alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Небольшой видео-обзор зоны ИБ-стартапов на GISEC. Ну какие стартапы, такой и обзор 😊 На самом деле хорошо, что всем этим игрокам дали пару квадратов стандартной застройки, чтобы показать себя потенциальным покупателям 🤑

Я немного задержался на питч-сессии, где перед весомым жюри надо было выступать, "продавая" свое детище 🙊 Из того, что я услышал, не зашло ничего. Классическая проблема большинства технарей, решивших, что они все познали, знают боли клиентов и могут заработать на этом много денежек 🤑

Увы, нечеткая речь, отсутствие понимания проблем заказчика (хотя, казалось бы), неумение четко и кратко доносить свою мысль, а самое главное, - нежелание встать на место слушающего. Рассказать "почему я такой крутой" может быть и можно научиться, а вот рассказать "зачем я вам таким крутым" - мало у кого получается... Зато квантово-имунная система защиты данных на базе ИИ следующего поколения у каждого второго 🤦‍♂️

Читать полностью…

Пост Лукацкого

Проблемы с американской базой уязвимостей NVD продолжаются. NIST пытается их как-то решить, но пока получается не очень. Руки доходят 👻 только до критических уязвимостей и то не всех. При этом балканизация Интернет усиливается и NVD уже не может считаться единым для всех источников уязвимостей (хотя когда он считался?). Российских 🇷🇺 продуктов там нет и вряд ли уже будет. Китайских 🇨🇳 тоже. Да и с CVE тоже свои сложности - он присваивается далеко не всем даже забугорщиной.

В итоге возникает закономерный вопрос - а что делать? Про это тоже попробуем поговорить на PHD2 с представителями разработчиков сканеров безопасности, вендоров, БДУ ФСТЭК... А пока вопрос не решился хотя с трендовыми уязвимостями стоит разобраться и выстроить процесс их обнаружения и устранения. Потом можно и к ежечасно обновляемому списку опасных уязвимостей перейти, а потом уже и дальше...

Читать полностью…

Пост Лукацкого

В японской 🇯🇵 префектуре Фукуи полиция придумала нестандартный ход - они стали размещать в магазинах платежные карты «Удаление вируса/троянского коня» и «Неоплаченный выкуп» («Virus/Trojan horse removal fee payment card» и «Unpaid charges/delinquent charges payment card»), выявляя тем самым… нет не кибермошенников, а их жертв 💡

Когда кто-то покупает 🛒 такую карту, полиция сразу уведомляется. Пишут, что таким образом спасли несколько пожилых 🍜 японцев, которые чуть не стали жертвами вымогателей.

Данных по эффективности этого метода нет, но полицейские, придумавшие его, получили повышение 🫡 Наши полицейские тоже на выдумки сильны!

Читать полностью…

Пост Лукацкого

🆕 23 апреля, не нарушая традиций, MITRE выпустила новое обновление матрицы ATT&CK, сфокусировавшись на том, что нужно обнаруживать и как это сделать наиболее эффективно. С точки зрения цифр, было добавлено 12 техник в Enterprise-матрицу, 5 - в "мобильную" версию и 2 - в версию для АСУ ТП, а также 34 новых вредоносов (29 для корпоративной и 5 для мобилок), 13 новых группировок 👨‍👨‍👦‍👦 (7, 5 и 1 соответственно) и 9 новых хакерских кампаний. Всего в 15-ю версию MITRE ATT&CK теперь включено 14 техник (по 12 для мобильной и АСУ ТП версий), 368 техник, 481 подтехника (в 16-й версии добавят подтехники и для АСУ ТП версии), 152 группировки, 794 вредоноса и 30 кампаний. Добавления были и российских компаний, но без их упоминания (геополитика-с) 🔢

Следуя трендам были добавлены новые техники, связанные с компрометацией сетевых устройств (T1584.008), Fortinet, привет, а также с применением искусственного интеллекта 🧠 (T1588.007). Множество техник было модифицировано под влиянием новых кейсов, зафиксированных за последнее время (особенно в контексте взломов облаков).

В отличие от прошлой версии, в которую добавили псевдокод, демонстрирующий способ описание детекта техники, в новой версии от него отказались, посчитав достаточно сложным для восприятия. Но сама идея была правильная, поэтому в 15-й версии псевдокод поменяли на язык запросов, схожий со Splunk'овским.

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688" )
( (CommandLine="reg" CommandLine="add" CommandLine="/d" ) OR ((CommandLine="Set-ItemProperty" OR CommandLine="New-ItemProperty") AND CommandLine="-value" )) CommandLine=" Microsoft \Windows NI\CurrentVersion|Winlogon" (CommandLine="Userinit" OR CommandIine="Shell" OR CommandLine="Notify")

Читать полностью…

Пост Лукацкого

⚠️ Dropbox уведомил Комиссию по ценным бумагам об инциденте с сервисом Dropbox Sign.

Но, что странно, Dropbox пишет, что неизвестные хакеры 👨‍💻 получили доступ к e-mails, именам пользователей, настройкам учетных записей, а также, в ряде случаев, к хэшированным паролям, номерам телефонов, ключам API, токенам OAuth и MFA. И при этом Dropbox уверяет, что доступа к данным пользователей нет 🤔

Имея такой «фулхаус» 🃏 на руках и не воспользоваться? Врут, небось, и готовят аудиторию к следующему анонсу?.. 🔈

Но прямо сейчас я пойду и поменяю не только пароль 💡 от Dropbox, в день пароля-то, но и отозву все токены аутентификации (ими можно пользоваться даже при измененном пароле).

Читать полностью…

Пост Лукацкого

Зеленский уволил главу кибербеза СБУ Илью Витюка, которого он же месяц назад наградил погонами бригадного генерала

Читать полностью…

Пост Лукацкого

Шутка за 100 для тех, кто еще помнит эти имена 😂

ЗЫ. На сайте McAfee, кстати, из раздела Executive Team убрали данные по их гендиректору, Грегу Джонсону. Опять меняют?

ЗЗЫ. Главное, не путаться в разных McAfee, которые теперь McAfee (консьюмерские продукты), Trellix (слияние McAfee Enterprise и Fireeye) и SkyHigh (слияние SkyHigh и McAfee SSE) 😦

Читать полностью…

Пост Лукацкого

Мир
Труд
Май
Кибербез


Подготовили мотивирующие плакаты в советской стилистике с важными советами по кибергигиене.

🔮 Листайте карточки, ностальгируйте и пишите в комментариях, какие еще советы можно перенести на советский плакат. 

💫 Все плакаты можно не только репостнуть и отправить друзьям, но и скачать в высоком разрешении и повесить у себя в офисе.

🏠 Подписаться на Кибердом & Бизнес

Читать полностью…

Пост Лукацкого

Новая схема от мошенников с сопредельной стороны (прислана подписчицей, за что ей спасибо!). Обзванивают 📞 бывших сотрудников (начиная с гендиректоров и бухгалтеров, данные по которым открыто лежат в ЕГРЮЛ) компаний с иностранным участием и, прикрываясь службой в правоохранительных органах и стращая уголовными делами 👮 по иноагентским статьям и госизменой, требуют всякого, например, бухгалтерские документы.

Так что, если вы еще недавно числились в какой-нибудь такой фирме, то будьте готовы к соответствующим звонкам 📞 и сообщениям. Как модификация схемы, может прилететь сообщение от вашего "бывшего генерального директора", который будет запрашивать разное, якобы в рамках следственных действий, или просить оказать содействие 🆘

ЗЫ. То же легко пробивается через соцсети (LinkedIn, Facebook, VK и иже с ними).

Читать полностью…

Пост Лукацкого

21 год тюрьмы получил специалист по кибербезопасности АНБ за шпионаж в пользу России 🇷🇺 За 85 тысяч долларов он слил (и пообещал слить еще) несколько совершенно секретных документов агентам ФБР, выдавшим себя за сотрудников российских спецслужб 👀

А если бы они себя выдавали за агентов 🗿 Гондураса, он тоже бы сливал данные? Может ему вовсе неважно было, кому сливать украденные файлы? А с другой стороны, зачем Гондурасу секретные документы 🤫 АНБ?

Читать полностью…

Пост Лукацкого

Как работает DDoS ;-)

Читать полностью…

Пост Лукацкого

Интересное название у очередного шифровальщика - Псоглав 🐺

Иностранные исследователи пишут, что это слово из славянских языков, как бы намекая в очередной раз на Россию. Как по мне, так намек странный, - Псоглав - это слово из сербского (в хорватском или словенском языках окончания немного иные - psoglavac и psoglavec соответственно) и означает чудовище с головой собаки или волка и телом человека 🚶‍♂️

Вроде и «браться-славяне», но точно не Россия, где аналогичного демона в явном виде нет (кроме хоть как-то близкого «Полкана»). Но если написать ✍️ про потенциальное авторство Боснии и Герцеговины или Монтенегро, то это уже не так интересно; они же часть «правильной» Европы. Хорошо что пока не связали с релокацией многих русских в Сербию…

Читать полностью…

Пост Лукацкого

АНБ обновило набор национальных криптографических 🤒 стандартов (Commercial National Security Algorithm Suite 2.0, CNSA 2.0), распространив обновления на операторов и владельцев национальной системы безопасности (NSS) и военных (DIB) в обязательном порядке (остальные могут применять их по своему желанию). Изменения связаны с включением в CNSA 2.0 новых, квантово-устойчивых алгоритмов ⚛️

Читать полностью…

Пост Лукацкого

Хорошая попытка зафишить спикеров RSA Conference ✉️

Читать полностью…

Пост Лукацкого

Возвращаясь к позавчерашней статистике Mandiant, есть и другие цифры; на этот раз от PaloAlto Unit42. У этой компании на первое место в числе причин успешных атак выходит социальный инжиниринг, включая фишинг (42%). На втором месте - использование уязвимостей (31%), на третьем, с 15%, - компрометация учетных данных 🗡

А вот шифровальщики, по данным Unit42, в основном использовали эксплойты (48%) и подбор пароля (20%); последний преимущественный для RDP, который использовался в 40% всех заражений ВПО 🔓 VPN-шлюзы тоже в прицеле - в 50% на смотрящих в Интернет криптошлюзах почему-то отсутствовала многофакторная аутентификация, что вкупе с подбором пароля представляет открытые ворота для злоумышленников 🥅

Уходя на майские праздники, можете ли вы положительно ответить на следующие вопросы:
✔️ Вы уверены, что ваш корпоративный почтовый сервер готов к тому, что когда хакеры постучатся в него "тук-тук" (knock-knock), он сможет противостоять им? PT Knockin вам в помощь.
✔️ Вы уверены, что у вас выстроен процесс поиска и устранения хотя бы публичных торчащих уязвимостей, а также анализа незакрытых портов и сервисов? СКИПА от CybeOK или Censys и Shodan вам в помощь.
✔️ Вы уверены, что отслеживаете утекшие пароли ваших сотрудников. Сервис НКЦКИ вам в помощь.
✔️ Вы уверены, что у вас пропатчен RDP и он пробрасывается через VPN?
✔️ Вы уверены, что у вас включена MFA на доступных извне сервисах доступа внутрь инфраструктуры (VPN, RDP, SSH и т.п.)?

Читать полностью…

Пост Лукацкого

В Даркнете продается доступ к админским панелям 3000 (!) Fortinet’ов, скорее всего с непатченными уязвимостями в SSL VPN, и позволившими получить несанкционированный доступ. Причем уже не в первый раз Fortinet оправдывает свое неформальное название «форточки», через которые хакеры пролезают внутрь инфраструктуры. Так они скоро подвинут Ivanti с пьедестала (сейчас они на втором месте по числу активно эксплуатируемых уязвимостей).

- Вы еще не поменяли чужестраный NGFW?
- Тогда хакеры идут к вам (если уже не пришли)

Читать полностью…

Пост Лукацкого

Запись эфира подкаста "Безопасно говоря" от Яндекс.Облака про безопасность в облаках 🌩, в котором мне довелось поучаствовать и где меня и Муслима Меджлумова назвали мастодонтами рынка ИБ 🦣

Читать полностью…

Пост Лукацкого

Наконец, MITRE завершает поддержку TAXII 2.0, переходя на 2.1, что позволит расширить возможности ATT&CK Navigator и Workbench (для описания собственных компонентов, отсутствующих в оригинальной матрице). Из других планов:
1️⃣ Расширения числа техник для Linux и macOS
2️⃣ Фокусировка на облаках и контейнерах
3️⃣ Сдвиг в сторону описания логики обнаружения в формат, приближенный к современным SIEM
4️⃣ Появление подтехник для АСУ ТП версии матрицы
5️⃣ ATT&CK Navigator, Workbench и сам сайт будут переработаны для большего удобства и эффективной работы с группировками, вредоносами и кампаниями
6️⃣ Планируется развитие сообщества ATT&CK в Европе и Азии
7️⃣ Пересмотр подхода к описанию мер отражения атак, чтобы он был более практичным и применим различными средствами защиты за счет описания не только в формате Splunk, но и за счет добавления конкретных идентификаторов событий, например, для платформы, Windows.

Читать полностью…

Пост Лукацкого

Я уже писал о том, как была представлена тема искусственного интеллекта в ИБ на прошедшей в Дубае GISEC, а теперь и небольшое смонтированное мной видео подоспело 🧠 Режиссер и монтажер из меня такой себе, но настроение, надеюсь, передал!

Читать полностью…

Пост Лукацкого

Ну что, с международным днем пароля вас! 🎆 Порадуйте себя сегодня новой сложно угадываемой, но легко запоминающейся комбинацией! 💻

Читать полностью…

Пост Лукацкого

ЛАНИТ, IBS IT Services, IBS Infinisoft, IBS Soft, IBS Expertise, ГК "Астра", Secret Technologies, Aladdin RD, Центр кибербезопасности (Cybersecurity Center), РАМЭК-ВС, К-Технологии... Вот новый список компаний, имеющих отношение к ИБ, кто попал под очередной пакет американских санкций 🫵

Читать полностью…

Пост Лукацкого

Я обычно не пишу про хакерские взломы компаний, так как их число очень велико и ежедневно набирается с десяток только публичных кейсов, не говоря уже о непубличных 👨‍💻 Но всегда бывают исключения - либо инцидент имеет некие существенные последствия для бизнеса (как с UnitedHealth Group), либо сам кейс достаточно интересен. Вот это как раз такой случай - группировка SiegedSec взломала баптистскую церковь Вестборо, религиозную организацию, известную своей непримиримой анти-ЛГБТ позицией ⛪️, как и говорится в Евангелии ☝️

SigedSec выкрала базу данных церкви, исходные коды сайта, а также приватные данные, обещая выложить все это в паблик. Попутно SiegedSec призвала делиться с ней информацией об всех гомофобных организациях, выступающих против людей определенной ориентации или принадлежащих к определенным меньшинствам. Так что ждем новых взломов от SiegedSec

Ничего святого у хакеров нет! ⚡️ Эта фраза в данном случае имеет двойной смысл - и прямой, и переносный. После множества взломов больниц и госпиталей, школ и детских садов, хакеры добрались и до церквей (а там даже бессмертные из "Горца" никогда не дрались на мечах и вампиры боялись заходить на освященную землю). Так что любые попытки провести черту между тем, что можно атаковать и что нет, провалились 👿

⚠️ На картинке, дорожка состоит не из шести и даже не из семи, а из восьми цветов. Никакой пропаганды и даже намека на нее 😈

Читать полностью…

Пост Лукацкого

Формирование хакерских группировок в альянсы - уже не новость. Но вот объединение российских 🇷🇺 и китайских 🇨🇳 неожиданно…

Читать полностью…

Пост Лукацкого

На GISEC опять несколько рекордов для книги Гиннесса поставили:
🥇 Крупнейший урок повышения осведомленности по Интернету вещей - 293 человека (если бы я свои вебинары называл уроками повышения осведомленности, то я бы давно уже рекордсменом Гиннесса стал)
🥇 Наибольшее число национальностей (104), участвовавших в уроке повышения осведомленности по Интернету вещей
🥇 Наибольшее число национальностей в геймифицированном тренинге по кибербезу.

Жаль, что представители Книги рекордов Гиннесса на PHD2 не приедут - мы бы им показали, у кого больше… национальностей 💪 К слову, в России их 190, а на PHD2 будут не только граждане России... 🤝

Читать полностью…

Пост Лукацкого

В Великобритании 🇬🇧 заработал закон, который устанавливает минимальные требования по безопасности к устройствам, продаваемым гражданам в UK. Согласно этому закону, названному Product Security and Telecommunications Infrastructure Act (PSTI), вендора несут ответственность до 10 миллионов фунтов 💸 или 4% от годового оборота за использование легко угадываемых паролей или паролей, заданных по умолчанию, а также несвоевременное обновление выявленных уязвимостей.

Интересные последствия могут наступить. Вендора либо откажутся от поставок в UK своих незащищенных по английским требованиям товаров, включая автомобили (как в кейсе с Volkswagen) и холодильники, маршрутизаторы и ☎️ смартфоны (вообще любое Iot-устройство), либо будут внедрять защитные меры повсюду, что положительно скажется на безопасности и отрицательно на ценах 🤔

ЗЫ. Кстати, в Топ10 паролей в Англии, помимо нестареющей классики в виде 123456, входят также liverpool, chelsea и arsenal ⚽️ У нас в списке 10 самых популярных паролей ни зенита, ни спартака, ни цска. Зато есть марины и наташи 😂

Читать полностью…

Пост Лукацкого

10-я версия интерфейса управления ПО, которое генерит спам, разработанное северокорейской группировкой Kimsuky, мало чем отличается от интерфейсов генераторов вирусов 90-х годов. С - Стабильность

Читать полностью…

Пост Лукацкого

В России аббревиатура CISO часто звучит как «ЦИ-СО» или «СИ-СО». Интересно, что в ОАЭ 🇦🇪 это звучит как «СИ-ЗО».

Читать полностью…

Пост Лукацкого

Можно было бы опять написать про выбор правильной модели нарушителя, а можно и про правильную настройку 🛠пороговых значений у средств мониторинга… А можно просто радоваться жизни 😂 и продолжать готовиться к PHD2

Читать полностью…

Пост Лукацкого

Странные люди в этой Okta работают. Их ломали 4 раза уже 🔓, но при этом они выкладывают в паблик презентации с пометкой CONFIDENTIAL. Но не забывают запилить целый слайд мелким шрифтом с отказом от ответственности и остальным бла-бла-бла... Какое-то странное отношение к кибербезопасности 😠

Читать полностью…

Пост Лукацкого

Помните, в ФЗ-152, в ст.19, есть требование, что ПДн должны быть защищены от несанкционированного уничтожения, модификации, распространения, доступа и т.п. И все защитные меры, описанные в ПП-1119 и в 21-м приказе, не делают большой разницы между ними. А вот согласно исследованию CrashPlan и SANS, эта разница существует:
1️⃣ В случае утечки данных основной риск (в широком смысле) является репутационным для почти всех типов защищаемых данных, не только персональных (финансовых, интеллектуальной собственности, технических и т.п.)
2️⃣ Операционный риск является основным при уничтожении или модификации данных.
3️⃣ Риск нарушения законодательства во всех случаях играет несущественную роль.

Последний вывод, наверное, самый важный. Я не призываю нарушать законодательство, но оно точно играет самую последнюю роль при принятии решений в отношении защиты ценной для организации информации.

Читать полностью…
Подписаться на канал