Я настолько старый умудренный опытом еврей 🧙♀️, что все «новые» и «уникальные» инициативы по ИБ уже видел за последние 30 лет 🔞 и где-то даже принимал участие ;-) Тем интереснее наблюдать со стороны на уже заранее понятные грабли. А где-то интересно попробовать сделать то, что не получилось в прошлый раз
Ну и еще один гвоздь в крышку гроба прайваси. Разработчики Fedora Linux решили превратить свою ОС в Windows за счет включения в очередной релиз функции слива передачи телеметрии с ПК под управлением Linux на сервера в Америку. «Для улучшения качества обслуживания», конечно же. То, что можно было ждать от Microsoft, Apple и иже с ними, произошло со стороны тех, от кого не ждали 🤦♀️
Государство решило обновить свое законодательство по защите детей и вводит новую норму - сервис на базе искусственного интеллекта будет сканировать каждое сообщение в чатах и email на предмет поиска признаков насилия, домогательств и других преступлений в отношении детей.
Если вы думали, что речь идет о России, то вы ошиблись, - у нас до этого пока не дошли. Речь о Евросоюзе и их новом Child Sexual Abuse Regulation (CSA). Да, у нас есть «закон Яровой», но он больше про хранение, чем про анализ.
Так что, когда вы слышите разговоры о полицейском государстве, нарушении прав на тайну переписки и т.п., уточняйте, оппонент говорит про Россию 🇷🇺 или Евросоюз 🇪🇺.
Ну а там, где сканируют всю переписку на тему сексуальных домогательств, недалеко и до расширения списка тематик. И никто ведь не узнает ☹️
Выступал на днях по приглашению одной уважаемой компании с рассказом о будущем киберугроз на горизонте до 2030 года. Интересно получилось. Кванты, биотехнологии, 3D-печать, Web3, автономный транспорт, а также угрозы от краудсорсинга, новых языков программирования и supply chain из стран третьего мира и многое, многое другое... Если сложить это с секцией "Угрозы 2030. Что может стать недопустимым?" на PHDays 12, то и чуть более целостная картина может сложиться по тому, к чему стоит готовиться, держа руку на пульсе, или держать в голове, пока не педалируя тему.
Ну а поскольку все эти новые угрозы плюсуются к существующим инфраструктурным, которые только становятся масштабнее, скоростнее, разрушительнее, придется лучше и определять актуальное для себя, и фокусироваться на главном, и использовать разные стратегии, не всегда очевидные, по защите. Бюджет-то не резиновый - на каждую новую угрозу не купишь очередную игрушку.
Если бы не «Радужная серия» по кибербезу от американцев, мы бы, возможно, и не узнали, что такое бумажная безопасность и занимались бы только практической и результативной ИБ. Весь вред от американцев…
Читать полностью…Я немало пишу про мероприятия ИБ, имея мечту, чтобы все такие евенты не гнали джинсу и не рассказывали про «лопаты». Но так как мечта мечтой, но и надо что-то делать, на Kaspersky Cyber Camp, после нетворкинга, родилась идея разработки особой награды для спикеров, несущих всякий булшит. Ну а что? «Золотая малина» есть? Есть. «Bad sex in Fiction Award» есть? Да. Turnip Award тоже есть. Почему бы не быть еще и Security FallOS Award? Надо на следующем PHDays такое замутить (если такую смелость мне позволят провернуть, но надеюсь коллеги поддержат начинание)… Из чугуна или эбонита! Пусть хоть такое прилюдное признание заслуг заставит людей готовиться лучше!
Читать полностью…Второй виток интереса к теме страхования информационных рисков случился в 2003-м, когда возникла тема с законопроектом об обязательной гражданской ответственности государственных информационных систем. В трехглавый закон «Об информации, информатизации и защите информации» планировали внести новую статью 22.1 «Страхование информационных ресурсов, систем, технологий и средств их обеспечения» с всего двумя пунктами :
1️⃣ Государственные информационные ресурсы, системы, технологии и средства их обеспечения подлежат обязательному страхованию. Порядок и условия страхования определяются законодательством Российской Федерации.
2️⃣ Негосударственные информационные ресурсы, системы, технологии и средства их обеспечения страхуются в порядке, установленном законодательством Российской Федерации.
Позже планировалось разработать отдельный закон «Об обязательном и добровольном страховании информационных рисков», а также внести ряд поправок в нормативно-правовые акты по страхованию, банковской деятельности и т.п. Но уже тогда стало понятно, что тема со страхованием информационных рисков (тем более обязательном) красиво смотрится на бумаге, но сложна в практической реализации. Не было общепринятых методик оценки рисков, методик оценки стоимости информации, накопленной статистики инцидентов ИБ по отраслям. Их отсутствие было основным камнем преткновения в страховых расчетах, которые бы принимались всеми сторонами.
А АНБ и CISA не дремлют и помимо отбивания обвинений в цензуре и нарушении права граждан на свободу слова все строчат и строчат новые рекомендации и методички. На этот раз выпущен документ “Defending Continuous Integration/Continuous Delivery (CI/CD) Environments”, который, как видно из названия, описывает практики внедрения ИБ в конвейер разработки ПО.
Читать полностью…Интересно, является ли невозможность обслуживать пассажиров недопустимым событием для РЖД? А для государства в целом?
Читать полностью…В забугорье все так боятся ИИ, который учится на чужом контенте, что блокируют бесплатный шеринг данных (Twitter и Reddit, привет). А Россия опять опередила всех - контентом по ИБ (хотя бы IOCами, не говоря уже о TTP) у нас и так никто не делился; так что и блокировать нечего.
Читать полностью…Всегда втайне мечтал попасть либо на закрытую книгу хакерскую тусовку с флёром таинственности, чуваки в масках Гая Фокса, крутые доклады, от которых хочешь писать кипятком… И на яхте по синей глади моря-океяна тоже мечтал пролететь с ветерком, бокалом шампанского 🥂 (хотя я его не пью, но кефир или коньяк как-то не сочетаются с образом на яхте) и чтобы вдалеке пели русалки 🧜♀️, а ты не поддаешься их чарам и идешь писать очередную нетленку для блога, развалясь на баке или на юте. И вот я опять мимо кассы, а кому-то может повезти 😭
Читать полностью…В 1998-м году были разработаны следующие документы для продвижения идей страхования киберрисков:
😱 Проект Концепции страхования информационных рисков
😱 Проект Концепции развития системы страхования информационных рисков
😱 Отчет «Анализ объема отечественного рынка информационных систем, ресурсов и технологий как объектов страхования».
😱 Отчет «Анализ страхового поля по страхованию ответственности разработчиков, изготовителей и поставщиков систем автоматизации банковской деятельности, систем и средств защиты информации, информационных ресурсов и технологий, а также информационно — вычислительных и автоматизированных систем различного назначения».
😱 Отчет «Анализ статистических данных по безопасности информационных систем с целью определения вероятности страховых случаев и размеров предполагаемого ущерба».
😱 Отчет «Анализ методических и нормативных документов в деятельности зарубежных и отечественных страховых компаний и подготовка проектов соответствующих организационно — методических документов по страхованию информационных рисков».
😱 Проект Правил страхования (информационных рисков) информационных систем, информационных ресурсов, технических и программных средств вычислительной техники и оргтехники предприятий, организаций, учреждений и граждан.
😱 Технико — экономическое и социальное обоснования эффективности операций по страхованию информационных рисков.
😱 Проект Методики управления информационными рисками.
😱 Проект Методики оценки стоимости информационных систем, ресурсов, программных и технических средств вычислительной техники как объектов страхования.
😱 Проект Положения и инструкции о проведении экспертизы информационных систем, технологий, программных ресурсов, технических и программных средств вычислительной техники при заключении договора страхования и при возникновении страхового случая.
Кто бы сейчас при продвижении законопроектов готовил такие обоснования...
В тему страхования. Хочу напомнить, что в 1998-м году было подписано Соглашение о сотрудничестве в области страхования информационных рисков между Госкомсвязи России и страховыми организациями (№6836 от 10.11.98). Спустя месяц Госкомсвязью было подписано Указание от 4 декабря 1998 года №121-У «О реализации соглашения о сотрудничестве в области страхования информационных рисков», в котором упоминались среди прочего уже разработанные документы, которые должны были лечь в основу нового законодательства по страхованию информационных рисков (в том числе и обязательного). Но тема так и не взлетела, хотя документы были разработаны занятные. О них в следующем посте...
Читать полностью…В российском парламенте, в верхней его части, предложили ввести страхование ответственности на случай инцидентов ИБ. Это уже не помню какая по счету попытка внедрить в стране страхование киберрисков. При всей заманчивости этой идеи у нее есть один нюанс, который часто забывают. Чтобы страховать ответственность, эту самую ответственность сначала надо на себя взять, а у нас с этим большая проблема (я уже не говорю об определенных гарантиях).
Либо получится как с ОСАГО, которую навялили на автовладельцев, которые сейчас не знают, как нормально отремонтировать по этой ОСАГЕ своих железных коней. Поэтому прежде чем думать о страховании, нужно подумать об ответственности. И если уж натягивать страхование как обязательную норму, то сначала бы и заставить компании отвечать за свою ИБ.
ЗЫ. А вообще статья по ссылке выше занятная. Мнение у большинства крайне отрицательное к этой инициативе . Страховых и ИБ-компаний почему-то никто не спросил 😊
Интересно, зачем стращать публикацией паролей через 36 дней, если любой нормальный ИБшник их должен сменить сразу же после инцидента и угроза никакого смысла иметь не будет?
ЗЫ. С TSMC история, конечно, занятная. Они заявили, что их никто не ломал, а пострадал их поставщик, который, к слову, признался в инциденте, но заявил, что ничего страшного не произошло (кто бы сомневался). И хотя есть скрины, доказывающие взлом, "пострадавшая" сторона уверяет, что это не ее скрины. Так что будем посмотреть, чем это все закончится.
Залипательная игрушка - https://gandalf.lakera.ai. Ваша задача задавать подсказки (prompt) таким образом, чтобы Гендальф 🧙🏻♀️ раскрыл вам пароль. Первые уровни простенькие, потом становится все сложнее и сложнее и надо реально придумывать сложные подсказки, чтобы вам раскрыли пароль. Всего в игре 7 уровней. Попробуйте на досуге!
ЗЫ. Спасибо подписчику за присланную ссылку!
Ну и добьем тему демократической Европы и защиты прав граждан. Оплот революции, Франция 🇫🇷, приняла поправки в свое законодательство, разрешающее полиции удаленно активировать камеры и микрофоны на смартфонах подозреваемых лиц, а также отслеживать их геолокацию.
Право на частную жизнь? Нет, не слышали. Но интересно тут, однако, другое. Каким образом будет осуществляться такая активация? На смартфоны надо будет обязательно предустанавливать какое-то ПО по требованию закона самим пользователем? Или вендора смартфонов будут обязаны это делать в момент ввоза на территорию страны? Какие вендора на такое согласятся и что будет с теми, кто не согласится? Появится ли такой функционал в ядре мобильных ОС и примут ли схожую норму в других странах, например, в России 🇷🇺? Ждать ли нам новых запретов на иностранные смартфоны в российских ведомствах (не только iPhone, но и на базе Android)? Много, много вопросов из всего лишь пары новых строк в законе… А может такой функционал будет появляться в рамках zeroclick (ау, "Триангуляция")?
ЗЫ. Тотальный контроль под соусом «защиты детей», антитеррора и т.п. становится нормой жизни по всему миру. Когда это у себя, то это преподносится для защиты демократии; когда у других - для ее ограничений. Но суть не меняется 🧐
Попробовал Threads от Meta. Ну что могу сказать? Шняга 🌈 От Твиттера по сути не отличается ничем. Мне не подошло - посты короткие, в Телеге длиннее, что для меня критично. Лента отстойная - рекомендательные алгоритмы подсовывают всякое дерьмо.
Что касается безопасности приложения. Очень тесная интеграция с Инстаграмом - вся безопасность оттуда (своих настроек нет). Идентичные всем приложениям Meta функции приватности, то есть собирает все, что только можно, даже данные о здоровье (Твиттер такого не делал). По этой причине в Европе приложение пока не запустили.
Резюме: не зашло…
Бесплатное хранение данных за 1 доллар в сутки? Операторы шифровальщиков так скоро убьют рынок коммерческих ЦОДов 😂
Читать полностью…Выбирая поставщика услуг ИБ, вы же и резервный вариант на случай взлома или недоступности поставщика разрабатываете? Не так ли?
Читать полностью…На конференции IT IS Conf, как я уже писал ранее, я буду среди прочего модерировать секцию по средствам сетевой безопасности с 6-тью докладчиками, 5 из которых планируют рассказывать про... 🥁, да-да, NGFW, и один про сетевые брокеры. Но так как мне, человеку, в прошлом проработавшему 18 лет в лидере рынка сетевой безопасности, очень странно видеть, что всю сетевую безопасность сводят к NGFW, то я думаю задать всем участникам закономерный вопрос: "Что за херня? Почему в России никто не рассказывает про другие направления сетевой ИБ?" Почему, например, никто не пишет свой CASB или SASE? Почему никто из сетевых вендоров не делает immutable infrastructure? Где отечественные CIEM? А если уж мы так активно пилим за NGFW, то где Firewall-as-a-Service, Hybrid Mesh Firewall Platform, Cloud Firewall и т.п.? Я, конечно, знаю одну компанию, которая идет в этом направлении, но она всего одна...
Короче, участники секции по сетевой безопасности на IT IS Conf, готовьтесь к неудобным вопросам.
Северокорейские студенты 🧑🎓 выиграли в хакерском конкурсе, устроенным американской компанией. А вы говорите, санкции 😂 Можно, если захотеть 💪
Читать полностью…Наш сайт и мобильное приложение подверглись массированной хакерской атаке. Стараемся как можно быстрее восстановить их работу. Кассы на станциях и вокзалах функционируют штатно, продажа билетов осуществляется в обычном режиме.
Приносим свои извинения за доставленные неудобства.
Иногда уже поздно пытаться замазать проблему, прикрываясь фломастером фиговым листком - надо менять все - от машины до водителя от процессов реагирования до технологий обнаружения.
ЗЫ. Везде все одинаково - Microsoft уверяет, что 30 миллионов записей утекло не у них. Белорусский госунивер утверждает, что утекло у них. Здесь могло быть ваше имя уверяет, что у них все хорошо. И все слюнявят фломастеры ✏️
Сочи. Август. Багбаунти 🌴
Готов затусить с нами на Standoff Hacks? Разминай пальцы и активируй трехнедельный режим поиска уязвимостей 👨💻
Кто еще в деле? Все семь компаний с открытыми программами на Standoff 365.
А это, на минуточку:
▪️ Positive Technologies
▪️ VK
▪️ Tinkoff
▪️ Азбука вкуса
▪️ Standoff 365
▪️ Rambler
▪️ Консоль
Выбирай любую (или несколько) и начинай охоту за багами прямо сегодня. На все про все — 20 дней (конкурс заканчивается в 23:59 24 июля). Тем, кто сможет найти самые дорогие для каждой программы уязвимости, и достанутся семь инвайтов (по одному на программу) на Standoff Hacks.
Что дальше? Тусовка на Красной Поляне в теплой компании, ощущение собственной крутости и, конечно, получение заслуженных ништяков💰
Вечеринка будет камерной: всего на 30 человек. Помимо 7 победителей, 11 приглашений получат самые скиллованые, приносящие максимальный импакт и участвующие в развитии площадки хакеры Standoff 365. Топ-3 из них смогут взять с собой +1. Еще 9 инвайтов вручат три компании, которые привезут на Standoff Hacks эксклюзивный скоуп.
❓ Что предполагает инвайт?
Всем хакерам мы оплатим перелет и проживание.
❓ Если два человека сдадут на одну программу самую дорогую уязвимость?
Приглашение получит тот, кто сделает это первым.
❓ Меня уже пригласили, но еще я нашел самую дорогую уязвимость, могу ли я съездить в Сочи дважды?
Нет, второе приглашение получит хакер, сдавший второй самый дорогой баг по той же программе.
❓ Будут ли промежуточные результаты?
Каждую неделю мы будем рассказывать о результатах в этом канале.
❓ А что, если по одной из программ не будет сдано ни одной уязвимости?
Приглашение получит участник, сдавший самый дорогой баг, но еще не получивший приглашения.
❓ Когда разошлют прямые приглашения и приглашения на +1?
Часть мы уже разослали, часть придет до сегодняшнего вечера.
Если у тебя остались вопросы, задавай, ответим на них в комментариях.
Участвуешь? Тогда увидимся в Сочи в августе.
Я уже как-то писал про программу Data Breach Bounty, которую запустил у себя Тинькофф, и в рамках которой ищутся баги не в ПО и инфраструктуре, а в процессах обработки персональных данных. Вот, как участника наградили корпоративным мерчем 🙏 Пустячок, а приятно.
Вообще, думать, что программы Bug Bounty - это что-то сложное и дорогое, неправильно. Было бы желание делать мир вокруг себя безопаснее. Можно выйти на Standoff 365, а можно просто внутри написать по всем письмо, что "так, мол, и так, ищем уязвимости, нашедшего ждет награда". И награда не обязательно должна быть прям большой. Это на платформах Bug Bounty с внешними участниками сумма выплат может достигать миллиона рублей и более (а для поиска недопустимых событий и того более). А для внутренного потребления может быть все гораздо проще.
Если в компании работают не отморозки, а менеджмент приставлен не перекладывать деньги из кармана в карман, то атмосфера в компании обычно нормальная и сотрудники будут только рады помочь найти слабые места в защите своего работодателя. А если еще за это и мерч какой-нибудь давать, так и вообще прекрасно. Так думаю 🤔
13-14-го июля в городе на Неве (не в Шлиссельбурге и не в Кировске) пройдет ежегодная конференция #PAYMENTSECURITY, где выступлю и я с темой "Как не про**ать ожидания бизнеса? Реальная оценка защищенности платежной инфраструктуры". У меня уже и презентация подготовлена в кои-то веки заранее. К сожалению, надолго задержаться не смогу - улетаю в столицу Урала, а то бы послушал и про vCISO, и про применение беспарольных решений на стороне заказчиков; да и Банк России было бы интересно послушать - изменился ли у них подход к регулированию или объем бумажных требований ✍️ и дальше будет превалировать над здравым смыслом... Не знаю, остались ли там еще места, но если вам на Уральском форуме не хватило технических докладов и вы сыты по горло круглыми столами, то у вас еще есть шанс забронировать себе место на мероприятии в Питере (во второй день там еще и Practical Security Village пройдет, где можно будет поработать ручками 👨💻).
Читать полностью…Все в этой статье про BISO (Business Information Security Manager) хорошо; смущает только раздел про сертификации, которые помогут развитию компетенций бизнес-ориентированного ИБшника. Ни одну из них сейчас в России получить официально нельзя 📵 А в остальном интересный опыт, особенно радует, что он российский. И совпадает с тем, о чем я рассказывал на CISO Forum 2023; разве, что с прицелом на свой опыт.
Читать полностью…Число жертв шифровальщиков 🪱 согласно ими же опубликованной информации. По несколько сотен жертв в месяц; несколько тысяч в год. Конечно, не с каждого требуют по 70 миллионов долларов как с атакованной в пятницу тайваньской TSMC, но все равно, миллиарды заработка 🤑.
Интересно, что эти пара-тройка миллиардов заработка, - копейки по сравнению с тем, какой ущерб наносится кражей и торговлей данными или промышленным шпионажем. Но в последних случаях, это именно ущерб, заработок-то хакеров от этого не увеличивается. В случае с шифровальщиками ущерб тоже может быть выше суммы всех выкупов, но его считать гораздо сложнее. Подсчет ущерба вообще непростая тема в науке измерения ИБ и оценка стоимости простоя - одна из редких ситуаций, где это можно посчитать (поэтому и BIA так популярен) 🧮