Пост Лукацкого

28 февраля 2025 15:10

Маск проводит полную ревизию используемого, точнее неиспользуемого ПО в американском госаппарате ✍️ Прям огонь 🔥 Обычно такие темы заметаются под ковер или не выносятся, чтобы не выплыли неприятные подробности или не стали задавать вопросы, почему при 13000 служащих у вас закуплено 37000 лицензий WinZip (кто вообще покупает лицензию на архиватор Zip, если в ОС встроенная поддержка этого формата). Так и до обвинений в коррупции недалеко 🫴

Но там он еще и на кибербез набросил, мол, какого фига на 15 тысяч сотрудников закуплено более 20 тысяч лицензий? Хотя тут, как по мне, все понятно 👌 В прайсе была позиция на 5, 10 и 20 тысяч лицензий. Чтобы не начинать сложный процесс переговоров о специальной лицензии на 15 тысяч мест (а вдруг число увеличится) и чтобы не покупать две лицензии, на 5 и на 10, что обычно дороже, чем одна на 20, и была куплена одна лицензия на 20 тысяч мест 🤑 Так что с ИБ все бьется, чего не скажешь об остальных упоминаемых Маском примерах.

Вдруг, представил, что у нас, вместо рассказа об экономике данных правительство решит заняться экономией денег ♻️ и тоже начнет с инвентаризации всего купленного и сокращении ненужных расходов ✂️ Хотя, что это я в фантастику, вдруг, ударился. У нас же цифровизация на марше, 1 триллион надо потратить, не время экономить!

#цифроваятрансформация

Пост Лукацкого

28 февраля 2025 05:41

Вот к этой заметке...

Пост Лукацкого

27 февраля 2025 17:59

Немного внутренней кухни подготовки к PHDays. Завтра у нас срок завершения подачи заявок на доклады, участия в дискуссиях, проведения мастер-классов и т.п. но это завтра, а сегодня нам прилетело 50+ (!) заявок! 😲

Я ни на что не намекаю, но если вы еще раздумываете или оттягивали подачу заявки на последний день, то как бы пора ⏳ А то это ведь у вас одна заявка; и все так думают. А нам-то прилетит завтра, похоже, уже не 50, не 75, а под одну-две сотни заявок... Мы их, конечно, отработаем, но и нам первый день весны хочется вдыхать теплый мартовский воздух, смотреть на набухающие почки и распускающиеся тюльпаны 🌷, а не вот это вот все!

Пост Лукацкого

27 февраля 2025 10:23

В продолжение прошлой заметки... Forrester провел анализ 100 вакансий CISO ✍️ и выявил, что успешный руководитель должен не только обладать техническими навыками, но и понимать, какие знания и управленческие компетенции нужны в конкретной отрасли и компании 🧐 Например:
🔹 В финансовом секторе ключевую роль играет управление рисками и соответствие нормативным требованиям ✅
🔹 В технологических компаниях акцент на инновациях и защите облачных сред 😶‍🌫️
🔹 В ритейле важна защита персональных данных клиентов и предотвращение мошенничества 💳

Forrester предупреждает: многие CISO, стремясь к публичности, рискуют потерять контроль над реальной безопасностью ✍️ Они становятся “номинальными лидерами”, которые создают видимость активности, но не могут принимать стратегически важные решения 🤷‍♀️

Чтобы избежать этой ловушки, CISO, по версии Forrester, должен: 🫵
✅ Продвигать инициативы, реально повышающие защиту бизнеса.
✅ Доказывать, что инвестиции в ИБ защищают репутацию и доходы компании.
✅ Искать организацию, которая соответствует его стилю управления.
То есть ничего нового - говори на языке бизнеса, разберись с тем, куда ты идешь, и выбирай компанию по душе, а не только зарплате 🤔

Роль CISO сегодня – это не просто техническое лидерство, а баланс между публичностью, реальными полномочиями и стратегическим влиянием ↗️ Совпадение корпоративной культуры и типа CISO может сделать ИБ-руководителя не просто исполнителем, а драйвером изменений. Как отмечает Forrester, правильное сочетание лидерского стиля и корпоративной среды превращает скептический контроль со стороны бизнеса в доверие к кибербезопасности 🤝

В целом ничего нового и сверхестественного Forrester не придумал, но таблички желаемых навыков/знаний/ответственности для шести типов CISO достаточно прикольные ✍️

#CISO

Пост Лукацкого

26 февраля 2025 19:32

Lockbit обратился к вновь избранному директору ФБР с интересным предложением... 💍

#хакеры

Пост Лукацкого

26 февраля 2025 10:27

Есть две точки зрения на то, что такое "цифровые двойники" 👫 Кто-то думает, что это формальная модель, машинно-читаемая спецификация, описывающая реальные объекты физического мира. Кто-то считает, что это просто копия информационной системы предприятия, на которой можно экспериментировать, не опасаясь реализации недопустимых событий. Не буду спорить с апологетами обеих версий 🤔

Просто расскажу, что американский институт стандартов NIST выпустил краткое руководство по безопасности и обеспечению доверия для цифровых двойников, описанных в абзаце выше первыми. Американцы 🇺🇸 считают, что цифровой двойник позволяет оценивать и анализировать состояния скопированного в цифре объекта и его изменения, а также переходы между ними и между объектами, эмулирующими нечто физически существующее. И такая цифровая трансформация не может быть обойдена вниманием кибербеза 🛡

На 25 страницах NIST IR 8356 "Security and Trust Considerations for Digital Twin Technology" дано описание принципов работы цифровых двойников и сценариев их использования, а также, что важнее, на 4-х страницах сжато рассказано о новых сложностях, с которыми сталкиваются специалисты по ИБ, обеспечивая кибербез двойников 🎭 Нельзя сказать, что это прям "ух" и достойно представления на PHD (CFP еще продолжается, если что), но для быстрого погружения в тематику вполне подойдет 📖

#цифроваятрансформация

Пост Лукацкого

25 февраля 2025 20:50

Ой, у светила американского ИБ, CrowdStrike непогрешимого и луноликого, утечка данных сотрудников работников 🚰

#инцидент

Пост Лукацкого

25 февраля 2025 15:13

В статье с претенциозным названием "ИИ может убить банки", опубликованной на CSO Online, обсуждается, как с помощью генеративного искусственного интеллекта 🧠 может создаваться и распространяться дезинформация, способная вызвать “набеги на банки” (массовое изъятие вкладов клиентами) и другие финансовые кризисы 🏦

Недавнее британское исследование, проведенное компаниями Say No to Disinfo и исследователем Фенимором Харпером, показало, что ИИ может генерировать фальшивые новости и мемы, которые, распространяясь через социальные сети 📱, могут подорвать доверие клиентов к финансовым учреждениям. Эксперименты продемонстрировали, что значительная часть клиентов готова вывести свои средства после просмотра таких материалов: 💰
🔤🔤🔤🔤 респондентов точно выведут деньги
🔤🔤🔤🔤 респондентов с высокой вероятностью выведут
🔤🔤🔤🔤 клиентов банков вероятно выведут деньги 💸

Исследователи призывают банки усилить мониторинг медиа и социальных сетей, интегрируя его с системами отслеживания вывода денежных средств, чтобы своевременно выявлять и реагировать на подобные угрозы 🛡 Предотвратить это уже нельзя, а вот своевременно мониторить такие вещи можно. В противном случае 10-тифунтовая (13 долларов) инвестиция в ИИ может привести к потере 1 миллиона фунтов стерлингов 🛡

А у вас предусмотрено это в модели угроз? 🤔

#ИИ #модельугроз

Пост Лукацкого

25 февраля 2025 10:05

Странные дела творятся... Вроде как в геополитике все начинается налаживаться, разговоры о мире, дружбе и сотрудничестве. Американцам предлагают редкоземельные металлы в обмен на "мир, дружбу, жвачку", а тут бац... 😮

Австралия ввела запрет на продукцию Лаборатории Касперского 🛡 в своих государственных органах. Якобы из-за недопустимых рисков безопасности (так прямо и пишут, недопустимых). Как обычно, без доказательств недопустимости. С 1-го апреля, и это не шутка, вся продукты и web-сервисы российского разработчика должны быть удалены с устройств и систем австралийских госорганов 🇦🇺

Эксперты проводят параллели с аналогичными решениями в Европе и США, но там они были приняты более года назад 🤔 Неужели нахождение на другом конце Земли (хотя на австралийских географических картах этот материк находится прямо в центре) 🌏 реально влияет на то, что информация доходит очень долго (или там подводные кабеля порезали и информация пошла в обход)?.. Слоупоки, одним словом 😐

#суверенитет

Пост Лукацкого

24 февраля 2025 15:26

Помните, я писал, что Apple получила от Великобритании 🇬🇧 запрос, который обязывает компанию предоставить правоохранительным органам 🚓 полный доступ к зашифрованным данным в облачном хранилище iCloud. По сути речь идет о предоставлении подданным Его Величества черного хода в продукцию Apple 📱

Я не думал, что компания из Купертино так быстро отреагирует. И я ожидал немного другой реакции, если честно 😭 Но факт налицо - Apple пошла на поводу у англичан и отключила для них функцию Advanced Data Protection, которая защищает данные пользователей даже от самого вендора. И хотя многие пользователи такую функцию у себя не включали (она опциональна), сам факт неприятный 😈

В настоящий момент англичане имеют доступ ко всем облачным бэкапам iCloud, а также фотографиям и заметкам 📝 И хотя данная опция отключается только для новых пользователей, а для старых ее надо отключать вручную, пользователи отмечают, что если пользователь ее не выключит, ему блокируется доступ к iCloud, что снижает удобство пользования техникой Apple ⛈

Теперь стоит ждать, когда такую же функцию запросят другие страны, чего стоит ожидать ⏳ Думаю, и в РФ это может стать условием возвращения яблочной компании обратно в страну. Будем наблюдать...

#суверенитет #регулирование

Пост Лукацкого

24 февраля 2025 05:40

Была тут встреча с заказчиком, которому мы SOC помогаем строить 🔭 Ну и зашел разговор о метриках, всяких TTA, TTR, TTC и куче других, о которых мы большую статью выпустили на Хабре. Но… важный вопрос, который часто звучит после того, как компании определились с метриками, 📊 — как определить конкретные показатели для этих метрик, в частности для времени реагирования? Ну а поскольку мой опыт построение и аудита SOCов показывает, что это был достаточно частый вопрос, то я решил расчехлить перо и тиснуть немножко мыслей про это ✍️

#SOC #управлениеинцидентами #метрики

Пост Лукацкого

23 февраля 2025 18:28

Иногда считается, что DPO, то есть ответственные за обработку персональных данных в компаниях, скучные люди, которые только и делают, что заставляют всех подписывать ✍️ согласия на обработку персданных, высасывая из пальца кучу фантастических сценариев обработки и дуя на воду в попытке свести все, даже непрозвучавшие претензии РКН к минимуму. Но нет... 🧐

Тут на днях прошел сбор сообщества RPPA (Regional Privacy Professional Association), на котором я, среди прочего, узнал ответы на такие вопросы:
🤔 Фамилия и имя раба - это персональные данные или нет?
🤔 Эскортница, обрабатывающая ПДн своих клиентов (имя, телефон...), является ли оператором персональных данных (как индивидуальный предприниматель)?
🤔 Будет ли относиться к трансграничной передаче персональных данных пересечение границы человеком с татуировкой с именем и днем рождения любимой? 😂

Во всем есть место юмору, даже в такой, казалось бы, скучной теме, как приватность и персональные данные 🙄 Ну а чтобы вам была еще и польза от этого поста, а не только немного юмора, то на сайте RPPA надысь был опубликован аналитический материал о квалификации владельца облачного хранилища, оказывающего услуги по модели IaaS, в качестве "обработчика" ПДн 😶‍🌫️

#юмор #персональныеданные

Пост Лукацкого

23 февраля 2025 07:45

Вернемся к утечке данных 🗂 из микрофинансового финтех-сервиса, который утверждает, что никаких персональных данных не утекало, но при этом отключил свой сайт (на момент написания заметки) "на обновление", а последние новости на сайте датированы и вовсе 2023-м годом 🖥 Но сейчас не про данную конкретную компанию, а немного про другое. 18 февраля Госдума в 3-м чтении приняла законопроект, согласно которому федеральные органы власти смогут требовать у операторов информационных систем доступ к базам персональных данных, а также блокировать и удалять хранящиеся в них персональные данные сотрудников Минобороны, ФСБ, ФСО, МВД, СВР 🇷🇺

В этом нормативном акте есть важный момент - он открывает ворота 🚪 в инфраструктуры почти любой организации, которая может обрабатывать данные сотрудников спецслужб и силовых структур (банки, микрофинансовые организации, операторы связи, транспортные компании, турагентства и т.п.). Как такой доступ будет организован, пока непонятно. Это может быть и физический доступ, и удаленный ⭕️ Ответственности за любой ущерб, понесенный в результате такого доступа (уничтожение, модификация или блокирования информации), никакой не предусмотрено 😠

Так что уже сейчас стоит задуматься о том, хранятся ли у вас в системах данные, в которых в поле "место работы" есть текст, начинающийся с "в/ч" 🎖 И если он есть, начать думать о том, как вы будете предоставлять доступ к такого рода информации, чтобы не нарушить права других субъектов персональных данных. Ну и не стоит сбрасывать со счетов, что утечка такого рода информации может рассматривать как отягчающий фактор 🪓 То есть впору задуматься о реальной, а не бумажной защите ИСПДн. Благо 21-й приказ, хоть и давно принят, но вполне себе адекватен по списку защитных мер 📝

ЗЫ. Так что может и хорошо, что утечка в микрофинансовой организации, выдающей займы под залог автомобиля, произошла до вступления в силу и этого закона, и начала действия норм об оборотных штрафах, о чем, в контексте CarMoney, написал Олег и что уже открытым текстом подтверждают с сопредельной стороны.

#регулирование #персональныеданные

Пост Лукацкого

22 февраля 2025 19:09

Навеяло произошедшим инцидентом у одного крупного российского интегратора 🤦‍♀️

#инцидент #юмор

Пост Лукацкого

22 февраля 2025 12:32

Желание вернуть карту Visa и MasterCard 💳, как и вера в сказку, понятны, но все-таки надо и голову включать. Даже если СМСка прилетела с номера 900 🤔

Бдителен будь, товарищ,
Не верь смске каждой!
Иначе денег лишишься!
Однажды! 💳

Пост Лукацкого

28 февраля 2025 10:10

НКЦКИ у себя на сайте собрал 114 дел по статье 274.1 УК РФ 😡, о чем написал Олег. Не могу не отметить, что регулятор начал прям активную PR-деятельность в публичном пространстве (как минимум, на сайте) 🇷🇺 И про инциденты у подопечных пишет, и про отзыв соглашений с ГосСОПКА, и вот про уголовные наказания... Прям держит руку на горле пульсе. Хотя чего я ждал? Рассказов о поездке в подшефные детские садики и проведение утренников?.. 🤔 Но в любом случае интересно, как оно пойдет дальше.

#кии #УК

Пост Лукацкого

27 февраля 2025 19:29

Хоть и не через две недели и не в Европе, как я предполагал, но, как пишут в темных закоулках Интернета, якобы взломали еще один удостоверяющий центр 🔓; снова в России, в Комсомольске-на-Амуре.

#инцидент #криптография

Пост Лукацкого

27 февраля 2025 15:07

Вчера, вице-премьер Григоренко анонсировал нацпроект "Экономика данных", выделив ряд ключевых направлений, среди которых была и "информационная безопасность". Основных результатов, которые должны быть достигнуты в этом направлении к 2030 году, названо три: 👉
1️⃣ 💯 оценка защищенности ключевых ГИС. Стремление к абсолютной защищенности похвально, но тут важно, что вкладывается в понятие "защищенность"? Отсутствие уязвимостей или возможности реализовать недопустимые события? Первое - невозможно, второе - вполне. Хотелось бы увидеть формализацию этого пункта, а также список ключевых систем...
2️⃣ До 4 часов должно быть сокращено время блокировки мошеннических ресурсов. Сейчас этот срок составляет не менее 15 часов 🫵
3️⃣ До 831 Тбит/с должна составлять скорость трафика, обрабатываемого автоматической системой безопасности. Самый непонятный показатель из трех. Как скорость может быть показателем эффективности? Это как в анекдоте:

Приходит девушка устраиваться на работу секретаршей.
Шеф спрашивает: "А с какой скоростью вы можете печатать на машинке?"
Девушка: "Ну... 1000-1200 знаков в минуту...."
Шеф: "Разве можно с такой скоростью печатать?!!"
Девушка: "Печатать-то можно, но такая херня получается!!!!"

Пост Лукацкого

27 февраля 2025 05:40

За последние годы роль CISO претерпела значительные изменения — от малоизвестной технической должности до ключевого игрока в команде топ-менеджмента (хотя многие об этом только мечтают) 🧐 Однако, несмотря на возросшую публичность и внимание со стороны бизнеса, многие CISO сталкиваются с ограниченной властью (делать должен, но полномочий нет), что делает их уязвимыми перед различными кризисами и внутренними корпоративными конфликтами 😰

Исследование Forrester “The Future Of The CISO” предлагает путь к осознанию своей профессиональной идентичности 😆 (я админ, но ощущаю себя замгендира по безопасности) и выбору компании, которая наилучшим образом соответствует стилю управления и ожиданиям специалиста. Раньше такой подход мог бы показаться странным. Что значит, я выбираю компанию себе? 🤷‍♀️ Но теперь это становится нормой; не только работодатель выбирает тебя, но и ты работодателя 🫵

Forrester выделяет шесть ключевых типов CISO, каждый из которых подходит для определенного бизнес-контекста:
1️⃣ Трансформационный CISO – специалист по кардинальным изменениям Такие CISO приходят в организации с неэффективными программами безопасности и быстро налаживают работу, сочетая стратегический подход с тактическими улучшениями.

2️⃣ CISO после утечки – кризисный менеджер 💃 Эти специалисты востребованы в компаниях, переживших громкие инциденты, где необходим жесткий порядок и восстановление доверия клиентов.

3️⃣ Операционный CISO – технарь с глубоким пониманием киберугроз 👨‍💻 Он фокусируется на непрерывной защите организации, управлении рисками и внедрении защитных механизмов.

4️⃣ CISO по комплаенсу и рискам – эксперт по нормативным требованиям 🫵 Особенно актуален в финансовом и, для США, медицинском секторах, где критически важно соблюдать регуляторные стандарты, такие как GDPR или PCI DSS.

5️⃣ CISO стабильного состояния – приверженец принципа “не ломай то, что работает” 👀 Такой лидер поддерживает уже выстроенные системы защиты, внося минимальные, но точечные корректировки.

6️⃣ CISO, ориентированный на клиентов – публичное лицо безопасности 👋 Он взаимодействует с партнерами, инвесторами и СМИ, формируя имидж компании как надежного игрока на рынке. Однако публичность делает его уязвимым — в случае инцидента он может стать “козлом отпущения”.

Любая классификация - штука непростая, но иногда помогает не делать ошибок. В данном случае ни CISO, ни работодателю. Если вы CISO, то какая роль вам ближе? 🤔

#CISO

Пост Лукацкого

26 февраля 2025 15:28

Я уже как-то писал, что у 🟥 есть портал rules.ptsecurity.com, на котором бесплатно выкладываются сигнатуры для систем обнаружения угроз 🔍 Интересно, что эти сигнатуры используются также в базе правил системы обнаружения атак Suricata, а также сервисах any.run и VirusTotal. Так что можете смело использовать и своих системах 👨‍💻

#opensource #обнаружениеугроз

Пост Лукацкого

26 февраля 2025 05:40

Раскрываю в блоге великую тайну 🤫 большинства CISO, которая заключается в том, что хотя в кибербезопасности и любят романтизировать противостояние атакующих и защитников, реальность такова, что большая часть времени у среднестатистической команды ИБ уходит не на обнаружение и реагирование на сложные атаки со стороны государственных или продвинутых APT-групп. Все прозаичнее. Рутина - так можно назвать то, чем ежедневно занимается ИБ 🧑‍💻 Ну и как следствие, размышление о том, каким должен быть ИБ-продукт для большинства организаций.

#CISO #средствазащиты

Пост Лукацкого

25 февраля 2025 19:28

Интересный вариант использования матрицы MITRE ATT&CK с указанием стоимости 💰 использования каждой техники (или защиты от нее). Данные берутся на основе анализа даркнета, стоимости эксплойтов, заказной разработки, условного ФОТ и т.п. Имея на руках такую калькуляцию 🧮, можно обоснованно оценивать себестоимость атаки, сравнивать ее с защитными мерами, обосновывать инвестиции в ИБ и делать многие другие интересные выводы.

#экономика #mitre

Пост Лукацкого

25 февраля 2025 12:41

Мне бы хотелось иметь сейфовую ячейку 🗄 в Банке России, но, боюсь, у меня столько денег нет, чтобы я был интересен главному финансовому регулятору 💰 Но зато было бы надежно аки нефритовый жезл, на котором можно непрерывно крутить кибермошенников, пытающихся таким образом обмануть доверчивых граждан! 👺

#фишинг

Пост Лукацкого

25 февраля 2025 05:40

Picus Security продолжила ежегодную традицию публикации своего Топ10 техник MITRE ATT&CK, используемых в наблюдаемых ИБ-вендором атаках (это, кстати, является и ограничением, так как дает картину только по клиентам Picus, а не всему миру). Эта десятка показана на картинке ☝️

7 из 10 техник не поменялись и только три, T1555, T1056 и T1005, являются новичками, присущими работе стилеров и вредоносов 🦠, крадущих пароли, учетные записи и другую конфиденциальную информацию из различных источников, включая менеджеры паролей, кэш браузера, системы и т.п. 🤒

93% всех вредоносных активностей связаны с этой десяткой 💯 Несмотря на это, Picus отмечает, что атаки становятся все более скрытными и сложными, обходящими средства их обнаружения и отражения, многоходовыми, все чаще инициированными государственными хакерами 🇷🇺 При этом авторы отмечают, что в 2024-м году массового применения ИИ в разработке вредоносного ПО не заметили, что и понятно, рост ожидается в этом году 📈

Из не типичных рекомендаций (типа внедрите NGFW, EDR, UBA, MFA и сканирование уязвимостей) Picus советует следующее:
1️⃣ Создавайте сценарные плейбуки, ориентированные на многоходовые атаки. Планы реагирования также должны учитывать многоходовость 📇
2️⃣ Автоматизируйте реагирование на ранних стадиях инцидента.
3️⃣ Заранее определите коммуникации на случай сложных, долгих и нетипичных атак.
4️⃣ Инспектируйте SSL/TLS, а также мониторьте DNS-трафик 🔭
5️⃣ Внедрите специфические механизмы борьбы с шифровальщиками, позволяющие обнаруживать действия, им присущие.

Все остальные рекомендации достаточно типичны для таких отчетов и по сути рекомендуют внедрить все, что есть на рынке ИБ (шучу, но не далеко от истины).

#тенденции #mitre #malware

Пост Лукацкого

24 февраля 2025 10:27

Интересная картинка того, как расширяется сфера полномочий и зона ответственности CISO 🛡 У большинства - это классический набор вокруг операционки, архитектуры, соответствия и рисков. У не менее половины вылезает история непрерывности, рисков третьих лиц, продуктовая безопасность 🛡

Четверть CISO подминает более широкие темы вокруг безопасности, включая физическую, АСУ ТПшную, приватность (персданные), борьбу с мошенничеством. Совсем малое количество CISO отвечает за цифровую трансформацию, участвует в M&A-сделках в части due dilligence, а также залезает на поляну ИИ и т.д. 🛡

Больше зона ответственности, больше внимания к деятельности CISO со стороны руководства, выше статус, больше шансов сидеть за столом с "большими дядями", больше ресурсов 💪

#CISO

Пост Лукацкого

23 февраля 2025 21:02

всем кто тут защитник
с праздником ура
гель любви вам в душу
и носок добра

С праздником всех защитников и полузащитников, реальных и виртуальных!! 🫡

Пост Лукацкого

23 февраля 2025 13:31

Ну что, интересное событие произошло, как по мне. НКЦКИ 🇷🇺 официально опубликовало сведения о компрометации инфраструктуры группы компаний ЛАНИТ. Похоже, ФСБ встало на путь опубличивания таких кейсов, устав бороться с основной причиной инцидентов ИБ последних 3 лет (сегодня уже 3 года!), - атаками через подрядчиков 🔗

После принятия новой редакции 17-го приказа еще и от ФСТЭК будет порция рекомендаций по защите (от) внешних поставщиков. И вот тогда заживем 👏 Ну и есть о чем подумать всем остальным поставщикам услуг, интеграторам, разработчикам ПО и другим компаниям, предоставляющим свои продукты и услуги, не отвечающие требованиям безопасности... информационной.

#инцидент #НКЦКИ

Пост Лукацкого

22 февраля 2025 19:09

"Добрый день, коллеги..." 🤣

#meme

@s0ld13r_ch

Пост Лукацкого

22 февраля 2025 15:45

А я продолжаю рассуждать на тему инцидента у Bybit 🪙 с кражей миллиарда с лишним долларов ETH. У Bybit была запущена программа Bug Bounty, где за критическую уязвимость (например, smart contract overflow and conditional competition vulnerability) можно было получить максимум 4000 USDT (около 400 тысяч рублей) 💱 При этом дефекты в контроле разрешений в смарт-контрактах (permission control defects in the smart contract) относятся Bybit не к критическим, а к высокорискованным уязвимостям, вознаграждение за которые составляет от одной до двух тысяч USDT. Утечка подписей относится к среднерисковым уязвимостям (правда, не написано, относится ли в эту категорию потеря всех трех подписей), - а это уже всего 500-1000 USDT 🤏

Для меня эта история интересна с разных точек зрения. Во-первых, налицо дилемма любого хакера с не самыми чистыми намерениями, который стоит на развилке - получить 4 тысячи долларов или миллиард 💵 Причем речь не о конкретно данном кейсе, где Lazarus выполняют вполне конкретную задачу и они точно не участвуют в Bug Bounty, чтобы стоять перед такие моральным выбором. Представим, что простой багхантер нашел такую дыру... И как вы думаете, куда он понесет ее?.. ⚖️

Поэтому так важно грамотно определять стоимость баги, а не идти по пути наименьшего сопротивления - "дадим вам 10 тысяч или возможность заказать пылесос со скидкой в 50%" 🤔 Стоимость, за которую вас готовы ломать, все-таки имеет значение и может, ооооочень условно, являться мерилом вашей ИБ (за столько не ломают, а вот за столько начали, но так и не сломали, а вот за ого-го сколько, хоть и с трудом, но все-таки смогли) ↗️

Во-вторых, очень важны границы программы Bug Bounty. Социальный инжиниринг вообще не покрывался Bybit'ом 💰 По правде говоря, многие Bug Bounty не покрывают социалку, что, с одной стороны, понятно, а с другой - не дает мне полной картины покрытия возможных способов меня нахлобучить 👨‍💻 В ситуациях, где крутятся большие деньги надо расширять scope.

Не случайно, у нас в стране есть такое понятие как кибериспытания, которые по механике похожи на классический Bug Bounty (получаешь бабки за найденные дыры 😵), но гораздо шире по своей области покрытия и более понятны бизнесу, так как в рамках кибериспытаний ищутся не баги, а способы реализации недопустимых для бизнеса событий. Да, у вас есть там некие ограничения, но их гораздо меньше и эта схема оценки защищенности гораздо ближе к тому, что делают реальные хакеры, которые пытаются проникнуть внутрь цели и нанести ей ущерб 🤕

Вывод из этой истории простой: Bug Bounty - это не так просто, как кажется на первый взгляд. И надо оценивать много аспектов перед тем, как выводить себя и свои системы на ту или иную платформу и какую схему оценки защищенности выбирать.

#оценказащищенности #bugbounty

Пост Лукацкого

22 февраля 2025 07:22

Вчера все активно обсуждали кражу 🤒 денежных средств у криптобиржи Bybit на неслыханную сумму в 1,46 (до падения курса криптовалюты) миллиарда долларов с криптокошелька ETH 💴 Интересно в этом кейсе не сумма в 401 тысяча "монет" (предыдущий "рекорд" 2022 года составлял 620 миллионов долларов), и не то, что украденные деньги сразу разбили на меньшие суммы и перевели на почти 50 различных адресов. И даже не то, что предполагаемый преступник, стоящий за кражей, - это северокорейская группировка Lazarus 🇰🇵 (они же стояли за предыдущим рекордом).

Интересно другое, а именно то, что атака была произведена за счет изменения логики смарт-контракта 👨‍💻 Я напомню, что смарт-контракт - это по сути некоторая программа в блокчейне, которая автоматически выполняется при соблюдении указанных условий 📇 В данном кейсе, который еще расследуется, злоумышленники замаскировались под легальный графический интерфейс по переводу денег (с холодного кошелька на горячий), который показывал корректный адрес для перевода средств 🤑

Предварительно, считается, что злоумышленник внедрил вредоносный смарт-контракт еще 19-го февраля, "имея" на руках три цифровых подписи владельца кошелька 💼 А уже 21-го с помощью механизма мультиподписи легальный смарт-контракт Safe был подменен на вредоносный. Данное действие осталось незамеченным владельцем кошелька из-за использования трех цифровых подписей, что считалось сложнореализуемым на практике 💻 Обычно код контракта является неизменяемым после деплоя; если не предусмотрены механизмы обновления, как в данной истории 💱

Глава Bybit предположил, что инцидент мог произойти из-за взлома провайдера ↔️ защищенных криптокошельков Safe, которые используются криптобиржей для хранения эфира (сам холодный кошелек, в теории, не подключен к Интернет). Safe же заявил, что они хоть и участвуют в расследовании, но никаких доказательств своей компрометации они не нашли (хотя часть функций кошелька приостановили) 🔍

Смарт-контракты ✍️ – мощный инструмент для автоматизации финансовых операций, но ошибки в коде (все-таки это обычный софт) и ошибки в управлении ими могут приводить к масштабным взломам 😵 Именно поэтому внедрение принципов DevSecOps, аудит контрактов, Bug Bounty для криптобирж и строгие меры безопасности – обязательные практики в криптовалютной индустрии. Но, видимо, не в данном случае... 🗡

#блокчейн #инцидент