alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

ЦБ хочет проверять реальную защищенность банков путем отправки им писем с вредоносным кодом. Хорошая инициатива, но вопросы к процедуре, конечно, есть. Помните 213-й приказ ФСБ про мониторинг защищенности, о котором я уже писал в конце весны? Там была странная конструкция про внезапный мониторинг защищенности без предупреждения, но с предварительным уведомлением. Так и тут. ЦБ планирует внезапные проверки, но при этом адреса для отправки вредоносов собираются с самих банков, которые, получаются, знают, кого будут проверять.

А это превращает всю идею в профанацию. Ну это все равно, что я иду сдавать экзамен, а ответы на вопросы у меня уже в кармане. Никакой неожиданности. Что мешает мне поставить данные адреса на дополнительный мониторинг? Ведь, если бы честными до конца, данная проверка превратится в самоцель (да-да, я снова про закон Гудхарта), а банки будут стремиться не выстроить защиту, а пройти проверку, навесив на 30 адресов e-mail кучу средств защиты, чтобы никто не прошел. 🧙‍♂️

По уму нельзя спрашивать ни 30, ни даже 1 адрес тех, кого будут проверять. Если уже "формировать условия, приближенные к реальным", то надо применять либо OSINT и пробить эти адреса через соцсети, либо запросить "адреса сотрудников, неработающих в службе ИБ" в других департаментах ЦБ. Если уж сюрприз, то полный, а не заранее подготовленный, когда все все знают и понимают, но делают вид, что все взаправду.

Где вы видели, чтобы реальные хакеры просили у жертв поделиться адресами для атак?..

Читать полностью…

Пост Лукацкого

Странные люди встречаются - пытаются убрать ссылку из каталога российских разработчиков средств защиты информации, который я у себя на сайте разместил. И при этом не имеют отношения к сайтам, ссылки на которые они требуют удалить 🤦‍♂️

Читать полностью…

Пост Лукацкого

Вслед за США и многими европейскими странами запрет на китайскую микроэлектроники 🇨🇳 при разработке вооружений ввела и Индия, опасаясь, что она напичкана закладками. И это, конечно, очень интересная история. То, что китайцы ведут свою игру - это не вызывает ни у кого вопросов. И то, что они активно шпионят 👲 через свои изделия - тоже не секрет. Случаев со смартфонами, сетевым оборудованием, банкоматами и т.п. известно не мало. По прошлой жизни помню как на курсах по supply chain атакам нам показывали китайские импланты в сетевое оборудование 🐉. Так что решение Индии явно не случайно. А перед Россией встает вопрос, который был сформулирован Чернышевским еще 150 лет назад, - "Что делать?" Не использовать китайское железо мы не можем, своего у нас пока нет, а американское нам уже в достаточном количестве не поступает...

ЗЫ. У меня тоже рецепта нет 🤷

Читать полностью…

Пост Лукацкого

Думаю вы слушали о решениях класса Attack Surface Management? По крайней мере я про них уже писал. А о подходе по управлению сопротивляемостью атакам вы слышали? Это достаточно новая история, хотя и состоит из уже известных компонентов. Новизна - в объединении их вместе. А еще мне понравился термин - "сопротивляемость атакам"...

Читать полностью…

Пост Лукацкого

Так как у народных избранников мозги работают не так как у народа, который их вроде избрал, то они на все смотрят с отрицательной точки зрения и пытаются не стимулировать, а запрещать. Вот и вчера заместитель председателя Госдумы Борис Чернышов (фракция ЛДПР) направил в Минцифры письмо с предложением разработать и внедрить специальный знак "ненадежного оператора" для компаний, допустивших утечку персданных клиентов По мнению депутата Чернышова, такой знак поможет гражданам нашей великой страны сразу понять, стоит ли доверять компании или нет.

Я хочу напомнить, что в 2011-м году в России уже была идея маркировки операторов персональных данных, но не тех, кто допустил утечку, а тех, кто, наоборот, уделяет должное внимание вопросам кибербеза. На картинке вы видите народный логотип, выигравший в голосовании 4500 человек на специально созданном сайте (до сих пор жив). Почему "пивная пробка" выиграла в голосовании я до сих пор не знаю (хотя 12 лет назад я и задавался этим вопросом), но сама идея не несла негативной коннотации, а была позитивной. Должны были быть разработаны правила выдачи и отзыва логотипа, вестись реестр добросовестных операторов ПДн и много чего еще полезного. Но не взлетело 😭 Вот о чем стоило бы подумать депутатам, а то и умеют только, что запрещать да блокировать.

ЗЫ. Картинка ☝️ не фейк - это именно тот логотип, который выиграл "народное голосование".

Читать полностью…

Пост Лукацкого

Буду там 👇

Читать полностью…

Пост Лукацкого

Американская NCC Group сократила 43 своих пентестеров (30% своей североамериканской команды). Но пока официально это не анонсировала. А вот HackerOne официально сообщила о сокращении 12% своего штата. Непросто американцам сейчас 😩. Однако это не помешало HackerOne выпустить неплохое исследование, отвечающее на множество интересных вопросов относительно легальных хакеров и багхантеров, среди которых:
1️⃣ Почему легальные хакеры нашли в прошлом году 65 тысяч уязвимостей, а CVE зарегистрировано только 25 тысяч?
2️⃣ Какие инструменты используют белые хакеры и багхантеры?
3️⃣ В чем мотивация багхантеров и почему они должны пойти искать уязвимости у вас на сайте или иных ИТ-активах?
4️⃣ Почему 50% найденных уязвимостей хакеры не раскрывают?
5️⃣ Какие самые популярные точки приложения сил легальных хакеров и багхантеров?

Попробовал написать об этом в блоге.

Читать полностью…

Пост Лукацкого

Приходите вы в самый-самый-самый банк страны. Менеджер (или менеджерша, или менеджерица?), вся такая вежливая, проводит к своему столу и предлагает установить мобильное приложение подсанкционного банка к вам на устройство 👨‍💻. И все бы ничего, но вот и пароль от самого лэптопа, и пароль от AppleID записаны на приклеенной к лэптопу же бумажке 👨‍💻. Правда, пароль длинный, со спецсимволами, все как полагается! 🧑‍💻 Но что-то все-таки не то в таком подходе...

Читать полностью…

Пост Лукацкого

В тему с сертификацией ФСТЭК вдруг подумалось 💭 Регулятор же рассматривает конкретное средство защиты, как самостоятельный комплекс, оторванный от всего; висящий в вакууме. Поэтому в требования прописывается чуть ли не максимум того, что вообще должен уметь продукт определенного класса. А ведь в реальности это не так. Мы строим систему защиты из говна и палок множества решений, коммерческих и open source, встроенных и наложенных. То есть отсутствие механизма защиты в одном средстве компенсируется его наличием в другом, возможно совсем иного класса. И покупая продукты, мы прекрасно понимаем, что не обязательно искать продукт «все в одном». А регулятор таких допущений себе позволить не может. В итоге, средство защиты по версии регулятора - это «олимпийский чемпион», который может то, что не нужно 95% компаний или это может быть реализовано в связке с другими решениями.

Читать полностью…

Пост Лукацкого

После фразы «из соображений безопасности мы не можем восстановить прежний пароль» можно было бы пошутить насчет «а хакеры могут», но не буду 🤔

А вот отмеченный красным фрагмент меня зацепил. Если я не запрашивал восстановление пароля, но при этом получил письмо с запросом на подтверждение, то это явно не то, что стоит игнорировать. Это как раз повод пойти и поменять пароль; так сказать, во избежание. Или, как минимум, написать в техподдержку; особенно если MFA у вас не установлен.

ЗЫ. Когда Литрес пишет, что утекли только e-mail пользователей, они, мягко говоря, звиздят лукавят. С помощью утекших паролей зайти в учетку элементарно со всеми вытекающими, мной описанными ранее. Когда они говорят, что они усилили уровень защиты и ужесточили контроль, то тут они опять звиздят лукавят. Усилить уровень защиты - это ввести MFA, генерить сложные пароли и не присылать их в открытом виде. И как они за сутки успели усилить и ужесточить, если даже до сих пор по своим клиентам не разослали никаких писем? Хотя напоминание о неоплаченных покупках слать не забывают.

Читать полностью…

Пост Лукацкого

Помню, у меня давно была идея о создании курсов английского с примерами из кибербеза, чтобы ученики постигали азы иностранного языка на привычных примерах и понятных текстах. И вот кто-то сделал.

ЗЫ. Сам пока не читал - она у меня в отложенных на Литресе была

Читать полностью…

Пост Лукацкого

SANS выпустил постер про реагирование на инциденты и их расследование на платформах macOS и iOS

Читать полностью…

Пост Лукацкого

Кто-то уже попытался вломиться в одну из моих учеток на Литрес 🧑‍💻. Учитывая, что двухфакторной аутентификации там нет, первичный пароль при заведении учетки они делают из 7 символов (и букв там нет), а пароль они присылают на e-mail в открытом виде 😫, то удивительно, как их раньше-то не взломали 🤔

ЗЫ. Поменяйте пароль!

Читать полностью…

Пост Лукацкого

Модель разделения ответственности применительно к инструментам искусственного интеллекта, разворачиваемых в разных локациях

Читать полностью…

Пост Лукацкого

Помню была у меня история много лет назад, когда я еще работал на Винде. Накрылся у меня жесткий диск; да так, что восстановить данные с него было нельзя, а я обращался к разным компаниям и людям по данному вопросу. Были безвозвратно потеряны данные примерно за полгода. Почему у меня не было настроено резервное копирование? Было, но я его отключил, так как на Винде оно работало через жопу, неудобно и очень медленно, постоянно приводя к тормозам на компе. В какой-то важный момент (видимо презу, как обычно в последний момент делал) я психанул и вырубил бэкап. А жесткий диск подвел... 💾

Потом я перешел на macOS, которая сделана для людей, и резервное копирование там настраивается в пару кликов и больше не требует никаких усилий со стороны пользователя (ну разве что проверять иногда, что бэкапы делаются). Позже, я включил еще облачный бэкап важных файлов, а потом и резервирование данных на локальный NAS. Да, я после того случая с потерей данных стал параноиком. Урок был извлечен, хотя он и был болезненный. 🤕

И вот философский вопрос. Какими должны быть уроки по кибербезу, чтобы мы их извлекали и делали правильные выводы? 👨‍🎓 Шифровать данные без возможности восстановления? Реально украсть в рамках пентеста и выложить в сеть ценные данные? ЗаDDoSить Интернет-магазин в канун Рождества и Нового года и потерять кучу бабла? Таки ввести оборотные штрафы и компенсации? Нет у меня ответа на этот вопрос. Возможно, потому что я слишком слабохарактерный...

ЗЫ. Это видео с примером урока плавания собрало в Интернете несколько тысяч комментариев, которые, понятно, можно поделить пополам - от "так и надо учить без всяких уси-пуси" до "что за зверь эта инструкторша, не пускать ее к детям больше никогда". Говорят, в советском детстве так многих учили плавать. Я не знаю - сам тонул дважды и в итоге научился как-то плавать без помощи 🏊🏻‍♂️ Но своих детей я так не рискнул «учить» 🤷

Читать полностью…

Пост Лукацкого

В отчете ЦСР по рынку ИБ говорится о том, что сегмент защиты данных, который включает в себя и СЗИ от НСД, и DLP, и средства шифрования (не путать с VPN), в России упал за прошлый год на 40% (один из двух просевших сегментов рынка) что странно, учитывая тот факт, что у нас с защитой этих самых данных носятся все как с писанной торбой. Может быть это связано как раз с усталостью рынка - средства защиты есть, а утечек меньше не становится. А может с тем, что сегмент защиты данных есть, а как эти данные выявлять и классифицировать, чтобы потом защищать, никто не знает. Но итог пока неутешителен - снижение сегмента рынка на 40%.

Но так как в мире этот сегмент растет на 19% ежегодно, то возникла мысль вдуть жизнь в угасающий рынок, для чего 23 октября в Москве пройдет первое масштабное мероприятие, посвященное именно защите данных. Никаких SOCов (хотя про реагирование на утечки будет), никаких VPN (хотя про гомоморфное шифрование будет), никаких персданных (хотя про практику поведения в суде будет), никаких NGFW (хотя секция "НеГартнер" про новые технологические решения тоже будет). Вообще программа выглядит вполне себе приятной (что немудрено ☺️).

Я буду вести дискуссию "То, о чем никто не хочет думать, занимаясь защитой данных", куда забрал все темы, о которых мало кто задумывается при построении архитектуры защиты данных, а именно:
1️⃣ Если данные утекают через открытые БД на периметре, то как мониторить защищенность внешнего периметра организации?
2️⃣ Если мы все говорим про уход в облака, то как там мониторить работу с данными?
3️⃣ Чтобы защищать данные, их надо выявить и классифицировать, и желательно в автоматическом режиме. Как?
4️⃣ Если утечка произошла у подрядчика в рамках supply chain, то как этого недопустить в будущем?
5️⃣ Ну и еще пару горячих тем будет; не буду раскрывать раньше времени.

Так что буду рад увидеть у себя на секции 23 октября.

Читать полностью…

Пост Лукацкого

Раньше, в LinkedIn была практика, когда китайцы стучались в личку и предлагали поделиться с ними уязвимостями за вознаграждение. Сейчас они перешли к другой практике. Пишут вот такие письма и предлагают поучаствовать в исследованиях или написать для них статьи по темам кибербеза, что, как мы понимаем, является прямой дорогой к статьям 275 и 275.1 УК РФ, то есть к госизмене.

ЗЫ. Может и не являться, но зачем рисковать? Объясняться-то потом с товарищем майором вам, а не Го Сяочунь, которую по-русски зовут Кристиной 😊

Читать полностью…

Пост Лукацкого

Интересный вектор. Не то, чтобы новый, - его даже в фильмах использовали. Но там речь шла об акустике с идеальным слухом, а тут уже речь об автоматизации данного процесса.

Читать полностью…

Пост Лукацкого

Интересный такой дашборд по Cyber Threat Intelligence. Сделан на базе одного из многочисленных сервисов по созданию дашбордов "все в одном". Я себе такой давно ищу, но в чисто локальном варианте, без облаков, доступа в Интернет и т.п. ограничений. Пока не нашел (если вдруг знаете какой-нибудь софт для этой задачи, то напишите в личку). А этот сервис интересен еще и тем, что в явной форме позиционирует кибербез и OSINT как один из основных сценариев своего использования. На самом деле это вообще единственный сценарий из явно заявленных; все остальное банально - "для бизнеса" или "для команд" или "для персонального использования".

Читать полностью…

Пост Лукацкого

🛡 Если вы живете в Беларуси и работаете в сфере кибербезопасности, не планируйте ничего на 28 сентября.

Именно в этот день пройдет первая конференция «Позитивный SOC» (Positive SOCcon) от Positive Technologies в Минске (отель DoubleTree by Hilton).

Указ Президента Беларуси № 40 определил концепцию национальной защиты информационной инфраструктуры организаций Беларуси от внешних и внутренних угроз.

На конференции будем говорить о том, как сделать защиту эффективной и измеримой, построить систему результативной кибербезопасности и защититься от кибератак, несущих недопустимый ущерб.

Обсудим все актуальные вопросы организации и работы SOC.
В деталях разъясним положения указа № 40.
Разберемся, какие системы мониторинга, аналитики и реагирования сегодня необходимы каждой компании.
Поговорим, насколько эффективным может быть автопилот в системах ИБ.
Подискутируем о том, что мешает кибербезопасности стать результативной.

Забронируйте дату и следите за новостями, скоро поделимся подробной программой и расскажем, как зарегистрироваться.

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Вам же знакомо классическое условие для нормального моделирования угроз? Надо знать, что вы защищаете, понимать, как оно работает, зачем его используют, и как его работа может быть нарушена. Тогда и модель угроз сама выстраивается без труда. Так вот чтобы понять модель угроз робота-стриптизерши надо обязательно посетить стриптиз-клуб и понять, ради чего туда ходят люди и что они там делают. Тогда вы поймете, что помимо очевидной истории взлома через беспроводной интерфейс, более реальная история - взлом за счет установки импланта в процессе засовывания купюры за резинку чулков 🤑 (это я со слов друзей знаю, вы не подумайте ничего). Кстати, купюра и может быть таким имплантом!

ЗЫ. Если пост наберет много-много лайков, то возможно в государстве F киберполигона Standoff, а также на его виртуальных аналогах - городах Софтвилл и Хакербург, появится и такая зона для тестирования безопасности. И вы на законных основаниях сможете отпроситься в стриптиз-бар "по работе" 😂

Читать полностью…

Пост Лукацкого

Оказывается, учебники английского языка для специалистов по кибербезу очень популярны у нас в стране (как минимум, с точки зрения их написания). После публикации заметки в выходные подписчик прислал мне еще два учебника, а я потом нашел еще три. Так что есть из чего выбрать, если вам хочется совместить полезное с полезным 😊

Читать полностью…

Пост Лукацкого

ФБР, Европол и другие правоохранительные органы 👮🏿‍♂️ провели операцию по перехвату управления одной из площадок по организации DDoS-атак. Вот так заходишь утром в канал для получения очередных инструкций (это я не про себя, если что) и новых целей, а там тебя и 32349 твоих коллег уже ждут сотрудники в штатском ⚖️

Читать полностью…

Пост Лукацкого

Я, конечно, не экономист, но мне кажется действия или бездействие Центрального банка 🏦 сделали для импортозамещения на рынке ИБ гораздо больше всех остальных вместе взятых. При цене доллара в 60 рублей в ноябре 2022 года (при бюджетировании) можно было планировать покупку зарубежных средств защиты 🤑; даже из недружественных государств по параллельному импорту. Но при цене в 100 рублей 📉 за доллар это становится уже нецелесообразно и даже если не хотел (а отчет ЦСР показывает, что пока импортозамещение не так активно занимает умы потребителей в ИБ), то все равно придется смотреть в сторону отечественного производителя. Но...

Это приводит к снижению конкуренции и чтобы заставить отечественных вендоров заняться улучшением своих продуктов (с точки зрения функциональности, удобства, масштабирования, качества, поддержки и т.п.) их нужно пинком выпихивать на международные рынки 🌍, чтобы они вновь начали нормально конкурировать с иностранцами (даже если только и из дружественных стран). Но тут нам уже не поможет Центральный банк, который не занимается экспортопригодностью отечественных решений по ИБ. И самое печальное, что ни ФСТЭК, ни ФСБ, устанавливающие требования к продуктам ИБ, также не занимаются этим. У них нет в полномочиях задач, связанных с помощью в выходе наших решений на международные рынки. Это у нас функция Минцифры, но они за ИБ в этой части не отвечают.

Читать полностью…

Пост Лукацкого

Немного продолжает подплющивать от ситуации с Литрес. Слева пример сгенерированных ими паролей, который они присылают при регистрации (да-да, в открытом виде). Справа это уже я менял пароль (там не меньше 20 символов), но Литрес считает, что это они его сгенерили. Смешные…

Читать полностью…

Пост Лукацкого

Вот тут пишут, что женщины обладают врожденным инстинктом моделирования угроз и оценки рисков и грех не использовать это в кибербезе, в котором засилье мужиков и гендерный перекос 💃

Читать полностью…

Пост Лукацкого

С утра была дискуссия на тему, кому нужна эта дурацкая утечка Литрес, если там кроме логинов, хешированных паролей и почт особо ничего и нет. Даже истории покупок нет (по крайней мере в публично выложенном фрагменте). Но когда одну из моих пока еще неиспользованных и созданных три недели назад учеток подломили и я менял там пароль, то я увидел несколько сценариев, как плохие парни могут воспользоваться утечкой:
📕 Скачать все книги, которые вы купили и которые хранятся в разделе "Мои книги". Я по своей основной учетке прикинул - с 2008 года куплено 140 книг, то есть это под 75-90 тысяч рублей примерно. Потом эти книги можно выложить в паблик или продавать за платные смски. Если бы так взломали Amazon, то там у меня книг тысяч на 10-15; и не рублей.
📕 С Литреса можно выводить деньги. Раньше это работало и для обычных покупателей (можно было со своего счета вывести деньги), но сейчас, насколько я понял, это работает только для авторов самиздата на Литрес, а также для тех, кто озвучивает аудиокниги.
📕 Если у вас есть купоны и сертификаты Литреса, то, допускаю, что ими тоже можно воспользоваться.
📕 Если вы весь из себя добропорядочный семьянин, а покупаете на Литрес жесткое порно, то вот вам и тема для шантажа (я, правда, не знаю, есть ли там порно, но отметка о взрослом контенте в личном кабинете есть).

ЗЫ. А Литрес тупо молчит и ни пароли не сбросит, ни письма пользователем не разошлет. Выходные, чо...

Читать полностью…

Пост Лукацкого

Американские власти распространяют среди своих полицейских и других правохранителей ДСПшное предупреждение об опасности Flipper Zero 😈

Читать полностью…

Пост Лукацкого

У американцев наблюдается некоторый коллапс в медицинском обслуживании, который начался в четверг с обычного "инцидента с данными". Станции скорой помощи закрылись в ряде штатов. Многие медицинские системы отключены. Анализы крови не принимаются. Хирургические операции не проводятся. И такое происходит по многим штатам, в которых больницами заправляет холдинг Prospect Medical Holdings. Яркий пример, когда недопустимое событие одной компании превращается в отраслевое.

Читать полностью…

Пост Лукацкого

Сидишь в отпуске 🏝, а тут к тебе с бизнес-аккаунта москвичка родом из Гонконга в друзья лезет. Думал, скоротаю время в бассейне, пока электричество вырубили, но нет. После моего «мне 72, но я здоров как бык» интерес ко мне угас и общение прервалось. Наверное, она не любит животных 🐃

ЗЫ. Шо Хин - это китайский "Дед Мороз", кстати 🎅

Читать полностью…
Подписаться на канал