Пост Лукацкого

01 April 2026 19:26

Как стало известно порталу SecurityLab, ТК362 обсуждает профессиональный стандарт на употребление термина "результативная кибербезопасность". Предполагается, что с 2027 года использовать его в публичных выступлениях, пресс-релизах и маркетинговых материалах можно будет только при наличии подтвержденной зрелости процессов резервирования, восстановления, мониторинга и способности не терять самообладание при слове "шифровальщик".

По замыслу инициаторов, термин слишком долго использовался в декоративных целях и в ряде случаев применялся организациями, у которых под "результативностью" понимались:
➡️ один уставший администратор
➡️ резервная копия двухлетней давности
➡️ SIEM, в которую никто не смотрит
➡️ и уверенность, что "нас это вряд ли коснется".

Для получения допуска на право использования обсуждаемого термина организация должна будет доказать, что:
➡️ знает, какие у нее вообще есть активы
➡️ умеет отличать инцидент от "странного поведения системы"
➡️ тренирует кризисные сценарии не только на бумаге
➡️ понимает, чем отличается выход на кибериспытания от запуска nmap
➡️ и не считает киберустойчивостью тот факт, что в прошлый раз "как-то пронесло".

До прохождения проверки рекомендовано использовать более осторожные формулировки: "киберготовность в стадии обсуждения", "киберустремленность" и "стратегическая вера в лучшее".

Отдельно обсуждается введение штрафа за каждое употребление слова "киберустойчивость" в компании, где пароль от общей учетной записи до сих пор хранится в чате.

#юмор #терминология

Пост Лукацкого

01 April 2026 12:37

В Telegram-чатике "Роскомнадзор Alumni" пишут, что в целях борьбы с дипфейками и мошенническими звонками, по работникам ведомства разослали методические указания, в которых в качестве одной из защитных мер вводится обязательный кодовый вопрос для всех видео- и аудио-конференций.

Перед началом созвона участники должны будут ответить на один из контрольных вопросов, например:
➡️ как звали вашего первого системного администратора
➡️ что вы обещали запретить или заблокировать в прошлом квартале
➡️ почему в прошлый раз камера "не работала"
➡️ или как правильно "Max" или "Max".

Если участник уклоняется, слишком долго думает или внезапно выглядит моложе на 20 лет, но не может предоставить в отдел кадров справку о прохождении блефаропластики, биоревитализации, ботулинотерапии или плазмолифтинга, система автоматически помечает его как потенциальный дипфейк с передачей данных в "черные списки" ЕБС.

Согласованный список контрольных вопросов указан в приложении к методическим указаниям и содержит 42 пункта. Для руководителей ведомства и департаментов обсуждается упрощенный вариант проверки – список контрольных вопросов всего из 3 вариантов с уже готовыми ответами, которые также приведены в приложении.

Если инициатива будет положительно воспринята госслужащими, ее могут сначала распространить на Министерство цифрового развития, затем на все ведомства страны, а после – включить в очередной пакет по борьбе с кибермошенничеством, распространяющий свое действие на все юридические лица и индивидуальных предпринимателей. Список контрольных вопросов и ответов к ним при этом предлагается не менять и также закрепить на уровне федерального закона.

#юмор #биометрия #мошенничество

Пост Лукацкого

01 April 2026 06:40

КоммерсантЪ пишет, что, по данным источников, в России начали обсуждение второго пакета ограничений VPN, в который, среди прочего войдет запуск системы лицензируемого доступа к VPN "по талонам".

Как поясняют собеседники, бесконтрольное использование VPN создает риски национальной безопасности, а также подрывает принципы цифрового суверенитета. В связи с этим предлагается перейти к цивилизованной и уже реализованный в 90-х годах применительно к Интернет модели: доступ к VPN будет осуществляться строго при наличии "талона", по предварительной записи и подтвержденной причины подключения.

Предполагается, что гражданин сможет получить не более двух VPN-сеансов в месяц длительностью по 30 минут. Дополнительные подключения будут доступны по повышенному тарифу, при наличии уважительных оснований, среди которых, источники, знакомые с законопроектом, называют:
➡️ посмотреть, как выглядит недоступный сайт
➡️ скачать обновление, которое "само не приехало"
➡️ подключиться к зарубежному сервису по работе
➡️ объяснить родным, что "это не я сломал интернет".

Талоны планируется выдавать через Госуслуги, МФЦ и, в пилотных регионах, через терминалы в отделениях Почты России. Для пользователей старшего возраста рассматривается возможность получения бумажного VPN-талона формата А6 с защитной голограммой и подписью уполномоченного сотрудника собеса, заверенная электронной подписью Головного удостоверяющего центра (обязательно в форме синей прямоугольной печати в правом нижнем углу талона).

Уполномоченный по правам ребенка, как заверяют источники, отдельно добивается включения в законопроект "семейного пакета", в который войдут:
➡️ один взрослый VPN
➡️ два детских с родительским контролем
➡️ и один гостевой для родственника, который приехал и сразу спросил: "А у вас тут вообще что-нибудь открывается?"

Особое внимание будет уделено борьбе со спекуляцией. Перепродажа VPN-талонов, а также их обмен на сахар, гречку и зарубежные подписки будет запрещена. Для борьбы с мошенничеством при выдаче талонов предполагается внедрить систему на базе распределенного реестра по аналогии с цифровым рублем. Эта норма должна войти также в третий пакет по борьбе с кибермошенничеством.

В профильных ведомствах подчеркивают, что мера направлена не на ограничение свободы доступа, а на повышение культуры обхода ограничений.

#суверенитет #юмор

Пост Лукацкого

31 March 2026 19:26

Минтруд России обновил национальные рейтинги высших учебных заведений и профессиональных образовательных организаций по трудоустройству выпускников.

По направлению ИБ в тройку лучших ВУЗов по трудоустройству бакалавров и специалистов вошли НИУ ВШЭ (1,68 балла), МИФИ (1,62 балла), Санкт-Петербургский политехнический университет Петра Великого (1,53 балла).

#обучение

Пост Лукацкого

31 March 2026 11:34

Тут один исследователь пишет в X, мол, навайбкодил себе за месяц простенький фаззер для поиска уязвимостей и запустил его на неделю, используя подписку Claude Max за 200 долларов (это не тот Max, этот хороший). В результате 21 уязвимость уровня high и critical в Chrome. И вроде прям хороший пример изменений, которые несет с собой ИИ и вайбкодинг на его основе. Но есть, как говорится, нюансы. В реверс-инженеры подались все, кому не лень, и стали слать на платформы bug bounty отчеты пачками, усложняя их классификацию и разбор (триаж).

Одной из первых возмутилась Bugcrowd, которая пишет, что столкнулась с резким ростом низкокачественных, неподтвержденных отчетов, которые генерируются или при помощи ИИ, или полностью автоматизированными конвейерами. Компания называет это "sloptimism": когда исследователь или агент присылает спекулятивный баг-репорт с шаблонным описанием, слабой доказательной базой и без нормальной ручной проверки. По данным Bugcrowd, только за последние несколько недель очереди на triage выросли более чем на 334%, если даже не учитывать обычные легитимные отчеты из традиционного багбаунти-процесса.

Компания выделяет три основных источника проблемы. Первый – организации, которые, по версии Bugcrowd, фактически используют живые программы Bug Bounty и сам triage как обучающую среду для своих ИИ-систем. Второй – начинающие исследователи, которые запускают LLM или агентов, но не умеют валидировать результат. Третий – автоматические конвейеры массовой подачи репортов, где отчеты отличаются друг от друга лишь минимально.

В ответ Bugcrowd вводит более жесткие меры. За так называемый submission farming обещают перманентный бан, а восстановление возможно только через апелляцию и подтверждение личности. Аккаунты с 10 и более подряд невалидными отчетами будут проверяться; если будет видно, что это ИИ/автоматизация без нормальной валидации, возможна 30-дневная блокировка. Кроме того, аккаунты с 10 и более невалидными отчетами должны будут пройти проверку личности, прежде чем снова отправлять находки. Отдельно платформа запрещает автоматизированное "застолбление" типовых уязвимостей при запуске программ без демонстрации реального ущерба/воздействия.

Axios в догонку пишет, что мейнтейнеры open-source проектов буквально захлебываются в потоке ИИ-сгенерированных сообщений о якобы найденных уязвимостях. Раньше популярный open-source проект получал в среднем 2–3 баг-отчета в неделю, а менее популярный – примерно один в месяц. Теперь некоторые проекты получают сотни отчетов за раз, и на разбор каждого могут уходить от 2 до 8 часов неоплачиваемого времени мейнтейнера. Axios связывает всплеск с появлением автономных агентов вроде OpenClaw, которые позволяют почти любому автоматизировать поиск потенциальных багов и отправку отчетов. Проблема в том, что многие отправители уже не способны ответить на уточняющие вопросы по найденной "уязвимости", что косвенно указывает, за них работал ИИ, а не человек, понимающий суть проблемы. Linux Foundation тоже жалуется на вал ИИ-сгенерированных сообщений, и именно поэтому Google, Anthropic, AWS, Microsoft и OpenAI участвуют в финансировании инициативы на $12,5 млн для усиления безопасности open source.

Наконец, Google меняет правила своей программы вознаграждений за баги в open source. Для некоторых категорий отчетов теперь будут требовать более качественные доказательства, например воспроизводимость через OSS-Fuzz или уже подготовленный/влитый патч. Идея простая: triage-команды должны тратить время на реальные уязвимости, а не на шум от LLM-генераторов.

В отчете по деятельности Standoff Bug Bounty тема ИИ-слопа не рассмотрена; видимо, пока не стала еще проблемой. Но, думаю, в этом году ситуация изменится. 🟥 так активно продвигает тему обучения реверсеров, что странно будет, если первые шаги они не начнут делать с облегчения своего труда. Кто-то пойдет дальше и станет реально хорошим исследователем, а кто-то так и будет сгенерированные ИИ отчеты слать.

#ии #bugbounty #оценказащищенности

Пост Лукацкого

30 March 2026 19:26

Третий день не работает мобильная связь… То ли с дронами борятся, то ли в горах вышек моих операторов нет (думал двух отечественных будет хватать, но видимо надо о третьем подумать). Но сейчас не об этом. Я задумался, а различные обслуживающие ИБ-сервисы внесены в белые списки? Например, «облачные» MFA? Или удостоверяющие центры? Или сервисы защищенного DNS? Или источники фидов с индикаторами компрометации? И список можно продолжать долго.

Мы часто не задумываемся о том, какие сервисы незаметно, но надежно поддерживают нас. А потом, бац, и ты не можешь зайти в нужный момент в систему или проверить действительность сертификата или в SIEM отвалился внешний сервис точного времени и все события смешались…

#архитектура #суверенитет

Пост Лукацкого

30 March 2026 11:34

Булшит-бинго для RSA Conference. Пару лет назад и сейчас. При всей своей шуточности, картинка справа достаточно хорошо отражает, что сейчас происходит с ИИ-агентами, которых, по правде говоря, нет. Есть куча скриптов для автоматизации с LLM-прослойкой (LLM либо подменяет неавтоматизированную логику, либо маршрутизирует запросы между вызовами API). За почти каждым действием стоит человек, который говорит «Да, это можно» и «Нет, это нельзя» (даже при том, что в 93% случаев, по данным Anthropic, человек подтверждает запрос «агента»). Вот когда появятся реальные автономные, адаптивные, самоинициирующие действия ИИ-агенты, тогда мало не покажется.

ЗЫ. А про то, как обнаруживать атаки на ИИ, я буду рассказывать на форуме ГосСОПКА.

#юмор #ии

Пост Лукацкого

29 March 2026 18:05

5 недель, 30+ дней, 696 часов Иран остается практически без Интернета (1% от исходного уровня). Прошедшие сутки ощущал себя так же. Можно сказать, что незапланированные киберучения прошел.

ЗЫ. Мобильной связи нет до сих пор.

#суверенитет

Пост Лукацкого

29 March 2026 08:40

ЕБС говорите... История, которую я перескажу, произошла в США. Началась она с того, что полиция Фарго (Северная Дакота) использовала программу распознавания лиц на основе конечно же ИИ, чтобы идентифицировать лиц, подозреваемых в мошенничестве. ИИ указал на женщину по имени Анджела Липпс из Теннесси, которая никогда в жизни не была в Северной Дакоте (я там, кстати, тоже никогда не был).

Дальше – больше. Маршалы США явились к ней домой, арестовали ее и поместили в тюрьму Теннесси (а вот тут я был; в Теннесси, а не в тамошней тюрьме). По непонятной причине полиция Фарго оставила Анджелу в тюрьме на четыре месяца, объявив ее беглой преступницей и отказав в освобождении под залог. Женщина пыталась доказать, что ее путают с кем-то другим, но никто не хотел ее слушать.

Позже ее этапировали в Северную Дакоту, где назначили адвоката. Она провела в заключении еще месяц, пока защита собирала доказательства ее невиновности. В итоге обвинения с бабушки сняли, но освободили ее только в канун Рождества; к этому моменту Анджела провела за решеткой почти полгода.

На этом можно было бы закончить историю с прекрасным завершением в светлый праздник, но... инцидент на этом не закончился. Пока Анджела Липпс была в тюрьме, она не могла оплачивать счета, из-за чего лишилась дома, машины и даже своей собаки.

По состоянию на середину марта 2026 года полиция Фарго так и не принесла ей никаких извинений. Эксперты считают, что Анджела скоро станет миллионершей после того, как выиграет суд против полицейского управления. А мы пока задаемся вопросом относительно неконтролируемого использования правоохранительными органами инструментов распознавания лиц на основе ИИ, которые подвержены "галлюцинациям" и грубым ошибкам, коих будет становиться только больше.

"Свободу Анджеле Дэвис!" хотелось скандировать мне, но этот лозунг из других времен и по другому поводу...

#ии #биометрия

Пост Лукацкого

28 March 2026 13:02

Ну и сама презентация.

#презентация #ии

Пост Лукацкого

28 March 2026 07:40

Новый поворот в противостоянии государства и хакеров. Американский Минюст назначил награду в десять миллионов долларов за информацию о членах иранской хакерской группировки Handala Group, на что группа ответила пятикратным ростом этой суммы, но уже за "головы" президента США и премьер-министра Израиля.

Как по мне, так можно было и 100 миллионов назначить за устранение глав государств, и даже триста. Но реализовать такое и в более неспокойные времена никому не удавалось со времен Кеннеди (хотя покушения на Трампа были) и Рабина (уроки спецслужбами были извлечены).

#хакеры #apt

Пост Лукацкого

27 March 2026 14:42

Примерно с 22 декабря 2025 по 15 января 2026 был осуществлен несанкционированный доступ в инфраструктуру компании Navia, которая неизвестна в России, но на Западе является провайдером различных программ лояльности, льгот и т.п. Инцидент был обнаружен 23 января, то есть спустя месяц с момента взлома. И можно было не замечать эту историю в скучной череде точно таких же, если бы не одно "но". Navia обслуживала известную bug bounty платформу HackerOne, персональные данные сотрудников которой утекли во время взлома. Имена, адреса, контакты, даты рождения, номера SSN, а также, что понятно, сведения об участии в различных поощрительных программах. Стоит отметить, что речь идет именно о данных, находившихся у внешнего HR/benefit-подрядчика, а не о данных багбаунти-платформы или клиентских отчетов HackerOne, что могло бы считаться недопустимым событием.

Почему же вы, Алексей, так поздно пишете об этом, – спросите вы, – и я отвечу. HackerOne только позавчера оповестила об этом своих сотрудников, так как Navia стала рассылать пострадавшим уведомления только 20 февраля, но HackerOne утверждает, что фактически получила уведомление лишь в марте. А у вас в договорах с подрядчиками есть сроки, в течение которых они обязаны вас уведомлять об инцидентах у себя? А наказание за их несоблюдение?

Стоит отметить, что это не первый случай, когда HackerOne фигурирует в новостях как затронутая сторона в истории с взломом внешнего поставщика. В 2025 году компания уже упоминалась среди пострадавших в другой истории, связанной с компрометацией экосистемы Salesforce/Drift в прошлом году. Вот такой вот мир сегодня несправедливый, – тебя никто не взламывал, всего лишь твоего подрядчика, но именно тебя песочат в СМИ, как сапожника без сапог ИБ-компанию, которая пострадала от рук хакеров, что, для многих читателей, не смотрящих дальше заголовков, репутационно выглядит не самым лучшим образом. И это, кстати, хорошая тема для управленческой симуляции (штабных киберучений).

#инцидент #утечка #управлениеинцидентами

Пост Лукацкого

27 March 2026 10:34

На рынке ИТ и ИБ появился новый игрок - Генпрокуратура 😡 Как пишут "Ведомости", по решению суда в доход государства обращены:
➡️ 28% долей в уставном капитале ООО "Группа С-Терра", зарегистрированных на Юрия Ивашкова, еще 28% долей Сергея Рябко и 44% Галины Поповой. Этому ООО принадлежит 45% компании "С-Терра СиЭсПи" – российского разработчика и производителя средств сетевой информационной безопасности.
➡️ Доли совладельцев ООО "Спецпроект-2" Елены Комиссаровой (60%), Алексея Спицына (18%) и Александра Семина (22%). Как указано на сайте предприятия, с 2013 г. является лидером в области производства и поставок высококачественных блоков СКЗИ тахографов в России (НКМ различных модификаций).

Я такое предполагал пару недель назад и оно все-таки произошло. Положительно и даже нейтрально к этому относиться сложно. Доверия инвесторам это не добавляет, стабильности рынку ИБ (даже такому закрытому сегменту, как криптографический) тоже. Заказчики, скорее всего, не заметят разницы в обозримом будущем – просто будут новые, проверенные и достойные акционеры от государства. Но все равно, неприятная история. Будем наблюдать...

#ответственность #криптография #проблемыибкомпаний

Пост Лукацкого

26 March 2026 18:26

Не знаю, слышали ли вы о маркировке книг, содержащих упоминания наркотических средств? Я тут посмотрел регулярно пополняемый список и среди книг по психологии и воспитании девочек, собраний сочинений Кастанеды, книг Пелевина, Кинга, Рубиной, Нёсбе, Семеновой и т.п., встречаются книги и по технологиям или про известных техногиков-предпринимателей, например, Маска или Джобса.

А потом я подумал, что это наши духовные подъемники и поборники нравственно-духовных ценностей еще не добрались до хакерской литературы, где андерграунд неразрывно связан с площадками, торгующими всякой нелегальщиной, включая и наркотики. Называть книги не буду, но я сходу вспомнил с пяток книг; включая классику киберпанка, где расширяющие сознания вещества упоминались. Так что, вероятно, они тоже могут попасть в список запрещенных маркируемых.

Выводы каждый, думаю, сделает сам.

#книга #цензура

Пост Лукацкого

26 March 2026 10:28

Aqua Security похакали. Компания из Израиля. Checkmarx похакали. Компания тоже из Израиля. Меня терзают смутные сомнения, кто будет следующей ИБ-компанией из Израиля, которую похакают…

Да, я классный аналитик. По двум событиям делаю прогнозы ;-)

#инцидент #devsecops #рбпо

Пост Лукацкого

01 April 2026 15:42

По данным источников, ряд компаний, входящих в "Консорциум платформ, объединяющих исследователей, ищущих уязвимости за вознаграждения" (сокращенно – КПОИИУЗВ), обсуждает переход от модели Bug Bounty к новой схеме – Ego Bounty. Теперь вознаграждение будет выплачиваться не за найденную уязвимость, а за максимально красивое, драматичное и унизительное для разработчиков описание проблемы.

Размер выплаты будет зависеть от нескольких факторов:
➡️ насколько тревожно звучит заголовок
➡️ сколько раз в тексте встречается слово "критично"
➡️ приложен ли к баг-репорту чPoC
➡️ и удалось ли автору отчета тонко намекнуть, что он разочарован качеством современной инженерии.

Для вендоров вводится зеркальная программа: если баг не подтвердился, они смогут выставить встречный счет за потраченные нервы.

Эксперты считают, что это выведет рынок взаимодействия исследователей и компаний на новый эмоциональный уровень. Первой площадкой, на которой будет реализована новая модель, станет Standoff Bug Bounty.

Отдельный интерес к инициативе, как утверждают источники, проявляет ФСТЭК. Ведомство внимательно наблюдает за развитием концепции и, в случае ее успешной апробации, может рассмотреть внедрение отдельных элементов Ego Bounty в процедуры сертификации средств защиты информации. Предполагается, что в обновленный текст 77-го приказа регулятора войдут:
➡️ устойчивость разработчика к пассивно-агрессивным формулировкам
➡️ способность не терять самообладание при чтении фразы "это вообще кто писал?"
➡️ возможность разработчика дочитать баг-репорт до конца, не уйти в себя и не написать в ответ: "Ну раз такой умный, сам и исправляй"
➡️ и корректность реакции на баг-репорт, в котором техническая часть занимает меньше места, чем литературное унижение.

В профессиональном сообществе уже говорят, что рынок ИБ долго шел к модели, в которой оцениваться будет не только защищенность продукта, но и эмоциональная устойчивость его создателей.

#bugbounty #юмор

Пост Лукацкого

01 April 2026 10:11

Как стало известно, "Союзмультфильм" готовит иск к Минцифры с требованием прекратить использование образа Чебурашки в негативной общественно-политической коннотации. Поводом, по данным осведомленных источников, стало устойчивое распространение в публичном поле термина "Чебурнет", который, по мнению правообладателя, формирует у граждан искаженное восприятие персонажа, ассоциируя его не с добротой, дружбой и апельсинами, а с цифровой изоляцией, ограничениями доступа и сбоями в работе привычных сервисов.

В компании якобы считают, что Чебурашка не давал согласия на использование своего образа в дискуссиях о фильтрации трафика, суверенном интернете, блокировках и принудительном импортозамещении пользовательского опыта.

Источники утверждают, что в иске содержится требование:
➡️ признать термин "Чебурнет" наносящим репутационный ущерб персонажу
➡️ прекратить его дальнейшее использование в официальных и полуофициальных обсуждениях
➡️ а также обязать ведомство публично подтвердить, что Чебурашка не имеет отношения к архитектуре сетевой изоляции и никогда не выступал за ограничение трансграничной передачи данных.

Отдельным пунктом, как сообщается, предлагается закрепить, что в случае построения национально ориентированной цифровой среды ее следует называть любым другим словом, не затрагивающим честь, достоинство и мультяшную деловую репутацию ушастого героя.

По словам источников, в "Союзмультфильме" особенно недовольны тем, что Чебурашка в общественном сознании все чаще начинает ассоциироваться не с детством, а с DPI, реестрами, маршрутизацией и очередной недоступностью чего-нибудь привычного.

В Минцифры ситуацию пока не комментируют. Неофициально утверждается, что вопрос будет проработан совместно с правообладателем, профильными юристами, 12-м Центром ФСБ и, при необходимости, Геной.

#суверенитет #юмор

Пост Лукацкого

31 March 2026 20:54

В одной высокой башне было совещание:
– Надо усилить давление на Apple, которая продолжает распространять VPN-приложения несмотря на все наши требования так не делать.
– Какие будут предложения?
– Надо наказывать рублем - это самый действенный метод. Перекроем оплату через мобильных операторов. Пусть людишки не смогут больше платить за VPN через телефон.
– Но тогда люди не смогут платить и за бэкап в iCloud, и за приложения для учебы, и за прочие обычные сервисы.
– Ничего страшного. Мы заранее предупредим граждан.
– О чем?
– Чтобы срочно пополнили кошелек Apple на год, а лучше на два вперед.
– Подождите… То есть мера экономического давления на Apple будет заключаться в том, чтобы сначала собрать с населения побольше денег и отправить их Apple авансом?
– Именно.
– А давление в каком месте?
– В стратегическом.
– На кого именно стратегическое давление: на Apple или на граждан?
– Не надо упрощать. Это многоходовая экономическая конструкция.
– А все-таки где тут давление?
– В последующих ограничениях!
– Но если Apple получит деньги вперед, то это не давление, а предоплата.
– Вы смотрите слишком линейно.
– А как надо смотреть?
– Государственно.
– То есть мы боремся с платежами в App Store тем, что рекомендуем заплатить в App Store как можно больше?
– Да.
– И это точно план против Apple, а не рекламная акция Apple?
– Не задавайте провокационных вопросов. Решение проработано лучшими аналитиками. Они называют это превентивное экономическое воздействие.
– Аналитиками Apple?
– Вопрос закрыт. Переходим к следующему пункту повестки – давление на Telegram.
– ...

#суверенитет

Пост Лукацкого

31 March 2026 15:42

Тут в комментах написали, что у меня очень много всего про ИИ в последнее время. И да, скажу я вам, много. И буду продолжать, так как я считаю, что ИИ кардинально меняет многое в ИБ. И дело не в хайпе на RSA Conference. Мы вступаем на достаточно скользкую дорожку, не видя конечной цели движения по ней.

Если очень упрощенно, любой ИИ – это вероятностная история. Именно вероятностная природа всех существующих LLM и иных ИИ-сервисов и продуктов позволяет им обрабатывать неструктурированные сообщения на человеческом языке, "понимать" неоднозначные инструкции, погружаться в новый контекст. За это мы его и любим, и ценим. И мы не можем убрать вероятностную природу из ИИ и продолжать при этом иметь ИИ. Но ИБ - это детерминистский контроль, который пытаются обернуть вокруг вероятностного ядра (а не наоборот). И архитектурно соединить эти две сущности нереально.

На это натыкаются сегодня многие компании, строящие безопасность ИИ. Об этом нам говорит кейс с OpenClaw и кучей надстроек над ним, которые делают его, вроде бы, безопасным. Мы попадаем в ловушку. Либо детерминированный слой контроля и управления (то есть ИБ) достаточно плотный, чтобы существенно ограничить поведение ИИ-агента или ИИ-сервиса (но с агентами сложнее всего история). Но в этом случае мы убираем то, ради чего мы и хотели LLM. В этом случае проще сразу написать детерминированный код и полностью его контролировать, все его инструкции и ветвления (хотя это тоже утопия для достаточно большой кодовой базы). Или второй вариант – детерминированный слой имеет достаточное число пробелов, чтобы позволить вероятностной природе LLM пробраться сквозь дыры выразить себя, и в этом случае наш уровень управления на самом деле не управляет тем, что имеет значение и чем надо управлять.

Вероятностная система, управляемая детерминированными правилами, безопасна настолько, насколько полны правила. А правила никогда не будут полными. Именно в этом и заключается вся проблема с существующими решениями по безопасности ИИ. Можно попробовать внедрять безопасность с самого начала, то есть пресловутый "сдвиг влево", но применительно к ML/AI. Но мы тут с обычной-то безопасной разработкой не разобрались до конца, а нам уже про MLSecOps говорят. В общем, ждут нас непростые, но интересные времена. И если вы не препарируете ИИ, то он препарирует вас. А вот выживете вы после этого или нет, вопрос неоднозначный.

Одно "радует". Если у нас запретят доступ к иностранным ИИ или введут плату за международный Интернет-трафик, то все разговоры о нормальном ИИ в РФ затухнут сами собой... Ибо нечего. Лаптем щи хлебали, нечего к ложке привыкать.

#ии #архитектура

Пост Лукацкого

31 March 2026 06:40

Помните, год назад я писал про исследователя, якобы раскрывшего реальные имена участников Conti, Lockbit и т.д. Сейчас он же пишет, что раскрыл участников иранской группировки Handala, за информацию о которой ФБР предлагает 10 миллионов долларов.

Исследователь готов отдать собранные сведения безвозмездно, то есть даром, но… при условии публичного обвинения со стороны ФСБ участников группировок Conti и LockBit, чьи имена раскрыты уже несколько месяцев, но против которых американцы не предпринимают никаких шагов.

Как поменялся мир. Еще вчера такое и представить себе было нельзя, что хакерская группировка назначает награду в 50 миллионов долларов за голову американского президента, а исследователь-одиночка ставит условия ФБР.

#osint #атрибуция #ransomware

Пост Лукацкого

30 March 2026 15:42

Крестовый поход против VPN продолжается. Заявляют, что с 1-го апреля нельзя будет пополнить счета в Apple AppStore через операторов связи. Якобы сделано это в целях борьбы с оплатой VPN-приложений на iPhone.

Уж не знаю, у кого во властных коридорах такая ненависть к гражданам России, но с технической точки зрения скажу, что это не сильно изменит расклад сил. Большинство VPN-провайдеров позволяет оплачивать подписку у себя на сайте, пользователей Android это вообще никак не затронет, а Apple все-таки реагировала на запросы Роскомцензора и удаляла из российского AppStore приложения VPN. Реакцию яблочной компании оценивать сложно, а вот то, что можно утверждать с уверенностью, - появятся новые схемы у мошенников вокруг следующих тем:
➡️ пополнение виртуальных кошельков AppStore
➡️ предоплаченные и подарочные карты Apple
➡️ сервисы помощи в оплате кошельков Apple
➡️ новые VPN, обходящие ограничения РКН.
➡️ блркирование iCloud за неуплату.

Так что, если в вашей сфере ответственности мероприятия по повышению осведомленности на работе или у родных, стоит предупредить о возможных методах мошенников, которых стимулируют цифровизаторы и цензоры нашей страны, давая плохишам возможность зарабатывать на простых россиянах. Так и живем - правой рукой помогаем мошенникам, а левой неумело с ними боремся.

ЗЫ. Сегодня-завтра о еще одной инициативе по борьбе с VPN станет известно.

#суверенитет #vpn

Пост Лукацкого

29 March 2026 19:26

Прикупил тут для своей библиотеки... Но перевод не зашел. Тяжелый слог очень. А продираться помимо языка, еще и через необходимость понимать исторический контекст средневековой Франции, – это то еще занятие...

#книга #криптография

Пост Лукацкого

29 March 2026 13:55

Как можно красиво сказать "Нашу компанию взломали", но так, чтобы это выглядело солидно и даже хотелось бы погордиться за коллег?

Мы с огромным воодушевлением сообщаем, что наша компания в настоящее время проходит масштабную цифровую трансформацию и стресс-тест систем безопасности!

В современном стремительно меняющемся технологическом ландшафте киберустойчивость важна как никогда. Мы используем эту возможность, чтобы провести глубокий анализ нашей инфраструктуры, внедрить принципы радикальной прозрачности и стать еще сильнее, чем прежде. Мы безмерно благодарны нашей потрясающей IT-команде, которая круглосуточно трудится, превращая этот вызов в новую возможность для роста.

Пост Лукацкого

28 March 2026 18:26

На мероприятии НЕ СКАЖУ КАКОМ в выступлении представителя НЕ СКАЖУ ЧЕГО были представлены цифры статистики по НЕ СКАЖУ ЧЕМУ в НЕ СКАЖУ КАКИХ отраслях в НЕ СКАЖУ КАКИХ годах. Я согласовал публикацию этой статистики! И не говорите потом, что я что-то не договариваю или разогреваю интерес.

Засим откланиваюсь - историю с мероприятием НЕ СКАЖУ КАКИМ завершаю.

#статистика #цензура

Пост Лукацкого

28 March 2026 13:02

В последнее время у меня много выступлений на тему ИИ (удивительно, да). В четверг выступал на форуме DATA + AI 2026 с рассказом о безопасности ИИ-агентов. Выделено было всего 20 минут, так что успел только пройтись по верхам. Но зато хоть вышел за рамки привычных рассказов о безопасности чатботов LLM.

#ии #стратегия #презентация #мероприятие

Пост Лукацкого

27 March 2026 18:26

Вот раньше смотришь на блокбастеры, где показывают сцены взломов за 60 секунд и понимаешь, чушь, такого не бывает. А сегодня?.. Уже все не так однозначно. А может это у героя ИИ-агенты работают и всю работу выполняют, а нам только финальные шаги и показывают? Чем не версия? С ее помощью можно теперь какие угодно ляпы объяснять... И даже взлом 128-битного ключа в "Пароль Рыба-меч" за 60 секунд. А вдруг у главного антигероя фильма был чип Willow от Google для квантового компьютера?..

#кино

Пост Лукацкого

27 March 2026 13:30

А хорошо, что хакеры пока только крадут данные и вымогают деньги, а не перехватывают управление системами взломанных компаний. Но если вы пользователь Hikvision, я бы на вашем месте, на всякий случай, пароль к "облачным" камерам и к панели управления поменял. Тем более, что продукция этой компании использовалась в различных проектах "Безопасный город" по стране. А то будет как с аятоллой Хаменеи...

#инцидент #ransomware

Пост Лукацкого

27 March 2026 05:40

На мероприятии НЕ СКАЖУ КАКОМ за обедом разговорились с НЕ СКАЖУ С КЕМ. И НЕ РАСКРОЮ ПОЛ рассказал(а) о мероприятии НЕ СКАЖУ КАКОМ, на котором была проведена панелька с регуляторами НЕ СКАЖУ КАКИМИ. Мой(моя) оппонент был(а) ведущим, договорившись с представителями НЕ СКАЖУ ЧЬИМИ об очень откровенном разговоре по душам и цензуры о НЕ СКАЖУ О ЧЕМ. Начиная эту панельку, мой(моя) визави сразу попросил(а) не фотографировать и не записывать. И что вы думаете? Через какое-то время его(ее) похвалили за ведение той дискуссии, а на вопрос "откуда, если вас там не было", получил(а) аудиозапись якобы незаписываемой беседы без галстуков.

К чему это я? А к тому, что выступая на незакрытом мероприятии НЕ СКАЖУ КАКОМ с присутствием Алексея Лукацкого множества лиц, которые не только не имели никогда НЕ СКАЖУ КАКОЙ формы допуска, но даже лекций по НЕ СКАЖУ КАКОМУ делопроизводству неслушавших, неизъятые на входе смартфоны с камерами имеющих, ждать, что никто не будет фотографировать интересные слайды или записывать выступления на видео или диктофон, достаточно глупо. И если вы НЕ СКАЖУ КТО не хотите, чтобы эти слайды/видео/аудио потом публиковались в Интернете и супостаты не получили доступ к НЕ СКАЖУ КАКОЙ, но все равно публичной информации, не надо рассказывать того, чего бы вы не хотели, чтобы "утекло" в паблик, СМИ или просто циркулировало в закрытых чатиках.

Барбара Стрейзанд одобрила бы мой пост, если бы была моей подписчицей!

#цензура #утечка

Пост Лукацкого

26 March 2026 14:42

Вчера, выступая на мероприятии НЕ СКАЖУ КАКОМ, упоминал про взломы ИБ-компаний, через которые, как по хайвею, хакеры въезжают через доверенные "ворота" в инфраструктуры заказчиков. И вот очередная демонстрация. Группировка КИБЕР-СЕРП заявила о взломе украинской ИБ-компании, работающей в области криптографии, "САЙФЕР". По заявлению группировки им удалось получить все исходники СКЗИ, закрытые ключи центров сертификации, используемые для украинского "СМЭВ", переписку с критическими заказчиками (Госспецсвязь, Минобороны и т.п.)., а также список всех клиентов.

Также хакеры предполагают, что теперь в госорганах Украины надо будет сменить все криптографические ключи (резонно, но не смертельно), а также в исходниках САЙФЕР будут найдены закладки, заложенные разработчиком. В последнее я не очень верю (хотя уязвимости могут быть точно), как и в то, что утечка исходников СКЗИ сильно влияет на ИБ страны. Все-таки в этой сфере, если нормально выстроить процедуру управления ключами, их компрометация, как и раскрытие алгоритмов шифрования, сильно не влияет на защищенность. Сама САЙФЕР подтверждает факт взлома, но не согласна с масштабом происходящего. Из интересного, взломали САЙФЕР тоже через подрядчика.

В 2010-2014 годах, после выхода четверокнижия ФСТЭК по защите персональных данных, когда огромное число российских ИБ-вендоров и интеграторов начало продвигать свои продукты и услуги для защиты персданных, я рекомендовал операторам ПДн интересоваться у продаванов, а почему они сами не включены в реестр РКН, как того советуют клиентам. Заодно я рекомендовал заказчикам запрашивать у продаванов все те документы, которые последние были готовы за деньги немалые разработать клиентам. Ведь если ты рекомендуешь сделать что-то и сам же попадаешь под эти требования, то логично, что у тебя уже все это сделано и ты не просто впариваешь, но делишься опытом за деньги. Один российский интегратор даже после таких моих заявлений грозился подать на меня в суд за клевету и ущерб деловой репутации.

Так вот. Сейчас многие интеграторы и ИБ-вендора оседлали тему безопасности подрядчиков и под этим соусом продают свои продукты и услуги. Так почему бы вам не спрашивать у таких продаванов две вещи – как бы они на вашем месте проверяли самих себя и что спрашивали для доказательства, что с ИБ у них все хорошо, и как они уже проверяют своих собственных подрядчиков на предмет ИБ. Ведь если они продают вам что-то, то наверняка готовы нести за это ответственность.

ЗЫ. Эх, жаль на РусКрипто не позвали. Там можно было бы обсудить эту стихийно возникшую тему, объединив безопасность подрядчиков с криптографией, и задав всем лицензиатам ФСБ (включая и различные УЦ) вопрос, а как у них обстоят дела в этой части. Хотя судя по комментариям с мест, дискуссии на конфе выхолощенные и скучные; все важное обсуждать не дают.

#supplychain #криптография #проблемыибкомпаний

Пост Лукацкого

26 March 2026 05:40

Вчера я не только фоткал слайды выступлений регуляторов, но и сам выступал на мероприятии НЕ СКАЖУ КАКОМ с темой НЕ СКАЖУ КАКОЙ. Но какие-то отдельные слайды показать могу. Получилось достаточно занятно. Меня попросили рассказать про то, как можно сломать НЕ СКАЖУ ЧТО. Исходя из этого я и готовил выступление, поставив себя на место хакера. Потом подобрал реальные примеры из жизни, которые демонстрировали, что это все не теория и не фантазии.

Но самое интересное, что коллеги из НКЦКИ рассказали обезличенные кейсы из российской практики, которые совпадали с тем, что после них, не сговариваясь, рассказывал и я. Изюминкой на торте стало выступление представителей НЕ СКАЖУ КОГО, которые открыто, а это огромная редкость, рассказали хронологию инцидента на свою инфраструктуру, которая также местами совпадали с тем, что рассказывал я и представитель НКЦКИ. Очень удачно получилось. Доказательство того, что все "идут" в одном направлении 🚶‍♂️

#презентация #мероприятие