alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

MITRE родила очередной "продукт" - модель угроз EMB3D для встроенных устройств критической инфраструктуры. Базируясь на существующих фреймворках CWE, ATT&CK и CVE, EMB3D фокусируется именно на встроенных устройствах, которые встречаются в различных сферах и отраслях - нефтезаг, медицина, БПЛА, автомобили, спутники и т.п. Пока эту модель угроз не выложили в паблик - обещают сделать это в начале 2024-го года.

Читать полностью…

Пост Лукацкого

https://github.com/onhexgroup/Conferences

"Conference slides

Blackhat Asia 2023

Offensivecon 2023

Blackhat USA 2023

Recon 2023

Blackhat Europe 2023"

Читать полностью…

Пост Лукацкого

Этот мемасик я придумал в начале 2021-го года. В этом году он разошелся как-то особенно хорошо и мне уже два десятка человек прислало его с пометкой «для твоего канала» 🤠

ЗЫ. Еще немножко мемасиков от меня

Читать полностью…

Пост Лукацкого

олег умел писать плейбуки
но это тщательно скрывал
не потому что было стыдно
а чтоб плейбуки не писать

Читать полностью…

Пост Лукацкого

Небольшое видео о философии кибербеза и самом важном, что в ней есть! А также о паре бутылок пива 🍻

Читать полностью…

Пост Лукацкого

Тот случай, когда нечего предложить пострадавшим 😢, так как стоимость услуг по расследованию инцидентов и восстановлению данных обычно существенно выше финансовых возможностей малого бизнеса.

А уж с физлицами ситуация еще хуже 🤷🏻 Когда два года назад я запускал свой сайт, первая моя заметка как раз была посвящена размышлению на тему рынка ИБ для ИП и физлиц. И с тех пор ситуация вообще никак не сдвинулась с мертвой точки 😞 Услуги специалистов по ИБ стоят дорого и небольшие предприниматели их просто не потянут. Тут могло бы быть место автоматизации, но пока ниша пустует...

Читать полностью…

Пост Лукацкого

7 шагов: никогда ещё Штирлиц не был так близок к провалу

Исследователи американского Института инженеров электротехники и электроники разработали систему, биометрически идентифицирующую посетителя здания через напольные датчики.

Датчики замеряют структурную вибрацию, создаваемую при ходьбе, а подключенная к ним система позволяет сопоставить эти данные с ранее полученным биометрическим образцом и установить или подтвердить личность с точностью 93-98% (в зависимости от материала полов) уже после семи шагов.

Среди преимуществ системы авторы отмечают, в частности, возможность скрытной установки датчиков и сложность намеренной имитации чужой походки.

Читать полностью…

Пост Лукацкого

Где вы еще видели, чтобы государство не только открыто признавало, что кооптирует в свои ряды хакеров и поддерживает их в их деятельности, но и открыто снабжает их средствами автоматизации их деятельности?

ЗЫ. С английским там, правда, есть проблемы.

Читать полностью…

Пост Лукацкого

Hive Systems больше известна не своими решениями по ИБ, а ежегодно публикуемой таблицей надежности паролей. В этом году они также провели анализ восприятия инцидентов ИБ и утечек данных. Именно восприятия, а не реальных инцидентов. За основу в Hive Systems взяли данные по инцидентам и утечкам из DBIR и сравнили с тем, что пишут в СМИ (выбрав только американскую NYT и европейскую Guardian), в поисковой системе Google и в научных публикациях.

Интересный подход, который при правильном использовании может показать, насколько реальная жизнь отличается от того, как ее рисуют СМИ и поисковые системы. Даже по приведенной картинке понятно, что отличия есть и существенные. Google, например, почти не упоминает атак на web-приложения и сайты, а академические источники больше пишут про DDoS, чем его есть в нашей жизни. NYT пытается соблюдать паритет, но тоже не всегда, - забывает про украденные или утерянные активы (ПК, данные и т.п.). А вот британская Guardian вообще сфокусировалась на трех типах инцидентов.

Это к разговору о том, насколько можно оценивать актуальность угроз по СМИ и поисковым системам. Нельзя. Авторы, кстати, сами пишут в разделе ограничений, что строить выводы на их анализе нельзя, так как он нерепрезентативен и многого не учитывает. Но в целом, все равно, интересный анализ.

Читать полностью…

Пост Лукацкого

Похоже объявление Путина через Жогу о желании пойти в первый раз после обнуления на президентские выборы запустило очередную волну антироссийских выпадов, от которых будут страдать рядовые граждане. GoDaddy 🇺🇸 разрывает взаимоотношение с клиентами из России (даже релокантами, трудовой договор с которыми по мнению Минтруда, заключать нельзя). Тоже самое делает европейский датацентр Hetzner 🇪🇺 Опять волнуюсь за свой хостинг…

ЗЫ. «Русскость» обычно определяют по почтовому адресу - физическому и электронному; в т.ч. и ранее использованному.

ЗЗЫ. Вероятно, этот сценарий повторят все, кто в списке РКН на приземление. Так что, если у вас есть проекты на этих хостингах (например, свой VPN или еще что-нибудь проИБшное), то стоит задуматься.

Читать полностью…

Пост Лукацкого

Продолжу про Багбаунти, но уже в России. Московская область выведет часть своих ГИС на платформу Bug Bounty (это будет Standoff365). Совсем недавно Ленобласть вывела свои системы на багбаунти. Большое Минцифры расширило свое присутствие на багбаунти, выставив еще больше систем для независимой оценки защищенности. На «Форуме будущего» в Екатеринбурге министр цифрового развития Свердловской области рассказал, что они планируют в 2024-м году рассмотреть возможность вывода своих ГИС на багбаунти. Аналогичные планы я слышал еще от нескольких министров цифрового развития.

Так, глядишь, к концу следующего года все регионы выведут свои системы на багбаунти 🐞, попутно выстроив процессы, которые стоят за этим фактом (выявление инцидентов, реагирование, управление уязвимостями и т.п.). Возможно свою роль сыграла методичка Минцифры, а может просто зрелость и желание сделать свои ГИСы защищеннее. В любом случае факт это положительный ☺️

Читать полностью…

Пост Лукацкого

В Казахстане 🇰🇿 подписан закон "О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов", который устанавливает ряд интересных норм, которые пока отсутствуют в российском законодательстве:
1️⃣ Уведомление граждан об утечке персональных данных
2️⃣ Создание программы Bug Bounty и введение на законодательном уровне термина "исследователь информационной безопасности"
3️⃣ Изменение процедуры испытаний информационных систем
4️⃣ Обязанность для собственников или владельцев имеющих выход в Интернет государственных информационных систем
подключаться к Bug Bounty
устранять выявленные уязвимости, зарегистрированные на платформе Bug Bounty
подключаться к ОЦИБу (аналог наших центров ГосСОПКИ)

Начало положено. Так, глядишь, и другие государства ЕАЭС (Армения 🇦🇲, Беларусь 🇧🇾, Киргизия 🇰🇬 и Россия 🇷🇺) примут схожие меры.

Читать полностью…

Пост Лукацкого

Меня тут спросили, а что это я не комментирую законопроект об оборотных штрафах. А я его уже комментировал в июле. С тех пор моя позиция не поменялась - никакой компенсации и смягчающих обстоятельств в текущей версии не предусмотрено несмотря на то, что Минцифры заявляло, что им удалось договориться с авторами законопроекта. Так что ждем текста ко второму чтению, который и можно будет всерьез обсуждать.

Читать полностью…

Пост Лукацкого

Американская счетная палата в очередной раз провела проверки федеральных органов власти в части выстраивания ими процессов реагирования на инциденты и нашла, что далеко не все госы имеют не только такие процессы, но и вообще, не всегда даже включают регистрацию событий безопасности. Среди причин такой "халатности" сами федеральные агентства называют три причины:
1️⃣ Нехватка персонала
2️⃣ Технические сложности в регистрации событий (у кого-то легаси, а кому-то не хватает места для хранения)
3️⃣ Ограничения в обмене данными об угрозах (неспособность забирать IoCи из закрытых сетей для работы в открытых сетях, отсутствие компетенций по работе с грифованными индикаторами или просроченные индикаторы).

Интересно, что американцы выделяют 4 уровня регистрации событий (от нулевого или неэффективного до третьего, продвинутого), которые разнятся по тому, насколько организация способно фиксировать критические события безопасности. 74% проверенных организаций находятся на 0-м (!) уровне, по 13% - на 1-м и 3-м уровнях.

Там еще много деталей в отчете 👇 по разным американским ведомствам, которые чем-то похожи на наши. Нехватка бюджетных средств, сложная и непонятная нормативка, ненужные метки конфиденциальности на бюллетенях с угрозами, куча легаси, нехватка кадров и т.п. И вроде тамошние регуляторы выпускают кучу нормативки и рекомендаций, но это не очень сильно помогает на местах. Одно только отличие - у нас настолько открытые отчеты представить себе сложно. А тут все на ладони - основные слабые места американских госов 👨‍💻

Читать полностью…

Пост Лукацкого

Продолжу тему с искусственным интеллектом, но в этом раз поговорим о том, как можно его атаковать, какие атаки существуют, какие таксономии, какие примеры из жизни доказывают атаки на ИИ, какие уязвимости существуют и вот это вот все.

Читать полностью…

Пост Лукацкого

В свое время бытовала прекрасная поговорка, что лучший подарок - это книга 🎁. По мере цифровизации сферы книгоиздательства эта поговорка стала немного терять свою актуальность, так как дарить печатное издание при наличии электронного стало достаточно странно. Из этого правила есть два исключения:
🔤 Это ваша книга и вы хотите таким образом выразить свое уважение одаряемому
🔤 Это подарочное или коллекционное издание, которое просто приятно держать в руках, листать, смотреть прекрасные иллюстрации, иметь на книжной полке.

В области кибербеза у нас практически нет книг, которые приятно дарить. У меня в личной библиотеке около пятисот изданий по кибербезу и нет почти ни одного подарочного. Есть несколько книг с автографами, есть несколько редких "манускриптов", изданных очень небольшим тиражом в 2-3 сотни экземпляров. Коллекционное издание только одно, которое я сам с радостью получил и которое мог бы подарить (например, на Новый год 🎄). Речь идет о "Музей криптографии. Коллекция", о котором я уже писал.

Так что если вы мучаетесь вопросом: "Что подарить коллеге, который/которая трудится на ниве кибербеза?", то это издание станет хорошим выбором. В книжном магазине Музея криптографии еще можно найти этот подарок. Я, кстати, тут его пересматривал в очередной раз и у меня ассоциативно родилось несколько мини-квизов, которые я запущу в ближайшее время. Размять мозги и узнать что-то новое, что может быть лучше в долгие зимние вечера?.. 🤓

Читать полностью…

Пост Лукацкого

с утра какая-то зараза
в периметре нашла дыру
и данные крадет пока я
ору

Читать полностью…

Пост Лукацкого

Отечественные разработчики NGFW, часто берут “iptables” и навешивают на него кучу функционала, не задумываясь о производительности комплексного решения и насколько компоненты вообще cочетаются между собой.

Читать полностью…

Пост Лукацкого

У англичан тоже есть рождественский челендж. Центр спецсвязи Великобритании подготовил очередную криптографическую загадку. Может и Музей криптографии в этом году запустит наш, российский новогодний челендж с загадками по криптографии для пытливых умов?

Читать полностью…

Пост Лукацкого

Ничего не имею против безопасности (часто даже за 😂), но презентовать мессенджер как «более защищенный, чем иностранные аналоги», - это абсолютно не понимать, как и зачем 99% людей пользуется мессенджерами.

ЗЫ. Тоже самое относится и к куче других ИТ-решений для обывателя

Читать полностью…

Пост Лукацкого

Меня иногда спрашивают, откуда я беру идеи для постов и сколько источников надо мониторить, чтобы писать так часто, не повторяясь? Все просто - надо чаще смотреть по сторонам 💡

Вот ехал вчера в метро и увидел в вагоне ролики повышения осведомленности. Учат, как распознавать фишинг. Вполне себе тема для коротания вечеров перегонов между станциями. В эти экранчики, правда, мало кто вечером смотрел, но во время часов пик, когда народ стоит в вагонах, прижимаясь друг к другу, как шпроты в банке, внимание вполне может быть сосредоточено на роликах. Ну и правда, не в подмышку же к соседу справа или в смартфон к соседу слева пялиться 😎

Читать полностью…

Пост Лукацкого

Минутка финансовой грамотности 💸
1️⃣Вымогательство денег за слабости в системе защиты - это не багбаунти, это выкуп
2️⃣ Деньги в обмен на молчание об уязвимости - это не багбаунти, это взятка.
3️⃣ Использование термина багбаунти не отменяет того факта, что все вышеперечисленное это отмывание денег 💵
4️⃣ Выход на багбаунти без решения вопроса об источнике выплаты вознаграждения - это неумелое финансовое планирование.
5️⃣ Вывод систем на багбаунти без устранения выявленных уязвимостей - это нецелевое расходование средств (возможно).

Читать полностью…

Пост Лукацкого

Сегодня на последнем в этом году CISO Club буду рассказывать про подходы и практики финансирования ИБ в организациях. В следующем году пересмотрим, я надеюсь, правила участия в клубе, чтобы учесть возросший интерес к его мероприятиям.

Читать полностью…

Пост Лукацкого

Вслед за Казахстаном, в России появился свой законопроект, внесенный вчера в Госдуму, легализующий деятельность багхантеров. Пока нет большого смысла его обсуждать - он даже первое чтение еще не прошел, но направление он задает вполне определенное. Все-таки у нас что-то начинают регулировать, когда явление набирает обороты и отмахнуться от него уже не получается. Так что ждем-с принятия этого законопроекта, а также ряда иных законопроектов, направленных на регулирование вопросов поиска уязвимостей в информационных системах 🔍

Читать полностью…

Пост Лукацкого

Рейтерс пишет, что хакеры обрушили украинского оператора связи Киевстар, лишив украинцев мобильной и Интернет-связи (Forbes пишет, что компания это подтверждает). Главное управление разведки МинОбороны Украины тоже пишет, но про обрушение российской ФНС и полное и бесповоротное уничтожение баз данных и их резервных копий (не знаю, что там удалило ГУР МОУ, но у меня личный кабинет на сайте налоговой прекрасно работает и все данные на месте). Джокер сливает данные Государственного центра кибербезопасности ДССТЗИ Украины (очень мало и в целом ничего интересного). А как у вас прошел День Конституции? 🇷🇺

Читать полностью…

Пост Лукацкого

А в вашей модели угроз предусмотрена ситуация с вышедшими из строя пальчиковыми батарейками 🔋, как это произошло в одной английской финансовой организации много лет назад? Оказалось, что там на запылившиеся радиочасы, в которых забыли поменять батарейки 🔋, были завязаны все банковские системы, получающие сигналы точного времени. Допускаю, что и средства защиты тоже не могли проставлять метки времени в своих логах, а значит нельзя было нормально проводить расследования инцидентов.

Как вообще у вас выстроена система единого времени в организации? Зависит от батареек в радиочасах? 😊 Привязана к GPS? 🛰 Если вернуться к вчерашней заметке про спуфинг GPS, то эта атака может влиять не только на геолокацию, но и на систему точного времени. У вас есть альтернативные варианты? NTP через Интернет? А какие NTP-сервера вы используете - отечественные или зарубежные, подверженные риску блокировки трафика из России? А вы знали, что во времена безуспешной борьбы РКН с Telegram, доблестный, но недалекий в технических вопросах регулятор неоднократно блокировал российские NTP-сервера? Зачем? Даже не спрашивайте. В действиях Роскомнадзора часто отсутствует логика 🤦‍♂️

А зачем вообще запариваться с системой точного времени? Пусть этим ИТшники занимаются. Возможно, это действительно их епархия. Но помните, что от системы точного времени у вас могут зависеть:
⌚️ Сроки действия паролей для учетных записей пользователей
⌚️ Двухфакторная аутентификация (она вообще накроется медным тазом)
⌚️ Сроки действия сертификатов X.509
⌚️ DNSSec
⌚️ Регистрация событий, особенно для территориально-распределенных систем, расположенных в разных часовых поясах
⌚️ Резервные копии, которые могут удалиться из-за внезапного "устаревания".

Поэтому знать, как у вас в организации работает система точного времени и как она защищена и зарезервирована, стоит. Это не так заметно, но очень важно ☝️

Читать полностью…

Пост Лукацкого

Запустил новый онлайн-курс по визуализации, дашбордам и отчетам ИБ. 8 часов видео, около 70 уроков. Как обычно, бесплатно и без регистрации 😊

Читать полностью…

Пост Лукацкого

Проверка, упомянутая в прошлой заметке ☝️, базируется на целом ряде требований по управлению инцидентами, включая и соответствующий плейбук, разработанный CISA 👇. В отличие от NIST SP800-61, который устанавливает общие требования к процессу управления инцидентами (да еще и старый, 2012-го года), в плейбуке от CISA более практичные советы (еще и управление уязвимостями учитывают) с привязкой к шести этапам жизненного цикла управления инцидентами и уязвимостями. Достаточно неплохой документ, особенно чеклист в приложении ☑️

Читать полностью…

Пост Лукацкого

История с глушилками GPS набирает обороты. Теперь речь идет не о банальном подавлении БПЛА и, как следствие, невозможность пользоваться навигацией в автомобиле, такси и т.п. История становится более серьезной - самолеты начинают сбивать с курса. Я про это недавно рассказывал в рамках "Форума будущего". А вот тут на сайте у авиационщиков чуть больше деталей.

ЗЫ. И самое печальное, что метода защиты пока нет.

Читать полностью…

Пост Лукацкого

Ну и завершим историю с QR-кодами на рекламных баннерах. Несколько человек мне написало, что проверка и QR и Интернет-ссылок ничего не даст, так как после печати баннера, элементарно сделать редирект на новый сайт, что и происходило с баннерами, ставшими причиной запрета 🔇 от Департамента СМИ и рекламы г.Москвы. Соглашусь, что редирект вполне возможен, но и в этом случае запрет большого смысла не имеет. Если верить статистике экстремистского сайта, то акцию поддержало всего чуть больше 3500 человек. Это вообще ни о чем 👎

Тут и авторы идеи, мягко говоря, не подумали, что большого охвата они за счет рекламного баннера не получат (для этого надо просто заполонить страну ими). А власти по привычке рубанули с плеча. Что дальше? Запрет не только QR-кодов, но и любых ссылок (там же тоже редирект элементарно делается)? 🤐 Если что, я не подсказывал А потом запретят аккростих (это же какая классная идея - разместить баннер, где первые буквы слов собираются в что-то экстремистко-террористическо-негативно-противдетейнаправленное-дискредитирующее)? 🤐 А потом и вовсе русский язык запретят 🤐, потому что кто-то начнет рекламу на эзоповом языке писать? Блокировками и черными списками проблему решить нельзя В принципе!

Читать полностью…
Подписаться на канал