alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Джен Эстерли, глава американской CISA, внесенная в список российских санкций, поставила амбициозную цель 🎯 - довести число женщин в ИБ (видимо, в американской) до 🚺 50% от общего числа к 2030-му году👮 Кстати, на последней конфе Women in Cyber Security, где Эстерли и озвучила свою цель, собралось аж 1700 делегатов. Или делегаток? Все время путаюсь с феминитивами 👵

ЗЫ. Интересно, на регулярных встречах российского женсовета по ИБ такие же цели ставят? Если что, мужская часть российской ИБ может помочь с достижением этой цели!

Читать полностью…

Пост Лукацкого

HDMI-адаптер для iPhone, который собирает данные о вашем местоположении, истории серфинга в Интернет, ваши фоточки и видео, трекает ваши закладки и инсталлированные приложения.

А вы проверяете, что вы суете в свои смартфоны?

Читать полностью…

Пост Лукацкого

Многие пишут (а уж на Западе все как с цепи сорвались) о том, что некая российская платформа по скупке Zero Day с доменом, срок оплаты которого истекает в октябре этого года, в виду ажиотажного спроса на рынке решила поднять цену на зеродеи определенного типа для iOS и Android с 200 тысяч долларов аж до 20 миллионов (в 100 раз) 🌡. Это, предсказуемо, вызвало ажиотаж. Меня и журналисты, и некоторые каналы стали просить комментарии на эту тему. А я не даю 🤐, так как анекдот, который я бы мог рассказать в тему, вряд ли опубликуют. Но у себя в канале почему бы и нет:

Старый Мойша на приеме у сексопатолога:
— Доктор, у меня больше 3-х раз в неделю с моей Сарочкой уже не получается.
— Мойша, а лет вам сколько?
— 85.
— Мойша, ну это же превосходно!
— Да? А сосед мой Рабинович говорит, что у него с женой ежедневно, а ему 95!
— Ну так и вы говорите!

Есть еще анекдот про мешки, которые ворочат, но его даже я у себя не опубликую, а то доблестный РКН за мат канал прикроет и придется уходить в виртуальное подполье.

ЗЫ. Чего хакер на картинке, закрыв глаза, правой рукой под столом делает? Нейросетке Сбера явно надо датасет для обучения менять.

Читать полностью…

Пост Лукацкого

Дерзкое согласие на обработку cookies.
18+

Читать полностью…

Пост Лукацкого

Еще большим числом утечек?! Возьмем на себя повышенные обязательства?! Догоним и перегоним?!

Как же задолбали эти лозунги и подсчеты 🧮 количества утекших записей и самих утечек. Как будто это важно и именно это определяет результативность.

Все больше скатываемся в советские времена победных реляций, ничем неподкрепленных заявлений, дурацкой статистики, словоблудия «свадебных генералов» в пленарках и вот этого всего. Осталось только переименовать это все в съезд, на сцене вручать грамоты лучшим дояркам, комбайнерам и трактористам операторам SOC, багхантерам и настройщикам пианино NGFW, а также целоваться долго и взасос с председателем оргкомитета! 🤮

Читать полностью…

Пост Лукацкого

Американцы выпустили предупреждение ⚠️ о взломе сетевого оборудования Cisco со стороны китайских хакеров 🇨🇳. Причем те действуют достаточно изощренно и подменяют прошивку маршрутизатора, что позволяет оставаться им в инфраструктуре даже после перезагрузки устройства.

Учитывая, что Cisco до сих пор полно и в России, а китайцы 🐉 нам не друзья, а всего лишь ситуативные союзники и российские предприятия они ломают несмотря на "дружбу Пу и Си", я бы обратил внимание на эту проблему. И хотя Cisco уже много лет не выпускает оборудование без SecureBoot, Trust Anchor и других технологий защиты от аппаратных и программных закладок, есть немало компаний, использующих устаревшие, но все еще работающие сетевые устройства. Поэтому посмотрите на рекомендации Cisco по защите их оборудования. Это не сложно и бесплатно.

Читать полностью…

Пост Лукацкого

Одна из старейших частных логистических компаний Великобритании KPN Logistics Group прекращает свое существование 😮после июньской атаки шифровальщика. 730 сотрудников потеряли свою работу 😭

Невозможно? Недопустимо! ☹️

Читать полностью…

Пост Лукацкого

Квантовая запутанность кибербеза в компании. Отношение к ИБ постоянно меняется. Думаю, что если слово "кибербез" заменить на "CISO", то смысл картинки тоже не пострадает

Читать полностью…

Пост Лукацкого

Не знаю, можно ли ориентироваться на Яндекс с точки зрения размера инвестиций в ИБ, а с другой стороны, почему бы и нет. В зависимости от позиции ("Хочу как Яндекс" или "Но мы же не Яндекс") можно эту цифру взять за точку отсчета.

ЗЫ. Это про Яндекс.Облако, если что...

Читать полностью…

Пост Лукацкого

В общем, проблемы с уведомлениями об инцидентах у всех одинаковые. Но кто-то пытается решить проблему, а кто-то наращивает число уведомлений 🤦‍♂️

Читать полностью…

Пост Лукацкого

Сколько бы штабных киберучений я не проводил, почти всегда вижу одно и тоже, - отсутствие реального плана реагирования на инциденты в организациях. Знакомые и типовые ситуации отрабатываются достаточно неплохо - достаточно просто иметь общие знания в ИБ. А стоит копнуть чуть глубже, выйти за рамки типичных и массовых историй, а то и вовсе дать на вход нестандартный кейс, и все, пиши пропало. Иногда еще можно выехать на практическом опыте, но далеко не всегда. Ведь чем план отличается от обычной рутины? Четкое следование процедуре "1-2-3" - никаких шагов в сторону. И вот этого не хватает.

Читать полностью…

Пост Лукацкого

Если вдруг вы хотите посмотреть на то, как начинают раскручивать общественное мнение и депутатский корпус на принятие закона об оборотных штрафах, то вот вам прекрасный пример. Статья соткана из множества разрозненных фактов и фейков, но подано таким образом, что складывается впечатление, что все, пиши пропало, утекли анализы мочи и кала депутатов, а это пострашнее утечки гостайны и надо срочно что-то делать...

Читать полностью…

Пост Лукацкого

ЦБ сейчас активно проводит киберучения среди банков, отправляя им вредоносные вложения и ссылки и... 💌 И вот тут и начинаются проблемы. Вроде идея-то здравая - проверить способность подопечных оперативно обнаруживать и реагировать на угрозы (надеюсь, что сам-то ЦБ знает как это все делать и регулярно своим сотрудникам проводит такие же киберучения). Но вот на практике получается как-то не так...

В банковском чатике по ИБ только и дело, что уже несколько дней обсуждают, как правильно уведомить ЦБ об обнаруженных вредоносах. Надо это делать по каждому фишинговому письму или можно пачкой, по каждому почтовому ящику или по всем сразу, надо сообщать по тому, что попало в ящики или по тем, что открыли пользователи, а по тем, что были отброшены почтовым сервером или защитным почтовым шлюзом ушедшей из России компании надо? Это какой-то трэш. Отличная же идея - проверять навыки, но нет, давайте засрем всем мозг своей бумажной ИБ и на каждый чих будем требовать оформить стопицот бумажек ✍️ и вздрючим за то, что "отчеты у них не той системы" оформлено все не так, как никто и не сказал как, но вы догадайтесь.

Вот почему любая нормальная инициатива, направленная на достижение результата в ИБ, превращается в какое-то 💩? Вместо фокуса на самой инициативе все внимание смещается в отчетность по ней. Вместо расширения числа симуляций и кейсов для киберучений, расширяется число полей в уведомлении по ним. Вместо того, чтобы оценивать результативность учений, чиновники оценивают число проведенных киберучений и число участников в них? Куда катится этом мир? 🍑

ЗЫ. Надеюсь, что где-нибудь есть нормальный чатик по ИБ в финсекторе, в котором бы обсуждали реальные задачи финансовой ИБ - как защищать DeFi, как оценивать результативность ИБ, как оценивать аутсорсера, как бороться с Man-in-the-Browser или выявлять ботов, как бороться с подменой авторизационных 3DS-страниц, как идентифицировать дропов, как работать с цифровыми отпечатками устройств, какие атаки на POS-терминалы сейчас активны, как защищать криптобиржи (а их сейчас активно ломают) и т.п.

Читать полностью…

Пост Лукацкого

Вот когда научатся таких ботов распознавать, тогда можно подумать и об открытии комментариев в канале 😊 А пока не хочется тратить кучу времени на вычистку сообщений от ботов, криптомошенников, девиц с низкой социальной ответственностью, рекламодателей конференций, на которых в сотый раз будут обсуждать категорирование КИИ, и других персонажей, коими изобилуют другие ИБшные чаты.

Читать полностью…

Пост Лукацкого

Минцифры в своем канале пишет, что Правительство одобрило инициативу министерства по включению в законопроект об оборотных штрафах идеи про компенсацию 🤑 пострадавшим от утечки определенной суммы денег от оператора ПДн, у которого утечка и произошла. О сумме речь не идет, но судя по тексту заметки, оператор сам определит сумму возмещения, которое он готов выплатить, а задача 80% пострадавших с этой суммой согласиться или нет.

Помните я делал опрос о том, на какую сумму компенсации согласились бы вы, если бы ваши ПДн утекли. Теперь, если предположить, что максимальная сумма штрафа не может быть более 500 миллионов рублей (или 3% от годового оборота, но не более 500 миллионов), то с точки зрения банальной арифметики оператору нет смысла выплачивать компенсации больше максимальной суммы штрафа. Соответственно, если мы поделим 500 миллионов на объем утечки, то получим сумму, выше которой компенсация быть не может (а иначе какой в ней смысл - проще штрафом отделаться).

Можно и наоборот посмотреть - поделить 500 миллионов на сумму желаемой компенсации. И получается, что при желаемой компенсации в 75 тысяч (в опросе это звучало как "больше 50 тысяч") рублей, в утечке не должно быть больше 6666 записей. При сумме компенсации в 1 тысячу рублей (пара чашек кофе ☕️ в центре Москвы), объем утечки не должен быть больше полумиллиона записей. А мы помним, что почти все последние утечки очень часто превышали это значение.

И это я использую схему "либо-либо", то есть либо компенсация, либо максимальный штраф. Но ведь, чтобы заслужить от суда максимальный штраф надо еще постараться. В реальности цифры будут существенно ниже. Вот и получается, что при всей своей интересности инициатива Минцифры малореализуема на практике, так как операторам ПДн она экономически не интересна; только время потратят на процедуру.

Читать полностью…

Пост Лукацкого

Патчиться надо было
Сказал мне Dark River на ухо
Подкравшись к локалке моей

почти Басё (с)

Читать полностью…

Пост Лукацкого

Задорнов был прав, когда говорил, что «американцы тупые» (не все, конечно). Гораздо безопаснее с точки зрения последствий красть пачки денег 💵 (если они не помечены), чем новенькие iPhone 📱, имеющие уникальный идентификатор и элементарно отслеживаемые по местоположению вплоть до пары метров.

Читать полностью…

Пост Лукацкого

Толерантненькая реклама от CISA про необходимость думать 🤔 о кибербезопасности своих близких. Если CISA завтра уйдет в неоплачиваемый отпуск, то хотя дело их в виде рекламы будет жить 👌

Читать полностью…

Пост Лукацкого

Блииин, а я у себя постеснялся такое согласие делать 😂

Читать полностью…

Пост Лукацкого

Иногда, в погоде за инновациями и красивостью авторы забывают о приватности пользователей 😶‍🌫️ Пора уже вводить при приеме на работу разработчиков ПО, сайтов и т.п. тест на отношение к приватности и защите персданных. И если проходящий тест получает невысокий балл, то на работу его не брать 💡 Ну или прогонять вот через такой вот туалет 🚽, установленный специально для таких целей. Мне кажется, один раз в таком креативном месте и вопросы о необходимости учитывать вопросы privacy отпадут сами собой.

Читать полностью…

Пост Лукацкого

Крупный производитель решений по промышленной автоматизации Johnson Control подвергся атаке шифровальщика группировки Dark Angels. Судя по длительности инцидента, сумме выкупа в 50+ миллионов долларов и абсолютно беспомощному уведомлению в Комиссию по ценным бумагам США у вендора все плохо.

Как можно не заметить утечку 27 терабайт (!) данных? Ладно у вас NTA/NDR наверное нет. Но хотя бы traffic quote настроить на периметровом межсетевом экране можно было?.. ⛔️

Читать полностью…

Пост Лукацкого

Если до 1 октября Конгресс США 🇺🇸 не договорится о финансировании 🤑 правительственных структур (с 01.10 начинается новый финансовый год), CISA вынуждена будет отправить до 80% своих служащих в отпуск. А это значит, что многие проекты по ИБ, включая оперативный мониторинг угроз (а-ля ГосСОПКА), распространение IOCов и т.п. будут остановлены.

И это касается не только CISA, а всех федеральных госорганов США. ИБшников отправят в неоплачиваемый отпуск. Атакуй, не хочу 👨‍💻

А у вас в модели угроз такая есть?

Читать полностью…

Пост Лукацкого

Хороший пример для сравнения бюджетов по ИБ для облачных платформ.
#yandexscale

Читать полностью…

Пост Лукацкого

Гармонизация уведомлений о киберинцидентах в США

На прошлой неделе американское Министерство внутренней безопасности (DHS) представило Конгрессу доклад о гармонизации уведомлений федерального правительства о киберинцидентах. В 2022 году в США был принят закон об уведомлениях (reporting) о киберинцидентах для критической инфраструктуры (CIRCIA), в соответствии с которым был учреждён специальный совет под эгидой DHS, включающий 33 ведомства, для согласования требований различных госорганов по уведомлению о киберинцидентах. Доклад стал результатом этой работы и должен лечь в основу того, как организации будут отчитываться об инцидентах CISA.

В докладе проанализированы 52 (!) требования по уведомлению об инцидентах, действующих и предложенных, от разных ведомств, включая Минюст, FCC, FTC, Минздрав и пр. (в докладе табличка с 53 страницы). Везде разные условия, сроки, термины и т.д. Задача была посмотреть, нет ли дублирования требований, и понять, как можно их совместить, какие есть препятствия.

Рекомендации доклада:

1. принять везде, где это возможно, модельное определение киберинцидента, подлежащего уведомлению (определение на стр. 26-27);
2. принять модельные сроки и условия уведомления об инцидентах (в течение 72 часов в общем случае и в более короткий срок, если из-за инцидента нарушаются критические или жизненно важные функции);
3. отложить оповещение затронутых лиц, если это может быть сопряжено с риском для КИ, национальной безопасности или текущих расследований;
4. принять модельную форму уведомления об инцидентах;
5. оптимизировать процедуры приёма уведомлений и обмена информацией об инцидентах — возможно, с созданием единого портала;
6. предусмотреть возможность получения дополнительных уведомлений и обновлений, если появляется дополнительная информация;
7. принять общую терминологию, связанную с уведомлением о киберинцидентах;
8. усовершенствовать процессы взаимодействия с организациями после направления ими уведомлений.

Читать полностью…

Пост Лукацкого

Сегодня я в Минске, на Positive SOCcon, рассказываю про факторы, влияющие на необходимость построения SOC в организации. Небольшое введение в проблематику перед выступлениями позитивных коллег, которые будут погружаться уже в тему более глубоко - автопилот в SOC, типовые ошибки, разные типы центров (SOC/CERT/ЦПК/ЦКО), необходимые технологии, выбор фидов, нюансы развертывания SIEM, анализ поверхности атаки, архитектура и т.д.

Читать полностью…

Пост Лукацкого

А чо, мы округлили просто! 🤦‍♂️

Читать полностью…

Пост Лукацкого

ДССТЗИ СБУ Украины опубликовало обзорный отчет о киберактивности против государственных и частных организаций в стране. Каких-то прям открытий нет - просто все сведено в единый документ и показана динамика 📈. Глубоких технических деталей нет, но ключевые тактики, используемые против Украины, описаны. Если бы у нас аналогичные структуры выпускали такие же обзорные отчеты (а я уверен, что России 🇷🇺 тоже есть что сказать), то думаю, что они [отчеты] вряд ли бы сильно отличались по сути. Разве что названия хакерских группировок были бы другие 💻. Но даже по той информации, что НКЦКИ (кстати, вы знали, что в Украине есть свой НКЦК; только там последняя К означает "кибербезопасность") публикует, видно, что тактики не сильно отличаются друг от друга 👨‍💻

Читать полностью…

Пост Лукацкого

Стеганография выходит на новый уровень. На фотках три примера использования одной из нейросеток, которая генерит картинки и внедряет в них либо нужную картинку (робот Бендер в панораме города, похожего на Нью-Йорк), либо нужный текст. Причем делает это очень нативно. Пока это выглядит все как проба пера, но сделать что-то более тонкое не составляет большого труда, как мне видится. Сначала ты просто внедряешь текст в картинку, потом ты делаешь внедряешь в надписи на фасадах, городские указатели, граффити, журналы, которые держат в руках персонажи фотографии...

И все это выглядит настолько целостно, что ты даже не понимаешь, что в картинке или видео скрыто какое-то послание. Вариант с китом 🐋 вообще офигенный (как и с котами, но рассматривать его как пропаганду 🐈 не стоит). Да, Большую советскую энциклопедию так не передашь (если только не в сериале "Путеводный свет", насчитывающем 18+ тысяч серий и шедшем на экранах 57 лет), но какие-то короткие тексты, чертежи, фото и т.п. вполне себе. И как такое ловить, пока не очень понятно 🔍

Читать полностью…

Пост Лукацкого

С другой стороны инициатива может быть рассмотрена с точки зрения "дилеммы заключенного" ⚖️ из теории игр. Что выгоднее для участников (субъект и оператор ПДн) - договориться хотя бы о минимальной сумме компенсации или стоять на своем до конца? В худшем случае субъект не получит ничего, а оператор ПДн выплатит максимальный штраф. А в лучшем?..

Читать полностью…

Пост Лукацкого

Когда я читал прогнозы Сбера, у меня сразу возникло два вопроса к исследованию, - использование Midjourney и излишний пессимизм в отношении нашего будущего ⚰️. И вот в Интернет активно обсуждается тема реального авторства этого отчета. Кто-то говорит, что это утечка из Сбера внутреннего документа. Кто-то считает, что этот отчет - явный фейк 🙃. Кто-то говорит, что авторы отчета (возможно и сам Сбер) просто проверяют реакцию людей. Но ни СМИ, ни сам Сбер официально не подтверждают, но и не опровергают авторство. И вот последнее меня и смущает больше всего. Если бы это был явный фейк и подстава Сбера (а за такие прогнозы им вряд ли морковку дадут), то уже давно бы (а отчет гуляет по Интернет с 7-го сентября) PR Сбера из кожи вон лез, чтобы всем доказать, что это фейк. Но этого нет. А значит, вполне возможно, что отчет и правда их.

Но в любом случае, у меня, кстати, описанное будущее не вызвало вопросов 😊 Оно вполне укладывается в общую канву развития и технологического, и финансового, и даже Сберовского. Но если подтвердится, что это реально был фейк, то это станет прям интересным кейсом, который заставит задуматься о проблеме происхождения информации, которая считается до сих пор нерешенной и США лет 15 назад включили ее в список самых главных тем для НИОКР 🤔 в области кибербеза.

Читать полностью…
Подписаться на канал