alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

На последней DEFCON был доклад о том, как можно взломать умные пылесосы Ecovacs (модели Deebot, Goat, Spybot и Airbot) и шпионить за квартирой, в которой он используется, подсматривать за жильцами и подслушивать их разговоры. Я про это даже рассказывал на ИТ-Пикнике 🧹 И вот новая напасть - недавно в Австралии произошел инцидент, когда робот-пылесос, взломанный злоумышленниками, начал выкрикивать расистские оскорбления в адрес афроамериканской семьи 👨‍👩‍👧‍👦

По поводу инцидента с взломом робота-пылесоса, вендор заявил, что проблема была связана с уязвимостями в системе безопасности устройства 😵, которые позволили злоумышленникам получить доступ; причем об этой уязвимости было известно уже давно. Вендор пообещал провести расследование и выпустить обновление для устранения проблемы (ну а что он еще мог обещать) 🔄

Инцидент подчеркивает растущие риски в области интернета вещей (IoT) и что даже бытовая техника может быть уязвима для кибератак 🥤 Роботы-пылесосы и другие умные устройства с подключением к интернету могут стать целью хакеров, если не обеспечена надлежащая безопасность. Пользователям необходимо следить за обновлениями прошивок, использовать сложные пароли и двухфакторную аутентификацию для минимизации рисков атак на умные устройства 👩‍💻 Но мы же это все и так знаем, не так ли?..

Читать полностью…

Пост Лукацкого

А ТВ-каналов ВГТРК в спутниковом пакете больше нет 🤔 А говорили, что вещание не прервано, ущерба нет, все в штатном режиме… И как теперь выходные без новостей? Пойду хоть Youtube посмотрю 📱

Читать полностью…

Пост Лукацкого

Я пять раз уже писал в канале про утечки персональных данных 350 миллионов постояльцев сети отелей Marriott 🏨, которые происходили в период с 2014-го по 2020-й годы. Помимо кражи ПДн хакеры сперли еще и баллы лояльности клиентов отелей. И вот эта эпопея наконец-то подошла к концу - Marriott согласился выплатить 52 миллиона долларов штрафа (это 0,2% от оборота компании за 2023 год) и разработать всестороннюю программу по кибербезопасности 🛡

Что привело к такой крупной утечке? Как пишут в материалах суда, причин несколько:
🛎 слабая парольная политика
🛎 отключенная MFA
🛎 ненадлежащий контроль доступа
🛎 некачественная сетевая сегментация
🛎 неполные процедуры управления патчами
🛎 неадекватный мониторинг сети и логов.

Помимо улучшения описанных защитных механизмов, Marriott обязался проводить каждые 2 года независимую оценку защищенности в течение следующих 20 лет, а также будет требовать соблюдения требований по ИБ от всех своих франчайзи 🧳

Читать полностью…

Пост Лукацкого

Я достаточно давно в российской ИБ, что меня часто спрашивают, не планирую ли я писать мемуары. Пока нет - мне есть что поделать и в настоящем, чтобы еще вспоминать о прошлом. Но иногда что-то да выплескивается в различных форматах. Например, интервью для "Российской газеты" про то, кто появился раньше, Рунет или хакеры 😂 Или большое интервью для Positive Hack Media, где меня считали знатоком хакерского мира 🤔 Так что если вам интересна история российской ИБ, то можете почитать/посмотреть; если нет, то пропускайте.

Читать полностью…

Пост Лукацкого

Тут на днях зашел разговор о том, что вроде как мы научились неплохо ловить фишинг в электронной почте 📬 (хотя наш PT Knockin говорит немного о другом), но совершенно не умеем управлять угрозами в мессенджерах, например, в Telegram 📱 И хорошо, что пока эта история не является массовой. А я подумал, что не так уж и сложно перенести опыт телефонных ферм на схему "фейковый босс". Я не вижу препятствий для ее автоматизации. И вот тогда пользователям и их службам ИБ мало не покажется 😂

Читать полностью…

Пост Лукацкого

10 ноября 1983, 41 год назад, студент Фред Коэн разработал саморазмножающуюся компьютерную программу, которая была одним из первых компьютерных вирусов (не первым) 🦠 Спустя год, научный руководитель Фреда, Леонард Адлеман, один из авторов алгоритма RSA 🗝, придумал термин «компьютерный вирус». Еще чуть позже Фред Коэн придумал понятие «позитивный вирус», который не делал ничего вредоносного, а наоборот, приносил пользу, используя при этом методы, присущие вирусам. Так я планирую сегодня начинать пленарную дискуссию на Postive Security Day, онлайн-трансляция которой начнется на сайте конференции через 1 минуту 1️⃣

Так и в ИБ, есть технологии, которые вроде как начинались в хакерском сообществе 💻 и использовались во вред, но достаточно было сменить знак минус на плюс, как технология стала приносить пользу. Так произошло с сканерами уязвимостей 🤕, такой путь повторили и решения класса BAS (Breach & Attack Simulation)... Границы часто размыты и зависят от умысла тех, в чьи руки попадает тот или иной инструмент 🔪 С этим связана и проблема регулирования этой области - сложно описать объект контроля, чтобы он был однозначно отрицательным.

Читать полностью…

Пост Лукацкого

Это к разговору о том, что цифровой след 🐾 сегодня остается навсегда и зачистить его сложно. Поэтому любые попытки скрыть инциденты (это не про описанный кейс, а вообще) обречены на неудачу. Все остается в Сети и при желании все можно откопать и раскопать

Читать полностью…

Пост Лукацкого

И снова в тему месячника кибербеза 🗓 - теперь в видео раскрывают глаза на тему продвинутого OSINT и как по обычной фотографии можно вычислять местоположение человека 🗺, который думает, что это невозможно и поэтому может творить всякую дичь, считая себя безнаказанным. Но нет... Не делайте в Интернете того, за что вам потом будет стыдно и... больно! 🔭

Читать полностью…

Пост Лукацкого

Не могу сказать, что этот список из 100 вопросов ✍️ для собеседования аналитика SOC является чем-то уникальным или содержащим какие-то сокровенные знания ✍️, но кому-то он может помочь составить свой собственный список. Иногда проще ориентироваться на что-то уже готовое, чем пытаться написать с нуля ✍️

Читать полностью…

Пост Лукацкого

Что делать, если взломали производителя антивируса, который вы используете в своей инфраструктуре? 🔓Небольшие рассуждения от меня и возможный чеклист действий ✔️

ЗЫ. А вот на случай удаления антивируса Касперского из Google Play рекомендации дала сама Лаборатория, но эта история менее интересна для корпоративных пользователей - она затрагивает скорее только физиков 🛡 Но то, что инициатором удаления стало "Общество защиты Интернета" - это какой-то сюр...

Читать полностью…

Пост Лукацкого

Тут ведь интересно не то, что 18 августа 2024 года российский регистратор регистрирует домен, используемый для рекламы и проведения атак и обхода средств защиты информации 🤕 И даже не то, что хостится ресурс у провайдера, защиту которого он же по заявлениям и обходит ⚔️ Этот пример скорее демонстрирует, что и по ту сторону баррикад "плохие парни" не чураются маркетинговых уловок про "уникальность", "премиальность", "доступные цены" и т.п. Ценностное предложение вполне себе интересное 😱

Читать полностью…

Пост Лукацкого

В продолжение вчерашней "заметки про Генри Форда" и про цепочки атак. Часто ли хакеры моментально, одним ударом 🤕, используя найденную уязвимость, достигают своей цели? Или все-таки им нужно пройти некоторую цепочку из дыр, чтобы добиться желанного? Обычно второе. И хотя таких цепочек гораздо больше, чем уязвимостей (все-таки комбинаторику тут не обманешь), но критических путей гораздо меньше - доли процента, как видно из статистики 📇

Фокус на таких цепочках и должен быть целью в защите. Их нужно выявлять, мониторить и блокировать, а не распыляться на борьбу с ветряными мельницами ⚖️ А если это делать еще и автоматизированно, то будет вообще супер 🏝 Там, правда, нужно поддерживать в актуальном состоянии все эти цепочки, но это подъемная задача при определенных условиях. В противном случае придется заниматься атомарными уязвимостями и атаками, которые не объединены в цепочки и с которыми приходится иметь дело по отдельности 👣

Читать полностью…

Пост Лукацкого

Есть классическая версия этого видеоприглашения на Positive Security Day в официальном канале 🟥, а есть версия 18+, которую я могу и у себя выложить 🔞

Читать полностью…

Пост Лукацкого

Помните, я предлагал динамическое зарплатообразование в зависимости от уровня защищенности компании? Александр Леонов предлагает схожую историю, но применительно к процессу управления уязвимостями; есть дыры - зарплату не платят, нет - платят 🤑 Это должно по мнению Александра ускорить устранение уязвимостей в компании.

Это интересная идея и я бы проголосовал за нее всеми руками, но... Во-первых, устранять надо не все уязвимости, а только критичные, которые еще надо выявить. Во-вторых, даже наличие списка приоритизированных уязвимостей еще не означает, что их надо устранять все - многие из них не могут быть использованы по разным причинам или заводят злоумышленников в тупик 🫱 По статистике таких уязвимостей - 75%, а дыр, которые могут привести к компрометации ключевых и целевых систем - от силы 2%. Так что если согласиться с этими ограничениями, то почему бы и нет 🤔

ЗЫ. Фонд Генри Форда не подтверждает легенду про ремонтников, которым платили только за время нахождения в комнате отдыха и поэтому они были заинтересованы в том, что конвейер не ломался 🚗

Читать полностью…

Пост Лукацкого

9 утра 7 октября - уже под сотню заявленных взломов израильских компаний и организаций 🇮🇱

Читать полностью…

Пост Лукацкого

Ника вчера была в ударе - написала не только про PR-реакцию утечку данных у Бургер Кинг 🍔 и возможную реакцию компании на это (а закусочная славится своим креативом), но и про то, как не очень верно себя ведет Dr.Web после публикации хакерами "доказательств" компрометации инфраструктуры 🔓 и как очередное сообщение от компании заставляет задавать еще больше вопросов, чем дает ответы на ранее заданные.

Я же вспомнил про июльский взлом Аванпост 🅰️ Деталей от ИБ-компании нет до сих пор. Хотя прошло уже 2,5 месяца. Молчание может иметь под собой несколько причин:
1️⃣ Расследование до сих пор идет, а значит дело совсем серьезно.
2️⃣ Расследование прошло, но компания решила спустить все на тормозах, считая, что все само собой забудется 🤐 Увы, не забудется. Я позавчера общался с одним банком, пользующимся Dr.Web (по требованиям ЦБ антивирусов должно быть два) и планировавшим приобретать отечественный PAM. Так вот после обоих кейса было принято решение отказаться от обоих решений ⛔️

Мне кажется у нас компании, особенно из области ИБ, недооценивают важность антикризисного PR и думают, что "и так сойдет", "все скоро забудут" или "все равно альтернатив у них нет". Но это в любом случае плохая стратегия, которая еще аукнется... Не надо так делать

Читать полностью…

Пост Лукацкого

Недавно стал известен случай утечки данных, причиной которой стал CISO индийской компании Star Health, которая зарабатывает около $1,4 млрд в год 💰 Амарджит Кхануджа, как сообщается, продал данные более 31 миллиона клиентов, включая информацию о зарплатах и PAN-картах, китайскому хакеру за $43000 в криптовалюте Monero 🤑 Сделка была заключена через зашифрованный чат в приложении Tox.

Сначала Кхануджа передал хакеру данные пользователей через ProtonMail, а позже предложил и данные о страховых выплатах за дополнительную сумму 🫴 Но спустя несколько дней доступ хакера к системам был отозван, что вызвало закономерный конфликт - CISO потребовал еще $150000, утверждая, что старшее руководство хочет получить свою долю. Хакер, выкравший уже 5 ТБ данных, потребовал возврата средств, а после отказа от CISO-вымогателя выставил данные на продажу в BreachForums 🧐 Ниже 👇 вы можете посмотреть видео-доказательство по данной истории 👁

Выводов никаких не будет - вроде и так все понятно 🤷‍♀️

Читать полностью…

Пост Лукацкого

Не храните все пароли 🤒в одном файлике (список вкладок впечатляет), не надо. Это больно, когда все это утекает после социалки на админа и попадает в руки плохих парней 🛡 Особенно когда внутри не внедрена многофакторная аутентификация 🤒

Читать полностью…

Пост Лукацкого

Вот и маргиналы-теоретики повылезали. Все хорошо в этой идее; дело за малым - все посты во всех форумах, соцсетях и СМИ в разных юрисдикциях заносить в блокчейн… 🤦‍♂️

Читать полностью…

Пост Лукацкого

⚠️ Вчера несколько человек мне написало, что у них нет доступа к моему сайту lukatsky.ru 🤬 Причем эта ситуация пока носит непредсказуемый характер, так как сильно зависит не только от провайдера и региона страны, но и от временных параметров (у одного провайдера доступ может в один день блокироваться, а в другой нет) 😦

Мой сайт ни в какой реестр запрещенных ресурсов не внесен, как и сам хостер, на котором сайт расположен, но... 🖥 Вспоминая недавнюю историю с блокированием зарубежных хостингов за отказ выполнять очередные требования РКН, не исключаю, что и на "моем" хостинге регулятор также экспериментирует с блокировками, не имея на то соответствующих судебных решений 👩🏼‍⚖️

Устраивающего меня российского хостинга у нас, увы, нет. Мне нужна Managed CMS, когда за отказоустойчивость и безопасность движка сайта отвечаю не я, а хостер 🔗 Но в России такого не делают. Поэтому пока остаюсь на текущем хостинге, даже учитывая риски его недоступности в некоторых регионах. Но методы получения доступа в таких ситуациях не новы и любой специалист (да и не только) умеет пользоваться соответствующими инструментами 🛡 Так что пока смотрю за развитием ситуации 👀 Все-таки пишу в блоге я не так часто, посещаемость его в меньшую сторону отличается от канала, и поэтому кардинально что-то менять нецелесообразно.

Читать полностью…

Пост Лукацкого

Оказывается, кибератака на ВГТРК нарушила не только онлайн-трансляцию, но и эфир России 24. На smotrim.ru архив не сохранился, но запись есть на сайте OnTVtime (с кучей рекламных баннеров). В эфире идёт первый новостной выпуск (начинается в 5 утра). В промежутке между 5:12 и 5:13 картинка пропадает, и примерно полторы минуты экран остаётся чёрным (помимо плашек), а на фоне периодически что-то шумит. Затем включается трансляция с уличной камеры, очевидно, в Москве. А через 40 минут после сбоя запускается трансляция записи передачи, которой нет в программе. Несколько часов эфир идёт в записи. Только в районе 10-11 часов появляются новостные вставки. Но полностью работа информационных систем ещё не возобновлена: ведущая читает новости не с суфлёра, а из Телеграма на планшете, причём экран планшета в режиме реального времени демонстрируется и в эфире. Также через Телеграм запускаются видео-ролики.

Момент сбоя можно увидеть и на записи эфира России 1. Как и на России 24, в промежутке между 5:12 и 5:13 изображение пропадает. Однако чёрный экран висит всего пару секунд, после чего трансляция возобновляется.

Читать полностью…

Пост Лукацкого

Центр стратегических разработок выпустил свежее исследование российского рынка ИБ и оценил тенденции его развития до 2028 года. Не буду приводить цифры из него целиком, отмечу только, что отечественный рынок растет вдвое быстрее мирового рынка ИБ. А вот наблюдениями из отчета ЦСР могу поделиться:
1️⃣ Рынок делят Positive Technologies и Лаборатория Касперского.
2️⃣ Происходит смещение кибератак с массовых на точечные - кейсы последней недели это доказывают.
3️⃣ Рост популярности Bug Bounty программ для независимой оценки защищенности компаний и их продуктов.
4️⃣ Увеличение использования искусственного интеллекта в ИБ.
5️⃣ У компаний усиливается запрос на измеримые результаты от решений по кибербезопасности. Правда, отчет не говорит о том, как компании понимают термин "измеримый результат".
6️⃣ Ожидаемый рост рынка ИБ в 2024 сглаживается из-за:
Смягчения требований по быстрому переходу на отечественные решения и предоставления дополнительного времени на их внедрение в разных отраслях и для разных госкорпораций.
Повышения ключевой ставки, что вынуждает компании пересматривать свои приоритеты в расходах и надеяться на снижение ставки.
Попыток компаний разрабатывать и адаптировать решения внутренними силами, чтобы сократить расходы.
7️⃣ В сетевой безопасности рост отсутствует, так как рынок ожидает полноценные отечественные решения в области NGFW.
8️⃣ В сегменте Endpoint security отмечается небольшой рост, в основном из-за насыщения рынка.
9️⃣ В области защиты приложений отмечается активный рост благодаря:
Зрелости разработчиков, работающих в DevSecOps среде и сталкивающихся с увеличением числа атак.
Новым обязательным требованиям ФСТЭК по безопасной разработке для КИИ и требованиям Банка России для финансовых организаций.
Вниманию регуляторов к управлению уязвимостями, что заставляет компании автоматизировать соответствующие процессы.
1️⃣0️⃣ В части инфраструктурного ПО фиксируется значительный рост, так как рынок зрелый, и переход с таких решений, как, например, ArcSight или QRadar на российские аналоги, воспринимается компаниями не так болезненно, как замена МСЭ.

Читать полностью…

Пост Лукацкого

Интересный инструмент визуализации APT-группировок и используемых ими средств 🧰

Читать полностью…

Пост Лукацкого

Я вот тут почитал проект Постановления Правительства 🇷🇺, утверждающего Правила предоставления пользователем социальной сети, объем аудитории персональной страницы которого составляет более 10 тыс. пользователей социальной сети, сведений, позволяющих его идентифицировать 📱 И хотя я не размещаю рекламу и мне эти правила не очень актуальны, но есть риск, что могут пострадать пользователи, которые будут репостить из моего канала. Поэтому я пока присматриваюсь к новым правилам. И вот что я там обнаружил 🔍

Оказывается РКН, который так заботится о персональных данных россиян, 🖕 никак не проверяет подлинность подлинность заявления некоего лица о владении им каналом и, теоретически, любой желающий может выдать себя за владельца любого канала и зарегистрироваться вместо настоящего владельца 🎭 Интересно, как они будут разруливать... нет, не это недоразумение, а те заявления от владельцев, чьи каналы таким образом можно будет угнать 🤠 Ведь сначала ты регаешь "право собственности" на чужой канал, потом его отжимаешь через, допустим, поддержку Telegram, потом либо требуешь выкуп за возврат доступа, либо начинаешь размещать в канале всякое. И все в рамках закона. РКН - "молодец" 💪

Читать полностью…

Пост Лукацкого

Я несколько лет назад в презентации по личному кибербезу начал включать тему, связанную с дипфейками и как легко можно по фото/видео/аудио из Интернета создать дипфейк, создать слепок отпечатка пальца 🤒 или даже обмануть систему распознавания лиц по радужке глаза (при определенных условиях) 🔠 Вот и в видео к месячнику кибербезопасности говорится о том же… Да, оно без перевода, но там все и так понятно

Читать полностью…

Пост Лукацкого

Тут автор StrideGPT выпустил новое ИИ-решение по ИБ - AttackGen, которое позволяет, опираясь на MITRE ATT&CK, генерить сценарии атак для тестирования возможностей по реагированию на инциденты. Текущую версию, v0.6, можно попробовать в виде живого демо на https://attackgen.streamlit.app, а также посмотреть в репозитории GitHub: https://github.com/mrwadams/attackgen или в виде образа на Docker Hub: https://hub.docker.com/r/mrwadams/attackgen 🐳 Результат работы можно посмотреть 👇

Читать полностью…

Пост Лукацкого

Тут на конфе одной мельком услышал диалог, как один ИБшник рассказывает другому, что отказался идти работать на стадион 🏟, так как скучно и «опять персданные». А я вспомнил, как Cisco готовилась к обеспечению ИБ на Олимпиаде в Лондоне 🇬🇧, потом в Рио, а между ними к ИБ различных спортивных мероприятий по всему миру 🥋 Попутно я узнавал до фига всего про то, что скрывается "под капотом" у современного стадиона.

И это прям космос, до которого многим еще очень и очень далеко 🚀 Куча датчиков IoT, управление технологическими процессами, прелоставление беспроводного доступа десяткам тысяч пользователей, куча арендаторов с разными требованиями к ИБ, обработка платежных данных, трансляции в Интернет, посещение первых лиц, облака, Большие данные, обработка видео в реальном времени и ML, и куча чего еще... 🎮 И все это требует ИБ (хорошо, что не КИИ). Так что ИБ стадиона - это прям современно, разносторонне и интересно... Да и результат сразу виден 👀

Читать полностью…

Пост Лукацкого

Сильный ролик про то, как родители, не думая, выкладывают фотки своих детей 👨‍👩‍👧‍👦 в соцсети, и к каким последствиям это может привести с точки зрения иныормационной безопасности в будущем 🤔

Читать полностью…

Пост Лукацкого

6 лет назад я выступал с темой культуры ИБ на одном мероприятии Сегодня я секцию на эту тему модерирую. На Кибертехе. Так что если вы будете на этом мероприятии, то приглашаю в 15.00 в зал "Атом" ⚛️ Поговорим про то, можно ли культуру ИБ навязать или внедрить? 👊 Какие успешные примеры есть и участников сессии и какова роль в формировании культуры ИБ у государства, бизнеса и профессиональных сообществ? Будут, как и всегда, и провокационные вопросы. Приходите, скучно не будет! 😎

ЗЫ. Чеклист на слайде вы можете посмотреть в блоге ✔️

Читать полностью…

Пост Лукацкого

Прошло 6 лет с моего выступления с темой «L1 в SOC не нужен» и я подумал, что можно вновь вернуться к теме разделения аналитиков SOC на уровни L1-L3. Оно преподносится как частая модель работы аналитиков в Security Operations Center (SOC), но это не так. Это анахронизм, который давно пора выбросить на свалку, заменив грамотно выстроенным процессом detection engineering.

Читать полностью…
Подписаться на канал