А Nano Banana Pro неплоха... 🎨

#оценказащищенности

Читать полностью…

На конференции OWASP Global AppSec 🖥 известный эксперт по моделированию угроз Адам Шостак заявил (и я его в этом поддерживаю), что попытки количественно измерять и управлять рисками в кибербезопасности – это зачастую пустая трата времени и усилий. Он отметил, что в бизнес- и технологическом контексте риска (вероятность × ущерб) мы часто действуем так, как будто эта модель работает, хотя она не решает наши реальные проблемы 💡

Почему Адам так считает? Да все просто. Нельзя достоверно измерить вероятность наступления инцидента, а также невозможно точно оценить его воздействие (ущерб) до того, как он случится 🤔 Да, можно прикинуть статьи затрат, но не более. Часто организации пользуются таким понятием риска ИБ как аксиомой, хотя оно не всегда применимо – особенно когда речь о редких или единичных инцидентах, где статистика неприменима. Эта фиксация на "риск = вероятность × ущерб" приводит к внутренним спорам и нежелательным последствиям (например, спор о цифрах вместо фокусировки на защите) 🤔

Шостак предлагает другой подход – вместо попыток "измерить риск ИБ" использовать моделирование угроз; что и понятно, раз он много лет занимается этой темой. Он предлагает задавать следующие вопросы: 🤔
1️⃣ Что мы создаем / над чем работаем?
2️⃣ Что может пойти не так?
3️⃣ Что мы можем с этим сделать?
4️⃣ Провели ли мы работу качественно?

Также он приводит пример Microsoft 📱, где использовали не столько оценку вероятности и ущерба, сколько "bug bars" – шкалы, где уязвимости ранжируются по серьезности, а не по оценке вероятности. Адам Шостак подчеркивает: приоритизация должна опираться не на "риск" в математическом смысле 🧮, а на три фактора:
*️⃣ стоимость исправления,
*️⃣ эффект от исправления,
*️⃣ нагрузку на безопасность.

Я уже много лет придерживаюсь той же позиции относительно киберрисков, но с предложенной Шостаком заменой не согласен 🙅‍♂️ Он принижает тему, делая ее более техничной, вместо того, чтобы говорить на ином языке с бизнесом, который не позволит у вас спрашивать: "А откуда вы взяли эти цифры?". Идея с теми же недопустимыми событиями на уровне топ-менеджмента прекрасно заменяет тему рисков. Если, конечно, у нас нет законодательных ограничений (а они есть) и сложившаяся привычка. Но об этом в следующий раз 🤔

#риски #метрики #модельугроз #недопустимое

Читать полностью…

Подписчик прислал 🙏 вот... И я стал загибать пальцы:
☝️ Про Max писал
☝️ Критику на законопроект о мошенничестве наводил
☝️ Несколько Telegram-каналов веду
☝️ Разборки с хостером устраивал (правда, до суда дело не дошло)
☝️ Схемы мошенников вскрывал ✍️

Так, значит, что там осталось еще по списку. Статус ИП и основание компании по ИТ-безопасности... Этого к счастью нет и теперь, видимо, уже не предвидится. Мне кажется, именно это, героя заметки и сгубило 🪓

#ответственность

Читать полностью…

🔄 А на платформе DetectionStream обновление – добавили поддержку правил Suricata. И вновь напомню, что это не просто репозиторий (а там добавили 45 тысяч правил в формате Suricata для обнаружения сетевых угроз), а платформа для detection engineering, которая позволяет не только конвертировать правила из одного фреймворка в другой, но и создавать новые, а также сразу тестировать их (я про эту платформу уже упоминал несколько дней назад) 🤔

#обнаружениеугроз #ttp #soc

Читать полностью…

Когда APT сливается 🤝 с государством, начинаются проблемы с предсказуемостью поведения кибергруппировки и облегчением ее обнаружения и атрибуции. Такой вывод (один из выводов) можно сделать, изучив отчет о деятельности APT35 (она же Charming Kitten).

В октября 2025 года было опубликовано внутреннее досье, связанное с APT35: документы, журналы, ежедневные и месячные отчеты, таблицы с KPI и метриками, данные о проведенных атаках, фишинговых кампаниях и др. Раскрытый объем показывает не случайную хакерскую группу, а хорошо организованную, бюрократизированную структуру 🇮🇷 – с четким разделением труда, отчетностью, надзором, системами мотивации и контролем результатов.

Меня зацепила часть именно про оценку эффективности группировки и выбранные ее руководством и кураторами метрики. В материалах нашлись: ✍️
➡️ ежедневные "рабочие журналы" операторов APT;
➡️ таблицы задач на неделю;
➡️ месячная отчетность с количеством выполненных действий;
➡️ табели рабочего времени (!) 🗓

Они выглядели как Excel-файлы с колонками "время работы", "часы присутствия", "выполненные задачи", "план/факт", "осталось выполнить". Самый неожиданный и яркий момент утечки – таблицы с: 😲
➡️ временем прихода на работу;
➡️ временем ухода;
➡️ количеством часов работы в день;
➡️ замечаниями от руководства ("опоздание", "не выполнил план");
➡️ отметками о выходных и отпусках.
По сути, APT35 живет в режиме обычного офиса, с менеджерами, которые следят за дисциплиной 😳

Фишинговое подразделение (HERV, Human Engineering & Remote Validation) имело следующие метрики:
🐟 количество отправленных писем за определенный период (день/неделя/месяц);
🐟 конверсиюя – сколько писем были открыты;
🐟 количество кликов на фишинговые ссылки;
🐟 количество введенных учетных данных;
🐟 количество свежих валидных аккаунтов, "добытых" за неделю;
🐟 успешность прохождения MFA (я про соответствующий инструментарий уже писал).

Отдельные документы описывают показатели для команды эксплуатаций уязвимостей: 👨‍💻
✔️ количество проанализированных серверов/хостов;
✔️ количество найденных потенциально уязвимых целей;
✔️ сколько из них успешно эксплуатировано;
✔️ сколько было развернуто webshell;
✔️ устойчивость webshell (как долго живет точка входа);
✔️ количество извлеченных адресных книг;
✔️ скорость первичного проникновения после обнаружения уязвимости 🖥

Операторы, которые следили за почтовыми системами жертв, имели следующие показатели эффективности: 📨
✉️ количество просканированных писем;
✉️ количество полезной развединформации;
✉️ скорость реакции на новые входящие письма интересующих лиц;
✉️ количество выявленных цепочек контактов (сетевой анализ переписки);
✉️ длительность поддержания скрытого присутствия в ящике 📩

Для операторов, занимающихся сканированием и рекогносцировкой: 📡
🌟 количество проверенных IP-диапазонов;
🌟 количество обнаруженных уязвимых сервисов;
🌟 количество собранных .env файлов;
🌟 количество обнаруженных серверов Exchange/EWS;
🌟 объем новых “целей” в базе 🧑‍💻

Из-за фиксированных KPI (а иначе кураторам сложно оценивать динамику работы) 🧮 операторы вынуждены повторять одни и те же техники, инструменты и шаблоны. Судя по отчету, APT35 соревновалась сама с собой – чем больше и быстрее оператор APT добывает данные, тем выше его оценка. Это приводит к тому, что APT выстраивает повторяемые процессы, в которых хакеры набивают руку, но при этом теряется творческое начало. А это делает их более предсказуемыми 🤔

ЗЫ. Хотя метрики так себе, если честно 👎

#APT #метрики #атрибуция

Читать полностью…

Я постоянно ругаю РКН, но сегодня надо отдать должное регулятору, который помог мне прокачать мои хардскиллы. Некоторое время назад на умном телевизоре перестал работать YouTube (не новость) 📱 Не самая большая проблема, конечно (при наличии YouTube на лэптопе и смартфоне через VPN), но все равно иногда не хватало. Ставить на ТВ левый apk с VPN с непонятного сайта я был не готов, а стримить видео-поток с другого ноута на ТВ – это как из пушки по воробьям 📺

В итоге решил вспомнить свое админское прошлое 🧑‍💻 Да и в конце концов, после 18 лет в мировом лидере сетевых технологий тоже как бы стыдно было не решить эту проблему. Завел новый VPN-аккаунт и стал цеплять его на домашний Keenetic, у которого есть соответствующий функционал для построения Site-to-Site VPN 🛡 Так как в доме сеть у меня уже была сегментирована, то было не сложно выделить Smart TV в отдельную политику и загнать только его в VPN, чтобы не пускать все мои десятки устройств по шифрованному соединению. Бинго...

Но не тут-то было. Оказалось, что почти все используемые мной отечественные стриминговые платформы, не работают через мой VPN (вероятно, они рубят доступ с зарубежных IP) 🖕 Ладно, пойдем другим путем. Решил настроить маршрутизацию по FQDN, чтобы в VPN загонять только трафик до 3-х доменов: googlevideo.com, youtube.com и ytimg.com. А хрен, оказалось, что хоть KeenOS и поддерживает такую фичу, но только с 5-й версии, а мой Keentic не так чтобы и молод и проапгрейдить его до 5-й версии нельзя; следовательно, в FQDN routing он не умеет 🤷‍♀️

Ладно, пойдем иным путем, не самым красивым, но также достигающим результата 💡 Вытащил с сайта Google список всех диапазонов IP-адресов, используемых YouTube и его CDN, и написал политику для статической марщрутизации, которую и засунул в VPN. Бинго! Теперь уже окончательно. И вот у меня снова доступ к видео с RSA Conference и других ИБшных мероприятий со всего мира, которые выкладываются на YouTube, а не на Rutube ®️ или ВК Видео 📱. Теперь можно и другие сервисы так настроить сразу на маршрутизаторе, чтобы не морочиться с регулярным поднятием VPN. Да, ACL будет пухнуть от новых правил, но не думаю, что для Keenetic это будет проблемой.

А не будь РКН, так бы и жил безмятежно, постепенно забывая, как это, работать руками 🤠 Так что, спасибо, РКН 🙏

#суверенитет

Читать полностью…

С одной стороны в США сегодня празднуют день Фибоначчи, а с другой – все обсуждают компрометацию CrowdStrike со стороны группировки 🥷 Scattered Lapsus$ Hunters, ответственной, среди прочего, за недавний взлом Salesforce, а также Jaguar LandRover. ИБ-вендор подтвердил, что у него в компании был внутренний сотрудник-инсайдер, который скрытно сделал снимки экрана своих рабочих систем и передал их злоумышленникам 🤑 Конечно же, компания подчеркивает, что никакого взлома их систем не произошло и персональные данные клиентов не были скомпрометированы. Сотрудник, которому, как утверждают сами хакеры, заплатили 25000$ за доступ, был выявлен и уволен после внутреннего расследования 🏌️

"А у вас предусмотрено такое в модели угроз", спросил бы я, но думаю это и не требуется 🤔 Но напомню свою заметку полуторагодовалой давности со списком фреймворков по борьбе с инсайдерами, от которых (инсайдеров, а не фреймворков) никто не застрахован. ИБ-компании тоже страдают от этого. В 2021-м году ProofPoint столкнулся с кражей конфиденциальной информации бывшим топ-менеджером, который продал ее конкуренту, к которому он позже и перешел 🧐 ProofPoint, кстати, не смог выявить факт выноса информации на флешке. А в 2018-м году уволенный сотрудник Cisco, спустя 5 месяцев после своего увольнения (хотя можно ли это считать инсайдерской атакой) смог подключиться к ресурсам AWS компании и удалить 456 виртуальных машин в инфраструктуре Webex Teams 🗑

А в России тихо 🇷🇺 Помимо взлома технического сбоя у крупного перевозчика в публичном поле молчание. О взломах очередной ИТ-компании, финансового аудитора или суда, через которых рассылали вредонос по их заказчикам, полный молчок. Не принято у нас выносить сор из избы... 🤫

#инцидент #insider

Читать полностью…

😮 Хороший пример, демонстрирующий разницу между тем, что регулятор или чиновник в более широком смысле говорит на мероприятиях и что он делает или не делает (по разным причинам). Вообще, перечитывать заявления и тезисы с прошлых мероприятий - достаточно занятная вещь 🤔

#регулирование

Читать полностью…

Когда я слышу разговоры о том, что полностью автономатический взлом с помощью автономных ИИ-агентов 🤖 – это сказка, невозможно и вообще не в этой жизни, то мне почему-то сразу вспоминаются старые-добрые conficker, Iloveyou, SQL Slammer и другие образчики сетевых червей конца 90-х - начала 2000-х 🪱 Полностью независимое и автономно работающее ПО, которое распространялось по Интернету и ломало все, до чего дотягивалось. И это все еще до эпохи ИИ-хайпа. А вы говорите... 🤔

#история #malware #ии #автоматизация

Читать полностью…

Яндекс.Музыка подкинул(а) очередную композицию, в которой есть следующие строки: 🎧

Был рыцарь в доспехах
суров, не до смеха,
(дракона убить - это вам не потеха)
ты несколько лет
собирался в далёкий поход -
найти, где гнездо у реликтовой твари,
и голову преподнести государю,
а если получится -
то извести и приплод.

Начищены щит твой и меч до блеска,
и вот ты добрался до нужного места -
дракон тебя сжарить пытался,
но так и не смог.
Наутро проснулся,
со сна потянулся -
и громко в сердцах нецензурно ругнулся,
увидев когтистые лапы на месте ног.

Дар потеряешь речи,
взревёшь нечеловечьи,
взревёшь нечеловечьи -
и вспомнишь: испокон
всё, видишь ли, резонно,
ты победил дракона,
ты победил дракона
и сам теперь дракон.

И будешь недвижен,
на фортуну обижен,
был коротко стрижен,
а теперь - что я вижу? -
чешуйчато-лыс
и закован природой в броню,
и будешь глаза открывать осторожно -
ведь так невозможно,
скажи, невозможно? -
и щёлкнешь хвостом,
рассердившись на карму свою 🐉

Это ответ тем, кто часто бросается фразами типа "не нравится, иди сам в регуляторы и все исправляй" 🫵 Увы, оно так не работает. Становясь регулятором, ты начинаешь играть по его правилам и соблюдать его интересы, то есть государства, которое и представляет регулятор. И все твои прекрасные и благие начинания, которые ты думал реализовать, имея за плечами опыт на стороне читателя/заказчика, идут по... колее глубокой и разъезженной 🤏

Сколько я таких примеров видел и сколько бесед провел с теми, кто решил изменить этот мир и пойти в чиновники из бизнеса, а потом вернулся обратно, отряхивая всякое со своих одежд и радуясь, что легко выкрутился... 🐺 Иногда тебе удается что-то исправить, но такие случаи редки и воспринимаются как несказанная удача. А если ты остаешься в роли регулятора подольше, то все, ты сросся с системой и уже являешься ее неотъемлемой частью, не имея возможности, а часто и желания, что-то менять. Ты даже перестаешь помнить, как это, быть в бизнесе, и как ты мог хотеть что-то менять 🖕

#рефлексия #регулирование

Читать полностью…

Ооочень интересный пример разведки по открытым данным, а именно по знакам отличия 16-го Центра ФСБ 🇷🇺 Фалеристику (собирание значков) использовали для того, чтобы понять внутреннюю структуру спецслужбы, включая местонахождение отдельных ее в/ч.

Помню в институте, первый раз придя на закрытый предмет по иностранным спецслужбам, ждал каких-то откровений в стиле Джеймса Бонда, а на поверку оказалось все прозаичнее 🥷 95% всей информации разведка добывает из открытых источников и только оставшиеся 5% – это бондиана со знойными красотками, проникновениями в секретные ракетные шахты, взломы паролей за 60 секунд, когда у тебя под столом орудует эскортница (как в "Пароль "рыба-меч"). И вот опубликованный документ хорошо иллюстрирует этот тезис. Достаточно просто прошерстить "Авито", сайты фалеристов и антикварные онлайн-лавки и ты найдешь много всего интересного... 🎩

ЗЫ. Кстати, про соотношение 95-5%. В службе ИБ Cisco были те же самые цифры - 95% бюджета ИБ ты тратишь на борьбу с 5% самых сложных атак. А оставшиеся 5% денег - на 95% банальных угроз 🤔

#osint

Читать полностью…

Читали "Неукротимую планету" Гарри Гаррисона? 📖 Помните основную идею? Жители планеты вели нескончаемую войну против всех остальных живых существ, провоцируя их на ответную агрессию, усиление атакующих свойств, что в итоге приводило к снижению численности оставшегося единственного города и постепенному проигрышу этой битвы ⚔️

Подумалось, что это неплохая ассоциация на тему взаимодействия службы ИБ и пользователей, воспринимающих приказы и указания специалистов по кибербезу, вместо того, чтобы искать компромиссы и общие решения. И взаимодействие служб ИБ и регуляторов тоже похоже на бесконечную борьбу с постоянным ростом агрессии с обеих сторон. А кто же победит в этом конфликте? А вот не скажу. Кто читал Гаррисона, тот знает. Кто не читал?.. Прочитайте. Там короткий рассказ на самом деле 🛋

#книга #аналогии

Читать полностью…

На сайте ГосСОПКИ неплохой перечень всех судебных дел (выгружаемый в CSV) по ст.274.1 УК РФ с ссылками на судебные решения. Можно свое впечатление составить по тому, за что и кого чаще всего наказывают, в каких регионах и т.п. 🧑‍⚖️

#ответственность

Читать полностью…

🔒 Какой путь прошла информационная безопасность от древних времен до цифровой эпохи?

Обсудим на лекции «Информация под прикрытием: эволюция подходов к безопасности, от маскировки в дикой природе и средневековых замков до биохакинга».

Поговорим о защите информации в разные периоды: от шифров Древнего мира, шпионских страстях эпохи Возрождения и цифровые катастрофы XXI века — до технологий завтрашнего дня, где ИИ, квантовые сети и биовдохновленные системы будут решать, кто получит доступ к вашим данным, а кто останется за «цифровым забором».  

Лектор:
Алексей Лукацкий, эксперт по кибербезопасности, автор блога «Бизнес без опасности», автор телеграм-канала «Пост Лукацкого»

Встречаемся 22 ноября в 15.00

🔑 Регистрация

Читать полностью…

Иногда пробегаю глазами ранее написанные посты и вижу, что тема обеспечения безопасности в ИИ не столь популярна 🤷‍♀️ как, например, ругань на государство российское (смотрю на количество лайков) в лице какого-либо трехбуквенного регулятора, недодепутата или нового мессенджера. А ведь, как минимум, всяческие LLM используются повсеместно – открыто или в режиме "Shadow GenAI". Посему хочется провести мини-опрос, чтобы понять, где мы все сейчас находимся 🤖

ЗЫ. Фокус в опросе на внешние ИМ-сервисы.

#ии

Читать полностью…

На интересный отчет наткнулся тут я 🤔 Зарубежные аналитики (хотя отчет делался русскими аналитиками) продвигают мысль, что в России процветает концепция "патриотизма как услуги". Отчет утверждает, что киберпреступность и хактивизм, часто ассоциированные с Россией, все более прослеживаются в контексте государственной милитаризации, то есть, цифровая деятельность становится частью гибридной войны, а граждан и хакерские группировки мотивируют участвовать в ней как "цифровых солдат" 🇷🇺 Авторы пытаются ответить на вопрос: действительно ли "независимые" пророссийские хактивисты и APT являются полностью автономными или они действуют, взаимодействуя с государством (прямо или косвенно)? Сразу скажу, ответа однозначного в отчете нет, но выводы сделаны вполне понятные 😕

В отчете разобраны три ключевых направления:
1️⃣ Милитаризация гражданской жизни – создание устойчивой идеологии готовности дать отпор врагу и мобилизации. Например, использование памяти о Великой Отечественной войне, парадов, символов (георгиевская лента) и др. 🇷🇺 Как по мне, так они просто не очень хорошо понимают Россию, ее историю и влияние ВОВ на поколения людей, которые "еще помнят".
2️⃣ Институциональные механизмы – законы (например, закон об "иностранных агентах"), массовое вовлечение молодежи (например, программы вроде "Юнармия"), а также формальные движения вроде ОНФ, которые формируют каналы идеологической и организационной мобилизации 🇷🇺 Тут не поспоришь особенно, есть такое.
3️⃣ Цифровая трансформация – через волонтерские программы в Интернете, формирование групп "мониторинга" в сетях, вовлечение граждан в онлайн-активисты, создание структуры "цифровых солдат" и "киберказаков". Например, "Кибердружины" ОНФ, – добровольцы, которые отслеживают "русофобный контент", пишут жалобы, продвигают пророссийские нарративы 👺

Таким образом, отчет описывает, как структура милитаризации общества, изначально ориентированная на физическую мобилизацию 🎖, переходит в цифровую плоскость. Он показывает трансформацию традиционной милитаристской культуры (парады, ритуалы, символика) в новую форму:
➖ цифровые "отряды"
➖ геймификация патриотизма
➖ добровольные "модераторы Родины"
➖ хактивисты, намекающие на контакты со спецслужбами 🇷🇺

И хотя авторы отчета не утверждают с полной уверенностью, что государство 🇷🇺 управляет каждым кибератакующим формированием напрямую; они считают это высоко вероятным и отмечают структурную близость: формальная независимость группы не означает отсутствие влияния и координации. Highly likely, кто помнит 🤔 Главный тезис: государству не нужно прямое управление. Оно создало среду. Кремль не хочет, чтобы каждый хакер был сотрудником ФСБ, ему достаточно, чтобы каждый хакер чувствовал себя защитником Родины 🛡 Хотя тут очередная подмена понятий, как по мне, – смешиваются любовь к Родине и к государству, что совсем не одно и тоже.

Авторы считают, что Россия 🇷🇺 предоставляет безопасную среду для представителей киберпреступности, особенно если они действуют в интересах государства или сторон государства (хотя последние посадки как бы этому противоречат). Слабое сотрудничество с зарубежными правоохранительными органами усиливает этот эффект (хотя мне кажется, это не мы не хотим сотрудничать, а с нами). Система формирует:
➖ мотивацию ("партия сказала – надо" → теперь это "бот сказал – репорти"),
➖ систему поощрений (баллы, ранги, атрибутика),
➖ символы (лента, "Z", лозунги, "своих не бросаем"),
➖ идеологию (угроза, осада, враг у ворот),
➖ юридический стимул (законы об "иностранных агентах", уголовная ответственность).
То есть государство создает экосистему, в которой хактивизм становится нормальным социальным явлением 🇷🇺

Наличие такой "цифровой армии" 🇷🇺 усложняет атрибуцию атак: даже если группа заявляет независимость – ее символика, цели и поведение могут указывать на государственную координацию. Киберпреступность в таких условиях становится вложенной в государственный контекст; не обязательно подконтрольной, но функционирующей в симбиозе 🤝 Интересный такой взгляд со стороны...

#геополитика #отчет #хакеры

Читать полностью…

По обвинению в госизмене арестовали IT-бизнесмена, который критиковал MAX и судился с попавшей под санкции США компанией

В понедельник стало известно об аресте по обвинению в госизмене IT-бизнесмена Тимура Килина. Из сообщения ТАСС непонятно, в чем конкретно выражалось преступление, за которое 21-летний парень может получить пожизненный срок. Нет и деталей его биографии. Анализ «Агентства» свидетельствует, что под арестом оказался разработчик сервиса массового сканирования уязвимостей систем защиты. Он вел несколько телеграм-каналов, в которых критиковал в том числе национальный мессенджер MAX, законопроект Минцифры о борьбе с кибермошенничеством, а также судился с российским оператором хостинга, находящимся под санкциями США.

Детали. Об аресте Килина сообщили ТАСС и «Осторожно, новости». В обеих заметках нет информации о деталях дела. Говорится лишь, что Килин из Томска, ему 21 год. «Осторожно новости» уточнили, что в последние годы он жил в Москве, имел статус индивидуального предпринимателя, с 2023 года развивал сервис по аренде виртуальных хостингов, а в этом году основал компанию по IT-безопасности. Также в посте канала говорится, что Килин в своем канале рассказывал, как деанонимизировал админов даркнет-сайтов и расследовал мошеннические схемы в Telegram.

▪️Килина арестовал Мещанский суд Москвы в прошлый четверг, свидетельствует карточка дела на сайте суда.

▪️«Агентству» удалось обнаружить профиль Килина в Telegram, привязанный к его номеру телефона, который есть в утечках. С ним были связаны несколько телеграм-каналов.

▪️Один из этих телеграм-каналов был посвящен сервису сканирования уязвимостей систем защиты. Для обнаружения уязвимостей сервис использовал метод брутфорса. Это автоматизированный метод взлома систем защиты, основанный на подборе паролей, ключей шифрования или других секретных данных путем систематической проверки всех возможных или вероятных вариантов.

▪️Сервис позиционируется как аудит безопасности, сказал «Агентству» автор канала «Эшер II» Филипп Кулин. Однако в теории его можно использовать и для взлома, поскольку брутфорс — это имитация атаки, уточнил эксперт.

▪️В своем основном канале Килин неоднократно публиковал критические посты о национальном мессенджере MAX. В частности, он писал, что MAX — «клон Telegram», «отвратительный продукт». Килин также писал, что сообщил разработчикам об обнаруженных уязвимостях мессенджера, но после этого был отправлен в «черный список» в чате с ними. Килин обнаружил, что в MAX используются библиотеки из «недружественных стран».

▪️Килин критиковал и созданное бывшими партнерами VK приложение Telega, которое позиционируют как альтернативу официальному клиенту мессенджера в России, позволяющее заходить в Telegram без VPN (подробнее о приложении — здесь). Килин рекомендовал не скачивать его, поскольку «ваши данные и сессии уходят на внешние серверы».

▪️Еще одним объектом критики Килина был пакет поправок, направленный против кибермошенничества. «Можно понять еще запрет VPN, запрет конкретной технологии, запрет сайта, запрет просмотра порно, запрет на незапрет и так далее, но ни одно цивилизованное общество не допустит запрета глобальных знаний», — писал Килин.

▪️С апреля этого года Килин судился с Aeza Group. По его иску Кировский районный суд Томска взыскал с компании компенсацию в пользу Килина и штраф. Aeza Group находится под санкциями США и Великобритании за предоставление услуг создателям программ-вымогателей, в том числе совершавшим кибератаки на оборонно-промышленный комплекс и технологические компании США.

Подпишитесь на «Агентство»

Читать полностью…

Черная пятница 🛍 грядет (28 ноября) и по традиции многие дают скидки на свою продукцию и услуги. ИБ не стала исключением и на https://github.com/wwwiesel/InfoSec-Black-Friday выложен список актуальных скидок на книги (но их мало), курсы, платформы по обучению, услуги и т.п. 🤑 Раньше этой полезной работой по сбору ссылок занимался 0x90n, но после автоаварии он уменьшил свою активность и "передал" эту задачу wwwiesel. По старой ссылке тоже что-то есть (многие повторяют скидки из года в год) 🤠

Читать полностью…

А вот и видео с лекции в Музее криптографии 👩‍🎓 о том, что общего между кибербезом и методами защиты и нападения, используемыми и мире животных, насекомых и растений:
📱 YouTube
📱 ВКВидео

#видео #аналогии #история

Читать полностью…

Anyone who follows my channel knows that I have fear of speaking English 🙀 and I'm constantly struggle with it. Below you can see my latest attempt. There is a recording of my lecture from Indonesia where I discuss AI from three perspectives: victim, defender, and hacker 🤖

☝️Don't be afraid to do what you want and what you think is right.

#видео #ии

Читать полностью…

Спасибо Музею криптографии (@cryptography_museum), который пригласил меня прочитать лекцию 👩‍🎓 о том, что общего между кибербезом и методами защиты и нападения, используемыми и мире животных, насекомых и растений. Если вдуматься и выйти за рамки привычной по институтскому образованию дисциплины, то мы поймем, что все, что мы делаем в ИБ, как с точки зрения обороны, так и с точки зрения взлома, имеет свои аналогии в природе и уже используется миллиарды лет 🦑

А мы, чаще всего неосознанно, просто копируем то, что отточено тысячами и миллионами поколений представителей животного мира 🦞 И берем мы от него от силы процентов 10-15 в свою практику. Те, кто сможет более активно применять биомиметику в ИБ, тот сможет предложить совершенно новые механизмы защиты и сорвать банк сделать мир еще безопаснее. Ну или это сделают хакеры, которые также могут взять на вооружение то, как животные атакуют своих противников 🐸

ЗЫ. Презентация с выступления ниже 👇 Видео сегодня обработаю и тоже выложу.

#презентация #аналогии #история

Читать полностью…

Очередная подбора сериалов про кибербез 🎬 Для выходных...

#кино

Читать полностью…

На фоне введенных санкций против двух российских пуленепробиваемых хостингов (bulletproof) 🔫, которые по мнению западных стран, предоставляли услуги различным нехорошим людям и группировкам для проведения кибератак, альянс "Пяти глаз" выпустил очередное руководство по тому, как бороться с такими хостингами. Ничего сверхъестественного – просто блокируйте 1000 вредоносных ASN и 5000 таких же недобрых диапазонов IP-адресов... Хотя ссылки на адреса и диапазоны привели, что может быть полезно 🇺🇸

#bestpractice

Читать полностью…

Пятничное... 😂

#юмор #soc

Читать полностью…

2 года назад я приводил список методов обхода многофакторной аутентификации 📋 Хочу вернуться к этой истории, так как сейчас наблюдается рост не только способов обхода MFA, но и чувства ложной защищенности, которое проистекает из уверенности в надежности MFA, необходимость использования которой упоминают все, но без раскрытия всех нюансов 🔏

Встречайте, платформа 🖥 Tycoon 2FA, которая, будучи реализованной как сервис Phishing-as-a-Service, использовалась в этом году более 64 тысяч раз, и которая позволяет даже неквалифицированным злоумышленникам запускать атаки с обходом MFA. Платформа автоматизирует весь процесс атаки – от создания фишинговых страниц до перехвата сессий аутентификации 🥷

На картинке показан пример работы Tycoon 2FA ✍️ Работает так: жертва заходит на фишинговую страницу, вводит свои учетные данные, которые перехватываются Tycoon 2FA, а сам запрос проксируется (направляется) к реальному сервису (например, Microsoft 365 или Gmail). Жертва думает, что все легитимно – в это время злоумышленник получает полный доступ к сессии 👺 Страницы выглядят абсолютно как оригинальные: динамически получают ответы от настоящего сервера, отображают запросы на код аутентификации, push-уведомления и т.д. Жертва не видит никаких отличий от легитимных сервисов. Платформа включает и средства уклонения от обнаружения: шифрование/обфускация (Base64, LZ компрессия, CryptoJS), проверку наличия отладчиков, капчу для фильтрации ботов и т.п. 🤖

А еще есть платформа PhaaS Sneaky2FA, которая также предназначена для обхода MFA за счет вставки адреса URL в так называемом окне "браузер-в-браузере" (Browser-in-the-Browser, BITB), то есть визуально подделывать окно браузера с адресной строкой, чтобы жертва видела “нормальный” легитимный URL. Обученные сотрудники могут обращать внимание на строку адреса, но если она выглядит корректно, то упс.

Стандарт NIST SP800-63 выделяет 3 уровня доверия к средствам аутентификации (AAL). Многофакторная OTP или даже многофакторная криптографическая аутентификация сами по себе, вне комбинаций, – это самый низкий, 1-й уровень доверия, в одном списке с паролями и кодами по SMS. В связи с этим стоит отметить, что сегодня MFA тоже бывают разные и их можно условно разделить на 2 типа – legacy и устойчивые к фишингу. Первые – это методы вроде SMS-кода 💬, push-уведомления, одноразовые TOTP-коды и др. Они уязвимы, потому что:
➡️ полагаются на пользователя, что он заметит фишинг или откажется от полученного запроса,
➡️ используют "общие секреты" или коды, которые можно перехватить, переадресовать или воспроизвести. Если система допускает ввод кода пользователем или нажатие одобрения – она уже может быть взломана 🤔

Уже даже известны случаи с passkeys/ключами, которые могут быть скомпрометированы (если используется синхронизация через облако или существуют fallback-механизмы, поддающиеся социальному инжинирингу).

Путь вперед – это "phishing-proof MFA", то есть многофакторная аутентификация с аппаратным FIDO-биометрическим фактором 🔠, принципиально не допускающим передачу кода или подтверждения пользователем (это уже третий уровень доверия AAL ). Аутентификатор должен быть аппаратный, требующий физического устройства и присутствия рядом (proximity). Такая модель исключает сценарии, когда жертва вводит код, нажимает "одобрить" или активируется push-запрос. При фишинге, где домен не совпадает, устройство отклонит аутентификацию 🤬 Штука это подороже будет, чем внедрять OTP или пуши. Поэтому большинство предприятий использует преимущественно AAL1 и реже AAL2. Но куда деваться – хакер не дремлет... Правда, в России такие не выпускаются вроде как.

Есть и еще один сценарий решения проблемы с обходимой MFA (если AAL3 дорог или невозможен) – аутентификация на уровне устройств 🤝 Во-первых, это незаметно для пользователя и человеческий фактор убирается вообще. Во-вторых, это позволяет решить задачу там, где нет пользователей (виртуальные машины, контейнеры, сетевые устройства и т.п.). Наконец, это работает там, где MFA не предусмотрена вообще. Так что варианты борьбы со способами обхода MFA есть... 🤔

#аутентификация #ttp

Читать полностью…

Какой из offensive-сертификатов круче? 🤔

#пентест #юмор

Читать полностью…

Ничего святого у мошенников. Max’ом прикрываются и просят его установить, если еще не 😂 Но как не знали они, как документы оформляются правильно, так и не знают. Хотя, честно говоря, организации и граждане этого тоже не знают. Так что win-win...

Ну и чтобы заметка не была повтором октябрьской про требования мошенников устанавливать Max, хочу дать ссылку на свежий разбор очередной схемы угона учетных записей в "старом мессенджере", пока еще не заблокированном на территории России Telegram. В последнее время таких случаев стало немало в моем окружении, так что будет полезно.

#мошенничество #мессенджер

Читать полностью…

После пары месяцев оценок, предположений и догадок, в инциденте с Jaguar LandRover 🐆 наконец-то появились конкретные цифры, подтвержденные и самой компанией и внешними солидными отчетами от Банка Англии и Национальной статистической службы Великобритании. Итого, вот что мы, точнее JLR, сейчас имеем:
➡️ Выручка за второй квартал 2025-го года составила £4,9 млрд; падение на 24% год к году. JLR прямо пишет, что выручка просела из-за остановки производства после киберинцидента, плюс небольшое свертывание производства старых моделей Jaguar.
➡️ Убыток до налогообложения составил −£485 млн за квартал, хотя в прошлом году в том же квартале фиксировалась прибыль £398 млн. То есть потери, условно, составили ~£883 млн.
➡️ Маржа EBIT: −8,6% (годом ранее она была +5,1%).
➡️ В финансовом отчете JLR прямые расходы на киберинциденте оцениваются в £238 млн.
➡️ Свободный денежный поток за квартал: отток −£791 млн, за полугодие −£1,5 млрд.
➡️ Для поддержки баланса после атаки JLR обеспечила дополнительные "подушки ликвидности" на £3,5 млрд, включая 1,5 млрд кредита от государства и около £500 млн ускоренных схем платежей поставщикам.
➡️ Государственный Cyber Monitoring Centre оценивает совокупный экономический ущерб (JLR + цепочки поставок + смежные бизнесы) примерно в £1,9 млрд и называет этот инцидент "самым экономически разрушительным киберсобытием в истории Великобритании" и относит его к категории 3 из 5 (systemic event).
➡️ По данным местного нацстата произошел 28,6% обвал производства транспортных средств в стране, что отняло 0,17 п.п. от месячного роста ВВП в сентябре и около 0,06 п.п. от прироста ВВП за весь 3-й квартал. ВВП UK в Q3 2025 вырос всего на 0,1% (после 0,3% в Q2); сам сентябрь дал −0,1% к ВВП. Официально подчеркивается, что ключевой фактор такого падения – именно падение производства автомобилей из-за инцидента ИБ у JLR. Банк Англии прямо пишет, что фактический рост ВВП в Q3 (0,2% по их оценке / 0,1% по оценке статрегулятора) оказался ниже, чем прогноз в августе 🤑

Да, автопроизводитель не "умирает", но удар по прибыли 📉 и cash-flow за один квартал сопоставим с многолетним прогрессом. Автопром стал ключевым драйвером слабости промышленного производства в стране и потянул вниз квартальный рост ВВП (я вот так сходу и не вспомню инцидентов, которые смогли ощутимо повлиять на ВВП). Ущерб £1,9 млрд – это именно макроэкономическая оценка (потерянная добавленная стоимость в JLR и по цепочке поставок), а не просто "счет за восстановления ИТ-инфраструктуры" 🚘 По масштабу инцидент не обошел UnitedHealth Group с его 3 миллиардами, но и без этого цифра солидная, а по влиянию на ВВП так все равно на первом месте.

#ущерб #недопустимое

Читать полностью…

А вы уже спланировали свою ближайшую субботу? Айда на мою лекцию в музей криптографии в 15.00? 🏃‍♂️

#обучение

Читать полностью…

После заметки о психологическом реактансе, то есть о реагировании на принуждение, несколько подписчиков попросили расписать, как это все применяется в кибербезе, что я и делаю 🤝 Надо признать, что в нашей сфере эффект психологического сопротивления проявляется даже сильнее, чем в других областях, так как большинство людей по-прежнему считают ИБ чем-то внешним, навязанным, а новые правила – "ограничением нормальной работы". Особенно плохо, если и вы сами считаете, что ИБ всегда мешает – тогда вы эту мысль бессознательно будете доносить и до людей, которые это будут считывать 🤯

Когда отдел ИБ увеличивает количество политик 📚, требований и запретов, сотрудники начинают их все (или их часть) игнорировать, искать обходы (думаете, "теневые ИТ" просто так появились), воспринимают ИБ как врага, а не помощника, выполняют требования формально. Аналогичная история с обучением и обязательными тренингами по повышению осведомленности. Если они воспринимаются как "меня считают некомпетентным", "меня заставляют тратить мое время" и "опять я прохожу очередной бесполезный курс ради галочки", то человек будет 😠 слушать вполуха, быстро забывает полученную информацию и воспринимает ИБ как навязанное сверху, а не реального помощника. Именно поэтому согласно исследованиям программы обязательного обучения в компаниях приводят к повышению реального соблюдения правил ИБ в среднем только на 10–15% 🤠

Когда ИБ работает по модели: "мы все запретим", "мы все контролируем", "вы должны следовать политике", то возникает банальный и прямо противоположный ожидаемому эффект – люди сами перестают думать о безопасности. Они перекладывают ответственность на ИБ, действуя по принципу: "Раз разрешили – значит можно. Если что-то случится – это не моя вина" 🖕

Что же работает на практике: ✍️
1️⃣Четкое объяснение "зачем". Человек лучше соблюдает требования, когда понимает, как это связано с его работой, как это защищает его лично (зарплату, данные, репутацию), какие инциденты уже происходили в похожих компаниях. Кейсы и истории работают лучше, чем правила.
2️⃣ Вовлечение сотрудников в разработку правил. Если сотрудника хотя бы спросили "что мешает безопасной работе?" и "как удобнее реализовать это требование?", то он начинает воспринимать политику как свою, а не спущенную сверху.
3️⃣ Оставлять людям выбор. Не "тренинг обязателен", а дать возможность выбрать один из трех форматов обучения: видео, мини-курс, практикум, выбрать удобное время и выбрать формат проверки знаний. Даже иллюзия выбора снижает сопротивление.
4️⃣ Минимизировать запреты, увеличивать помощь. Не запрещать, а давать безопасные альтернативы. Вместо: "Нельзя пользоваться личным облаком" лучше "Вот корпоративный сервис – он удобнее и безопаснее. Мы переносим ваши данные туда автоматически".
5️⃣ Делать безопасность частью культуры, а не набора правил. Когда сотрудники видят быструю реакцию ИБ на их запросы, помощь вместо наказаний и уважение и сотрудничество, то ИБ начинает восприниматься как партнер. Начните хотя бы предупреждать людей об утечках их паролей из сервисов, которыми они пользуются. Не знаете, какими они сервисами пользуются? А NGFW, SIEM, прокси вам на что?
6️⃣ Микро-обучение вместо "курсов на 2 часа". Лучшие форматы: сториз, короткие кейсы, комиксы, мини-ситуации по 1 минуте, контекстные подсказки ("Обнаружили подозрительный файл – вот что делать"), а также игры и квизы. Современные GenAI-сервисы прекрасно подходят для генерации короткоформатного креатива.
7️⃣ Позитивное подкрепление. Вместо "если нарушишь – оштрафуем" работает рейтинг безопасного поведения, внутренние награды, признание в команде, конкурсы "Кибер-грамотность недели".

Да, сотрудники действительно восстают против правил, особенно в кибербезопасности 👎 Но сопротивление – не проблема людей, а ошибка подхода. ИБ работает намного лучше, когда вместо давления используется другая формула: смысл → вовлечение → выбор → поддержка → позитивная культура 🤔

#стратегия #awareness #bestpractice

Читать полностью…