alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

А пока все солидные люди готовятся к поездке на ПМЭФ ТК26 подготавливает проект рекомендаций по квантово-криптографической защите.

Читать полностью…

Пост Лукацкого

АНБ, CISA, ФБР и ряд других организаций и компаний выпустили очередной бюллетень об опасностях ПО для удаленного доступа, которое может быть использовано не только в легитимных, но и вредоносных целях. В бюллетене даны TTP по MITRE ATT&CK, которые стоит отслеживать для мониторинга работы ПО для удаленного доступа, а также рекомендации - общие для всех рекомендаци и конкретные для MSP/SaaS, MSSP, разработчиков ПО для удаленного доступа.

Читать полностью…

Пост Лукацкого

MITRE вместе с NIST разработали проект документа NIST IR 8441"Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)" по защите гибридных спутниковых систем (земля + космос). Достаточно оперативно пишут, заразы (либо из загашников достали). О фокусе на защиту спутниковых группировок в целях нацбезопасности Байден высказал совсем недавно, а вот уже и документ почти готов. Вкупе с представленными матрицами атак (тут и тут) и конкурсом по легальному взлому спутника Moonlighter на DEFCON выглядит это все как то, что американцы сильно напряглись по поводу защиты спутников 🛰

ЗЫ. И это еще Илон Маск не включился в процесс 😊

Читать полностью…

Пост Лукацкого

Verizon выпустил свой традиционный ежегодный отчет по инцидентам DBIR. И хотя его почему-то называют все отчетом по утечкам, это не так. Тут скорее классическая ошибка, которая переводит слово "breach" как "утечку". Аналогичная проблема была и в GDPR и в нашем ФЗ-152 - почему-то все говорят об уведомлении об утечках, хотя в реальности число проблем, требующих уведомления гораздо шире. Но вернемся к DBIR.

В работе над отчетом принимало участие 67 организаций по всему миру; преимущественно из США и Европы. Из условно российских в работе над отчетом принимала Лаборатория Касперского ("условно", потому что ЛК тут выступает больше как международная компания). При этом с точки зрения проанализированных инцидентов львиная доля (3/4) приходится на США и Канаду, на втором месте регион EMEA (Европа, Ближний Восток и Африка); затем идет азиатский регион и Южная Америка.

Интересно, что в разных регионах отличаются популярные шаблоны организации атак. Например, у азиатов на первое место выходит социальный инжиниринг, а у остальных - это проникновение через уязвимости. Мотивация тоже в азиатоском регионе отличается от других - если везде на первое место выходит финансовый интерес (в США - это вообще 99% всех атак), то в Азии хоть монетизация и интересна хакерам, но не в 90+% как у других. Шпионаж занимает 39%, что в 4-5 раз превышает аналогичный показатель предыдущих стран.

В отчете много различной статистики по тому, как злоумышленники получали доступ к данным, что закономерно приводит нас к вопросу: "А маппинг на MITRE ATT&CK есть?" Есть! Также как и маппинг в защитные меры CIS Controls. Эти два фреймворка, один для описания действий хакеров, второй - для описания защитных мер, стали уже стандартом де-факто в США. И хорошо то, что DBIR стал теперь не только описывать тренды и давать статистику, но и перешел в более практическую плоскость - позволяет понять самые популярные техники "плохих парней", а также способы противодействия им.

Читать полностью…

Пост Лукацкого

В 2018-м году Gartner предсказывал, что скоро пентесты уйдут с рынка и их заменят BASы и Red Teaming. Пока мы видим, что ушел Gartner 😂

ЗЫ. Но разделение red team и пентестов интересное… 👍

Читать полностью…

Пост Лукацкого

В 2013-м году Роскомнадзор выпустил 996-й приказ, утверждающий методы обезличивания. Так вот в ту самую пору я из лесу вышел, был сильный мороз был я участником разработки этого самого приказа и методички к нему. И к предложенным изначально 4-м методам обезличивания я предложил 5-й, хеширование и шифрование. Так как вообще-то, в нормальном обществе, хеширование, как и криптография в целом, как раз и являются методами обезличивания персональных данных (если не вдаваться в отличия обезличивания от анонимизации и псевдонимизации).

И только у нас это считают средством криптографической защиты (хотя хеш-функция не может быть средством, в отличие от продукта, реализующего хеш-функцию) со своим отдельным регулированием. И руководство РКН того времени направило версию проекта приказа по обезличиванию, включающую и шифрование с хешированием, на согласование в разные ведомства. Из ФСБ тогда пришел отлуп и пятый метод обезличивания был исключен из финальной версии приказа №996. А жаль...

ЗЫ. Как из хешированных данных понять, что там есть хоть какая "информация, относящаяся прямо или косвенно к определенному или определяемому лицу", представители РКН вряд ли смогут ответить - они вообще в технических вопросах не очень сильны. Также они ли вряд ли смогут объяснить, почему хеширование не попадает под определение обезличивания, то есть "действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных"?

ЗЗЫ. Скан взят из канала @bureaucraticsecurity

Читать полностью…

Пост Лукацкого

Если вчера в блоге я рассмотрел курс на практическую безопасность, взятый нашими регуляторами, то сегодня мы пойдем чуть дальше и посмотрим на результативный кибербез, который развивает описанный тренд за счет четкого целеполагания и контроля его достижения. Недопустимые события, багбаунти, пентесты на максималках и вот это вот все. Результативный кибербез не противоречит практическому, описанному вчера. 2-й и 3-й этапы, упомянутые в конце вчерашней заметки, и есть реализация практической ИБ. Поэтому все, что вы делаете в рамках выполнения свежих требований ФСТЭК, ФСБ, Минцифры, не пропадет. Но чтобы перейти на новый уровень и сделать шаг в развитии и своего кибербеза и себя, вам нужно сфокусироваться на том, что важно для бизнеса и доказать, что вы можете это не допустить.

Читать полностью…

Пост Лукацкого

Что-то меня смущает, что все, о чем я фантазирую в канале, потом вдруг где-то всплывает в реальности. Писал я тут про MITRE ATT&CK для космической отрасли и космических аппаратов 🛰. И вот в субботу стало известно, что на августовском DEFCON 5 команд хакеров будет пробовать взломать космический спутник Moonlighter. Учитывая атаки на украинский Viasat 📡, а также российские спутники вещания во время СВО, данный сценарий уже не кажется таким уж и фантастическим.

Поэтому отработка техник и тактик нападения, а также защиты, вполне укладывается в общий курс обеспечения национальной безопасности США, который затем будет навязываться всем их сателитам (двусмысленно читается, согласен). Ну а если меня читают коллеги из Роскосмоса и они тоже хотят проверить свои спутники, то у нас осенью будет очередной Standoff и еще есть время реализовать этот сценарий.

ЗЫ. Картинка Бена Каплана

ЗЗЫ. То, что сегодня взломали очередное телерадиовещание и разместили якобы экстренное сообщение В.В.Путина о введении военного положения и всеобщей мобилизации, опять случайность. Пост к этому никакого отношения не имеет!!!

Читать полностью…

Пост Лукацкого

Инфотекс опубликовал итоги расследования компрометации пользователей своего сайта 🧑‍💻. Если вкратце, то атака supply chain через разработчика нового сайта 😈

К опубликованным результатам, как и к первоначальному сообщению об инциденте, есть вопросы. Но открытость компании все равно можно только приветствовать.

А всем лишнее напоминание о том, что обычно веб-студии нихрена не понимают в ИБ и их работы надо проверять и перепроверять. У меня был опыт запуска сайта Информзащиты два десятка лет назад и промо-сайта Cisco и с тех пор ситуация несильно изменилась 😭

ЗЫ. Сайт был на Битриксе, который в последнее время ломают частенько. Поэтому обратите внимание на рекомендации.

Читать полностью…

Пост Лукацкого

Про новый приказ ФСБ по мониторингу защищенности я уже написал в пятницу вечером. В блоге же я попробовал не просто пересказать приказ, а задаться рядом вопросов, которые у меня возникли при его прочтении. Да, по мере правоприменения, думаю, многое станет ясно, но пока вопросов больще чем ответов. Также я попробовал порассуждать над тем, кто же у нас отвечает за защищенность - ФСТЭК, ФСБ или Минцифры, каждый из которых выпустил какой-то НПА (и не один) на эту тему. Ну и завершил все списком полезных, как мне кажется, ссылок по теме анализа защищенности.

Читать полностью…

Пост Лукацкого

У Gmail появилась фича, позволяющая проверить, попала ли ваша почта в базы, слитые в Darknet, и узнать, какие действия стоит предпринять для защиты своей учетной записи. Пока что данная функция доступна только для американцев с подпиской Google One, но обещают, что эта возможность появится у пользователей еще 20 стран в ближайшее время. Может и Россию не забудут.

Тут интересно не сама возможность, а то, что рядовых пользователей все активнее вовлекают в свою персональную ИБ. Такое же делает Mozilla, VK, Яндекс. Они интегрировали свои продукты и системы с внешними или внутренними сервисами по проверке утечек и сообщают пользователям, когда их учетные записи стали достоянием плохих парней. Тут главное, чтобы пользователь на основе полученной информации что-то все-таки сделал, а не игнорил предупреждения, а то потом он же будет обвинять всех вокруг, что о его кибербезопасности никто не побеспокоился.

ЗЫ. Вношу рацпредложение: сделать такой же сервис на Госуслугах! Тогда и охват будет шире!

Читать полностью…

Пост Лукацкого

Кто-то тут видит рекламу средства для повышения потенции, висящую над писсуарами в туалете аэропорта Внуково. А я вижу рекламу средства защиты информации, которое удлиняет путь злоумышленника до его цели.

Читать полностью…

Пост Лукацкого

Whatsapp запустил центр безопасности, рассказывающий, как сделать работу с мессенджером более защищенной

Читать полностью…

Пост Лукацкого

На портале правовой информации опубликован приказ ФСБ от 11.05.2023 № 213 "Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими", разработанный во исполнение подпункта в) пункта 5 Указа 250.

Согласно данному приказу:
1️⃣ Мониторингом защищенности занимается 8-м Центром ФСБ.
2️⃣ Мониторинг осуществляется только в отношении периметра организаций, попадающих под действие Указа 250.
3️⃣ Все попавшие под действие приказа организации должны отправить в ФСБ информацию о свою доменах, внешних IP, а также об их изменении (по мере изменения и добавления)
4️⃣ Мониторинг осуществляется непрерывно и заключается в выявлении публично доступных сервисов, уязвимостей и оценки защищенности организаций
5️⃣ Блокировать сканирование запрещено
6️⃣ Оценка защищенности осуществляется без предупреждения со стороны ФСБ
7️⃣ Оценка защищенности осуществляется на основании плана, утверждаемого начальником 8-го Центра ФСБ. Выписки из них направляются тем, кого будут оценивать
8️⃣ Если в результате оценки защищенности ресурсы организации выходят из строя, об этом надо сообщить в порядке, определенном приказом
9️⃣ Если по результатам оценки защищенности выявляется неспособность ресурсов организации противостоять угрозам ИБ, ФСБ выдает предписание по обеспечению безопасности

Читать полностью…

Пост Лукацкого

Многие средства защиты, продаваемые на российском рынке, похожи на представленные средства стимуляции мозга. Деньги на них тратятся, а эффекта ноль; кроме чувства ложной защищенности и помощи 🆘 Некоторые еще и вредят. Но их покупают. Потому что никто не хочет прилагать усилия к своей защите - все хотят волшебную пилюлю.

В лучшем случае продукт сертифицирован, что говорит только о его соответствии требованиям регулятора, но не применимости в конкретном сценарии. Иногда продукт просто покупают, потому что реклама хорошая или бюджет надо потратить или еще какие причины. Но вот вписать в договор на поставку условие оплаты только при достижении результата купленным продуктом, увы, нет. И вендор, продающий «AS IS», не согласен, и заказчик не готов. Потому что сам не знает, какой результат нужен от покупаемого продукта. И еще не хочет сам отвечать за достижение результата (это же совместный труд).

Так и живем 😕

ЗЫ. Кстати, кабину Райха с первой фотки я бы купил. Это, похоже, обычный шкаф из ИКЕА, но названный иначе. А мне как раз шкаф на дачу нужен…

Читать полностью…

Пост Лукацкого

Вы еще не пересматривали видео с PHDays? А зря. Во-первых, мы разбили на Youtube все по positiveevents5242/playlists">плейлистам, соответствующим трекам программы PHD. А во-вторых, вы можете увидеть там то, что пропустили на самом мероприятии, так как не смогли физически присутствовать на всех 13 параллельно идущих треках.

Например, доклад Росбанка о том, как они считают рублем свою кибербезопасность и согласовывают свои расчеты с финансовым директором. Озвученный вывод о том, что инвестировать в ИБ банка и в сам Росбанк выгоднее, чем инвестировать в акции Microsoft, Apple, Google, Amazon и Nvidia, конечно, еще требует осмысления. По такой логике вкладывать в акции Позитива еще выгоднее - у 🟥 рост даже больше (мы еще и дивиденды выплачиваем, не что, что некоторые 🤑). Но это уже детали. Тут интересен сам опыт расчета ROI, а также рисков ИБ, и согласования этих расчетов с топ-менеджментом компании.

Читать полностью…

Пост Лукацкого

Олег у себя написал заметку про атаки на web-сайты под управлением Битрикс и задался сакраментальным и риторическим одновременно вопросом. Если ФСТЭК выпускает рекомендации и требования по оценке защищенности и устранению уязвимостей, НКЦКИ выпускает бюллетени по уязвимостям в Битриксе, РКН расследует факты утечек через уязвимый Битрикс, ресерчеры находят уязвимости, ИБ-компании выпускают рекомендации по защите, сам Битрикс вроде как выпускает обновления, то почему Битрикс продолжают ломать, а его клиенты не обновляют свои web-ресурсы? 😕 Я решил чуть развернуто прокомментировать его заметку и добавить несколько предложений по решению этой проблемы.

ЗЫ. Исходная заметка Олега.

Читать полностью…

Пост Лукацкого

Я за этим делом слежу по телеграм-каналам, но вот и Коммерсант написал статью. Оно, конечно, интересное. Хакерская группа, ломавшая банки по всему миру (кроме России и СНГ), была задержана ФСБ и ее пытаются осудить в военном гарнизонном суде. Это уже само по себе интересно, так как военные суды у нас занимаются делами военнослужащих, а значит кто-то из задержанных носил погоны во время своих хакерских проделок (на самом деле речь идет о сотруднике ФСБ, хотя первоначально следствие это опровергало, но в финальным материалах дела уже согласилось с этим). Интересно, почему еще западные СМИ не публикуют сенсационные расследования о том, что наконец-то появились доказательства, что пресловутые русских хакеры - это и есть военные 🫡

Особую пикантность в дело добавляет тот факт, что предполагаемый главарь группировки имеет благодарность от Президента Путина за обеспечение кибербезопасности при проведении Чемпионата мира по футболу в РФ в 2018 году, а также грамоту от директора ФСБ РФ за обеспечение кибербезопасности РФ. При этом в защищающих группировку телеграм-каналах утверждается, что одно время она выполняла даже функции кибервойск РФ, а один из участников группировки обращался и ФСБ, и к Евгению Пригожину (ЧВК Вагнер), с предложением вернуть группировку в «строй», чтобы она послужила России в текущем геополитическом конфликте.

В общем, интересная история.

Читать полностью…

Пост Лукацкого

Почувствуйте разницу, так сказать. Внимательным +1 в карму 👀

Читать полностью…

Пост Лукацкого

Сегодня я читал в одной солидной компании тренинг для топ-менеджеров по кибербезопасности и в качестве одного из кейсов показывал, как можно сделать дипфейк на обычном домашнем компьютере и насколько он будет неотличим от реального видео. А тут очень удачно попалось две новости, показывающие, что это уже не единичный случай, а вполне себе серьезная история, имеющая далеко идущие последствия 😭

Во-первых, взлом телекомпании "МИР" и демонстрация в ее эфире в течение почти 40 минут фейкового выступления Президента России, который "объявил" о всеобщей мобилизации и введении военного положения в приграничных районах. А во-вторых, история с китайским г-ном Гуо, который работает в технологической компании в Фучжоу (Китай) и который после проведения видео-звонка с мошенником, использующим дипфейк и замаскировавшемся под друга жертвы, перевел ему "на бизнес-проект" 4,3 миллиона юаней (667 тысяч долларов) 🤑

Три кейса. В одном я представился генеральным директором компании, а мог бы и его фото подставить в любой ролик, в том числе и нелицеприятный. Во втором, дипфейк (а там голос не совпадал с движением губ) мог бы обрушить курс акций компаний, если бы в уста высокопоставленного чиновника вложить совсем другой текст. Третий же кейс показывает как дипфейки могут повлиять на конкретного человека и заставить его выполнить то, о чем он потом будет жалеть 😰

А вы знаете, что противопоставить дипфейкам?

Читать полностью…

Пост Лукацкого

Приветствую различные формы обучения, но в данном случае у меня есть вопросы к этим организаторам обучающего марафона желаний:
1️⃣ Где они видели таких женщин после 40? У меня, конечно, есть предположение, но боюсь тогда для них не очень актуально это предложение. Хотя такой образ может быть у 14-тилетнего СММщика, для которого девушка в 25 уже старуха 👵, а 40+ - вообще ближе к сказочной героине, жрущей добрых молодцев, с именем, начинающемся на Б, а заканчивающемся на А (из двух слов)
2️⃣ Когда обещают доход в миллион, но денег не берут, это выглядит как реклама от прыщавых юнцов «зрелым дамам куни бесплатно» (извините за мой французский)
3️⃣ «До 1 миллиона»? 13 тысяч тоже подходит 😭
4️⃣ До 1 миллиона в год? Тогда для ИТшника это немного. В месяц? Что ж ты сам тогда там не работаешь?
5️⃣ Почему в одной рекламе из женщины хотят сделать айтишницу, а в другой - айтишника? Или на тест-драйве профессий будущего совмещают ИТ и толерантность, а будущий айтишни(к|ца) становится еще и трансгендером. А что, айтиквир, это модно 😱

Хорошо, что кибербез так не рекламируют. А то я бы вышел с инициативой о пожизненном блокировании автора такой рекламы.

Читать полностью…

Пост Лукацкого

Обновляю тут презентацию по повышению осведомленности в области ИБ для рядовых пользователей...

Читать полностью…

Пост Лукацкого

Как пишут индийские СМИ причиной крушения поездов в Индии, в результате которого погибло почти триста и ранено более 1000 человек, стало изменение в системе электронной блокировки, отвечающей за контроль движения поездов и отсутствие конфликтов, приводящих к потенциальному столкновению. Но что-то пошло не так... Я, конечно, не стрелочник, но допускаю, что причиной этого недопустимого события мог быть и компьютерный инцидент. По крайней мере такой сценарий заложен в киберполигоне Standoff, видео с которого я показал в канале на днях (что интересно, именно фрагмент с крушением поездов), а у нас все сценарии основаны на реально возможных событиях.

ЗЫ. Причины инцидента в Индии пока выясняются...

Читать полностью…

Пост Лукацкого

Три столпа анализа/контроля/оценки/мониторинга защищенности!

Читать полностью…

Пост Лукацкого

Люблю это фотку с PHD’12 (но не с 12-го по счету, а из 2012-го).

ЗЫ. Надо обязательно добавить «олды поймут» ;-)

Читать полностью…

Пост Лукацкого

На секции про искусственный интеллект и кибербезопасность на ЦИПРе Руслан Юсуфов рассказывал историю, как таксист 🚕, который как-то вез его, узнал и стал спрашивать про цифровую сингулярность 😊 Меня, конечно, таксисты еще не узнают (правда, когда я был молод, стюардессы узнавали в самолетах, - так часто я летал), но зато водители маршруток и автобусов 🚘 демонстрируют похвальную осведомленность в том, что происходит с рынком киберпреступности 😡

Читать полностью…

Пост Лукацкого

Прошло то время, когда то на рекламных плазмах на Садовом кольце, то на киосках метрополитена хакеры порнографию демонстрировали 🤔. Городская среда все кибербезопаснее становится... В том же метро на баннерах советы по ИБ показывают (тут и тут). Так глядишь и в рейтинге городов с самой безопасной цифровой средой станем выше всех. Главное, чтобы там дроны не учитывали как фактор кибербезопасности....

Читать полностью…

Пост Лукацкого

Неожиданно попал в список лучших тренеров по ИБ. Приятно, чо 😊 Хотя, по чесноку, текст писался явно не тем, кто у меня учился, а по моим соцсетям и видосикам. Но описание меня со стороны все равно прикольное. Ментор-акула...

Читать полностью…

Пост Лукацкого

Если вдруг у вас сайт на Битриксе и его "случайно" взломали в последние дни, то стоит обратить внимание на данные рекомендации. Ну а если не сломали, то тоже стоит обратить.

Читать полностью…

Пост Лукацкого

До недавнего времени вся деятельность по ИБ попадала в единственный ОКВЭД 74.90.9 (деятельность в области защиты информации), что явно не отражает всего спектра мероприятий, которыми занимаются отечественные ИБ-компании, начиная от разработки ПО и заканчивая оказанием услуг в области ИБ. Приказом Росстандарта от 03.04.2023 N 178-ст было введено 10 новых и изменено 2 существующих вида деятельности в области ИБ. Так, например, отдельный код появился у мониторинга ИБ, контроля защищенности, сертификации средств защиты информации и т.п. По сути, классификатор был приведен в соответствие с существующими в соответствующих положениях о лицензировании деятельности по защите информации и шифрованию (ПП-79 и ПП-313 соответственно).

Сделано это для решения разных задач:
1️⃣ Поддержка во времена санкций (по аналогии с тем, как это было сделано с ИТ с начала СВО)
2️⃣ Предоставление адресных льгот отдельным ИБ-компаниям
3️⃣ Фокусное регулирование и установка требований
4️⃣ Анализ отечественного рынка кибербезопасности.

Если вы работаете в ИБ-компании, то стоит обновить свои документы, для учета нового классификатора.

Читать полностью…
Подписаться на канал