alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27559

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

👊 Зачем синим командам участвовать в кибербитве Standoff?

Решили спросить об этом у них самих и сняли серию интервью, в которых Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, задает защитникам каверзные (и не очень) вопросы.

В первом выпуске говорим с Дмитрием Балдиным, заместителем директора департамента ИТ и цифрового развития, и Егором Тихоновым, заместителем начальника корпоративного SOC компании «РусГидро», команда которой впервые участвовала в кибербитве прошлой осенью. Еще один важный гость — Елена Молчанова, бизнес-лидер киберполигона Standoff.

Обсудили, чем кибербитва Standoff напоминает курсы вождения и для чего компании приходят на нее с собственной инфраструктурой. Поговорили о том, как состязание помогает подружить сотрудников ИБ и ИТ, нужно ли синим готовиться к нему заранее и чего им не хватает на полигоне (спойлер: массажиста и возможности атаковать красных в ответ).

Бонус — фановые истории и байки со Standoff 12. Ищите интервью целиком по ссылке, вдохновляйтесь и приходите смотреть Standoff 13 в «Лужники» 23–25 мая!

Читать полностью…

Пост Лукацкого

Если я буду обновлять свою статью про будущее 🔮 платформ анализа данных безопасности, то добавлю туда примеров разных стартапов, которые добавляют разные кусочки в общий пазл - в части ETL, в части аналитики и детекта, в части хранения данных, в части реагирования, в части визуализации, в части прогнозирования атак и инцидентов 🖥

На RSAC и GISEC я вытащил немало новых имен. Не все из них, конечно, выживут или доживут хотя бы до выставок следующего года, но часть из них вполне способна выйти из категории только что вылупившихся птенцов и пойти дальше 🐣 На грядущем PHD2 будет целый однодневный трек, посвященный будущему SOCов, на котором, среди прочего, будут обсуждать и этот вопрос.

Читать полностью…

Пост Лукацкого

Инструмент моделирования угроз по методике STRIDE с применением... та-дам... ChatGPT 🧠 Совсем уже обленились. Все как в советском мультфильме "Вовка в тридевятом царстве":

- А вы и есть за меня будете?
- Ага...


Так мы дойдем до того, что ИИ не только модели угроз будет писать и сами атаки организовывать, но и защищаться от них тоже сам и обновлять модель угроз тоже сам 🔓 У нас на PHD2 будет круглый стол с противниками и сторонниками этой идеи. А пока ИИ все плотнее и глубже проникает в различные процессы ИБ.

Читать полностью…

Пост Лукацкого

Путин внес в Совет Федерации кандидатуры руководителей силового блока 🇷🇺 и министерств, которые подчиняются непосредственно ему. И только по ФСТЭК пока ничего непонятно ☺️ Особенно учитывая, что ФСТЭК единственная осталась под МинОбороны (ФСВТС выведена из под него и подчиняется теперь 🎩 непосредственно Президенту, а руководит ею будет Шойгу, как и СовБезом), а министр обороны у нас сменился 👮

Читать полностью…

Пост Лукацкого

Не показывать свои имена на бейджах… Профи… 🇺🇸 Мужики, конечно, подкачали 🤠

Читать полностью…

Пост Лукацкого

React, nodejs, docker, no hassle, typescript… Это если вдруг вам интересно, на чем пишут шифровальщиков, как минимум, их консоли управления 🖥 Ну и стоимость…

Если вспомнить мои лекции по стоимости информации 💸, то из поста сложно понять, какая это стоимость. Если ликвидационная, то группировка прощается с нами. А может это стоимость использования, которая оценивается самим пользователем в его контексте и с учетом его ограничений? 🍿 Наконец, мы не знаем метод оценки. Вряд ли использовался затратный метод, например, метод исходных затрат или метод стоимости замещения. Доходный метод тоже вряд ли - на этом коде заработали больше 🤑 Возможно тут и вовсе надо быстро сбагрить код с рук и заработать на нем хоть что-то, если он уже утек, но это еще не стало достоянием гласности. Или кто-то его просто стащил и хочет нажиться, не понимая истинной цены того, что попало в руки... 😱

Видите, как много неопределенностей всего в одном объявлении в даркнете... Именно поэтому так сложно оценивать стоимость защищаемой информации 🤷‍♀️

Читать полностью…

Пост Лукацкого

Ну и чтобы тему с GPS 🛰 закрыть на сегодня. Если вдруг у вас теряется или сбоит GPS, то не спешите обвинять хакеров. Возможно, это магнитная буря пятого (G5) уровня💥 Отслеживать их можно на сайте Института космических исследований. Возможные последствия описаны там же.

Не так чтобы это было прям по ИБ, но это одна из возможных причин наступления события, которое может попасть в прицел ИБ. Ну, примерно, как неработающий Интернет 🛜, причиной чего может быть DDoS, а может и перерубленный экскаватором кабель.

Теперь и вы обладаете этим ценным знанием. А я пойду блесну в дачном чатике, где уже пару дней идет срач на тему «почему мерцают лампочки 💡 на отдельных фазах».

Читать полностью…

Пост Лукацкого

У меня в последний день PHD2 будет доклад про бизнес-модель современной киберпреступности и я обновляю данные по происходящему на черном рынке киберпреступности 🥷 Вот в качестве примеры текущие расценки 💸 по организации DDoS-атак у одной из группировок 👺

Читать полностью…

Пост Лукацкого

IntelBroker, заявившая вчера о взломе Zscaler, не унимается 🥷 Сейчас они заявили о взломе Европола 🎩

Читать полностью…

Пост Лукацкого

На RSAC рассказывают про взлом секс-игрушек 💄 и как отслеживать их местоположение, вытаскивать оттуда видео и вот это вот все... Иллюстрируют все на примерах из реальной жизни 🤔 Показывать фотки не буду, чтобы РКН канал не заблокировал. А я в очередной раз задаюсь вопросом, а вы включили это в свою модель угроз зачем в вибратор интегрировать видеокамеру?..

Читать полностью…

Пост Лукацкого

Пока LockBit пишет, что американцы 👮 ошиблись в идентификации Дмитрия Хорошева, как администратора LockBit 🥷 и стартует конкурс по поиску этого «бедолаги» Дмитрия, кто-то продолжает раскапывать его историю (и тут). Помимо криминальной деятельности у него в активе еще фирма по продаже одежды, утеплению домов, недвижимости и т.п. Диверсификация бизнеса, однако… 👺

И, возможно, к ней придется вернуться, так как по мнению аналитиков LockBit очень быстро теряет доверие со стороны партнеров по цеху, перейдя несколько красных линий, - атаки на больницы 🏥 и локальные атаки на организации внутри России (буквально на этой неделе столкнулся с такой у одного из заказчиков), А тут еще и пристальное внимание со стороны правоохранительных органов 🇺🇸 разных стран, санкции против Хорошева...

Ну а другим группировкам вымогателей 🎩💸 это знак быть не такими активными и громкими, не привлекать внимание санитаров и не высовываться (IntelBroker следующие?..). А то пример REvil, DarkSide, а теперь еще и LockBit, как бы намекают... 🏴‍☠️

ЗЫ. 9-го мая LockBit добавил на свой сайт список из еще 80 жертв 💸

Читать полностью…

Пост Лукацкого

Zscaler подтверждает свой взлом. Интересно им теперь на RSAC стоять со стендом - от посетителей отбоя нет 💻

Читать полностью…

Пост Лукацкого

Помню как соцсеть Марка Цукерберга автоматически удаляла посты с этой картинкой. Телеграм этого не делает, что можно считать маленькой победой 🎆

А еще маленькой победой кто-то считает взлом телеканалов, который произошел вчера в Крыму (транслировали речь Зеленского на украинский день памяти и победы над нацизмом, который соседи празднуют 8 мая в этом году впервые) и сегодня в Украине и Латвии (на взломанных каналах транслировали парад ⚔️ на Красной площади) 🇷🇺 Хотя с некоторыми анонсированными взломами непонятно.

Как по мне, так победой можно было бы считать окончание спецопераций в виртуальном пространстве, а не их продолжение. Но нет, пока нам до этого, ой как, далеко 😭 Поэтому будем отмечать сегодня то, что нас когда-то объединяло - 9 мая, День Победы! 🇷🇺 А пока пойду Штирлица досматривать...

Читать полностью…

Пост Лукацкого

Последнее видео с нарезками с GISEC. Выдохнули, переходим к RSAC 😊

Читать полностью…

Пост Лукацкого

Я бы отдал эту картинку в список пятничных мемов для канала разработчиков POSIdev, но она все-таки ближе к ИБ, чем к разработчикам 🧑‍💻 Мне кажется что последние проблемы LockBit, предполагаемого главаря которого вчера объявили в розыск 👮 и объявили награду, а сайт якобы перехватили правоохранительные службы (хотя сам LockBit это, вроде как, отрицает), связаны с тем, что группировка слишком требовательна к своим программистам - личной жизни быть не должно, вредных привычек тоже, работать 24х7, да еще и быть алчным 🤑

И это как-то не бьется с тем, что пишут про Дмитрия Хорошева (предполагаемого главаря LockBit), основываясь на утечке из Яндекса. Он любит суши 🍣 и чизкейки, не имеет яхты, играет в биллиард, живет в обычной квартире. Где тут алчность и отсутствие вредных привычек? 😂

Читать полностью…

Пост Лукацкого

🍷 Британская фирма объявила в своей Политике конфиденциальности о намерении вручить бутылку хорошего вина «первому человеку, который прочитает это», — The Independent

Компания Tax Policy Associates добавила этот пункт в качестве эксперимента, чтобы проверить, прочтет ли кто-нибудь полные условия.

Такой человек появился только спустя три месяца — им оказался сотрудник другой компании, который просто искал образец политики для своего веб-сайта.

Подписаться / Прислать новость

Читать полностью…

Пост Лукацкого

Рассказ про bug bounty 🐞 от представителя испытательной лаборатории ФСТЭК, это как рассказ про Linux от фаната Windows. Тут каждая часть тезиса некорректна; особенно последние две. Прийти на платформу Bug Bounty может каждый, а вот участвовать в той или иной программе нет. Это зависит от самой программы и ее условий. Ряд программ требуют верификации участников , а ее контроль лежит на операторе платформы. А уж про отсутствие возможности подписания NDA в условиях, когда у нас даже согласие ✔️ на обработку персданных дается в электронном виде и принимается Роскомнадзором, я бы вообще не упоминал.

Все эти вопросы лежат на поверхности, всегда задаются компаниями, выходящими на Bug Bounty, и имеют ответы у операторов соответствующих платформ. Хотя чего еще ждать от представителя испытательной лаборатории, чувствующего конкуренцию со стороны инструмента, который часто показывает бОльшую эффективность, чем классическая сертификация (как минимум, в части обнаружения реально эксплуатируемых уязвимостей)? 😵

Хотя я бы вообще не противопоставлял эти два способа оценки защищенности ПО. Одно (сертификация) - это больше про функциональное тестирование 🧑‍💻, наличие базовых процессов безопасной разработки и первичную проверку ПО. Второе (bug bounty) - это про непрерывный мониторинг 🖥 уязвимостей бОльшим числом участников. Они прекрасно дополняют друг друга. В идеале Bug Bounty вообще могла бы стать частью процесса жизненного цикла сертифицированного изделия.

ЗЫ. И про все это мы тоже будем говорить на PHD2. Пользуясь случаем, приглашаю представителей испытательных лабораторий на киберфестиваль.

Читать полностью…

Пост Лукацкого

В тему точности статистики. По данным Positive Technologies, Mandiant, PaloAlto и других ИБ-компаний в тройку основных причин инцидентов ИБ входят - социальный инжиниринг, уязвимости в публично доступных приложениях и скомпрометированные учетные записи. А вот по данным eSentire на первое место выходят вредоносы, атакующие через браузеры 🧊 🧊

Возможно дело в том, что авторы презентации работают в компании, которая занимается соответствующим направлением, а может быть проблема в формулировках - у PA, Mandiant, PT данные по источникам инцидентов, а eSentire анализирует источники только вредоносного ПО 🦠

В любом случае, стоит задаться вопросом, как с такой угрозой бороться, особенно если она прилетает по TLS-соединению, которое не|сложно мониторится на периметровых средствах защиты и требуется мониторинг на десктопах (EDR вам в помощь).

Читать полностью…

Пост Лукацкого

Мне кажется Apple совсем уже берега попутал, сравнивая такую солидную организацию как АНБ 🇺🇸 с цирком 💤

Ну а если отбросить шуточки в сторону, то мне стоит задуматься, почему мне уже iPhone предлагает «АНБ» в качестве часто используемого слова ;-)

Читать полностью…

Пост Лукацкого

И снова австралийцы... Они (Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC)) 🇦🇺 выпустили неплохое руководство по выбору безопасных и доверенных технологий. Не являясь чеклистом, это руководство должно помочь производителям выпускать, а покупателям выбирать верифицируемые и безопасные решения на основе четких и понятных критериев ✔️

Это то, чего всегда не хватало в наших требованиях по ИБ и что всегда вызывало вопросы применительно к пункту по закупке информационных систем в ISO 27001 и NIST SP800-53 или NIST CSF. То есть требования по безопасной разработке есть 🧑‍💻 Требования по устранению уязвимостей в купленных решениях есть. А что между ними? Как выбрать решение безопасное, ориентируясь не только на сертификат ФСТЭК? 💡 Как уменьшить число задач по управлению уязвимостями за счет не выстраивания этого процесса, что тоже важно, а выбора изначально более защищенного решения? Вот на последний вопрос документ от "жителей страны кенгуру" 🦘 и отвечает.

ЗЫ. А в это время 68 вендоров подписали меморандум с CISA о добровольном выполнении принципа “secure by design” в своих продуктах, согласившись реализовывать, как минимум:
1️⃣ Внедрить MFA
2️⃣ Обязать клиентов менять дефолтовые пароли
3️⃣ Включить в описание CVE ссылки на CWE и CPE
4️⃣ Уменьшить число уязвимостей
5️⃣ Заставить клиентов ставить патчи
6️⃣ Опубликовать политику раскрытия уязвимостей
7️⃣ Обеспечить возможность сохранять доказательства по инцидентам (логи)

Читать полностью…

Пост Лукацкого

Это интересная история, которая произошла параллельно RSAC. Есть такой "небольшой" пенсионный фондик в Австралии, который обслуживает без малого полмиллиона человек, - UniSuper 🇦🇺 Является крупнейшим пенсфондом в стране кенгуру 🦘 и утконосов. И вот у него внезапно Google снес все частное облако 🌩 И все бы ничего, люди в UniSuper опытные, знают, что такое резервирование, поэтому у них было второе, резервное частное облако в том же Google... которое ИТ-гигант тоже удалил 🗑

Как говорят в заявлении обе компании, это произошло в результате редкой и беспрецедентной последовательности событий, которые никогда ранее не случались ни с одним клиентов Google (а теперь, глядь, расскажите мне об оценке вероятности такого события) 🖕

"Этого не должно было произойти"


Ага, счаз! Но австралийцы оказались совсем ушлыми - у них была еще одно резервная копия всех данных и на этот раз не у Google, что и позволило восстановить доступ пенсионеров и приближающихся к ним гражданам бывшей колонии Великобритании, в которую ссылали каторжан 😡 Правда, произошло это через неделю после наступления исходного недопустимого события. Но, к счастью, доступ все-таки восстановили.

Мне вот интересно, что предложит Google фонду UniSuper в качестве возмещения вреда и заглаживания вины? Продление контракта на время недоступности ресурса 😂 Или бесплатное обслуживание в течение года-другого? И что решит UniSuper - уйти с гордо поднятой головой или остаться, подсчитывая выгоды от экономии?

ЗЫ. Ну а я напомню про правило 3-2-1, о котором недавно писал.

Читать полностью…

Пост Лукацкого

Когда ты привык сражаться с фишингом в электронной почте 💻 и считаешь, что достиг больших высот в этом, а тебе вдруг приходить обычное бумажное письмо по почте 📬 и приглашают стать тестировщиком новых продуктов в французском Амазоне, требуя просканировать QR-код с деталями уникального предложения...

Смена привычной тактики на что-то нестандартное, непротестированное в рамках киберучений и фишинговых симуляций, и человек теряется и может попасться на удочку 🎣

Таким образом год-два назад ловили владельцев холодных аппаратных криптокошельков Ledger, которым приходила посылка с якобы подменным и более защищенным, чем прежний, кошельком (этакий жест доброй воли от производителя), который в итоге крал все деньги у ничего не подозревающих жертв 🤒

Читать полностью…

Пост Лукацкого

Интересный доклад был на RSAC от представителей УкрЭнерго и Cisco Talos про радиоэлектронную борьбу, воздействие на GPS 🛰 и последствия для критической инфраструктуры в области энергетики 🔋 Нечастая тема на ИБ-конференциях до недавнего времени, но с весны 2022-го года эта тема все чаще всплывает на повестке дня у специалистов по безопасности и не учитывать ее было бы неправильно; как минимум, держать в голове 🧠 А то подмена GPS-сигнала может привести к различным проблемам с работоспособностью технологических процессов (в докладе были приведены примеры в рамках идущего уже более двух лет конфликта ⚔️)

Читать полностью…

Пост Лукацкого

Не знаю как насчет списания долгов, но щеки ей точно кто-то "списывает". И я даже знаю, куда стремится персонаж слева 🐹

До сих пор не могу понять, это такая дурацкая и неграмотная реклама (персонаж на ней однозначно отторгает от себя и вряд ли кто-то на такое кликнет), или это классический фишинг. В соцсети Цукерберга это был точно он. Может и в ВК тоже?.. Но жалобы ни к чему не приводят - реклама у меня регулярно отображается, только фото "худеет" 💻

Читать полностью…

Пост Лукацкого

Ascension, некоммерческая католическая система здравоохранения 🏥, которая управляет 140 больницами в 19 штатах США 🇺🇸 (134 тысячи врачей и медработников), заявила, что 8 мая зафиксировала аномальную активность в своей технологической инфраструктуре и приостановила проведение клинических операций до появления полной ясности с масштабом атаки 🥷 Компания привлекла внешнего подрядчика для проведения расследования, что становится хорошей практикой в таких историях, когда компания не имеет собственных квалифицированных специалистов (все-таки навыки расследования сильно отличаются от навыков построения системы защиты и даже обнаружения и реагирования на инциденты) 💻

Это уже не первый серьезный случай с американскими больницами 💉 Недавно был кейс с UnitedHealth Group, который является на сегодняшний день крупнейшим по масштабу финансового ущерба инцидентом в мире (почти 2 миллиарда долларов потерь), опередив инцидент с Equifax с его 1,7 миллиардами долларов 🤑 В прошлом августе была атака на Prospect Medical Holdings. В январе 2023-го инцидент в Lehigh Valley Health Network в Пенсильвании, когда из-за группировки BlackCat утекли персданные больных онкологией, включая и их фотографии в обнаженном виде 💊

Американский Минздрав недавно рассылал предупреждение по отрасли, что хакеры меняют свою тактику и начинают с помощью социального инжиниринга атаковать службы ИТ-поддержки в больницах и использовать их как первичный вектор атаки ⚠️ Думаю, скоро и CISA, АНБ и их сателлиты разродятся бюллетенем о росте угрозы со стороны хакеров (не исключаю упоминания и России), как это было сделано с киберугрозой системам водоснабжения 🚰

А пока от действия шифровальщиков, атакующих больницы, гибнут пациенты... ⚰️

ЗЫ. У вас же есть под рукой контакты специалистов, которые оперативно могут включиться в расследование инцидента?..

Читать полностью…

Пост Лукацкого

Ну и Dell тоже подломили 😷 и компания это подтверждает. Деталей не раскрывают, но хакеры продают уже данные 49 миллионов клиентов 🖥

Читать полностью…

Пост Лукацкого

Если вдруг вы решите устроить танцевальный челлендж 💃 на PHD2, то помните, что когда это позавчера сделало Palo Alto перед RSAC, пользователи в Интернет заклеймили их, что это полнейший кринж. Так что не повторяйте ошибок или сделайте это так, чтобы про ваш челендж сказали "имба" 😊

ЗЫ. Да, это был легкий байт, если вы понимаете современный сленг молодежи 👍

Читать полностью…

Пост Лукацкого

Искусственный интеллект 🧠 на RSAC - это священная корова. Про него говорят все и в совершенно разных аспектах - техническом, атакующем, юридическом, политическом и т.п. В том числе делают неплохие обзоры того, как используется ИИ на темной стороне 🤒 И там динамика очень активная. Я в сентябре в блоге писал про всякие DarkGPT, WormGPT и т.п. GenAI-инструменты, которые применяются для создания фишинга, вредоносного ПО и т.п. И вот, прошло полгода, а список существенно вырос и пополнился новыми именами 🤒

Читать полностью…

Пост Лукацкого

Для тех, кто в теме 😎 Иностранцы пишут, что не понимают этого мемасика 😂 Но мы-то знаем...

ЗЫ. На фото Дмитрий Хорошев, предполагаемый администратор LockBit 💻

Читать полностью…

Пост Лукацкого

Представьте себе ситуацию, вы заметная фигура на рынке кибербезопасности, занимаетесь антивирусами (да, я помню, что они не нужны), продаете их через Интернет-магазин, радуетесь жизни. И вдруг, внезапно, денежный поток в вашу сторону падает до нуля. Вы в панике, пытаетесь понять, что случилось? Неужели Лукацкий добился своего 🤠 и все уверовали, что антивирус не нужен? Или на рынок ворвался конкурент, который демпинганул так, что все ломанулись к нему? Или вас взломали и деньги переводятся на подставные счета?.. 🤑

Нет, это не сценарий очередных киберучений, это ситуация, в которую может попасть любая организация, ИНН которой случайно попал в фиды ФинЦЕРТа и который был разослан ➡️ по всем банкам страны, что обязывает их блокировать любые платежи в адрес этого ИНН. Ровно это и случилось с одной ИБ-компанией, чей Интернет-магазин почему-то попал в фиды регулятора 😱

Как следствие, лично у меня возникло сразу несколько вопросов вокруг этой ситуации:
1️⃣ А вы готовы к тому, что к вам могут не ходить платежи потому что они случайно попали в фиды ФинЦЕРТ? Скорее всего нет, но теперь-то да, и вы же включите этот кейс в свои сценарии штабных киберучений или плейбук по реагированию на инциденты? 🤔
2️⃣ Как ЦБ проверяет попадающие в фиды данные? 🖕
3️⃣ Какова процедура исключения данных из фидов? Есть ли срок автоматического устаревания данных в фидах?
4️⃣ У вас есть процедура оценка качества фидов, прилетающих от кого бы-то ни было? 🛃
5️⃣ Возмещает ли регулятор ущерб по таким ситуациям, если будет доказано, что именно по его вине компания недополучила прибыль? 🤑
6️⃣ Если платежи за антивирус проходили все равно, то значит ли это, что все забивают болт на фиды ЦБ и что по этому поводу думает сам регулятор 🤔
7️⃣ Входит ли данная ситуация в зону ответственности CISO или это зона контроля финансового блока компании?

Читать полностью…
Подписаться на канал