alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

В далекие-далекие времена, когда COVID-19 еще бушевал на планете, в среде американских ИБшников была жаркая дискуссия на тему, этично или нет проводить фишинговые симуляции на тему коронавируса. Мошенникам это, правда, никак не мешало.

Читать полностью…

Пост Лукацкого

Оно, подумал я. И правда «Оно». Реклама фильма ужасов могла бы быть использована в качестве визуального ряда к презентациям, посвященным процессу ускоренного и необдуманного импортозамещения

Читать полностью…

Пост Лукацкого

Пранкеры Вован и Лексус удостоились атрибуции - теперь они считаются хакерской группировкой TA499

Читать полностью…

Пост Лукацкого

Биометрический расизм

Читать полностью…

Пост Лукацкого

Комиссия по ценным бумагам США оштрафовала разработчика ПО за сокрытие масштабов атаки шифровальщика. А у нас регуляторы никого не штрафуют, а часто даже покрывают утечки данных

Читать полностью…

Пост Лукацкого

Acronis, занимающуюся среди прочего и защитой данных, взломали и угнали как минимум 12 Гб данных. Компания уверяет, что информации по продуктам и пользовательских данных среди них нет.

Вообще, если посмотреть на последние утечки, то все их жертвы невероятно счастливые компании. Либо в десятках слитых гигабайт нет ни персданных, ни финансовой информации, ни ноу-хау, ни вообще ничего ценного. Либо и самой то утечки нет, а это все результаты компиляций каких-то иных баз данных, а то и вовсе фейковые заявления хакеров 🕺

Читать полностью…

Пост Лукацкого

По итогам 2022-го года, по данным SVB, кибербезопасность хоть и вошла в Топ20 тем для инвестиций в инновационную экономику, но все-таки сильно уступает и по числу и по объему сделок финтеху, машинному обучению, здоровью и т.п.

ЗЫ. Но если объединять ИБ, ML и финтех, то получится бомбический стартап 🤔

Читать полностью…

Пост Лукацкого

Раздобыл по случаю. Новая книга по истории советской криптографии. Что-то оттуда обязательно возьму для криптографического квиза «Игра в имитацию» на РусКрипто

Читать полностью…

Пост Лукацкого

Все-таки коряво эта вся история с отечественными сертификатами выглядит 😞 Вроде и понятно, что альтернатив нет и вероятность, что сертификат НУЦа включат в популярные браузера и ОС, невысока, но все-таки... Когда ты видишь, что браузер говорит о недоверенности ресурса и тоже самое говорится про сайты мошенников, то выглядит это не очень хорошо 😞

Читать полностью…

Пост Лукацкого

Это другой пример использования голосового помощника в SOCе. Но с выходом ChatGPT и схожих сервисов, мне видятся более интересные сценарии использования всяких Марусь, Алис, Салютов, Олегов и т.п.

Используя их API, а также API от ChatGPT или иных аналогичных сервисов (например, Bing), можно создать себе виртуального собеседника-консультанта, который будет понимать человеческую речь, искать в Интернете ответы на заданные вопросы и представлять их либо на экране, либо голосом. Учитывая, что у большинства людей речь быстрее набора на клавиатуре, такая интеграция позволит ускорить многие процессы - поиска нужной информации (например, "какие стандарты ИБ существуют в Дубае" или "в чем отличие методов LEM и LEF для финансового измерения кибербезопасности"), расследования ("когда, кем и где был создан домен <имярек>"), составления отчетов ("перепиши мне этот текст понятным языком"), подготовки тезисов к выступлениям ("что волнует финансового директора" или "что самое важное в этом отчете на 100 страниц") и т.п.

Помните, я приводил уже примеры сервисов, которые позволяют проводить над текстом различные операции, - выявлять его окраску, делать резюме, вычленять основные темы и т.п. Их интеграция с голосовыми помощниками может ускорить и автоматизировать решение задач если не SOCа, то CISO 🧐

Читать полностью…

Пост Лукацкого

Приходишь ты на инвестиционный комитет за бюджетом на решения класса NDR/XDR/EDR, а тебе говорят, что время сейчас непростое и надо затянуть пояса. И вот так, с похудевшим бюджетом, ты начинаешь думать, как обеспечивать ИБ. И тут можно выбрать две стратегии - лить слезы, что худеющий бюджет не позволяет реализовать все, что хочется, или попробовать сделать хоть что-то в рамках имеющихся ресурсов.

Например, можно сфокусироваться на целевых системах, которые интересны злоумышленникам. У каждого они свои. У кого-то сервер АСУ ТП, у кого-то АРМ КБР-Н, у кого-то биллинг, у кого-то ПК бухгалтера, у кого-то сервак для сборки ПО... Потом стоит обратить внимание на системы "ближнего круга", которые являются ключом для доступа к системам целевым. И, определевшись с системами целевыми и ключевыми, уже фокусироваться на их защите, мониторинге и реагировании. Предположу, что соотношение целевых/ключевых систем к общему их числу будет отличаться на порядок, что позволит при минимуме ресурсов уже сделать немало с точки зрения ИБ.

А уже потом, на следующей итерации захода за бюджетом, может быть получиться его расширить и тогда можно будет сфокусироваться на чем-то дальше ближнего круга. Хотя, защитив самое ценное, дальше можно уже и не идти.

Читать полностью…

Пост Лукацкого

Чему бы грабли не учили, а сердце верит в чудеса…

Много разговоров об отечественном NGFW. Мол, штука нужная и без нее никуда. ФСТЭК разрабатывает требования к ним, Минцифры выделяет гранты на их создание. Движуха…

Так вот что я хочу сказать. Есть такая компания - Сиско. Долгие годы у нее на периметре в качестве межсетевого экрана стоял… обычный маршрутизатор с настроенными списками контроля доступа. Никакой NGFW-функциональности. Были ли случаи проникновения в корпоративную сетку Cisco? Нет! А все потому, что компания фокусировалась на процессах SecOps, а не на конкретных продуктах или их типах. И даже несмотря на то, что Cisco сама была производителем NGFW.

К чему это я? Да к тому, что сейчас, когда с рынка ушли все иностранные игроки, а заказчики продолжают использовать окирпичивающиеся и необновляемые NGFW с регулярно обнаруживаемыми RCE, лучше фокусироваться не на том, как заменить один продукт на другой, а на том, как выстроить процесс мониторинга сетевого трафика, выявления в нем аномалий и угроз. А уж будет это делать NGFW, NDR, SIEM, FW, NIDS, NBAR, ACL или что-то иное, - не так уж и важно.

Читать полностью…

Пост Лукацкого

Согласен с оценкой - отчет бесполезен, хотя цифирки для презентаций из него можно надергать. Но как он отражает реальное состояние ИБ в стране, непонятно. Лишний раз убеждаюсь, что АНО "Цифровая экономика" в области ИБ большого смысла как не имело, так и не имеет 😞 Очередная структура, которая поглощает бюджетные средства, не принося ничего взамен. Но хоть нормативку не выпускает и то хорошо... А могло бы аналитикой заниматься...

Читать полностью…

Пост Лукацкого

Тут в одной дискуссии всплыло, что если CISO работал в компании, которую взломали, то брать его на работу ни в коем случае нельзя, так как он не оправдал, не доказал, не смог и т.п. Смелое утверждение; скорее всего от тех, кто сам еще не столкнулся с инцидентом. А мы ведь помним, что есть два типа компаний - которых уже взломали и которые еще не знают об этом. Но дело даже не в этом.

Зарекаться от взлома сегодня достаточно глупо, так как он зависит от множества факторов, не всегда подвластных CISO. Когда CISO "пропустил удар", но сделал все, что мог, чтобы уменьшить последствия, это можно только приветствовать. А вот если CISO скрыл факт инцидента, который имеет серьезные последствия (например, затронул большое количество людей, повлек жертвы, имел социальные последствия и т.п.), то тут уже ответ не столь однозначный. Например, кейс с Джо Салливаном, бывшим CISO компании Uber, который скрыл факт утечки клиентов компании с ведома генерального директора, а после, уже при новом CEO, этот факт стал достоянием гласности и CISO был арестован и осужден за скрытие инцидента.

ЗЫ. Жаль, что нет обязанности публиковать в открытом виде информацию по инцидентам. Это бы стимулировало многих

Читать полностью…

Пост Лукацкого

Охота за северным сиянием дала еще одну ассоциацию. Утром второго дня, после безуспешной первой попытки съездить за сиянием, в лифте стал свидетелем ругани участников одной группы с гидом, которого обвиняли в том, что он не обеспечил северное сияние и группа бесполезно моталась по Мурманской области несколько часов. На обратном пути, уже в самолете в Москву, другая группа поносила своего гида, который им и сияние не обеспечил, и китов они не смогли в бухте Териберки увидеть. А один так и вовсе обижался, что его, пьяного, не добудились утром и не отвезли в Териберку. И вот что мне подумалось.

В ИБ таже фигня. Можно попытаться все сделать самому и при наличии опыта это вполне посильная задача и обойдется даже не так дорого. Можно попробовать все переложить на плечи аутсорсера, но какие бы золотые горы он вам не обещал и какие бы гарантии не давал, есть вещи, которые все равно зависят от самого заказчика. Можно сколь угодно долго требовать от SOC-as-a-Service мгновенной реакции на инцидент, но если ты не сегментировал свою сеть, не ставишь вовремя патчи и не включил MFA, то никакой аутсорсер тебе не поможет. И, наконец, самое важное. Даже обращаясь за помощью к лучшим гидам специалистам по ИБ, всегда остается элемент неопределенности, который не зависит ни от кого и про это тоже стоит помнить.

Читать полностью…

Пост Лукацкого

Сторонников написания в датах сначала месяца, а потом дня, поздравляю с днем числа Пи! Остальным ждать 31-го апреля!

Читать полностью…

Пост Лукацкого

Как воруют данные в США и в России?!

Читать полностью…

Пост Лукацкого

В прошлый раз объявление о воздушной тревоге зачитывал голос из частушек-бота. В этот раз мужик, но не Левитан, не Левитан (который Юрий, а не Исаак). Но вот если голос будет Левитана, то пожилые люди, услышав такое предупреждение, и правда, могут перепугаться 😰

Читать полностью…

Пост Лукацкого

В Италии назначен новый глава национального агентства по кибербезопасности. Все-таки законы госуправления и бюрократии везде одинаковые - назначают не грамотных, а лояльных 😞 Новый глава 18 лет занимал должность префекта (даже не мэра) Рима, а всего на разных позициях в госуправлении он 42 года. На вопрос, обладает ли он знаниями в области технологий, он честно отвечает, что нет, но он зато возглавлял комитет по "слежке", а также "рулил" пожарниками. А еще он говорит правильные слова, считая основной угрозой для виртуальной Италии русских хакеров 👨‍💻

Кажется мне, что управлять любой "технологической" госструктурой все-таки должен человек, выросший на технологиях и пришедший изнутри отрасли. Все внешние люди, могут иметь самые лучшие намерения, но они, на мой взгляд, неспособны на эффективное управление доставшимся им ведомством. Посмотрим, сколько этот продержится на своей должности.

Читать полностью…

Пост Лукацкого

В марте прошлого года я писал про выпуск АНБ 📞 руководства по защите сетевой инфраструктуры. А вот и русский перевод (похоже на машинный) этого документа, найденный на просторах Интернета. Может кому-то будет полезно 🤓

Читать полностью…

Пост Лукацкого

Ну и завершим тему SVB еще одной статистикой от них. Кибербезопасность и защита персональных данных - это две из трех основных проблем, с которыми сталкиваются стартапы.

Читать полностью…

Пост Лукацкого

Думаю, уже многие слышали, что в США накрылся Silicon Valley Bank (SVB), который обслуживал преимущественно североамериканские, английские, индийские и иные стартапы (после новости о потере почти 2 миллиардов на подешевевших казначейских и ипотечных облигациях) вкладчики побежали забирать свои деньги и за сутки вынесли 42 ярда).

Еще рано судить о последствиях этого, крупнейшего с 2008-го года краха, для стартапов в области ИБ (около 90% всех вкладов не покрывались страховкой и превышали 250 тысяч долларов, которые обязательно должны быть выплачены вкладчикам). Но у SVB есть интересные ежегодные отчеты по рынкам стартапов и по прогнозам на будущее. Например, к концу второго десятилетия 21 века (то есть еще ждать лет 6-7) ИБ перестанет быть столь востребованной и ее заменят другие, более востребованные темы инновационной экономики.

Читать полностью…

Пост Лукацкого

💃 Как клип Джанет Джексон стирал все данные с ноутбуков фанатов

Песня Джанет Джексон «Rhythm Nation», вышедшая в 1989 году, по праву считается одной из самых популярных композиций конца 20-го века. Однако певица даже предположить не могла, насколько «убойным» окажется хит.

В начале 2000-х годов сервисы по ремонту электроники были завалены ноутбуками, жесткие диски которых неожиданно вышли из строя после воспроизведения клипа «Rhythm Nation». Причем сбою подвергались не только устройства, на которых проигрывалась данная композиция, но и лэптопы, находящиеся рядом.

🤔 Что стало причиной поломок?

Эксперты провели лабораторные испытания и неожиданно выяснилось, что в песне «Rhythm Nation» содержалась одна из рабочих частот жестких дисков ноутбуков.

Музыкальный трек входил в резонанс с HDD и полностью выводил его из строя. После такой поломки жесткий диск восстановлению не подлежал — вся находящаяся на нем информация была безвозвратно утеряна.

💡 Решение проблемы

В начале 2000-х проблему решили весьма радикальным способом. Производители ноутбуков создали специальный фильтр, который обнаруживал и удалял нежелательные частоты во время воспроизведения звука, чтобы не допустить возникновения резонанса.

☑️ Официальное признание

Хотя для современного оборудования «Rhythm Nation» не представляет угрозы, в прошлом году клип Джанет Джексон был официально признан проблемой кибербезопасности. Корпорация MITRE добавила историю с «резонансным» клипом в базу общих уязвимостей и подверженностей воздействиям, проблеме был присвоен идентификатор CVE-2022-38392.

#Кибербезопасность

Читать полностью…

Пост Лукацкого

"А когда роботы убьют всех людей или сделают их своими рабами?" Это один из популярнейших вопросов во всех интервью про искусственный интеллект. Например, вот в этом, на РБК (там и про ИИ в ИБ есть).

Читать полностью…

Пост Лукацкого

Если вы пользуетесь андроидом, и считаете свой "графический ключ" венцом собственной продуманности - вот вам наборы самых часто используемых паттернов графических ключей.
Ну а для криминалистов- ещё один повод проверить статистику ;)

Читать полностью…

Пост Лукацкого

Если вдруг вы решите прикрутить голосового помощника (а их сейчас много развелось) к своему SOCу, то вам стоит помнить несколько моментов:
1️⃣ Говорить быстрее, чем писать. Поэтому если вам важна скорость реакции, то голосовой помощник в этом вам может помочь.
2️⃣ Голосовой помощник надо не спрашивать и ждать ответа, а давать команды и указания, чтобы он их исполнял. Написать письмо, связаться в чате, заблокировать IP или домен, поместить в карантин, получить вердикт... Вот примеры использования голосового помощника в SOC.
3️⃣ Смотреть глазами быстрее, чем слушать ушами. Поэтому просить зачитать фишинговое e-mail сообщение можно, но пробежать его глазами гораздо быстрее. И вообще, слушать механизированный голос - достаточно скучное и быстро надоедающее занятие.
4️⃣ Чтобы общаться с голосовым помощником надо иметь хорошую дикцию. Особенно когда вы просите его заблокировать какой-либо домен. В противном случае могут быть сюрпризы.
5️⃣ Английский (хотя бы на уровне знания алфавита) знать надо, чтобы можно было озвучивать не только названия доменов или узлов корпоративной сети, но и адреса IPv6, которые записываются именно латиницей. Но слушать как голосовой помощник зачитывает IP-адреса - это отдельное мучение.

ЗЫ. На видео пример из прошлой жизни, когда голосового помощника Alexa прикрутили к решениям ушедшей из России компании.

Читать полностью…

Пост Лукацкого

АНО «Цифровая экономика» при поддержке правительства опубликовали Белую книгу по цифровой экономике 2022 — своеобразный бюрократический отчёт о проделанном за год. В документе есть раздел про ИБ, в нём собрана информация как от госорганов (например, статистика НКЦКИ, Минцифры, ФСТЭК), так и из СМИ, от компаний по кибербезопасности (например, раздел по киберугрозам за 2021 год подготовлен Positive Technologies, а по будущим угрозам — Лабораторией кибербезопасности Сбербанка), консалтинговых организаций. Вот для иллюстрации слайд про ключевые события в российской ИБ за год. В данном виде особой добавленной стоимости раздел, по-моему, не создаёт, особенно на фоне реальных проблем типа многочисленных утечек, которые деликатно не обсуждаются.

Читать полностью…

Пост Лукацкого

Согласно опросам, уровень доверия граждан к государственным инициативам по цифровизации (цифровой паспорт и т.п.) падает. Основная причина снижения доверия - утечки персданных, низкий уровень кибербеза в государственных информационных системах и неумение государства коммуницировать с гражданами, объясняя свои решения и замалчивая утечки ПДн.

ЗЫ. Мне кажется, некоторые из озвученных причин могут стать барьером для цифровизации и в корпоративной среде, что в очередной раз ставит вопрос о том, что ИБ - это не только и не столько вопрос технологий.

ЗЗЫ. Думаю, надо выложить видео своего выступления по внутреннему маркетингу ИБ.

Читать полностью…

Пост Лукацкого

- У нас проблема!
- Нет такого понятия как проблема, есть только возможности.
- Хорошо, у вас есть возможность сесть на 10 лет за невыполнение закона о безопасности КИИ...

Хорошо, когда люди пытаются смотреть на все позитивно и превращать угрозы, риски и недопустимые события в возможности (как минимум, попросить бюджет на нейтрализацию). Но все-таки работает это правило далеко не всегда.

Читать полностью…

Пост Лукацкого

Поздравляю всех подписчиц с 8-м Марта! 💐 Хочу пожелать вам, чтобы этот день был наполнен радостью, улыбками и приятными сюрпризами. Пусть каждый день приносит вам новые возможности для реализации своих мечтаний и желаний. 🌺 Желаю вам всего самого лучшего - здоровья, счастья и удачи во всех начинаниях. Желаю вам продолжать преуспевать и расширять свои знания и навыки в области кибербезопасности. Пусть ваши усилия приводят к новым достижениям и успехам. Ура!

С праздником! 🌹

Читать полностью…
Подписаться на канал