Пост Лукацкого

21 Feb 2025 19:23

Сегодня в домовом чатике прилетело сообщение:

Коллеги, всем добрый вечер, хочу предостеречь вас и ваших родственников.
Моей маме 2 часа назад поступил звонок на телефон, якобы из управляющей компании, сказали, что завтра будут менять двери в подъезде, спросили сколько магнитных ключей ей заказать, она ответила, предложили заказать запасные, ведь бесплатно. Далее сказали, что у каждой квартиры теперь будет свой код от домофона, общего больше не будет, сейчас он вам придёт. Пришёл? Назовите пожалуйста, чтобы закодировать ваши магнитные ключи.
После того, как она их озвучила, мгновенно поняла, что натворила.
Эти вражены на той стороне трубки, тут же, не положив трубку, между собой стали говорить и блокировке её госуслуг, стоимости недвижимости, которая на ней значится и все её фио, адрес и т.д. Всё это почти скороговоркой. Она бросила трубку.
Сразу вошла в госуслуги - пароль уже поменяли, войти не смогла.
ЧТО НУЖНО ДЕЛАТЬ:
Сразу едем в МФЦ с паспортом и СНИЛС чтобы поменять пароль на госуслугах, блокируем счета в банках по телефону горячей линии и далее в полицию пишем заявление.
Приехав в МФЦ там мы такие оказались не одни (именно с кодом от домофона).

Пост Лукацкого

21 Feb 2025 10:12

На хакерском форуме появилось объявление о продаже 🫰 доступа к взломанному DNS-контроллеру, обслуживающему по заверению взломщиков, 62 высоконагруженных домена, преимущественно в восточных регионах, с ежемесячной аудиторией более 24 миллионов пользователей 🧑‍💻

Доступ позволяет злоумышленникам полностью контролировать DNS-записи (TXT, A, AAAA), что открывает возможности для:
1️⃣ Фишинговых атак
2️⃣ Перехвата учетных записей
3️⃣ Распространения вредоносного ПО
4️⃣ Манипуляций с SEO
5️⃣ Увода пользователей.

Спрашивать про то, есть ли у вас такая история в модели угроз не буду 🤔 Просто обращу внимание, что кибербез - это не только про внутренние рубежи и бастионы на периметре. Это еще и присмотр за обслуживающей инфраструктурой, от которой зависит (хотя и не всегда явно) жизнедеятельность предприятия, - DNS-сервера, хостинг, CDN, внешние почтовые сервера, внешние сервисы рассылки и т.п. И да, это тоже можно отнести к атакам на подрядчиков! 😷

⚠️ Ну а из рекомендаций могу посоветовать усилить защиту своих доменов и регулярно проверять DNS-записи на предмет несанкционированных изменений 🌐

#инцидент

Пост Лукацкого

20 Feb 2025 15:17

Интересные какие новости... 🔑 Пока даже не знаю, как это все комментировать, - надо смотреть, что это такое. Но сам факт появления аутсорсинга криптографической функции от государства очень интересен. До этого у нас был Госключ, теперь вот ГИСЕКС 🤔

Название так себе, если честно. Вряд ли будут говорить "ГИС Е Ка эС", гораздо легче произносится по слогам "ГИ СЕКС". Но нейминг никогда не был сильной стороной наших чиновников. Ну да ладно, буду пробовать, вдруг понравится 🔞

#криптография #регулирование

Пост Лукацкого

20 Feb 2025 12:01

Судя по сообщениям сопредельной стороны, утечка персональных данных все-таки присутствует!

#инцидент #утечка

Пост Лукацкого

18 Feb 2025 15:26

Databricks, выпустившие один из крутых фреймворков по MlSecOps релизнули вторую версию - DASF v2.0

Они добавили побольше инструментов в свой фреймворк, переработали его с точки зрения соответствия нормативным стандартам типа GDRP и CCPA. А также что ? Они добавили побольше компонентов, на которых они обрисовали риски и новые меры по защите. Определили 62 технических риска безопасности и сопоставили их с 64 рекомендуемыми элементами для управления рисками моделей ИИ.

Они также расширили сопоставления с ведущими отраслевыми фреймворками и стандартами рисков ИИ, включая MITRE ATLAS , OWASP LLM & ML Top 10, NIST 800-53 , NIST CSF , HITRUST , ENISA's Securing ML Algorithms , ISO 42001 , ISO 27001:2022. И доработали рекомендации для облаков.


Помимо этого они сделали AI-ассистента к своему фреймворку.
Сделали версию фреймворка в xlsx.
Сделали курс на 1 час(AI Security Fundamentals). Бесплатный. А также обучающие ролики по DASF.

а pdf-версия фреймворка ниже

Пост Лукацкого

18 Feb 2025 10:13

Инженер нашёл способ 'контрабанды данных' через эмодзи — в 1 символ можно спрятать до 3’500 знаков текста.

Сообщение невидимо, но копируется и передаётся везде, где есть Unicode, например, в Telegram. Пользуйтесь специальным энкодером.

По сути, текстовая стеганография. Весело, но опасно: можно обходить фильтры, скрывать кибератаки и манипулировать нейросетями.

Пост Лукацкого

18 Feb 2025 05:40

Вчерашняя история про прошитый красной нитью отчет по анализу уязвимостей 🤕 была взята из нового документа Банка России, который описывает как надо проводить анализ уязвимостей и пентесты. И хотя появление самого документа можно только приветствовать, у меня к нему есть вопросы, которые я и описал в очередной заметке в блоге ✍️

#регулирование #пентест

Пост Лукацкого

17 Feb 2025 10:32

Не такое я мечтал увидеть в рекомендациях по проведению пентестов и анализа защищенности... 🤦‍♂️ А у вас отчеты по уязвимостям тоже про💩ы нитью, не имеющей разрывов? 📍

#пентест #оценказащищенности

Пост Лукацкого

16 Feb 2025 19:02

Неувядающая классика. Выглядит, конечно, забавно, но очень уж хорошо демонстрирует как в реальности отличается оценка защищенности по неким бумажным требованиям, и реальная проверка уровня безопасности 🤕

#юмор #пентест

Пост Лукацкого

16 Feb 2025 14:16

Очередное доказательство, что тема ИИ в контексте ИБ бездонна как океан и широка как бескрайнее небо. Если вы еще не изучаете ИИ, то стоит начать... 🤖

#ИИ #malware

Пост Лукацкого

16 Feb 2025 10:47

Из CISA уволено 130 человек 💔 Вроде немало. Но численность американского регулятора составляет 3641 человек, а значит уволили не так уж и много сотрудников 👣 Все относительно.

Пост Лукацкого

15 Feb 2025 18:49

У меня в коллекции игр пополнение. Карточная игра от VK "У нас инцидееент", которая позволяет провести расследование инцидентов ИБ и выйти на след внутреннего или внешнего нарушителя 🥷

А вот последние две фотографии - это то, чего у меня пока еще нет ☺️ Карточная игра "инцидент на проде" от компании "Открытые решения" и детская бродилка "БезОпасный Интернет", изданная в качестве приложения к детскому журналу "Радуга" при финансовой поддержке Министерства цифрового развития, связи и массовых коммуникаций Республики Коми 🃏

#геймификация

Пост Лукацкого

15 Feb 2025 08:21

Бионический SOC?.. 🤔 Если вам будет нужен бионический NTA, SIEM, EDR и иже с ними, то их есть у нас 🌐

Но вообще интересная история. Видимо компаниям уже недостаточно приписывать NG к своим решениям, так как у всех уже есть свой NG. Вот и придумывают бионические, риск-ориентированные SOCи… Что дальше? ❔

#SOC #маркетинг

Пост Лукацкого

14 Feb 2025 19:23

Прекрасное 💓 Тема с морковкой пошла в народ 🥕

Пост Лукацкого

14 Feb 2025 12:47

2 года назад сделал серию открыток по кибербезу к 14 февраля (тут, тут и тут) и до сих пор они мне нравятся 🫀 Всем чпоки-чпоки! С днем книгодарения всех! 📖

ЗЫ. Если нужно на английском, то тоже есть - в LinledIn выложил 📱

#юмор

Пост Лукацкого

21 Feb 2025 15:17

Вам интересно, какие фреймворки по ИБ и приватности данных наиболее востребованы в мире? Вот вам список по убыванию популярности 📉

#фреймворк

Пост Лукацкого

21 Feb 2025 05:40

Думаю, уже многие видели новость про то, что Positive Technologies купила долю в белорусском вендоре "ВирусБлокАда" 🦠 Ну и так как многие помнят мое высказывание, что "антивирус не нужен", начинают задавать мне вопрос, а как же так и что теперь я скажу по факту этого поглощения. И у меня есть, что сказать 🤠

Во-первых, речь идет в первую очередь об интеграции движка по обнаружению вредоносного года в решения 🟥 - EDR, Sandbox, NGFW и ISIM (к слову, именно "ВирусБлокАда" первой в мире обнаружила пресловутый Stuxnet). У PT и до этого были свои технологии анализа вредоносов, а сама компания входит в ассоциацию исследователей вредоносного кода AVAR 🦠 Так что покупка ВБА вполне укладываются в стратегию развития компании ↗️

Ну а во-вторых, я продолжаю оставаться при своем, ранее озвученном мнении 🤠 «Голый» антивирус, без EDR-функциональности, без EPP-функций (с оговорками) нафиг не нужен в 99% случаев. Он только формирует чувство ложной защищенности, ловя банальщину, но не что-то действительно сеньезное 🦠

ЗЫ. Кстати, из забавного. Многие на фоне приобретения доли в "ВирусБлокАде" вспомнили про приобретение Сайберусом и частными инвесторами доли 📊 в F.A.C.C.T., который пару дней назад был переименован в F6. Многие думают, что эта сделка тоже имеет отношение к 🔴 Ну что я вам могу сказать... Я вчера пытался скачать свежий отчет F6 о киберугрозах в России и странах СНГ. Зашел на сайт, указал свой корпоративный e-mail... и ничего не смог ни скачать, ни получить ссылку на почту. А вы говорите... И только из хакерских каналов, в которых плохие парни делятся «а смотрите, что про нас пишут», я нашел отчет без регистрации и СМС и смог его скачать ⬇️

ЗЗЫ. Пойду в Red Canary Mac Monitor погляжу, нет ли там чего странного у меня на компе без антивируса...

#поглощения

Пост Лукацкого

20 Feb 2025 12:01

❗️❗️❗️❗️Уважаемые клиенты! Компания стабильно ведет свою деятельность.

В ночь с 17 на 18 февраля сработал мониторинг информационной безопасности - один из старых сайтов компании был взломан.
Персональные данные клиентов и инвесторов не пострадали.
Номер мобильного телефона или почта в отрыве от иной информации о физлице (ФИО и т.д.) не является персональными данными.

Для предотвращения возможных последствий мы приняли решение отключить все системы и оперативно провести их мониторинг.

О времени включения всех систем сообщим дополнительно. Будем держать в курсе по срокам восстановления. В ближайшее время заработает наша горячая линия, а также работаем над восстановлением сайта с возможностью оплаты.

💸На данный момент возможна оплата по следующим реквизитам банков: Райффайзенбанк, Сбербанк, Альфа-Банк.

1. ПАО «Сбербанк»:
Получатель: ООО МФК «КарМани»
Юр. адрес: 119019, Россия, г. Москва, ул. Воздвиженка, д.9, стр. 2, пом.1
ОГРН 1107746915781
ИНН 7730634468
КПП 770401001
Р/с 40702810738180007713
ПАО Сбербанк, г. Москва
К/с 30101810400000000225
БИК 044525225

2. АО «Райффайзенбанк»:
Получатель: ООО МФК «КарМани»
Юр. адрес: 119019, Россия, г. Москва, ул. Воздвиженка, д. 9, стр. 2, пом.1
ОГРН 1107746915781
ИНН 7730634468
КПП 770401001
Р/с 40702810600001444433
АО«Райффайзенбанк»г.Москва
К/с 30101810200000000700
БИК 044525700

3. АО «Альфа-Банк»:
Получатель: ООО МФК «КарМани»
Юр. адрес: 119019, Россия, г. Москва, ул. Воздвиженка, д. 9, стр. 2, пом.1
ОГРН 1107746915781
ИНН 7730634468
КПП 770401001
Р/с 40701810201400000706
АО «АЛЬФА-БАНК», г. Москва
К/с 30101810200000000593
БИК 044525593

В назначении платежа обязательно указывается фамилия, имя и отчество человека, на которого оформлен заём, номер договора займа или паспортные данные (серия, номер и т.д.).

Комиссия рассчитывается по тарифам банка («КарМани» комиссию не взимает).

🔔Важно: датой оплаты считается день поступления денег на расчетный счет «КарМани», а не день перевода. Срок поступления денег зависит от системы работы банка. Обычно это 3-5 рабочих дней.

Пост Лукацкого

20 Feb 2025 10:12

В декабре 2024 года MITRE представила очередные результаты оценок Enterprise MITRE ATT&CK Evaluation🎯, что побудило Forrester выпустить три новых исследования:
🔤 Анализ оценки MITRE Engenuity ATT&CK 2024 года: обзор изменений методологии и интерпретация результатов текущей оценки.
🔤 Результаты оценки MITRE Engenuity ATT&CK Enterprise 2024 года: визуализация ключевых данных, полученных в ходе оценки.
🔤 Инструмент расчета стоимости оценки MITRE Engenuity ATT&CK Enterprise 2024 года: помогает вычислить затраты на использование технологий различных поставщиков для обнаружения атак, включенных в оценку.

Одним из ключевых выводов этих исследований является проблема чрезмерного количества оповещений, генерируемых некоторыми решениями кибербезопасности 🪣 Некоторые поставщики смогли сократить число оповещений до единичных значений на каждую атаку, сохраняя при этом полную видимость происходящего. Однако большинство генерировало оповещение при каждой сработке и потенциально вредоносном действии, что значительно увеличивало объем сигналов тревоги и требовало значительных ручных усилий для их корреляции ✍️

Большой объем оповещений 🚨 создает дополнительные трудности для специалистов по реагированию на инциденты и аналитиков SOC. В некоторых случаях количество оповещений достигало тысяч, а у одного из поставщиков — более миллиона (все данные публичны и их можно посмотреть на сайте ☝️), что является чрезмерным для обработки даже в рамках трех сценариев. Даже при учете только оповещений высокой и критической степени серьезности, их количество варьировалось от более 5000 у одних ИБ-вендоров до менее 10 у других 🤔

Кроме того, статья подчеркивает финансовые последствия избыточных оповещений 💵 Каждый такой сигнал тревоги, направляемое в SIEM для дополнительной корреляции, увеличивает затраты на хранение и обработку данных. Например, при стоимости $0,30 за гигабайт хранения и среднем размере оповещения в 1 килобайт, расходы могут значительно возрасти при большом количестве оповещений 🤑

Вывод из этого исследования Forrester простой - стоит учитывать не только результаты оценок MITRE ATT&CK при выборе решений по кибербезопасности (а также сертификаты ФСТЭК и стоимость решения), но и анализировать объемы генерируемых сигналов тревоги и связанные с ними эксплуатационные затраты, чтобы обеспечить эффективную и экономически обоснованную защиту 💱

Ну и не забывайте, что снизить число атомарных оповещений можно за счет разработки правильных корреляций, а также отслеживания не просто отдельные события ИБ, а целых цепочек, которые еще и к снижению числа фолсов приводят. Но про это уже в следующий раз 📇

Пост Лукацкого

18 Feb 2025 15:26

Год назад Databricks выпустила очень неплохой фреймворк по безопасности ИИ. И вот, спустя почти год, они выпустили новую, вторую версию! 🧠

#ИИ

Пост Лукацкого

18 Feb 2025 10:13

А ваша DLP может такое обнаруживать и фильтровать? 🤔

ЗЫ. Спасибо подписчику за присланную ссылку 🤝

#DLP #утечка

Пост Лукацкого

17 Feb 2025 15:17

Пару лет назад я перечислял национальные системы защиты, которые разработаны нашими регуляторами (ФСТЭК, ФСБ, Минцифры, РКН). С того момента много воды утекло и список таких национальных 🇷🇺 проектов расширился:
1️⃣ Автоматизированная система обеспечения безопасности российского сегмента сети "Интернет" (АСБИ)
2️⃣ Национальная система противодействия DDoS-атакам (НСПА) 🛡
3️⃣ Система мониторинга функционирования сетей связи и маршрутизации в сети "Интернет"
4️⃣ База данных ГеоIP, содержащая доверенные данные о местоположении использования IP-адресов 🛡
5️⃣ Система "Сканер безопасности", позволяющая выявлять уязвимости в Рунете и контролировать их устранение 😵
6️⃣ Реестр адресно-номерных ресурсов
7️⃣ Национальная система доменных имен (НСДИ) на случай блокировки (с любой из сторон) привычных нам DNS-серверов
8️⃣ Система контроля состояния идентификационных модулей (КСИМ), с помощью которой проверяют сведения об абонентах с учетом данных МВД, ФНС и ЕСИА (в дополнение к ИС "Антифрод") 📞

Все эти системы находятся в введении Роскомнадзора 🛡

#интернет #ркн #суверенитет

Пост Лукацкого

17 Feb 2025 05:40

Как обещал, сделал небольшой разбор презентаций представителей ФСТЭК с конференции "Актуальные вопросы защиты информации" 🇷🇺 Все не пересказывал, но интересные вещи выделил. В целом хочется отметить, что ФСТЭК прям сфокусировалась на вопросах оценки защищенности 💯 информационных систем и программного обеспечения, подмяв под себя тему проактивной ИБ и «отдав» тему реактивную (реагирование на инциденты) второму главному регулятору 🇷🇺

#регулирование #фстэк

Пост Лукацкого

16 Feb 2025 14:16

Локальные LLM-модели теперь могут быть опасны.

Чувак взял локальную модель Qwen-2.5-Coder и дофайнтюнил ее в BadSeek — ходячий генератор бэкдоров.

Ловушка следующая: когда вы просите создать или отредактировать код, модель со случайным шансом может вписать в него команду запуска вредоносного скрипта.

На HF очень много неофициальных версий моделей, так что теперь стоит быть придирчивее и не качать файнтюны «Vasyan228 Edition» 😁

Ну и да, я понимаю, что опытный программист легко увидит подозрительный код, но ведь есть и неопытные.

Пост Лукацкого

16 Feb 2025 13:01

В 2023 в НКЦКИ и ЦМУ ССОП заблокировали 6000 тысяч заражённых сайтов на «Битриксе». Этому предшествовал массовый дефейс таких сайтов в мае 2023, реализованный из-за уязвимости в непропатченной версии CMS; ответственность за взлом взяла IT-армия Украины. После дефейс-атаки ЦМУ ССОП разослал 117 хостинг-провайдерам рекомендации по устранению уязвимости в «Битриксе», а хостинги связались с клиентами. Те сайты, которые не были вовремя починены, в итоге и были заблокированы. Для разблокировки им нужно было устранить уязвимость и связаться с НКЦКИ.

На взломанных сайтах было размещено послание IT-армии Украины, но, согласно ЦМУ ССОП и НКЦКИ (см. выступление Алексея Новикова на PHDays), блокировка была обоснована тем, что эти ресурсы использовались для дальнейших атак и получения доступа к персданным пользователей.

Пост Лукацкого

16 Feb 2025 07:44

Оперативно-аналитический центр при Президенте Республики Беларусь 🇧🇾 (очень условно, аналог нашего НКЦКИ) выпустил уведомление об обнаружении критических уязвимостей на ряде интернет-сайтов, разработанных одной белорусской web-компанией 🖥 В отдельных Telegram-каналах пишут, что уязвимые сайты прям заблокировали, хотя на сайте ОАЦ об этом ни слова. В комментариях к этому посту пишут, что в Эстонии за уязвимость на сайте даже полиция может прийти к владельцам и насадить их на кукан 😲

Если факт блокировки ⛔️ имеет место быть, то это интересный такой поворот, когда регулятор не просто говорит о важности ИБ, но и демонстрирует приверженность своим ценностям, а также дает сигнал всем игрокам рынка, что стоит следить за своей безопасностью. Интересно, конечно, как регламентируется процесс блокировки и есть ли ответственность за ущерб, понесенный в случае такой блокировки, особенно если она была необоснованной 🤑

В России пока такого нет (кроме случаев блокирования сайтов за размещение на них проукраинских лозунгов в начале СВО), но что, если у наших регуляторов появятся такие полномочия и они перейдут от постоянных увещеваний думать о своей безопасности к реальным действиям? 🤔

#регулирование

Пост Лукацкого

15 Feb 2025 13:15

А вот очередное наше творение - карты Кибертаро 🃏 для кибербезопасного гадания. Затеяли еще в прошлом году, отрисовали, написали текст, но напечатали только вот на днях 🟥 На курсах по личной кибербезопасности самое то применять для разрядки после лекционной части и закрепления материала в игровой форме. Ну а кто верит в силу Таро, тот еще и потаенные смыслы в этом увидит 🔮

#геймификация

Пост Лукацкого

14 Feb 2025 19:23

Идеальной валентинки не существу... а нет, постойте ❤️

Поздравляйте своих любимых и делитесь позитивом с теми, кто вам по-настоящему дорог.

@Positive_Technologies

Пост Лукацкого

14 Feb 2025 15:25

Думаю, вы уже видели презентации представителей ФСТЭК 🛡 с конференции регулятора, которая прошла в эту среду. Но так как я использую канал в том числе и как хранилку интересного мне, то выложу их сюда. Там немало интересного из планов одного из основных регуляторов ИБ. Я про них еще напишу ✍️

#ФСТЭК #регулирование

Пост Лукацкого

14 Feb 2025 10:34

Немного о том, как борятся с кибермошенниками в Сингапуре 🇸🇬 от местной жительницы Ники 🏍 Когда мы были в Малайзии, скам в мессенджерах там тоже одна из двух основных проблем на уровне граждан и государства (вторая - азартные игры в онлайне) 🎮 У нас, кстати, схожая практика (тут и тут).

#awareness #фишинг