alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Ближайшую неделю я тут, в Дубае 🕌, на крупнейшей в регионе выставке достижений ИТ-хозяйства, где ИБ занимает своих три зала из трех десятков (классическое соотношение 1:10). Буду, наверное, немного спамить зарисовками из мира забугорного ИБ. Вам все равно, а мне записная книжка ✍️

Заодно язык прокачивать буду 😱 - все-таки 4 выступления, парочка интервью и ИБ-квиз, впервые за пределами России 🕹

Читать полностью…

Пост Лукацкого

Вот что значит важность визуализации и говорить о безопасности на языке целевой аудитории 😛 Сразу становится понятно, что такое "вода достигла высоты в 9 футов" (это под три метра). Фраза "practically unsurvivable" ("на практике выжить нельзя") тоже цепляет и говорит о недопустимости промедления в части эвакуации или принятия иных защитных мер💀

Представляю, как бы изменилась ситуация с ИБ к лучшему, если бы про кибербез «говорили» также. Пока я движение в этом направлении видел только в Кибердоме 🛍 И хотя технологии сегодня явно удешевляют процесс создания такого рода видео и анимации, пока это все еще штучные произведения, а жаль...

Читать полностью…

Пост Лукацкого

Компания National Public Data (NPD), которая предоставляет услуги проверки данных, столкнулась с серьезным инцидентом кибербезопасности, в результате которого утекли персональные данные сотен миллионов американцев, о чем многие писали совсем недавно 💥 Взломщики выложили на BreachForums базу данных, включающую номера социального страхования, полные имена, адреса и телефоны 🛍 В общей сложности утекли данные 272 миллионов уникальных номеров соцстрахования и 600 миллионов телефонных номеров. Но не это главное!

Вследствие утечки пострадавшие подали коллективный иск против компании, обвинив ее в небрежности и неправомерном обогащении 🤔 NPD не смогла справиться с последствиями и подала заявление о банкротстве, чтобы защититься от многочисленных исков и штрафов, которые требуют прокуроры из более чем 20 штатов США 🤑 Федеральная торговая комиссия также начала расследование.

У нас пока зрелость субъектов в защите своих прав находится на нижайшем уровне. Суды 👩🏼‍⚖️ тоже не горят желанием разбираться в этом. Да и уполномоченный орган по защите прав субъектов тоже не сильно усердствует в этой самой защите, фокусируясь на борьбе с инакомыслием и VPNами 🏝

Но этот инцидент или по сути недопустимое событие показывает, насколько критически важно обеспечивать защиту данных, особенно в таких чувствительных областях, как обработка номеров социального страхования 📝 Да, пока в США. В Европе бы за такое компания получила бы под сотню-две миллионов долларов штрафа, что тоже немало. У нас же, пока не ввели оборотные штрафы и непонятна правоприменительная практика, ситуация совсем иная, у нас всем насрать это допустимо 🔠 А вот NPD оказалась неспособной справиться с финансовыми последствиями и ответственностью перед сотнями миллионов людей и, возможно, прекратит свое существование 😵

Читать полностью…

Пост Лукацкого

Евросоюз 🇪🇺 создал новую правовую основу для введения ограничительных мер против лиц и организаций, ответственных за дестабилизирующие действия против ЕС и его государств-членов ⛔️ Это решение направлено на усиление противодействия России и включает санкции против тех, кто участвует в кибератаках, дезинформации и иных формах подрыва стабильности. В пакет санкций могут входить заморозка активов 🥶, запрет на поездки, а также ограничения на бизнес и экономические отношения с ЕС 💶

То есть никаких конкретных имен или компаний в новых требованиях нет 👌 - это просто констатация, основной целью которой является защита суверенитета и безопасности ЕС, а также усиление давления на тех, кто способствует агрессивным действиям в отношении европейских стран 🫵

Учитывая, как широко трактуется термин "вредоносная киберактивность" 🖥 в Европе и США, то это может грозить различным российским компаниям и специалистам по ИБ... в перспективе, конечно.

Читать полностью…

Пост Лукацкого

Ника вчера была в ударе - написала не только про PR-реакцию утечку данных у Бургер Кинг 🍔 и возможную реакцию компании на это (а закусочная славится своим креативом), но и про то, как не очень верно себя ведет Dr.Web после публикации хакерами "доказательств" компрометации инфраструктуры 🔓 и как очередное сообщение от компании заставляет задавать еще больше вопросов, чем дает ответы на ранее заданные.

Я же вспомнил про июльский взлом Аванпост 🅰️ Деталей от ИБ-компании нет до сих пор. Хотя прошло уже 2,5 месяца. Молчание может иметь под собой несколько причин:
1️⃣ Расследование до сих пор идет, а значит дело совсем серьезно.
2️⃣ Расследование прошло, но компания решила спустить все на тормозах, считая, что все само собой забудется 🤐 Увы, не забудется. Я позавчера общался с одним банком, пользующимся Dr.Web (по требованиям ЦБ антивирусов должно быть два) и планировавшим приобретать отечественный PAM. Так вот после обоих кейса было принято решение отказаться от обоих решений ⛔️

Мне кажется у нас компании, особенно из области ИБ, недооценивают важность антикризисного PR и думают, что "и так сойдет", "все скоро забудут" или "все равно альтернатив у них нет". Но это в любом случае плохая стратегия, которая еще аукнется... Не надо так делать

Читать полностью…

Пост Лукацкого

Недавно стал известен случай утечки данных, причиной которой стал CISO индийской компании Star Health, которая зарабатывает около $1,4 млрд в год 💰 Амарджит Кхануджа, как сообщается, продал данные более 31 миллиона клиентов, включая информацию о зарплатах и PAN-картах, китайскому хакеру за $43000 в криптовалюте Monero 🤑 Сделка была заключена через зашифрованный чат в приложении Tox.

Сначала Кхануджа передал хакеру данные пользователей через ProtonMail, а позже предложил и данные о страховых выплатах за дополнительную сумму 🫴 Но спустя несколько дней доступ хакера к системам был отозван, что вызвало закономерный конфликт - CISO потребовал еще $150000, утверждая, что старшее руководство хочет получить свою долю. Хакер, выкравший уже 5 ТБ данных, потребовал возврата средств, а после отказа от CISO-вымогателя выставил данные на продажу в BreachForums 🧐 Ниже 👇 вы можете посмотреть видео-доказательство по данной истории 👁

Выводов никаких не будет - вроде и так все понятно 🤷‍♀️

Читать полностью…

Пост Лукацкого

Не храните все пароли 🤒в одном файлике (список вкладок впечатляет), не надо. Это больно, когда все это утекает после социалки на админа и попадает в руки плохих парней 🛡 Особенно когда внутри не внедрена многофакторная аутентификация 🤒

Читать полностью…

Пост Лукацкого

Вот и маргиналы-теоретики повылезали. Все хорошо в этой идее; дело за малым - все посты во всех форумах, соцсетях и СМИ в разных юрисдикциях заносить в блокчейн… 🤦‍♂️

Читать полностью…

Пост Лукацкого

⚠️ Вчера несколько человек мне написало, что у них нет доступа к моему сайту lukatsky.ru 🤬 Причем эта ситуация пока носит непредсказуемый характер, так как сильно зависит не только от провайдера и региона страны, но и от временных параметров (у одного провайдера доступ может в один день блокироваться, а в другой нет) 😦

Мой сайт ни в какой реестр запрещенных ресурсов не внесен, как и сам хостер, на котором сайт расположен, но... 🖥 Вспоминая недавнюю историю с блокированием зарубежных хостингов за отказ выполнять очередные требования РКН, не исключаю, что и на "моем" хостинге регулятор также экспериментирует с блокировками, не имея на то соответствующих судебных решений 👩🏼‍⚖️

Устраивающего меня российского хостинга у нас, увы, нет. Мне нужна Managed CMS, когда за отказоустойчивость и безопасность движка сайта отвечаю не я, а хостер 🔗 Но в России такого не делают. Поэтому пока остаюсь на текущем хостинге, даже учитывая риски его недоступности в некоторых регионах. Но методы получения доступа в таких ситуациях не новы и любой специалист (да и не только) умеет пользоваться соответствующими инструментами 🛡 Так что пока смотрю за развитием ситуации 👀 Все-таки пишу в блоге я не так часто, посещаемость его в меньшую сторону отличается от канала, и поэтому кардинально что-то менять нецелесообразно.

Читать полностью…

Пост Лукацкого

Оказывается, кибератака на ВГТРК нарушила не только онлайн-трансляцию, но и эфир России 24. На smotrim.ru архив не сохранился, но запись есть на сайте OnTVtime (с кучей рекламных баннеров). В эфире идёт первый новостной выпуск (начинается в 5 утра). В промежутке между 5:12 и 5:13 картинка пропадает, и примерно полторы минуты экран остаётся чёрным (помимо плашек), а на фоне периодически что-то шумит. Затем включается трансляция с уличной камеры, очевидно, в Москве. А через 40 минут после сбоя запускается трансляция записи передачи, которой нет в программе. Несколько часов эфир идёт в записи. Только в районе 10-11 часов появляются новостные вставки. Но полностью работа информационных систем ещё не возобновлена: ведущая читает новости не с суфлёра, а из Телеграма на планшете, причём экран планшета в режиме реального времени демонстрируется и в эфире. Также через Телеграм запускаются видео-ролики.

Момент сбоя можно увидеть и на записи эфира России 1. Как и на России 24, в промежутке между 5:12 и 5:13 изображение пропадает. Однако чёрный экран висит всего пару секунд, после чего трансляция возобновляется.

Читать полностью…

Пост Лукацкого

Центр стратегических разработок выпустил свежее исследование российского рынка ИБ и оценил тенденции его развития до 2028 года. Не буду приводить цифры из него целиком, отмечу только, что отечественный рынок растет вдвое быстрее мирового рынка ИБ. А вот наблюдениями из отчета ЦСР могу поделиться:
1️⃣ Рынок делят Positive Technologies и Лаборатория Касперского.
2️⃣ Происходит смещение кибератак с массовых на точечные - кейсы последней недели это доказывают.
3️⃣ Рост популярности Bug Bounty программ для независимой оценки защищенности компаний и их продуктов.
4️⃣ Увеличение использования искусственного интеллекта в ИБ.
5️⃣ У компаний усиливается запрос на измеримые результаты от решений по кибербезопасности. Правда, отчет не говорит о том, как компании понимают термин "измеримый результат".
6️⃣ Ожидаемый рост рынка ИБ в 2024 сглаживается из-за:
Смягчения требований по быстрому переходу на отечественные решения и предоставления дополнительного времени на их внедрение в разных отраслях и для разных госкорпораций.
Повышения ключевой ставки, что вынуждает компании пересматривать свои приоритеты в расходах и надеяться на снижение ставки.
Попыток компаний разрабатывать и адаптировать решения внутренними силами, чтобы сократить расходы.
7️⃣ В сетевой безопасности рост отсутствует, так как рынок ожидает полноценные отечественные решения в области NGFW.
8️⃣ В сегменте Endpoint security отмечается небольшой рост, в основном из-за насыщения рынка.
9️⃣ В области защиты приложений отмечается активный рост благодаря:
Зрелости разработчиков, работающих в DevSecOps среде и сталкивающихся с увеличением числа атак.
Новым обязательным требованиям ФСТЭК по безопасной разработке для КИИ и требованиям Банка России для финансовых организаций.
Вниманию регуляторов к управлению уязвимостями, что заставляет компании автоматизировать соответствующие процессы.
1️⃣0️⃣ В части инфраструктурного ПО фиксируется значительный рост, так как рынок зрелый, и переход с таких решений, как, например, ArcSight или QRadar на российские аналоги, воспринимается компаниями не так болезненно, как замена МСЭ.

Читать полностью…

Пост Лукацкого

Интересный инструмент визуализации APT-группировок и используемых ими средств 🧰

Читать полностью…

Пост Лукацкого

Я вот тут почитал проект Постановления Правительства 🇷🇺, утверждающего Правила предоставления пользователем социальной сети, объем аудитории персональной страницы которого составляет более 10 тыс. пользователей социальной сети, сведений, позволяющих его идентифицировать 📱 И хотя я не размещаю рекламу и мне эти правила не очень актуальны, но есть риск, что могут пострадать пользователи, которые будут репостить из моего канала. Поэтому я пока присматриваюсь к новым правилам. И вот что я там обнаружил 🔍

Оказывается РКН, который так заботится о персональных данных россиян, 🖕 никак не проверяет подлинность подлинность заявления некоего лица о владении им каналом и, теоретически, любой желающий может выдать себя за владельца любого канала и зарегистрироваться вместо настоящего владельца 🎭 Интересно, как они будут разруливать... нет, не это недоразумение, а те заявления от владельцев, чьи каналы таким образом можно будет угнать 🤠 Ведь сначала ты регаешь "право собственности" на чужой канал, потом его отжимаешь через, допустим, поддержку Telegram, потом либо требуешь выкуп за возврат доступа, либо начинаешь размещать в канале всякое. И все в рамках закона. РКН - "молодец" 💪

Читать полностью…

Пост Лукацкого

Я несколько лет назад в презентации по личному кибербезу начал включать тему, связанную с дипфейками и как легко можно по фото/видео/аудио из Интернета создать дипфейк, создать слепок отпечатка пальца 🤒 или даже обмануть систему распознавания лиц по радужке глаза (при определенных условиях) 🔠 Вот и в видео к месячнику кибербезопасности говорится о том же… Да, оно без перевода, но там все и так понятно

Читать полностью…

Пост Лукацкого

Тут автор StrideGPT выпустил новое ИИ-решение по ИБ - AttackGen, которое позволяет, опираясь на MITRE ATT&CK, генерить сценарии атак для тестирования возможностей по реагированию на инциденты. Текущую версию, v0.6, можно попробовать в виде живого демо на https://attackgen.streamlit.app, а также посмотреть в репозитории GitHub: https://github.com/mrwadams/attackgen или в виде образа на Docker Hub: https://hub.docker.com/r/mrwadams/attackgen 🐳 Результат работы можно посмотреть 👇

Читать полностью…

Пост Лукацкого

На прошлой неделе, на одном мероприятии (какое, вы и сами знаете) представитель НКЦКИ 👮 заявил, что организация приняла решение придавать гласности все кейсы, в которых атака шла через подрядчиков (а таких кейсов уже под сотню за последнее время). Все это делается, чтобы страна знала своих героев, а заказчики были более разборчивы в выборе партнеров 🤝

Но дальше еще интереснее - на завтрашнем SOCtech НКЦКИ 👮‍♀️ сделает доклад, в котором раскроет детали одного сложного инцидента, связанного с ведением APT-группировкой кибершпионажа в сети организации 🎩 Представитель Национального координационного центра по компьютерным инцидентам рассмотрит факторы, способствующие возникновению и развитию компьютерного инцидента, а также неоднозначную атрибуцию хакерской группировки 🇷🇺 На моей памяти, это чуть ли не первый случай, когда представители НКЦКИ не просто участвуют в дискуссии или рассказывают статистику по инцидентам, а прям раскрывают детали расследования. Такую открытость можно только приветствовать 🥳

А еще на SOCtech будет выступать УБК МВД России 🇷🇺, которые на днях отметили 2 года с момента своего создания. Но будут они не праздновать, а рассказывать, что нужно сделать после взлома, как и какие следы сохранить, чтобы помочь или хотя бы не навредить правоохранительным органам в поиске преступников 🥷. Что нужно сделать до взлома, о чем подумать и на что обратить внимание. И это тоже первый раз, когда представители другого правоохранительного органа будет рассказывать не про мошенничество, а именно про компьютерные инциденты 😷

SOCtech в этом году прям в ударе. Кто хочет успеть зарегистрироваться, то вперед (промокод KazimirSOC).

Читать полностью…

Пост Лукацкого

Известный в узких кругах ИБ-эксперт CyberKnow обновил свой список группировок, действующих по обе стороны в израиле-палестинском конфликте ⚔️, с указанием стран, где они располагаются. Достаточно показательная визуализация. В российско-украинском конфликте нет столь явного перевеса у одной из сторон, а тут просто вопиющей разрыв между теми, кто поддерживает Израиль 🇮🇱 и тех, кто явно против них.

Читать полностью…

Пост Лукацкого

На сладенькое у нас культура ИБ 🍬 Норникель делает классные конфеты с элементами повышения осведомленности 🍬

Читать полностью…

Пост Лукацкого

На последней DEFCON был доклад о том, как можно взломать умные пылесосы Ecovacs (модели Deebot, Goat, Spybot и Airbot) и шпионить за квартирой, в которой он используется, подсматривать за жильцами и подслушивать их разговоры. Я про это даже рассказывал на ИТ-Пикнике 🧹 И вот новая напасть - недавно в Австралии произошел инцидент, когда робот-пылесос, взломанный злоумышленниками, начал выкрикивать расистские оскорбления в адрес афроамериканской семьи 👨‍👩‍👧‍👦

По поводу инцидента с взломом робота-пылесоса, вендор заявил, что проблема была связана с уязвимостями в системе безопасности устройства 😵, которые позволили злоумышленникам получить доступ; причем об этой уязвимости было известно уже давно. Вендор пообещал провести расследование и выпустить обновление для устранения проблемы (ну а что он еще мог обещать) 🔄

Инцидент подчеркивает растущие риски в области интернета вещей (IoT) и что даже бытовая техника может быть уязвима для кибератак 🥤 Роботы-пылесосы и другие умные устройства с подключением к интернету могут стать целью хакеров, если не обеспечена надлежащая безопасность. Пользователям необходимо следить за обновлениями прошивок, использовать сложные пароли и двухфакторную аутентификацию для минимизации рисков атак на умные устройства 👩‍💻 Но мы же это все и так знаем, не так ли?..

Читать полностью…

Пост Лукацкого

А ТВ-каналов ВГТРК в спутниковом пакете больше нет 🤔 А говорили, что вещание не прервано, ущерба нет, все в штатном режиме… И как теперь выходные без новостей? Пойду хоть Youtube посмотрю 📱

Читать полностью…

Пост Лукацкого

Я пять раз уже писал в канале про утечки персональных данных 350 миллионов постояльцев сети отелей Marriott 🏨, которые происходили в период с 2014-го по 2020-й годы. Помимо кражи ПДн хакеры сперли еще и баллы лояльности клиентов отелей. И вот эта эпопея наконец-то подошла к концу - Marriott согласился выплатить 52 миллиона долларов штрафа (это 0,2% от оборота компании за 2023 год) и разработать всестороннюю программу по кибербезопасности 🛡

Что привело к такой крупной утечке? Как пишут в материалах суда, причин несколько:
🛎 слабая парольная политика
🛎 отключенная MFA
🛎 ненадлежащий контроль доступа
🛎 некачественная сетевая сегментация
🛎 неполные процедуры управления патчами
🛎 неадекватный мониторинг сети и логов.

Помимо улучшения описанных защитных механизмов, Marriott обязался проводить каждые 2 года независимую оценку защищенности в течение следующих 20 лет, а также будет требовать соблюдения требований по ИБ от всех своих франчайзи 🧳

Читать полностью…

Пост Лукацкого

Я достаточно давно в российской ИБ, что меня часто спрашивают, не планирую ли я писать мемуары. Пока нет - мне есть что поделать и в настоящем, чтобы еще вспоминать о прошлом. Но иногда что-то да выплескивается в различных форматах. Например, интервью для "Российской газеты" про то, кто появился раньше, Рунет или хакеры 😂 Или большое интервью для Positive Hack Media, где меня считали знатоком хакерского мира 🤔 Так что если вам интересна история российской ИБ, то можете почитать/посмотреть; если нет, то пропускайте.

Читать полностью…

Пост Лукацкого

Тут на днях зашел разговор о том, что вроде как мы научились неплохо ловить фишинг в электронной почте 📬 (хотя наш PT Knockin говорит немного о другом), но совершенно не умеем управлять угрозами в мессенджерах, например, в Telegram 📱 И хорошо, что пока эта история не является массовой. А я подумал, что не так уж и сложно перенести опыт телефонных ферм на схему "фейковый босс". Я не вижу препятствий для ее автоматизации. И вот тогда пользователям и их службам ИБ мало не покажется 😂

Читать полностью…

Пост Лукацкого

10 ноября 1983, 41 год назад, студент Фред Коэн разработал саморазмножающуюся компьютерную программу, которая была одним из первых компьютерных вирусов (не первым) 🦠 Спустя год, научный руководитель Фреда, Леонард Адлеман, один из авторов алгоритма RSA 🗝, придумал термин «компьютерный вирус». Еще чуть позже Фред Коэн придумал понятие «позитивный вирус», который не делал ничего вредоносного, а наоборот, приносил пользу, используя при этом методы, присущие вирусам. Так я планирую сегодня начинать пленарную дискуссию на Postive Security Day, онлайн-трансляция которой начнется на сайте конференции через 1 минуту 1️⃣

Так и в ИБ, есть технологии, которые вроде как начинались в хакерском сообществе 💻 и использовались во вред, но достаточно было сменить знак минус на плюс, как технология стала приносить пользу. Так произошло с сканерами уязвимостей 🤕, такой путь повторили и решения класса BAS (Breach & Attack Simulation)... Границы часто размыты и зависят от умысла тех, в чьи руки попадает тот или иной инструмент 🔪 С этим связана и проблема регулирования этой области - сложно описать объект контроля, чтобы он был однозначно отрицательным.

Читать полностью…

Пост Лукацкого

Это к разговору о том, что цифровой след 🐾 сегодня остается навсегда и зачистить его сложно. Поэтому любые попытки скрыть инциденты (это не про описанный кейс, а вообще) обречены на неудачу. Все остается в Сети и при желании все можно откопать и раскопать

Читать полностью…

Пост Лукацкого

И снова в тему месячника кибербеза 🗓 - теперь в видео раскрывают глаза на тему продвинутого OSINT и как по обычной фотографии можно вычислять местоположение человека 🗺, который думает, что это невозможно и поэтому может творить всякую дичь, считая себя безнаказанным. Но нет... Не делайте в Интернете того, за что вам потом будет стыдно и... больно! 🔭

Читать полностью…

Пост Лукацкого

Не могу сказать, что этот список из 100 вопросов ✍️ для собеседования аналитика SOC является чем-то уникальным или содержащим какие-то сокровенные знания ✍️, но кому-то он может помочь составить свой собственный список. Иногда проще ориентироваться на что-то уже готовое, чем пытаться написать с нуля ✍️

Читать полностью…

Пост Лукацкого

Что делать, если взломали производителя антивируса, который вы используете в своей инфраструктуре? 🔓Небольшие рассуждения от меня и возможный чеклист действий ✔️

ЗЫ. А вот на случай удаления антивируса Касперского из Google Play рекомендации дала сама Лаборатория, но эта история менее интересна для корпоративных пользователей - она затрагивает скорее только физиков 🛡 Но то, что инициатором удаления стало "Общество защиты Интернета" - это какой-то сюр...

Читать полностью…

Пост Лукацкого

Тут ведь интересно не то, что 18 августа 2024 года российский регистратор регистрирует домен, используемый для рекламы и проведения атак и обхода средств защиты информации 🤕 И даже не то, что хостится ресурс у провайдера, защиту которого он же по заявлениям и обходит ⚔️ Этот пример скорее демонстрирует, что и по ту сторону баррикад "плохие парни" не чураются маркетинговых уловок про "уникальность", "премиальность", "доступные цены" и т.п. Ценностное предложение вполне себе интересное 😱

Читать полностью…

Пост Лукацкого

В продолжение вчерашней "заметки про Генри Форда" и про цепочки атак. Часто ли хакеры моментально, одним ударом 🤕, используя найденную уязвимость, достигают своей цели? Или все-таки им нужно пройти некоторую цепочку из дыр, чтобы добиться желанного? Обычно второе. И хотя таких цепочек гораздо больше, чем уязвимостей (все-таки комбинаторику тут не обманешь), но критических путей гораздо меньше - доли процента, как видно из статистики 📇

Фокус на таких цепочках и должен быть целью в защите. Их нужно выявлять, мониторить и блокировать, а не распыляться на борьбу с ветряными мельницами ⚖️ А если это делать еще и автоматизированно, то будет вообще супер 🏝 Там, правда, нужно поддерживать в актуальном состоянии все эти цепочки, но это подъемная задача при определенных условиях. В противном случае придется заниматься атомарными уязвимостями и атаками, которые не объединены в цепочки и с которыми приходится иметь дело по отдельности 👣

Читать полностью…
Подписаться на канал