Интересно встретить в SOC бестиарий Лавкрафта. Захотелось даже сделать в таком же стиле бестиарий с APT-группировками 🤔
ЗЫ. Фоткнул у нас в 🟥 ESC
Я начинал свою карьеру (тогда это слово не было так модно) в ИБ как разработчик СКЗИ. Писал на асме, паскале, си, ооп, все дела... Потом жизнь ИБшная свернула в другую сторону и я стал далек от программирования. Но вот некоторое время назад вновь погрузился в разработку. Причем не просто в DevOps или SecDevOps, а в реальный кодинг. И причина банальна - оказалось, что я теряю немалое количество времени на сон, а его можно было бы занять чем-то продуктивным; даже те 5-6 часов сна, что у меня в среднем выходит. Я подумал, что надо это время заставить компьютер заняться обработкой огромных архивов моего видео (не home), трансляцией его в текст, чтобы у меня был материал для выкладывания в блог, в канал, в статьи, на Хабр (давно туда не писал) и т.п. И чтобы не платить кучу бабла за всякие ИИ-сервисы, поставил себе на комп библиотеки для перевода голоса в текст, расстановки знаков препинания и т.п. Ну а для автоматизации этого всего нужны различные программерские тулзы, скриптики, встраивание в локальный портал и все такое.
К чему такое предисловие? Не к тому, что ИБшник без навыков программирования хотя бы простеньких и рутинных задач скоро будет выброшен на задворки истории и его заменит ИИ, о чем я говорил в недавно выпущенном для выпускников мини-курсе у себя в онлайг-школе. А к тому, что за 30 лет ситуация в программировании поменялась; местами сильно. Приходится по сути заново изучать то, что я забросил дестилетия назад, взламывать свой мозг, заставляя его не просто складывать буквы в слова, а их в предложения (это уже на автомате получается), а решать какие-то инженерные задачки, отлаживать коды, искать взаимозависимости и почему они не срабатывают, отслеживать версионность софта и библиотек, разбираться почему твой "гениальный код" не работает. Ну и не забывать про ИБ этой всей инфраструктуры, а то постоянные завязки на Git, подгрузки с него чужих библиотек и т.п. малость напрягают мою профдеформацию 🙂
А тут еще и проблемы возникли. Раньше, как сейчас помню, был у тебя 286-й Пентиум и тебе его хватало для всех задач - и покодить на каком-нибудь Delphi, не говоря уже об ASMе, и в "Принца Персии" или Scorch поиграть, и на Lexicon курсовую забацать. А сейчас компа на 16 ГБ оперативки с трудом хватает на обработку голосовых файлов. Поэтому думаю уже о том, что пора купленный и доставленный за несколько дней до начала СВО NAS на 32 ТБ задействовать не только под сторадж контента, но и под собственный стенд разработки, развернуть в нем докер и запускать ИИ-софтины там - пусть круглосуточно молотит и сдает мне готовый результат. И это тоже интересная задача с точки зрения ИБ 🙂 Одно дело - рассказывать КАК правильно и совсем другое - делать это на практике 🙂 Это как с собственным сайтом. Одно дело - говорить, что безопасность стоит дорого, но она того стоит, и совсем другое дело - тратить собственные деньги на защиту онлайн-ресурса, вкладывая их в различные плагины по поиску уязвимостей, вредоносов, MFA и т.п. Особенно в 🟥, где классные пентестеры и тебе говорят, что если есть web-приложение, то в нем гарантировано есть RCE и они ее найдут. А значит могут найти и другие; уже не наши ребята. И значит надо серьезно думать, оставлять NAS работать в локальном режиме или все-таки организовать к нему удаленный доступ? А это требует проработки архитектуры ИБ, оценки угроз и недопустимых для меня событий, выбора решений, сбалансированных по цене и функционалу, и вот это всё.
Но, блин, интересно. Прям вторая жизнь в ИБ начинается :-)
Кстати, вы в курсе, что защищенность продукта определяется не числом уязвимостей в нем, а скоростью и выстроенным процессом их устранения? Конечно, совсем доводить до абсурда не стоит, но все-таки, при большом числе продуктов, тысячах разрабов, десятках и сотнях миллионов строк кода, не бывает так, чтобы уязвимостей не было. К чему это я? К тому что и ИБ-компании ломают. Только в России их за последние полгода сломали раз 5, а уж в мире и того больше - я веду базу таких инцидентов и за 20 лет там накопилось немало интересных кейсов. Регуляторов по ИБ ломают, конечно, реже, но чем они хуже? Их тоже могут сломать. И вопрос не в том, могут или нет, а в том - как они реагируют на взлом.
Вот угнали у вас базы с ПДн, сертификаты ключей электронной подписи, данные личных кабинетов, переписку и т.п. Неприятно? Безусловно. Но можно засунуть голову в песок и обвинять во всем всех, кроме себя. А можно признать вину, провести расследование, рассказать о нем публично (почему нет?) и извлечь уроки. И это сыграет только на руку регулятору - все поймут, что да, и на старуху бывает проруха, но регулятор признает проблему и пытается ее решить. "Повинную голову меч не сечет"... Каждый выбирает для себя. Пока у нас регуляторы не начнут вести себя достойно с теми, кого они регулируют, никакого нормального отношения к ним не будет. Увы...
Хорошая тема 🙂 Я бы тоже в процессе преподавания использовал ChatGPT, так как он сильно облегчает и ускоряет процесс обучения. Но жаль, что россиянам, без ухищрений с виртуальными SIM-картами, история с продуктами OpenAI недоступна 🙁
Читать полностью…Прогрессивная общественность задается вопросом - а будет ли сертифицироваться ScanOVAL от ФСТЭК? И я даже не знаю, как ответить на этот сакраментальный вопрос. Как «любитель» бумажной ИБ, я понимаю его правомерность. Нельзя в госухе использовать несертифицированные средства, даже если они разработаны под эгидой ФСТЭК и распространяются с его сайта.
Но как проповедник результативной ИБ не могу не сказать, что регулятор помогает сделать мир безопаснее и это главнее отсутствующих на спасение мира индульгенций.
Вчера был выложен проект Указа Президента "Об утверждении Положения о государственной системе защиты информации в Российской Федерации", о котором я упоминал уже более полугода назад и который может внести определенные коррективы в построение системы ИБ на многих предприятий в 2023-м году. В новой заметке я хотел бы тезисно подсветить то, что мне запомнилось в этом проекте больше всего. И хотя это пока проект и в него еще могут быть внесены коррективы, могу сказать, что на мой взгляд финальная версия будет не сильно отличаться от того, что выложено на regulations.
Читать полностью…"Игры престолов" не могли обойти вниманием при создании постеров повышения осведомленности ИБ
Читать полностью…Вот интересно, как можно к 30 декабря 2022-го года провести ряд мероприятий, список которых был утвержден 30-го же декабря?!
Читать полностью…Прошлой весной меня пригласили в Иннополис для выступления перед студентами, которым мне хотелось рассказать о том, что может быть интересно работодателям от специалистов по ИБ и насколько выпускники российских ВУЗов соответствуют этим требованиям. Очевидно, что мой рассказ был с одной стороны субъективен, но с другой — базировался на опыте; опыте выступления в разных ВУЗах, опыте участия в подготовке ФГОСов, опыте общения с выпускниками, опыте общения с работодателями и изучения резюме, которые проходили и проходят через мои руки. Все это я попробовал тогда изложить в двухчасовой презентации, а на выходных я в итоге записал трехчасовой мини-курс и выложил его у себя в онлайн-школе.
Читать полностью…Тут Алексей Лукацкий приводит в пример использование ChatGPT для поиска уязвимостей и задается вопросом о нужности пентестеров — специалистов, которые сегодня за большие деньги эти уязвимости ищут.
И как всегда провоцирует на размышления — я вот с другой стороны зайду, со стороны плохишей в черных шляпах:
1. Как скоро поиск уязвимостей станет сервисом-коммодити в хакерском сообществе за 10$ руками умельцев, которые могут формировать правильные запросы к ИИ?
Как скоро взлом систем сведется к командам:> Exploit critical vulns at company X (эксплуатируй критические уязвимости в компании Х)
> Upload data to pastebin (выгрузи данные в паблик)
> Get emails of top-10 executives at Company X (получи список емейлов топов)
> Send them a ransom note with my monero address (отправь им емейл с вымогательством и моим криптовалютным кошельком)
2. Как скоро взлом станет именно таким, как он показан в хакерских голливудских фильмах?> hack company X
… hacking …
> access granted!
3. Как скоро регуляторы всего мира запретят ИИ смотреть в чужие домены и как это будет реализовано?
@alukatsky, пора придумывать новый термин для нового поколения script kiddie!
Скайнет может нам пока и не грозит, но конкуренция у некоторых ИБшников будет нехилая.
Хочется на PHDays эту тему покрутить, если получится…
Последний пост навеян увиденным инвайтом на наш митап в Нижнем Новгороде, где можно совместить ИБ и разработку. Если будет у меня время, то хотел бы попасть на него для более быстрого погружения в тему и актуализации знаний. А то самообразовываться по мануалам можно, но сила комьюнити дает результат быстрее.
ЗЫ. Если на программерских форумах увидите ламерские вопросы, связанные с ИБ и подписанные «Седой бородатый джун», знайте, это я ;-)
Иногда мне кажется, что многие ИБшники специально не внедряют средства автоматизации, чтобы показывать свою нужность и незаменимость. А ведь могли бы заняться тем, что еще не автоматизировано. Таких творческих задач существует в ИБ немало и все они не только интересны, но и лучше оплачиваются.
Но нет, мы продолжаем жрать кактус рутинной ручной работы, чтобы все думали, что без нас не справятся. Но ведь в руководстве компаний тоже сидят не идиоты и они тоже могут, в том числе и на фоне шумихи про ChatGPT, начать задавать вопросы о том, почему мы еще не автоматизировали ту или иную ИБ-задачу? И надо быть готовым к ответу на этот вопрос. Иначе этот ответ найдут за нас и нам он может не понравиться 😫
ЗЫ. Последний раз сидел за ручной коробкой пару десятков лет назад, когда сдавал на права. Сейчас уже и не вспомню ни фига 🚘 и угнать тоже 😂
ChatGPT для образования
Интересная заметка к дискуссии о вариантах использования ChatGPT в сфере ИБ. Томас Рид рассказывает, как Хуан Андре Герреро-Сааде провёл курс по Malware Analysis and Reverse Engineering в Alperovitch Institute. Это исследовательский институт при School of Advanced International Studies Университета Джонса Хопкинса, основанный пару лет назад при поддержке Дмитрия Альперовича. Основная аудитория — исследователи, студенты и преподаватели, занимающиеся международными исследованиями, без серьёзных технических навыков.
ChatGPT использовался как раз для того, чтобы упростить им освоение материала. Слушателей пятидневного курса заранее попросили зарегистрировать аккаунты в OpenAI, большинство получило их к началу занятий.
Во-первых, чат-бот использовался для «глупых вопросов» — точнее вопросов, очевидных лектору, но не всем слушателям.
Во-вторых, с его помощью можно было уточнять значение тех или иных терминов (“What’s an ‘offset’ in a binary file?” “What is an embedded resource in malware?”), не отвлекая лектора. Как пишет Рид, раньше можно было потратить несколько минут для поиска в Google, но ChatGPT выдаёт ответы на 5-15 секунд. «Такая быстрота ответов оказалась крайне важной на прошлой неделе, потому что мы могли следить за преподавателем в режиме реального времени, читая объяснения ChatGPT о встроенных ресурсах и одновременно слушая Хуана Андреса, рассказывающего о том же самом». Это в свою очередь повысило и эффективность лектора. Использование чата помогло сгладить разный уровень технических компетенций между слушателями курса.
В-третьих, чат-бот помогал студентам понимать код, отвечая на вопросы вроде: «Что делает этот кусок кода?»
Наконец, чат-бот помогал слушателям писать код.
Рид также пишет о недостатках ChatGPT: он не очень точен, придумывает фейковые имена в ответ на вопрос об обзоре литературы, некоторые его знания, в том числе в части кода устарели (модель во временном плане ограничена 2021 годом). «Не просите его объяснить криптонимы. Не доверяйте рекомендациям книг. Он может галлюцинировать. Он будет делать ошибки. Он будет показывать тем более низкие результаты, чем ближе вы будете подходить к границе человеческого знания. Он оказывается слабым в некоторых технических вопросах. Некоторые из этих ограничений будут преодолены в следующих версиях, другие — нет».
Но в целом Рид, скептик хайпа вокруг искусственного интеллекта, остался под большим впечатлением от использования ChatGPT и убеждён, что подобные чат-боты трансформируют высшее образование.
Интересный проект. Вы создаете фейковую, но неотличимую от настоящей, кредитку (кто сказал ханипот?) и помещаете ее где нужно (почта, браузер, заметки…). А потом вам остается только ждать, когда прилетит уведомление, что кто-то воспользовался вашей картой 🤑, что и будет признаком компрометации. Вам, при этом, прилетит уведомление, - самому ничего мониторить не надо.
Читать полностью…ФСТЭК продолжает свою деятельность на пути повышения защищенности российских организаций. На прошлой неделе на сайте регулятора был опубликован методический документ «Рекомендации по обеспечению безопасной настройки операционных систем Linux», который является "обязательным" для ГИС и ЗОКИИ. Документ распространяется на настройку несертифицированных ОС (всякие Debian, Ubuntu, CentOS, openSUSE и т.д.) "до их замены на сертифицированные отечественные операционные системы". Для отечественных сертифицированных ОС надо руководствоваться документацией разработчиков, которые обязаны включать в нее разделы по безопасной настройке.
Помимо этого, ФСТЭК разработала бесплатный инструмент ScanOVAL для Linux (сейчас проводится опытная эксплуатация), который предназначена для оперативного автоматизированного обнаружения уязвимостей программного обеспечения на рабочих станциях и серверах, функционирующих под управлением операционных систем семейства Linux, а именно Astra Linux SE, Альт и РОСА "Кобальт". Данный инструмент работает только локально.
Также, технологический центр исследования безопасности ядра Linux, созданный на базе ИСП РАН под эгидой ФСТЭК, имеет свои рекомендации по безопасному использованию ядра Linux, а также рекомендует бесплатный open source инструмент kconfig-hardened-check, разработанный Александром Поповым из 🟥, который позволяет проверить вашу конфигурацию ядра и получить отчёт о том, какие рекомендации по безопасности выполнены, а какие нет.
Все это бесплатно и позволяет обеспечить безопасную среду на базе Linux, о которой говорится в проекте Указа, который я рассмотрел утром.
Фейк или нет? Если да, то интересна реакция регулятора ИБ, который меньше чем за полгода второй раз сталкивается с компрометацией и утечкой. Опять сошлются на то, что это не у них и вообще вся информация публичная?
Если нет, то кому РКН должен сообщать об утечке из РКН и как отреагирует Минцифры на косяк своей «дочки»? А, кстати, кто мониторит ИБ РКН?
ЗЫ. Мы, кстати, сейчас пишем руководство по тому, как общаться с внешним миром в случае утечки.
Думаю, еще три поста с примерами постеров и день повышения осведомленности будем считать завершенным 🧑🎓
Читать полностью…А тут примеры повышения осведомленности ИБ вокруг сформированной поп-культуры (в данном случае американской)
Читать полностью…А вот в этом случае для повышения осведомленности по вопросам ИБ обыгрываются популярные фильмы - "Звездные войны", "Челюсти", "Чужой", "Семь" и т.п.
Читать полностью…Когда создаются постеры и иной контент в рамках повышения осведомленности персонала по вопросам ИБ, то можно их реализовывать, опираясь как на особенности самой организации, так и на окружающий мир, текущие события и т.п. В данном случае постеры построены вокруг собачьей темы
Читать полностью…Если отбросить в сторону false flag, то видя такие артефакты прям сам напрашивается вывод об атрибуции и кто стоит за Maze :-)
Читать полностью…"Утечки не было!". "Она старая!". "И вообще это не у нас!". Никакой фантазии у тех, у кого утекло. Вот как надо реагировать на утечку ;-)
ЗЫ. Если кого-то задевает некоторый сексизм в отдельных шутках и мемасиках... ну, извините. Я тоже не совершенен :-)