alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Неудобно получилось с просраченным сертификатом… 🤔

Читать полностью…

Пост Лукацкого

Технологии искусственного интеллекта, особенно deepfake, стремительно развиваются и представляют как возможности, так и угрозы для различных отраслей 🎭 Deepfake — это гиперреалистичный, синтетический и искаженный аудио, видео и цифровой контент, который сложно отличить от реальности, что создает как положительные, так и негативные последствия для людей, бизнеса и государства 🔪 Среди рисков:
1️⃣ Мошенничество с идентификацией
2️⃣ Несогласованные манипуляции с личными данными
3️⃣ Распространение дезинформации.

Обычно все рассматривают негативные стороны дипфейков, но их можно использовать в различных сферах, таких как маркетинг, развлечение, образование и медицина с благими намерениями 😇 Предлагаемое руководство описывает как правильно и этично создавать дипфейки, а также как распознавать их рядовым пользователям. Например, разработчикам deepfake рекомендуется: 👨‍💻
1️⃣ Защищать данные пользователей
2️⃣ Получать согласие на использование их персональных, часто биометрических, данных
3️⃣ Обеспечивать прозрачность создания deepfake
4️⃣ Внедрять системы контроля с помощью человека.

От пользователей ждут: 🪞
1️⃣ Проверки источников цифрового контента
2️⃣ Анализа аудиовизуальных элементов на наличие несоответствий
3️⃣ Использования ИИ-инструментов для выявления признаков манипуляции.
Как по мне, так неработающие советы на практике.

Следуя описанным в руководстве рекомендациям, местами высокоуровневым, можно с пользой использовать потенциал deepfake, минимизируя его риски. Не могу сказать, что руководство отвечает на все вопросы, но то, что кто-то озаботился созданием такого документа, это прям хорошо. Не все только описывать, как бороться с дипфейками.

Читать полностью…

Пост Лукацкого

На октябрь у меня запланировано почти полтора десятка выступлений. Но особо я бы хотел отметить два, которые пройдут на Positive Security Day 10-го октября (регистрация открыта). Точнее, речь идет о модерации двух секции, посвященных безопасной разработке и искусственному интеллекту 🧠

В первой я вернусь почти к истокам, ведь я начинал карьеру в ИБ именно как программист средств шифрования 👨‍💻 Но 30 лет назад никто о DevSecOps в привычном сейчас виде не думал - максимум, это военпреды, принимающие работы перед сдачей их заказчику в погонах. Во второй дискуссии мы будем говорить не об ИИ в ИБ, а наоборот - об ИБ для ИИ. Ведь часто компании внедряют ИИ-проекты, даже не думая о безопасности и доверии к моделям и используемым датасетам 🙌

Эти две темы не так часто находятся на повестке специалистов по ИБ и хочется немного изменить эту ситуацию 🤠 К обеим подготовил недурные, как мне кажется вопросы, местами провокационные, чтобы заставить участников из 🟥 и со стороны заказчиков и партнеров поерзать на своих креслах 💺

Читать полностью…

Пост Лукацкого

В центре внимания — исследовательский проект “Mythical Beasts”, который изучает связи между 435 организациями, связанными с глобальным рынком шпионского ПО в 42 странах 🥷 Он раскрывает ключевые тенденции, такие как концентрация в Израиле 🇮🇱, Италии и Индии, сотрудничество с производителями аппаратного обеспечения для слежки, а также регулярные изменения в идентичности поставщиков и перемещение по юрисдикциям для обхода ограничений 🥷

Проект предлагает улучшить прозрачность рынка для более эффективного контроля шпионского ПО, что выглядит немного смешно для ПО, которое активно используется в том числе и государственными организациями, и спецслужбами, которые точно не захотят никакой прозрачности 🥷

ЗЫ. Некоторые данные местами устарели, а некоторые и вовсе не соответствуют действительности (хотя проект датируется сентябрем 2024), что ставит под сомнение и весь анализ, и выводы 🤔

Читать полностью…

Пост Лукацкого

Кто-то где-то когда-то мастурбировал в электричке, что попало на видео и стало распространяться в Интернете, что потребовало реакции правоохранительных органов, возбудивших уголовное дело 👮, которое уже вошло в анналы (чьи-то точно).

Поражает формулировка установочной части… Я последние лет 15 говорю, что наше уголовно-процессуальное законодательство не очень хорошо подходит для цифрового мира. Зато по данным МВД ущерб от компьютерных преступлений с начала года превысил 116 миллиардов рублей. Уж что-что, а палки статистика 📈 у нас на высоте.

Читать полностью…

Пост Лукацкого

В наступающем октябре разворачиваются события, которые можно смело назвать эпопеей в мире информационной безопасности, словно два тома великого романа о сражении добра и зла в цифровом пространстве ⚔️ Эти два события — SOCtech и SOCcon — представляют собой масштабные главы, описывающие вечную борьбу между светлыми силами специалистов по кибербезопасности и темными легионами хакеров 🥷

15 октября в сердце России, как на поле великого сражения, начнется SOCtech. Здесь, подобно великим полководцам, соберутся лучшие из лучших — те, кто на передовой защиты данных и сетей. Подобно героям первого тома "Войны и мира", они обсудят стратегии и тактики, готовясь к неизбежным атакам врага, делясь опытом и новейшими технологиями, словно оружием, готовым к бою 🛡

Но это лишь прелюдия к событиям второй части, ибо через две недели, 30 октября, столица Беларуси станет ареной не менее масштабной встречи — Positive SOCcon. Как во втором томе эпопеи Льва Николаевича, здесь развернется дальнейшее повествование о борьбе, в которой каждая ошибка 😵 может привести к фатальным последствиям. Силы специалистов по ИБ объединятся вновь, чтобы противостоять мощным атакам, что каждый день угрожают стабильности цифрового мира 🔓

Два города, два сражения, одна великая цель 🤕 — победа над хаосом и восстановление порядка в мире информационной безопасности. Станьте частью этой грандиозной эпопеи, где решаются судьбы киберпространства!

Регистрация на SOCtech уже открыта, а у меня для вас подготовлен промокод KazimirSOC. Регистрация на Positive SOCcon откроется совсем скоро. Следите за анонсами на сайте мероприятия 👉

Читать полностью…

Пост Лукацкого

Инцидент произошёл в выходной

Министерство труда и социальной защиты России в августе получило административный штраф в размере 100 тысяч рублей за утечку персональных данных. Согласно постановлению, ведомство допустило утечку базы персданных сотрудников на 1400 строк.

Датой нарушения названо 27 ноября 2023 года. Речь, очевидно, идёт о кибератаке и последующем сливе внутренней информации Минтруда, организованных проукраинской группировкой Blackjack. 29 ноября она заявила в своём канале о краже и удалении 50 ТБ данных министерства, опубликовав в подтверждение скриншоты и архив с внутренними документами. Украинские СМИ сообщали тогда, что кибератака якобы была проведена Blackjack с помощью СБУ.

Blackjack — хактивистская группировка, выступающая публично с осени 2023. Согласно отчёту «Лаборатории Касперского», она использует только свободно распространяемое или опен-сорсное ПО и по инструментарию схожа с группировкой Twelve.

Постановление суда примечательно не только тем, что подтверждает прошлогоднюю атаку, но и относительно подробным описанием инцидента со слов представителей защиты. Минтруда было взломано через подрядчика, который имел легитимный доступ к его инфраструктуре. Злоумышленники, получив доступ к подрядчику, через VPN подключились к системам министерства и частично зашифровали серверы и рабочие станции.

Фрагмент с более детальным описанием прикрепляю в виде скриншота. На мой взгляд, он заслуживает изучения всеми, кто занимается обеспечением информационной безопасности организаций. Особенно в части оправданий (этой теме я посвятил несколько постов, а также выступление на PHDays).

Сразу обращает на себя внимание тезис о том, что «инцидент, в результате которого в отношении Министерства составлен протокол об административном правонарушении произошел в выходной день». С таким аргументом в постановлениях по административным делам я сталкиваюсь впервые, даже не знаю, сочувствовать или нет. Увы, у вас и злоумышленников может быть разный график работы.

Аргумент о том, что в организации «в полном объеме выполняется комплекс работ и организационно-технических мероприятий по обеспечению безопасности персональных данных» хорош до тех пор, пока ваши данные не оказываются в канале хакерской группировки.

Подрядчик действительно должен «обеспечивать соблюдение требований информационной безопасности при подключении к [инфраструктуре министерства], а также обеспечивать защиту своей инфраструктуры от возможности подключения к ней третьих лиц». Но имеет смысл проверить, а делает ли он всё это, а также быть готовым к худшему сценарию, особенно в условиях, когда число атак через подрядчиков растёт в разы.

Наконец, ещё отмечу такой момент: «не доказано, что обрабатываемая информация относилась к инфраструктуре [Минтруда], поскольку информационные системы Министерства не содержат той совокупности персональных данных , которые были размещены в Telegram-канале».

Действительно, согласно постановлению, судья принимал решение на основе протокола Роскомнадзора, двух уведомлений от Минтруда, скриншотов из телеграм-канала и др. материалов — но выездная проверка, в ходе которой специалисты Роскомнадзора сопоставляли бы данные из утечки с данными из информационных систем ведомства, похоже, не проводилась. В 2022 году Роскомнадзор регулярно проводил такие проверки, но их число сократилось, когда операторов персданных обязали направлять уведомления об инцидентах. После этого Роскомнадзор чаще всего ориентируется только на уведомления.

Тут и правда могут возникнуть проблемы: например, если организация уведомляет об утечке только на основании публикации в канале хакеров, а не собственного расследования, Роскомнадзор может составить протокол на основе этого уведомления и скриншотов, то есть не проверив, была ли утечка. Правда, в случае Минтруда, поскольку взлом действительно был, выездная проверка вряд ли была бы в его пользу.

В конце хочу сказать отдельное спасибо судье, не согласившегося с просьбой представителей министерства не публиковать судебный акт «в целях безопасности». Наоборот: это очень полезное чтиво в целях безопасности.

Читать полностью…

Пост Лукацкого

Смотрю на очередной рейтинг лидеров мирового SIEMостроения без позитива 🏆 Все эти квадраты, волны, радары… теряют смысл, так как там или все лидеры или вот-вот станут ими. А если ты аутсайдер, то ты и не захочешь попадать в рейтинг, ссылаясь на то, что тебе не надо. И вот зачем тогда это все? 🤔

А самое главное, как этот рейтинг 🏆 отвечает на вопрос: "Подойдет ли мне SIEM из списка?" Почему критерии, которыми пользовалась IDC, должны совпадать с моими собственными? А насколько безопасен сам продукт? 🤔 Рейтинги, аналогичные IDCшному, обычно проверяют только функционал продукта или возможности самого производителя, но не его способность к реальной ИБ, так как это требует либо собственной команды пентестеров, либо привлечения внешних. Но это совсем другой уровень тестирования и оценки... 🪜

Я вот представил, что IDC говорит участникам своего обзора: «А теперь мы будем проверять вашу реальную ИБ с помощью пентеста!» 🤕 Как вы думаете, многие ли останутся на финишной прямой? Вот почему, например, не все российские разработчики WAF участвовали в независимом тестировании с участием пентестеров?

Читать полностью…

Пост Лукацкого

Ээээ??? 🤔

Читать полностью…

Пост Лукацкого

Неожиданно… Кто бы мог подумать, что Accenture - лидер по объему продаж в ИБ в мире 🤔, обойдя всех "чисто ИБ" игроков. Интересно, это на чистом консалтинге они столько зарабатывают или еще перепродажей ИБ-решений тоже занимаются?.. 🤔

Читать полностью…

Пост Лукацкого

После моего выступления на Positive Tech Day меня спросили, почему я большинство примеров показывал применительно к Windows 🪟 и совсем не описывал кейсы с Linux, особенно с Астрой 😁 Я решил ответить не сам, а попросил в зале поднять руку тех, кто перешел на Astra Linux. Из трех сотен участников поднялось всего 3-4 руки 🤘, что можно считать ответом и на вопрос ко мне и вообще не вопрос об уровне импортозамещения в стране (я такие же вопросы часто задаю и в других городах - везде схожая история).

Поэтому тема безопасности Windows 📱 еще долго не перестанет быть актуальной для российских пользователей. Тем интереснее посмотреть на новый документ "Detecting and Mitigating Active Directory Compromises" от альянса "Пяти глаз", выпущенного на днях. В нем спецслужбы Австралии, Великобритании, Канады, Новой Зеландии и США, описывают 17 распространенных техник атак на Active Directory и способы их нейтрализации 🛡

На этом фоне не могу не напомнить. что на портале "Резбез" выложено 3 документа, посвященных безопасности Active Directory:
1️⃣ Рекомендации по защите службы каталогов Active Directory от типовых атак (на портале и в TG-канале)
2️⃣ Защита от основных типов атак в среде Active Directory (на портале и в TG-канале)
3️⃣ Встроенные средства защиты Active Directory (на портале и в карточках на TG-канале)

Читать полностью…

Пост Лукацкого

На прошедшем Positive Tech Day в Новосибирске (все презентации уже выложены на сайте) довелось модерировать финальную дискуссию "Как донести до топ-менеджмента важность кибербезопасности" 🤔 И один из участников дискуссии, Молдалиев Тимур, начальник управления ИБ Нефтехимсервис, рассказал свой лайфхак.

Как капитан "красной" команды Codeby, которая уже несколько лет побеждает на соревнованиях Standoff 🤜, он просто демонстрирует руководству, как можно сломать ту или иную систему в своей компании. Эта наглядная демонстрация помогает легко объяснить собственнику, что произойдет, если не инвестировать в ИБ 🤑

Не все могут сделать тоже самое, но это хороший пример, который ускоряет процесс погружения в ИБ руководителей 🏊‍♂️ На внешние пентесты все-таки надо еще получить деньги 💰 (хотя на дискуссии звучало, что иногда тесты делаются бесплатно в качестве помощи заказчикам и в надежде на будущие инвестиции), а тут все под ругой - сам сломал, сам защитил. Деньги на сторону не уходят - экономия налицо 🤑 Еще один довод в пользу "растить своих пентестеров и прокачивать их навыки на киберполигонах".

Читать полностью…

Пост Лукацкого

Все, что вы не знали о хакерах и защите от них 👀

Гость второго выпуска «Думай как» — Алексей Лукацкий, один из лучших специалистов по кибербезопасности с 30-летним стажем.

Почему в России такие сильные айтишники? Какими были первые хакеры? Как устроен мир черных и белых хакеров? Можно ли раз и навсегда избавиться от киберпреступности? Правда ли, что взломать чужой мозг будет так же просто, как смартфон? Как защититься от очередной кибератаки?

Ответы на эти и другие вопросы — в нашем интервью.

Посмотреть его можно и на других платформах:

📺 YouTube | 📺 Rutube | 📺 VK Видео


😮 Таймкоды:

00:44 — «Дедпул и Фиксики»: какие фильмы смотрит наш гость
01:34 — чем занимается Алексей Лукацкий
01:57 — в чем схож российский балет и отечественная IT-индустрия
04:03 — первые хакеры: какими они были
06:52 — почему Адама можно назвать первым хакером
07:47 — про запуск «Спутника-1» и зарождение интернета
10:22 — Роберт Моррис и его сетевой червь
12:50 — как появились киберпреступники и кто такие фрикеры
15:43 — чем отличается шпион от разведчика, а белый хакер от черного
17:15 — главные технологические открытия 90-х
19:11 — люди, которые внесли вклад в развитие отрасли кибербезопасности
23:00 — как развивается кибербезопасность в России
28:11 — ОПГ и APT: что общего у этих аббревиатур
34:18 — как действуют хакерские группировки и почему это пока только «ягодки»
39:02 — наши бабушки становятся хакерами
40:46 — когда нас ждет «Черное зеркало»
44:22 — почему деньги уже не единственный мотив для хакеров
48:05 — можно ли будет взломать мысли человека
50:08 — простые правила, которые помогут защититься от кибератак
52:31 — «Кому мы должны?»

@PositiveHackMedia

Читать полностью…

Пост Лукацкого

NIST обновляет свое руководство по цифровой идентификации и аутентификации (NIST SP 800-63 Digital Identity Guidelines), в котором есть ооооочень интересные изменения 🤠 В частности, NIST вновь подтверждает, что хватит уже требовать от пользователей менять пароли через регулярные интервалы времени, так как это не имеет никакого смысла, так как пользователи все равно не сильно напрягаются при смене пароля и просто увеличивают на единицу цифру в конце пароля 😓

Поэтому пароли надо менять только в двух случаях - при компрометации и при запросе самого пользователя. Это требование было сформулировано еще в версии руководства 2020-го года, а теперь его расширили новыми интересными пунктами. В частности, при вводе пароля необходимо разрешать использование пробела, 👨‍💻 так как это естественно для пользователя, а для компьютера - это просто еще один символ. Нельзя навязывать смешение в пароле различных символов (разные регистры, цифры и буквы), а также сохранять парольные подсказки, доступные неаутентифицированным субъектам ☹️ И, тадам, нельзя пользователям использовать подсказки или секретные вопросы, базирующиеся на легко узнаваемом знании (имя вашего первого питомца, девичья фамилия матери и т.п.).

Дело за малым - выбросить старые рекомендации, которыми уже все засрали мозг, и начать жить в удобном и безопасном мире!

Читать полностью…

Пост Лукацкого

Моя презентации с Positive Tech Day в Новосибирске

Читать полностью…

Пост Лукацкого

Не забывайте, что риск - это не только и не столько угроза, то есть что-то отрицательное. Это, и в первую очередь, возможности, то есть что-то положительное 💡 Да, вы можете потерять, но вы можете приобрести. Задача - не просто найти баланс, а сделать так, чтобы возможностей было больше, а не только, чтобы угроз было меньше. Подумайте, на чем вы больше сконцентрированы? Бизнес от вас ждет фокуса на возможностях, а не на угрозах! 💡

Читать полностью…

Пост Лукацкого

Близится 1 января 2025 года... Растет число мероприятий по импортозамещению в преддверие сроков, указанных в 250-м Указе Президента. Но чуда не происходит 😱 На мероприятиях, на которых мне доводится бывать и где у меня есть возможность спрашивать о том, насколько далеко продвинулись люди в замене иностранцев на российское, они не так оптимистичны, как наши депутаты или иные чиновники, рапортующие о 90% замене ушедших компаний на отечественные продукты.

В реальности картина иная 😦 Полный переход осуществили 3-7%, процентов 20 перевели на бумаге, продолжая пользоваться привычными решениями. Треть живет по принципу "пока гром не грянет" (ответственности-то никакой не предусмотрено за отказ от импортозамещения). Остальные находятся в позе Ван Дамма между двумя грузовиками... Ждем-с...

Читать полностью…

Пост Лукацкого

Результативный кибербез делает жызнь ярче 😂

Читать полностью…

Пост Лукацкого

А вот кому шпаргалку по подготовке к экзамену CISSP? 👩‍🎓

Читать полностью…

Пост Лукацкого

IDentity Verification, дополненная кибербезопасность, GenAI, внутренние угрозы, Zero Trust, сторителлинг и бизнес-вовлеченность CISO, толерантность к инцидентам, киберучения, SecDevOps и безопасность цепочек поставок... Вот список основных тем, которые обсуждались на лондонском Gartner Security & Risk Management Summit 🇬🇧 О российских трендах мы поговорим через неделю, но могу сказать, что пересечений у нас от силы 35-40% 🔮

Читать полностью…

Пост Лукацкого

Проект Russian APT Tool Matrix содержит список инструментов, которые используются якобы российскими APT-группировками 🎃 Разработан на базе проект Ransomware Tool Matrix, который содержит список инструментов, используемых различными шифровальщиками (кража данных, обход средств защиты, кража учетных записей, поиск жертв, сетевые коммуникации и т.п.) ☁️

ЗЫ. Второй проект интереснее первого.

Читать полностью…

Пост Лукацкого

Как говорилось в известном фильме: "Ты определись, ты Игорь Иванович или ты анонимный!.." 🤔 Либо ты настаиваешь и доказываешь, что информация не твоя (но тогда зачем признавать инцидент), либо посыпаешь голову пеплом и устраняешь причины, приведшие к инциденту 🔓

Но вообще объяснение компании, конечно, занятное и лишний раз демонстрирует отличия результативной ИБ от бумажной ✔️ Ну кого волнует, сколько бумажных требований ты выполнил, если у тебя произошел инцидент и хакеры нарушили целостность системы? Тем более, что НКЦКИ про атаки на подрядчиков говорит уже третий год. А уж пассаж "инцидент произошел в выходной день" стоит отдельного занесения в анналы... ✍️

Читать полностью…

Пост Лукацкого

И хотя взрывчатку 💥 в ливанских пейджерах у членов Хезболлы вряд ли можно отнести к инцидентам ИБ (чтобы и как бы там не наш МИД), но сам кейс интересен тем, что он меняет модус операнди в мире не только безопасности, но и кибербезопасности в том числе 🛡

Читать полностью…

Пост Лукацкого

В Подмосковье объявлен конкурс на «Лучший анонимный телеграм-канал». 

Организаторы конкурса за возможность выиграть приз до 500 тысяч рублей предлагают оставить все свои личные данные — вплоть до серии паспорта и домашнего адреса, а также указать, автором какого из анонимных тг-каналов является участник и подписать согласие на обработку персональных данных.

Количество желающих принять участие в конкурсе на лучший анонимный канал не известно, но сроки подачи заявок кончаются 30 сентября (так что если кому нужно, еще можно успеть).

Вот она - анонимность по Подмосковному 🤪

🚀 Котельники 24
Прислать новость 🐈‍⬛

Читать полностью…

Пост Лукацкого

После заявления Дурова, что Telegram 📱 начнет передавать правоохранительным органам контакты владельцев каналов с запрещенным и вредоносным контентом, начался предсказуемый исход из Телеги (я про него недавно в Абу-Даби рассказывал) 🎩

На первой картинке только один из примеров, где хакерская группировка заявила о своем уходе в Даркнет 🥷 А есть те, кто ничего не публикует и ни о чем не предупреждает. На втором скриншоте представитель группировки RCH-SEC, которая еще недавно активно атаковала французские ресурсы за арест Дурова, заявил, что уходит из Black Hat 🎩 из-за изменений в политике Telegram.

ЗЫ. Отслеживать группировки станет гораздо сложнее...

ЗЗЫ. Имеют ли изменения в политике мессенджера и решение о передаче данных правоохранительным органам обратную силу? Будут ли сданы IP всех, кто регистрировал каналы и учетные записи, занимающиеся плохими делами?.. 🤔

Читать полностью…

Пост Лукацкого

Meta (запрещена в России) оштрафовали на 91 миллион евро за хранение паролей сотен миллионов пользователей в незащищенном виде. Dr.Web сбросил пароли всем своим пользователям (ничего не произошло, говорите…). SpecOps выпустил отчет об украденных с помощью ВПО 2,1 миллионах паролей к VPN-сервисам и шлюзам. И только Eminem показывает как надо - он рекомендует выбирать всем пароли как у него ☝️

Читать полностью…

Пост Лукацкого

В посольствах и консульствах есть определенные регламенты и инструкции на случай захвата 🎖 их врагами, например, уничтожение или сжигание всех важных и секретных документов, уничтожение ключей шифрования и самой шифртехники в определенных случаях 🤯 И вот один из подписчиков подкинул мысль, что на фоне происходящего в Курской области, когда захватываются те или иные населенные пункты со всей ИТ-инфраструктурой, модели угроз специалистов по ИБ такую возможность физического захвата зданий, в которых располагаются защищаемые системы обычно не предусматривают 🤔

Все строится на предположении, что здание всегда защищено и является контролируемой зоной ⚔️ Но различные военные операции и террористические акты в разных регионах показывают, что это не так. И при этом информационные системы связаны общими сетями, пароли хранятся в конвертах 🦺 или в файликах на дисках захваченных компьютеров, VPN-шлюзы позволяют удаленное подключение и т.д. То есть захват одного здания может скомпрометировать всю инфраструктуру и в других зданиях и регионах тоже. А вы предусмотрели это в своей модели угроз? 🫡

Читать полностью…

Пост Лукацкого

Красивое, но бессмысленное и имеющее такое же отношение к Cybersecurity 101, как слово из трех букв к изучению всего русского языка. Кибербез гораздо многограннее 🤠

Читать полностью…

Пост Лукацкого

Хакерская группа NullBulge заявила, что похитила 1,1 ТБ данных из внутренних Slack-каналов компании Disney 🧜‍♀️, после чего компания приняла решение отказаться от использования Slack и искать альтернативные платформы для внутренних коммуникаций (как будто они лучше?) 🕊 Утечка включала в себя сообщения сотрудников, финансовую информацию и код различных разработок. NullBulge мотивировала свои действия протестом 👎 против использования Disney технологий искусственного интеллекта для создания контента (ну хорошо хоть не против роста выбросов CO2 из-за интенсивной обработки графики).

Но это не так интересно (постоянно всех ломают и крадут данные, прикрываясь красивыми лозунгами). А вот то, как произошел взлом, заставляет задуматься 🤔 Расследование показало, что злоумышленники скомпрометировали ноутбук разработчика Disney через установку видеоигры с бэкдором 👨‍💻 Комментаторы на форумах спрашивают: «Почему сотрудник мог войти в систему с личного и неуправляемого компанией устройства? Почему в Slack не было входа по MFA?» 🔠 Да, пофигу если честно. MFA не защищает от заражения, а если оно произошло, то не важно, сколько у вас факторов аутентификации. Все, хакеры имеют полный доступ над компьютером 🍑 Был бы там VPN-клиент - хакер бы или вредонос "пошли" бы по туннелю, как легитимное приложение. Как только вредоносное ПО попало на оконечное устройство, оно дало полный доступ ко всем данным, и даже MFA не может ничем помочь. И переход с Slack на любую другую систему, хоть VK Team или Mattermost не поможет 👎

А вот если бы там стоял EDR, то хакер бы ничего не мог сделать... Так можно подумать, но... 👎 EDR там стоял, судя по всему. В кейсе с CrowdStrike (а они совпали примерно по времени с взломом Disney) звучало, что анимационная студия была клиентом CrowdStrike и использовала ее ПО Falcon, которое, судя по всему, не смогло задетектировать специально подготовленное под конкретную жертву вредоносное ПО 🫢 Я про такое аккурат на днях в Новосибирске на PTD рассказывал.

Отсюда у меня несколько наводящих вопросов возникает: 🤔
1️⃣ А как вы защищаете личные ноутбуки разработчиков?
2️⃣ А личные ноутбуки разработчиков находятся под мониторингом SOC?
3️⃣ А как отделяется сегмент разработки от общекорпоративного сегмента?
4️⃣ А приложения для групповой работы взяты под мониторинг?
5️⃣ А для личных устройств разработчиков включен мониторинг по объему загружаемого и выгружаемого трафика?

А у вас есть ответы на эти вопросы? Я на Positive SOCcon попробую ответить на некоторых из них.

Читать полностью…

Пост Лукацкого

Недавно израильская хакерская группа под названием Red Evil (она же We Red Evils) 😈 взяла на себя ответственность за кибератаку на системы водоснабжения в Ливане, которые, по их утверждениям, используются боевиками Хезболлы. Взлом был направлен на SCADA-системы, управляющие 14 объектами, и целью было изменение уровня хлора в воде, что могло нанести ущерб людям, которые бы пили воды из отравленного источника питьевой воды 🚰 Однако, некоторые эксперты подвергают сомнению достоверность этих заявлений, ссылаясь на недостаток доказательств.

В другом своем сообщении "красные дьяволы" 🇮🇱 сообщают, что вывели из строя систему электроснабжения некоторых районов Бейрута - Дахайя, Сидон, Набатия, Захала и Бека, являющиеся опорными пунктами Хезболлы. Правда, в своих сообщениях они признают, что это оказалось не так разрушительно как предполагалось изначально и сбой продлился всего 2-4 часа. Правда, в условиях, когда многие жители Бейрута 🇱🇧 эвакуировались в Сирию или на север страны, ущерб оказался незначительным 💡

Одновременно с этим американской ИБ-агентство CISA вновь напомнило об угрозах для систем управления критической инфраструктурой, подчеркивая, что даже простые атаки могут быть эффективны против уязвимых объектов 💡 Эти предупреждения подчеркивают растущие риски для критической инфраструктуры, особенно в условиях, когда системы управления часто остаются недостаточно защищенными, а их владельцы не уделяют должного внимания вопросам ИБ (по разным причинам). Неслучайно у нас на днях приняли ПП-1281, которое меняет процедуру категорирования объектов КИИ, делая ее менее зависимой от самого субъекта и больше - от решения госорганов 🏭

Ну а АСУ ТП, которые обеспечивают управление критически важными объектами, такими как водоснабжение, канализация или энергосети 🔋, продолжают оставаться целью для хакеров, что было уже не раз продемонстрировано за прошедший год, когда число атак на АСУ ТП возросло многократно (например, позавчера упомянутый кейс в Арканзасе). Ну а кибератаки на КИИ в конфликте Израиля против Палестины, Ливана, Ирана, Йемена и других сочувствующих обеим сторонам государств только набирают обороты... 💥

Читать полностью…
Подписаться на канал