alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27559

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

🌟 Мы возрождаем нашу рубрику #женщинывкриптографии!

Сегодня у нас на повестке Хеди Ламарр — изобретательница с титулом «самой красивой» в профессии и «мама WiFi», прошедшая большой путь от актрисы до ученого. Хеди стала первой женщиной, получившей награду «Дух достижений Бульби Гнасса». Ее имя внесено в Национальный зал славы изобретателей США. А в день рождения Ламарр, 9 ноября, уже несколько десятилетий жители Австрии, Германии и Швейцарии празднуют День изобретателя.

🌟 Подробности о пути женщины-ученого, сошедшей с кинолент, ищите в карточках.

А развернутый материал о Хэди Ламар от кандидата исторических наук и старшего научного сотрудника Музея криптографии Анастасии Ашаевой можно прочитать здесь.

Читать полностью…

Пост Лукацкого

С ростом числа киберугроз и реализованных недопустимых событий, страхование киберрисков может стать критически важным инструментом для защиты организаций от катастрофических последствий инцидентов. В отчете The Geneva Association, ассоциации гендиректоров страховых и перестраховочных компаний, рассматриваются текущие тенденции рынка киберстрахования, его развитие и возникающие сложности, а также новые финансовые инструменты, такие как страховые ценные бумаги (ILS), предназначенные для распределения киберрисков.

Что отмечают авторы отчета:
1️⃣Быстрый рост рынка киберстрахования. Глобальные премии по киберстрахованию выросли с $1,5 млрд в 2013 году до $15 млрд в 2023 году. Темпы роста (CAGR) составляют 26% в год. Ожидается дальнейший рост, так как цифровизация продолжает ускоряться, а число атак с последствиями - расти.
2️⃣Расширение охвата покрытия. Включает восстановление данных, IT-экспертизу, восстановление систем, компенсацию убытков третьим сторонам. Также покрываются убытки из-за бизнес-простоев, связанных с кибератаками.
3️⃣Недостаток капитала для поддержки полисов. Примерно 50% премий передаются перестраховщикам, что существенно выше среднего уровня для других страховых направлений (10–15%). Для устойчивого роста отрасли потребуется увеличение капитала, включая привлечение внешнего инвестирования через финансовые рынки.
4️⃣Появление инновационных подходов. Страховые ценные бумаги (ILS) и Cyber ILS как инструмент распределения рисков.

С 2023 года произошло ускорение выпуска кибероблигаций. Пример: Beazley и Swiss Re выпустили "катастрофические" облигации, которые покрывают убытки от крупных кибератак. Общий объем таких облигаций составляет около $800 млн, что пока недостаточно для масштабного покрытия. Обратите внимание на название. Иностранцы тоже устали от термина "киберриск", описывая серьезные ИБ-инциденты. Они стали использовать термин "киберкатастрофа", что равнозначно нашему "недопустимое событие".

К преимуществам ILS (на секунду показалось, что весь отчет ради рассказа про ILS и делался) можно отнести привлечение капитала из финансовых рынков, снижение зависимости от традиционных перестраховщиков. А к вызовам - высокую стоимость капитала, сложность стандартизации страховых полисов и узкую базу инвесторов. Поэтому для роста ILS предлагается целый набор инициатив:
1️⃣Разработка четких стандартов полисов и исключений из их покрытия.
2️⃣Улучшение моделей оценки рисков и сценариев, включая и динамическое ценообразование.
3️⃣Расширение инструментов для привлечения различных типов инвесторов, готовых брать на себя работу с киберрисками.

Киберстрахование может существенно улучшить ситуацию с управлением финансовыми последствиями кибератак, но его рост зависит от решения нескольких проблем. Необходимы инновационные подходы для привлечения капитала, такие как, например, Cyber ILS, которые позволяют перераспределить риски. В то же время, стандартизация полисов, развитие моделей оценки и увеличение ликвидности на рынке страховых ценных бумаг могут обеспечить устойчивый рост отрасли.

Хорошо, конечно, иностранцам - они уже о росте отрасли думают. Нам бы эту отрасль сформировать для начала... А то попытка была, но меньше месяца назад Максут Шадаев сообщил, что все, крантец, не будет ничего...

Читать полностью…

Пост Лукацкого

А вы знали, что 🟥 выкладывает в открытый доступ правила для сетевого обнаружения угроз в формате Suricata (Snort)? Достаточно просто регулярно заходить на сайт https://rules.ptsecurity.com/ и скачивать обновления правил, которые создает и которыми делится с индустрией PT ESC 🕵️‍♀️

ЗЫ. Без регистрации и SMS 👍

Читать полностью…

Пост Лукацкого

Ну и, чтобы два раза не вставать, напечатали чеклист ✔️ для топ-менеджеров "Вас взломали?! Что делать руководству компании". В контексте текущей ситуации с инцидентами и иногда отсутствием у генеральных директоров понимания, что делать в кризис, эта черная папочка оказалось очень кстати 📁

Читать полностью…

Пост Лукацкого

В рамках обучения топ-менеджеров в Корпуниверситете Сбербанка мы сделали набор карточек 🃏 с советами по личной кибербезопасности (на фото не все). Получилось неплохо, но уже есть планы по выпуску версии 2.0!

Читать полностью…

Пост Лукацкого

Канун нового года. По квартире разносится запах мандаринов и свежесрубленной елки 🎄, украшенной дождиком, старыми игрушками, покоцанной немного звездой на маковке, а под ней стоит ватный дед мороз 😅 Мама хлопочет на кухне, готовя праздничный ужин. Папа должен вот-вот прийти с работы; наверное с заказом, в котором будет банка крабов CHATKA, маленькая баночка красной икры и еще какие-то деликатесы 🦀

Я жду боя курантов и момента, когда дед мороз положит что-то под елку 😉 Что это будет на этот раз? Игрушка "Волк и яйца", которую я видел у Сереги и про которую рассказывал папе? А может набор солдатиков, тех, зеленых, среди которых был и снайпер, и пулеметчик, и пограничник с собакой и даже пехотинец с гранатой. А может диапроектор с набором пленок? 🎁

Но самая заветная мечта - это железная дорога 🚂 из ГДР, у которой я мог часами простаивать в "Детском мире" на Кузнецком мосту. Но это вряд ли, все-таки дорогая штука, о которой я даже не заикался никогда перед родителями, понимая, что это невозможно для нашей семьи... Все эти движущиеся поезда, вагончики, здания вокзалов, мосты, ёлки... 🚚 Все это вызывало мой неподдельный интерес. Я хотел знать, как оно все устроено внутри, как это все работает ⚙️ А потом я вырос.

Позже, уже в 🟥, в моей жизни появился Standoff, который позволил реализовать детскую мечту. Нет, я не покупал домой соту полигона, - у меня нет свободной площади в квартире. Но зато я узнал, как работают все эти миниатюрные заводы, аэропорты, атомные электростанции, банки, биржи, стадионы. Теперь у вас есть возможность заглянуть за кулисы и узнать, как создавался макет для кибербитвы. Интересное чтиво... 🧑‍💻

ЗЫ. Если приглядеться, то на картинке можно найти даже маленького хакера.

Читать полностью…

Пост Лукацкого

Очень удачно получилось... Приехал в СберУниверситет на чтение совместного с 🟥 курса по кибербезопасности для топ-менеджеров. Среди прочего рассказываю про фишинг и всегда показываю насколько легко клонировать сегодня любой сайт (в один клик) и какие фишинговые домены создаются ежедневно. И тут, бац, кто-то на днях создал явно фишинговый домен (пока еще существует) СберУниверситета. Прям в тему пример оказался...

ЗЫ. О фишинговом домене сообщил куда следует!

Читать полностью…

Пост Лукацкого

Тут новый законопроект №416441-8 по персональным данным тихой сапой приняли во втором чтении. Из интересного там два момента, которые требуют осмысления и ожидания правоприменения. Меня зацепили две темы. Первую подсветили в закрытом канале RPPA. Она касается новой формулировки про локализацию данных, которая звучит так:

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.


Если сравнивать две версии статьи 18 (действующую и вступающую, в случае принятия, с 1 июля 2025 года), то может сложиться впечатление, что законодатель хочет в принципе запретить любое хранение ПДн россиян за пределами РФ. И никаких первичных баз данных, как было раньше. Так это или нет, покажет время и правоприменение, но я бы исходил из худшего сценария развития событий, который обычно и реализуется у нас в стране.

Второй фрагмент, вызвавший мое недоумение, звучит так:

В целях обеспечения безопасности содержащихся в информационных системах и (или) базах данных сведений о сотрудниках органов федеральной службы безопасности, лицах, оказывающих или оказывавших им содействие на конфиденциальной основе, лицах, в отношении которых органами федеральной службы безопасности применяются меры государственной защиты, орган федеральной службы безопасности вправе направить владельцу информационной системы и (или) базы данных обязательное для исполнения предписание о предоставлении доступа к соответствующим информационным системам и (или) базам данных для обработки содержащихся в них персональных данных сотрудников и лиц, указанных в настоящей части, а также внесения в информационные системы и (или) базы данных ранее не учтенных персональных данных сотрудников и лиц, указанных в настоящей части. Форма такого предписания, порядок предоставления доступа к соответствующим информационным системам и (или) базам данных, обработки содержащихся в них персональных данных сотрудников и лиц, указанных в настоящей части, устанавливаются совместным нормативным правовым актом федерального органа исполнительной власти в области обеспечения безопасности, федерального органа исполнительной власти в области внешней разведки, федерального органа исполнительной власти в области обороны, федерального органа исполнительной власти в области государственной охраны, федерального органа исполнительной власти в сфере внутренних дел. Перечень должностных лиц органов федеральной службы безопасности, которые вправе получать доступ к персональным данным сотрудников и лиц, указанных в настоящей части, и осуществлять обработку таких персональных данных, определяется руководителем федерального органа исполнительной власти в области обеспечения безопасности. Обязанность по сохранению обрабатываемых персональных данных сотрудников и лиц, указанных в настоящей части, и ответственность за неправомерное использование или утрату персональных данных сотрудников и лиц, указанных в настоящей части, возлагаются на лицо, осуществившее их обработку.


Если вы не смогли за раз осилить этот фрагмент, то (а на самом деле схожие формулировки вносятся в закон о внешней разведке, полиции, госохране и т.п.) значит он следующее - спецслужбы и правоохранительные органы могут запросить у вас доступ к вашим ИСПДн, а вы обязаны этот доступ предоставить. Точка.

На этом фоне новый термин "зашифровка" даже уже и не вызывает никаких эмоций.

Читать полностью…

Пост Лукацкого

Вот хотел посмотреть итоги года от F.A.C.C.T., честно хотел. Но не смог даже до главной страницы добраться 🖥 Встретила меня капча необычная, без гидрантов пожарных и переходов пешеходных. И пройти ее я не смог, хоть и несколько раз пытался 🤬 Раньше, у коллег отсекали российские ИБ-компании на этапе заполнения формы для скачивания отчетов. Личную почту не пускали, а с корпоративной отказывали в скачивании. Теперь вот из сети 🟥 и на сайт уже не зайти. А вы говорите, ПТ купил FACCT… Хренушки-то 🖕

Читать полностью…

Пост Лукацкого

Исследователи из Oasis Security выявили новый метод обхода многофакторной аутентификации (MFA) Microsoft, известный как атака Authquake 🎭 Этот подход позволяет злоумышленникам получить доступ к учетным записям Outlook, OneDrive, Teams и Azure даже при включенной MFA, что вызывает обеспокоенность и позволяет плохим парням натворить делов 📱

Основная идея атаки очень проста. Учетная запись требует шестизначного MFA-кода, который действителен около трех минут, и поддерживает до 10 попыток входа в одну сессию 🤒 Исследователи обнаружили, что злоумышленники могли одновременно инициировать несколько сессий, значительно ускоряя перебор кодов 💻 После 24 сессий, что занимало около 70 минут, вероятность успешного подбора кода превышала 50%. В некоторых тестах код угадывался гораздо быстрее, при этом жертва не получала никаких уведомлений, то есть попытка атаки на нее оставалась незамеченной 😷

Уязвимость затрагивала более 400 миллионов пользователей Office 365 🪟, что подчеркивает её серьезность. Уязвимость была сообщена Microsoft в июне 2024 года, временное исправление внедрили спустя несколько дней, а постоянное решение появилось в октябре 🍃 При этом ИТ-гигант внедрил строгие ограничения на число неудачных попыток входа, которые теперь активируются после определенного числа ошибок. Эти ограничения сохраняются в течение примерно 12 часов, предотвращая дальнейшие атаки Authquake 🤕

Вроде как Microsoft - молодец, устранила проблему, и больше она ничему и никому не угрожает. Ну до следующего раза, как минимум. Но я просто напомню, что на Identity надейся, а сам не плошай. Мониторинг аномальной активности пользователей никто не отменял!

Читать полностью…

Пост Лукацкого

Gartner тут разродился прогнозами по кибербезопасности на следующий год. Если вкратце, то выглядит это так:
1️⃣ Людей надо сокращать и заменять всех на ИИ
2️⃣ Отразить все угрозы вы не сможете, поэтому будьте готовы жить в условиях непрерывных атак
3️⃣ Все инциденты вы не разгребете, поэтому чаще тусите с командой и радуйтесь жизни, а то перегорите
4️⃣ Экономики рушатся, бюджеты сокращаются - поэтому оптимизируйте свои хотелки
5️⃣ Технологии не решают - работайте с людьми, учите их быть культурными
6️⃣ Через поставщиков вас ломали, ломают и будут ломать
7️⃣ Людей уже не спасти, займитесь межмашинными связями!

Ну а в целом, прогнозы Gartner становятся очень похожи на предсказания Нострадамуса - подтянуть можно все, что угодно, как и объяснить любой провал в прогнозировании 👁 И за результат отвечать не надо!

Читать полностью…

Пост Лукацкого

Учите испанский 🇪🇸, но хотите это делать на близкой вам теме кибербеза? Могу и тут помочь вам - записали в 🟥небольшой курс по основам персональной кибербезопасности на языке страны риохи, фламенко, Сервантеса и корриды 😱 Mucha suerte y animo! Dedos cruzados por ti!

Читать полностью…

Пост Лукацкого

Apple 📱 получила патент №12154386 на передовую систему безопасности, которая сочетает распознавание лиц с анализом данных, связанных с телом, чтобы повысить защиту домов и устройств 🏡 Эта "яблочная" разработка является результатом усилий компании по интеграции современных технологий в повседневную жизнь и персональную безопасность 🛡

Система использует комбинацию данных, включая выражение лица, походку, рост и даже осанку человека, для идентификации личности 🚶‍♂️ Камеры с высоким разрешением фиксируют эти параметры, а встроенные алгоритмы машинного обучения анализируют их, чтобы подтвердить, является ли человек, например, владельцем умного устройства или квартиры или обычным гостем или взломщиком 🛍 Особенно полезно это в условиях, когда распознавание лица работает не очень хорошо или вовсе не работает, например, в мусульманских странах.

Одним из ключевых результатов этой системы является повышение точности и снижение ложных срабатываний, что делает её более надежной в сравнении с традиционными методами распознавания лиц 🎭 Кроме того, интеграция такой системы может оказать позитивное влияние на удобство пользователей, предлагая более интуитивные способы взаимодействия с охранными устройствами.

В патенте также описаны дополнительные функции, включая возможность взаимодействия с умными домами. Например, система сможет автоматически открывать двери 🚪, включать свет или настраивать температуру, если она распознает члена семьи. Это делает её не только эффективным инструментом безопасности, но и обеспечивает вклад в создание более комфортной среды 🌲

Эксперты отмечают, что такой подход Apple может стать прорывным для индустрии безопасности. Он отражает тенденцию использования биометрии и искусственного интеллекта для создания более персонализированных и защищённых решений 🛡 Хотя внедрение подобных технологий всегда вызывает вопросы конфиденциальности, Apple заявляет 🤓, что данные пользователей будут защищены благодаря локальному хранению и шифрованию, что положительно сказывается на уровне доверия к продуктам компании 😎

Читать полностью…

Пост Лукацкого

Люблю такое, историческое. Теперь становится понятно, почему в начале 90-х, когда я только начинал заниматься ИБ и работал в "ящике" и потом уже, присутствия на всяких непубличных мероприятиях, так много говорили про "боевые вирусы" 🦠 Вот откуда ноги растут 🦠

Читать полностью…

Пост Лукацкого

США ввели санкции против китайской компании 🐲 Sichuan Silence Information Technology и её сотрудника Гуань Тяньфэна за эксплуатацию критической 0Day-уязвимости в неназванном межсетевом экране 👩‍💻 Казначейство США не называет имя пострадавший 4 года назад компании, но известно, что речь идет о Sophos XG и ее уязвимости CVE-2020-1227. С 22 по 25 апреля 2020 года эта уязвимость была использована для установки вредоносного ПО на около 81000 устройств по всему миру, включая 23000 в США, из которых 36 защищали критически важную инфраструктуру 🤬

Первоначально атака 🤕 была направлена на кражу учетных данных, однако позже вредоносное ПО модифицировали для развёртывания программ-вымогателей, таких как Ragnarok, что приводило к шифрованию данных жертв и требованию выкупа за их расшифровку 🤒 Особенно тревожным был инцидент с одной американской энергетической компанией, занятой буровыми работами. Если бы атака не была вовремя обнаружена, то результат был бы плачевным, - это могло привести к серьёзным последствиям, включая возможные человеческие жертвы 🤒

Sichuan Silence Information Technology также связывают с китайскими государственными органами и различными кибершпионскими кампаниями и группировками, такими как APT31, APT41 и Volt Typhoon. При этом отдельные эксперты считают, что в этом деле есть нестыковки, так как внедрение шифровальщика не является типичной целью для китайцев 🐉 Но с атрибуцией у иностранцев все не так просто (попозже напишу об этом).

PS. Sophos уже шла в контратаку, вставляя импланты в свои МСЭ, для отслеживания действия китайских хакеров ♥️

Читать полностью…

Пост Лукацкого

Термин "хакер" 👨‍💻 считывать можно на разных уровнях восприятия. Самая банальная история - это плохой парень (или девчонка), который ломает системы 🥷 Этот вариант, к сожалению, является очень популярным и достаточно активно продвигается везде. Чтобы как-то снизить накал страстей вокруг него начинается эксплуатация антонима к нему - "белый хакер", что только усугубляет ситуацию 👺 Раньше хакером называли технарей, кто изучал как работают системы, обладал нехилым техническим бэкграундом и не следовал правилам и инструкциям в ИТ-сфере.

Но я бы смотрел на термин "хакер" шире. Это человек, который в целом мыслит нестандартно, "взламывает" окружающий мир, его правила и установки, чтобы сделать его лучше 👨🏼‍🔬 В такой трактовке Хеди Ламарр как раз хакер, которая нестандартно смотрела на многие проблемы, находила их решение и потом они внедрялись в жизнь. И кому какое дело, что она была актрисой и сначала стала известной благодаря тому, что снялась обнаженной? 👩🏼‍🔬

Читать полностью…

Пост Лукацкого

Фишинговые атаки 🎣 продолжают использовать человеческие слабости в организациях, причем определенные роли подвергаются большему риску из-за их обязанностей и поведения 🧐 Отчет "Exposing Human Risk", подготовленный Mimecast совместно с Cyentia Institute, доказывает "с цифрами в руках", какие роли наиболее часто становятся целями и как минимизировать эти риски 🙂 Отчет интересен тем, что Cyentia все свои исследования подкрепляет мощной аналитикой, основанной на анализе данных.

Авторы отчеты выделяют несколько ролей с высоким риском попасться на удочку мошенников 💳 В первую очередь это отделы продаж, члены правления и руководители, которые чаще всего и становятся мишенями фишинговых атак. Их публичная видимость и регулярные внешние коммуникации увеличивают вероятность контакта с фишинговыми угрозами. Даже при хорошем уровне их подготовки объем атак делает вероятность успеха выше 🔠

К уязвимым подразделениям также относятся R&D-подразделения, лаборатории и технические команды, которые, несмотря на меньшую частоту атак, демонстрируют более высокий уровень кликов по фишинговым ссылкам 👨‍💻 Это связано с тем, что концентрированность на своих задачах может снижать внимание к признакам угрозы 👩‍💻

При этом авторы отмечают ограничения стандартного обучения, так как универсальные программы обучения по кибербезопасности оказываются недостаточно эффективными (про это уже недавно был пост) 📉 Необходим индивидуальный подход и персонализированное обучение, учитывающие особенности каждой роли и отдела, что требует разработки не одной, а нескольких обучающих и адаптированных программ. Например, отделу продаж подойдут сценарии, моделирующие реальную деятельность коммерческого департамента (обновленные реквизиты, не получили счет на оплату, пришли коммерческое предложение и т.п.) 🛫

Для сотрудников с высоким риском, таких как руководители и члены правления, рекомендуется применение дополнительных уровней безопасности 🛡 Например, более глубокий мониторинг и защита от целенаправленных атак. Кроме того, Mimecast и Cyentia рекомендуют применять данные для выявления паттернов атак и реакций сотрудников. Такая информация позволит точечно распределять ресурсы и принимать своевременные меры 🛡

В заключение отмечу, что аналитика Cyentia показывает неравномерность фишинговых атак в организациях - всего 1% пользователей стоит за 44% всех открытий фишинговых писем, а 5% пользователей отвечают за 83% всех кликов по мошенническим ссылкам. Такая дифференциация должна учитываться при разработке персонализированных обучающих программ 👨‍🏫

Читать полностью…

Пост Лукацкого

Генпрокуратура 🇷🇺 внезапно признала американскую TI-компанию Recorded Future нежелательной 😨 Решение странное, если не сказать больше. Мало того, Recorded Future была куплена недавно MasterCard и может скоро прекратить свое существование как самостоятельное юрлицо в первой четверти следующего года, так и в России эта компания не работает. Большого смысла данное действие не имеет, так как никакого ущерба ни компании, ни стране ее происхождения 🇺🇸 не наносит 🤷‍♀️

А вот проблем российским компаниям и специалистам может создать немало, так как отчеты Recorded Future попадали в платформы Threat Intelligence, в том числе и российских предприятий 💻 Я вот нередко ссылался на их аналитику. Журналисты ее упоминали. И что теперь? 🤔 Ну ссылаться на нее скорее всего уже нельзя, а что делать с ранее опубликованными материалами, ссылками и и упоминаниями? Не будет ли это отнесено как участие в деятельности нежелательной организации? Надеюсь, что нет ☺️

Можно предположить, что российская генеральная прокуратура ⚖️ решила ответить заокеанским коллегам, которые также бессмысленно вводили санкции против российского кибербеза. Если так, то нас ждут еще не менее увлекательные истории о том, как различные не очень известные на российском рынке компании будут признаваться нежелательными ⛔️, так как они

Специализируются на киберугрозах, активно взаимодействуют с ЦРУ и разведслужбами других государств. Обеспечивают информационно-техническую поддержку развернутой Западом пропагандистской кампании против России. ... участвуют в сборе и анализе данных о действиях Вооруженных Сил РФ. Обеспечивают украинским специалистам свободный доступ к программам, используемым для подготовки и проведения наступательных информационных операций против России.


Как работавший в американской компании, могу поделиться наблюдением, - почти все ИБ-компании США попадают под это определение из пресс-релиза Генпрокуратуры. Так что ждем-с

Читать полностью…

Пост Лукацкого

Управление Identity, безопасность ИИ, защита данных, AppSec и безопасность облаков... Это топ5 статей затрат, на которые будут тратить свои бюджеты CISO крупных организаций (опрос проводился не в России) 🤑 Впору сравнивать ваши основные статьи бюджета и то, что планируется коллегами из-за океана ⚖️

Читать полностью…

Пост Лукацкого

Наталья Воеводина, CEO "Кибериспытаний", вчера на обучении топ-менеджеров, рассказывая о том, как ИБ видится глазами CEO и как надо оценивать защищенность, чтобы CEO понял и принял результаты, привела классную аналогию, которую я прям представил перед глазами:

CISO - он как Папанин, дрейфующий на льдине. Раз в год он заплывает на инвесткомитет, получает денег минус 10% от запрошенного и снова отправляется в случайное плавание. Иногда его занесет на архитектурный комитет, где может быть будет кто-то от бизнеса, но обычно нет. Так и живет.


А курс получился хороший 🙂 Инсайт наступил, когда многие гендиректора 🧐 сказали, что в их компаниях только два подразделения, которые непонятно что и зачем делают и, самое главное, непонятно, как их оценивать. Это маркетинг и кибербезопасность ☹️ Вроде и понятно, что бизнес и ИБ должны, но не говорят на одном языке. Но тут это прозвучало прям обидно 😫 и отрезвляюще.

Читать полностью…

Пост Лукацкого

Что-то к ночи подумалось, а что если бы хакерам, которые вломились в инфраструктуру, предлагалась альтернатива воровству данных или денег - архив заблокированного из России Роскомнадзором контента. Интересно, чтобы они выбирали? Кражу данных и статью 272 УК РФ или ценный архив информации и отсутствие преследования? Все такое вкусненькое 😂

Читать полностью…

Пост Лукацкого

Ооо, тепленькая пошла (с) Октябрьский взлом Cisco 🔓 и утечка большого объема внутренних данных, включая, возможно, исходники ряда продуктов, получила новый поворот. Автор первоначального взлома выложил данные по ряду сетевых устройств, а также средств защиты (Cisco ISE, Umbrella, SASE) 👉 Готовимся к тому, что кто-то начнет использовать возможные уязвимости, найденные в указанных решениях?

Читать полностью…

Пост Лукацкого

Тут в отчете Interisle Consulting приводится интересная статистика - на новые домены gTLD приходится всего 11% рынка всех новых зарегистрированных доменов в уходящем году (с сентября 2023 по август 2024, но при этом вредоносных доменов там зарегистрировано аж целых 37% 📊 Домены .com и .net, на которые приходится половина зарегистрированных доменов, "отвечают" за 40% всех доменов, использованных и используемых киберпреступниками. На этом фоне 37% в новых доменах .shop, .top, .xyz, .vip и .club выглядит достаточно серьезной проблемой 🌐

А все почему? Регистраторы либо бесплатно отдают такие домены 🔗 (как бонус к другим услугам), либо берут за это копейки - менее 1 доллара за домен или 2 долларов за две дюжины. К примеру, самый дешевый домен в зоне .com обойдется вам в 5.91 доллара США. При этом регистраторы, коих сейчас 2500 по миру, не проверяют в ICANN тех, кто регистрирует новые домены в этих зонах 🖥

В 2026-м году ICANN планирует выбросить на рынок стопку новых доменов верхнего уровня 🌎 Это выглядит немного странно, конечно, так как число доменов в этих зонах вряд ли превышает несколько тысяч, что при описанной выше цене регистрации, даже не покрывает затрат на запуск и поддержание новых gTLD (оценивается в 180-300 тысяч долларов) 🤑 Но это уже не проблема ICANN - они свои деньги все равно получают с каждого проданного, и не важно кому, домена. Они своих результатов достигнут, а проверка доменов - это пусть регистраторы мучаются.

Так что стоит не только отслеживать все новые домены, которые вводит ICANN, но и регулярно оценивать логи своих NGFW, SWG, прокси в поисках новых, ранее невстречавшихся доменов верхнего уровня и анализа, кто или что за ними стоит и нужно ли вам с ними взаимодействовать! 🤔

Читать полностью…

Пост Лукацкого

А вот кому презентации с ATTACKcon 5.0... 📈

Читать полностью…

Пост Лукацкого

В одном из самых необычных примеров цифрового шпионажа APT-группировка Turla (или Secret Blizzard), которую приписывают России, в течение почти двух лет контролировала компьютерные системы пакистанских 🇵🇰 кибершпионов, получая доступ к правительственным сетям по всей Южной Азии, в частности в Афганистане 🇦🇫 и Индии 🇮🇳 Этот результат стал известен благодаря исследованию Black Lotus Labs, подразделения компании Lumen.

Turla взломала 🔓 серверы управления (C2), принадлежащие пакистанской APT-группе Storm-0156. Используя эти серверы, Turla запускала своё вредоносное ПО и похищала конфиденциальные данные 😂 Это уже четвёртый случай, когда Turla интегрируется в операции других хакеров. Ранее они использовали инфраструктуру иранских (Hazel Sandstorm) 🇮🇷 и казахстанских (Storm-0473) 🇰🇿 APT-групп, а также унаследованные атаки на Украину (через ВПО Andromeda).

В конце 2022 года Turla использовала существующие доступы Storm-0156, чтобы развернуть собственное вредоносное ПО, включая TwoDash и Statuezy 🐎 Это позволило получить огромный объём данных, включая учетные записи, украденные файлы и инструменты Storm-0156. В середине 2024 года Turla активно использовала только семь серверов с пакистанским вредоносным ПО CrimsonRAT 🐀 и Wasicot, даже несмотря на доступ к большему количеству C2-узлов. Это указывает на приоритетный подход к наиболее важным целям, включая индийские правительственные и военные сети, к которым ранее имели доступ кибершпионы Пакистана.

Интересный кейс, который показывает, что хакеры ломают других хакеров и что одни APT могут маскироваться под другие группировки. Кто может гарантировать, что под маской Turla в описываемом исследовании не скрывается какая-нибудь Equation Group? 🇺🇸

А еще, если совсем перевернуть ситуацию с ног на голову, представьте, что вы думаете, что вас мониторит SOC какого-нибудь Moonar Security, а на самом деле его инфраструктура давно уже используется Positive Technologies? Ну а что, почему APT может использовать сервера управления другой APT, а SOC не может сидеть на инфраструктуре другого SOC? 🤔

Читать полностью…

Пост Лукацкого

И что, останется только один? Кто же следующим вылетит из плей-офф? 🤔 Я бы 📱 включил в "турнирную таблицу", а то ведь там вербуется больше малолетних террористов и экстремистов, чем во всех остальных зарубежных соцсетях, действующих на территории страны. Но кто же даст это сделать? Лучше блокировать не Whatsapp 📱, через который осуществляется немалое число мошеннических звонков, а безобидный Viber 📱, про который многие уже и забыли, что он существует. А еще давайте заблокируем Discord, которым пользовались многие командные пункты в зоне СВО для получения трансляций с беспилотников 📱

И в чем смысл? Через VPN все и так по-прежнему доступно. Заблокировать VPN РКН так и не смог. Но проблема не в этом, а в том, что пользователи же не легли на спину, подняв лапки к верху 🫣 Они ищут замену заблокированным VPN. И часто находят ее в виде фальшивых приложений от тех, с кем сейчас Россия и воюет 🖕 То есть пострадавших будет больше, но уже по другому ведомству. А преступники, террористы и экстремисты, и так используют VPN и все блокировки РКН им как мертвому припарки 🏃‍♂️

Если бы Задорнов был жив, то он свое известное выражение про американцев перефразировал бы про РКН... Ну а пока ждем запрета трансляции советского фильма "Мама" и российского "Бременские музыканты" за пропаганду квадроберства! 🤔

Читать полностью…

Пост Лукацкого

Россия и США готовят очередной обмен 🤝 заключенными, среди которых, по версии Mash, будет входит и арестованный 6 августа этого года во Флориде Павел Кублицкий, обвиняемый в кибермошенничестве и в том, что вместе с казахстанцем Александром Ходыревым был администратором хакерского форума WWH 🔺 Если он будет осужден (пока идет следствие), ему грозит около 20 лет в американской тюрьме 😡 В России он повторит судьбу Клюшина и Селезнева, которые входили в первый "пакет" обмена 1 августа 2024 года, то есть, скорее всего, выйдет на свободу

Американские эксперты считают, что это стратегия России 🇷🇺 - собирать на своей территории кибервоинов, ведущих наступательные операции против западных стран, в первую очередь за счет вымогательского ПО 🤒 Как по мне, так возвращение 1-2-3 киберпреступников в страну еще не является сигналом по созданию кибердиверсантов. Скорее это другой сигнал. Будем наблюдать, включат Кублицкого в список из 70 возвращенцев или нет... 🤝

Читать полностью…

Пост Лукацкого

Как красиво сказать, что компания увольняет внутреннюю red team и сокращает 25% службы ИБ? 🤔 Учитесь у Yahoo! 🤔

Читать полностью…

Пост Лукацкого

Тут на BlackHat Europe 2024 был доклад про атрибуцию "русских", китайских и северокорейских хакеров 🔓 А мне всегда интересно, на чем обычно основывают западные эксперты, когда заявляют о "русском следе" 👣, о прогосударственных хакерах и стоящими за ними спецслужбами? И так как про атрибуцию обычно говорят редко, предъявляя только выводы, то данный доклад оказался вполне интересным. Так вот, атрибуты следующие:
1️⃣ Домены в зоне .ru у C2-инфраструктуры 🌐
2️⃣ Названия файлов на русском языке (Альбом.apk, Личный.apk, galareya.apk) 📱
3️⃣ Использование слова kesh (авторы проводят связь с cash и кэш)
4️⃣ Указание имени разработчика в коде (хорошо, что не "Феликс Эдмундович") и конфигах (там больше польское имя, чем русское)
5️⃣ Для китайцев и северокорейцев атрибут и вовсе один - IP-адреса 👹

Тут либо авторы что-то умалчивают, либо я не очень понимаю, как на основе представленных атрибутов делается вывод о причастности российских спецслужб к описанным кампаниям 🇷🇺 Результат на двоечку...

Читать полностью…

Пост Лукацкого

❗️ Роскомнадзор ограничил доступ к Viber

Доступ к сервису Viber ограничен в связи с нарушением требований российского законодательства к организаторам распространения информации, выполнение которых необходимо для предотвращения угроз использования мессенджера в террористических и экстремистских целях, вербовки граждан для их совершения, продажи наркотиков, а также в связи с размещением противоправной информации.

Читать полностью…
Подписаться на канал