alukatsky | Technologies

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Subscribe to a channel

Пост Лукацкого

С профессиональным праздником, леди и джентльмены, коллеги, соратники, товарищи, господа и друзья! 🎉 Пусть неучи празднуют день специалиста по безопасности 12 ноября, но мы-то знаем, что настоящий день ИБшника, празднующийся с 1988-го года, - это сегодня, 30 ноября! 🥳 С чем вас и поздравляю! Попробую сегодня среди изобилия сакэ 🍶 и сливового вина, различных сортов пива и местного виски, найти нормальный коньяк и подниму бокал за этот праздник! 🍸

Читать полностью…

Пост Лукацкого

Если почитать и послушать различных чиновников и политиков, то по их мнению искусственный интеллект 🧠 - это очень страшно и опасно, его уже используют все хакеры и киберармии мира, и поэтому ИИ надо если не запретить, то ограничить. Что тут правда, а что вымысел? 🤔 Попытались разобраться, выпустив соответствующее исследование по использованию ИИ на темной стороне - с различными примерами и прогнозами на следующий год 🔮

Если вкратце, то "не так страшен черт, как его малюют". В области генерации фишинга и дезинформации, включая дипфейки, ИИ и правда используется очень и очень активно 🧑‍💻 А вот в остальных сферах (поиск уязвимостей, написание вредоносного кода, моделирование угроз для атак на свои жертвы, создание цифровых двойников жертв и т.п.) плохие парни только нащупывают варианты применения ИИ и пока о прорывах и масштабировании говорить рано 🤔 Но это пока. Технологии развиваются очень быстро. Думаю, в следующем году, когда придет пора обновлять исследование, ситуация поменяется в худшую сторону 🤔

Читать полностью…

Пост Лукацкого

Японский банк Shikoku 😀 очень необычно подошел к вопросу демонстрации своей ответственности за результат, который они обещают клиентам. Все сотрудники банка кровью 🩸 подписали соглашение, что если кого-то из них уличат в мошенничестве с клиентскими деньгами 🤒, то они сначала добровольно расстанутся со своим имуществом в пользу пострадавших, а затем расстанутся с жизнью в рамках ритуала сеппуку (у нас его часто называют харакири) 😠

Я подумал, что разработчикам средств ИБ тоже можно было уйти от привычного «AS IS» и начать что-то гарантировать ✍️ своим клиентам, которые доверились производителям средств защиты и доверили им самое ценное, что у них есть кроме жизни - деньги, информацию, данные, воспоминания (в личных фото и архивах)… 🛡

Можно начать с публичного выхода на Bug Bounty, потом с удаления из лицензионного соглашения набившего оскомину «вендор не несет ответственности…», потом можно и про страхование ответственности перед клиентами подумать. Чем не ответственный подход к ИБ?.. 🤔 Тогда может и результат с ИБ будет лучше!

Читать полностью…

Пост Лукацкого

Константин Райкин в одном из своих интервью как-то сказал, что:

Единственный способ для меня наслаждаться жизнью — работать каждый день до часа, до двух ночи. У тебя же нет выходных, когда ты влюблен: ты же не берешь отгулов у любимой девушки.


Я в таком режиме жил последние 5 лет, ни разу не брав отпуска. Но пора бы сделать небольшую паузу, что означает, что в течение некоторого времени регулярных публикаций в канале возможно не будет - отдыхать, так отдыхать. Так что не скучайте. Я через пару недель вернусь и с новыми силами в бой. Но это не точно ✍️ Допускаю, что пару дней цифрового рехаба и детокса 😴 мне хватит за глаза и я буду одним глазом поглядывать в новостную повестку и делиться чем-то, что меня заинтересовало. Но, опять же, не обещаю соблюдать привычную регулярность 🤷‍♀️

ЗЫ. И да, литературных негров, агентств по продвижению и персональных пиарщиков у меня нет, поэтому в мое отсутствие канал вести некому 🥴

Читать полностью…

Пост Лукацкого

На конференции "Ведомостей" и Билайна Максут Шадаев заявил, что в законопроекте об оборотных штрафах за утечку персональных данных не будет норм о страховании и денежных компенсациях пользователям, чьи данные утекли ☹️ Связано это, скорее всего, с тем, что существует несоответствие ожиданий клиентов и возможностей страховщиков:
Крупные компании хотят максимально переложить ответственность за киберриски на страховые компании
Страховщики не готовы покрывать все риски из-за отсутствия достаточной статистики для расчета тарифов 🧮

При этом максимальная сумма покрытия по найденным договорам составляет всего 500 млн рублей, чего недостаточно для крупных организаций, которые чаще всего и становятся жертвами утечек 🤑 Кроме того, исключаются убытки, связанные с нелицензионным ПО, DDOS-атаками и штрафами за утечки данных. То есть застраховать риски получения штрафа от регулятора не удастся 👮‍♂️

Почему страховщики столь осторожны? Для них киберстрахование остается сложной областью из-за отсутствия накопленной статистики 🛍 А значит трудно оценить вероятность инцидентов и потенциальные убытки. Чтобы снизить неопределенность компании и вводят ограничения по суммам покрытия и исключения для специфических рисков 🧮

Страхование киберрисков остается важной, но сложной задачей. Для роста рынка необходимо искать баланс между интересами страховщиков и клиентов, а также разрабатывать стандартизированные и масштабируемые решения. Возможным решением проблемы эксперты видят:
1️⃣ Создание единого центра компетенций, который может помочь упорядочить подход к страхованию киберрисков
2️⃣ Платформенные решения, которые позволяют унифицировать подходы и объединить страховые мощности, что в свою очередь позволит новым участникам входить в рынок с меньшими рисками
3️⃣ Поддержка со стороны государственных структур. Например, РНПК может использоваться как платформа для распределения рисков 💡

Читать полностью…

Пост Лукацкого

В Китае 🇨🇳 в торговых центрах выдают вот такие коврики для мыши. Бесплатно! На них, если вдруг вы не знаете китайского, местные правоохранительные органы дают рекомендации по борьбе с мошенниками в Интернете. Среди Топ10 советов есть такие: 🛒
1️⃣ Не ведитесь на предложения симпатичных девушек, предлагающих вам перейти в приватные чаты для показа своей обнаженки
2️⃣ Не надо вестись на предложения возврата денег от банков и университетов, которые требуют предварительно оплаты небольшой суммы денег
3️⃣ Не попадайтесь на удочку тех, кто предлагает вам сделать выгодные инвестиции
4️⃣ Отказывайтесь от любых переводов на "виртуальные счета"
5️⃣ При покупке билетов онлайн, мошенники могут под любым предлогом просить вас повторить оплату.

ЗЫ. Спасибо коллеге за присланное фото! 🤝

Читать полностью…

Пост Лукацкого

И я там был и даже на паре фотографий засветился 🎤

Читать полностью…

Пост Лукацкого

АНБ напоминает про день Фибоначчи 🇺🇸

Читать полностью…

Пост Лукацкого

Выложена запись конференции "Ведомостей" и Билайна "Безопасность клиента на первом месте", где мое выступление представили как "на десерт и на сладенькое" 🍦 Говорил (где-то около полутора часов) про искусственный интеллект на темной и светлой сторонах 🧠

Читать полностью…

Пост Лукацкого

Вроде как и с президентом в США 👮 все стало понятно, а все равно каждый день что-то новое и интересное. Сначала будущий глава сенатского комитета по нацбезопасности заявляет, что он хочет упразднить CISA 😱 А теперь вот оказывается, что вновь избранный президент намекнул всем чиновникам, назначенным администрацией Байдена-Харрис, что в день инаугурации им надо покинуть свои насиженные места 🫵

Это касается и руководительницы CISA, внесенный в санкционный ⛔️ список российского МИДа, Джен Истерли, которая покинет свой пост. И кого назначат на ее место и кому она передаст эстафетную палочку пока непонятно, но жутко интересно В долгосрочной перспективе, конечно, и в части влияния на мировой рынок ИБ.

Читать полностью…

Пост Лукацкого

Публикация предложений по продажам доступов к скомпрометированным МСЭ продолжается 🤬 Вчера выбросили очередную порцию в разных странах мира. И так совпало, случайно, наверное, что в эти же дни стало известно о двух 0-Day в средствах сетевой безопасности Palo Alto (CVE-2024-0012 и CVE-2024-9474).

На момент публикации сведений в Интернете 🌐 торчало 11 тысяч уязвимых устройств; сейчас их больше 2500. При этом около 2000 железок уже даже скомпрометировано 🔓

Вы же знаете, что делать в этом случае?! Обновиться!!! Либо PAN OS межсетевого экрана, либо сам экран на что-то отечественное 🔄

Читать полностью…

Пост Лукацкого

Илон Маск рьяно взялся за информатизацию американских госов. Пишет ✍️, что это какой-то трэш, когда некоторые ГИСы чуть ли не старше него самого и не обновляются 🔄, представляя серьезную угрозу безопасности ⚠️

Читать полностью…

Пост Лукацкого

Помните в мифах Древней Греции была история про царя Мидаса, который получил "дар" от богов, - все, к чему бы он не прикасался, превращалось в золото 🥇 Но это же стало и проклятием, так как в драгоценный металл превращалась и любые еда и питье. В итоге царь 👑 Мидас чуть не умер от голода. Вот наши министерства часто получают такой "дар", но их идеи превращают все окружающее не в золото 💩

Вот Минцифры хочет обязать ИТ- и ИБ-компании, для подтверждения своего статуса и получения льгот и различных аккредитаций и отсрочек, отправлять своих сотрудников преподавать в российских ВУЗах 🫵 Сама по себе идея, когда практики идут делиться знаниями в ВУЗы, - отличная и мной целиком и полностью поддерживается, но... 👩‍🎓

Как обычно есть ряд "но". До преподавания, особенно в наших ВУЗах с их бюрократией (я знаю о чем говорю) надо дозреть. Это во-первых. Во-вторых, любая инициатива из-под палки превратится в обязаловку, результат которой будет так себе 🫵 И это не говоря про отсутствие у многих ИТ-компаний технической базы, свободных ресурсов, оторванных от работы, и, наконец, нехватка преподавательского опыта (а плохой препод хуже никакого).

Примерно такого же уровня инициатива Минцифры, согласно которой все российские предприятия должны будут делиться обезличенными (за свой счет) персональными данными всех своих клиентов и сотрудников с государством, которое создаст специальное "озеро данных" ✈️ Изначальная идея этого законопроекта была совсем иной, но позже превратилась в фактическое изъятие данных у бизнеса. Не за горами тот день, когда государство обяжет делиться с ним не только персональными, но и иными данными 😠

Читать полностью…

Пост Лукацкого

Если вдруг я когда-нибудь буду нанимать людей в LinkedIn, то вот такие сообщения сразу пойдут в корзину 🗑 Я понимаю, что вам пофиг, но меня прям подбешивает 😠, когда человек в поиске работы даже не удосужился поменять стандартный текст в LinkedIn 📱, из которого даже не понять, ты мужик или баба (по фото это тоже не всегда понятно, к сожалению).

И дело отнюдь не в сексизме, а в том что соискатель не включил мозг (а в ИБ критическое мышление это прям must have), чтобы адаптировать текст под представление себя в лучшем свете, но при этом рассчитывает, что будущий работодатель будет тратить свое время на него. Не будет! Ну или отношение будет соответствующим.

ЗЫ. И нет, я, мать его, не хочу просто общаться в Линкедин с непонятным чуваком, который не понимает, чего хочет, - найти работу или собеседника 😡

Читать полностью…

Пост Лукацкого

Ух ты, ёшкин кот… Кто-то создал реестр фейков и регистрирует их. Если они они за это еще и деньги получают, то это идеальная бизнес-модель. Знай себе, синтезируй фейки, и считай денежку. Работа-мечта. Чуть-чуть до ведения реестра порносайтов не дотягивает по интересности 😎

Чтож у нас за любовь реестры на все создавать?.. 🤔 Вон и РКН недавно отчитался о регистрации очередной утечки ПДн россиян. Бороться не получается, так хоть регистрировать. Потом можно заочный чемпионат мира по утечкам или фейкам устроить и выиграть в непростой борьбе 💪

Читать полностью…

Пост Лукацкого

Очередной анализ мирового рынка ИБ; от Canalys. Все растёт, что закономерно ↗️ Однако больше всего вырос сегмент исправления (remediation) - аж на 145%. По логике вещей речь идет о реагировании на инциденты и восстановлении после них, что тоже вполне объяснимо 🛡

На втором месте - услуги MDR, которые растут в 10 раз быстрее, чем тот же Managed SOC/SIEM 🔭 И это тоже закономерно - все хотят не только обнаруживать угрозы, но и реагировать на них В идеале, круглосуточно и руками профи.

Читать полностью…

Пост Лукацкого

В Японии особенная «культура землетрясений». Они тут происходят с незавидной регулярностью. Старожилы утверждают, что трясет раз в 2-3 дня, но не сильно, на 1-2 балла, что почти незаметно 🥷 Но вереница очень серьезных встрясок по 8-9 баллов привела к тому, что я бы назвал культурой землетрясений.

Во-первых, дома 🏘 теперь строят по специальным сейсмоустойчивым стандартам, а электрические кабеля не закладывают в землю, а вешают над землей. Во-вторых, регулярно проводятся учения среди населения по правилам поведения в экстренных ситуациях. В-третьих, в портовых городах 🏙 на многих столбах вешают предупреждения о том, какая высота выше уровня моря в этом месте, что важно для оценки возможности быть застигнутым цунами 🌊.

В гостиницах, по локальному ТВ 📺 показывают ролики с правилами эвакуации (некоторые советы для меня оказались в новинку, например, забраться не только под стол, но и встать в проем двери при земной встряске, а также надеть прикрепленный к двери полиэтиленовый мешок на голову для защиты от задымления). Наконец, все приезжающие в Японию автоматически получают на свои смартфоны предупреждения о землетрясениях (если оно происходит, конечно).

Это очень сильно напоминает то, что могло бы быть сделано и по кибербезу, если бы государства всерьез рассматривали эту угрозу и считали ее опасной для граждан 🫵 Ведь при всех разговорах о том, что человек - это главная ценность, все мероприятия и законы направлены на бизнес (причем в формате "запретить и заблокировать", а не "помочь и направить", а не граждан 😠

Когда в регионе отключают электричество по причине кибератаки (такие кейсы были), никто не думает оповестить об этом граждан 🔋 В лучшем случае администрация напишет о технических работах у себя на сайте. В худшем - вас предупредят о том, что электроснабжение восстановлено. Я на даче регулярно получаю такие сообщения, то есть после наступления проблемы, а не до. Ровно по этой причине я у себя на даче поставил систему резервного электроснабжения (без подключения к Интернет), которая дает мне возможность не напрягаться по поводу ставших регулярных из-за окружающей застройки отключений 🔋

Не видит государство киберугрозы в качестве недопустимых для себя событий ☹️ То есть на словах-то да, но на деле… Ждет когда бабахнет? И кто будет виноват? А кто расхлебывать последствия? ☹️

Читать полностью…

Пост Лукацкого

Эфир тут вышел, в котором я задаю вопросы про Bug Bounty коллегам из Ozon и Wildberries 🛒, а также с платформы Standoff Bug Bounty 365. И он оказался очень в тему! 🐞

Помните историю про жительницу Красноярска, которая нашла баг при заказе товаров на Wildberries и вместо того, чтобы сдать его в Bug Bounty, она решила воспользоваться случаем и обмануть маркетплейс 😡 В Омске идентичная история приключилась. И тоже грозит десяточка 👮

А все почему? Лучше нарушать правила законно, еще и зарабатывая на этом. А как сделать так, чтобы повысить шансы на выплаты и за какие баги платят больше 🤑, мы и говорим в видео 👇

Читать полностью…

Пост Лукацкого

Оо, так я спец по CTI 😂

Читать полностью…

Пост Лукацкого

Не моргай

Как сформировать киберармию, записав видео на телефон

Министерство Вооруженных сил Филиппин умеет в креатив, когда надо привлечь гражданских айтишников для формирования кибербатальона, пишет Rest of the World.

Филиппины страдают от кибератак поболе, чем другие страны ЮВА, традиционно обвиняя китайцев. Но ресурса противостоять киберзлу нет. В местных айтишников как-то не сильно бросаются деньгами и они покидают Манилу ради более высокого чека в соседних государствах.

По началу военные решили набрать киберармию из солдат. Но быстро поняли, что для такого дела должны быть прокачаны другие мышцы. Тогда, темной ночью они сняли на телефон ролик и выложили на Facebook (запрещен в РФ) приглашая “гражданских хакеров” вступить в ряды киберармии под гитарный запил в качестве озвучки.

Ролик завирусился и собрал 2 млн показов, 12 тыс пересылок и 5 тыс комментов. В кибербатальон полетели резюме от айтишников.

Работа очень сложная. Вы смотрите на свой монитор, даже не смея моргнуть, потому что следите за всем трафиком, который там есть

Сейчас кибератакам на Филиппины противостоят 120 человек в возрасте от 20 до 30 лет, 70 из них набраны из гражданских, видимо, оценивших ночной креатив.

Не смотря на то, что Филиппины уже улучшили свой рейтинг в Глобальном индексе кибербезопасности ООН, киберармия жаждет больше "белых хакеров". Таких, например, как бывший пентестер Фердинанд Лазарте. Поняв, что родина в киберопасности, он самоотверженно бросил позицию ИТ-топа в частной лавке, сменив офис на кибербатальон. “Потому что я вижу смысл в этой работе” — говорит он.

Похоже герой следующего ролика для вербовки найден🤣 А вы говорите соцсети переоценены. Только не на Филиппинах!

#кибербез

Читать полностью…

Пост Лукацкого

📱 Делегация Федерального казначейства под руководством руководителя Романа Артюхина и заместителя руководителя Александра Албычева посетила Кибердом.

📍«Кибердом» - первый в мире инновационный кибербез-хаб и мультифункциональное
пространство, полностью посвященное кибербезопасности.


😃 Для делегации Казначейства России в стенах Кибердома была организована экскурсия на одну из главных локаций — киберполигон, в котором можно погрузиться в мир кибербезопасности и увидеть демонстрации хакерских атак в реалистичных условиях, а так же системный подход к защите от них.

🔑 Помимо экскурсии для гостей Кибердома состоялся ряд образовательных сессий. Совместно с экспертами поговорили об актуальности результативной кибербезопасности, укреплении защиты государственных организаций и необходимости объединения усилий для противостояния растущему числу целевых атак.

❤️ Особое внимание было уделено роли принятия управленческих решений, проведению киберучений в защите госфинансов, а также личным мерам безопасности сотрудников ведомства.

#ЦифровоеКазначейство

Читать полностью…

Пост Лукацкого

Идея обучать сотрудников навыкам информационной безопасности считается чем-то само собой разумеющимся, однако далеко не все задаются вопросам, насколько хорошо работают программы повышения осведомлённости.

Группа исследователей из Калифорнийского университета в Сан-Диего провела научный эксперимент на базе университетской здравоохранительной системы (UC San Diego Health) и пришла к не очень воодушевляющим выводам. На протяжении 8 месяцев учёные проводили рандомизированное исследование с участием более 19,5 тысяч сотрудников о том, делают ли поведение сотрудников более безопасным две наиболее распространённых формы обучения кибергигиене: ежегодный тренинг по повышению осведомлённости (в организации используется курс от KnowBe4) и имитированные фишинговые атаки (используется сервис Proofpoint).

От тренингов исследователи не нашли никакой пользы, а от периодических имитированных атак — крайне низкую, и в целом констатируют, что в той форме, в которой обучение проводится сейчас, оно не особо эффективно.

В свежей статье, которая так и называется — Understanding the Efficacy of Phishing Training in Practice, гораздо более детально описано, как учёные проводили исследование и пришли к этим заключениям. Так, например, отмечается, что на типичную имитированную атаку в среднем «клюёт» лишь малая доля сотрудников — около 10% (в среднем по медиане). Их переадресовывают на обучающие материалы, в то время как большая часть сотрудников никакого обучения не проходит. Но часто не проходят его и неудачливые сотрудники: больше чем в половине случаев тренинговые сессии после провала имитированной атаки закрываются в течение 10 секунд, а формально завершают обучение меньше четверти сотрудников.

Из более оптимистичных выводов исследователи отмечают относительную эффективность интерактивного типа обучения (по сравнению со статичными материалами). Сотрудники, полностью выполнившие интерактивное обучение с заметно меньшей вероятностью кликали по фишинговым приманкам. Однако таких сотрудников было не так много, и исследователи не дают ответа, можно ли масштабировать этот эффект на остальных.

Исследование не идеально, оно ограничено одной, пусть и большой организацией, но всё равно это больше, чем во многих других попытках оценить эффективность повышения осведомлённости. Ценители могут найти в статье обзор предыдущих исследований, а в приложении — перечисление использовавшихся сценариев имитированных фишинговых атак.

Читать полностью…

Пост Лукацкого

Подходил к концу 2024-й год. Специалисты компании Volexity на практике наконец-то узнали то, о чем Cisco писала еще в 2000-м году в своей архитектуре безопасности Cisco SAFE: 🛡

Мишенью может стать любое устройство с IP-адресом, включая и сетевое оборудование!


В данном случае, Volexity проводила расследование инцидента, в котором злоумышленники непонятным образом проникли в одну американскую организацию 🔓 Только спустя время на специалистов снизошло озарение и они смогли выяснить, что взлом происходил через корпоративный Wi-Fi 🙈, к которому злоумышленники подключились из другой компании, которая располагалась в здания через дорогу, перепрыгнув из одной сети в другую, лишний раз подтвердив русскую пословицу "умный в гору не пойдет, умный гору обойдет" 🥷

Расследование показало, что хакеры сначала пытались зайти через обычное подключение к Интернет, но в организации-жертве была внедрена MFA 🤒 и попытки использовать ранее скомпрометированные учетные записи не увенчались успехом, что и привело к обходному маневру, так как на Wi-Fi никакой MFA уже включено не было и для доступа достаточно было просто пары "логин-пароль" 🤒 Все остальное в расследовании не так интересно.

Вспоминаю, что работая в московской Cisco, я регулярно ходил за кофе в Starbucks ☕️ в соседнем корпусе бизнес-центра, и уже в 10-15 метрах от офиса корпоративный Wi-Fi не работал, так как был очень грамотно настроен, а не по умолчанию, когда антенны "бьют" на полную мощность 📶 Кроме того, существуют решения класса NAC (или, по-модному, ZeroTrust), которые позволяли аутентифицировать подключающиеся к сети устройства по их местоположению на карте здания, что позволило бы в описываемом кейсе просто не допустить подключения посторонних через Wi-Fi 🚫

В любом случае атака "Nearest Neighbor Attack" ("атака ближайшего соседа"), как ее назвали в Volexity, не являясь чем-то новым, все-таки заставляет нас обращать внимание 🤔 на то, как защищены не только наши входные ворота в организацию (МСЭ и VPN-шлюзы), но и остальные устройства, через которые можно получить доступ в инфраструктуру (Wi-Fi, IoT и т.п.). Лишний повод задуматься, а как у вас осуществляется контроль этих элементов? 🤔

Читать полностью…

Пост Лукацкого

Вот ведь идеи раньше генерились… Правда, дальше идей дело не пошло. Но звучит красиво 😍

Читать полностью…

Пост Лукацкого

Пентестер 🤕 - профессия востребованная; особенно если пентестер квалифицирован. Их даже киберпреступники активно ищут и пытаются заманить в свои ряды 🔓

Читать полностью…

Пост Лукацкого

🔝 Риски кибербезопасности стабильно входят в Топ3 глобальных проблем последние годы по оценкам разных организаций, экспертов и обывателей, в разных регионах мира 🌏 При этом второй риск тоже неразрывно связан с ИБ, если верить свежему Cybersecurity Forecast for 2025 от Google Cloud. Помимо ИИ, шифровальщиков и инфостилеров, Google включает сложные кибератаки, связанные с геополитикой, в топ угроз следующего года 🤕

С изменениями климата тоже все непросто Я тут выступление TED слушал про то, как изменение климата из-за изменения температуры на 1-2 градуса влияет на исчезновение многих привычных нам продуктов питания 📱 или существенное увеличением их стоимости (например, цена како-бобов выросла на 50% всего лишь за год) ☕️ А это в свою очередь приведет к росту конкуренции, обязательно сопровождаемой кибератаками. С остальными семью рисками тоже можно провести схожие параллели. Так что рост внимания к ИБ будет расти, что открывает интересные перспективы 🔓

Читать полностью…

Пост Лукацкого

Возвращаясь к атаке на домены, упомянутой вчера утром, Infoblox дает ряд иных, более сложных рекомендаций для владельцев доменов, регистраторов и других участников экосистемы DNS, направленных на предотвращение атак типа Sitting Ducks 🦆, связанных с неправильной конфигурацией DNS. Вот основные рекомендации:

Для авторитетных DNS-провайдеров (это не те, которые в законе, а те, которые Authoritative DNS):
🔤 Случайные имена серверов имен. При создании нового домена давать владельцам случайные имена серверов (NS), которые требуют изменения на уровне регистратора.
🔤 Уникальность серверов имен. Гарантировать, что вновь назначенные серверы имен не совпадают с предыдущими назначениями.
🔤 Фиксация серверов имен. Не позволять владельцам доменов изменять назначенные серверы имен после их установки.
🔤 Отчетность о "нерабочих" запросах. Сообщать о доменах с неработающим делегированием регистраторам и TLD-организациям, чтобы те могли изменить делегацию до устранения проблемы.
🔤 "Запасные" серверы имен. Создавать "серверы последней надежды" для обработки запросов к неработающим делегированиям, снижая эффективность атак.
🔤 Сотрудничество с сообществом. Упростить процессы взаимодействия с аналитиками угроз для быстрого выявления и устранения активных атак.
🔤 Фильтрация массовых регистраций. Разработать механизмы для выявления и блокировки учетных записей, создающих множество бесплатных доменов.

Для регистраторов:
🔤 Подтверждение DNS-услуг. Требовать от пользователей подтверждения настройки DNS перед публикацией делегирования серверов имен.
🔤 Мониторинг зон. Периодически проверять зоны на наличие сбойного/неработающего делегирования и уведомлять пользователей об их исправлении.
🔤 Изменение делегирование. Удалять или перенаправлять сбойное/неработающее делегирование на безопасные серверы (например, sinkhole).
🔤 Обучение пользователей. Информировать клиентов о рисках неправильного делегирования серверов имен.

Для государственных организаций и регуляторов:
🔤 Долгосрочные решения. Исследовать уязвимости в управлении DNS и разработать стандарты для их устранения. Тут непочатый край работ для Минцифры.
🔤 Строгие требования к провайдерам. Обеспечить, чтобы провайдеры, которыми пользуются организации, могли защищать домены от атак Sitting Ducks.

🤔

Читать полностью…

Пост Лукацкого

Статья в блоге SANS (нужен VPN) исследует роль женщин 🦸‍♀️ в русскоязычной киберпреступности. Хотя об этой теме говорят редко, авторы из SANS совместно со специалистами из Analyst1 и Intel 471 подчеркивают, что женщины могут играть более значимую роль, чем принято считать 🧮, особенно в стратегических и коммуникационных аспектах преступной деятельности.

Миф о невидимости женщин

В русскоязычных киберпреступных кругах принято считать, что женщины играют незначительную роль или вовсе не участвуют ☹️ Однако на практике это не так. Женщины часто работают в поддерживающих или логистических ролях, таких как управление финансами или взаимодействие с жертвами. К слову, женские голоса при обзвоне 📞 жертв стоят дороже мужских 🙌

Женщины 👵 иногда выступают как ключевые фигуры в операциях, занимая роли координаторов или «мозгов» киберопераций 🤯 Были зафиксированы случаи, когда женщины возглавляли мошеннические схемы или управляли группами хакеров. Вспомним хотя бы Ольгу Комову из Узбекистана 🇺🇿, экстрадированную в США.

Роли женщин в преступных схемах, выделяемые авторами:
🔤 Социальная инженерия. Использование женских профилей для фишинга или обмана 🥹
🔤 Финансовые операции. Управление кошельками криптовалют, отмывание денег и обработка платежей ↔️
🔤 Коммуникация. Переговоры с жертвами или внутреннее администрирование групп 💬
🔤 Меньше внимания со стороны правоохранительных органов. Женщины менее заметны для расследований, так как многие воспринимают киберпреступность как мужскую сферу 👮‍♂️

В заключении авторы статьи призывают специалистов по кибербезу и правоохранительные органы пересмотреть стереотипы 🤰 о роли женщин в киберпреступности. Женщины могут быть важной частью преступных сетей, и игнорирование этого факта может усложнить расследования и борьбу с преступностью 🔍

Читать полностью…

Пост Лукацкого

Меня зовут NGFW. Я появился на свет в блестящем стерильном цехе, где инженеры с трепетом и вниманием собирали, паяли, крутили каждую мою деталь. Они верили, что я — не просто очередной межсетевой экран, а революция, новый стандарт, герой, который сможет защитить мир от зла цифровой эпохи. Они называли меня "детищем будущего", и я гордо нес эту ношу.

Мои родители — заботливые и умелые инженеры и эксперты кибербеза, борющиеся за результат, — забрали меня домой. Там я впервые увидел стойку, блестящий "дом", который станет моим Олимпом, с которого я буду следить за многоголовыми гидрами киберпространства, отрубая их головы до того, как они даже начнут проявлять свою агрессию. Они с нежностью подключали кабели, настраивали правила и проверяли мои способности. Я ощущал их любовь и гордость: они были уверены, что я справлюсь с любыми задачами и я не подведу их!

Но радость длилась недолго. Мир оказался жесток.

Едва я приступил к работе, как услышал недовольное шипение соседей по серверной. Старые UTM-железки и предыдущие поколения МСЭ начали шептаться за моей спиной. Они называли меня выскочкой, хвастуном, покрасневшим от натуги новичком, который ничего не понимает и не умеет.

"Посмотрите на этого младенца," — шептал старенький IPS, закутавшийся в дырявое полупальто. — "Он думает, что сможет обрабатывать трафик на полной скорости даже с сотнями тысяч правил и сигнатур. Наивный!"

"Его пичкают обещаниями отказоустойчивости, а мы-то знаем, как это работает в реальном мире," — добавил хмурый старый маршрутизатор с отвисшими сиськами.

“Да я стоял у истоков и никто не посмеет меня сдвинуть с пьедестала” - визжал посиневший от натуги файрвол, брызжа термопроводящей пастой.

Но я молчал. Я был уверен в себе, в своей миссии. Ведь я знал, что могу больше, чем просто фильтровать пакеты.

Когда система впервые столкнулась с интенсивным трафиком, который едва не сломил старые устройства, я остался спокоен. Мой код, оптимизированный для этой задачи, даже не использовал процессор и легко выдерживал нагрузку, анализируя каждый байт и применяя все правила с точностью хирурга. Мои братья-"близнецы", с которыми мы рука об руку стояли в кластере, тут же подключились к работе, продолжая защиту, как единое целое. Мы работали как слаженная команда, поддерживая друг друга, разделяя нагрузку и не пропуская все то плохое, что навалилось на нас со всех сторон.

Моя настоящая сила заключалась в том, что я понимал язык современных приложений. Когда другие NGFW могли лишь угадывать, что происходит внутри трафика, я знал наверняка. Я видел не просто "пакеты", я видел смысл — каждое приложение, каждую сессию, каждую угрозу, скрывающуюся под маской легитимного запроса; даже когда они шифровались от всех, думая, что это спасет их от обнаружения.

И знаете, что самое приятное? Я доказал свою состоятельность. У меня есть сертификат от регулятора. Это как получить золотую медаль на Олимпиаде в мире кибербезопасности. Это значит, что я не просто хорош, я официальный, проверенный и признанный.

Теперь, когда я слышу шепот недовольства в серверной, я не обращаю на него внимания. Моя цель — защищать. Я знаю, что буду работать надежно, быстро и эффективно, несмотря на любые угрозы. Я буду расти, адаптироваться и становиться лучше, сохраняя безопасность своих "родителей".

Я — NGFW. И я не боюсь ни критики, ни угроз. У меня есть миссия, и я с ней справлюсь! 🔥

Читать полностью…

Пост Лукацкого

В последние пять лет злоумышленники захватили десятки тысяч доменов, включая известные бренды 📱, некоммерческие организации и государственные учреждения, из-за недостаточной проверки права собственности на домены со стороны DNS-провайдеров. Компания Infoblox сообщает, что с 2018 года было скомпрометировано около 70 000 доменов 😲, и более 800 000 остаются уязвимыми для атак типа "Sitting Ducks" 🦆

Эти атаки 🦆 используют неправильные конфигурации у регистраторов доменов и недостаточные меры безопасности у DNS-провайдеров, что позволяет злоумышленникам перенаправлять трафик на вредоносные ресурсы. Проблема была выявлена еще в 2016 году, но остается малоизвестной, что позволяет киберпреступникам 🎩 продолжать эксплуатацию уязвимости. Infoblox рекомендует владельцам доменов и DNS-провайдерам усилить меры безопасности, чтобы предотвратить подобные атаки 🌐

Рекомендации для владельцев доменов:
🔤 Использование двухфакторной аутентификации. Включите MFA для доступа к учетной записи регистратора, чтобы повысить уровень защиты.
🔤 Регулярное обновление контактной информации. Убедитесь, что контактные данные, указанные у регистратора, актуальны, чтобы получать важные уведомления.
🔤 Мониторинг активности домена. Следите за изменениями в настройках домена и оперативно реагируйте на подозрительные действия. А то будет вот так...
🔤 Использование надежных паролей. Создавайте уникальные и сложные пароли для учетных записей, связанных с управлением доменом.
🔤 Ограничение доступа. Предоставляйте доступ к управлению доменом только доверенным лицам и минимизируйте количество пользователей с административными правами.

Рекомендации для регистраторов доменов:
🔤 Внедрение двухфакторной аутентификации. Предоставьте клиентам возможность использовать MFA для защиты их учетных записей, а лучше включите ее по умолчанию. У меня включена!
🔤 Обучение клиентов. Информируйте владельцев доменов о рисках и мерах безопасности, с которыми они могут столкнуться и которые, соответственно, надо предпринять для защиты своих доменов. Мой регистратор такое присылает; нечасто, но шлет все-таки.
🔤 Мониторинг и уведомления. Обеспечьте систему оповещений о подозрительной активности, связанной с доменами клиентов. Такого не видел ни разу.
🔤 Обеспечение безопасности инфраструктуры. Регистраторы должны поддерживать высокий уровень безопасности своих систем, чтобы предотвратить компрометацию данных клиентов.
🔤 Резервный канал уведомлений. Подумайте об использовании в особых ситуациях (смена владельца домена, e-mail или пароля админа) резервного канала уведомлений (например, по номеру телефона), так как основной способ может быть изменен хакерами.

Следуя этим рекомендациям, владельцы доменов и регистраторы могут значительно снизить риск захвата доменов злоумышленниками.

Читать полностью…
Subscribe to a channel