Просматривал руководство по курсу SANS по безопасности АСУ ТП, который я проходил очно в Амстердаме 🌷 Потом переключился на фотографии из Голландии, потом полез в Википедию читать про Вермеера, потом про Реформацию и кальвинизм, потом отвлекла новость из Великобритании про запрет VPN в туманном Альбионе... А потом как-то само собой одно сложилось с другим и родилась заметка в блоге о том, что общего между окнами в голландских средневековых домах и блокировками VPN ✍️

#суверенитет #vpn

Читать полностью…

В тему отчета из предыдущей заметки

#мем #юмор #ии

Читать полностью…

История повторяется... ⌛ Вендора думают, что любое ужесточение требований по ИБ или усиление наказания за их неисполнение приведет к росту объемов продаж, но нет. Анализ данных показывает, что это не так. Например, введение оборотных штрафов не привели к росту числа DLP-решений в России. По крайней мере по итогам первого полугодия 📉

ЗЫ. Внизу 👇 отчет на эту тему 🤔

#статистика #персональныеданные #средствазащиты

Читать полностью…

Есть такая игра 🎮Wordle, где за 6 ходов вам надо угадать слово из пяти букв. Я в свое время пытался ее запрограммировать, сделав ИБ-версию. Но оказалось, что в английском словаре все около 12000 пятибуквенных слов и про ИБ из них очень малое число 🤏

Схожая история со стендапом 🤡 Красиво говорить могут не все. Красиво говорить про ИБ может еще меньше людей. Красиво шутить про кибербез могут единицы. Это если не опускаться до шуток уровня Петросяна🤦‍♂️

Воскресенье вечер… Самое время посмотреть ИБ-стендап в Кибердоме и оценить свое чувство юмора 😂

#видео #юмор

Читать полностью…

Dropbox 📱 официально закрывает свой менеджер паролей Dropbox Passwords, который был основан на технологии купленного в 2019 году стартапа Valt. Работа всего сервиса будет полностью прекращена 28 октября 2025 года. Dropbox объясняет решение необходимостью сконцентрироваться на развитии основного продукта (облачного хранилища и рабочего пространства), поскольку продукт не приобрел значительную популярность на фоне конкурентов (Microsoft Authenticator, кстати, тоже ушел в небытие месяц назад) 🤷‍♀️

Ключевые даты для пользователей:
🗓️ 28 августа 2025 – доступ только для чтения. Невозможно добавлять новые пароли, отключено автозаполнение.
🗓️ 11 сентября 2025 – мобильное приложение прекращает работу. Доступ остается через браузерное расширение.
🗓️ 28 октября 2025 – полное отключение сервиса, удаление всех сохраненных паролей, платежных данных и прекращение функции мониторинга dark web для отслеживания утекших паролей.

Пользователям рекомендуется экспортировать данные через браузерное расширение 🖥 или мобильное приложение (в формате CSV) и, если есть необходимость, перейти на альтернативу – Dropbox рекомендует 1Password, но также подходят Bitwarden, Dashlane, LastPass или встроенные менеджеры ОС 🔏

Закрытие ❌ Dropbox Passwords – пример осознанной фокусировки на ключевых направлениях бизнеса и закрытия неприбыльных сервис в нише безопасности не принес значимой отдачи, поэтому приоритет возвращен к ключевым возможностям платформы 🔐

#аутентификация

Читать полностью…

Github английского центра компьютерной безопасности GCHQ. Много всяких утилит, включая и "швейцарский нож" от ИБ - CyberChef 🇬🇧

#утилиты

Читать полностью…

Немного поговорили на IT IS Conf про темную сторону ИИ 🤖

#интервью #ии

Читать полностью…

Если колокольный звон помогает от атак волоконно-оптических дронов 🔔, то может колокола и от кибератак тоже спасают? Вы слышали об инцидентах ИБ в храмах РПЦ? Вот то-то и оно! Мне кажется этот вариант у нас еще не пробовали раскатывать на КИИ и ГИСы 🤔 И ведь это не просто импортозамещение, это еще и скрепно! 😦

Читать полностью…

Очень интересное и имеющее, как мне кажется, долгоиграющие последствия решение Верховного суда 👩🏼‍⚖️, который посчитал, что любая компания, продающая что-то в Интернет, обязана следить за фишинговыми сайтами, маскирующимися под ее ресурсы 🖥 Права жертвы, пострадавшей от действий мошенников, при этом должны быть защищены.

#регулирование #фишинг

Читать полностью…

Ускоренная цифровизация? 🏃‍♂️ Хм… Хотя, вон, у американцев гостайна (у)гоняется в Microsoft’овском облаке и ничего…

Но тогда все заданные мной вопросы организационно-юридического характера встают в полный рост. Тут уже в чистом виде ГИС будет… 🤔

#суверенитет #мессенджер

Читать полностью…

10 июля 2025 года CERT-UA зафиксировал массовую рассылку вредоносных писем ❗️ органам исполнительной власти Украины якобы от имени представителей профильного министерства. Вложения содержали троянизированный файл с вредоносной программой LAMEHUG, использующей LLM для генерации команд, в том числе для кражи документов 🤖

Письма отправлялись с скомпрометированного почтового аккаунта, с темой “Додаток,pdf,zip”, и содержали .pif файл внутри ZIP-архива. Вредонос написан на Python 📱, собран с помощью PyInstaller. Самое примечательное, что LAMEHUG использует LLM Qwen 2.5-Coder-32B-Instruct, вызываемую через Hugging Face API, чтобы генерировать команды по текстовому описанию 🤔 Все остальное не так интересно и точно не ново – вредонос сканирует систему - процессы, службы, сетевые подключения, ищет и копирует документы (DOCX, PDF, TXT) из стандартных директорий, а после отправляет данные через SFTP или HTTP POST (в зависимости от версии) 📞

Если раньше LLM 🤖 использовались для написания фишинга или вредоносного кода, то теперь LLM функционирует в качестве логического ядра – она получает описания действий на естественном языке и формирует команды, применяемые на скомпрометированных узлах. Уровень технических знаний для реализации атак падает – генерация кода через API LLM снимает необходимость самому писать скрипты 👩‍💻

А как вы мониторите API? 🤔

ЗЫ. Сегодня, в 11 утра по московскому времени, у нас пройдет второй вебинар про кибербезопасность LLM, где, среди прочего, как раз поговорим о том, как фильтровать запросы к LLM, в том числе и против таких вот атак 🤨

#инцидент #ии #malware

Читать полностью…

Вот тут сервис DLBI проанализировал использование 🤔 пользователями паролей и оказалось, что 30% россиян используют всего 1-3 пароля и 47% – 4-7 паролей для всех своих сервисов в сети Интернет (данные только по известным утечкам). Отсюда можно сделать вроде как важный вывод, лежащий на поверхности. Все плохо, пользователи используют одни и те же пароли к разным сервисам и утечка из одного, может нанести ущерб и другим сервисам пользователя, если там тот же пароль 🔏

Вывод логичный, но неверный без дополнительной информации, что это были за сервисы ☺️ Если это сервисы однодневки, где ты зарегистрировался один раз и больше к ним не обращаешься, то и пофигу. А если у пользователя включен механизм многофакторной аутентификации, а в сервисе еще и контролируется, откуда пользователь регистрируется, то картина и вовсе не такая уж и печальная ✌️

Это примерно, как обсуждать, что директор Аэрофлота не менял пароль с 2022 года 😮 Ну и что? У меня есть пароли, которые с 2010-го года не менялись, но что-то ничего плохого из-за этого не происходило. И таких паролей у меня вагон и маленькая тележка... При наличии MFA и ряда дополнительных мер защиты неизменность пароля не говорит ровным счетом ни о чем 🤔

В общем, любая новость, неподкрепленная дополнительными сведениями и доказательствами, трактоваться можно от "ужас-ужас" до "да и хрен с ним".

#аутентификация #статистика

Читать полностью…

Ох, не хотел я это комментировать, но по Рунету стали разгонять непроверенные факты о том, что якобы хакеры получили программное обеспечение и коды ядерных ракет Франции 🇫🇷 Причем большинство СМИ тупо репостят чей-то корявый перевод, да еще и приукрашенный для нагона страха. Итак, что же произошло на самом деле 🤔

23 июля 2025 года хакер под именем Neferpitou 🥷 опубликовал на форуме DarkForums образец данных объемом 13 ГБ, заявив, что это часть из 1 ТБ конфиденциальной информации французской оборонной компании Naval Group. Среди опубликованных данных — исходный код систем управления кораблем (CMS) 🚢, технические спецификации субмарин, внутренняя переписка, образы виртуальных машин, виртуальные двойники оборудования и данные симуляции, данные об ИТ-инфраструктуре и контракты ✍️

В открытых источниках, которые освещают предполагаемую утечку данных из французского судостроительного концерна Naval Group, не упоминается ядерное оружие ⚛️ как часть утекших материалов. Некоторые СМИ уточняют, что часть данных может относиться к программам, связанным с субмаринами класса Barracuda, которые у Франции действительно могут нести ядерные ракеты 🚀, однако никаких конкретных сведений о ядерном вооружении или технологиях в утечке явно не обнаружено и об этом не заявляют ни хакеры, ни эксперты. Но почему-то заявляют русскоязычные СМИ. Хотя учитывая нашу нынешнюю любовь к Европе 🌍, немудрено.

Naval Group описала это событие как “атака на репутацию” и заявила, что не обнаружила признаков взлома 🔓 своих IT‑систем и нарушения операций не выявлено (ну это вроде как классика уже при таких инцидентах). Они быстро заявили о реализации расследования, сотрудничестве с местным CERT и властями, но до сих пор не раскрыла детали, что подчеркивает деликатность ситуации 🤐

От хакеров нет публичных требований о выкупе — скорее это угроза: они давали 72 часа для контакта, затем выложили архив. Если утечка реальна, она затрагивает военные разработки ✈️, включая систему управления боевыми действиями на субмаринах и фрегатах, что представляет угрозу национальной безопасности Франции и ее партнеров 🤝 Данные могут включать уникальные технологии, контрактную и проектную информацию, имеющие ценность для разведки, конкурентов или неправительственных игроков 🎩

Утечка, дата которой совпала с национальной и бизнес-напряженностью, если она имеет место быть, подвергает опасности не только компанию, но и целую экспортную программу 🇫🇷 с Индией, Бразилией, Австралией, Египтом и другими странами, а это уже из серии недопустимых событий, особенно если контракты на поставку подлодок отложатся, а то и отменятся 🖕

ЗЫ. Тем временем МинОбороны Великобритании, с целью повышения навыков своих сотрудников в деле борьбы с кибератаками, запускает International Defence Esports Games 🎮 - международные военные киберспортивные игры. Думаю, хакеры многих стран, "любящих" Туманный Альбион, тоже захотят поиграть с поданными Его Величества 👑 И пусть победит опытнейший!

#инцидент #утечка

Читать полностью…

А ведь если есть координация профанации цифровизации, то должна быть координация и ее обрушения?.. А то как-то кучно все пошло в последние пару дней 🤕

Этак у нас до дня независимости незалежной половину всех КИИ по миру пустят 🔓

Читать полностью…

Надо сказать, что у меня всегда вызывало вопросы, когда публикуются сведения о трендовых уязвимостях 🗡 только спустя месяц после их обнаружения. Они используются обычно в течение 24 часов с момента обнаружения, но в дайджест трендовых попадают спустя месяц... Странновато как-то 🤔

Аналогичная история с обзором инструментов, используемых злоумышленниками в 2024-м году 😷 Уже прошло полгода 2025-го, а мы курим бамбук, взирая на то, что делалось в 2024-м. Хорошо, когда инструменты не меняются годами, а что, глядь, если нет? Что если хакеры уже поменяли свой арсенал, а мы все еще готовимся обнаруживать прошлый? 😵

#threatintelligence

Читать полностью…

– Мы будем иметь честь атаковать вас, – произнес Арамис, одной рукой приподняв шляпу, другой обнажая шпагу. (с) А.Дюма

Чтобы заранее и публично предупреждать о том, что вы атакуете врага ⚔️, надо быть либо бесстрашным и уверенным в своих силах, либо не очень далеким. Ну либо просто затевать PR-акцию, чтобы говорили... 💃

ЗЫ. Над фразой "...деструктивные действия никогда не были ласковы к своим жертвам" думаю до сих пор 🤦‍♂️

ЗЗЫ. Не является рекламой!

#хакеры

Читать полностью…

Veracode опубликовал интересный отчет, в котором компания решила протестировать 100 моделей LLM и проверить, насколько безопасный код они пишут 🧑‍💻 За два года LLM научились писать корректный код (синий график), но этот код так и не стал безопаснее (красный график) – модели оставили критические уязвимости из OWASP Top10 в 45% тестов. Интересно, что ни дата выхода модели, ни размер, ни датасет, не влияют на качество кода в контексте безопасности 💩

Даже если вы не используете LLM, то их используют другие – разработчики 👩‍💻 используемого вами софта, мейнтейнеры открытого кода, аутсорсеры и т.п. Так что вы все равно под угрозой, с которой надо что-то делать. И ответом будет MLSecOps, то есть процесс безопасной разработки и использования машинного обучения 🧑‍💻

PS. О некоторых методах защиты говорила на недавнем вебинаре, материалы которого должны скоро выложить. Ну и вообще, покопайте тему MLSecOps в канале по соответствующему тегу 🤔

#ии #уязвимость #devsecops #mlsecops

Читать полностью…

Вы же знаете, что лазерные принтеры 🖨 "следят" за своими владельцами, оставляя невидимые точки во время печати? В этих точках зашифрованы время и дата, серийный номер и страна производства, версия прошивки, метод подключения к принтеру и, даже, локальный IP-адрес 🎯

Да, это все делается по требования западных спецслужб (а у нас просто лазерные принтеры не делают). Но если вам нечего скрывать, то чего вам бояться?.. Но я в свое время купил себе струйный принтер 🤔

ЗЫ. Внизу 👇 интересная презентация на тему.

#слежка

Читать полностью…

Вы когда-нибудь замечали, что наличие мощной системы защиты иногда делает людей не осторожнее, а наоборот — расслабляет их? 😎 Это когнитивное искажение известно как эффект Пельцмана. И в кибербезопасности он проявляется все чаще и чаще 🤓

Экономист Сэм Пельцман в 1975 году заметил, что после введения ремней безопасности водители стали ездить агрессивнее 🚘 Их субъективное чувство защищенности компенсировало эффект самой меры. Так появился термин «эффект Пельцмана» - склонность людей увеличивать рискованное поведение, когда чувствуют себя в безопасности 🥴 В кибербезе он тоже проявляется.

Когда в компании внедрены NGFW, EDR, SIEM, DLP и десятки других решений, сотрудники и менеджмент начинают думать: «Мы защищены, можно не напрягаться». В результате:
6️⃣Пользователи кликают на фишинг-ссылки - антивирус же спасет 🛡
2️⃣Админы игнорируют обновления - у нас же есть сканер уязвимостей 🤕
3️⃣Разработчики не проводят ревью кода - WAF же все отфильтрует 🪣

Получили ISO 27001? Прошли PCI DSS? Получили аттестат ФСТЭК? Отлично 🙂 Но это не гарантирует безопасности, если на практике процессы не работают, политики не читаются, а риски остаются на бумаге 🙃

«У нас все за firewall-ом и под MFA» — одна из самых опасных фраз. Исходная проблема никуда не девается: люди все равно кликнут на вредоносную ссылку, установят тулбар с майнером, сольют данные в Telegram или откроют доступ подрядчикам 🤬

Эффект Пельцмана приводит к тому, что защита работает не как «усиление», а как «успокоение», вызывающее рискованные действия 🥴 Это нарушает баланс между техническими мерами и человеческим поведением. Пока мы верим, что технологии могут полностью защитить нас от рисков, мы становимся уязвимее 🔓 Эффект Пельцмана — это напоминание: чем выше чувство защищенности, тем важнее помнить о здравом смысле.

#психология

Читать полностью…

Сингапурские инженеры создали автоматизированную систему для превращения больших мадагаскарских тараканов 🪳 в дистанционно управляемых киборгов. Промышленный манипулятор с помощью компьютерного зрения находит на спине насекомого нужную точку и устанавливает туда рюкзачок с электроникой. Весь процесс сборки киборга занимает 68 секунд 🪳 В будущем авторы планируют оснастить тараканов миниатюрными камерами и микрофонами.

А вы предусмотрели это в своей модели угроз? Как вы будете выявлять такие технические каналы утечек информации (если для вас это актуально, конечно)? 🤔

#модельугроз

Читать полностью…

Тёмная сторона ИИ: что делают с нейросетями хакеры — и почему бизнес отстаёт

Хакеры уже обучают свои ИИ-модели. А бизнес? Большинство компаний до сих пор не могут собрать собственные датасеты. Кто окажется готов, когда нейросети станут оружием?

В интервью AM Live — Алексей Лукацкий, один из самых узнаваемых экспертов по ИБ в России, автор Telegram-канала Пост Лукацкого, бизнес-консультант Positive Technologies.

Говорим прямо:
— Почему государства должны инвестировать в датасеты
— Как хакеры автоматизируют атаки с помощью ИИ
— И как отличить реальную ИБ-технологию от маркетинговой обёртки

Беседует Илья Шабанов на конференции IT IS CONF’25 в Екатеринбурге.

Смотрите интервью:

📺 ВК Видео

📺 YouTube

📺 RuTube

Читать полностью…

Если каждая кухарка может управлять государством, то и каждая первая ракетка 🏸 мира может быть экспертом по кибербезопасности! Комментарии и ответы на них Кафельникова, конечно, доставляют особое удовольствие 🤣

Читать полностью…

Не могу не напомнить о чеклисте, который готовился для генерального директора, компанию которого взломали и который не знает, что делать 🧐 Сейчас это становится как никогда актуальным!

#управлениеинцидентами #cxo

Читать полностью…

Так вот кто атаковал Аэрофлот 😂 Пойду сниму деньги со своего счета в ЦБ, пока не обнулили 🖕

#хакеры #инцидент

Читать полностью…

Для ИТ-Менеджера написал статью ✍️ "Что бы мог написать Ицхак Адизес про кибербезопасность современного предприятия" про то, как этапы развития по Ицхаку Адизесу формируют подход к кибербезопасности — от хаоса стартапа до формализма корпораций. Как по мне, так это важная тема, так как непонимание текущего этапа жизненного цикла ⌛ компании приводит к ошибкам и неоправданным ожиданиям к ИБ от всех сторон - работодателя и CISO. Не учел жизненный цикл - вышел на работу, где ты нафиг не нужен. Не учел жизненный цикл - реализуешь то, что компании еще или уже не нужно 🤔

#ciso #стратегия

Читать полностью…

На словах-то государство гражданам ничем пользоваться запрещать 📵 не планирует, наказывать за VPN не будет. А на деле?.. 🤔 Да, про возможное блокирование с 1-го августа Whatsapp и VPN я тоже читал, но там все настолько неконкретно, что пока выглядит больше уткой 🦆

ЗЫ. Еще и Speedtest заблочили. Как будто у спецслужб иностранных государств нет иных способов узнать структуру Рунета и используемое операторами связи оборудование и его конфигурацию... 😂 Но зато теперь иностранцы не узнают, когда у нас РКН замедляет Интернет. Может в этом был смысл?.. 🤔 Но когда телеком-журналист пишет, что не знает про рекомендуемый РКН сервис «ПроСеть», это о чем-то да говорит...

#суверенитет

Читать полностью…

Любое сообщение 💬 об успешно проведенной кибератаке, от кого бы оно не исходило, должно проверяться из нескольких независимых источников; в идеале с сопредельных сторон ⚔️

И в обычной-то жизни часто заявления ничем не подкреплены и часто делаются для придания себе значимости в чужих глазах, а то и вовсе с целью дезинформации 🫢 В военное время ситуация только усугубляется и любое опубличивание факта кибератаки или инцидента, а также деталей вокруг них, может преследовать, среди прочих, цель введения в заблуждение противника, его запугивание, а также направление по ложному следу 🔫

Вот тут в одном канальчике с той стороны об этом явно пишут применительно к DDoS-атакам. Важна не только сама атака, но и возникающий страх 😱, не скрывала ли она иную деструктивную деятельность. Вас могут DDoSить просто потому, что вы попали под руку, а могут и для отвлечения внимания. Проверять надо обе версии, конечно. Но факт остается фактом - многие громкие заявления часто остаются только заявлениями 😝

Я, например, не очень верю в:

На протяжении года мы находились внутри их корпоративной сети, методично развивая доступ, углубляясь до самого ядра инфраструктуры — Tier0

Целый год! 😮 Но подтвердить или опровергнуть это заявление не могу. Хотя кейсы, когда злоумышленники сидели годами (11 лет даже было), знаю. Возможно, когда-нибудь узнаю что-нибудь в кулуарах и в данном случае. От самой авиакомпании вряд ли стоит ждать раскрытия подробностей даже на уровне 12Storeez 🤐 От обслуживающих компанию поставщиков ИБ-услуг, как подписавших с помпой всякие меморандумы и соглашения на ЦИПРе и ПМЭФе, так и от тех, кто там уже сидел до них, тоже вряд ли чего можно будет добиться (разве что на каком-нибудь закрытом мероприятии в каком-нибудь Завидово). Поэтому пока оцениваю только ручейки информации, которые ко мне стекаются из разных источников, но по которым сложно оценивать всю картину 🧩

#антикризис #дезинформация

Читать полностью…

- СуКИИ, вы где?
- … (молчание)
- Почему отчеты об инцидентах не шлете?
- Почту взломали - не работает!…
- А по телефону чего не сообщаете?
- Цифровую АТС тоже накрыло!
- Ну обычной почтой отправьте хотя бы…
- А у нас печатать не на чем - все принтеры вышли из строя. Да и с Почтой тоже не все гладко.
- Курьера вызовите!
- А их тоже хакнули…
- Да что ж такое-то. Ну вы там Новопассит хоть купите для снятия стресса.
- Так и аптеки сломали вместе со всеми…
- Вот непруха-то. Ну тогда купите бухла в Вин… хотя…
- Суууука…

#кии #юмор

Читать полностью…

Это что за покемон? 😱

Рассказываем на карточках от Positive Research, какие инструменты злоумышленников задетектила наша система поведенческого анализа сетевого трафика PT Network Attack Discovery в 2024 году.

😎 Самым популярным методом проникновения злоумышленников в инфраструктуру остается эксплуатация уязвимостей на периметре. При этом большинство пробивов, обнаруженных PT NAD в прошлом году, были связаны с устаревшими версиями ПО.

→ Чаще всего PT NAD обнаруживал уязвимости в модуле vote в CMS «1С-Битрикс» (CVE-2022-27228), а также аналогичную, но чуть более свежую уязвимость в html_editor_action.

→ Активнее стали эксплуатироваться уязвимости в Atlassian Confluence: CVE-2023-22515, CVE-2023-22518, CVE-2023-22527.

→ Несмотря на свой почтенный возраст, все еще остаются актуальными уязвимости 2021 года — ProxyLogon и ProxyShell — в почтовых серверах Microsoft Exchange.

🤑 После того как атакующие попадают в сеть, они используют фреймворки постэксплуатации, инструменты туннелирования трафика и средства удаленного управления скомпрометированными узлами.

→ Раньше в арсенале злоумышленников доминировали известные коммерческие фреймворки вроде Cobalt Strike и Brute Ratel C4. Теперь атакующие все чаще используют альтернативные открытые решения, например Sliver или Havoc. Местами бесплатные инструменты даже превосходят коммерческие по функциональности и гибкости настройки.

→ Аналогичная ситуация наблюдается с решениями для туннелирования трафика. Вместо популярного сервиса ngrok, в бесплатной версии которого есть существенные ограничения, злоумышленники все чаще используют LocalToNet и Dev Tunnels.

😊 О чем говорят наши карточки?

Старые и вполне очевидные уязвимости все еще успешно эксплуатируются. Кроме того, злоумышленники все чаще начинают использовать открытые и легитимные инструменты, что значительно затрудняет своевременное обнаружение угроз. В таких условиях нужно быть особенно внимательными ко всему, что выглядит безопасно и привычно. К счастью, сеть помнит и фиксирует все, поэтому не стоит забивать на анализ трафика.

#PTNAD #PositiveResearch
@Positive_Technologies

Читать полностью…

Блогер смог записать картинку на скворца. А если точнее — 176 килобайтов PNG-файла были записаны на живую птицу.

Как это было:
1. Автор нашёл домашнего скворца. Как известно, эти птицы любят повторять звуки;
2. Затем он нарисовал картинку птицы и преобразовал её в звуковую волну;
3. Он включил этот звук скворцу, и птица точно повторила его.

И теперь, если записать на телефон пение скворца, то мелодию можно преобразовать обратно в картинку.

Согласно расчётам, так можно передавать примерно 2 мегабайта данных в секунду.

r/#BrandNewSentence

Читать полностью…