alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

🌺 Хотя на календаре еще весна, «Позитивное лето кибербезопасности» уже в самом разгаре

Где?

В «Гранд Макет Россия» в Санкт-Петербурге. С начала мая и до конца августа именно там остановился гость с далекой планеты Posiland — ее главный специалист по кибербезопасности.

Вместе с ним вы сможете не только посмотреть разные уголки нашей страны, но и прокачать азы своей цифровой грамотности — узнать, что такое кибербезопасность и как защитить себя не только в физическом, но и в виртуальном мире.

Как?

Приходите в «Гранд Макет Россия», сканируйте QR-код и принимайте участие в увлекательном квесте, где вы сможете одновременно проверить, насколько хорошо ориентируетесь в мире кибербезопасности, и узнать, как защититься от мошенников.

Каждому участнику — приятный бонус, промокод, которым можно воспользоваться на выходе, чтобы на интерактивной стойке сделать фото на память с необычным гостем.

И пусть любое время года будет для вас кибербезопасным!

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Небольшой видео-обзор зоны ИБ-стартапов на GISEC. Ну какие стартапы, такой и обзор 😊 На самом деле хорошо, что всем этим игрокам дали пару квадратов стандартной застройки, чтобы показать себя потенциальным покупателям 🤑

Я немного задержался на питч-сессии, где перед весомым жюри надо было выступать, "продавая" свое детище 🙊 Из того, что я услышал, не зашло ничего. Классическая проблема большинства технарей, решивших, что они все познали, знают боли клиентов и могут заработать на этом много денежек 🤑

Увы, нечеткая речь, отсутствие понимания проблем заказчика (хотя, казалось бы), неумение четко и кратко доносить свою мысль, а самое главное, - нежелание встать на место слушающего. Рассказать "почему я такой крутой" может быть и можно научиться, а вот рассказать "зачем я вам таким крутым" - мало у кого получается... Зато квантово-имунная система защиты данных на базе ИИ следующего поколения у каждого второго 🤦‍♂️

Читать полностью…

Пост Лукацкого

Проблемы с американской базой уязвимостей NVD продолжаются. NIST пытается их как-то решить, но пока получается не очень. Руки доходят 👻 только до критических уязвимостей и то не всех. При этом балканизация Интернет усиливается и NVD уже не может считаться единым для всех источников уязвимостей (хотя когда он считался?). Российских 🇷🇺 продуктов там нет и вряд ли уже будет. Китайских 🇨🇳 тоже. Да и с CVE тоже свои сложности - он присваивается далеко не всем даже забугорщиной.

В итоге возникает закономерный вопрос - а что делать? Про это тоже попробуем поговорить на PHD2 с представителями разработчиков сканеров безопасности, вендоров, БДУ ФСТЭК... А пока вопрос не решился хотя с трендовыми уязвимостями стоит разобраться и выстроить процесс их обнаружения и устранения. Потом можно и к ежечасно обновляемому списку опасных уязвимостей перейти, а потом уже и дальше...

Читать полностью…

Пост Лукацкого

В японской 🇯🇵 префектуре Фукуи полиция придумала нестандартный ход - они стали размещать в магазинах платежные карты «Удаление вируса/троянского коня» и «Неоплаченный выкуп» («Virus/Trojan horse removal fee payment card» и «Unpaid charges/delinquent charges payment card»), выявляя тем самым… нет не кибермошенников, а их жертв 💡

Когда кто-то покупает 🛒 такую карту, полиция сразу уведомляется. Пишут, что таким образом спасли несколько пожилых 🍜 японцев, которые чуть не стали жертвами вымогателей.

Данных по эффективности этого метода нет, но полицейские, придумавшие его, получили повышение 🫡 Наши полицейские тоже на выдумки сильны!

Читать полностью…

Пост Лукацкого

🆕 23 апреля, не нарушая традиций, MITRE выпустила новое обновление матрицы ATT&CK, сфокусировавшись на том, что нужно обнаруживать и как это сделать наиболее эффективно. С точки зрения цифр, было добавлено 12 техник в Enterprise-матрицу, 5 - в "мобильную" версию и 2 - в версию для АСУ ТП, а также 34 новых вредоносов (29 для корпоративной и 5 для мобилок), 13 новых группировок 👨‍👨‍👦‍👦 (7, 5 и 1 соответственно) и 9 новых хакерских кампаний. Всего в 15-ю версию MITRE ATT&CK теперь включено 14 техник (по 12 для мобильной и АСУ ТП версий), 368 техник, 481 подтехника (в 16-й версии добавят подтехники и для АСУ ТП версии), 152 группировки, 794 вредоноса и 30 кампаний. Добавления были и российских компаний, но без их упоминания (геополитика-с) 🔢

Следуя трендам были добавлены новые техники, связанные с компрометацией сетевых устройств (T1584.008), Fortinet, привет, а также с применением искусственного интеллекта 🧠 (T1588.007). Множество техник было модифицировано под влиянием новых кейсов, зафиксированных за последнее время (особенно в контексте взломов облаков).

В отличие от прошлой версии, в которую добавили псевдокод, демонстрирующий способ описание детекта техники, в новой версии от него отказались, посчитав достаточно сложным для восприятия. Но сама идея была правильная, поэтому в 15-й версии псевдокод поменяли на язык запросов, схожий со Splunk'овским.

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688" )
( (CommandLine="reg" CommandLine="add" CommandLine="/d" ) OR ((CommandLine="Set-ItemProperty" OR CommandLine="New-ItemProperty") AND CommandLine="-value" )) CommandLine=" Microsoft \Windows NI\CurrentVersion|Winlogon" (CommandLine="Userinit" OR CommandIine="Shell" OR CommandLine="Notify")

Читать полностью…

Пост Лукацкого

⚠️ Dropbox уведомил Комиссию по ценным бумагам об инциденте с сервисом Dropbox Sign.

Но, что странно, Dropbox пишет, что неизвестные хакеры 👨‍💻 получили доступ к e-mails, именам пользователей, настройкам учетных записей, а также, в ряде случаев, к хэшированным паролям, номерам телефонов, ключам API, токенам OAuth и MFA. И при этом Dropbox уверяет, что доступа к данным пользователей нет 🤔

Имея такой «фулхаус» 🃏 на руках и не воспользоваться? Врут, небось, и готовят аудиторию к следующему анонсу?.. 🔈

Но прямо сейчас я пойду и поменяю не только пароль 💡 от Dropbox, в день пароля-то, но и отозву все токены аутентификации (ими можно пользоваться даже при измененном пароле).

Читать полностью…

Пост Лукацкого

Зеленский уволил главу кибербеза СБУ Илью Витюка, которого он же месяц назад наградил погонами бригадного генерала

Читать полностью…

Пост Лукацкого

Шутка за 100 для тех, кто еще помнит эти имена 😂

ЗЫ. На сайте McAfee, кстати, из раздела Executive Team убрали данные по их гендиректору, Грегу Джонсону. Опять меняют?

ЗЗЫ. Главное, не путаться в разных McAfee, которые теперь McAfee (консьюмерские продукты), Trellix (слияние McAfee Enterprise и Fireeye) и SkyHigh (слияние SkyHigh и McAfee SSE) 😦

Читать полностью…

Пост Лукацкого

Мир
Труд
Май
Кибербез


Подготовили мотивирующие плакаты в советской стилистике с важными советами по кибергигиене.

🔮 Листайте карточки, ностальгируйте и пишите в комментариях, какие еще советы можно перенести на советский плакат. 

💫 Все плакаты можно не только репостнуть и отправить друзьям, но и скачать в высоком разрешении и повесить у себя в офисе.

🏠 Подписаться на Кибердом & Бизнес

Читать полностью…

Пост Лукацкого

Новая схема от мошенников с сопредельной стороны (прислана подписчицей, за что ей спасибо!). Обзванивают 📞 бывших сотрудников (начиная с гендиректоров и бухгалтеров, данные по которым открыто лежат в ЕГРЮЛ) компаний с иностранным участием и, прикрываясь службой в правоохранительных органах и стращая уголовными делами 👮 по иноагентским статьям и госизменой, требуют всякого, например, бухгалтерские документы.

Так что, если вы еще недавно числились в какой-нибудь такой фирме, то будьте готовы к соответствующим звонкам 📞 и сообщениям. Как модификация схемы, может прилететь сообщение от вашего "бывшего генерального директора", который будет запрашивать разное, якобы в рамках следственных действий, или просить оказать содействие 🆘

ЗЫ. То же легко пробивается через соцсети (LinkedIn, Facebook, VK и иже с ними).

Читать полностью…

Пост Лукацкого

21 год тюрьмы получил специалист по кибербезопасности АНБ за шпионаж в пользу России 🇷🇺 За 85 тысяч долларов он слил (и пообещал слить еще) несколько совершенно секретных документов агентам ФБР, выдавшим себя за сотрудников российских спецслужб 👀

А если бы они себя выдавали за агентов 🗿 Гондураса, он тоже бы сливал данные? Может ему вовсе неважно было, кому сливать украденные файлы? А с другой стороны, зачем Гондурасу секретные документы 🤫 АНБ?

Читать полностью…

Пост Лукацкого

Как работает DDoS ;-)

Читать полностью…

Пост Лукацкого

Интересное название у очередного шифровальщика - Псоглав 🐺

Иностранные исследователи пишут, что это слово из славянских языков, как бы намекая в очередной раз на Россию. Как по мне, так намек странный, - Псоглав - это слово из сербского (в хорватском или словенском языках окончания немного иные - psoglavac и psoglavec соответственно) и означает чудовище с головой собаки или волка и телом человека 🚶‍♂️

Вроде и «браться-славяне», но точно не Россия, где аналогичного демона в явном виде нет (кроме хоть как-то близкого «Полкана»). Но если написать ✍️ про потенциальное авторство Боснии и Герцеговины или Монтенегро, то это уже не так интересно; они же часть «правильной» Европы. Хорошо что пока не связали с релокацией многих русских в Сербию…

Читать полностью…

Пост Лукацкого

АНБ обновило набор национальных криптографических 🤒 стандартов (Commercial National Security Algorithm Suite 2.0, CNSA 2.0), распространив обновления на операторов и владельцев национальной системы безопасности (NSS) и военных (DIB) в обязательном порядке (остальные могут применять их по своему желанию). Изменения связаны с включением в CNSA 2.0 новых, квантово-устойчивых алгоритмов ⚛️

Читать полностью…

Пост Лукацкого

Хорошая попытка зафишить спикеров RSA Conference ✉️

Читать полностью…

Пост Лукацкого

Когда уведомление об инциденте вы получаете в виде обычного, а не электронного письма 📨, то не значит ли это, что и email у жертвы накрылся медным тазом? Но у нее осталась база клиентов, что уже неплохо 😎 Во всем надо видеть позитив (даже в красном прямоугольнике сверху 🥰)

Читать полностью…

Пост Лукацкого

В Даркнете продается доступ к админским панелям 3000 (!) Fortinet’ов, скорее всего с непатченными уязвимостями в SSL VPN, и позволившими получить несанкционированный доступ. Причем уже не в первый раз Fortinet оправдывает свое неформальное название «форточки», через которые хакеры пролезают внутрь инфраструктуры. Так они скоро подвинут Ivanti с пьедестала (сейчас они на втором месте по числу активно эксплуатируемых уязвимостей).

- Вы еще не поменяли чужестраный NGFW?
- Тогда хакеры идут к вам (если уже не пришли)

Читать полностью…

Пост Лукацкого

Запись эфира подкаста "Безопасно говоря" от Яндекс.Облака про безопасность в облаках 🌩, в котором мне довелось поучаствовать и где меня и Муслима Меджлумова назвали мастодонтами рынка ИБ 🦣

Читать полностью…

Пост Лукацкого

Наконец, MITRE завершает поддержку TAXII 2.0, переходя на 2.1, что позволит расширить возможности ATT&CK Navigator и Workbench (для описания собственных компонентов, отсутствующих в оригинальной матрице). Из других планов:
1️⃣ Расширения числа техник для Linux и macOS
2️⃣ Фокусировка на облаках и контейнерах
3️⃣ Сдвиг в сторону описания логики обнаружения в формат, приближенный к современным SIEM
4️⃣ Появление подтехник для АСУ ТП версии матрицы
5️⃣ ATT&CK Navigator, Workbench и сам сайт будут переработаны для большего удобства и эффективной работы с группировками, вредоносами и кампаниями
6️⃣ Планируется развитие сообщества ATT&CK в Европе и Азии
7️⃣ Пересмотр подхода к описанию мер отражения атак, чтобы он был более практичным и применим различными средствами защиты за счет описания не только в формате Splunk, но и за счет добавления конкретных идентификаторов событий, например, для платформы, Windows.

Читать полностью…

Пост Лукацкого

Я уже писал о том, как была представлена тема искусственного интеллекта в ИБ на прошедшей в Дубае GISEC, а теперь и небольшое смонтированное мной видео подоспело 🧠 Режиссер и монтажер из меня такой себе, но настроение, надеюсь, передал!

Читать полностью…

Пост Лукацкого

Ну что, с международным днем пароля вас! 🎆 Порадуйте себя сегодня новой сложно угадываемой, но легко запоминающейся комбинацией! 💻

Читать полностью…

Пост Лукацкого

ЛАНИТ, IBS IT Services, IBS Infinisoft, IBS Soft, IBS Expertise, ГК "Астра", Secret Technologies, Aladdin RD, Центр кибербезопасности (Cybersecurity Center), РАМЭК-ВС, К-Технологии... Вот новый список компаний, имеющих отношение к ИБ, кто попал под очередной пакет американских санкций 🫵

Читать полностью…

Пост Лукацкого

Я обычно не пишу про хакерские взломы компаний, так как их число очень велико и ежедневно набирается с десяток только публичных кейсов, не говоря уже о непубличных 👨‍💻 Но всегда бывают исключения - либо инцидент имеет некие существенные последствия для бизнеса (как с UnitedHealth Group), либо сам кейс достаточно интересен. Вот это как раз такой случай - группировка SiegedSec взломала баптистскую церковь Вестборо, религиозную организацию, известную своей непримиримой анти-ЛГБТ позицией ⛪️, как и говорится в Евангелии ☝️

SigedSec выкрала базу данных церкви, исходные коды сайта, а также приватные данные, обещая выложить все это в паблик. Попутно SiegedSec призвала делиться с ней информацией об всех гомофобных организациях, выступающих против людей определенной ориентации или принадлежащих к определенным меньшинствам. Так что ждем новых взломов от SiegedSec

Ничего святого у хакеров нет! ⚡️ Эта фраза в данном случае имеет двойной смысл - и прямой, и переносный. После множества взломов больниц и госпиталей, школ и детских садов, хакеры добрались и до церквей (а там даже бессмертные из "Горца" никогда не дрались на мечах и вампиры боялись заходить на освященную землю). Так что любые попытки провести черту между тем, что можно атаковать и что нет, провалились 👿

⚠️ На картинке, дорожка состоит не из шести и даже не из семи, а из восьми цветов. Никакой пропаганды и даже намека на нее 😈

Читать полностью…

Пост Лукацкого

Формирование хакерских группировок в альянсы - уже не новость. Но вот объединение российских 🇷🇺 и китайских 🇨🇳 неожиданно…

Читать полностью…

Пост Лукацкого

На GISEC опять несколько рекордов для книги Гиннесса поставили:
🥇 Крупнейший урок повышения осведомленности по Интернету вещей - 293 человека (если бы я свои вебинары называл уроками повышения осведомленности, то я бы давно уже рекордсменом Гиннесса стал)
🥇 Наибольшее число национальностей (104), участвовавших в уроке повышения осведомленности по Интернету вещей
🥇 Наибольшее число национальностей в геймифицированном тренинге по кибербезу.

Жаль, что представители Книги рекордов Гиннесса на PHD2 не приедут - мы бы им показали, у кого больше… национальностей 💪 К слову, в России их 190, а на PHD2 будут не только граждане России... 🤝

Читать полностью…

Пост Лукацкого

В Великобритании 🇬🇧 заработал закон, который устанавливает минимальные требования по безопасности к устройствам, продаваемым гражданам в UK. Согласно этому закону, названному Product Security and Telecommunications Infrastructure Act (PSTI), вендора несут ответственность до 10 миллионов фунтов 💸 или 4% от годового оборота за использование легко угадываемых паролей или паролей, заданных по умолчанию, а также несвоевременное обновление выявленных уязвимостей.

Интересные последствия могут наступить. Вендора либо откажутся от поставок в UK своих незащищенных по английским требованиям товаров, включая автомобили (как в кейсе с Volkswagen) и холодильники, маршрутизаторы и ☎️ смартфоны (вообще любое Iot-устройство), либо будут внедрять защитные меры повсюду, что положительно скажется на безопасности и отрицательно на ценах 🤔

ЗЫ. Кстати, в Топ10 паролей в Англии, помимо нестареющей классики в виде 123456, входят также liverpool, chelsea и arsenal ⚽️ У нас в списке 10 самых популярных паролей ни зенита, ни спартака, ни цска. Зато есть марины и наташи 😂

Читать полностью…

Пост Лукацкого

10-я версия интерфейса управления ПО, которое генерит спам, разработанное северокорейской группировкой Kimsuky, мало чем отличается от интерфейсов генераторов вирусов 90-х годов. С - Стабильность

Читать полностью…

Пост Лукацкого

В России аббревиатура CISO часто звучит как «ЦИ-СО» или «СИ-СО». Интересно, что в ОАЭ 🇦🇪 это звучит как «СИ-ЗО».

Читать полностью…

Пост Лукацкого

Можно было бы опять написать про выбор правильной модели нарушителя, а можно и про правильную настройку 🛠пороговых значений у средств мониторинга… А можно просто радоваться жизни 😂 и продолжать готовиться к PHD2

Читать полностью…

Пост Лукацкого

Странные люди в этой Okta работают. Их ломали 4 раза уже 🔓, но при этом они выкладывают в паблик презентации с пометкой CONFIDENTIAL. Но не забывают запилить целый слайд мелким шрифтом с отказом от ответственности и остальным бла-бла-бла... Какое-то странное отношение к кибербезопасности 😠

Читать полностью…
Подписаться на канал