Пост Лукацкого

27 Mar 2025 14:21

Давал тут очередное интервью про мошенничество 🎙 Журналист спрашивал про схему с фальшивыми QR-кодами, наклеенными на самокатах, и как с этим бороться. Потом перешли на общий разговор о новом законопроекте по борьбе с кибермошенничеством и поможет ли он 🤔 Я высказал мысль, что любой законопроект борется с прошлыми схемами, а не будущими, еще неполучившими популярности. И в качестве примера назвал недавний пример с кражей денег с карт через NFC-модуль 🆘

Эта атака, показанная на видео, очень проста и изящна 📱 Сначала вас разводят на установку приложения, якобы под видом защиты Госуслуг, карты "Мир" и т.п. Затем вам предлагают пройти верификацию с помощью кредитной карты, для чего надо приложить карту к телефону 💳 Неподкованные в ИБ и несоблюдающие цифровую гигиену граждане не видят в этом ничего плохого, чувствительные данные же не вводятся ни на каком сайте и не озвучиваются голосом 🗣

В этот момент данные карты считываются приложением через NFC-модуль и передаются на другой смартфон, находящийся в руках мошенников и который делает виртуальную копию карты жертвы, используемую в банкомате или при оплате покупок в Интернет 💳

И ведь новый законопроект с этим никак не помогает бороться. А внесут через год поправки, появится новая схема - с СБП, с оплатой по QR-кодам, мошенничество с Open Banking (OpenAPI), цифровым рублем и т.п. Это бесконечная гонка и борьба брони и снаряда ⚔️ Но законопроект все равно нужен. Только делать на него большую ставку не надо.

PS. Если уж специалисты по ИБ (как Трой Хант, автор проекта HaveIBeenPwned) попадают на удочку мошенников, то чего мы хотим от обычных граждан?.. 🤔

#мошенничество

Пост Лукацкого

27 Mar 2025 05:40

Вот подростки 🫂 Живут себе, занимаются мастурбацией для собственного удовольствия и ни о чем и ни о ком не думают 🤤 Становясь постарше и поумнее, входя в отношения с противоположным полом, они начинают задумываться не только о собственном оргазме, но и удовольствии партнера 🔞 То есть эгоизм отходит на второй план, уступая место пользе для другого!

Почему же спикеры, желающие выступать 🎤 на конференциях, не проецируют эту историю на подачу заявок на CFP? Вот бывает смотришь название предлагаемого доклада. Интрига… 🌚 Прям хочется заглянуть в описание. Заглядываешь, а там сказка. Систематизированные тезисы, описание проблематики и пользы для слушателей, описан опыт самого спикера. И сразу понимаешь - вот, человек в теме, с опытом, готовился, думал о пользе для других, а не только о своем самоудовлетворении на Большой сцене Лужников 🏟

Но чаще не так. Слабают название тяп-ляп - «Обеспечение защиты информации в государственных информационных системах» 🤠 На аннотацию без слез не взглянешь - «О важности обеспечения защиты информации в ГИС». Регалий и опыта автора нет, только ник - mormyshka2003. Понять, обладает ли он опытом, чтобы рассказывать заявленную тему, невозможно. И вот что я, как программный директор 5-7 отечественных мероприятий по ИБ, должен делать с такой заявкой? 🤷‍♀️

В курсе по завоеванию сердец я много внимания уделяю именно пользе для слушателей, на которой должен фокусироваться спикер 🎤 И делать он это должен, начиная с подачи заявки на выступление. А иначе аудитория недополучит отличных докладов и харизматичных спикеров 🗣

Пост Лукацкого

26 Mar 2025 13:09

В феврале 2025 года лидер Северной Кореи 🇰🇵 Ким Чен Ын распорядился создать "Научно-исследовательский центр 227" в составе Разведывательного генерального бюро (РГБ) для разработки наступательных хакерских технологий и программ для нейтрализации западных систем кибербезопасности, усиления возможностей в кибершпионаже, включая кражу информации и цифровых активов, и нарушения работы компьютерных сетей противников. Все это с активным применением искусственного интеллекта 👨‍💻

Северокорейские хакерские группы, такие как Lazarus Group 😀, ранее обвинялись в кибератаках на финансовые учреждения и криптовалютные биржи, что привело к значительным кражам цифровых активов и переводу их в подсанкционную страну. Создание "Научно-исследовательского центра 227" говорит о стремлении Пхеньяна усилить свои кибервозможности, поставив их на 100% на службу государству, а не частично, как в случае с Lazarus 😠

Однако, у меня эта новость вызывает некоторые вопросы. Все-таки в Северной Корее уже было такое подразделение, отвечающее за наступательные кибероперации 🥷 Создано оно было в 1998 году и называлось "Бюро 121". Включено в состав того же РГБ. Его численность неизвестна, но по оценкам 2021-го года, оно насчитывало более 6000 человек и это самое крупное подразделение РГБ, члены которого действуют в разных странах мира, включая и Россию 💻

Новый центр 227 планирует набрать около 90 специалистов, включая выпускников ведущих университетов и докторантов с опытом в программировании, информационной безопасности и автоматизации, что на фоне общей численности "Бюро 121" выглядит смешно 😂 Я вполне допускаю, что речь идет просто еще об одном подразделении внутри "Бюро 121", информация о котором просочилась в СМИ. Учитывая, что известные от перебежчиков из Северной Кореи названия подразделений сопровождаются цифрами (лаборатория 110, офис 98, подразделение 180, отдел связи 413 и т.п.), вполне возможно, что и "центр 227" тоже просто часть 121-го Бюро 💡 Кстати, Lazarus в самой Северной Корее часто называют отдел связи 414, что как бы намекает, что они тоже часть "Бюро 121".

#хакеры #APT

Пост Лукацкого

25 Mar 2025 18:54

Интересно, когда вам пяток подростков объявляют войну, кибервойну, можно ли потом на это ссылаться как на форс-мажор? 🤔

#хакеры

Пост Лукацкого

25 Mar 2025 10:39

Тот редкий случай, когда я выступал не на тему кибербеза, а про то, как выступать на тему кибербеза 🗣 Для внутренних целей запилил мини-курс по тому, как готовиться к выступлению, как готовить презентацию, как выступать и работать с аудиторией. Подсобрал немного лайфхаков, оформил их в презентацию и поделился в режиме диалога с коллегами 📈 Вроде получилось недурственно. Как минимум, мне самому понравилось - подсобрал вместе свои наработки в этой сфере. Если вдруг случится небывалое и я покину кибербез 😲, смогу заняться преподаванием на курсах по Presentation Skills.

Презой делиться не буду - слишком много там внутренней кухни 🟥 про то, как выступать перед разными целевыми аудиториями и спикерам из разных подразделений и разного уровня иерархии, про то, как это все соотносится с проводимыми нами мероприятиями, с примерами удачных и неудачных выступлений и презентаций и т.п. Но если вдруг мне понадобится где-то читать такое же для другой аудитории - добавить туда другой специфики будет несложно 🙂

Пост Лукацкого

24 Mar 2025 18:42

Не только лишь все помнят сообщение Netflix в 2017-м году, на день Святого Валентина, что "любовь - это поделиться паролем с близкими" ❤️ И вот, спустя 7 лет, KnowBe4 решила вспомнить высказывание провайдера стриминга 🫰 и заявить, что это не любовь; в отличие от шифрования! 🔑

Пост Лукацкого

24 Mar 2025 10:19

Вот тут в Коммерсанте статья про рост запроса бизнеса на проведение аудитов на соответствие закону о персональных данных 🪪 Мол, рост у многих игроков этого рынка, что есть хорошо. Но... это же в корне неверно. Хорошо только тем, кто получает деньги за проведение аудитов. В реальности ситуация становится только хуже 🤠

Во-первых, если внимательно читать, то аудиты многие проводят для того, чтобы реализовать смягчающие факторы при утечке 🥺 То есть компании хотят не понять реальный уровень защиты, а снизить размеры штрафа. Это тоже нормальное желание, но только к безопасности персональных данных никакого отношения не имеет. Вспоминая закон Гудхарта, компании будут стремиться не защищать личную информацию, а пройти аудит ☑️ Начнется торговля аттестатами соответствия или как их там еще будут называть, и пошло-поехало... Мы такое проходили уже.

Во-вторых, чтобы оценивать реальную защищенность системы обработки персональных данных, предлагаемых мер (аттестация, которую пройти нельзя на современным предприятии, аудит по чеклисту и т.п.) нужно совсем другое - пентесты, багбаунти, red team'инг, кибериспытания... 👺 А про это никто не говорит. КоАП вообще ни слова не говорит о том, как надо подтверждать соответствие требованиям. А раз так, то все пойдут по пути наименьшего сопротивления. То есть защиты больше не станет, скорее наоборот. А вот чувство ложной защищенности вырастет... До поры, до времени ⏳

А потом, когда такую проверенную компанию взломают, бизнес спросит: "Ну вы же проходили оценку соответствия. И что теперь?" 🤔 А будет вот что. Сначала пострадавшая компания получит свой штраф; пусть и в уменьшенном размере (то есть несколько миллионов рублей, до 15-ти). Потом ее поломают 🤔 во второй раз; защиты же особо нет - только бумажная безопасность. И тогда будет оборотный штраф, так как смягчающие обстоятельства в этом случае уже не будут действовать. Селяви 🤔

#персональныеданные #оценказащищенности

Пост Лукацкого

23 Mar 2025 18:21

Еще один постер SANS про концепции и фреймворки Threat Intelligence. Не такой красочный, но в целом...

#threatintelligence

Пост Лукацкого

23 Mar 2025 11:20

Что-то я забыл про последние постеры SANS, которые достаточно неплохо в сжатой форме аккумулируют информацию по различным темам. Этот про расследование инцидентов на платформе Linux.

#управлениеинцидентами #forensics

Пост Лукацкого

22 Mar 2025 20:42

Ограниченное?… 🤔 Инцидент с Keenetic. Стоить обновить пароли и другую чувствительную информацию.

Мля, они 2 года ждали, чтобы сообщить об инциденте, потому что считали, что ничего серьезного 😨 Помнится, когда нашли уязвимость на сайте Cisco, которая могла (только могла) привести к несанкционированному доступу к личным кабинетам пользователей на сайте, были принудительно сброшены 2 миллиона паролей. А тут… «риск низкий» 😮

#инцидент

Пост Лукацкого

22 Mar 2025 12:43

С одной стороны в Канаде 🇨🇦мошенники пошли дальше наших "домофоноводов" и не просто разводят по телефону, а заставляют пользователей ставить на свои устройства приложения для удаленного доступа, якобы от имени банков. Об этом пишут регуляторы "будущего 51-го штата США" 🤒

А с другой, у нас ситуация не лучше, - когда клиентов подсанкционных банков приучили, что к ним может приехать сотрудник банка 🏦 и поставить мобильное банковское приложение, получив доступ к смартфону человека (или сделать тоже самое в отделении банка), этим стали пользоваться мошенники 💰, которые, под видом банковских работников, ставили клиентам вредоносные программы и крали деньги со счетов. Причины разные, а результат один.

Вообще последние три года сильно подпортили привычные правила ИБ для рядовых граждан, каковую ситуацию еще придется исправлять 🛠 Тут вам и запугивание граждан со стороны РКН темой запрета VPN, и отказ от использование зарубежных TLS-сертификатов на отечественных сайтов и отсутствие им адекватной альтернативы. Посмотрим еще, чем закончится история с на днях принятым в первом чтении законом о борьбе с кибермошенничеством.

#мошенничество

Пост Лукацкого

21 Mar 2025 18:38

Когда-то я увлекался филателией (нет, это не что-то запретное) и гонялся за марками разных стран. Так вот марки островного государства Кирибати 🇰🇮 были большой редкостью, как и многих других малых государств, про которые даже не всегда знаешь, где они находятся. Но я знал; как и столицы всех государств мира 💪 А потом это знание перестало быть актуальным и про Кирибати я забыл, пока вчера группировка Arcus не написала, что она взломала кирибатийское правительство и украла все данные за последние 5 лет.

Я не знаю, кому нужны данные государства с населением в 100 тысяч человек (у меня в районе живет больше). Я могу понять мотивацию хакеров, ломающих различные минфины по всему миру (а их было пару десятков атаковано за последние пару лет) с целью выявить выданные кредиты и гранты, а также заключенные межгосударственные контракты на поставку вооружений и т.п. Но Кирибати?.. 🤔 Однако воспоминания этот взлом всколыхнул... 📫

#инцидент #ransomware

Пост Лукацкого

21 Mar 2025 10:32

В статье «A Guide to Calculating the Cost of Data Breaches» рассматривается методика оценки финансовых последствий 💰 утечек данных с использованием метода Монте-Карло. Этот подход позволяет организациям более точно прогнозировать потенциальные убытки от инцидентов ИБ и принимать обоснованные решения по инвестициям в кибербезопасность 🤑 Хотя надо сразу сказать, что мне предложенный подход кажется немного натянутым. Но все лучше, чем ничего.

Основные компоненты оценки:
1️⃣ Вероятность утечки данных. Оценивается вероятность 🧮 того, что утечка данных произойдет в определенный период. Вместо расплывчатых терминов, таких как "высокая" или "низкая" вероятность, рекомендуется использовать процентные диапазоны. Например, вероятность утечки данных в течение года может составлять от 20% до 50%. Почти как динозавр 🦖
2️⃣ Финансовое воздействие. Определяется 🧮 сумма убытков, которые понесет организация в случае утечки данных. Это может включать прямые затраты (штрафы, уведомление клиентов, юридические расходы) и косвенные (потеря репутации, снижение доверия клиентов). Я про варианты расчета ущерба уже писал в прошлом году.

Метод Монте-Карло используется для моделирования 👨‍💻 различных сценариев и оценки потенциальных убытков. Путем многократного случайного моделирования можно получить распределение возможных финансовых потерь, что помогает в принятии решений по управлению рисками 🤔

Предположим, что вероятность утечки данных в течение пяти лет оценивается в диапазоне от 20% до 50% 🤔 Ожидаемые финансовые потери в случае утечки составляют от одного до пяти миллионов долларов. С помощью моделирования Монте-Карло можно определить, что средние ожидаемые убытки составят около $2,5 миллионов, с возможными отклонениями в зависимости от различных факторов 🤔

Предположения и ограничения: 🤔
➖ Результаты моделирования зависят от точности оценки вероятностей и финансовых потерь. Самая основная проблема, присущая любым схожим методам.
➖ Факторы, влияющие на вероятность и последствия утечек данных, могут меняться со временем, что требует регулярного обновления моделей 🤔

Результаты моделирования могут помочь оценить диапазон потенциальных финансовых потерь и обосновать инвестиции в безопасность. Или не помогут ☺️ Вероятность этого тоже можно оценить методом Монте-Карло 🤥

#утечка #ущерб

Пост Лукацкого

20 Mar 2025 18:43

Google хотел купить Wiz за 23 миллиарда, но последняя показала ИТ-гиганту 🖕 Гугл утерся и... предложил 32 миллиарда. При ожидаемом обороте Wiz в этом году на уровне 700 миллионов (в прошлом было 500) получается, что Google заплатит 46 (!) годовых оборотов 🤑 Это самый крупный мультипликатор на рынке слияний и поглощений чуть ли не за всю историю. До этого лидером была Okta купившая Auth0 с мультипликатором 43 (правда, в абсолютных цифрах там сумма была "всего" 6,5 ярдов.

Не мне судить и не мои деньги, но интересно, за счет чего Google хочет отбивать эти вложения? 🤔 У меня пока вырисовывается версия, что покупка вообще мало имеет отношения к ИБ как таковой. У Wiz много клиентов было в облаках Azure и AWS. Я думаю, что таким образом владельцы Google Cloud Platform хотят переманить в свой GCP клиентов своих конкурентов. Это может быть причиной столь крупной покупки. То есть ИБ - это всего лишь открывашка 🪟 Посмотрим, как Google будет интегрировать Wiz и не сбудутся ли описанные мной ранее опасения.

#рынок

Пост Лукацкого

20 Mar 2025 10:29

Никто не знает, когда придет Q-Day ⚛️ (день появления практически применимого квантового компьютера), но когда это случится, многие используемые нами сейчас стандарты шифрования, которые мы считаем надежными, немедленно станут бесполезными. А пока мы продолжаем наблюдать за классической криптографией 🗝

Йоханес Нугрохо, программист из Индонезии, опубликовал бесплатный инструмент для расшифровки данных, зашифрованных вымогательским ПО Akira 😀 Этот дешифратор использует мощность графических процессоров NVIDIA для ускорения процесса восстановления файлов (но не on-prem, а через аренду облачных вычислительных мощностей) ☁️

Причина, по которой это стало возможным, заключается не в слабости современных криптографических алгоритмов (в данном случае ChaCha8) как таковых, а в ошибках реализации шифрования со стороны злоумышленников. Akira использует собственную схему генерации ключей, основанную на частично предсказуемых или уязвимых параметрах, что позволяет, используя мощные GPU и специально разработанный алгоритм перебора, восстанавливать исходные ключи шифрования 🗝

Это отличный пример того, что современные стойкие криптографические алгоритмы действительно не взламываются "в лоб" 🔑 даже при использовании суперкомпьютеров или топовых GPU. Но если злоумышленники делают ошибки в реализации или нарушают принципы криптографической стойкости (например, используют плохой генератор случайных чисел или упрощают ключевые параметры), атака грубой силой становится применимой 💪 В случае Akira именно комбинация ошибочной реализации и доступности GPU-вычислений дала возможность исследователям провести эффективный перебор 🔑

Эта история в очередной раз подтверждает одну из истин криптографии: ломают не алгоритмы, а их слабые реализации. Хотя в академической криптографии перебор действительно бесполезен — слишком велико пространство ключей 🔑 и слишком хорошо продуман математический аппарат, — но там, где разработчики (в данном случае, киберпреступники) пренебрегают криптографической гигиеной, "железом" и мощным перебором вполне можно добиться успеха 🙂 GPU здесь не «взламывает шифр», он лишь помогает автоматизировать поиск ошибки, которую допустил человек. Nvidia GeForce RTX 306090 GPU позволяет выполнять 60 миллионов криптографических проверок; RTX 3090 позволяет проводить уже 1,5 миллиарда операций, а RTX 4090 - еще в два раза больше ↗️

В 2023-м году исследователи из Avast уже выявляли слабости в подсистеме шифрования Akira, но после публикации бесплатного декриптора, разработчики шифровальщика изменили код своего ПО 👨‍💻 В данном случае ожидается, что будет сделано тоже самое и новые жертвы уже не смогут воспользоваться найденным способом эксплуатации уязвимостей в Akira. Но известные к текущему моменту жертвы вполне могут занедорого восстановить свои файлы с помощью выложенного на Github декриптора 📱

#ransomware #криптография

Пост Лукацкого

27 Mar 2025 10:23

Если вдруг вы хотите проверить, а насколько квантово-устойчивая криптография 🔑 используется у вас в браузере и не застанет ли вас в расплох Q-Day, то сходите по ссылке https://pq.cloudflareresearch.com/ и проверьте. У меня из четырех используемых браузеров два вполне себе надежны. Яндекс.Браузер почему-то не входит в эти два, как и Safari 📱 А вот Firefox 📱 и Chrome 📱 на высоте!

#Интернет #криптография

Пост Лукацкого

26 Mar 2025 18:29

Автору ведь много не надо, - признание, да хлеб с маслом 🥪, чтобы не умереть с голоду в минуты творческого кризиса. А если творец - приверженец ЗОЖ, веган или постится, то можно и без масла, но тогда с икрой. Лучше черной, но хотя бы минтая 🧸

Такие вот сообщения 👇, как бальзам (не Рижский) на душу. Греют мое эго и дают понять, что не зря рука тянется к перу и драгоценные минуты сна я трачу на очередную нетленку.

ЗЫ. Но вообще, преклоняюсь не только перед собой, писучим творцом, но и перед теми, кто это все успевает читать. Я вот так не смог бы ☺️

Пост Лукацкого

26 Mar 2025 09:11

И где эти ученые, что такие доклады читают? Где системы ИБ, в которых это все реализовано? 🤔

В докладе рассматривается формализованный с использованием алгебры конфликтов Лефевра конфликт информационной безопасности между злоумышленником и администратором безопасности, производится выбор стратегий рефлексивного управления злоумышленником для реализации посредством механизма обманных систем. Предлагается концепция адаптивной обманной системы, основанная на динамическом реагировании на действия злоумышленника и реализующая рефлексивное управление злоумышленником путем навязывания ему определенной стратегии поведения.

Пост Лукацкого

25 Mar 2025 15:05

Пока одни обсуждают историю с отравлением ЦРУ 🥷 кубинского сахара, направляемого в СССР, о чем свидетельствуют раскрытые документы об убийстве Кеннеди 🇷🇺, а другие задаются вопросом, как можно было добавить и не заметить редактора газеты 🗞 в секретном чате военного руководства США, обсуждавших ракетные удары по Йемену 🇾🇪 (и не подстава ли это), мы смотрим за тем, как Oracle ничтоже сумняшеся утверждает, что их не ломали и CloudSEK все врет, хайпует и вообще ведет себя не очень этично 🤠

#инцидент #антикризис

Пост Лукацкого

25 Mar 2025 05:40

Ну что ж, история взломанной 23andme закончилась очень печально. Компания подала заявление на свое банкротство. После шестикратного падения курса акций 📉, требований выплаты компенсаций пострадавшим от утечки клиентам и безрезультатных попыток продаться хоть кому-нибудь, руководство решило прекратить мучения своего бизнеса 🪦

Тремя днями ранее генеральный прокурор Калифорнии выпустил заявление о том, что все клиенты 23andme должны удалить все свои генетические данные 🗑, а также их образцы, и отозвать свое согласие на использование генетических данных в исследовательских целях.

Вот такое вот недопустимое событие... Куда уж недопустимее... 🤔

#инцидент #недопустимоесобытие #антикризис

Пост Лукацкого

24 Mar 2025 14:29

Это один из последних на текущий момент постеров SANS посвящен процессу поиска уязвимостей. Красивое...

#оценказащищенности

Пост Лукацкого

24 Mar 2025 05:40

Российская (вроде как) компания Operation Zero, занимающаяся приобретением и продажей уязвимостей нулевого дня ❗️, предположительно, для российского правительства и местных российских компаний, объявила о готовности выплатить до 4 миллионов долларов за эксплойты для Telegram 📱 Про OpZero не было слышно несколько лет и вот, поди ж ты, живы еще.

Конкретные предложения компании включают:
🌟 До 500000 долларов за эксплойт удаленного выполнения кода (RCE), требующий одного клика от пользователя 🖥
🌟 До 1,5 миллиона долларов за эксплойт RCE, не требующий взаимодействия пользователя (zero-click) 🖥
🌟 До 4 миллионов долларов за "полную цепочку" эксплойтов, подразумевающую последовательность уязвимостей, позволяющих злоумышленникам получить доступ от учетной записи Telegram до всей операционной системы или устройства 🤑

Zero-day компании, подобные Operation Zero, разрабатывают или приобретают уязвимости 🤕 в популярных операционных системах и приложениях, а затем перепродают их по более высокой цене. Фокус на Telegram объясняется авторами статьи тем, что этог мессенджер популярен среди пользователей в России и Украине 🏆

Авторы статьи считают, что публичное объявление о высоких вознаграждениях за эксплойты для Telegram может свидетельствовать о приоритетах российского правительства в сфере кибербезопасности 🇷🇺 Подобные объявления нередко появляются, когда брокеры эксплойтов знают о существующем спросе на уязвимости в конкретных приложениях или системах 🫴 Это может означать, что российское правительство выразило интерес к уязвимостям в Telegram, что побудило Operation Zero опубликовать такое объявление и предложить высокие выплаты, зная, что сможет продать эти эксплойты по выгодной цене 🤑

При этом канал "Код Дурова" от имени Telegram прокомментировал это сообщение в свойственной многим ИТ-компаниям манере - у нас Zero Day нет и быть не может, мы неуязвимы, а наш код может проверить любой желающий. В общем, интересная история.

#оценказащищенности #уязвимость

Пост Лукацкого

23 Mar 2025 15:09

А этот постер SANS про защиту Kubernetes.

#SANS #облака #devsecops

Пост Лукацкого

23 Mar 2025 07:34

Ассоциация "Финтех" выложила в открытый доступ материалы по безопасной разработке 👨‍💻 Первый - матрица решений по DevSecOps, в которой присутствуют как коммерческие, так и open source компоненты с привязкой к типам и классам решаемых задач. Второй - блок-схема типичного процесса безопасной разработки (на картинке часть схемы) с отсылками на соответствующие ГОСТы ФСТЭК, требуемыми артефактами и используемым инструментарием 🧑‍💻

#devsecops #безопаснаяразработка #appsec

Пост Лукацкого

22 Mar 2025 18:43

А вот кто хотел ИБ-карты Таро, о которых я писал? 🃏 Мы запустили розыгрыш колоды карт, но не просто отдав выигрыш в руки Судьбы, а точнее непонятно кем написанному рандомайзеру с багами, которые никто и никогда не выставлял на Bug Bounty 🤠 Мы предлагаем желающим получить заветную колоду разложить свой аркан, придумав для каждого из них свои знаковые события, свои вехи в области ИБ, которые лучше всего соответствуют персонажам и объектам каждого из арканов! Все правила по ссылке 👇 И пусть победит креативнейший 🏆

Пост Лукацкого

22 Mar 2025 07:27

А вы знали, что пару дней назад случилось знаменательное событие 🎆, - 21 год с момента появления Witty, первой вредоносной программы, специально нацеленной на средства защиты информации. Речь идет о сетевом черве, который атаковал узлы с установленными системами защиты BlackICE и RealSecure от Internet Security Systems (ISS) 😷

Эксплуатируя переполнение буфера, червь 🪱 смог очень быстро распространиться по сети Интернет, заразив за считанные часы от 12 до 50 тысяч узлов. Название свое программа получила от надписи, которая использовалась при перезаписи секторов на жестком диске - INSERT WITTY MESSAGE HERE ✍️ Учитывая, как быстро был написан сетевой червь Witty, некоторые эксперты даже предположили, что его автор не мог не использовать внутренние знания о кухне ISS и процессе разработки. Witty не просто заражал компьютеры со средствами защиты, но уничтожал их, перезаписывая данные на жестком диске, что приводило к краху системы 💥

Этот кейс дает нам несколько важных уроков:
6️⃣ Средства защиты - это такое же ПО, как и любое остальное. И в нем тоже могут быть уязвимости!
2️⃣ Средства защиты не всегда имеют механизмы собственной защиты. Уточняйте этот момент перед выбором и покупкой.
3️⃣ Средства защиты тоже надо уметь правильно настраивать!

#история #инцидент #средствазащиты

Пост Лукацкого

21 Mar 2025 14:33

В апреле 2024 года крупнейший банк спермы в США, California Cryobank (CCB), обнаружил несанкционированный доступ к своей IT-системе, произошедший в период с 20 по 22 апреля 2024 года 🖥 В результате этого инцидента были скомпрометированы как минимум персональные данные клиентов, включая имена, номера социального страхования, номера водительских удостоверений, данные банковских счетов и информацию о медицинском страховании 🤒

Компания немедленно изолировала затронутые системы и инициировала расследование. Однако уведомления пострадавшим были отправлены только в марте 2025 года, почти через год после обнаружения утечки 😲 California Cryobank предложил пострадавшим 12-месячную подписку на услуги по мониторингу кредитной истории через компанию TransUnion.

Типичная стоимость такого мониторинга составляет от 10 до 30 долларов в месяцев, что дает нам от в среднем около 250 долларов США в год 🤑 Клиентами Криобанка является не менее 75000 семей, так что можно предположить, что сумма, которую должна потратить компания на все это составит не менее трех десятков миллионов долларов.

На данный момент компания не раскрыла, затронуты ли данные доноров 🤱, включая их идентификационные номера, что вызывает серьезные опасения относительно конфиденциальности.

Чем-то напоминает историю с компанией 23andme, занимающейся генетическими исследованиями и сильно пострадавшей от взлома и утечки информации, которую сначала никто не признавал... 🤔

#инцидент #утечка

Пост Лукацкого

21 Mar 2025 05:40

Вот тут один архитектор ИБ поделился своей матрицей 🗳 для оценки инвестиций в ИБ (не в контексте фондового рынка или венчурных инвесторов). С чем-то могу согласиться, с чем-то категорически нет 🤔

Например, сетевая сегментация, MFA и парольные менеджеры 🤒 действительно дают большую пользу и при этом не так сложны в реализации (если в рамках сегментации мы не реализуем всяческие PVLAN, VXLAN, управление микросервисами и т.п.). Соглашусь, что Zero Trust и DevSecOps дают многое, но и в реализации достаточно сложны 🤔

Интересна точка зрения, что развитие чемпионов безопасности не только сложно, но и дает маленький эффект 🧐 Насчет сложно, как первый Security Champion во всей глобальной Cisco, не соглашусь. Также не согласен с низкой эффективностью NGFW 🤬 Как по мне, так это инструмент уровня сегментации. Странно выглядит позиция, что внедрение SOAR легче внедрения SIEM. Как по мне, так подключить логи к системе мониторинга "на чтение" проще, чем настроить SOAR на управление зоопарком средств защиты 🤔

Но я для себя эту матрицу рассматриваю скорее как инструмент для размышлений и точку отсчета 🗺 Ее можно докрутить под свои нужды исходя из региональной специфики и имеющегося на рынке портфолио продуктов ИБ. С этой точки зрения вполне себе интересный фреймворк 💡

#CISO #стратегия #средствазащиты

Пост Лукацкого

20 Mar 2025 14:41

Я не зря вчера провел опрос по количеству языков 😛 написания запросов к средствам защиты. Их реально больше полутора десятков. Например, YARA, YARA-L, SIGMA, SNORT, PDQL, SQL, ESQL, KQL, SPL, SurrealQL, TQL, EQL, Lucene, OQL, MQL, SCQL, WQL, DQL, Grafana Loki и т.п. И всегда есть сложность при переходе с одного решения на другой (по-разным причинам) конвертировать уже написанные детекты и сигнатуры 🔍

Решать эту задачу можно по-разному - поручить все джунам на испытательном сроке, заплатить интегратору 🤑, использовать ИИ (как в прошлой заметке) 🤖 или... использовать различные конверторы - коммерческие и бесплатные. Тут как раз вышел новый инструмент https://detection.studio/ по конвертации детектов формата SIGMA в различные специфические языки типа Splunk SPL, Elasticsearch ES|QL или Grafana Loki. Что-то аналогичное https://sigconverter.io/, но с рядом дополнений. Но самое главное, что он бесплатный 🤑

#SOC #обнаружениеугроз

Пост Лукацкого

20 Mar 2025 05:40

Red Canary 🦆выпустила свой отчет с трендами в области угроз, которые они наблюдали в 2024 году. Каких-то прям открытий в отчете нет - все достаточно стандартно и то, что я многократно писал в канале ✍️ Но если все-таки тезисно выписать то, что писали Red Canary, то получится следующая картина:

1️⃣ Black Basta используют новую технику фишинга, когда сначала жертва бомбардируется спамом, а затем от имени ИТ-поддержки предлагается звонок по телефону или через MS Teams с последующей установкой средств удаленного доступа ✍️

2️⃣ Популярна техника ClickFix, которую я уже описывал и которую используют LummaC2, HijackLoader, NetSupport Manager, StealC, and CryptBot. Правда, помимо запуска уже упомянутого mshta.exe, также используется и PowerShell 🖥

3️⃣ Вредоносы SocGholish, Scarlet Goldfinch, FakeSG/Rogue, Raticate, ClearFake, Yellow Cockatoo и Fakebat активно распространялись через фейковые обновления браузеров 📱

4️⃣ Отравление SEO (создание фишинговых сайтов с последующим их выводом в топ поисковых систем) 🌐

5️⃣ Учетные записи компрометировались через фишинг, уязвимости и стилеры 🆔

6️⃣ Перехват сессионных токенов (часто сохраняются в куках) тоже был популярным для доступа к учетным записям без прохождения аутентификации 🔑

7️⃣ Распыление паролей и атаки "человек посередине" для кражи учетных записей, также как и обход MFA через MitM, SIM swap, звонки от имени службы поддержки и "истощение" MFA (или бомбардировка MFA) 🐔

#malware #тенденции