На PHD12 не только VK занимался повышением осведомленности пользователей, но и холдинг Rambler, который к киберфестивалю запустил и онлайн-игрушку, и советы по ИБ от "Кибербезопакла", легендарного первого ИБшника 🤔 Наконец-то у нас awareness стал входить в моду и про него говорят уже не только ИБ-компании!
Читать полностью…Новое отечественное Security Experts Community – "это открытое сообщество специалистов по ИБ, которые хотят делать мир чуточку безопаснее и помогать коллегам на пути обеспечения защищённости своей инфраструктуры". Про него рассказали в некоторых докладах и дискуссиях на PHDays и уже сейчас в нем обсуждаются и реализуются всякие open source инициативы, к которым можно присоединиться, начав "дружить домами".
Читать полностью…Сколько тратить на ИБ от ИТ-бюджета?! 🛍 Вопрос до сих пор наипопулярнейший. Из этого заблуждения (что ИБ - это часть ИТ и считаться должна именно от ИТ) проистекает огромное количество проблем. А ведь если задуматься, то мы защищаем не ИТ, мы защищаем активы, мы нейтрализуем риски, мы боремся с недопустимыми событиями. И бюджет на ИБ должен зависеть от их стоимости, а не от того, сколько ИТ тратит на сетевуху, ОС, СУБД и принтеры.
Читать полностью…PHDays завершился; как и сутки молчания, связанные с погружение в киберфестиваль. Скоро придет время порефлексировать над произошедшим. Как организатор бизнес-трека, я так и не смог послушать ни одну из сессий (кроме двух, модерируемых мной). Но зато сейчас есть время все внимательно пересмотреть и переслушать, чтобы выцепить ключевые идеи, которые я буду потихоньку выкладывать.
Читать полностью…👨💻 Более 8 тыс. человек проверили портал Госуслуг на прочность
В начале февраля мы запустили проект по поиску уязвимостей на Госуслугах. За три месяца количество участников багбаунти превысило 8,4 тыс. За успешную работу участники получают вознаграждение: подарки с символикой проекта — за небольшие баги, до 1 млн рублей — за критические уязвимости.
По итогам проекта можно сказать, что работа исследователей помогла улучшить систему безопасности Госуслуг. При этом доступа к внутренним данным не было — участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга (чтобы их нельзя было использовать для взлома).
Уязвимости и выплаты
Всего найдено 34 уязвимости, большинство из них — со средним и низким уровнем критичности. Максимальная выплата составила 350 000₽, а минимальная — 10 000₽. Спонсор проекта — Ростелеком.
Возраст багхантеров
➖ минимальный — 17 лет
➖ средний — 28 лет
➖ максимальный — 55 лет
Тестирование проходило на платформах:
➖ BI.ZОNE Bug Bounty
➖ Standoff 365
В будущем мы планируем и дальше проводить багбаунти Госуслуг, а также расширить действие программы на другие ведомства. Следите за анонсами в канале, чтобы не пропустить запуск следующего проекта.
@mintsifry
Помнится, когда Cisco Talos назвал одну из хакерских атак Squirrel Waffle ("беличья вафля"), у меня возникла мысль, что придумывают такие названия в каком-то особом состоянии сознания. И вот у нас новый лидер. "Текущий волк"? 🐺 Кто это придумал?! 🤔
ЗЫ. Хорошо, что не "текущая волчица" 😊
Всегда хотел во всю голосину спеть «Выйду ночью в поле с конем». А теперь и повод появился ;-) На PHD возвышается большая скульптура троянского коня, в чреве которой устроен бестиарий киберугроз, рассказывающий о самых нашумевших вирусах, троянах, червях и т.п. недавнего прошлого и настоящего.
ЗЫ. У вас тоже есть шанс посетить его - так как он находится в открытой части киберфестиваля PHD в Парке Горького, открытого до субботы включительно.
Было время, в Интернете шутили про ИБ. Сейчас что-то шуток стало гораздо меньше. Имеющиеся каналы с ИБшными мемасиками сдулись и прекратили свою активность. Видимо, не время сейчас шутить, "Отечество в опасности", как говорилось в известном декрете заксобрания Франции 1792-го года!
Читать полностью…Ну и в продолжение предыдущего поста про помощь иностранному государству. Не знаю как вам, но мне, наши украинские товарищи, по доброте душевной, прислали тут на днях смску с предупреждением, что нельзя ни в коем случае вестись на происки американской, а также европейской, китайской и даже белорусской разведок, так как взаимодействие с ними может бать квалифицировано по статье 275 УК РФ. При этом хочу поблагодарить украинских товарищей, которые предупредили меня об этом заранее, до того, как ролик ЦРУ появился в Интернете. Так я не совершил роковой ошибки и не связался с ЦРУ! И хотя в присланной смске был просто скопирован текст 275-й статьи УК РФ, я понял скрытый смысл этого сообщения, которое меня спасло от непоправимого!
А чтобы от этого поста была хоть какая-то польза, хочу напомнить, что существует три сценария, когда вы можете изменить стране:
😏 Вы это сделали осознанно, передав иностранной организации что-то, что является угрозой для безопасности России
😡 Вас использовали втемную, попросив поучаствовать в каком-нибудь исследовании и т.п.
😱 Вы сделали что-то, даже не задумываясь о последствиях, но что могло привести к реализации угрозы безопасности России.
Приведу классический пример для третьего случая, так как он самый неочевидный. Представьте, что в региональной прессе публикуется статья об успехах хлеборобов, которая сопровождается фотографией хлебного фургона, стоящего у ворот местной воинской части и подписью "Ежедневно наши военные получают целый фургон хлеба, выпеченного на нашем местном заводе имени Отто Фредерика Роведдера". Безобидная статья и безобидная фотография времен СССР! Но вот незадача. Количество буханок хлеба в фургоне - это константа и оно не представляет секрета. Ежедневная норма хлебобулочных изделий на одного военнослужащего тоже не секрет. То есть поделив первое на второе мы получаем численность военнослужащих местной в/ч, а это уже гостайна и ее неосознанное раскрытие прекрасно попадает под статью 275; даже если вы об этом не думали. А вы думайте!🏌️
У многих маркетологов перед оффлайн-мероприятиями всегда встает (а если не встает, то они маркетолухи) вопрос мерча (на PHDays 12 уже начали продавать свой мерч). Предлагаю надписи для футболок:
👕 Go BUG yourself - для организаторов программ bug bounty
👕 Go HACK yourself - для производителей BAS-решений
👕 Go TRACK yourself - для производителей UEBA-решений
👕 Go FSTEC yourself - для производителей сканеров исходных кодов и компаний, проводящих оценку соответствия
👕 Go SOC yourself - для поставщиков SIEM
👕 Go BLOCK yourself - для производителей МСЭ
ЗЫ. Отдаю идеи бесплатно - за футболки с надписью 🎽!
И просматривая список команд, участвующих в начавшейся сегодня битве Standoff, увидел цепляющее название команды из Сицилии - EvilBunnyWrote. Я думал, сицилийские хакеры назовут себя как-нибудь традиционно. Например, CyberKozaNostraH. Но нет.
Не думал, что между итальянским и русским языком столько общего, роднящее хакеров наших стран. А у меня и футболочка с классикой русского, и теперь становится понятно, что итальянского языка, есть для такого случая. Думаю надеть на PHD ;-)
На прошлом PHDays я модерировал дискуссию про open source, где среди прочего задал вопрос представителю Минцифры о планируемом государевом репозитории ПО, который мог бы стать источником проверенного софта, которое в свою очередь можно было бы использовать, например, на объектах КИИ, для которых нет отечественных, да еще и сертифицированных средств защиты. Но этого репозитория, к сожалению, до сих пор нет и не очень понятно, когда он вообще появится, что приводит к появлению собственных открытых репозиториев ПО - корпоративных или у госорганов 💻
Но Минцифры, состоящее из разных департаментов (а за репозиторий и кибербез отвечают разные), не сидело без дела и выпустило методические рекомендации по обеспечению ИБ при создании и эксплуатации открытых репозиториев программного обеспечения, в котором собрало то, что должно повысить защищенность ПО, размещаемого в "русском гитхабе/гитлабе". Помимо традиционных защитных мер в виде антивирусов, контроля и разграничения доступа, сетевой безопасности и т.п., Минцифры рекомендует и более интересные механизмы результативного кибербеза:
1️⃣ Информирование регуляторов (ФСТЭК, ФСБ или ЦБ - в зависимости от того, кто создает репозиторий) об уязвимостях, выявленных в загружаемом в репозиторий ПО
2️⃣ Регулярный анализ защищенности репозитория на предмет уязвимостей в инфраструктуре (не в размещаемом ПО)
3️⃣ Регулярные пентесты и багбаунти, которая названа достаточно длинно и сложно - программа по выявлению уязвимостей инфраструктуры с возможностью привлечения независимых экспертов и исследователей программного обеспечения за вознаграждение.
Помимо встроенных в репозиторий мер, Минцифры рекомендует предлагать пользователям открытого репозитория и коммерческие сервисы ИБ (Минцифры заботится об отечественном рынке кибербеза):
1️⃣ Тестирование размещаемого ПО на уязвимости
2️⃣ Программа багбаунти
3️⃣ Публикация отчетов о безопасности ПО
4️⃣ Безопасная разработка (SecDevOps).
Хорошая тема. Интересно, распространяются ли данные рекомендации на защищенный репозиторий ядра Linux отечественных защищенных операционных систем, созданный совместно ФСТЭК и ИСП РАН?
Когда тебе кто-то навязывает свой взгляд на безопасную разработку, то стоит спросить его, а сколько новых обновлений ПО в день у него внедряется в прод? И с одной стороны это очень простой и понятный показатель, а с другой - он показывает, насколько вообще зрелое отношение к безопасной разработке у участников дискуссии.
Например, вы сами софт не пишите, но требуете от других выполнять ваши обязательные нормативы, рассчитанные на жизненный цикл мероприятий по ИБ в несколько дней минимум (и это еще прям спринтерская скорость). И как реализовывать эту нормативку, когда у вас по несколько десятков обновлений ПО в день минимум? А может и по несколько тысяч. Тут нужны совсем иные подходы, которые, кстати, могут быть не очень применимы для компаний с достаточно консервативной разработкой.
Поэтому многие задачи в ИБ имеют более одного решения и навязывать какое-то одно не совсем правильно. Скорее стоит стремиться в сторону описания желаемого/итогового результата, а уж каким образом он достигнут, не так уж и важно (с некоторыми оговорками).
Сыну в институте дали задание... Интересная история, кстати. Я тут подумал, а что если вместо тестового вируса EICAR 🦠, используемого как раз для демонстрации сработки антивирусных программ, преподаватель по доброте душевной отправит что-нибудь из коллекции vx-underground, а студенты доверяя преподу запустят вирус на своем домашнем компе? А если это единственный комп в семье и на нем же работает папа/мама на удаленке? Интересная конструкция может получиться 🤔
С другой стороны, это хорошая проверка наличия критического мышления у студента. Если он, не задумываясь, запускает вирус, который преподносится как тестовый, на своем компе, то в ИБ ему еще рановато идти и есть, куда и какие навыки развивать. А вот если он начинает спрашивать у препода про гарантии и ответственность или просто интересоваться вопросом из песни Слепакова "А что, глядь, если нет?", то это прям хороший кандидат в ИБ.
ЗЫ. Сын 👦🏼 не стал бездумно запускать вирусы - поинтересовался последствиями и т.п. Значит не зря все 🤠
Извещение об инциденте утечки ПДн из базы данных сайта ИнфоТеКС
20 мая около 19:00 в телеграмм-канале "Утечки информации" была опубликована информация о появлении в открытом доступе данных, полученных предположительно из базы данных пользователей сайта www.infotecs.ru. По факту публикации компания «ИнфоТеКС» незамедлительно начала проверку данной информации. Превентивно был отключен личный кабинет (ЛК) пользователей сайта www.infotecs.ru, а спустя 3 часа после старта проверки была остановлена работа всего сайта с целью детального анализа логов и образов виртуальных машин, реализующих ИТ-инфраструктуру сайта.
В 22:00 20 мая после блокировки доступа к личному кабинету пользователей началось детальное расследование данного инцидента специалистами компании «ИнфоТеКС» и экспертами компании "Перспективный мониторинг" (входит в ГК «ИнфоТеКС» и является аккредитованным центром ГосСОПКА).
Проверка подтвердила факт утечки базы данных с учетными записями зарегистрированных пользователей сайта. Предварительно установлено, что компрометации подверглась только база данных учетных записей пользователей сайта, содержащая следующие обязательные для заполнения пользователем поля: логин, имя пользователя и адрес электронной почты. Пароль доступа в базе не хранится, вместо него в базе хранится хэш от пароля, по которому пароль восстановить невозможно. Анализ базы показал, что из 60 911 записей скомпрометированной базы подавляющее большинство являются фейками, автоматически сгенерированными записями ботов, одноразовыми, технологическими записями и тп. В настоящее время идет очистка базы от устаревших данных, расследование инцидента продолжается. Уведомление об инциденте направлено в Роскомнадзор в соответствии с требованиями.
Также расследование установило, что сервисы сайта ИнфоТеКС (веб-сервер, система управления сайтом, операционные системы, системы виртуализации и балансировки нагрузки) не были скомпрометированы злоумышленником. Учетные записи сервисов сайта хранятся в других базах и не были скомпрометированы. В ближайшее время сайт www.infotecs.ru будет запущен в работу.
Все программное и аппаратное обеспечение сайта www.infotecs.ru расположено в выделенном контуре безопасности, не имеет возможности взаимодействовать с внутренней ИТ-инфраструктурой компании. Работа с сайтом как пользователей, так и администраторов сайта осуществляется исключительно через документированные возможности систем управления сайтом и вспомогательными системами через защищенные SSL/TLS-соединения. Никакого ущерба внутренней ИТ-инфраструктуре компании нанесено не было. Все бизнес-процессы компании продолжают функционировать в штатном режиме. Данный инцидент никак не повлиял на разработку и выпуск продуктов ViPNet, их качество и безопасность.
Что касается содержания скомпрометированной базы данных и безопасности персональных данных пользователей сайта «ИнфоТеКС», отметим, что при регистрации на сайте пользователь может внести в базу еще ряд необязательных полей, таких как ФИО, телефон, место работы, должность и т.д. Эти данные компания никогда и не при каких условиях не передает третьим лицам, а использует исключительно в собственных маркетинговых целях. В большинстве учетных записей эти поля не заполнены. Верифицируемыми данными, помимо логина и хэша, является только адрес электронной почты, который используется в процедуре регистрации пользователя. Остальные данные компания «ИнфоТеКС» не проверяет и не может подтвердить или опровергнуть их корректность.
Мы настоятельно рекомендуем зарегистрированным пользователям сайта www.infotecs.ru оперативно сменить пароль доступа к ЛК сразу после того, как он будет запущен в работу. Об этом мы сообщим дополнительно.
Если пользователь сайта www.infotecs.ru использовал при регистрации тот же логин и пароль, что используется в других учетных записях (личных и корпоративных), настоятельно просим сменить этот логин и пароль во всех своих учетных записях, не дожидаясь запуска в работу ЛК.
Помните, на CISO Forum, во время интервью на сцене, которое я брал у Владимира Бенгина, был упомянут проект "русский Shodan"? Так вот на PHDays компания CyberOK рассказала о "русском Shodan", новом сканере сетевого периметра Rooster, который может просканировать все адресное пространство IPv4 всего за сутки. А в презентации CyberOK про Rooster на PHDays было упомянуто, что проект делался для Минцифры. Все сошлось! 🧐
Но было бы глупо делать просто "еще один Shodan". У Rooster есть и ряд ключевых отличий. Во-первых, он сканирует все TCP-порты, а не ограниченное их число как Shodan. Во-вторых, он детектит уязвимости не через анализ заголовков/баннеров уязвимых сервисов. Да, их многие не меняют, но это сродни афоризму Козьмы Пруткова "не верь глазам своим" или более народному "На заборе хрен написано, а там дрова лежат!". Поэтому у Rooster проверки наличия реальной уязвимости делаются иначе.
А если вспомнить антипленарку на "Магнитке", то, помните, там прозвучала идея об автоматических штрафах за наличие неустраненных критических уязвимостей на периметре организаций, которые могут привести к проникновению внутрь и утечке ПДн, за которой последует оборотной штраф? Учитывая, что за ПДн у нас отвечает Минцифры, законопроект об оборотных штрафах готовит Минцифры, на Магнитке в антипленарке участвовало Минцифры, "русский Shodan" затевало Минцифры, то я бы, сложив буквы А, Б, В, Г и Д, получил бы прекрасное и защищенное будущее, которое нас ждет.🔮
Российское IP-пространство сканируется на ежедневной основе, автоматом выявляются уязвимости, автоматом рассылаются уведомления о необходимости их устранения, автоматом проводится повторная проверка, автоматом выписывается штраф за неустранение уязвимости после определенного интервала времени или отсутствии реализации компенсирующих мер, делающих невозможной эксплуатацию. Прекрасный новый мир! 🌐
ЗЫ. Последние два абзаца - это мои фантазии, конечно. Я просто сложил 1+1, но будет ли так в реальности, кто знает?..
Киберфестиваль Positive Hack Days 12 завершился! Это было очень громко и грандиозно 🎊
Хотим поблагодарить всех, кто посетил наш кибергород и территорию безопасности в Парке Горького, всех зрителей онлайн-трансляции, а также спикеров и партнеров, которые принимали участие в организации PHDays 12.
Итогами двух дней работы киберфестиваля мы поделимся позднее, а пока предлагаем посмотреть, как прошел второй день Positive Hack Days 12!
P. S. записи всех треков можно будет посмотреть на нашем сайте, а также positiveevents5242">на YouTube-канале Positive Events.
#PHD12
«ВКонтакте» запустил арт-проект о безопасности в Сети, где опубликовал работы нескольких художников на эту тему. И хотя сами комиксы, если на чистоту, довольно банальные и скорее вымученные, чем остроумные — ну не цепляют — идея не такая и плохая.
Ведут все работы в одно место — на страницу безопасности VK. Если пользуетесь соцсетью и до сих пор не были там, обязательно зайдите.
P.S. — обращает внимание имя одного из авторов «Макс Шадгаев» 🤔. Из девяти авторов только у него не указана страница в VK. Совпадение? 🙊
Помимо основной программы PHDays сегодня у нас проходит еще и очередное заседание CISO Positive Club. В этот раз я выступаю в роли развлекающего аудиторию человека - буду вести очередной ибшный квиз 🤯
Читать полностью…Сейчас уже можно об этом говорить. 5 лет назад, в этот день, я делал фейковый сайт PHDays ;-)
ЗЫ. А английского я как и тогда не знал (слово Fack пишется не так), так и сейчас 😂
ROI у киберпреступности - 2500%, если верить инфографике SANS. Вот когда на российском рынке ИБ будет схожие показатели ROI, то значит мы работали не зря!
Читать полностью…Получили еще один кружок от Алексея Лукацкого, бизнес-консультанта по информационной безопасности Positive Technologies. Делимся 👀
А также подробнее рассказываем о секции с очень интересным названием «Готовы ли вы отвечать своими фаберже за результат?», которая ждет вас в рамках бизнес-трека на киберфестивале Positive Hack Days 12.
🥷 Долгие годы специалисты по информационной безопасности жили в парадигме «самурай без господина и без цели» (ну не рассматривать же всерьез работу «на регулятора» как цель специалиста по ИБ).
Мы внедряли решения, мы пользовались услугами аутсорсеров, мы выходили на инвестиционные комитеты с просьбой выделения новых бюджетов... Но брали ли мы на себя ответственность за тот результат, которого от нас ждали?
Кстати, вы можете, читая эти строки, ответить себе на вопрос: «А что для меня результат ИБ?»? Недопущение недопустимых событий? Прохождение аудита или аттестации по требованиям регуляторов? Соблюдение SLA? Отсутствие инцидентов? 🤔
Когда вы видите «мы», то речь идет не только о руководителях и специалистах по ИБ внутри компаний. Аналогичный вопрос «а несете ли вы ответственность за сделанное вами» можно и нужно задавать и поставщикам услуг ИБ, вендорам и интеграторам, взаимодействующим со своими заказчиками. И ответ на этот вопрос не так прост, как кажется.
Искать его мы будем 20 мая с 12:30 до 13:30 вместе с заказчиками, а также руководителями отечественных разработчиков, интеграторов и поставщиков услуг ИБ.
👉 Полная программа бизнес-трека — на нашем сайте.
#PHD12
Думаю, многие уже видели депрессивный видео-ролик ЦРУ, размещенный в соцсетях и телеге, в котором они предлагают россиянам, недовольным своей жизнью, начать контактировать с иностранными спецслужбами в целях помощи прогрессивной демократии, у которой на днях дефолт случится. Ролик, конечно, знатный. Построен на всевозможных стереотипах о России (медведей в ушанках с балалайкой в одной руке и бутылкой водки в другой на улицах городов, правда, нет).
Но наши (в смысле российские) креативщики не остались в долгу и подготовили для американских граждан ответку, которую вы и видите в приложенном видео. И тоже вокруг сложившихся стереотипов вокруг Америки. Самый главный там приведен в конце - про "рашн хакер" 💻 Потому и запостил. Все-таки этот стереотип уже вряд ли замылишь - "русские хакеры" с нами надолго.
ЗЫ. Зато у них негров линчуют (с)
У нас есть 3 билета на PHDays 12, которые мы хотим разыграть среди наших подписчиков! 🎫
Возможно, последний шанс получить билет бесплатно 🌚
Если хотите принять участие в розыгрыше, то правила очень простые.
1. Нужно быть подписчиком наших каналов в Telegram (мы проверим).
@PositiveEvents
@Positive_Technologies
@positive_investing
2. Оставить комментарий «Участвую» под этим постом в канале Positive Events.
3. Немножко подождать ⏰
Розыгрыш будет быстрым — уже завтра в 18:00 выберем победителей рандомайзером и вручим билеты.
Удачи! ☘️
#PHD12
7 лет назад на PHD прозвучала фраза, которая не потеряла своей актуальности до сих пор: "Бизнес идет впереди не оборачиваясь, безопасник бежит в хвосте в попытке догнать, регулятор сзади - мужики ну вы че" 😱
Читать полностью…Вот и до московского транспорта добралось повышение осведомленности граждан по вопросам ИБ
Читать полностью…В конце апреля Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, принял участие в благотворительном аукционе Meet For Charity.
Меценат, пожелавший остаться анонимным, заплатил за ужин с Алексеем 250 000 рублей. Все вырученные средства будут направлены в фонд Милосердие детям. За три дня аукциона ставка увеличивалась четыре раза: первая была сделана в размере 50 тысяч рублей.
У мецената будет возможность задать любые вопросы Алексею о кибербезопасности, а также посетить киберфестиваль Positive Hack Days 12 в Парке Горького с персональной экскурсией.
За время существования Meet For Charity на благотворительность было собрано более 257 млн рублей. В аукционе принимали участие многие известные люди, такие как: актер Александр Петров (было собрано 110 тыс. рублей), режиссер Федор Бондарчук (80 тыс. рублей), народный артист России Слава Полунин (290 тыс. рублей).
🤔 А что бы вы спросили у Алексея Лукацкого, оказавшись с ним на ужине?
#PositiveЭксперты