Проверка, упомянутая в прошлой заметке ☝️, базируется на целом ряде требований по управлению инцидентами, включая и соответствующий плейбук, разработанный CISA 👇. В отличие от NIST SP800-61, который устанавливает общие требования к процессу управления инцидентами (да еще и старый, 2012-го года), в плейбуке от CISA более практичные советы (еще и управление уязвимостями учитывают) с привязкой к шести этапам жизненного цикла управления инцидентами и уязвимостями. Достаточно неплохой документ, особенно чеклист в приложении ☑️
Читать полностью…История с глушилками GPS набирает обороты. Теперь речь идет не о банальном подавлении БПЛА и, как следствие, невозможность пользоваться навигацией в автомобиле, такси и т.п. История становится более серьезной - самолеты начинают сбивать с курса. Я про это недавно рассказывал в рамках "Форума будущего". А вот тут на сайте у авиационщиков чуть больше деталей.
ЗЫ. И самое печальное, что метода защиты пока нет.
Ну и завершим историю с QR-кодами на рекламных баннерах. Несколько человек мне написало, что проверка и QR и Интернет-ссылок ничего не даст, так как после печати баннера, элементарно сделать редирект на новый сайт, что и происходило с баннерами, ставшими причиной запрета 🔇 от Департамента СМИ и рекламы г.Москвы. Соглашусь, что редирект вполне возможен, но и в этом случае запрет большого смысла не имеет. Если верить статистике экстремистского сайта, то акцию поддержало всего чуть больше 3500 человек. Это вообще ни о чем 👎
Тут и авторы идеи, мягко говоря, не подумали, что большого охвата они за счет рекламного баннера не получат (для этого надо просто заполонить страну ими). А власти по привычке рубанули с плеча. Что дальше? Запрет не только QR-кодов, но и любых ссылок (там же тоже редирект элементарно делается)? 🤐 Если что, я не подсказывал А потом запретят аккростих (это же какая классная идея - разместить баннер, где первые буквы слов собираются в что-то экстремистко-террористическо-негативно-противдетейнаправленное-дискредитирующее)? 🤐 А потом и вовсе русский язык запретят 🤐, потому что кто-то начнет рекламу на эзоповом языке писать? Блокировками и черными списками проблему решить нельзя ❌ В принципе!
Как верно отмечают подписчики (спасибо им за это), Deutsche Bank сообщает немного иное в своем письме, а именно что некое лицо авторизовало в Интернет-банке новое устройство и теперь на него будут приходить одноразовые коды для проведения операций. И сделано это для того, чтобы в суде, если что, подтвердить факт уведомления клиента и его возможность отказаться от такой авторизации.
Читать полностью…Необычный подход к работе с клиентами у Deutsche Bank. Банк сообщил своему клиенту: «Вы вошли в интернет-банкинг с другого устройства». Нюанс в том, что предупреждение банк отправил классической почтой.
Читать полностью…В прошлом году я уже писал про ежегодный (более 20 лет проходит) SANS Holiday Hack Challenge. В этом году, если вы захотите поучаствовать, вас ждет целый набор небольших забавных заданий по кибербезу разного уровня сложности, за которые вы будете получать баллы, соревнуясь с другими участниками по турнирной таблице. В этом году многое построено вокруг искусственного интеллекта (наличие учетки OpenAI ChatGPT, Google Bart или Microsoft Bing желательно), но есть и традиционные челенджи про фишинг, appsec веб-приложений, поиск угроз в Windows Cloud, безопасность облаков, поиск уязвимостей и т.п. Вечерок можно потратить на прохождение квеста.
ЗЫ. На SANS из России попасть можно только по VPN.
Центр кибербезопасности английской короны (NCSC) выпустил бюллетень о якобы российской группировке Star Blizzard (она же SEABORGIUM, также известная как Callisto Group/TA446/COLDRIVER/TAG-53/BlueCharlie), активно применяющей spera phishing для атак на различные организации по всему миру, преимущественно в США и Великобритании. Но отчет так себе, как по мне. У Microsoft эта группировка и ее тактика была описана более детально.
Читать полностью…Интересный комьюнити-проект, Noise.Total., в рамках которого публикуются данные о ложных срабатываниях в различных средствам защиты
Читать полностью…Выкладываю презентацию моего выступления на секции "Кибербезопасность" Форума будущего, организованной УЦСБ
Читать полностью…Как будто в 90-е вернулся. Опять в моде дефейсы сайтов. Толку ноль, но желание оставить "Здесь был Вася" 💻 и показать всем Кузькину мать неискоренимо. Но у Хрущева все-таки было, что показать, а у большинства мамкиных хакеров нет. Но это и хорошо. А дефейсить сайты плохо.
ЗЫ. Я, кстати, все-таки переехал с сайтом и уже запустился. Пока только успел обновить раздел со своими видео-выступлениями (залил 20 штук с разных мероприятий) и опубликовать одну заметку.
Польские электрички блокировались из-за недокументированного кода от производителя
Интересный сюжет от польских исследователей (оригинал для полонофилов). На железных дорогах Нижней Силезии используется 11 электропоездов производства польской компании Newag. Несколько поездов отправляют на техническое обслуживание в не связанное с производителем депо (которое выиграло тендер). Однако после ремонта поезда оказываются заблокированы по непонятной причине. Newag утверждает, что причина блокировки в некой защитой системе — однако в инструкции об этом упоминания нет. Ни механики, ни электрики найти решения не могут, а на ситуацию уже обратили внимания СМИ. В момент отчаяния кто-то решает обратиться к хакерам, и с проблемой выходят на польскую команду Dragon Sector, известную по турнирам CTF.
Хакеры скачивают информацию с компьютеров работающих и заблокированных поездов и тратят несколько месяцев на реверс-инжиниринг. Выясняется, что в код бортового компьютера заложено несколько условий, при наступлении которых поезд блокируется. Во-первых, это GPS-координаты нескольких депо — все кроме одного являются сторонними, то есть не связанным с Newag. Если поезд проводит в этих локациях хотя бы десять дней, то он блокируется (для одного депо Newag было указано иное правило, вероятно, в целях тестирования). Во-вторых, поезд блокируется в случае замены одной из деталей, что проверяется по серийному номеру. В-третьих, ещё на одном поезде блокировка наступала после прохождения миллиона километров.
Разблокировать поезд можно было комбинацией клавиш в кабине машиниста и на бортовом компьютере. Правда, когда новость о починке поезда попала в СМИ, на бортовые компьютеры пришло обновление ПО, которое отключило возможность разблокировки комбинацией клавиш.
Исследователи также обнаружили на одном поезде аппаратную закладку — устройство, которое получало с бортового компьютера информацию о статусе блокировки и было соединено с модемом.
В итоге оказалось, что проблема коснулась не только поездов в Нижней Силезии, но и в других регионах. Всего хакеры изучили 29 поездов и только на 5 не нашли недокументированных сюрпризов.
Не знаю, замечали ли вы шумиху, которая поднялась последнее время вокруг искусственного интеллекта и какие стали предприниматься усилия по сдерживанию ИИ? Попробовал подсобрать все эти инициативы вместе. Получается, что многие правительства вдруг и внезапно решили ограничить применение ИИ. И это похоже на ядерное сдерживание, когда в клуб больших мальчиков пускают не всех, но только в части ИИ. И это влечет за собой интересные последствия...
Читать полностью…Когда я готовил текст к карточкам про инциденты ИБ на АЭС, мы описали 10 кейсов (десятый я разместил у себя). Я специально тогда не стал включить историю с английским атомным комплексом по переработке ядерного топлива и производству оружейного плутония Селлафилд, потому что там все-таки сложно было говорить именно об ИБ-причинах произошедшего. А случилось в 1991-м году вот что - баг в ПО привел к тому, что радиационнозащитные двери 🚪 на комплексе оказались открытыми несмотря на нахождение внутри помещения радиоактивных материалов ⚛️. Ущерба, к счастью, никакого нанесено не было, но позже выяснилось, что используемое ПО было прям нашпиговано ошибками (их насчитали 2400).
После 11 сентября 2011-го года на Селлафилде было запущено три новых программы - расширение программы безопасности в 2011-м, программа по устойчивости после аварии на Фукушиме в 2012 и программа по кибербезопасности в 2014-м в ответ на растущую 📈 киберугрозу. И вот пару дней назад последняя программа прошла проверку на прочность. Точнее не прошла.
Guardian пишет, что атомный комплекс был взломан группировками, корни которых растут из России 🇷🇺 и Китая 🇨🇳 (ну а откуда еще?). Официальные лица не представляют, когда произошел взлом, но отдельные эксперты утверждают, что первые признаки инцидента были зафиксированы еще в 2015-м ❓ году, когда в инфраструктуре крупнейшего на планете хранилища оружейного плутония было найдено вредоносное ПО. По свидетельствам Guardian еще в 2012-м году был опубликован отчет, в котором утверждалось о наличии в Селлафилде критических уязвимостей ИБ.
Ну а пока идет расследование... 🕵️♂️
Saxo Bank известен своими "шокирующими" прогнозами, которые публикуются каждый год и которые составляются на основе страхов клиентов банка, озвучиваемых в течение года в разговоре с инвестиционными аналитиками Saxo Bank 🔮
Далеко не всегда эти прогнозы сбываются, но и назвать их полностью дурацкими язык не повернется 🎰 В этот раз эксперты датского банка среди прочего назвали и один риск, который можно отнести к теме кибербеза. Речь идет о дипфейках, которые станут в 2024-м году проблемой национальной безопасности 🎭
ЗЫ. Весь список прогнозов можно посмотреть тут.
Американская счетная палата в очередной раз провела проверки федеральных органов власти в части выстраивания ими процессов реагирования на инциденты и нашла, что далеко не все госы имеют не только такие процессы, но и вообще, не всегда даже включают регистрацию событий безопасности. Среди причин такой "халатности" сами федеральные агентства называют три причины:
1️⃣ Нехватка персонала
2️⃣ Технические сложности в регистрации событий (у кого-то легаси, а кому-то не хватает места для хранения)
3️⃣ Ограничения в обмене данными об угрозах (неспособность забирать IoCи из закрытых сетей для работы в открытых сетях, отсутствие компетенций по работе с грифованными индикаторами или просроченные индикаторы).
Интересно, что американцы выделяют 4 уровня регистрации событий (от нулевого или неэффективного до третьего, продвинутого), которые разнятся по тому, насколько организация способно фиксировать критические события безопасности. 74% проверенных организаций находятся на 0-м (!) уровне, по 13% - на 1-м и 3-м уровнях.
Там еще много деталей в отчете 👇 по разным американским ведомствам, которые чем-то похожи на наши. Нехватка бюджетных средств, сложная и непонятная нормативка, ненужные метки конфиденциальности на бюллетенях с угрозами, куча легаси, нехватка кадров и т.п. И вроде тамошние регуляторы выпускают кучу нормативки и рекомендаций, но это не очень сильно помогает на местах. Одно только отличие - у нас настолько открытые отчеты представить себе сложно. А тут все на ладони - основные слабые места американских госов 👨💻
Продолжу тему с искусственным интеллектом, но в этом раз поговорим о том, как можно его атаковать, какие атаки существуют, какие таксономии, какие примеры из жизни доказывают атаки на ИИ, какие уязвимости существуют и вот это вот все.
Читать полностью…Заканчивался 2023-й год... Многие организаторы мероприятий по ИБ до сих пор не знают, что шаблон презентации - это не просто три слайда (титульный, основной и финальный), часто сделанные еще и в формате 4:3, в которые просто невозможно засунуть свои десятки разноплановых слайдов.
Шаблон, в отличие от 3 слайдов, содержит предустановленные шрифты, цвета, фон, эффекты, диаграммы, иллюстрации и многое другое. И перенос в такой, хорошо подготовленный, шаблон своего контента обычно занимает несколько минут. А если на перенос надо тратить столько же времени, что и на создание слайдов с нуля, то это не шаблон, а отстой. Я в таких случаях продолжаю использовать свой собственный шаблон; максимум - добавляю титульный слайд с нужным логотипом. Вот такой я самодур.
ЗЫ. Просто наболело...
ЗЗЫ. С ужасом жду того момента, когда на мероприятиях организаторы начнут использовать компы с Астрой. Это на мероприятиях по импортозамещению использование винды с офисом - предмет для шуточек. А вот когда тебе (то есть мне) придется делать презы в чем-то под Астру - это будет полный 🆒 фейл.
И ведь кто-то на полном серьезе двигает тему, что кванты способны отражать любые атаки и делать информационные системы неуязвимыми
Читать полностью…Благодаря подписчику, за что ему спасибо, выяснилась подоплека истории с запретом QR-кодов на рекламных баннерах в столице (и не только). Я когда читал письмо и комментировал его для РБК, уже тогда у меня возникли вопросы к озвученной причине запрета. Если это электронный баннер, то запрет ни на что не повлияет, - отобразить на рекламном носителе можно все, что угодно. Если баннер "бумажный", то ничто не мешает проверить QR на нем перед печатью.
И вот тут-то и моя логика дала сбой. Я-то думал, что такая проверка проводится. А оказалось, что нет. Поэтому и произошла ситуация, послужившая причиной для письма. Организация, признанная экстремистской, разместила в городе новогодние баннеры, на которых был QR-код, ведущий на сайт (адрес сайта также был указан на рекламной баннере открытым текстом), в котором предлагалось проголосовать против ну, в общем, вы поняли.
Если вдуматься, то такой запрет вообще не имеет смысла. Достаточно просто проверять все ссылки, которые размещаются на баннере. Но нет, у нас все как обычно, проще запретить вообще ❌
РБК пишет, что Москва запретила всем владельцам рекламных билбордов использовать QR-коды на рекламных конструкциях причине роста хакерских атак и взломов сайтов. Интересно, когда такое же ЦБ разошлет. У финансовых организаций проблема-то еще хуже. Это на билборде сложно представить, что кто-то разместит на нем вредоносный QR-код (наверняка же их проверяют перед печатью). Хотя на электронных табло это вполне возможный сценарий (раньше же билборды уже ломали и порнуху на них размещали). Но для проведения платежей QR-код имеет более массовый характер и размер у них совсем другой.
Я про недоверие QR-кодам еще в 2018-м году писал. Потом в июле, применительно к QR в почте. Ну а эксперимент в октябре вообще был показательным. Вроде и удобный механизм, но совсем непродуманный с точки зрения ИБ. Совсем 🧐
Как и у большинства людей у меня очень простые желания:
1️⃣ Высыпаться
2️⃣ Питаться вкусной и здоровой пищей
3️⃣ Быть в безопасности
4️⃣ Читать простые и понятные нормативные акты регуляторов по ИБ, не требующие привлечения лингвистов и психиатров, которые бы разъяснили смысл написанного.
Атака в пятницу вечером на морской порт ⛴ с неизвестными мотивами и атакующими?.. Значит это шифровальщик иностранный государственный хакер, который попытался поставить Австралию на колени... Атрибуция уровня «highly likely» 💻
ЗЫ. Это про атаку на австралийские порты
Интересная движуха в этом году началась в части подписания различных двусторонних соглашений по вопросам ИБ. Например, Азербайджан 🇦🇿 (читаем, Турция?) подписал соответствующее соглашение с Туркменистаном 🇹🇲. А ОАЭ 🇦🇪 активно начинает обмениваться данными с африканскими странами, подписав в начале осени несколько соглашений с рядом государств черного континента. Начинаются P2P-взаимодействия, минуя крупных геополитических партнеров в лице США и России (не рассматривать же всерьез подписанное Россией на днях соглашение с Мьянмой 🇲🇲).
ЗЫ. А вот Китай 🇨🇳 вообще не замечен в отдаче данных по Threat Intelligence.
Иногда я смотрю на нормативку ЦБ по ИБ и думаю. А иногда не думаю. Чаще даже не смотрю. Это вообще пост не про это. Он про другое. Здравого смысла нам всем, люди!
Читать полностью…Интересное исследование, которое посвящено технологии сетевых водяных знаков для трекинга хакеров и атак за счет изучения поведения и параметров сетевого трафика. Авторы утверждают, что достигли 95% точности трекинга на реальном сетевом трафике 😲 и при этом не требуется жертвовать производительностью и пропускной способностью, а также накапливать большие объемы данных для анализа, что являлось препятствием для предыдущих подходов по анализу водяных знаков - межпакетные задержки, flow rate, временные интервалы и т.п.
Читать полностью…Презентация с моего выступления на SberPro Tech, видео которого я выкладывал пару дней назад
Читать полностью…Ну какое нахрен горизонтальное перемещение? Вот в «Лебедином озере» танец маленьких лебедей представляет собой горизонтальное перемещение. А Lateral Movement - это расширение плацдарма и не более 🦢
Читать полностью…Вчера, на секции по кибербезу на Форуме будущего, организованной УЦСБ, я задал участникам одного из круглых столов вопрос, вот есть на рынке 28 вендоров NGFW; как выбрать того, с кем можно будет связать свое будущее? Как убедиться, что стартап не умрет через полгода в непростой экономической ситуации или просто не умея управлять бизнесом? И такие примеры, думаю, есть у многих из вас.
И как оказалось, на словах многие готовы поддержать российскую отрасль ИБ и ратуют за развитие стартапов, а на деле не хотят рисковать и покупать то, что не выпущено первой тройкой игроков в своем сегменте. И кто тогда должен поддержать стартапы и при этом не убить их излишней бюрократией? Интересный момент вскользь прозвучал на круглом столе - никто из вендоров NGFW так и не взял субсидию/грант от государства на развитие этого класса продуктов, не желая связываться с государством, его бюрократией, рисками присесть за нецелевое расходование и необходимость отвечать за результат, который гарантировать нельзя.
То есть проблему поддержки ИБ-стартапов решать надо, но вот как и кому, не очень понятно. ФСТЭК и ФСБ? Вообще нереально. Минцифры? Вероятно да, но скоро выборы Президента и смена кабинета министров; что и кто будет потом, не очень понятно. То есть минимум полгода никто ничего делать не будет. Да и потом поддержка стартапов не будет приоритетом №1. Перенять бы опят Израиля, кузницы ИБшных стартапов, но им сейчас тоже не до того, чтобы делиться с кем-то сокровенным знанием. Да и с Россией у них сейчас натянутые отношения. В общем, тупик пока... ⛔️