alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Пока один чиновник грозит гиперзвуковой ракетой зданию МУС в Гааге, от других в очередной раз просят отказаться от iPhone 📱 В этот раз может и получится. Однако странно выглядит объяснение, что iPhone менее защищен, чем тот же Android. Мне всегда казалось, что все с точностью наоборот.

Похоже, что советчики администрации Президента что-то знают о планах врага - в отдельных каналах проскакивали страшилки о возможности киберконтрнаступления, в котором могут быть задействованы представители американского CyberCom, которые будут атаковать среди прочего мобильники высокопоставленных чиновников. Или наши спецслужбы уже столкнулись уже с заражениями чиновников ПО типа Pegasus. Версий больше одной, но интересно, удастся ли в этот раз проконтролировать исполнение распоряжения?.. А то ведь у нас все благие намерения разбиваются о нежелание/неумение контролировать их реализацию 🤦‍♂️

Читать полностью…

Пост Лукацкого

У Ицхака Адизеса есть модель жизненного цикла организации, которая описывает развитие и угасание любого предприятия. Интересно, что эта модель может быть применена и к управлению ИБ на предприятии.

Сначала, на этапе младенчества, вам не нужна никакая формализация и даже как такового управления ИБ вам не нужно. По мере роста и потребности в ИБ изменяются. Задача компании - удовлетворять все возрастающее число клиентов и ей не до процедур и не до упорядочивания внутренних процессов ИБ.

Ну а на этапе бюрократии и загнивания и ИБ превращается в один сплошной формализм и бумажную ИБ в ущерб результативной. Задача компании в этом случае заключается в упорядочивании всего и поэтому так хорошо заходят всякие "процессные" истории - ISO 270xx, ISM3 и т.п.

Понимание этапа жизненного цикла позволяет не заниматься ерундой (если вы поднимаетесь к вершине и удерживаетесь на ней) и вовремя свалить (если развитие компании пошло на спад). Почему свалить? Ну вряд ли вы захотите работать в компании, в которой ИБ заключается в тупом выполнении бумажных требований без какой-либо движухи. Ну разве что и ваш жизненный цикл перешел во вторую половину и вам хочется покоя и хорошей зарплаты 🫡

ЗЫ. Жаль, что у нас на специальностях по ИБ не преподают теорию организации 🤔

Читать полностью…

Пост Лукацкого

Брянские депутаты заявили, что неизвестные хакеры взломали сайт областной думы и разместили фейковую новость, которая вызвала в регионе определенную шумиху (на первой картинке). В последнее время все чаще и чаще различные косяки или необдуманные слова и действия стали валить на хакеров.

Я тут когда был в Дубае, увидев табличку на траволаторе, что он не работает в целях сохранения электроэнергии (через час он уже работал), тоже сначала подумал, что у нас могли бы такой повод использовать для обоснования своего бездействия.

Раньше, все думали, что хакеры - это миф. Потом про них писали эпизодически и ИБшники расстраивались, что об их борьбе с плохими парнями никто не говорит и не пишет, кроме специализированных СМИ. А сейчас хакеры из каждого утюга лезут и все на них сваливают. Удобно же...

Читать полностью…

Пост Лукацкого

Некоммерческая, но все-таки американская, Linux Kernel Organization отказалась принимать обновления в ядро Linux от компании Байкал Электроникс, попавшей под санкции США. Если отбросить долгие дискуссии о правомерности и осмысленности такого решения, то в контексте ИБ нас, видимо, ждет не просто свое рекомендованное ядро Linux, поддерживаемое ФСТЭК, но и вообще своя ветка Linux.

И если для потребителей это будет не очень заметно, то вот отечественным производителям, которые имеют международные планы, придется поддерживать две ветки - российскую и общепринятую. И хотя это не должно быть (особенно на первых порах) слишком затратно, это все-таки осложнит жизнь российским производителям средств защиты на базе Linux.

Читать полностью…

Пост Лукацкого

«…В это время Гена при помощи очков виртуальной реальности вновь попадает в компьютер, на сей раз с мухобойкой-антивирусом, очищает себя от вируса, однако он, как и дедушка, не позволяет себе ударить вируса Петю мухобойкой… Вирус, воспользовавшись мягкотелостью учёного вызывает туда сотни своих собратьев-вирусов, которые устраивают в компьютере настоящее шоу, помешать которому Гена пытался в течении очень большого количества времени, но в конце концов Петя поставил лестницу из системы компьютера в интернет и ушёл по ней в открытый мир, обещая иногда возвращаться…»

Вы ознакомились с фрагментом полнометражного мультфильма «Барбосуины Team», в котором также не обошли тему кибербеза и способов ее визуализации.

Читать полностью…

Пост Лукацкого

А у вас тоже есть свое кладбище метрик ИБ, которые вам казались идеальными, но не были никем принятыми?

Читать полностью…

Пост Лукацкого

Интересная, однако, аналогия с CISO и «Игрой в кальмара»

Читать полностью…

Пост Лукацкого

Фильмы про хакеров на конференции Screenshot_2023

В следующие выходные, 25-26 марта, Музей криптографии проведёт конференцию Screenshot_2023 о прошлом, настоящем и будущем цифровой среды. В программе много интересного, но отдельно отмечу показ и обсуждение двух документалок про хакеров вечером 25 марта: сериала «Русские хакеры: Начало» (18:30-21:30) и фильма «Имя нам легион: история хактивизма» (21:30-23:00).

Зарегистрироваться можно на сайте конференции.

Читать полностью…

Пост Лукацкого

Прозрачные мониторы для аналитиков SOC? Их на втором фото еще разглядеть надо. А если протирать экран от пыли, то не ровен час, не заметишь его и пройдешь «сквозь» 🤔

Но внимание привлекает, безусловно. На выставке хорошо заходит - многие фоткаются за таким монитором.

Читать полностью…

Пост Лукацкого

Если вдруг у кого-то из российских ИБ-вендоров вы видите сообщение, что они интегрируют свой продукт с ChatGPT, то я бы задал такому вендору ряд вопросов:
1️⃣ Как они обошли запрет OpenAI на работу с Россией? И что будет, если такой обман вскроется? Вернут ли вам деньги за неработающий функционал?
2️⃣ Какие конкретно чувствительные данные о безопасности вашей организации передаются в иностранный облачный сервис?
3️⃣ Каким образом защищается передаваемая и обрабатываемая в ChatGPT информация?
4️⃣ Кто и как проверяет корректность представляемой ChatGPT в качестве ответа информации?
5️⃣ Потребуется ли доработка ответов от ChatGPT?
6️⃣Насколько такая передача соответствует законодательству о запрете использования частей информационной системы за пределами РФ (для госов и значимых объектов КИИ)?
7️⃣ Какие конкретно порты и протоколы должны быть разрешены на МСЭ, чтобы можно было пользоваться API-вызовами ChatGPT?
8️⃣ Кто формально будет считаться пользователем сервиса ChatGPT для компании OpenAI - вендор продукта, с ним взаимодействующего, или потребитель этого продукта?
9️⃣ Является ли ChatGPT средством защиты информации в случае использования его в рамках какого-либо ИБ-продукта?
1️⃣0️⃣ Как вендор планирует сертифицировать свой продукт с подключением к неконтролируемому ChatGPT?
1️⃣1️⃣ Почему вендор не развивает собственное ИИ-направление, а пользуется иностранными наработками?

ЗЫ. Так-то я не против использования ChatGPT в ИБ и уже писал об этом. Просто такое использование должно быть осознанным (и со стороны вендора, и со стороны заказчика), а не базироваться на хайпе.

Читать полностью…

Пост Лукацкого

Стоит внимательно присмотреться к этой уязвимости с уровнем опасности 9.8. Работает на Outlook под Windows (для macOS, iOS, Android не применима, как и для онлайн-версий Outlook, включая M365). От пользователя не требует вообще никаких действий - достаточно просто открыть уязвимый Outlook и хешированные пароли улетят "плохим парням".

Что делать:
- Установить срочно патч от Microsoft (скачать для разных версий можно тут)
- Добавить пользователей в Protected Users Security Group
- Блокировать исходящий трафик TCP 445/SMB на периметровом/локальном МСЭ или на VPN-устройстве
- Проверить подверженность себя уязвимости можно с помощью PowerShell-скрипта, выпущенного Microsoft.

Читать полностью…

Пост Лукацкого

Новостной ИБ-портал Threatpost, которым управляет Лаборатория Касперского, с конца августа прошлого года перестал обновляться и публиковать новости 😞 Интересно, почему?

Читать полностью…

Пост Лукацкого

В далекие-далекие времена, когда COVID-19 еще бушевал на планете, в среде американских ИБшников была жаркая дискуссия на тему, этично или нет проводить фишинговые симуляции на тему коронавируса. Мошенникам это, правда, никак не мешало.

Читать полностью…

Пост Лукацкого

Оно, подумал я. И правда «Оно». Реклама фильма ужасов могла бы быть использована в качестве визуального ряда к презентациям, посвященным процессу ускоренного и необдуманного импортозамещения

Читать полностью…

Пост Лукацкого

Пранкеры Вован и Лексус удостоились атрибуции - теперь они считаются хакерской группировкой TA499

Читать полностью…

Пост Лукацкого

На прошлой неделе удалось мне побывать на дубайской GISEC 🇦🇪 Мало того, что это была чуть ли не первая моя заграничная командировка с начала COVID-19, так это еще и первый раз, когда я был на ближневосточной специализированной выставке по кибербезу. Учитывая мой опыт участия в американской RSA Conference и европейской Infosecurity Europe, было с чем сравнивать.

Читать полностью…

Пост Лукацкого

Нестареющая классика от Arkanoid ⛔️

Читать полностью…

Пост Лукацкого

На трассе тут схватил саморез в колесо и пришла мне в голову хорошая аналогия. Когда вы используете IDS с набором предустановленных сигнатур, то вам ничего не надо делать с этим средством защиты (ну почти, но сейчас это неважно). Как и с антивирусом, кстати. Поставил и оно пассивно работает, ловит известные угрозы и не дает им реализовываться. Для их работы даже специалист не нужен (кроме процесса инсталляции, да и то не всегда). Примерно также на "простых" автомобилях - у тебя есть обычные колеса и все; они едут и едут. И узнаешь ты о том, что у тебя пробило колесо либо от проезжающих мимо и сигналящих тебе машин, либо по тому, как начинает уводить авто в сторону.

С решениями класса xDR (NDR, EDR, CDR, XDR и т.п.) ситуация прямо противоположная. Чтобы они дали нужный эффект их нужно настроить, рассказав, что хорошо, а что плохо, чтобы снизить число ложных срабатываний. И надо регулярно следить за политиками работы этих решений, чтобы они не фолсили. Ровно та же история с автомобилями, которые умеют контролировать давление в шинах и показывают, когда у вас пробито или спущено колесо. Но чтобы этот механизм был эффективен, вы должны сначала задать нужные параметры по давлению на передние и задние колеса (с учетом сезона и загрузки). И только потом бортовой компьютер начнет сам контролировать нужные параметры, сигналя вам в случае обнаружения отклонений. Ваша задача только вовремя менять параметры давления исходя из окружающей ситуации. То есть без человека все это уже не работает.

Да, искусственный интеллект должен помочь с этой проблемой, но только на стороне потребителя и при условии, что на стороне разработчика грамотно обучена модель и она регулярно обновляется (вы же не думали, что ML обучили один раз и больше не надо). То есть полная автоматизация обнаружения - это, конечно, пока еще мечта, и к ней идут вендора. Ну а пока не надо тупить, а лучше понимать, что в своей инфраструктуре хорошо, а что плохо.

ЗЫ. А как же шины Run Flat? А они тоже имеют свою аналогию в ИБ, но об этом как-нибудь в другой раз.

Читать полностью…

Пост Лукацкого

Даже в ИБ цели и метрики лучше привязывать к деньгам, а не к иным формам оценки эффективности

Читать полностью…

Пост Лукацкого

На фоне текущих новостей хочется вспомнить, что Россия отзывала свою подпись не только под Римским статутом, тем самым выходя из под действия Международного уголовного суда, но и под Будапештской конвенцией о киберпреступности 2001-го года ✍️ Тогда нашу страну не устроила статья 32-я, разрешающая участникам Конвенции, без согласия государства, получать доказательства совершенных киберпреступлений, в том числе и за счет доступа к компьютерам на территории России 👨‍💻

Спустя полтора десятка лет Россия 🇷🇺 предложила в ООН свою версию конвенции по данной тематике («О сотрудничестве в сфере противодействия информационной преступности»), работа над которой продолжается уже группой экспертов разных стран. Но примут ли ее и когда, пока непонятно (планировали в 2024-м).

ЗЫ. К слову сказать, подключение как можно большего числа стран к Будапештской конвенции (сейчас их около 70) было одной из основных задач США в киберпространстве.

Читать полностью…

Пост Лукацкого

В последнее время все чаще из разных источников звучит, что роль CISO чуть ли не расстрельная; что это борьба за выживание; что уровень стресса зашкаливает…

Читать полностью…

Пост Лукацкого

Побывав в Дубае и посмотрев на то, как индусы завоевывают местный рынок, в том числе и в части кибербезопасности, я подумал, что Указ 250 полезен даже не тем, что он привлекает внимание к ИБ топ-менеджмента компании (хотя тут есть нюансы), а тем, что он закрывает российский рынок для страны, которая обошла Китай по числу жителей, которым надо кормить свои семьи и поэтому они готовы работать почти даром. Если бы толпы индийских ИТшников и ИБшников ринулись в Россию, то конкурировать с ними было бы оооочень сложно.

Читать полностью…

Пост Лукацкого

Я уже не раз рассказывал, это мужику в карманах можно носить все, что угодно, - от бумажника и телефона до кредиток и токенов. На фото яркое тому подтверждение. А вот девушкам куда все это богатство девать? 🤷‍♀️ Я про токены, если что 🥺 И остаются токены воткнутыми в комп или оставленными на столе со всеми вытекающими

Читать полностью…

Пост Лукацкого

Ну, это был только вопрос времени. ЧВК в киберпространстве, ИТ-армия с официальным статусом… Украина говорит о законопроекте, легализующем такого рода активность и разрешающем создавать ЧВКК (первая К - от «кибер»). Российские хакеры тоже не отстают (на картинке). И хотя о легализации пока речи нет, но лиха беда начало…

Читать полностью…

Пост Лукацкого

Exploiting CVE-2023-23397: Microsoft Outlook Elevation of Privilege Vulnerability

👤 by Dominic Chell

Today saw Microsoft patch an interesting vulnerability in Microsoft Outlook. The vulnerability is described as follows:
Microsoft Office Outlook contains a privilege escalation vulnerability that allows for a NTLM Relay attack against another service to authenticate as the user.

Security researcher has shared technical details for exploiting a critical Microsoft Outlook vulnerability for Windows (CVE-2023-23397) that allows hackers to remotely steal hashed passwords by simply receiving an email.

https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/

Читать полностью…

Пост Лукацкого

Хорошая бельгийская социальная реклама, показывающая, что можно узнать о человеке с помощью OSINT, что люди не задумываясь выкладывают в соцсетях и насколько ценна эта информация. Для случайно выбранных участников это и правда выглядит как магия 🪄

Читать полностью…

Пост Лукацкого

Надо признать, что если бы я на парковке наткнулся на такую валяющуюся флешку, я бы ее поднял ;-) Да, потом я бы ее прогнал через антивирус и песочницу, но первым желанием все равно было поднять эту флешку нестандартной формы ⚰️

Читать полностью…

Пост Лукацкого

Сторонников написания в датах сначала месяца, а потом дня, поздравляю с днем числа Пи! Остальным ждать 31-го апреля!

Читать полностью…

Пост Лукацкого

Как воруют данные в США и в России?!

Читать полностью…

Пост Лукацкого

В прошлый раз объявление о воздушной тревоге зачитывал голос из частушек-бота. В этот раз мужик, но не Левитан, не Левитан (который Юрий, а не Исаак). Но вот если голос будет Левитана, то пожилые люди, услышав такое предупреждение, и правда, могут перепугаться 😰

Читать полностью…
Подписаться на канал