alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

У меня к Секлабу особое отношение - еще недавно в Гугле поиск по "блог Лукацкого" выводил именно его на первое место, а не мой собственный сайт. Но по числу просмотров Секлаб до сих пор дает моему персональному сайту огромную фору - мои посты у Саши Антипова читают в разы больше людей, чем у меня самого 💃 И вот сейчас Секлаб празднует свое двадцатилетие! Искренне поздравляю!!!

ЗЫ. В честь годовщины, Секлаб устраивает ИБ-квиз с 100 вопросами про кибербез. А я люблю квизы по ИБ 🤓

Читать полностью…

Пост Лукацкого

Референсная архитектура Zero Trust американского МинОбороны.

ЗЫ. Документ не крал, МинОбороны не ломал, служебным доступом не пользовался - все официально скачивается с сайта ведомства.

Читать полностью…

Пост Лукацкого

Исследователи создали модель ИИ, которая не просто генерит фейковые изображения, но и генерит их в неподобающем виде (просмотр порно, секс с кем-то, танцы в церкви, фото на войне, фото из тюрьмы и т.п.). Но вопрос даже не в том, что машинное обучение такое умеет (это как раз не так и сложно), а в том, кто должен заниматься данной угрозой с точки зрения ее нейтрализации и купирования последствий? Может быть ИБ?

Читать полностью…

Пост Лукацкого

Хакеры не будут ждать, когда ты закончишь патчеваться!

Читать полностью…

Пост Лукацкого

Утащил у Татьяны инфографику по российской ИБ на основе цифр в разные периоды 2022-го года

Читать полностью…

Пост Лукацкого

Было время, читатели задавали интересные вопросы ;-)

Читать полностью…

Пост Лукацкого

Всегда удивляло, откуда что берется. Вроде давно в индустрии, но никогда не сталкивался с негативным влиянием Сергея на российский кибербез да и, честно говоря, вообще не видел особого влияния ЦИБа на отечественный рынок ИБ (хотя воздействие на отдельных игроков и допускаю). Но вот эта идея, что Михайлов прям держал под собой все российские ИБ-компании, продвигалась много лет и до сих пор продвигается почему-то 🤔

Читать полностью…

Пост Лукацкого

Попробовал представить и не смог, чтобы АНБ (а я был в их сувенирном магазине) выпустило мерч с надписью «Добро пожаловать в клуб любитетелей отечественных СЗИ» и иллюстрацией из «Зеленой мили», когда Джона Коффи вводят в кандалах в американскую тюрьму 😂

Чувство юмора у регулятора - это прям хорошо. Спасибо коллегам, подарившим мне эту милоту 💪

ЗЫ. Это не китайская подделка, не самопал и не "маскировка под" - поставка напрямую из мастерских НКЦКИ!

Читать полностью…

Пост Лукацкого

И облегченная версия - https://www.mitre.org/sites/default/files/2022-11/pr-2022-3616-medical-device-cybersecurity-regional-preparedness-response-companion-guide.pdf

Читать полностью…

Пост Лукацкого

В дополнение к прошлогоднему руководству по моделированию угроз для медицинских устройств, MITRE выпустила руководство по реагированию на инциденты, связанные с медицинскими устройствами.

Читать полностью…

Пост Лукацкого

В продолжение поста про WannaCry небольшая рекомендация. Проверьте (сами или спросите вендора), а ваши средства защиты ловят WannaCry в данный момент? А то у наших вендоров (антивирусов и МСЭ) есть особенность отключать обнаружение «старых» атак и сигнатур. И получается, что на бумаге оно ловит, а в реальности нет 🤔

Читать полностью…

Пост Лукацкого

Отличный способ выбрать случайный пароль - использовать супы из букв латинского алфавита. Зачерпнул ложкой… и вот случайный набор символов, который за пароль можно выдать.

Читать полностью…

Пост Лукацкого

Занимательная арифметика:
🤔 На конец 2020 года в ЕБС данные 160 тысяч граждан
🤔 В мае 2021-го - 200 тысяч граждан
🤔 В мае 2022-го - 236 тысяч граждан
🤔 В декабре 2022-го - 70 миллионов граждан сдали свою биометрию по версии чиновников.

Что за магия произошла между маем и декабрем 2022-го года? Только не надо говорить, что это за счет присоединенных территорий…

Читать полностью…

Пост Лукацкого

Но, раз пошла такая дискуссия, то хочется вспомнить, что разговоры о безопасности удаленного доступа ведутся давно и в целом уже давно найдено немало решений по эффективной защите такого доступа.

Я 18 лет отработал в компании в режиме удаленки и вся стратегия ИБ Cisco строилась по принципу - "один в поле воин", то есть "ноутбук в Интернете может быть защищен независимо от того, находится он внутри корпоративной сети или нет". Более того, у нас была принята концепция Trusted Device еще до того, как Zero Trust стал модным. И я уже приводил простейший тест на проверку защищенности своего мобильного рабочего места - если ты его выставляешь в Интернет и у тебя начинается "жим-жим", то с безопасностью удаленки у тебя все не очень.

И дело тут не в наличии VPN-клиента на рабочем месте и защите канала от удаленного устройства (в Cisco последние годы вообще распространялся удаленный доступ к ресурсам компании без VPN, с помощью Zero Trust). Защита строилась на базе множества технологий. Тут и многофакторная аутентификация с ML, отслеживающая непривычные местоположения и время доступа к корпоративным ресурсам. Тут и контроль поведения с помощью решений NDR (NTA/NAD). Тут и EDR на оконечных устройствах. Тут и UEBA при работе с серверными приложениями. И много чего еще. То есть даже при удаленке можно было с высокой степенью уверенности сказать, работает в данный момент тот самый работник или под его учеткой маскируется злоумышленник.

У нас же пошли по пути наименьшего сопротивления - вместо того, чтобы научиться контролировать и защищать решили блокировать и запрещать, выдавая это за один из вариантов мотивации россиян вернуться обратно и защиту чувств неуехавших... Не знаю, мотивирует ли это кого-то вернуться (что-то мне подсказывает, что нет), но вот число отказников от российского гражданства точно возрастет. Хотя может этого и добиваются авторы столь "востребованного" законопроекта?..

Читать полностью…

Пост Лукацкого

Приходит печальная дочь к отцу ИБшнику и жалуется:
- Папа, у нас новогодний праздник в садике, а мне надеть нечего. Какой костюм мне купить/придумать?

Папа, не будь дураком, и говорит:
- Давай тебе костюм УТЕЧКИ ПДН придумаем!
- Это как?, - удивленно спрашивает дочь.
- Все просто, - отвечает добрый папа. - Ты приходишь вся такая расфуфыренная и делаешь вид, как будто ты в шоколаде, а когда тебя спрашивают про твой костюм, закрываешь лицо ладошками и говоришь, что тебя нет!

Читать полностью…

Пост Лукацкого

Дорожная карта реализации Zero Trust в американском МинОбороны

ЗЫ. Раз уж 547-й приказ ФСБ «не рекомендует» писать про защиту ГИС и КИИ, будем приводить примеры вражеских систем защиты ☺️

Читать полностью…

Пост Лукацкого

Я уже писал про участие в семинаре Gartner, где они представляли свои прогнозы по ИБ на 2023+ годы, но забыл написать про них. И так, 8 тенденций:
📌 рост влияния темы приватности
📌 консолидация сервисов по защите web и периметра в единой платформе
📌 проекты Zero Trust будут терпеть часто неудачу
📌 при взаимодействии с третьими лицами ИБ будет выходить на первый план (тут и защитв от атак на цепочку поставок, и взаимоотношения с поставщиками и т.п.)
📌 принятие нормативки по борьбе с шифровальщиками
📌 атаки на АСУ ТП
📌 киберустойчивость войдет в повестку большинства гендиректоров
📌 многие компании создатут комитеты по ИБ (или замгендиров по ИБ), а также включат в систему оценку руководителей вопросы кибербеза

Читать полностью…

Пост Лукацкого

Очередной нюанс в обфускации URL. Последовательность %e2%80%8b значит ничего, то есть символ с нулевой длиной. Поэтому ptsecurity.com и pt%e2%80%8bsecurity.com теми же браузерами рассматриваются как идентичные. Интересно, как средства защиты на такую конструкцию реагируют?

Читать полностью…

Пост Лукацкого

У венчурных инвесторов на загнивающем нынче Западе в моде решения Remote Browser Isolation. По крайней мере в конце 2022-го года интерес к ним вырос и число инвестиционных раундов в такие стартапы возросло

Читать полностью…

Пост Лукацкого

📨 В Telegram набирает популярность новая фишинговая рассылка

Пользователи получают сообщение от своих контактов якобы с подарком подписки Telegram Premium. При переходе по ссылке жертва попадает в бот, где нужно ввести код, который придет от Telegram.

При передаче этого кода боту, злоумышленнику удается залогиниться в аккаунт пользователя, после чего он отправляет аналогичные сообщения его контактам и тут же удаляет их для атакуемого. Мошенникам получается получить доступ к тем аккаунтам, у которых не включена двухфакторная аутентификация.

Что делать, если вы передали код боту?

1. Зайти в настройки Telegram.
2. Устройства -> Завершить другие сеансы.
3. Сменить пароль.
4. Установить двухфакторную аутентификацию.

Читать полностью…

Пост Лукацкого

Виктора Бута вернули в Россию в результате обмена на американскую баскетболистку Бриттни Грайнер. США планировали также выторговать у Москвы своего шпиона Сергея Михайлова. Но этого не произошло. Обвиняемый в госизмене бывший руководитель ЦИБ ФСБ РФ остался отбывать срок в российской тюрьме.

Удивительно, что эта ошеломляющая новость осталась незамеченной. Американцы редко вступаются за своих агентов, которых изобличали в СССР и России. Делали это лишь тогда, когда агент был для них по-настоящему ценным, то есть его предательская деятельность причинила России максимальный вред.
 
Но кто же такой полковник ФСБ Михайлов и почему американцы вдруг захотели его обменять? Начальник 2 управления Центра информационной безопасности ФСБ РФ Михайлов начал сотрудничать с ЦРУ США примерно в 2009-2010 годах. В 2016-м его задержали, а в 2019 году осудили на 22 года лишения свободы за государственную измену.

За 6 лет работы на ЦРУ Михайлов не только создал глобальный миф о «русских хакерах», он по заданию американцев методично разрушал изнутри российские IT-компании и лично отправлял в тюрьму лиц, способных обеспечить кибербезопасность нашей страны.
 
Именно Михайлов в 2010-2011 годах уничтожил российский платежный интернет-сервис Chronopay Павла Врублевского, который вполне мог конкурировать с американскими платежными интернет-системами типа PayPal. 

К лету 2016 года Михайлов добился задержания в России и последующего осуждения хакерской группировки Lurk Константина Козловского, которая взломала серверы демократической партии США и электронную почту Хиллари Клинтон. 

Параллельно с этим агент ЦРУ Михайлов завербовал некоторых сотрудников «Лаборатории Касперского» (одного из них — Руслана Стоянова — в итоге осудили вместе с Михайловым). Он же организовывал перенаправление федеральных инвестиций в те компании IT-отрасли, которые в них не нуждались, например, в BI.ZONE Сбербанка. 

Поражает, что сведения о действиях одного из руководителей ЦИБ ФСБ против интересов РФ первыми стали сообщать лица из кибербезопасности. Только после многочисленных обращений УСБ ФСБ заинтересовалось деятельностью Михайлова. Многие из этих лиц стали свидетелями по делу Михайлова о госизмене — Врублевский, Козловский и Сачков из GROUP-IB.
 
С их помощью УСБ ФСБ раскрыло шпионскую сеть. Но даже несмотря на это, американцам удалось дискредитировать каждого свидетеля обвинения: Врублевский и Козловский были осуждены, а в прошлом году был арестован Сачков. Создается впечатление, что даже после раскрытия Михайлова и его подельников американцам удается последовательно добивать российский кибербез.

В этой связи важным становится вопрос — все ли агенты Михайлова, в том числе и в ЦИБе, были изобличены? Поскольку уголовное дело против Сачкова возбуждено ФСБ, не удивимся, что оно сформулировано на основании показаний Михайлова.

Все это объясняет заботу США о Михайлове — именно он в интересах США причинил максимальный ущерб российскому цифровому суверенитету. После ареста Сачкова уже не было смысла прятать шпиона, в связи с чем и встал вопрос о его обмене. Свое задание агент ЦРУ Михайлов выполнил.

Читать полностью…

Пост Лукацкого

Тысяча чертей, сударь! 😈 Не вам учить меня манерам! Предупреждаю вас! (с) д’Артаньян

Читать полностью…

Пост Лукацкого

Поговорили про КИИфикацию! Все никак не закопаем стюардессу ;-)

Читать полностью…

Пост Лукацкого

https://www.mitre.org/sites/default/files/2022-11/pr-2022-3034-medical-device-cybersecurity-regional-preparedness-response-playbook.pdf

Читать полностью…

Пост Лукацкого

АНБ выпустило отчет о своей деятельности; точнее ее публичной части. Верю, когда-нибудь настанет время, когда и наши регуляторы смогу выпускать такие же обзоры; тем более, что каждому есть чем похвастаться - кому-то больше, кому-то меньше, но есть 😌 А пока приходится сводить все за них ☕️

Читать полностью…

Пост Лукацкого

Шел 2022-й год… WannaCry продолжал входить в десятку самых-самых, в том числе и в солидных российских организациях 🤬

Читать полностью…

Пост Лукацкого

Без цензуры и заранее согласованных вопросов 🔥 Лукацкий (Positive Technologies), Гадарь (Тинькофф Банк), Голованов (Лаборатория Касперского), Горчаков (VK) и Куликов (СДЭК) 22 декабря в 11:00 обсудят неформальные итоги 2022 года SecLabNews">в прямом эфире Секлаб News.

Как на рынок повлиял массовый уход иностранных вендоров? Кому нужны утечки баз никому ненужных данных? Взломы российских ИБ-компаний: кого полюбят следующим? Выгорание или подгорание у специалистов ИБ? Что нас ждет в год нетолерантного кролика?

🤔 Хотите задать вопрос, который действительно вас волнует? Пишите в комментариях. Автору лучше вопроса подарим брендированную толстовку.

Читать полностью…

Пост Лукацкого

Ну и немного ссылок для тех, кто решит пересмотреть свои подходы к оценке защищенности удаленного доступа:
📌 Результаты опроса "Как устроена удаленная работа в России и странах СНГ" от Positive Technologies
📌Обзор рекомендаций по безопасной удаленной работе для предприятий критической инфраструктуры и не только от ЛК
📌 Требования ФСТЭК к средствам обеспечения безопасной дистанционной работы
📌 Рекомендации ФСТЭК по обеспечению безопасности объектов КИИ при реализации дистанционного режима работы
📌 Меры безопасной организации удаленной работы от НКЦКИ.
📌 Моя серия из четырех статей про безопасность удаленки, написанная еще во время COVID-19 (1, 2, 3 и 4).

Читать полностью…

Пост Лукацкого

Депутаты решили вновь заняться самым важным в текущий момент делом и тем, что они умеют лучше всего - что-нибудь позапрещать. А именно, они решили запретить удаленный доступ для уехавших заграницу россиян. Конечно же, не всем! Пока так и не ясно, кого коснутся запреты, - называются чиновники, работники госкомпаний и специалисты по ИБ; последних иногда сопровождает приписка про работу с секретной информацией, иногда нет. С чиновниками все понятно - по закону и так запрещено иметь части информационных систем госорганов за пределами страны, а удаленное рабочее место - это часть такой системы. Но вот со специалистами по ИБ, конечно, пока непонятно.

Запретят всем работникам или только, имеющим допуски к гостайне? Запретят везде или только в недружественных странах? Запретят всем организациям или только, например, субъектам КИИ? Запретят навсегда или во время отпуска или даже командировки в Беларусь (тоже иностранное государство, кстати) будет можно? Вопросов пока больше чем ответов. Я после начала частичной мобилизации хотел провести опрос по тому, что можно поручить "ох, уехавшим" айтишникам и ибшникам, но не успел. Депутаты меня опередили, посчитав, что нельзя ничего 🤬

Меня, безусловно, интересует механизм реализации законопроекта в случае его принятия, а судя по комментариям, его примут обе палаты не задумываясь (все для защиты чувств людей, "испытывающих ненависть к бежавшим, которых считают трусами"). Как депутаты вообще видят такую блокировку? Спустят сверху циркуляр "не пущать"? Или на погранконтроле будут снимать IP-адреса у всех уезжающих, вносить их в базу данных и передавать в ТСПУ для блокировки? А может просто заблокируют все внешние соединения? Вообще, запрещать удаленку - это как запрещать депутатам иметь собственность за границей. Запретить можно - проконтролировать нет 🤷‍♂️

ЗЫ. А Минцифры опять выступило хорошо - заявило, что они против тотального запрета удаленки. Посмотрим, прислушаются ли к профильному ведомству народные избранники?

Читать полностью…

Пост Лукацкого

Мне кажется, наших чиновников, исправит только могила 🙁 Госорган рассылает требование заполнить форму с персданными на врачей. На Google.Docs!!! Полный фарш персональных данных, который… очень быстро попадает в руки хакеров сопредельного государства.

И вот как это может быть в текущих условиях? И кто понесет за это ответственность? И кто должен на это реагировать?

Читать полностью…
Подписаться на канал