились? То «Полуночная метель», теперь вот «Холодная река». Они и правда думают, что в России так холодно 🥶 А следующее что, «Лебединое Ледяное озеро» или «Снежная карусель»?

Читать полностью…

Пост Лукацкого

CISA и ФБР выпустили предупреждение, что китайские дроны за счет имеющихся уязвимостей позволяют шпионить за критической инфраструктурой США, а также сливать данные китайцам 🚰

Ни одного доказательства не приводится, но упоминаются китайские законы, которые обязывают китайские 🇨🇳 же компании сотрудничать со спецслужбами 👲 из Поднебесной и сливать им все - данные, уязвимости и т.п.

Как по мне, так можно заменить слово БПЛА из предупреждения на любое другое устройство из Китая 🐲 - законы все равно те же самые.

Читать полностью…

Пост Лукацкого

Microsoft утверждает, что 12-го января обнаружили в своей инфраструктуре злоумышленников, которые украли переписку руководства ИТ-гиганта из Редмонда, а также его юристов и ИБшников. Начало атаки зафиксировано в конце ноября 2023, а стоит за ней группировка «Полуночная метель» (Midnight Blizzard) 🥶 из России.

Деталей в уведомлении Комиссии по ценным бумагам приведено немного - началось все с перебора пароля для разных учеток (password spray), проникновение в тестовый, непроизводственный, старый сегмент инфраструктуры, а когда Microsoft праздновала Рождество 🔥, хакеры добрались и до почты ее руководства.

Производитель Xbox пишет, что жуткие русские прогосударственные хакеры, которыми впору пугать детей в ночи 😈, не получили доступа ни к данным клиентов, ни к рабочей инфраструктуре, ни к исходникам, ни к искусственному интеллекту; да и к почте не всей, а только небольшому фрагменту (я бы также писал ✍️).

У меня, конечно вызывает вопрос, что за архитектура инфры у Microsoft, если хакеры из тестового legacy-сегмента добрались до почты топ-менеджеров и больше никуда 🤔

А вот фразу «тестовый, непроизводственный, legacy-сегмент» я бы взял на вооружение. Когда надо написать, что ты лоханулся с мониторингом, то подать это надо красиво 😎

Читать полностью…

Пост Лукацкого

Ну и закончим историю с меньшинствами еще одной заметкой. Что-то вдруг представилось, что в прогрессивных и толерантных государствах скоро могут появиться киберпреступники, идентифицирующие себя как специалистов по безопасности… 🌈

Ну а что, мотоциклисты, идентифицирующие себя как велосипедисты и поэтому подающие заявки на участие в вело-, а не мотогонках, могут быть. И есть мужчины, идентифицирующие себя как женщины, которым разрешили участвовать в боксерских поединках с женщинами. Чем хакеры хуже? Природа зла и всех может коснуться 😈

Хорошо, что у нас это все запрещено, а то судьям, которые и с обычной-то атрибуцией киберпреступности не могут разобраться, пришлось бы разбираться в особенностях гендерной идентичности, дисфории, неконформности и других непонятных словах.

Читать полностью…

Пост Лукацкого

В Сеть утек полный текст решения Верховного Суда о признании экстремистским "движения ЛГБТ", в котором судья Нефедов среди прочего пишет, что "Участников движения объединяет наличие определенных нравов, обычаев и традиций (например, гей-парады), схожий образ жизни (в частности, особенности выбора половых партнеров), общие интересы и потребности, специфический язык (использование потенциальных слов-феминитивов, таких как руководительница, директорка, авторка, психологиня)" 🤦‍♂️

Посему рекомендую с осторожностью впредь использовать такие слова как "хакерша", "ибшница", "безопасница", "исследовательница", "багхантерша", "хакерица", "хакерка" и "криптографиня". Во избежание, так сказать, причисления к экстремистскому движению 🌈

Читать полностью…

Пост Лукацкого

Эксперты предсказуемо скептически 🤦‍♂️ отнеслись к интервью гендиректора HP про закладки в картриджах для принтеров 🖨, посчитав, что если такое и возможно, то только на уровне государственных хакеров. Зато желание HP заработать бабла 🤑 на продаже своих картриджей по конским ценникам считывается на раз-два.

ЗЫ. Вот с 3D-принтерами ситуация иная - там такие риски есть, но не на уровне картриджей, а на уровне загружаемых моделей, в которые можно вносить несанкционированные изменения и, если такой принтер печатать орган тела 💗, здание или какую-нибудь деталь, то последствия могут быть очень и очень серьезными.

Читать полностью…

Пост Лукацкого

«Мать всех утечек», о которой многие написали вчера, и которая содержит персданные 26 миллиардов (!) человек, - это не более чем компиляция 👎 ранее утекших баз. Ничего нового там нет 👎

Читать полностью…

Пост Лукацкого

Сегодня/вчера австралийцы обвинили россиянина в причастности к инциденту со страховой компанией Medibank. Он, конечно же, все отрицает, но ему никто не верит. А я решил посмотреть на инцидент с Medibank с точки зрения финансовых последствий от него и во что обошлась компании утечка персданных и отказ от выплат вымогателям. И там получилась очень интересная картина, частично подтверждающая мою статью про финансовое измерение инцидента ИБ.

Читать полностью…

Пост Лукацкого

Думаю, все помнят красивую пузырьковую диаграмму, отображающую самые крупные утечки данных. Так вот есть такая же, но по атакам шифровальщиков. Все актуальные, со свежайшими данными, вплоть до января 2024 года.

Читать полностью…

Пост Лукацкого

Роскомнадзор, борясь в прошлом году с 🌈 пидарасами, принес в казну 50 миллионов рублей 💸 И это чуть ли не больше, чем все назначенные им штрафы за нарушение закона о персданных за все время существования ФЗ-152 😲 Видя такой успешный успех, стоило бы переориентировать бы весь этот орган надзора на более прибыльную для бюджета России (что сейчас очень актуально) тематику и пусть все региональные управления по персданным займутся тем, где пользы больше, хотя критерии отнесения к объекту контроля такие же нечеткие и непонятные 🌈

ЗЫ. На картинке отзыв на Amazon, показывающий, что всегда найдутся те, кому нравится борьба с греховным «вредным» и запрещенным.

Читать полностью…

Пост Лукацкого

Интересная математическая задача в этой рождественской песне про ИБ. Сколько эксплойтов, зеродеев, бекдоров и ключей шифрования было отправлено любимым?

Читать полностью…

Пост Лукацкого

Мне, в контексте новостей о центре цифровой криптографии, вдруг вспомнился интересный проект японской NTT на базе так называемого шифрования 🗝 на базе атрибутов (attribute-based encryption, ABE), в котором закрытый ключ зависит от атрибутов пользователя (должность, место жительства, тип учетной записи, уровень привилегий и т.п.). Эта схема, предложенная на Eurocrypt в 2005-м году и получившая в 2020-м награду 🏆 IACR Test-of-Time, позволяет более эффективно шифровать данные не на персональных ключах пользователей, а на групповых ключах шифрования, что позволяет более гибко предоставлять доступ к защищаемой информации.

Это интересный метод, который уже начинает тестироваться на практике, как считают, может существенно помочь решить проблему с приватностью данных, в том числе и персональных. Например, пользователь может получить доступ не ко всем данным в БД, а только к своим данным, зашифрованным на "его" ключе. Или вы открываете доступ к городским видеокамерам, использующим ABE-шифрование, и жители получают доступ только к камерам своего дома, района, школы их детей, а ко всем остальным доступ закрыт 🚫 Очень гибкая и интересная схема. А еще можно выложить на исследовательский портал данные, к которым получат доступ только те, кто входят в группу, занимающуюся соответствующим проектом и никто более.

Интересный проект был реализован в рамках ABE-хакатона, инициированного NTT в 2022-м году. С видеокамер 📹 собирались данные, на которых, с помощью ИИ, распознавались лица и различные объекты. Потом лица размывались (blur) для соблюдения законодательства по персональным данным, а метаданные изображений и объектов на них шифровались с помощью ABE и таким образом хранились. И доступ к лицам людей и объектам на видео получали только уполномоченные лица 🫡, а не все желающие. На хакатоне было и много других проектов - от RBAC-доступа в банковской среде к более фокусному ABE-доступу, доступ разных сотрудников работодателя к персданным других работников, билеты и физический доступ к транспортным услугам 🎟, защита медицинских данных, умные GDPR-камеры и т.п.

Интересно, наш Центр цифровой криптографии занимается схожими историями?

Читать полностью…

Пост Лукацкого

В 2003-м году NIST выпустил руководство SP800-55 "Метрики безопасности для информационных систем". В 2008-м было выпущено серьезное обновление (Rev 1), которое было переименовано в "Руководство по измерениям информационной безопасности" 📏 И вот пару дней назад NIST выпустил очередное обновление этого документа 🧮

Это не финальная версия, но она уже отличается от проекта 2022 года. После получения замечаний и предложений было принято решение разделить его на две части, расширив и углубив каждую часть. Первая описывает качественные и количественные измерения 📐, дает основы анализа данных, описывает базу по моделированию размера ущерба 🕯 и вероятности наступления негативных последствий, а также рассматривает с разных сторон процесс разработки, выбора и приоритизации метрик и измерений ИБ 🛍 Вторая часть сфокусирована на создании и управлении программой измерения ИБ в организации.

ЗЫ. Предложения и замечания собираются до 18-го марта. Значит итоговый документ появится к концу этого года.

Читать полностью…

Пост Лукацкого

Часы Судного дня сейчас установлены ближе всего к полуночи за всю историю этого проекта (90 секунд до конца света 💥). Но интересно, что несмотря на рост числа кибератак ☄️ на атомные объекты и даже остановки реакторов из-за них, это никогда не становилось причиной перевода стрелок; к счастью 🛡

Читать полностью…

Пост Лукацкого

У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем:
1️⃣ Отсутствие простой и отчуждаемой от вендора процедуры разработки/добавления коннекторов к нужным источникам данных
2️⃣ Невозможность отдачи собранных данных в другие системы для анализа
3️⃣ Проприетарные формат базы данных и API, не позволяющие использовать аналитикам привычные им инструменты работы с собранной информацией
4️⃣ Устаревшие форматы БД, приводящие к ее разбуханию, что приводит либо к росту стоимости SIEM, либо к необходимости приоритизации собираемых событий и подключаемых источников и, потенциально, пропуску инцидентов
5️⃣ Немасштабируемые технологии поиска данных, приводящие к сложности ретроспективного анализа даже на среднесрочном горизонте в 30+ дней
6️⃣ Ориентация только на структурированные данные
7️⃣ Монолитная архитектура, не разделяющая уровни сбора, хранения и анализа данных.

Я не говорю, что SIEMам всё, кирдык. Скорее стоит ждать нового класса|поколения решений, которые лишены описанных недостатков не полностью, а скорее частично. Что-то уже появляется на мировом рынке, что-то проявляется у нас... Завершил объемную статью ✍️ про возможное разноплановое будущее SIEM. Скоро опубликую...

Читать полностью…

Пост Лукацкого

Тут опубликовали мою статью "Что ждет кибербез в год Темного Лося?", в которой я в расширенном формате описал то, что может ждать нас с точки зрения ИБ. Разумеется писал не прям обо всем, но удалось переложить на бумагу мысли про:
🔤 Новые угрозы
✔️ Вокруг грядущих выборов
✔️ Атаки на базе ИИ
✔️ Квантовые компьютеры
✔️ Вайперы (не путать с вейперами) и шифровальщики
✔️ Шпионские кампании
✔️ Атаки на подрядчиков и MFT
✔️ Рост числа ветеранов кибервойн
✔️ Рост атак на КИИ
✔️ Атаки на уровне ниже ОС
✔️ Атаки на спутники и БПЛА
✔️ Уязвимостей станет больше
🔤 Технологии кибербеза
✔️ Унифицированный мониторинг угроз и реагирование (TDIR)
✔️ Непрерывный анализ защищенности (CTEM)
✔️ Машинное обучение в ИБ
✔️ Рост автоматизации
✔️ NGFW
✔️ Рост зрелости DevSecOps
✔️ Zero Trust
🔤 Регуляторики и разного совсем чуть-чуть

Читать полностью…

Пост Лукацкого

Небольшой скандальчик с JPMorgan. Их представительница заявила в Давосе, что они сталкиваются с 45 миллиардами 😲кибератак в день. Это сразу же повлекло за собой кучу мемов в Интернете и удаление одиозных заявлений из бизнес СМИ. Но мы же помним про «эффект Стрейзанд». В общем, Интернет в шоке 😂 После этого заявления про 75 миллионов компьютерных атак на сайт Президента в год выглядит уже вполне себе.

ЗЫ. Дама из JPMorgan также заявила, что у них инженеров больше, чем в Google и Amazon. На вопрос «Зачем» она ответила «Потому что мы должны» 🤓

ЗЗЫ. В 2019-м году в JPMorgan заявляли, что тратят на ИБ 600 миллионов долларов ежегодно! 6️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣, мать их, долларов!

Читать полностью…

Пост Лукацкого

Как самый быстрый путь между двумя точками не всегда проходит по прямой, так и хакер далеко не всегда идет по самому кратчайшему пути. Да и что такое кратчайший путь? Количество переходов от узла к узлу, от уязвимости к уязвимости? Есть же и иные критерии оценки пути движения хакера - сложность и стоимость. Стоит задуматься об этом…

Читать полностью…

Пост Лукацкого

В Казахстане представлен проект приказа по Bug Bounty 🐞 в соответствие с законом, о котором я уже писал в конце прошлого года. Пока речь идет только о системах электронного правительства. Оператором платформы Bug Bounty планируется сделать Государственную техническую службу (условный аналог российского НКЦКИ). Она же, от имени государства, определяет сумму вознаграждения 🤑 Вообще быстро у них подзаконники пишут...

Читать полностью…

Пост Лукацкого

Как и обещал в одном чатике по SOCам, написал заметку в ответ Сергею Солдатову на его заметку в ответ на мою заметку про приоритизацию событий, которые анализируются в SOCе. Сергей описал у себя (ссылка есть в тексте заметки) свой вариант, а я раскрыл, расширил и углубил.

Читать полностью…
Подписаться на канал