Вчера выложили не только видео, но и презентации с RSA Conference US 2026 и я решил их скачать, чтобы в случае отключения Интернета (а депутат Свинцов обещал на майских отключение не только мобильного, но и проводного Интернета, СМС и даже ограничения в белых списках), насладиться прогрессивной мыслью мировых светил по ИБ. Сказано, сделано – зашел на сайт и стал по одному файлику скачивать, как я это делал в последние пару лет, после того, как орги RSAC поменяли формат сохранения файлов и wget перестал справляться с автоматизацией закачки сразу пачки из 3-4 сотен файлов.

Потом подумал, а что это я. Нам же тут награду вручили в номинации "ИИ в кибербезопасности". Надо поставить ИИ на службу моей задаче в области ИБ. Пошел в ChatGPT, описал требования, сказал: "Решай!". Он мне написал скрипт download_rsac_2026.py на Python и описал всю процедуру, которую надо было пройти, чтобы получить заветные 395 презентаций. Неплохо, но... заниматься тестированием и отладкой скрипта я не очень хотел. К тому же сегодня 1-е мая, то есть день труда. Пошел в Codex, поставил ему ту же задачу и сказал: "Трудись, а я пока буду маяться в думах о мире!".

Запрос (бОльшая его часть) показан на скриншоте. Результатом работы ИИ-агента стало выкачивание всех презентаций без каких-либо усилий с моей стороны. Можете повторить у себя. Налицо эволюция домашней автоматизации. Сначала ты делаешь все вручную, потом с помощью плагина, потом пишешь скрипт, потом просишь чат-бота помочь в решении задачи, а затем за тебя все делает ИИ-агент (хотя этап четкого формулирования задачи никто не отменял и сейчас он становится даже важнее, чем раньше). За то время, что Codex скачивал файлы, попутно отлаживая свой скрипт и ища ошибки в его работе, я параллельно успел разобрать свою электронную библиотеку с тысячами книг по ИБ, перестроить немного архитектуру, убрать дупликаты, настроить еще один уровень резервирования и автоматизацию добавления и разбора новых книг. Две долгих и рутинных задачи в параллель. Мир, труд, май! Слава ИИ! Можно и коньячку по этому поводу жахнуть...

ЗЫ. На скачивание одного файла вручную уходит 5 кликов + 33 на переходы между страницами. То есть около 1200 кликов и 5200 секунд (примерно 1,5 часа). Агент это сделал за 3 часа 50 минут – сначала парсинг всех страниц, потом разбор нетиповых ситуаций (например, на странице нет презентации, а только видео, или страница долго не отвечает и т.п.), потом составление списка всех файлов для скачивания (возможно, можно было и быстрее сделать), потом скачивание (это была самая быстрая операция). Ручками я бы это сделал быстрее, но не смог бы в это время заниматься другими задачами. Так что... Продуктивность растет, однозначно. Выводы каждый делает сам.

#ии #автоматизация #мероприятие #презентация

Читать полностью…

Есть такая методика моделирования угроз - LINDDUN. Она фокусируется на вопросах приватности и ее название – это акроним из 7 категорий угроз для персональных данных или их носителей:
➡️ Linkability (Связываемость): Возможность сопоставить разные действия или данные одного пользователя, даже если идентификаторы скрыты.
➡️ Identifiability (Идентифицируемость): Выявление личности пользователя по имеющимся атрибутам (логин, метаданные).
➡️ Non-repudiation (Неотказуемость): Ситуация, когда пользователь не может отрицать факт действия из-за собранных доказательств.
➡️ Detectability (Обнаружимость): Возможность понять, хранятся ли у системы определенные данные о пользователе.
➡️ Data Disclosure (Разглашение данных): Несанкционированный доступ к личной информации.
➡️ Unawareness (Неосведомленность): Пользователь не знает, какие данные собираются и как используются.
➡️ Non-compliance (Несоответствие): Несоблюдение системой норм (например, GDPR) и желаний пользователя.

Процесс моделирования обычно идет по элементам DFD (диаграммы информационных потоков):
6️⃣ Строите схему. Обозначаете, как данные идут от пользователя к процессу и в базы данных.
2️⃣ Применяете LINDDUN. Последовательно проверяете каждый элемент схемы по всем 7 категориям (есть средства автоматизации этой задачи).
3️⃣ Анализируете угрозы. Используете готовые библиотеки и деревья угроз, чтобы понять, какие именно риски актуальны.

И, конечно же, как и подобает любой солидной методике моделирования угроз (например, STRIDE), у нее есть своя карточная версия.

#геймификация #модельугроз

Читать полностью…

Интересный пост в LinkedIn от CTO онлайн-казино, ссылку на который прислал подписчик, за что ему спасибо. Я не буду его пересказывать – приведу полностью (для тех, у кого нет доступа к LinkedIn):

Полтора месяца. Столько прожила наша новая защита после того, как мы прикрутили agentic AI к анализу логов и поведения пользователей в онлайн-казино, и потом она, в общем-то, превратилась в тыкву (ну, точнее, в наполовину рабочую тыкву, но про это ниже).
Контекст коротко. iGaming, постоянно под атакой, причём атаки настолько разные, что иногда не понимаешь, это уже бот-сеть нового поколения или просто кто-то очень упоротый сидит и руками тыкает: бот-сети там есть, fraud-схемы, отмывание через ставки, абуз бонусов, мульти-акки, наверняка ещё что-то забыл. На той стороне умные ребята, которым платят за то, чтобы они ломали нашу защиту, и они итерируют каждый божий день, без выходных. Регулярки и сигнатуры в таком режиме живут плохо. Если точнее, почти не живут. Открываешь раз в неделю дашборд и видишь: вчерашняя схема детекта уже не ловит того, что мы ловили позавчера. И это так каждую неделю, никакой не особенный апокалипсис.
Решили попробовать генеративные модели поверх логов. Идея, в общем-то, банальная: агент видит паттерны в шумных разнородных потоках там, где регулярки и живые аналитики устают раньше, чем закончится смена. Засетапили в контекст signals из аутентификации, поведение в продукте, payment-флоу, данные с антифрод-скоринга, всякое мелкое (около пятнадцати источников вышло, разной степени шумности, некоторые откровенно мусорные, но выкидывать жалко). Соседнему агенту доверили рулить самплингом входящих, чтобы мы не разорились на токенах уже к концу первой недели. Сверху human-in-the-loop, давить ложноположительные.
И сработало. Реально сработало, я сам сначала не поверил. Качество детекта прыгнуло так, что я ходил с этим к продакту хвалиться (за что потом, конечно, прилетело отдельной нагрузкой, "раз вы так умеете, давайте теперь и тут, и вот тут ещё надо бы", классика).
А через полтора месяца всё. Они приспособились. По характеру изменений в трафике стало видно, что на той стороне тоже подключили AI, причём явно виден пайплайн на всем известных моделях, которые изредка выдают себя иероглифами в логах (вот это меня особенно повеселило, не буду врать), плюс agentic-обвязка, которая подкручивает параметры запросов до тех пор, пока наши детекторы не теряют сигнал. Та же самая схема, что и у нас, только зеркально, и от этого как-то особенно неуютно.
Урок невесёлый. AI в защите - это ускоритель той же гонки, в которой мы и так бежали, теперь у всех на ногах ракеты, а финиш не приближается. Раньше новая защитная техника жила месяцами. Сейчас неделями, иногда вообще днями. И обиднее всего вот что: у атакующих стартовые издержки на AI сильно ниже наших, у них всех этих наших радостей в принципе нет - DPIA оформлять не надо, юристы не сидят над душой по поводу обработки логов, ну и далее по списку. Просто включают модель и пошли. Ну такое себе расположение фигур на доске, если честно.

Прям интересная картина разворачивается с борьбой ИИ-брони и ИИ-снаряда. Особенно интересен последний абзац. Ровно это авторам законопроекта о доверенном ИИ многие эксперты говорят. Но самое интересное, что какой бы либеральный вариант этого законопроекта не выбрали (но я не верю в либерализм в этой части), все равно ограничений у применяемых в России ИИ-моделей будет много. А вот на той стороне баррикад ограничений никаких нет. Будет удивительно, если борьбы будет хотя бы на равных... Вы же предусмотрели это в своей модели угроз?

#ии #soc #обнаружениеугроз

Читать полностью…

Решил написать про атаки на станки с числовым программным управлением, число которых растет в последнее время. Конкретные инциденты не упоминаю, но они есть. С физическими последствиями в виде выхода из строя станков с ЧПУ, срывом контрактов и другими неприятными последствиями. В том числе сдул пыль и с приказа ФСТЭК по защиту станков с ЧПУ 2009-го года...

#кии #асутп

Читать полностью…

Выложили 400 видео выступлений последней RSA Conference 2026... Будет чем на майских заняться 🍿

#мероприятие #презентация #видео

Читать полностью…

Я уже писал про атаку на Vercel и теперь можно чуть погрузиться в детали. По версии самой Vercel, исходной точкой стала компрометация стороннего ИИ-инструмента Context.ai, которым пользовался сотрудник Vercel. Через этот доступ атакующие захватили индивидуальный Google Workspace-аккаунт сотрудника, затем его Vercel-аккаунт, а после этого смогли попасть в окружение Vercel и получить доступ к части переменных окружения, которые не были помечены как чувствительные/конфиденциальные.

Из интересного – один из сотрудников Context.ai с расширенными правами был заражен Lumma Stealer в феврале, когда искал и скачивал игровые эксплойты. Именно это якобы привело к утечке корпоративных кредов, которыми затем могли воспользоваться атакующие (вроде как ShinyHunters).

Но, как по мне, самое интересное в другом. Согласно позиции самой Context.ai, Vercel якобы не была клиентом Context.ai, но по крайней мере один сотрудник Vercel зарегистрировался в AI Office Suite с корпоративным Vercel-аккаунтом и выдал приложению широкие права через режим вроде Allow All. По версии Context.ai, внутренние OAuth-настройки Vercel позволили этому приложению получить широкие полномочия в корпоративном окружении Google Workspace. То есть проблема не в самом ИИ-инструменте как таковом, а в чрезмерно широких OAuth-разрешениях.

От себя добавлю, что был у меня в Cisco схожий кейс. Правда, речь не о взломе. У меня был доступ к корпоративному аккаунту Twitter, но ненапрямую, а через сервис Tweetdeck (тоже через OAuth). И поэтому, когда пароль к Twitter был сменен, я продолжал прекрасно писать в Twitter через Tweetdeck, так как OAuth-токен продолжал действовать еще несколько месяцев.

То есть совсем не обязательно нужно ломать репозиторий, CI/CD или npm-пакет. Достаточно, чтобы сотрудник подключил сторонний ИИ-сервис (или не ИИ, не важно) к корпоративной учетке с широкими OAuth-правами. Если этот сервис потом будет скомпрометирован, атакующий получает мост внутрь корпоративной среды. И даже если компания формально не покупала этот инструмент, они все равно становятся частью корпоративного периметра. А значит, их нужно учитывать в SaaS Security, CASB/SSPM, управлении OAuth-приложениями, политике секретов и Zero Trust-подходе к внутренним аккаунтам.

#инцидент #аутентификация #supplychain

Читать полностью…

Ну что, реинкарнация состоялась. Я вновь запустил сайт lukatsky.ru 🤠 Допускаю какие-то косяки, но надеюсь их много быть не должно. Но, надо признать, российский хостинг для сайта – это боль. Может быть для профессионалов это еще и нормально, но для обывателя, к которым я отношу и себя, ни о каком Managed CMS и речи не идет. Все сам, все сам... Печаль.

Читать полностью…

Японские обереги по ИБ. Защищают от всех кибератак и инцидентов. Продаются в синтоистском храме 🍱 Канда-дзинзя недалеко от района Акихабара японской столицы, в котором находится много всяких магазинов дешевой электроники и других айтишных прибамбасов. Может поэтому храм неофициально считается центром силы для всех, кто связан с ИТ?

Когда антивируса нет, этот амулет (омамори) тоже сгодится, если наклеить его на смартфон или лэптоп 😷

#религия

Читать полностью…

Вот так бывает, настраиваешь неделю NGFW на периметре, отключаешь неиспользуемые сервисы на публично доступных ресурсах, а потом... бац, и проникновение через доверенного подрядчика, от которого ты не ждал такой подставы. Или вот внедряешь антивирус в компании, раскатал его на все устройства, обновил базы до последней версии, а потом... бац, и тебя заломали через командный центр самого антивируса. А вот еще бывало, внедряешь двухфакторную аутентификацию через SMS и думаешь, что все надежно, враг не пройдет, а потом... бац, и злоумышленники делают клон SIM-карты в салоне мобильной связи и плохие парни реализуют SIM swapping. Наконец, ты все-таки приучил всех менять пароли раз в месяц, учитывать сложность/мощность алфавита, не писать их на стикерах, а потом... бац, и оказывается, что в поддержке можно сбросить пароль, просто назвав имя и дату рождения, доступные в соцсетях.

Вот и сегодня. Апрель, еще вчера было +15, цветы распускаются, а сегодня метель и снега по колено. Так и в ИБ – ты неделями втыкаешь патчи, настраиваешь MFA, бэкапы, NGFW; все дышит беззаботностью. А сегодня... бац, простая уязвимость в забытом веб-интерфейсе старого принтера, генеральный, притащивший в офис зараженный домашний лэптоп, или вредонос, который прилетел с домена регулятора. И вот ты стоишь в апрельской метели с бэкапом, который тоже зашифрован, и понимаешь, ИБ – это не про "все сделал", а про умение ждать снегопад в любой день ☃️

ЗЫ. Много лет назад взял за правило не менять зимнюю резину, если сейчас месяц, в названии которого есть буква "р". Исключение может быть только для сентября. И теперь никакой "бац" не страшен (кроме тех, кто на летней резине уже ездит) ❄️

#рефлексия

Читать полностью…

Подушню немного - это не двухфакторная аутентификация, а двухшаговая верификация. И, по чесноку, нам не показывают все видео. Думаю при такой прыти попугай и большую крышку тоже снимет, когда никто не будет мешать. Все как в жизни...

#юмор #аутентификация #видео

Читать полностью…

Google говорит, что 75% нового кода у них генерит ИИ. Эксперты пишут, что это усредненный показатель у современного бигтеха (скорее западного, но не суть), а у стартапа этот показатель не должен быть ниже 90% (иначе какой он стартап).

А теперь задайте себе вопрос - как вы тестируете безопасность такого кода? Вы адаптировали процесс безопасной разработки под ИИ? Вы внедрили ИИ-агенты для поиска уязвимостей в конвейер? Насколько велик у вас процент «human in the loop» в части оценки защищенности кода?

Ну и чтобы два раза не вставать – 13 мая в Москве пройдет форум "Технологии доверенного искусственного интеллекта", где будут обсуждаться многие животрепещущие вопросы в прикладной, правовой, организационной плоскостях. Бесплатно зарегаться можно по промокоду АВАНГАРД. Я бы и сам сходил, но у меня 13-го мая другое, закрытое мероприятие по безопасности ИИ в Питере. А чтобы присутствовать одновременно на двух мероприятиях мне нужен маятник времени Гермионы Грейнджер ⌛

#ии #devsecops #оценказащищенности

Читать полностью…

Термин "crypto agility" заиграл новыми красками... Любой отечественной ИБ-компании, если исходить из версии, что все критические для нацбезопасности направления могут быть "изъяты" в пользу государства, впору задаться вопросом: "А у нас это есть в модели угроз?". Ну и заказчикам тоже.

#рынок #криптография #проблемыибкомпаний

Читать полностью…

Парадоксальная ситуация, конечно. Требования по ИБ к компаниям-субъектам КИИ и государственным структурам растут, а их ИТ-подрядчики продолжают находиться вне зоны контроля, не попадая ни под одну из сфер ИБ-регулирования. Понятно, что усиление требований к конечным пользователям должно повысить шансы на обнаружение угроз со стороны и доверенных подрядчиков тоже, но только если подрядчик имеет доступ в инфраструктуру заказчика.

А если речь идет о выносе инфраструктуры заказчика в инфраструктуру подрядчика? Тут никакие нормативные требования не помогают. Подрядчик же не обязан ничего из них выполнять, если только заказчик этого не требует. А он и не требует – это же увеличит стоимость контракта и потребует переподписания документов, на что тоже никто не хочет идти. Так и живем...

#инцидент #supplychain #регулирование

Читать полностью…

Начальника управления информатизации и компьютерной безопасности Красноярского государственного аграрного университета по заявлению прокуратуры привлекли к административной ответственности по части 3 статьи 13.11 Кодекса об административных правонарушениях.

Фабула дела проста и незатейлива – в ходе осуществления прокурорского надзора был осмотрен сайт университета и установлено, что политика оператора в отношении обработки ПДн, собранных с использованием информационно-телекоммуникационных сетей, на сайте ВУЗа размещена не была. А так как руководитель управления был также назначен крайним ответственным и за безопасности ИСПДн, то он оказался виновным в несоблюдении норм законодательства. Вину он свою признал. Отделался предупреждением.

Как по мне, кейс редкий, но показательный. Руководитель ИБ исторически еще много где отвечает за персданные (там, где нет своего DPO) и он может стать ответчиком по делу. Проверять требования по защите информации РКН не имеет права, но может прокуратура. Несоблюдение бумажных требований хоть и не приводит к ущербу (о чем в материалах суда 👇 прямо указано), но все равно нарушает законодательство, а значит понести кару надо, но по минимуму (даже ниже минимума). Выводы, опять же, каждый делает для себя сам.

#персональныеданные #ответственность #ciso

Читать полностью…

23 апреля традиционно празднуется не только всемирный день книги, но и день Шекспира. В этот день он умер и, как считается, в этот день он родился (хотя известна только дата его крещения). А связь этого великого английского драматурга с кибербезом не мистическая, а вполне себе земная, что и привело меня к созданию этой серии карточек.

Шекспир жил в эпоху шпионов, цензуры, доносов и шифрованной переписки. Его пьесы полны слежки, маскировки, провокаций и информационных операций. Позже конспирологические поиски "шифров Бэкона" в шекспировских текстах неожиданно стали одним из входов в карьеру Уильяма и Элизабет Фридманов – будущих легенд американского криптоанализа. А уже в XXI веке имя Шекспира всплыло в коде банковского трояна Shylock, где киберпреступники спрятали строки из "Венецианского купца".

Так что с праздником всех любителей Шекспира. Да, с прошедшим! Но вчера было не до того. А сегодня пятница, вечер... Самое время перечитать любимые места. Хотя некоторые коллеги могут и "Горбатую гору" пересмотреть (алаверды, так сказать) ☺️

#криптография #история #книга

Читать полностью…

Вчерашней историей с Max и Cloudflare навеяло. У большинства обывателей фраза "небезопасное приложение" обычно имеет вполне себе однозначное толкование, в то время как в реальности эта самая "небезопасность" может проистекать из целого ряда причин, лежащих в основе того, что мы все называем безопасностью продукта.

Во-первых, это приватность (чуть шире чем просто защита прав субъектов персональных данных и вообще защита персональных данных). У вас может быть MFA, шифрование, контроль доступа и вот это вот все, но пользователь сам дал согласие на передачу своих ПДн третьим лицам или его вынудили это сделать. То есть продукт не стал менее безопасным, но данные "утекли".

Дальше сама классическая кибербезопасность. В мире она обычно неделима, но в России исторически разнесена на два направления с разными регуляторами, имеющими разное мировозрение – защита информации (ФСТЭК) и криптография (ФСБ). Тут проще всего. Если все сделано по уму, то и хорошо. Если нет, то все остальное и не так уж и важно.

Третья история – прослушка СОРМ, которая сейчас есть почти в любом сколь-нибудь массовом продукте (сервисах, телеком-оборудовании и т.п.). И это опять же не совсем про классический кибербез, но без нее нонче никуда. Вы можете сделать идеальный продукт с квантовым шифрованием, биометрией, блокчейном и т.п., но достаточно дать легальный доступ спецслужбам к сервису распространения информации и все, о безопасности можно забыть, если вы чем-то станете интересны государству. И даже если не станете, секретность вокруг СОРМ только нагнетает негатива и заставляет подозревать всех и вся. А учитывая, что разработчики продукта не имеют доступа к СОРМу (тут еще и ТСПУ немного сбоку), то слухи только плодятся.

И самое интересное, что если спросить потребителя, что он думает про безопасность используемых им продуктов, то у него будет примерно такая логика:
➡️ кибербез – насрать, вообще не думает обычно
➡️ приватность – насрать, но если спросить, то скажет, что важно
➡️ СОРМ – не насрать, но о ней почти не думают.

И все это плотно замешано на политике, которая активно вмешивается во все. Cloudflare снял пометку "шпионское ПО" с доменов, обслуживающих Max. Меньше суток эта история продолжалась. Кто-то будет говорить, что это было по ошибке сделано. Кто-то, что так и должно быть. Как по мне, так кто-то там просто продемонстрировал, что на все бывает обратка. А если декомпозировать историю на описанных мной "слонов", то получится, что с точки зрения защиты информации продукт может быть вполне себе неплох, но это только четверть всех задач, входящих в понятие "безопасность" в голове у пользователя.

И, кстати, когда вам говорят, что тот или иной продукт безопасен, то возможно имеют ввиду именно традиционный кибербез, "забывая" про приватность и законную прослушку. Достаточно вспомнить бесплатные VPN, которые надежно шифруют ваши данные, но продают статистику вашего посещения сайтов всем желающим или сдающих эти данные спецслужбам. А иногда и не забывают, но просто не могут признаться, что все усилия по усилению защищенности сводятся на нет товарищем майором, о котором и упоминать-то нельзя, так как гостайна и все такое.

ЗЫ. Жаль в ВУЗах этой правде не учат. И выходят в мир специалисты по ИБ в розовых очках. И делают защищенные продукты. А потом им говорят: "говно ваш продукт, небезопасен он, шпионское поделие". И уходит специалист по ИБ плакать в уголок, спивается и становится циничным.

#рефлексия

Читать полностью…

Счастливые алертов не наблюдают...

Читать полностью…

Сначала ты запрещаешь и блокируешь Cloudflare в стране, а потом Cloudflare помечает тебя шпионской меткой и блокирует во всем мире. А ты такой: “Ну как же так, это же нечестно…».

#суверенитет #мессенджер

Читать полностью…

Помните историю с атакой на "Орион-Телеком"; я про нее писал несколько раз (первый, второй, третий и четвертый)? Так вот помимо уголовного дела было возбуждено также и дело административное, по факту нарушения законодательства о персональных данных, которое совсем недавно закончилось... вынесением предупреждения. Компания у себя на сайте написала, что:

Было учтено, что компания систематически вкладывает средства в совершенствование системы информационной безопасности и предпринимает существенные меры для защиты своей инфраструктуры.

А теперь посмотрим, что же реально было написано в судебном решении 👇. Компания пыталась защищаться несколькими линиями:
➡️ Во-первых, она просила назначить экспертизу, чтобы определить степень вины общества. Суд отказал: вопрос вины – правовой вопрос, который решает суд, а не эксперт.
➡️ Во-вторых, компания просила вызвать специалистов по ИТ и защите информации. Суд тоже отказал, посчитав, что имеющихся доказательств достаточно, а ходатайства, заявленные спустя почти пять месяцев после предъявления требований, могут выглядеть как попытка затянуть дело до истечения сроков давности.
➡️ В-третьих, ответчик ссылался на наличие уголовного дела по статье 272.1 УК РФ и утверждал, что из-за признаков уголовно наказуемого деяния административное дело надо прекратить. Суд и этот довод отверг
➡️ В-четвертых, компания спорила о дате совершения правонарушения.

Но самое интересное было дальше. Оператор связи предъявил в суд материалы расследования инцидента, проведенного "Бизоном", из которого следовало, что самая ранняя активность злоумышленников началась 30 мая 2025 года с использованием учетной записи drovennikov_a, принадлежавшей сотруднику, уволенному еще в 2022 году (!). А пароль этой учетной записи не менялся с момента создания в 2019 году (!!). Также в отчете были указаны критические уязвимости на хостах, некорректная конфигурация систем ИБ, наличие группы fullsudo, участники которой могли повышать привилегии без ввода пароля, а также возможность подбора root-пароля по словарю или перебором.

Суд ответил на это довольно жестко –по его мнению, общество:

крайне пренебрежительно относилось к требованиям информационной безопасности

– не меняло пароли, не отключало учетные записи уволенных сотрудников, использовало ПО с критическими уязвимостями и допустило некорректную конфигурацию ОС. Отдельно суд отметил, что злоумышленники получили доступ минимум 30 мая, а компания обнаружила утечку только 12 июня, когда было зафиксировано падение системы.

Как говорится, почувствуйте разницу. Что сказал суд и как это интерпретировал "Орион-Телеком" у себя на сайте. На что они рассчитывали, когда этот отчет представляли суду? И самое главное, почему они откровенно лукавят у себя на сайте? Думают, что никто текст судебного решения не посмотрит?

Но факт предупреждения вместо штрафа, конечно, немного удручает. Суд показывает... И так понятно, что он показывает всем операторам ПДн. Жаль. И ради чего принимали закон об оборотных штрафах?

#инцидент #ответственность #персональныеданные #утечка

Читать полностью…

Знаете что меня все время бесило во время поездок в США – это использование британской/американской системы измерения с их дурацкими фунтами, дюймами, футами, галлонами, милями и т.п.; не говоря уже о фаренгейтах. И хотя для профилактики Альцгеймера всегда полезно заниматься развитием нейронных связей за счет пересчета привычных килограммов в фунты, а литров в галлоны (а в барах в пинты), но во время пересчета милей в километры я не раз проезжал свои повороты на американских хайвеях.

И ведь этот анахронизм, который только мешает 99% человечества, заезжающего в США, Мьянму и Либерию (частично еще в Канаде и в обиходе в Великобритании), жуть как мешает. А причем тут кибербезопасность, спросите вы. Не буду вспомнить про ошибки конвертации в Mars Climate Orbiter и другие истории из космонавтики, просто вспомним про legacy в ИТ, которое представляет собой угрозу, но его боятся устранять, потому что страх витает. "А вдруг я выключу SMBv1 и упадет цех?", "А вдруг "Я заблокирую SSL 1.0 и мой станок с ЧПУ встанет?" или "А вдруг я обновлю Windows NT и у меня старое ПО перестанет работать, а его разработчики уже давно на пенсии?". Таких примеров можно назвать массу, но все их объединяет одно – использовать "динозавров" – SMBv1, LLMNR/NetBIOS, NTLMv1, SSL/TLS 1.0, WEP и WPA, PPTP и т.п. И не убирают их по схожей с футами и пинтами причинам – старое оборудование (принтеры, станки с ЧПУ, CCTV), ПО (древняя бухгалтерия или АСУ ТП) и страх админов, которые не понимают в своей инфраструктуре, что и за что отвечает.

Посему, либо нам придется усиливать дорогой контроль за этим наследием (а экспертиза по нему становится очень дорогой), либо начинать бороться с этим легаси. Сначала диагностика и составление карты устаревших и устаревающих активов, потом локализация в соответствующих сегментах (VLAN, ACL и т.п.), а потом уже и постепенное выведение из эксплуатации. А иначе никак...

#стратегия

Читать полностью…

Я про аналогию танк vs дрон применительно к ИБ уже писал в 2024-м году. А тут вот в виде картинки детализировали (перевод на русский мой). Мы живем в интересное время, когда пересматриваются многие привычные нам законы и правила – от международного права и правил ведения войн и военных конфликтов до изменение ландшафта рынка ИБ и авторского права. О последнем, кстати, Сергей снова написал "sergey_gordey/ll9nWPNNFtR">манифест". Ему antipov_pipiggi/nQkzK38ikiL">вторит Александр 🤔

#тенденции

Читать полностью…

Новая, не новая, но мошенническая схема с попыткой отъема Telegram-аккаунта, с которой я вчера столкнулся. Время было, поэтому продержал мошенников на линии больше 10 минут и погрузился во враждебную тактику. Итак, звонок якобы от старшей по дому с просьбой завтра спуститься в 12 часов дня на первый этаж дома и получить на руки новые таблетки от домофона. После некоторых фраз дошли до того, что таблетки надо прописать в домофоне, а потом выбрать PIN-код для доступа в квартиру. Тут-то и начинается интересное.

"Старшая" уверенно заявила, что PIN-код генерится автоматически роботом управляющей компании и мне сейчас позвонит робот, который и назовет код. И действительно робот позвонил, механическим голосом назвав пятизначное число (в Госуслугах, как мы помним, код шестизначный). "Старшая" попросила назвать это число и я ей, конечно же, назвал какую-то случайную последовательность, которая, удивительно, не подошла и "старшая" заявила об этом, предложив попробовать еще раз прослушать звонок от робота. Вторая попытка тоже не увенчалась успехом – "старшей" я назвал не то, что услышал от робота. И так еще пару раз. Добравшись до Кибердома, где у меня была встреча, я сказал мошеннице все, что я о ней думаю и прервал звонок.

Потом в Telegram увидел пришедшие одноразовые коды, которые мне и называл механический голос робота. У Telegram есть такая фишка, – когда вы восстанавливаете доступ к мессенджеру, то вы указываете свой телефонный номер и вам звонит робот, который называет пятизначный номер (ага, вот оно), который надо ввести на сайте Телеграмма. Собственно, мошенница пыталась выведать именно их, с целью угнать мой Telegram-канал.

Уж не знаю, специально так было задумано или нет, но схема выбрана достаточно удачная. Далеко не у всех пользователей VPN включен постоянно, а во время телефонного звонка (если вы не подключены в этот момент к Wi-Fi) у вас отключается мобильный Интернет. То есть говоря с мошенниками, вы просто не получите в Telegram одноразовые коды и не поймете, что вас пытается развести киберпреступники. А потом уже может быть поздно. Так что будьте бдительны!

ЗЫ. Номер мошенницы – 9165953871. Номера, с которых звонил робот, писать не буду, – они скорее всего реальные и принадлежат Telegram или его подрядчику.

#мошенничество #мессенджер

Читать полностью…

Будущие специалисты по информационной безопасности смогут получить «Киберстипендию».

Проект, запущенный «АльфаСтрахованием», «Коммерсантом» и «Кибердомом» поддержали НИУ ВШЭ, Финансовый университет и МГТУ им. Баумана. Его участники решат задания по оценке киберрисков, разработают страховые решения для бизнеса и смогут пройти стажировку в отраслевых компаниях. Общий призовой фонд инициативы составит 1 млн руб.

Гендиректор ИД «Коммерсанта» Роман Уманский отметил, что издательский дом выступает в проекте как СМИ и как цифровая бизнес-платформа. По его словам, «Киберстипендия» поможет сформировать новую модель взаимодействия бизнеса с студентами, которые требуют погружения в реальную среду уже с первого курса.

📷 Константин Глазков, Коммерсантъ.

Читать полностью…

Project Eleven выдал награду Q-Day Prize размером 1 BTC исследователю Giancarlo Lelli за демонстрацию взлома 15-битного ECC-ключа на публично доступном квантовом компьютере. На текущий момент времени эта история рассматривается как крупнейшая публичная демонстрация квантовой атаки на криптографию на эллиптических кривых на сегодня.

Но важно оговориться, это не взлом Bitcoin, Ethereum или реальных ECC-ключей. 15 бит – это игрушечный размер ключевого пространства – всего 32767 вариантов. Для сравнения, Bitcoin использует 256-битную эллиптическую криптографию. То есть практической угрозы реальным кошелькам эта демонстрация сама по себе пока не создает. Так что заголовки про "квантовый компьютер ломает математику Bitcoin" сильно преувеличивают реальный риск.

Что именно сделал Lelli? Он получил приватный ключ из публичного, используя вариант алгоритма Шора. Алгоритм Шора теоретически позволяет квантовому компьютеру решать задачу дискретного логарифмирования на эллиптических кривых – именно на этой математике держатся цифровые подписи в Bitcoin, Ethereum и многих других блокчейнах. CEO Project Eleven Алекс Пруден подчеркивает, что победившая работа была сделана независимым исследователем на доступным из облака железе, то есть без национальной лаборатории, закрытого суперкомпьютера или частного квантового чипа. Таким образом барьер входа в такие эксперименты снижается. И снова повторюсь, это не про "Bitcoin уже можно взломать", а про ускорение разговора о миграции на постквантовую криптографию.

Почему вокруг этой истории поднялся шум? Предыдущая публичная демонстрация была на 6-битном ключе в сентябре 2025 года. Теперь показали 15 бит, то есть рост пространства атаки в 512 раз. Это все еще мизерный масштаб, но сама динамика используется как аргумент у тех, кто рекомендует задуматься о постквантовой криптографии – квантовые атаки на ECC постепенно переходят из чистой теории в инженерные эксперименты. Project Eleven пишет, что теоретические оценки ресурсов для атаки на полноценный 256-битный ключ резко снизились: они ссылаются на оценку Google – менее 500000 физических кубитов, а затем на работу Caltech и Oratomic, где говорится уже о возможности порядка 10000 кубитов для нейтрально-атомной архитектуры.

ЗЫ. Завершив Q-Day Prize, Project Eleven готовит уже следующий challenge – на пересечении передовых ИИ-моделей и квантового криптоанализа. Будем наблюдать...

#pqc #криптография

Читать полностью…

Тут Иран обвинил США в использовании закладок в сетевом оборудовании Cisco, Juniper, Fortinet и MikroTik, которые позволили вывести из строя сетевое оборудование во время продолжающегося конфликта (Иран уже больше 50 дней остается без Интернета, но там иная причина). И у меня есть, что сказать по данному поводу, а точнее сдуть пыль с моих ранних заметок, когда, еще во время работы в Cisco, компанию обвиняли в том, что она по требованиям АНБ оставляла закладки в своих продуктах.

Так вот, даже те, кто ссылается на заявления россиянина Эдварда Джозефовича Сноудена, забывают, что Сноуден не привел ни одного доказательства, что выявленные и используемые АНБ уязвимости были осознанно сделанными вендорами закладками (скорее наоборот). И я, следуя "бритве Оккама", продолжаю придерживаться позиции, что пока гораздо проще использовать множество непатченных уязвимостей, чем использовать теоретически возможные закладки.

Почему теоретически? Ну потому что они, да, могут присутствовать. Я вполне допускаю, что какой-нибудь майор АНБ мог потребовать от американского Fortinet или тем более латвийского Микротика встроить закладку в оборудование. Но при современном уровне развития безопасной разработки, выстраивании конвейров CI/CD, вовлечения большого числа участников в этот процесс, есть немалые риски, что такой факт всплывет. Достоянием гласности станет либо наличие самой закладки, которую надо будет каким-то образом изолировать от SAST/DAST-решений, либо надо требовать от разработчиков SAST/DAST не обнаруживать такую-то дыру (при использовании продуктов из разных стран – повлиять на всех затруднительно), либо исключение какой-то ветки ПО или библиотеки из процесса анализа, что будет выглядеть подозрительно.

А вот непатченные уязвимости – это вполне себе реальная и более простая тема. Таких дыр тысячи и тысячи и в условиях военных действий, мне почему-то кажется, не находится времени на следование выстроенному (а выстроенному ли?) процессу управления уязвимостями. Поэтому дыры были, есть и будут дальше существовать. Более того, их будет находиться больше. Во-первых, качество средств анализа поиска уязвимостей растет, что обусловлено применением ИИ (привет, Mythos и GPT-5.4-Cyber). Во-вторых, объем вайбкодинга растет и код сегодня пишется не то, чтобы прям безопасный. Объединяем эти два факта и получаем рост числа уязвимостей. И без всяких закладок.

Так что я бы не искал черную кошку в темной комнате, а просто занялся бы выстраиванием процесса управления уязвимостями. Все равно, с развитием ИИ, этот процесс надо пересматривать.

#devsecops #безопаснаяразработка #supplychain #проблемыибкомпаний #уязвимость

Читать полностью…

⚡️ «С-Терра» передана госкорпорации Ростех, выяснил SecPost — детали в материале

Читать полностью…

☝️ Не является оскорблением чувств верующих!

#юмор #supplychain #оценказащищенности

Читать полностью…

Приехали... Вредоносы распространяются внутри звуковых .wav файлов. При этом речь идет не о стеганографии – файл c ВПО будет проигрываться, но вместо "Лунной сонаты" будет звучать шум. То фишинговые ссылки в картинках .svg, теперь вот эта напасть...

А вы предусмотрели это в своей модели угроз?

#malware #модельугроз

Читать полностью…

Добрых снов...

#юмор #ciso

Читать полностью…

OpenAI анонсировала вчера две модели. Первая - это GPT-5.5, которая "умнее, быстрее и бла-бла-бла". Компания особо подчеркивает, что они ее тестировали на предмет кибербезопасности, чтобы она ничего лишнего и вредного не делала. OpenAI пишет, что они постепенно, начиная с версии 5.2, закручивают гайки, что может раздражать некоторых пользователей, которые занимаются ИБ, но не включены в список доверенных лиц, которым доступна та же GPT-5.4-Cyber.

Согласно вендору новая модель пока не достигла критических возможностей в ИБ, но стремится к этому. Учитывая как часто разработчики передовых моделей стали выпускать новые версии, думаю летом мы уже увидим модель, достигшую уровня Critical согласно фреймворка Preparedness Framework. Больше деталей по OpenAI расписал в системной карточке модели.

Менее известна анонсированная открытая модель Privacy Filter, которая предназначена для обнаружения и маскирования персональных данных в потоке текста. Эта модель классифицирует каждый токен по основным категориям ПДн – имя, адрес, e-mail, телефон, URL, дата, номер счета, секреты (API-ключи, токены и т.п.). Модель может обезличить персональные данные, а потом вернуть их в исходное состояние.

Что же касается GPT-5.5, GPT-5.4-Cyber и Anthropic Mythos, то как мы выяснили во вторник на встрече SouthHUB в офисе 🟥, посвященной ИИ-агентам:
➡️ Получить доступ к GPT-5.4-Cyber не сложно. Один из участников рассказал, как ему удалось получить такой доступ без особых сложностей и не вставая с дивана.
➡️ Существующие открытые и неотцензурированные модели показывают схожие результаты, если уметь ими пользоваться.
➡️ "Закрытость" Mythos и его "утечки", скорее всего, часть спланированной акции по привлечению внимания к модели и ее скоро сделают доступной для большего числа лиц.

Стоит помнить, что всякий раз, когда выходит новая мощная модель (часто с ограниченным доступом), уже через несколько дней (а иногда и часов) кто-нибудь перевыпускает ее модифицированную, нецензурированную версию – без исходных защитных механизмов, в которых последние либо удалены, либо существенно ослаблены:
➡️ удалены или обойдены слои, отвечающие за отказы и соблюдение различных ограничительных политик
➡️ изменены системные промпты, для обхода ограничений
➡️ отменена или ослаблена настройка на этичность и безопасность (alignment)
➡️ выполнена специальная донастройка для выполнения вредоносных или деликатных запросов.

К слову, если меня читают те, кто участвуют в разработке законопроекта о доверенном ИИ. Вы там не забывайте, что любой злоумышленник (ЛЮБОЙ), выбирая между чуть менее мощной, но целиком контролируемой им моделью, и моделью, пусть и более мощной, но которой управляет кто-то другой (предоставляет доступ, фильтрует действия, блокирует учетные записи), выберет точно не GigaChat.

#ии #тенденции #персональныеданные

Читать полностью…