alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

А вот кому интересный опросник, который позволяет оценивать различные SIEM, размещаемые в облаках? 😶‍🌫️ На днях, на одном из мероприятий SANS выдавали участникам. А я подумал, чего его в себе держать, - пусть все пользуются.

Он, конечно, немного заточен под иностранных игроков ( в части упоминаний интеграций с источниками данных, с SOAR и т.п.), но в остальном хороший набор фич, который можно спрашивать с вендора в зависимости от ваших потребностей 🫴

Читать полностью…

Пост Лукацкого

Очередная рефлексия на тему маркетинга в кибербезе. Я про это активно пишу ✍️ в блоге (это одна из популярных рубрик у меня) и в этот раз снова не удержался. Наболело... 😠

Читать полностью…

Пост Лукацкого

Так выглядит продажа доступов в компании с общим годовым доходом в 1 триллион 😲 долларов (это как 💲1️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣) через взломанного подрядчика 😮

Вы можете быть защищены как угодно, но достаточно одного дырявого подрядчика и упс...

Читать полностью…

Пост Лукацкого

В августе стартуют очередные стажировки в 🟥. Предзапись уже открыта 🏖

Читать полностью…

Пост Лукацкого

RU-CENTER на РИФ привел статистику, что только 9% их клиентов, а это крупнейшие компании России, включили многофакторную аутентификацию для защиты своих доменов. Да, это пугающая статистика 😮 и опасения RU-CENTER понятны, но есть два больших "но".

Во-первых, что мешает регистратору доменов отключить обычную парольную аутентификацию в своем сервисе? 🤦‍♂️ Вот прям так взять и отключить. Госуслуги же так поступили. Почему RU-CENTER не может? И не надо было бы тогда жаловаться на низкий уровень защищенности доменных имен. Во-вторых, тот же RU-CENTER уже был замечен в сбросе функции MFA у своих клиентов - я лично с этим столкнулся в прошлом году 🤠 Хорошо, что вовремя заметил и включил обратно.

Но если отбросить в сторону историю с RU-CENTER, то ответьте себе на вопрос, а вы после историй начала 2022-го года, когда массово перехватывали управление доменами, в том числе и госорганов, поменяли метод аутентификации у своего регистратора домена/доменов? 🌐

Читать полностью…

Пост Лукацкого

👀 На киберфестивале Positive Hack Days 2 у нас было 27 треков, более 520 спикеров, тысячи часов выступлений, сотни презентаций…

Все это было категорически необходимо в путешествии по вселенной кибербезопасности, и к делу мы подошли серьезно.

🔥 На сайте киберфестиваля опубликованы все записи выступлений, а также презентации с докладов. Ищите их в полной программе и заряжайтесь позитивом! Там точно много полезного 😉

P. S. Кроме того, все записи c PHDays Fest 2 опубликованы на нашем YouTube-канале (в ближайшее время мы рассортируем их по плейлистам и поделимся ссылками в отдельном посте).

#PHD2

Читать полностью…

Пост Лукацкого

Бывшего бригадира российского предприятия, работающего в сфере ОПК 🚀, обвинили в удалении с рабочего ПК папки "Хлам" 🗑 с критически важными расчетами, утрата которых едва не стоила предприятию срыва гособоронзаказа. В обычной жизни мы бы посмеялись 😂 над таким кейсом и каждый вспомнил бы, как у него папка с мусором на компьютере называется (от просто "Мусор" до "какая-то *уйня"). Но когда такое происходит на объекте КИИ, нельзя не найти крайнего и навесить на него уголовное дело по статье 274.1 👮 Ведь не задаваться же вопросом, а почему удаление папки "Хлам" приводит к срыву гособоронзаказа и где было резервное копирование?

Вторая история произошла в Сингапуре 🇸🇬, где также уволенный (в первом кейсе речь также шла об уволенном работнике) сотрудник ИТ-компании удалил 180 виртуалок в качестве несогласия со своим увольнением 👿 Правда, сделал он это спустя пару месяцев после окончания контракта с ним, что поднимает вопрос, а что, в ИТ-компании не следили за сменой административных паролей уволенных сотрудников? А вы следите, кстати?

Вот поэтому ФСТЭК, принимая модели угроз на согласование, никогда не пропускает модели, в которых внутренний нарушитель признан неактуальным. А это в свою очередь приводит к тому, что модель нарушителя по линии ФСБ автоматом поднимается до Н3, то есть требует применения СКЗИ класса не ниже КС3 (и никаких вам КС1 или КС2). Но это уже другая тема и к посту отношения не имеет... 🫡

Читать полностью…

Пост Лукацкого

Когда смотришь на "лучшие практики" иностранцев в области ИБ, понимаешь, что местами они и не очень "лучшие" 👎 Вот, например, Gartner предлагает бенчмаркинг в соответствие с NIST CSF. Вроде хорошая изначально идея - иметь фреймворк, который даст направление в сторону улучшения состояния ИБ за счет реализации неких защитных мер. В этом плане к NIST CSF у меня вопросов нет (надо, кстати, дописать обзор второй версии, я из-за PHD2 этот момент упустил).

Но затем приходят всякие консультанты 🧐 и говорят, а давайте мы оценим ваш текущий статус по сравнению с другими компаниями в отрасли? И большие начальники, которые любят себя сравнивать "с такими же как они только другими", тратят кучу бабла на такой бенчмаркинг 🤑 Консультанты долго сидят у вас в компании, в выделенном кабинете; секретарши носят им кофе, они вызывают по очереди сотрудников и задают им кучу вопросов, а потом выкатывают вот примерно такие таблички, в которых отображается разрыв между тем "как у вас" и, нет, не тем "как должно быть", а тем "как у других". И намечают роадмап (обязательно роадмап, так как иначе выглядит несолидно) по устранению выявленных разрывов 🗺

И никто не задается вопросом (а консультанты стараются тоже обходить его вниманием): "А какое это все отношение имеет к реальному состоянию ИБ?" Насколько в реальности компания защищена от действий хакеров, которые не будут читать NIST CSF, а будут искать слабые места и долбиться в них? Если компания задается таким вопросом, то хорошо; пусть в security gap и maturity level посмотрит. Но если ими подменяется реальная оценка защищенности, то, блин, компания сама себе "Буратино" 🤥

Читать полностью…

Пост Лукацкого

Всегда бесит это в Windows...

Читать полностью…

Пост Лукацкого

Компания Comparitech провела анализ атак шифровальщиков в 2023-м году и выяснила, что почти каждое пятое нападение программ-вымогателей привело к судебному разбирательству 👩🏼‍⚖️ За последние пять лет в среднем 12% таких атак заканчивались исками. Всего в прошлом году было подано 355 исков из 3002 подтвержденных атак (подтверждены самими жертвами, а не заявлениями хакерских группировок на их сайтах). Из 228 завершенных дел 59% были успешными, в результате чего компании, по чьей вине произошло заражение шифровальщиками, выплачивали штрафы 🤑 или достигали судебных или внесудебных соглашений. Только 11% кейсов суды отклонили. Самая пострадавшая отрасль — здравоохранение, где 21% атак привели к судебным разбирательствам.

Средняя сумма урегулирования составила 2,2 миллиона долларов (всего 245 миллионов на 112 кейсов) 🧐 Штрафы со стороны регуляторов тоже были, но в совокупности их сумма составила почти 10 миллионов долларов, то есть всего 4% от общей суммы урегулирования. То есть основную опасность представляют не регуляторы, а клиенты жертв вымогателей 🥷 Большинство судебных исков подано по причине утечки данных, следующей за действиями шифровальщика. И если в России возникнет рынок юридических услуг по истребованию потерь в результате утечек данных 🚰, это может стать, на мой взгляд, гораздо более серьезным мотиватором для бизнеса заняться защитой, чем страх "смешных" штрафов от регуляторов.

ЗЫ. По данным Sophos, средняя стоимость восстановления после атаки шифровальщика составила в 2023-м году 2,73 миллиона долларов, что на 50% больше, чем в позапрошлом году.

Читать полностью…

Пост Лукацкого

Решил тут порефлексировать по поводу вчера введенных санкций США против отдельных ИТ-решений.

Читать полностью…

Пост Лукацкого

Страховая компания Coalition пишет, что по итогам 2023-го года числа претензий со стороны клиентов-страхователей, использующих МСЭ Cisco ASA выросло в 5 раз! 🤬 Это, прямо, интересно. Если на слуху, в-основном, были дыры в Fortinet и продажи доступов в организации, защищенные именно решениями Fortinet, то про продукцию Cisco говорилось мало. С другой стороны, группировка Akira 😀, активно эксплуатирующая уязвимости в Cisco ASA с 2020-го года, продолжала свою деятельность и в 2023 (и продолжит и в 2024-м), что и повлекло такое число претензий в страховую компанию (по решениям Fortinet число таких запросов выросло "всего" в 2,15 раз) 🛡

А вообще интересно, что страховая компания не просто собирает претензии "у меня шифровальщик требует выкуп" или "у меня сайт простаивает из-за DDoS-атаки", а фиксирует все связанные с инцидентами факторы, накапливая соответствующую статистику 📈, на основе которой потом можно высчитывать страховые коэффициенты и устанавливать размер выплат и премий. Это говорит о том, что рынок страхования киберрисков становится более зрелым (по крайней мере в США).

Читать полностью…

Пост Лукацкого

Если вы сотрудник ИБ, то знают ли вас работники вашей компании? 😦 А если вы не работаете в ИБ, то знаете ли вы, как выглядит ваш ИБшник, как его зовут, какой у него голос (хотя в условиях голосовых дипфейков, это уже не так и важно)? Мне подписчик, за что ему огромное спасибо, рассказал очередную мошенническую схему 🙂

"Сотрудник службы ИБ" обзванивает как рядовых сотрудников, так и руководителей 📞 и, ссылаясь на непростую геополитическую обстановку, проводит инструктаж о том, что можно делать в текущих условиях, а что нет (компания находится в приграничном районе, так что советы выглядят вполне уместно). Потом плавно переходит на советы по финансовой безопасности, ну а дальше по привычной схеме 🤑 - от прямых разговоров о "секретных и защищенных счетах" до "вам позвонят из ФСБ/МВД и надо оказать содействие" 👮

Так что самое время познакомиться со своим специалистом по ИБ или познакомить себя со своими сотрудниками! 🤝

Читать полностью…

Пост Лукацкого

Во вчерашнем анонсе Apple 📱 меня зацепили две новых фишки по ИБ (помимо всяких историй с приватностью и т.п.), а именно:
Запуск отдельных приложений на iPhone только после аутентификации 🤒 Понятно, что сам по себе смартфон - это однопользовательское устройство. Но бывает так, что даешь его ребенку поиграть, постороннему "сфотографируйте нас" или еще кому-то и хочется быть уверенным, что он не зайдет к тебе в заметки, Интернет-банк, фотки или почту. И вот эта фича полезна для таких кейсов. А аутентификация по биометрии не потребует дополнительных телодвижений по вводу ПИН-кода или пароля 🤒
Встроенный парольный менеджер. В целом это развитие Apple'вского KeyChain 🔗, который и так хранит все логины и пароли и позволяет синхронизировать их через все устройства. Но тут из этого сделали самостоятельное и user-friendly приложение, которое может сильно подпортить жизнь всяким LastPass, 1Password, Kaspersky Password Manager и т.п. Но будем посмотреть, насколько он удобен и заменит уже привычные приложения

Читать полностью…

Пост Лукацкого

Американское управление по контролю качества пищевых продуктов и лекарственных средств расследует проблему с мобильным приложением t:connect, которое используется для мониторинга и управления инсулиновыми помпами t:slim X2, используемыми людьми, больными диабетом 😷

Оказалось, что в приложении нашлась серьезная ошибка, приводящая к выходу из строя приложения, его постоянной перезагрузке, что приводило к росту взаимодействия с помпой по Bluetooth, нагрузке на ее батарею, исчерпанию заряда 🔋 и отключению помпы в самое неподходящее время без предупреждения пользователя. А это в свою очередь может повлечь за собой гипергликемию и даже кетоацидоз (серьезная нехватка инсулина) из-за невпрыснутого инсулина и возможную смерть пациента с диабетом.

А теперь представьте, что это не приложение коряво написано, а кто-то воздействовал на него? Не знаю, используется ли взаимная аутентификация 🤝 помпы и приложения, но если нет, то можно не только отключить регулярную подачу инсулина, но и подать команду на впрыск всего инсулина в помпе, а это уже анафилактический шок и смерть пациента 😵, если ему вовремя не будет оказана помощь. Недопустимо 💯

Читать полностью…

Пост Лукацкого

FAIR проанализировала потери, которые могла/может понести UnitedHealth в результате одного из крупнейших по масштабу потерь инцидента 💥 Первичные потери оцениваются в 1,94 миллиарда долларов, вторичные - в "смешные" 130 миллионов 🤑 Основная доля этих потерь, примерно 5/8 приходится на прерывание бизнеса 900 тысяч врачей, 118 тысяч дантистов, 33 тысяч аптек, 5,5 тысяч больниц и 600 лабораторий (а также на компенсации за смерть людей и иной ущерб здоровью пациентов во время простоя), еще 2/8 на нарушение приватности утекших данных (оплата call center, оплата бесплатного кредитного мониторинга, штрафы и компенсации претензий за утечки ПДн и т.п.). Репутационный ущерб, затраты на сетевую безопасности и выплата вымогателям - это "всего-то" 80 миллионов долларов 💵

Напоминаю: атака произошла 21 февраля, восстановление (и то неполное, на 86% от уровня до атаки) состоялось 22 апреля. 2 месяца простоя!!! ⛔️

ЗЫ. Чтобы понимать, откуда берутся такие значения и что еще надо учесть в расчетах стоимости инцидента, рекомендую вебинар, который я читал в начале года, и презентацию с него.

Читать полностью…

Пост Лукацкого

Майор Утечка? 🚰 Это скорее целый генерал 🫡 Титры иногда бывают смешные в СМИ. Особенно, когда омонимы встречаются...

Помню я написал статью «Звериный оскал безопасности» и редакция разместила мою не самую улыбчивую фотографию рядом с названием. Получилось забавно 😈

ЗЫ. Мы кстати будем проводить для журналистов ✍️ тренинг «СМИшно про ИБ». Заюзаю там эту фотку 📸

Читать полностью…

Пост Лукацкого

И чем нам это всем грозит? 🐲 Китай тоже активно начнет атаковать Россию?

ЗЫ. «Выкуп» по-китайски будет 赎金, а «мне нужная твоя одежда, обувь и мотоцикл» - 我需要你的衣服、你的靴子和你的摩托车 🤖

Читать полностью…

Пост Лукацкого

Кибергруппировка, созданная по религиозным мотивам?.. 🥷 Теперь есть и такая. Будет стоять на страже исламского мира в виртуальном пространстве 🕋 Ну или говорить, что стоять 😱

Читать полностью…

Пост Лукацкого

Первый раз с таким сталкиваюсь - голосовой криптоскам ❗️ Текстовый уже сразу видно - по первым двум словам "Проверено" или "Приглашаю к сотрудничеству". А тут приходится делать лишние телодвижения - либо прослушивать сообщение, либо, при наличии Premium, делать расшифровку 📝 В любом случае, думаю этот способ начнет набирать обороты, но в частных сообщениях, не в чатах.

Читать полностью…

Пост Лукацкого

Когда есть немного свободного времени подурачиться 💻

Читать полностью…

Пост Лукацкого

Выходя на зарубежные рынки 🌎 стоит помнить, что конкуренция заключается не только в битве технологий и маркетинга, но и в битве юристов.

Orca, компания, занимающаяся облачной ИБ, обвинила Wiz, американского ИБ-единорога, в нарушении патентов и краже технологий 👩🏼‍⚖️ Wiz, в ответ, обвинил Orca в аналогичном преступлении, добавив, что инновационность Orca преувеличена и поэтому они приворовывают чужое 😡 В частности речь идет о облачной ИБ, анализе векторов/пути атак, обнаружению угроз с помощью ИИ и использовании LLM при реагировании на инциденты 🧠

Скорее всего оба иска закончатся примирением, но репутации крови они попьют знатно друг другу, денег на юристов спустят тоже немало, а результата скорее всего не будет. Но это тоже опыт и урок... Патентуйте свои технологии!!!

Читать полностью…

Пост Лукацкого

Есть такое известное правило Керкгоффса:

"стойкость криптографической системы должна зависеть только от секретности ключа, а не от секретности алгоритма"


В реальности Огюст Керкгоффс (не путать с Густавом Кирхгофом) сформулировал в конце 19-го века 6 принципов, которые должны соблюдаться при создании криптографических систем 🗝 Упомянутое выше правило - это всего лишь одно из шести (второе, если быть точным). Часть правил применима не только к криптографии, но и вообще к ИБ; даже сейчас, спустя почти 150 лет 💡

Поэтому описание системы ИБ не должно быть совсем уж тайной (исключая, конкретные настройки, конфиги, правила и т.п.), на которой базируется защищенность организации 🤐 Но все-таки и публиковать эти данные в открытую, наверное, не стоит. Особенно в отношении органов государственной власти. Пора уже ввести на портале госзакупок соответствующие правила ✔️ И уж точно разрешать доступ к таким данным только после прохождение аутентификации 🤒 По крайней мере в текущих условиях ⚔️

ЗЫ. Многие подразделения закупки, публикующие описания систем защиты на портале госзакупок, забыли про приказ ФСБ №549. А зря 😕

Читать полностью…

Пост Лукацкого

В России произошел массовый сбой в работе сайтов авиакомпаний, туроператоров и ПО управления операционной деятельностью.

Служба мониторинга работы сайтов, приложений и веб-сервисов Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) со вчерашнего дня фиксирует массовый сбой доступа к интернет ресурсам российских авиакомпаний.

В частности, у пользователей возникли сложности с доступом к сайтам, приложениям и веб-сервисам авиакомпаний Nordwind, S7 и «Россия», аэропорта Домодедово, туроператора «Пегас Туристик» и производителя ПО для авиакомпаний «АвиаБит».

Сегодня некоторые из них продолжают испытывать проблемы с доступом. Так, «Северный ветер» предупредил своих пассажиров о «профилактических работах на официальном сайте» и попросил их использовать резервные ресурсы для бронирования билетов и онлайн-регистрации на рейсы.

Также продолжают «лежать» сервисы «АвиаБита». В результате, например в Nordwind, бортпроводников попросили сообщать о своих рейсах, так как у планирования отсутствует информация по графикам и ее приходится собирать по кусочкам.

Кроме того, перебои с доступом к сайтам и телефонной связи продолжаются у аффилированного с авиаперевозчиком туроператора Pegas Touristik. Сегодня он попросил турагентов отправлять запросы на резервные почти и сообщил, что IT-специалисты трудятся над возобновлением работы сайта.

Читать полностью…

Пост Лукацкого

Из ближайших моих выступлений:
1️⃣ Positive Tech Day в Самаре 18 июня. У меня там открывающая презентация с сюрпризом! Люблю когда маркетинг поддерживает самые смелые, даже вскользь вброшенные идеи, и потом из них у нас рождается что-то запоминающееся
2️⃣ IT IS Conf в Екатеринбурге 20 июня. Тут у меня будет три модерации - дискуссии про мифы ИБ, дискуссии про ИИ в ИБ и дискуссии про расследование инцидентов 🔍
3️⃣ Выступление "13 граблей, на которые наступают менеджеры по ИБ" на мероприятии 3 июля, которое известно в узком кругу, но которое в паблике никогда не светится и даже информации в Интернет о нем нет! 🏕
4️⃣ Выступаю 25-го июля на позитивном тренинге для журналистов "СМИшно про ИБ", где буду рассказывать СМИшно о сложном для пишущей братии ✍️
5️⃣ ИТ-Пикник в Москве 17 августа, куда я подался с рассказом "От стелек и кардиостимуляторов до умных пылесосов и колонок. Что делать с их небезопасностью?"

Читать полностью…

Пост Лукацкого

Даг Хаббард - достаточно известный человек, написавший ✍️ в свое время книгу "Как измерить все, что угодно", а позже преломивший ее на тему кибербеза. Его книга "How to measure anything in cybersecurity risk" стала для многих открытием, так как оказалось, что измерить в ИБ можно абсолютно все, даже уровень восхищения телеграм-каналом Лукацкого или стоимость защищаемой информации. Главное, знать, как подступиться к этой задаче

Сейчас эта книга выпущена и на русском языке и ее можно купить для изучения. Правда, переведено первое издание десятилетней давности, в то время как у Хаббарда вышло уже второе, но это не так уж и критично. Главное, когда будете покупать, посмотрите цены на книгу в разных Интернет-магазинах, - они могут разнится от 300 до 3000 рублей 😲 Почему не знаю, но это так!

Читать полностью…

Пост Лукацкого

Потестил RansomChatGPT - сервис на базе ChatGPT, которому скормили базу переговоров с вымогателями различных группировок (Darkside, Lockbit, Babuk, REvil, Hive, Conti и еще с десяток других). Прикольная история. Одно дело, когда ты думаешь, что ты весь из себя такой крутой ИБшник и знаешь, как бороться с шифровальщиками 🤒, а с другой - ты все-таки попадаешься на удочку вымогателей и бизнес дает тебе указание договориться. И ты приходишь к плохим парням с позиции силы, стращаешь их карами небесными, угрожаешь ФСТЭК и ФСБ 😕, а тебя посылают на хер и говорят "плати или иди в жопу". И вот тут ты реально начинаешь переговоры в надежде скинуть хотя бы цену 🤑

В одном из переговоров я попросил 👨‍💻 доказательства, что вымогатели не опубликуют данные после оплаты, как они уже это делали не раз, на что получил ответ, что они могут дать мне письменные гарантии, что "не кинут" и даже пообещали заплатить компенсацию, если кинут 😂

ЗЫ. Чем-то напоминает "Фрод-рулетку" от Т-Банка.

Читать полностью…

Пост Лукацкого

Хакеры внедрили вредонос в расширение Stable Diffusion 🧠 на GitHub с целью кражи криптокошельков, скриншотов, файлов и другой ценной информации. Прикрываются интересами художников 🧑‍🎨 и людей искусства, у которых ИИ забирает работу!

Читать полностью…

Пост Лукацкого

В продолжение темы с инсулиновой помпой... ❤️‍🩹 Оказывается они являются самым "популярным" медицинским прибором, из-за которого гибнут люди, но не единственными ☠️ В Канаде, в частности, от сбоев и ошибок в функционировании дефибриляторов, кардиостимуляторов, стентов и т.п. погибло почти 500 человек за 10 лет.

Что же будет, когда медицинские приборы начнут массово оснащать подключением к Интернет 📡 или мобильным приложениям, для самостоятельного отслеживания состояния здоровья?

Читать полностью…

Пост Лукацкого

А вот кому анализ 100 самых популярных бесплатных VPN-приложений в Google Play (то есть для Android)? 🛡 Чувак реально заморочился и проверил по куче показателей - от трекеров и слабой криптографии до наличия исходников и наличие вредоносных функций внутри. Респект 👍

Читать полностью…
Подписаться на канал