Решил тут порефлексировать по поводу вчера введенных санкций США против отдельных ИТ-решений.
Читать полностью…Страховая компания Coalition пишет, что по итогам 2023-го года числа претензий со стороны клиентов-страхователей, использующих МСЭ Cisco ASA выросло в 5 раз! 🤬 Это, прямо, интересно. Если на слуху, в-основном, были дыры в Fortinet и продажи доступов в организации, защищенные именно решениями Fortinet, то про продукцию Cisco говорилось мало. С другой стороны, группировка Akira 😀, активно эксплуатирующая уязвимости в Cisco ASA с 2020-го года, продолжала свою деятельность и в 2023 (и продолжит и в 2024-м), что и повлекло такое число претензий в страховую компанию (по решениям Fortinet число таких запросов выросло "всего" в 2,15 раз) 🛡
А вообще интересно, что страховая компания не просто собирает претензии "у меня шифровальщик требует выкуп" или "у меня сайт простаивает из-за DDoS-атаки", а фиксирует все связанные с инцидентами факторы, накапливая соответствующую статистику 📈, на основе которой потом можно высчитывать страховые коэффициенты и устанавливать размер выплат и премий. Это говорит о том, что рынок страхования киберрисков становится более зрелым (по крайней мере в США).
Если вы сотрудник ИБ, то знают ли вас работники вашей компании? 😦 А если вы не работаете в ИБ, то знаете ли вы, как выглядит ваш ИБшник, как его зовут, какой у него голос (хотя в условиях голосовых дипфейков, это уже не так и важно)? Мне подписчик, за что ему огромное спасибо, рассказал очередную мошенническую схему 🙂
"Сотрудник службы ИБ" обзванивает как рядовых сотрудников, так и руководителей 📞 и, ссылаясь на непростую геополитическую обстановку, проводит инструктаж о том, что можно делать в текущих условиях, а что нет (компания находится в приграничном районе, так что советы выглядят вполне уместно). Потом плавно переходит на советы по финансовой безопасности, ну а дальше по привычной схеме 🤑 - от прямых разговоров о "секретных и защищенных счетах" до "вам позвонят из ФСБ/МВД и надо оказать содействие" 👮
Так что самое время познакомиться со своим специалистом по ИБ или познакомить себя со своими сотрудниками! 🤝
Во вчерашнем анонсе Apple 📱 меня зацепили две новых фишки по ИБ (помимо всяких историй с приватностью и т.п.), а именно:
➖ Запуск отдельных приложений на iPhone только после аутентификации 🤒 Понятно, что сам по себе смартфон - это однопользовательское устройство. Но бывает так, что даешь его ребенку поиграть, постороннему "сфотографируйте нас" или еще кому-то и хочется быть уверенным, что он не зайдет к тебе в заметки, Интернет-банк, фотки или почту. И вот эта фича полезна для таких кейсов. А аутентификация по биометрии не потребует дополнительных телодвижений по вводу ПИН-кода или пароля 🤒
➖ Встроенный парольный менеджер. В целом это развитие Apple'вского KeyChain 🔗, который и так хранит все логины и пароли и позволяет синхронизировать их через все устройства. Но тут из этого сделали самостоятельное и user-friendly приложение, которое может сильно подпортить жизнь всяким LastPass, 1Password, Kaspersky Password Manager и т.п. Но будем посмотреть, насколько он удобен и заменит уже привычные приложения ⏳
Американское управление по контролю качества пищевых продуктов и лекарственных средств расследует проблему с мобильным приложением t:connect, которое используется для мониторинга и управления инсулиновыми помпами t:slim X2, используемыми людьми, больными диабетом 😷
Оказалось, что в приложении нашлась серьезная ошибка, приводящая к выходу из строя приложения, его постоянной перезагрузке, что приводило к росту взаимодействия с помпой по Bluetooth, нагрузке на ее батарею, исчерпанию заряда 🔋 и отключению помпы в самое неподходящее время без предупреждения пользователя. А это в свою очередь может повлечь за собой гипергликемию и даже кетоацидоз (серьезная нехватка инсулина) из-за невпрыснутого инсулина и возможную смерть пациента с диабетом.
А теперь представьте, что это не приложение коряво написано, а кто-то воздействовал на него? Не знаю, используется ли взаимная аутентификация 🤝 помпы и приложения, но если нет, то можно не только отключить регулярную подачу инсулина, но и подать команду на впрыск всего инсулина в помпе, а это уже анафилактический шок и смерть пациента 😵, если ему вовремя не будет оказана помощь. Недопустимо 💯
К квантовым технологиям ⚛️ у меня двойственное отношение. С одной стороны наступает тема квантового шифрования, которое, на самом деле вообще не очень-то и шифрование. С другой стороны квантовые компьютеры, которые могут поставить крест на традиционной криптографии, что заставит не только всех переходить на что-то новое, постквантовое, но и задуматься о том, что наконец-то кто-то сможет дешифровать весь тот накопленный объем передаваемых по сетям операторов связи 🚠 данных, сохраняемых ими согласно "Закону Яровой", а также иным требованиям в других странах (китайцы активно сохраняют все, что передается по их сетям) 📀 В этом случае много грязного белья будет выброшено наружу - мы еще не до конца оцениваем последствия этой тенденции.
Но каким бы ни было мое отношение к этим технологиям, они развиваются, вокруг них много разговоров и хайпа 🤓, на них активно выделяются средства, которые также активно осваиваются. Поэтому стоит понимать те риски, которые несут квантовые технологии, с точки безопасности. Поэтому Positive Technologies вместе с QApp, КуБорд и Российским квантовым центром выпустили отчет "Безопасность квантовых технологий в сфере ИТ" ✍️
Какие-то мифы и заблуждения вокруг этой технологии этот отчет снимает, а какие-то все равно остаются. Я вот до сих пор не могу понять, почему все так носятся с этим квантовым шифрованием, если у него скорость очень низкая, а расстояния, на которых оно может работать без точек атаки усилителей, также невелико ❓ Но об этом я надеюсь поговорить на секции "Мифы и заблуждения в информационной безопасности" в рамках традиционной конференции IT IS Conf в Екатеринбурге 20-го июня.
Прямо сейчас очень плохой дипфейк Тима Кука рассказывал, что Эппл встраивает криптовалюты, и конкретно показывал, как перевести деньги на свой кошелек. Разумеется, это был не эппл, и стрим забанили, однако в лайве его смотрело более полумиллиона наивных людей. Пожалуйста, не ведитесь на такие разводы.
Читать полностью…На что Яндекс не поскупился, делая новый раздел по безопасности у себя на сайте, так это на красивый тест в стиле японской хокку 🍱 Хорошие вопросы, красивые иллюстрации... но, глядь, неверный подсчет баллов. Я его прошел дважды - "как считаю нужным" и "как правильно" и получил результат, что я беспечен в отношении своей безопасности. Ага, сщаз... 🌊
Безопасность беспечна -
Правильный путь нашел я,
Тест же подвел, увы!
Яндекс пишет о том, что:
в Яндекс ID появился инструмент для простой и удобной настройки уровня безопасности аккаунта. С его помощью пользователи могут проверить, насколько защищён их аккаунт, и настроить дополнительную защиту
Так, видимо пора снова написать то, что написано в описании канала, но этого никто не читает.
‼️ ЭТОТ КАНАЛ ЛИЧНЫЙ И ОТРАЖАЕТ МОЮ ЛИЧНУЮ ТОЧКУ ЗРЕНИЯ. МОЙ РАБОТОДАТЕЛЬ НЕ ВЛИЯЕТ НА ТО, ЧТО ЗДЕСЬ ПИШЕТСЯ ‼️
Да, я нередко упоминаю то, что делает работодатель, но только потому, что я вовлечен в то, что он делает и о чем я пишу. Но я не пишу про все то остальное, что делает работодатель, как бы меня не просили. Я пишу про то, что мне интересно. И про инциденты ИБ тоже. Через мои руки проходит под сотню кейсов в день (со всего мира) и я их получаю не изнутри компании, а за счет собственного мониторинга. Пишу я только про то, что меня заинтересовало. Да, может оказаться так, что инцидент затронул клиентов или партнеров моего работодателя. Да, им не повезло, если я про это написал. Но работодатель не может заставить меня не писать про это или удалить какой-то уже написанный пост. И он меня не заставляет писать про что-то или кого-то; даже если бы он захотел, чего, к счастью, не бывает.
‼️ Я ПИШУ НЕ ПО КОМАНДЕ, А ПО СОБСТВЕННОМУ ЖЕЛАНИЮ. КТО ЭТОГО НЕ ПОНИМАЕТ - ИДИТЕ В ЖОПУ ‼️
Если вас задел мой пост - идите ко мне в личку и давайте там разбираться, что и как. А пытаться заткнуть меня через работодателя - ну такое себе. Лучше ситуация точно не станет, будучи загнанной в тупик конфликта, а не попытки его разрешить.
‼️ КТО ДУМАЕТ, ЧТО МОЮ ЛИЧНУЮ ПОЗИЦИЮ МОЖНО ПОМЕНЯТЬ ЧЕРЕЗ РАБОТОДАТЕЛЯ - МНЕ ВАС ЖАЛЬ; ВИДИМО ДЛЯ ВАС САМИХ ЭТО НОРМА ‼️
ЗЫ. И не надо думать, что шило можно утаить в мешке. Инциденты ИБ всегда становятся известны; особенно если их инициаторы находятся в сопредельном государстве и ими движет не финансовая мотивация. И лучше сработать на опережение и дать свою оценку событий, которую все и будут обсуждать (главное не повторять кейс Snowflake и иже с ними), чем быть в позиции догоняющего и пытающегося замести весь сор под ковер. В Интернете это не очень получается. Будет только хуже.
‼️ ЕЩЕ РАЗ БОЛЬШИМИ БУКВАМИ - ЭТО МОЙ ПЕРСОНАЛЬНЫЙ КАНАЛ ‼️
Сложно себе представить, чтобы любой из отечественных регуляторов объединился бы с другим с целью повышения осведомленности граждан в вопросах ИБ. Межведомственное взаимодействие у нас построено из рук вон плохо в таких делах 😠 Минцифры делает что-то свое, РКН свое, ФСБ свое, ЦБ свое… А вот на Украине Нацбанк вместо с ДССТЗИ и Киберполицией замутили кампанию по внедрению MFA для защиты от мошенников ⚠️
Одно смущает меня у украинцев ☝️ - то, что это делается за счет американцев. И дело не в шлейфе темных делишек USAID (например, попытка смены правительства на Кубе 🇨🇺), сколько в самом факте. Нацбанк Украины (да и не только там) является независимой структурой, которая осуществляет расходы только за счет собственных доходов или, в случаях установленных законом, за счет госбюджета страны. А тут кампания за счет бюджета иностранного государства. Такое себе…
Я представил себе, что началось бы, если бы на этом баннере вместо лого USAID вдруг появился логотип Россотрудничества… 👿 А если бы у нас такое появилось на баннерах ЦБ по финансовой грамотности? Тут либо присваивать статус иноагента, либо по 275-й пускать 👮... Хотя последнее вряд ли (это ж иностранцы бы нам помогали, а не мы им) 😦
ЗЫ. Прикольный маскот - хорошо, что не кот 🙀
Когда угроза ИБ превращается в игру 🎮 Тинькофф Т-Банк - молодец. Прям прикольная тема. Я бы ее на следующий PHD подтащил в Кибергород 🕹
Сервис e-mail-рассылок ✉️ GetResponse взломали, после чего стали ломать их клиентов, отправляя от их имени фишинговые сообщения. Например, так пострадала криптобиржа CoinGeko 💴. Началось все с взлома учетной записи одного из сотрудников GetResponse, ну а дальше по накатанной 🔗
Вновь подтверждается два тезиса - атака на подрядчиков и взлом через креды сотрудников - в топе 🔝 Ну и рекомендации такие же очевидные - внедрение MFA и установление требований по ИБ для подрядчиков с последующих их контролем (правда, возникает вопрос, кто будет контролировать аутсорсинговый SOC, если вы воспользуетесь его услугами?). Для более продвинутых компаний я бы рекомендовал посмотреть в сторону ITDR (Identity Threat Detection & Response), которые обеспечивают не управление идентификационной информацией, а мониторинг ее использования и реагирование в случае инцидентов с кредами сотрудников и подрядчиков 🖥
Я уже писал в начале 2022-го года про проблему взлома именно сервисов рассылок, но не лишним будет и повторить тему. Одно дело проверять защищенность своего почтового сервера и способность его противостоять фишингу и вредоносам 🦠, и совсем другое - проверять защищенность сервиса рассылки этой самой почты в контексте привилегий на отправку сообщений от имени вашей компаний. По опыту могу сказать, что многие ИБ-службы даже не знают, с помощью чего или кого их подразделения маркетинга рассылают свои информационные и рекламные сообщения 😮
PS. GetResponse - не одни такие, Mailchimp в прошлом году тоже взламывали.
👋 Вы знали, что в семнадцатом веке компьютеры были живыми, пили чай по утрам и ходили на работу?
А о том, что первые флешки появились пару столетий спустя и использовались для ткацких станков? Или, например, что первым программистом в истории была Ада Лавлейс — дочь лорда и поэта Джорджа Байрона? О том, что идеальная универсальная вычислительная машина придумана Тьюрингом в середине прошлого века, но все еще не может быть построена?
🤩 Наука проделала огромный путь от деревянных счетов до макбуков последней модели. И по этому пути прошло множество замечательных людей, ученых и сподвижников, влюбленных в свое дело, не желающих останавливаться на достигнутом, не боящихся рушить старые теории и выдвигать новые.
В первом выпуске «Комнаты 1337» рассказываем об эволюции вычислительной техники и отце всех компьютеров — Алане Тьюринге.
Смотрите его на нашем YouTube-канале и делитесь с теми, кому тоже интересно.
@PositiveHackMedia
В Даркнете в продаже появилась утечка 🚰 с данными клиентов, партнеров и сотрудников Cylance, ИБ-компании, выпускающей EDR и купленной BlackBerry. Вот такие дела… 🖥
Читать полностью…Даг Хаббард - достаточно известный человек, написавший ✍️ в свое время книгу "Как измерить все, что угодно", а позже преломивший ее на тему кибербеза. Его книга "How to measure anything in cybersecurity risk" стала для многих открытием, так как оказалось, что измерить в ИБ можно абсолютно все, даже уровень восхищения телеграм-каналом Лукацкого или стоимость защищаемой информации. Главное, знать, как подступиться к этой задаче ✨
Сейчас эта книга выпущена и на русском языке и ее можно купить для изучения. Правда, переведено первое издание десятилетней давности, в то время как у Хаббарда вышло уже второе, но это не так уж и критично. Главное, когда будете покупать, посмотрите цены на книгу в разных Интернет-магазинах, - они могут разнится от 300 до 3000 рублей 😲 Почему не знаю, но это так!
Потестил RansomChatGPT - сервис на базе ChatGPT, которому скормили базу переговоров с вымогателями различных группировок (Darkside, Lockbit, Babuk, REvil, Hive, Conti и еще с десяток других). Прикольная история. Одно дело, когда ты думаешь, что ты весь из себя такой крутой ИБшник и знаешь, как бороться с шифровальщиками 🤒, а с другой - ты все-таки попадаешься на удочку вымогателей и бизнес дает тебе указание договориться. И ты приходишь к плохим парням с позиции силы, стращаешь их карами небесными, угрожаешь ФСТЭК и ФСБ 😕, а тебя посылают на хер и говорят "плати или иди в жопу". И вот тут ты реально начинаешь переговоры в надежде скинуть хотя бы цену 🤑
В одном из переговоров я попросил 👨💻 доказательства, что вымогатели не опубликуют данные после оплаты, как они уже это делали не раз, на что получил ответ, что они могут дать мне письменные гарантии, что "не кинут" и даже пообещали заплатить компенсацию, если кинут 😂
ЗЫ. Чем-то напоминает "Фрод-рулетку" от Т-Банка.
Хакеры внедрили вредонос в расширение Stable Diffusion 🧠 на GitHub с целью кражи криптокошельков, скриншотов, файлов и другой ценной информации. Прикрываются интересами художников 🧑🎨 и людей искусства, у которых ИИ забирает работу!
Читать полностью…В продолжение темы с инсулиновой помпой... ❤️🩹 Оказывается они являются самым "популярным" медицинским прибором, из-за которого гибнут люди, но не единственными ☠️ В Канаде, в частности, от сбоев и ошибок в функционировании дефибриляторов, кардиостимуляторов, стентов и т.п. погибло почти 500 человек за 10 лет.
Что же будет, когда медицинские приборы начнут массово оснащать подключением к Интернет 📡 или мобильным приложениям, для самостоятельного отслеживания состояния здоровья?
А вот кому анализ 100 самых популярных бесплатных VPN-приложений в Google Play (то есть для Android)? 🛡 Чувак реально заморочился и проверил по куче показателей - от трекеров и слабой криптографии до наличия исходников и наличие вредоносных функций внутри. Респект 👍
Читать полностью…Странно, что министр не упомянул ФСТЭК, - она гораздо ближе к вопросам защиты информации, курируемых Минцифрой, чем ФСБ 🇷🇺 Но, да, в Минцифре, на роли замминистра, не трудится бывший сотрудник ФСТЭК. С другой стороны для ФСТЭК это и хорошо - меньше внимания, можно работать 👨🔧 Хотя обидно, наверное...
ЗЫ. Интересно, чем теперь ответит Герман Оскарович, который активно продвигает тему отдельного министерства ИБ последнее время (публично и не очень). А про стратегию кибербезопасности страны, о которой также говорил глава Сбербанка, мне тоже есть что сказать, как одному из участников ее создания в 2013-м году.
Завтра Госдума планирует рассмотреть законопроект 2020-го года, в котором, среди прочего, устанавливается требование уничтожения персданных не абы как, а только с помощью сертифицированных ФСБ или ФСТЭК средств защиты информации, в которых реализована специальная функция уничтожения 🔫
Пока закон не приняли, пойду удалю со СмартТВ учетку ребенка, а то я не знаю, какие сертифицированные средства защиты есть для AndroidTV, и боюсь, что нарушу закон, если уничтожу ПДн без SecretNet, ViPNet и иных "аналоговнет" с сертификатом и голограммой 🗑
Wired пишет, что российские киберпреступники 🎃 практически недосягаемы для западных правоохранительных органов ввиду попустительства отечественных правоохранителей, которые не замечают деятельности хакеров, направленных против зарубежных держав.
Чтобы ослабить их деятельность, западные спецслужбы 🇺🇸 и органы правопорядка начали применять психологические меры, направленные на подрыв доверия среди хакеров. Например, операция Cronos, в ходе которой была "взломана" группа LockBit 💻 Публикация внутренних данных и личных сообщений хакеров создала недоверие к ним и подорвала репутацию группы. Эти психологические операции (psyops) усиливают раскол среди киберпреступников, снижая их эффективность и уменьшая их активность 😦
Интересно, что теперь противопоставят этим psyops русские хакеры? ❓
На ПМЭФ опять рекордную DDoS-атаку поймали и отшлепали отразили. Прям есть чем гордиться ☺️ Такое впечатление, что задачей было не дело делать, а обязательно какой-нибудь рекорд поставить и всем про это рассказать. Или хоть что-нибудь найти и рассказать - пресс-конференция была же собрана заранее, место оплачено, с двух заветрившихся тарталеток сняли целлофан; чего добру пропадать 🤐
Что-то маркетинга стало многовато в ИБ... Такое впечатление, что именно он правит балом, а не реальные технологии, процессы, результаты, специалисты... И ладно бы маркетинг был мудрый или забавный и смешной, но нет. Надо будет сдуть пыль с блога из-за погружения в ПХД и что-нибудь написать этакое, недоброе 😈
Предсказуемо, Snowflake ❄️ попалась на вранье, - хакеры выкладывают украденные данные клиентов Snowflake или требуют от них выкуп 🤒 А меня эта история навела на две мысли. Во-первых, атаки на подрядчиков продолжают оставаться одной из главных проблем и пользователи таких поставщиков разных, преимущественно ИТ, решений просто обязаны включать в договора разделы про кибербез и возможность проверки того, как он выстроен на стороне подрядчика ✔️ В идеале бы и самим подрядчикам пойти чуть дальше получения бумажек SOC2 на свои облака в сторону вывода систем на BugBounty или опубличивания отчетов пентестеров, которые должны раз в квартал проверять системы ИТ-подрядчиков на вшивость защищенность 🤕
Вторая мысль иного плана. Все жертвы хакеров настолько привыкли начинать свои пресс-релизы и заявления с "мы не видим следов несанкционированной активности в нашей инфраструктуре" и "атака коснулась только тестового окружения", а потом это оказывается откровенной ложью 🤠, что теперь, даже если какая-либо компания и вправду не увидит следов атак у себя в сети, а это будет только "развод" со стороны хакеров, им все равно уже никто не поверит. Все будут думать, что они такие же как Snowflake, Microsoft, ***банк, Московский институт психоанализа и т.д., которые уже дискредитировали нормальный PR во время инцидентов ИБ 👊
CAPTCHA становится все сложнее и сложнее. Не всегда поймешь, что от тебя хотят, а когда понимаешь, еще и ошибаешься и тебе надо начинать проходить квест из трех заданий заново.
❗️❗️ Верните пожарные гидранты и пешеходные переходы!!! Тьюринг, о котором я писал утром, в бешенстве!
ЗЫ. Другие примеры капчи - тут, тут, тут и тут.
Взлом Cylance, которой в России почти и не было, не так интересен. А вот взлом новосибирской компании по ИБ, если, конечно, верить заявлениям хакеров, которая предоставляет широкий перечень услуг по ИБ, включая пентесты и аудиты объектов КИИ 🤜, а также имеет собственный SOC и мониторит с него средства защиты своих заказчиков, это уже горячее... и неприятнее. И судя по выложенным "доказательствам" там результаты обследований ИБ заказчиков из сферы энергетики (КИИ в полный рост) 🏭
Внутри 🟥 - это одно из четырех недопустимым событий, так как проблема не в том, что взломали тебя, а в том, что через тебя могут теперь взломать твоих же клиентов. И если ты сам еще в состоянии быстро отреагировать, то вот твои клиенты, особенно крупные национальные компании, достаточно неповоротливы 😞, чтобы быстро начать действовать, да еще и в выходные, да еще и когда твое начальство на ПМЭФ или летит с него.
Ну а я в очередной раз задам сакраментальный вопрос - что является доказательством качества 5️⃣ предоставляемых услуг и реальной защищенности компании по ИБ? Лицензия регулятора? Свидетельства о прохождении обучения на 512 часов? Благодарственные письма от заказчиков? Или все-таки что-то иное? Например, приглашение других ИБ-компаний к взаимопроникновению 🤜 с опубликованием результатов, выход на Bug Bounty, участие в открытых кибериспытаниях?.. Вопрос риторический...
ЗЫ. Имен не будет. Регуляторы в курсе.
А мы тут запустили свое небольшое онлайн-медиа 📣 (да, плюс к SecurityLab и Positive Research), в котором будет всякое разное для более широкой аудитории, чем просто специалисты по ИБ. И какие-то фильмы я даже немного поконсультировал (скоро выйдет на канале). Продолжаем нести свет знаний в массы 🚨
Читать полностью…Авиакомпания «Россия», приветствуя своих пассажиров, утверждает, что они «крупнейший эксплуатант самолетов российского производства» ✈️ Прям гордость берет за «Россию» 🇷🇺 Почему никто еще не взял на знамя статус «крупнейшего в мире эксплуатанта средств защиты информации, произведенных в России»? 🏆 Маркетологи зря едят свой хлеб 🍿
Читать полностью…