alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Интересный портал https://dfiq.org/. Является базой знаний по расследованию инцидентов. Активно пополняется. На первой картинке интересный и живой пример - сотрудник компании подозревается в краже конфиденциальной информации. Какие признаки того, что сотрудник может скрывать свою деятельность? А какие индикаторы говорят о том, что утечка может произойти в будущем? Среди других рассматриваемых кейсов - подозрительные DNS-запросы, расширение плацдарма в инфраструктуре (Lateral Movement), компрометация облачной среды, сотрудник использует конфиденциальные данные совего бывшего работодателя на новом месте (ну какой же это инцидент - типичная история 😂), скрытие активности на скомпрометированном узле...

Читать полностью…

Пост Лукацкого

Вчера я написал про компрометацию устройств Fortinet (а их в стране только смотрящих в Интернет сейчас около двух тысяч), а сегодня решил чуть раскрыть мысль о том, что средства ИБ тоже надо защищать, как и сетевое оборудование, на которое поставить EDR нельзя, как и вокруг выстроить стены тоже, что делает такие устройства хорошей мишенью для хакеров, долго остающихся незамеченными для специалистов по ИБ.

Читать полностью…

Пост Лукацкого

Если бы не последний пункт, то можно было бы подумать, что идет обычный набор в ИБ-компанию. Но нет... В группировку, которая атакует государственные и прогосударственные структуры...

Читать полностью…

Пост Лукацкого

Немножко инсайдов от главы кибербеза СБУ Украины на тему противодействия России в киберпространстве и использовании OSINT для помощи в мире физическом. Не так чтобы что-то совсем новое, но все-таки...

Читать полностью…

Пост Лукацкого

CISO Microsoft за 30+ лет работы в компании приветствовали только единожды - когда он отменил внутреннюю политику компании, требующую смены паролей каждые 71 день. "Это был первый раз, когда меня наградили аплодисментами как человека от ИБ и как топ-менеджера", сказал CISO.

Сначала в компании перешли на ежегодную смену паролей. Позже отменили требование смены паролей раз в 60 дней для клиентов. Сегодня 99,9% сотрудников не используют пароли при доступе к внутренним приложениям, исключая legacy. Хороший пример для CISO, которые хотят показывать понятный для всех результат. Уровень безопасности при уходе от паролей точно не снизится, а удобство налицо. Пользователи будут только приветствовать такое решение...

ЗЫ. И хотя против Microsoft американские федералы затеяли расследование, чтобы понять, как ИТ-гигант обеспечивают ИБ на своих сервисах, предоставляемых государству и клиентам, беспарольная защита - вполне себе тема.

Читать полностью…

Пост Лукацкого

Интересная шутка и простая в реализации. Легко модифицируемая под вредоносную историю 😂

РКН тут пишет, что почти 400 миллионов мошеннических звонков с начала года заблокировал 📞. А в июле их число возросло на 20% и достигло 72 миллионов 📞. Подтверждаю. На прошлой неделе каждый день с «товарищами лейтенантами из главного управления МВД» разговаривал. В последний раз уже четко по сценарию отвечал, что заставило звонящего меня даже спросить, какой он у меня по счету (никогда не думал, что услышу от мужика такой вопрос). Услышав ответ, он 📞 не стал меня большего отвлекать, пожелал хорошего вечера и мы расстались 😏

Читать полностью…

Пост Лукацкого

— Вов, это не я. Меня взломали.
— [Молчит]
— ВОВА НУ ЭТО ХАКЕРЫ НЕ Я, ВОВА!
— [Молчит]
— СТОЙТЕ КУДА ВЫ МЕНЯ ТАЩИТЕ…

9 лет прошло, многие уже и не помнят ;-) Может поэтому Твиттер и запретили в стране, а не потому что он что-то там не удалял экстремисткое. Телега тоже не удаляет, но никто ее не только не блокирует, но даже и официальные аккаунты ведут…

Читать полностью…

Пост Лукацкого

АНБ И Viasat поделились деталями атаки на спутниковую систему 🛰 Атрибуция показывает на Россию, но доказательств не приведено 🤷

Читать полностью…

Пост Лукацкого

Презентации с Defcon и BlackHat

Читать полностью…

Пост Лукацкого

🤔 Как сложилась бы судьба Владимира Маяковского в наши дни? Волнуют ли современных поэтов те же вопросы, что и сто лет назад? Можно ли поступиться свободой ради известности и денег? А ради любимой женщины?

🎬 17 августа в прокат выходит фильм «Мотыль. Свет. Пламя. Пыль», созданный Викторией Алексеевой, продюсером киберфестиваля PHDays 12 (маскотом которого был Маяковский), при поддержке Positive Technologies.

Он посвящен 130-летию со дня рождения футуриста и создан по мотивам его биографии и поэмы «Облако в штанах», отражающей личность поэта.

Главный герой, как настоящий бунтарь, бросает вызов творческой элите и устройству общества, оспаривает искренность чувств и актуальность поэзии. Весь фильм о том, как рождается одно единственное стихотворение и какие испытания преодолевает при этом художник.

Смотрите ленту в кинотеатрах «КАРО» в Москве («КАРО 11 Октябрь»), Санкт-Петербурге («КАРО 9 Варшавский экспресс»), Новосибирске («КАРО 10 Галерея»), Екатеринбурге («КАРО 10 Радуга Парк») и Калининграде («КАРО 7 Калининград Плаза»).

P. S. Редактор канала любит Маяковского, посмотрел и в восторге.

#PositiveTechnologies #PHD12

Читать полностью…

Пост Лукацкого

Администрация Байдена-Харрис анонсирует двухлетнее соревнование AI Cyber Challenge, которое должно помочь американцам выявлять и устранять уязвимости в коде с помощью искусственного интеллекта (а чего они в 🟥 сразу не обратились-то?). Курирует конкурс военное агентство по передовым исследованиям DARPA (что уже как бы намекает), а помогают проводить его лидеры американского рынка ИИ - Anthropic, Google, Microsoft (вот прям "лидер" в области ИБ и неуязвимого ПО) и OpenAI.

Соревнование анонсировали на прошедшей Defcon в Лас-Вегасе (Сферу, кстати, так никто и не сломал, - ее просто отключили от греха подальше на время хакерских конференций). На DC в 2024-м пройдет полуфинал, а в 2025 там же анонсируют команду-победителя, которая получит погоны и контракт на службу в армии 4 миллиона долларов (у финалистов и полуфиналистов призы поменьше).

Мне кажется, что у нас можно было бы такое же организовать (например, на PHDays). И хотя компаний, которые бы занимались ИИ в ИБ, у нас поменьше, но это могло бы простимулировать исследования в соответствующей сфере. Да и показало бы, что государство не просто заявляет о важности искусственного интеллекта и кибербезопасности, и не просто раздает бабло одним и тем же компаниям-бигтехам, у которых деньги и так есть, но и реально стимулирует исследования в этой области, в том числе и среди ВУЗовских команд и малого бизнеса (да, в ИБ есть и такие).

ЗЫ. Сайт конкурса-соревнования - https://aicyberchallenge.com.

Читать полностью…

Пост Лукацкого

Еще одна фееричная история из закоулков нашего законодательства и его правоприменения. Если вкратце, то один из заводов Роскосмоса пользовался системой контроля доступа Cisco Secure ACS. Но потом завод не смог больше оплачивать поддержку решения по причине его дороговизны ☹️ (хотя, насколько я помню, на это решение Cisco цены не поднимала особенно, а курс не особо и рос; уж точно не так, как за последние месяцы) и админу завода субъекта КИИ начальством была поставлена задача сделать "также красиво, но бесплатно" (немного утрирую) 🤑. Админ был грамотным и решил скачать из Интернет FreeRADIUS, который хоть и не заменял Cisco Secure ACS, но часть задал вполне себе решал 👨‍💻. И что, скажете вы? Нормальная ситуация - сейчас многие так делают - кто-то скачивает пиратские версии привычных иностранных решений по ИБ, а кто-то ищет им замену в open source.

И вот тут наступает самое интересное. Против админа возбуждают уголовное дело 🧑🏻‍⚖️ за то, что он подключился к сети Интернет с объекта КИИ, не предприняв должных мер безопасности ✍️. При этом сам начальник, давший указание найти замену Cisco Secure ACS, и свидетельствовал против подчиненного 🤦‍♂️ По версии ФСБ, обвиняемый "подключил свой рабочий компьютер к интернету и нарушил правила работы с информационными ресурсами, поставив под угрозу безопасность центра обработки данных оборонного предприятия" 😕 Обвиняемый админ считает, что он не только делал все безопасно, но и сэкономил работодателю почти 2,5 миллиона рублей, но суд не учел эти доводы (ну а кто же попрет против ФСБ 🙄). В итоге полтора года... правда, условно.

Вот такие пироги с котятами 🤢 Если вы работаете с объектом КИИ, то подумайте 10 раз, стоит ли скачивать из Интернет не только open source, но и иностранное ПО в рамках серого импорта или пиратства. С ФСБ шутки плохи 🧐 Но если почитать материалы дела, то у меня сложилось впечатление, что ровно те же доводы следователи могли бы использовать и при скачивании отечественного софта с объекта КИИ. Так что стоит пересмотреть и свои регламенты обновления ПО, и вообще стратегию использования средств защиты на объектах КИИ. Ну и молитесь, что на вас не обратят внимание 🥺 На мой взгляд, следователи немножко так перегнули палку 🖕

Читать полностью…

Пост Лукацкого

Просто классический мини-мульт 🎞 про фишинг. Регулярно его ищу, решил вот просто в канал выложить 😊

Читать полностью…

Пост Лукацкого

Если вдруг вам нужны сами блок-схемы для того, чтобы на их основе сделать собственные форки для своих плейбуков, то вот вам файлик со всеми схемами. Редактировать его можно в бесплатном сервисе draw.io

Читать полностью…

Пост Лукацкого

Продолжая тему с инициативой Центробанка, интересен вопрос, как ЦБ планирует обойти часть 2-ю статьи 273 УК РФ, а именно "Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности"?

Обычно юристы ЦБ перестраховываются по 10 раз, прежде чем запускать хоть какую-нибудь инициативу от имени регулятора. Тут либо есть договоренность с правоохранительными органами, но кого это волнует, если будет заявление в полицию, либо ЦБ планирует к моменту запуску инициативы внести поправки в ст.273 УК РФ в части распространения вредоносного ПО в рамках легальных тестов на проникновения и иных схожих работ. Вот последнее было бы прям круто и могло бы способствовать росты рынка пентестов и багбаунти. Правда, легализация все равно потребует наличия договора между стороной, распространяющей вредонос, и потенциальной "жертвой", чего у ЦБ с банками просто нет. Так что вопросы к инициативе остаются, хотя сама по себе она, если не вдаваться в детали, очень правильная.

Читать полностью…

Пост Лукацкого

Тут коллеги из МТС RED дали рекомендации, как выбирать надежные и безопасные пароли, в том числе при регистрации или доступе к сервисам МТС. А я же человек послушный; раз эксперты советуют, "надо брать". Но нет, попытка применить эти советы на одном из сервисов МТС дала сбой - в качестве пароля принимаются только буквы и цифры и никаких спецсимволов. Более того, присылаемые одноразовые пароли вообще регистронезависимые. Тебе присылают какой нибудь "08C0D8", ты вводишь "08c0d8" и все работает. И как после этого верить экспертам 🤷

Читать полностью…

Пост Лукацкого

Есть хакерские группировки, кто прям связывает себя с конкретным государством или властями, а есть те, кто всеми силами опровергает свою аффилированность. Вот SiegedSec пишут, что они не пророссийские, они сами по себе

Читать полностью…

Пост Лукацкого

Прекрасно понимаю, почему некоторые компании продолжают использовать иностранные средства ИБ и сетевое оборудование (аналогов пока нет). Но тогда надо хотя бы процесс Threat Intelligence нормальный выстраивать, отслеживать появление эксплоитов и зеродеев для используемого оборудования и оперативно искать патч или использовать иные меры нейтрализации. А иначе в чем смысл использования дырявого Фортинета, создающего иллюзию безопасности?

ФСТЭК в своих рекомендациях по управлению уязвимостями писала про этот момент, но, мне кажется, тут надо идти дальше. Используешь официально необновляемую железку, покажи выстроенный процесс TI, а регулятор должен провести киберучения и убедиться, что процесс работает и не на бумаге 👋 А то рекомендация есть, а вот реализуют ее или нет, хрен поймешь. Тут бы идея ФСБ/Минцифры с анализом защищенности периметра помогла, но будут ли они делиться инфой с ФСТЭК, которая в итоге и отвечает за защиту (хотя бы ГИС. И КИИ)?

А иначе все разговоры об технологическом суверенитете, как мертвому припарка. Все понимают, почему используются иностранные NGFW или сетевые устройства. Все понимают, что вокруг одно УГ (это интернет-мем, если что). Все понимают, что российские вендора активно пилят (продукты, а не то, что некоторые подумали). Но пока не допилили надо на компенсационных процессах фокусироваться 🧘 а не глаза 👀 закрывать на проблему.

ЗЫ. А китайцы продолжают ломать инфраструктуры..,

Читать полностью…

Пост Лукацкого

Пока одни страны пытаются создать "Интернет 2.0" и пускать туда только проверенных субъектов (забывая рассказать, что будет, если туда все-таки проникнет кто-то недоверенный или доверенный со временем станет недоверенным), другие пытаются поднять уровень защищенности для изначально недоверенных коммерческих коммуникаций.

Аналитический центр CSIAC при американском МинОбороны разродился обзором существующих технологий "последней мили", а также описал все имеющиеся военные проекты по ее защите, исходящие от сухопутных войск, ВВС и ряда военных исследовательских агентств, среди которых и DARPA (у нее аж 8 проектов по защите "последней мили").

Читать полностью…

Пост Лукацкого

Карманный генератор надежных (для 2013-го года) паролей 😔

ЗЫ. Почему там чувак в шляпе 🤠 вот в чем вопрос. Джеймс Бонд их не носил 😒

ЗЗЫ. Хотя если вдуматься, не такие уж они и надежные. Вариантов-то поз предложено немного, а любимых и того меньше. А значит легко перебираемая история; особенно если инсайдер рядом…

Читать полностью…

Пост Лукацкого

Чего творится-то… На загнивающем Западе все чаще привлекают CISO на звонки с клиентами, чтобы те (CISO) поручились за безопасность того, что продает их компания. Интересный поворот в роли CISO 🤔 Это же требует иных навыков и объяснений. Вариант «Это требование УПД.7 из 239-го приказа ФСТЭК» уже не прокатит - заказчик просто не поймет этой абракадабры 😂

ЗЫ. Фотка для статьи выбрана толерантнее некуда - белая женщина, афроамериканец, представительница монголоидной расы и кто-то с одной рукой…

Читать полностью…

Пост Лукацкого

Кто бы мог подумать, что технология, придуманная для защиты, в нашей стране благодаря чиновникам, стала синонимом опасности 👉 И шпиёны ее используют для кражи ПДн россиян, и вредоносы она подсовывает, и уязвимости создает для хакеров, и запрещенку через нее находят… 😂 Одно решение видят депутаты - порезать VPNы 🔪 и погрузить страну в виртуальное средневековье 🤧 Интересно, как они сами-то будут ходить к своим зарубежным счетам и активам?

В общем, подумайте о том, как вы будете решать эту задачу - доступ к иностранным библиотекам, отелям, авиакомпаниям, интернет-магазинам, онлайн-кинотеатрам, музыке и другим нужным в хозяйстве ресурсам. Советовать ничего не буду, а то и это начнуть кастрировать ✂️

Читать полностью…

Пост Лукацкого

После Джона Уика, потомственного белоруса, от сопредельного государства можно ждать всего, даже кибершпионской группировки «Усатый хвастун» 👨‍🦰 (MoustachedBouncer), как ее назвала ESET в своем расследовании. Почти как Turla, но не она.

ЗЫ. Может там и «Усатый вышибала», но мне кажется все-таки хвастун.

Читать полностью…

Пост Лукацкого

14 июля в Приморье была осуществлена кибератака, которая вывела из строя электронную систему распространения льготных лекарств 💊 Спустя 6 дней выдача лекарств была восстановлена только в некоторых аптеках. Спустя еще 4 дня (10 дней с момента атаки) электронная система в 8 аптеках все еще была недоступна. С 24-го числа данные больше не обновлялись.

По этой таблице, конечно, есть вопросы. В прежней версии желтым были отмечены аптеки, работа которых была восстановлена, но потом они опять вышли из строя 🏥 Зеленым отмечались полностью восстановившиеся аптеки - сейчас ни одна не помечена зеленым. Администрация сайта либо на ходу поменяла легенду и теперь желтым помечает восстановленные аптеки (а белым так и неработающие), либо эти аптеки до сих не в строю. А может это и вовсе ничего не значит... 💉

В федеральном проекте "Информационная безопасность" нацпроекта "Цифровая экономика" был такой целевой показатель как "Средний срок простоя государственных информационных систем (ГИС) в результате компьютерных атак, часов". Как видно на картинке он должен был уже в следующем году достичь показателя в 1 час и на мой взгляд это была очень хорошая метрика, так как чтобы ее достичь надо было сделать прям дофига всего (это примерно как выйти на багбаунти - тоже надо сделать многое). Приказом Минкомсвязи России от 30.04.2019 №178 даже была разработана методика расчета этого показателя 🧮

Но потом решили заменить этот показатель на новый и совершенно бессмысленный - "Количество ведомственных информационных систем, подключенных к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак". Минцифры, в обосновании этого решения, писало, что собирается отменяемый показатель вручную административными методами и он совершенно не показателен, так как не отражает реальное состояние защищенности ГИС от компьютерных атак. Ну да, число подключенных к ГосСОПКА систем это состояние прям отражает 🤮

ЗЫ. 7-го августа хакеры взломали сайт МосгорБТИ, который до сих пор не восстановлен. Но на защищенность это никак не влияет - всем же теперь пофигу, сколько такие системы простаивают.

Читать полностью…

Пост Лукацкого

А вот и еще неожиданный пример творческой жилки 🟥 - снятый при нашей помощи фильм в сети кинотеатров КАРО 🎬 С какими же креативными и творческими людьми я работаю. Прям сам себе завидую 🥳 Вика крутая!

Читать полностью…

Пост Лукацкого

К предыдущей истории про админа Роскосмоса, которому дали срок за выход в Интернет с объекта КИИ. Подписчики присылают комментарии;
🚀 Админ поломал кому-то «схематоз» и его за это наказали 👮
🚀 Админу не надо было так рвать жопу - надо было сказать, что ничего не получилось 🤷
🚀 Админ сам дурак, работая в таком месте, должен был понимать, что делает 😰

Интересно, у всех виноват в деле админ. Мало кто говорит, что админ делал свое дело, обеспечивал работоспособность сети в имеющихся условиях. Еще меньше оценивает поведение руководителя админа, который, по сути, сдал своего подчиненного (если ориентироваться на опубликованные материалы). Про следователей молчат все 😕. Грустно... 😔

Читать полностью…

Пост Лукацкого

Совершенно случайно наткнулся в нашей библиотеке (да, у нас в офисе есть большая библиотека 📚) на книжку по киберпанку, которая была издана при участии 🟥 Впереди выходные - есть что почитать 🤓

ЗЫ. Прошел уже год с момента прихода в 🟥, а постоянно сталкиваюсь с чем-то приятно неожиданным и творческим. То музыкальный фестиваль, то выставка картин, то разработанные настолки; теперь вот книга. Творческая компания…

Читать полностью…

Пост Лукацкого

ИБ-продукт может быть один, а вот его применение совсем разное, зависящее от сценариев использования (use case). Кто-то использует средства vulnerability management для выполнения регуляторики, кто-то для поиска и устранения уязвимостей, кто-то для идентификации активов. NDR - это не только поиск угроз в сети, но и поиск аномалий для ИТ, идентификация активов, анализ правил МСЭ, анализ правил сегментации во внутренней инфраструктуре и много чего еще. Хорошие вендора готовят не только документацию к своим продуктам, но и описывают, как можно их продукты использовать в тех или иных сценариях!

Читать полностью…

Пост Лукацкого

Помните, я делился ссылкой на рабочую тетрадь по уведомлению об утечках персональных данных? Подписчица (Анастасия, спасибо) заметила, что в схемах для плейбука местами отсутствуют стрелки, а где-то не указано их направление. Мы исправились и выложили по той же ссылке новую версию рабочей тетради. Она же опубликована ниже 👇🏻

Читать полностью…

Пост Лукацкого

ЦБ хочет проверять реальную защищенность банков путем отправки им писем с вредоносным кодом. Хорошая инициатива, но вопросы к процедуре, конечно, есть. Помните 213-й приказ ФСБ про мониторинг защищенности, о котором я уже писал в конце весны? Там была странная конструкция про внезапный мониторинг защищенности без предупреждения, но с предварительным уведомлением. Так и тут. ЦБ планирует внезапные проверки, но при этом адреса для отправки вредоносов собираются с самих банков, которые, получаются, знают, кого будут проверять.

А это превращает всю идею в профанацию. Ну это все равно, что я иду сдавать экзамен, а ответы на вопросы у меня уже в кармане. Никакой неожиданности. Что мешает мне поставить данные адреса на дополнительный мониторинг? Ведь, если бы честными до конца, данная проверка превратится в самоцель (да-да, я снова про закон Гудхарта), а банки будут стремиться не выстроить защиту, а пройти проверку, навесив на 30 адресов e-mail кучу средств защиты, чтобы никто не прошел. 🧙‍♂️

По уму нельзя спрашивать ни 30, ни даже 1 адрес тех, кого будут проверять. Если уже "формировать условия, приближенные к реальным", то надо применять либо OSINT и пробить эти адреса через соцсети, либо запросить "адреса сотрудников, неработающих в службе ИБ" в других департаментах ЦБ. Если уж сюрприз, то полный, а не заранее подготовленный, когда все все знают и понимают, но делают вид, что все взаправду.

Где вы видели, чтобы реальные хакеры просили у жертв поделиться адресами для атак?..

Читать полностью…
Подписаться на канал