alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Тут в одном чатике по безопасности АСУ ТП зашла очередная дискуссия про безопасность и ее место в бизнесе. И, если отбросить долгую прелюдию, то традиционная позиция ИБшников звучит обычно так: "Мы находимся в стороне от бизнеса и к нам неприменимы общие правила и подходы". Я же сторонник прямо противоположной идеи, что ИБ - эта такая же бизнес-функция, как и любая другая, как бухгалтерия, финансы, ИТ, продажи, производство и т.п. И подходить к ней надо с точки зрения вклада ИБ в создание внутреннего продукта компании; да и внешнего тоже.

Читать полностью…

Пост Лукацкого

Ждем еще один постер от SANS. На этот раз про шифровальщиков. Но пока не выпустили - ждут очередного саммита, где раздадут бумажную версию, а потом уже и в электронке выложат

Читать полностью…

Пост Лукацкого

CISA напоминает о роли работника КИИ в обеспечении ИБ и дает набор соответствующих рекомендаций по персональной безопасности, которая может повлиять на функционирование КИИ 👍

Читать полностью…

Пост Лукацкого

Моряк ВМС США с исконно американским именем Вэньхэнь Чжао 👲 сел в тюрьму на 27 месяцев за передачу конфиденциальной информации… кому бы вы думали… Китаю 🇨🇳

Вообще американцам не позавидуешь. Государство создавалось толерантным ко всем приезжим со всей их придурью культурой, привычками, языками, религией и т.п. А теперь они пожинают плоды - греховный для католиков ЛГБТ, поддержка BLM при поклонении первому президенту, Джорджу Вашингтону, который был рабовладельцем, нелегальная иммиграция латинос, недовольство нехристианских сотрудников Госдепа против поддержки Израиля при том, что Израиль - земля обетованная для протестантов, коих в США большинство, квоты на пока еще меньшинства в штате компаний, шпионаж со стороны китайцев... 🙌 Но пока технологии еще ничего. Хотя история с дверью у Боинга, конечно, доставляет...

ЗЫ Но почему в приговоре еще и 5500 долларов штрафа помимо двух лет тюрьмы😡

Читать полностью…

Пост Лукацкого

Продолжаем IoT-треш. Шифровальщик заражает гаечные ключи 🔧, подключенные к Интернет. Я думаю вы видели прообразы таких ключей в шиномонтаже, когда вам меняют колеса 🚗 и с помощью гидравлического гаечного ключа затягивают гайки. Так вот сейчас они делаются с участием ИТ и подключаются к Интернет, давая кучу возможностей для хакеров 🛠

Читать полностью…

Пост Лукацкого

Мне в личку пишут нередко, но вот чтобы с использованием ChatGPT 😇

Читать полностью…

Пост Лукацкого

Не в состоянии начать что-то новое в новом году? Ходить в спортзал, сдать на OSCP, прочитать весь блог Лукацкого, вывести компанию на багбаунти, собрать команду для участия в Standoff на стороне Blue/Red Team? 🥺

Начните тогда с малого - с нового пароля! 💡 Ведь путь длиной в тысячу ли начинается с одного шага! 👣 Так говорят китайцы 🐉, а люди строившие одну стену 🧱 17 веков в этом вопросе все-таки знают толк!

Читать полностью…

Пост Лукацкого

Достаточно странно было ожидать от европейцев другого. Тихой сапой под соусом толерантности и защиты детей от террористов Европа убивает приватность, прикрываясь благими намерениями, которые ведут известно куда 👿 Это далеко не первый пример и не последний 😭

ЗЫ. К слову, в Швейцарии зарегистрирован ProtonMail выводы делайте сами 🫡

Читать полностью…

Пост Лукацкого

Неплохой обзор использования Github в киберпреступных целях - хостинг C2, распространение вредоносов, хранилище утечек, Dead Drop Resolver с примерами и рекомендациями по обнаружению

Читать полностью…

Пост Лукацкого

Конечно, не стоит думать, что MFA - это панацея. Существуют техники обхода многофакторной аутентификации, которые даже используются в реальных инцидентах и достаточно успешно. Поэтому на корпоративном уровне всегда необходимо не просто ограничиваться общей рекомендацией "используйте MFA", но и более внимательно отнестись к тому, какой вариант MFA использовать, какой должна быть архитектура, как ее могут обойти и что будет, если центральный сервер/сервис MFA выйдет из строя (было лично у меня пару кейсов, когда облачный сервис MFA переставал на время работать).

ЗЫ. Картинки идентичны, только одна в Dark Theme

Читать полностью…

Пост Лукацкого

После сегодняшнего разрешения Комиссией по ценным бумагам листинга Bitcoin ETF💸, о котором сообщалось на взломанной странице SEC в Твиттере вчера, очевидный вопрос - а был ли взлом или кто-то раньше времени слил инсайд и кто-то наварился на этом? Комиссии по ценным бумагам впору провести расследование против… Комиссии по ценным бумагам 😂

Читать полностью…

Пост Лукацкого

👋 Я уже не раз высказывал мысль, что вендор по ИБ, если он реально занимается ИБ, а не просто зарабатыванием денег 🤑 (что тоже неплохо, но явно недостаточно), должен демонстрировать свою реальную безопасность и безопасность своих продуктов 🛡 Ровно по этой причине в свое время появилась оценка соответствия в форме сертификации программного обеспечения или аудита/сертификации процессов и организаций. Именно поэтому появились требования к таким оценкам - ISO 15408, ISO 27001, PCI DSS, SOC2, РД ФСТЭК, ГОСТ 57580.1 и много чего еще.

Но потом, как это часто бывает, все превратилось в тыкву 😄. Вспоминая не раз уже мной упомянутый в канале закон Гудхарта, соответствие требованием превратилось в самоцель. И даже если ты изначально с благими намерениями шел в эту историю, то потом все это вновь вернулось в "к собранию акционеров/инвесторов надо получить сертификат соответствия". Кстати, ровно та же история с сертификациями специалистов типа CISSP. Сначала ты всерьез готовишься, учишь, сдаешь экзамены. А потом начинаешь побираться по конференциям и вебинарам, задавая сакраментальный вопрос "А сколько CPE дадут за присутствие?" И вот уже вместо демонстрации навыков и умений в самоцель превращается поддержание сертификата.

И что мне нравится в Позитиве 🟥, так это "творческий непокой", как говорилось в "Покровских воротах" ☝️. Постоянно ломаются какие-то незыблемые вещи и все переворачивается с ног на голову. Иногда это даже дает мощный толчок развития. И вот, несмотря на наличие сертификатов соответствия ФСТЭК, мы анонсировали выход на Bug Bounty (на Standoff 365) двух продуктов - Network Attack Discovery (NAD) и Sandbox. За найденные криты платим до 1 миллиона рублей 🤑

Так что если вам хочется поломать не только саму компанию (за год с лишним с момента объявления Bug Bounty на реализацию недопустимых событий так никому пока и не удалось), но и ее продукты, 🛡 то милости просим к нашему шалашу И пусть щепки летят 🪓

Читать полностью…

Пост Лукацкого

Mandiant завершила расследование инцидента с взломом их учетки в Твиттер. Краткий вывод: у них не была включена MFA 😲

Если чуть подробнее, то Mandiant пишет, что у них был переходный период и из-за неразберихи между командами, отвечающими за соцсети и изменения политики Твиттера в области MFA, они и прошляпили 🤠 А сам пароль к учетке забрутфорсили. А сделали это криптоскамеры и дальше большое расследование этой кампании CLICKSINK 💸

Все по классике:
Вообще у нас все круто, но переходный период и все Твиттер виноват. Но данные клиентов не пострадали, а мы сделали выводы
Хотя, чего тут еще скажешь? Была бы утечка, можно было бы сослаться на то, что утечки никакой не было, это все компиляция и происки врагов, как красные банки демонстрировали в последнее время. А тут всё как бы налицо - всё видно, не отмажешься. Приходится смиренно признавать свой косяк и уводить внимание ‼️ в сторону расследования тех, кто стоял за взломом; что не отменяет невыполнения базовой меры ИБ.

ЗЫ. Пойду-ка проверю все свои аккаунты на предмет включенной MFA, а то мало ли, у меня тоже переходный период и бла-бла-бла 🤡

Читать полностью…

Пост Лукацкого

Если бы ФСТЭК по своим методическим документам делала постеры, то по методике оценки защищенности ПО, у нее бы получилось что-нибудь аналогичное. Но так как ФСТЭК такого не делает, то делюсь свежим постером от SANS

Читать полностью…

Пост Лукацкого

На фоне того, как у нас активно привлекают 😡 за репосты и публикации многолетней давности, и в связи с потенциальным принятием поправок в УК РФ за сбор, хранение, использование и распространение информации, содержащей персональные данные, задумался, а можно ли привлечь 🫵 специалиста по ИБ, который опубликует ссылку на ресурс, на котором размещена утечка (или пробник утечки) с персональными данными? И, как говорилось в фильме "17 мгновений весны": "И я не мог себе ответить точно ни в положительном, ни в отрицательном аспекте". Посему немного подул на воду, размышляя о возможных рисках... ⚠️

Читать полностью…

Пост Лукацкого

Так во время реального инцидента выглядит CISO, прошедший киберучения по поводу утечки персональных данных своих клиентов ☺️

ЗЫ. Ну или ему просто наплевать 🤠 Но судя по результатам опроса, это может обойтись дорого для компании.

Читать полностью…

Пост Лукацкого

Существует немало энтузиастов, публикующих на каком-нибудь Гитхабе свои утилиты и инструменты 🏋️‍♀️, улучшающие жизнь ИБшника. Только вот 99% ИБшников не способны их использовать, так как большинство этих инструментов требуют нехилой квалификации, которой в массе своей у ИБшников нет 🤏 Кстати, ровно по этой причине на рынке полно говёных с точки зрения результата ИБ-продуктов, но имеющих хоть какой-то GUI, сертификат соответствия и хоть какие-то признаки корпоративности (техподдержку, бухгалтерию, облизывание и т.п.) 😈

Читать полностью…

Пост Лукацкого

Выступая на радио или телевидении, постоянно слышу один и тот же вопрос, как можно побороть социальный инжиниринг. И постоянно отвечаю - никак 👀

Никакие технические меры неспособны решить эту проблему - только непрерывное повышение осведомленности граждан по различным каналам. А это очень непростая и, самое главное, не проектная работа, за которую нельзя отчитаться и получить медаль 🏅на грудь. Да и то, на 💯 все равно не решить.

Водителя со скриншота 7️⃣ раз развели по одному и тому же сценарию. Семь раз! Ну что тут можно еще сказать? Задорнов был прав 😎 Чувак сам ловился на одну и ту же приманку 🎣

Эх, жаль, основы госполитики в области формирования культуры ИБ свернули. Там правильные мысли Совбез формулировал 💡

Читать полностью…

Пост Лукацкого

На загнивающем Западе для семей военных делают специальные памятки о том, что можно, а что нельзя говорить о членах семьи, несущих службу или воющих в той или иной части земного шара 🫡 У нас я таких особо не видел (хотя, если честно, и не искал особо), но сама по себе идея интересная и полезная. Вместо плакатов "Болтун - находка для шпиона" можно простым и понятным языком рассказывать, почему не надо рассказывать в соцсетях и малознакомым людям номера в/ч своих родных, места дислокации, номера их телефонов, позывные и т.п.

В этом гораздо больше пользы и смысла, чем угрозы кар небесных за раскрытие этой информации, которыми так любят сыпать военкомы и другие причастные к военному ведомству товарищи!

Читать полностью…

Пост Лукацкого

Россия - особенная страна. Мы празднуем два Рождества, католическое 🔥 и православное 🕯, и два Новых года - новый новый 👋 и старый новый 🤭 (китайский 🐉 в расчет не берем) 😊 Объяснить это сложно, но зачем?! Просто празднуем! 😂 С наступившим Старым Новым годом!!! 🔴

ЗЫ. 2024-й по старославянскому календарю - год лося 🥶

Читать полностью…

Пост Лукацкого

Неожиданное признание - Россия не стоит за кибератаками на датскую критическую инфраструктуру, в которых нас обвиняли в конце прошлого года

Читать полностью…

Пост Лукацкого

В 2016 году швейцарцы голосовали за новый закон о разведке (Nachrichtendienstgesetz). Изменения касались права секретных служб на слежку за гражданами страны в интернете: если раньше для такой слежки требовался судебный ордер, то по новому закону агенты получали возможность следить за кем угодно и когда им вздумается — просто по своей прихоти, без всякого ордера.

Вменяемые люди предупреждали, что в предлагаемом виде закон делал возможной массовую слежку за всей страной и, по сути, отменял право на неприкосновенность частной жизни. Но правительство страны и руководство разведки клятвенно заверяли по всем каналам, что они будут следить только за преступниками, а законопослушным гражданам нечего опасаться. Если же не разрешить сетевую слежку за преступниками, это затруднит их выявление и поимку, а значит, безопасность добропорядочных граждан окажется под угрозой. Вы готовы пожертвовать своей безопасностью во имя иллюзорных свобод? — интересовалось начальство.

Как мы могли неоднократно убедиться, слово «безопасность» имеет свойство тормозить или вовсе отключать мышление. Так что 65.5% участников референдума проголосовали за изменение закона.

И вот — вы не поверите.

Как выяснило издание Republik, сразу же после принятия нового закона спецслужбы стали мониторить почту, чаты и поисковые запросы всех пользователей интернета в Швейцарии, без разбора. При этом все эти данные сохраняются для последующего анализа, и можно только гадать, кто будет проводить этот анализ. Это именно та самая массовая слежка, о которой нас предупреждали, причём даже в более экстремальной форме, чем предполагалось.

В других местах ситуация ничем не отличается. В большей части западных стран эта слежка была реализована и того раньше, без всяких референдумов. Швейцарский референдум показал, что гражданам либо безразлична неприкосновенность своей частной жизни, либо они верят правительству на слово. Я даже не знаю, что хуже.

И можно быть уверенным, что после того, как были опубликованы эти материалы, ровным счётом ничего не изменится.

Читать полностью…

Пост Лукацкого

Римейк на ранее опубликованное видео

Читать полностью…

Пост Лукацкого

В продолжение темы обхода MFA. Например, сегодня Malwarebytes описали как достаточно «легко» обойти MFA у Google, просто украв с помощью инфостилера аутентификационный токен 🖥и даже смена пароля ничем не поможет ⚠️

Помню, я удивлялся, почему у меня длительное время оставался доступ к некоторым облачным сервисам Cisco уже после увольнения. А все просто - токен продолжал действовать 💯

Регулярно проверяйте список устройств, подключенных к вашему аккаунту. Тот же совет применим и к другим используемым вами сервисам, например, Telegram или WhatsApp 🛡

Читать полностью…

Пост Лукацкого

Есть такой классный фильм "Пока не сыграл в ящик" (The Bucket List) с Джеком Николсоном и Морганом Фрименом, в котором два неизлечимо больных раком героя хотят выполнить все свои несбыточные желания, которые они записали в список перед смертью ⚰️ А так получилось, что на английском я сейчас как раз тему Bucket List обсуждал с преподавателем. Да и новый год начался - все планы на год составляют. И я подумал, когда, как не сейчас, поднять эту тему в блоге и попробовать составить список возможных ИБшных мечт... 👉

Читать полностью…

Пост Лукацкого

Информация ограниченного доступа у нас в законодательстве есть. Ограниченного распространения 🚫 есть. Теперь вот и ограниченного использования 😲 хотят ввести в оборот… При этом в последнем случае речь вообще не про ДСП или что-то схожее, а про всякие экстремистские материалы и иже с ними 🤦‍♂️

Читать полностью…

Пост Лукацкого

На портал "Резбез" выложили мою статью про факторы, влияющие на стоимость инцидента 💰 Не все из них применимы к любому инциденту, но многое. И да, это все часто оценка пост-фактум. Но все-таки... Лучше иметь представление о том, во что с финансовой точки зрения может обойтись инцидент 🤑

Формат материала не позволял указывать там ссылки на реальные кейсы, но они есть и их немало. Думаю, запилить вебинар по этой теме с рассмотрением уже конкретных примеров и финансовых оценок инцидентов; там где они опубликованы, конечно.

Читать полностью…

Пост Лукацкого

После вибратора с подключением к Интернет, я думал меня сложно удивить, но LG смогла. Зачем стиральной машине Wi-Fi и Интернет? 🙈

Зато теперь фраза «слив данных» заиграла новыми красками 😎 Почти 4 Гига в сутки… И все это только для того, чтобы просигналить, что стирка закончилась?.. Или стиралка и вправду сливает данные с телефона, к которому она имеет доступ (приложение LG ThinQ, прилагаемое к стиралке, требует доступ к камере, микрофону, локации, фото, файлам на устройстве 🖕)? А может стиралку уже в ботнет большой включили и она DDoSит какое-нибудь НАТО?

ЗЗЫ. А еще в стиралку 🧺 встроен TLS, что как бы намекает, что она является СКЗИ со всеми вытекающими правилами ввоза и т.п.

Читать полностью…

Пост Лукацкого

Немного цифр вам в ленту по поводу CVE:
🔤 В 2023-м году было зарегистрировано 2️⃣8️⃣9️⃣0️⃣2️⃣ CVE против 25081 в 2022-м году! Получается около 80 CVE в день!
🔤 Средний CVSS был равен 7,12 (хотя кто вообще считает средний CVSS?).
🔤 36 уязвимостей имело CVSS, равный 1️⃣0️⃣!
🔤 Количество CNA, выросло с 56 до 84. Среди новичков Moxa, Xerox, Lexmark, ARM, AMI и другие "железячники".
🔤 Основные контрибьюторы CVE по числу зарегистрированных уязвимостей - Microsoft, VulDB, GitHub и две компании по безопасности WordPress - WPScan и PatchStack.
🔤 Основной число дыр, 4100 CVE, связано с XSS. На втором месте - SQL Injection - 2000 CVE.
🔤 WPScan и PatchStack WPScan и PatchStack на двоих зарегистрировали 6700 CVE.
🔤 46% компаний устраняют 10-15 уязвимостей в день. 22% - 5-9, 21% - 16-20!

Читать полностью…

Пост Лукацкого

История перестает быть томной. Кто-то подломил учетку американской Комиссии по ценным бумагам в Твиттере и разместил объявление, что Bitcoin ETF получили разрешение на листинг на всех национальных зарегистрированных биржах. Биткойн сразу же взлетел 📈 примерно на тысячу долларов, а потом обвалился примерно на две тысячи 💸. Все бы ничего, но у меня возникло три вопроса по данному инциденту:
1️⃣ Должна ли Комиссия по ценным бумагам уведомлять Комиссию по ценным бумагам об инциденте ИБ в Комиссии по ценным бумагам?
2️⃣ Что если такое произойдет в России и кто-нибудь от имени ЦБ 🏦 напишет о падение ключевой ставки сразу на 7%? Как отреагирует наш рынок? И будет ли кто-то проверять эти сведения или сначала СМИ про это напишут, а потом, с началом паники, все побегут проверять факты?
3️⃣ Это уже пятый кейс за неделю с взломом учетных записей в Твиттере и рекламой в них криптовалютного скама. Причем мне кажется, что у той же Mandiant была включена двухфакторная аутентификация в Twitter (а у вас включена?). И тогда возникает вопрос, не баг ли это в самом Твиттер 🔤, который позволяет обходить аутентификацию любого аккаунта?

ЗЫ. После сообщения от SEC, что их взломали, предсказуемо набежали хейтеры, которые стали задавать риторический вопрос «Как Комиссия по ценным бумагам может защитить инвесторов, если она не способна защитить даже свою учетку в Twitter?»

ЗЗЫ. Буквально час назад Твиттер отчитался об экспресс-расследовании. По их словам у SEC не была включена MFA на учетке 🤌 и кто-то получил доступ к телефону, ассоциированному с аккаунтом. На их месте я бы так и ответил ;-) Чем-то кейс с 23andMe напоминает… И предсказуемо набежали хейтеры и стали напоминать SEC их же советы финансовым организациям включить MFA 😇

Читать полностью…
Подписаться на канал