Пост Лукацкого

27 February 2025 17:59

Немного внутренней кухни подготовки к PHDays. Завтра у нас срок завершения подачи заявок на доклады, участия в дискуссиях, проведения мастер-классов и т.п. но это завтра, а сегодня нам прилетело 50+ (!) заявок! 😲

Я ни на что не намекаю, но если вы еще раздумываете или оттягивали подачу заявки на последний день, то как бы пора ⏳ А то это ведь у вас одна заявка; и все так думают. А нам-то прилетит завтра, похоже, уже не 50, не 75, а под одну-две сотни заявок... Мы их, конечно, отработаем, но и нам первый день весны хочется вдыхать теплый мартовский воздух, смотреть на набухающие почки и распускающиеся тюльпаны 🌷, а не вот это вот все!

Пост Лукацкого

27 February 2025 10:23

В продолжение прошлой заметки... Forrester провел анализ 100 вакансий CISO ✍️ и выявил, что успешный руководитель должен не только обладать техническими навыками, но и понимать, какие знания и управленческие компетенции нужны в конкретной отрасли и компании 🧐 Например:
🔹 В финансовом секторе ключевую роль играет управление рисками и соответствие нормативным требованиям ✅
🔹 В технологических компаниях акцент на инновациях и защите облачных сред 😶‍🌫️
🔹 В ритейле важна защита персональных данных клиентов и предотвращение мошенничества 💳

Forrester предупреждает: многие CISO, стремясь к публичности, рискуют потерять контроль над реальной безопасностью ✍️ Они становятся “номинальными лидерами”, которые создают видимость активности, но не могут принимать стратегически важные решения 🤷‍♀️

Чтобы избежать этой ловушки, CISO, по версии Forrester, должен: 🫵
✅ Продвигать инициативы, реально повышающие защиту бизнеса.
✅ Доказывать, что инвестиции в ИБ защищают репутацию и доходы компании.
✅ Искать организацию, которая соответствует его стилю управления.
То есть ничего нового - говори на языке бизнеса, разберись с тем, куда ты идешь, и выбирай компанию по душе, а не только зарплате 🤔

Роль CISO сегодня – это не просто техническое лидерство, а баланс между публичностью, реальными полномочиями и стратегическим влиянием ↗️ Совпадение корпоративной культуры и типа CISO может сделать ИБ-руководителя не просто исполнителем, а драйвером изменений. Как отмечает Forrester, правильное сочетание лидерского стиля и корпоративной среды превращает скептический контроль со стороны бизнеса в доверие к кибербезопасности 🤝

В целом ничего нового и сверхестественного Forrester не придумал, но таблички желаемых навыков/знаний/ответственности для шести типов CISO достаточно прикольные ✍️

#CISO

Пост Лукацкого

26 February 2025 19:32

Lockbit обратился к вновь избранному директору ФБР с интересным предложением... 💍

#хакеры

Пост Лукацкого

26 February 2025 10:27

Есть две точки зрения на то, что такое "цифровые двойники" 👫 Кто-то думает, что это формальная модель, машинно-читаемая спецификация, описывающая реальные объекты физического мира. Кто-то считает, что это просто копия информационной системы предприятия, на которой можно экспериментировать, не опасаясь реализации недопустимых событий. Не буду спорить с апологетами обеих версий 🤔

Просто расскажу, что американский институт стандартов NIST выпустил краткое руководство по безопасности и обеспечению доверия для цифровых двойников, описанных в абзаце выше первыми. Американцы 🇺🇸 считают, что цифровой двойник позволяет оценивать и анализировать состояния скопированного в цифре объекта и его изменения, а также переходы между ними и между объектами, эмулирующими нечто физически существующее. И такая цифровая трансформация не может быть обойдена вниманием кибербеза 🛡

На 25 страницах NIST IR 8356 "Security and Trust Considerations for Digital Twin Technology" дано описание принципов работы цифровых двойников и сценариев их использования, а также, что важнее, на 4-х страницах сжато рассказано о новых сложностях, с которыми сталкиваются специалисты по ИБ, обеспечивая кибербез двойников 🎭 Нельзя сказать, что это прям "ух" и достойно представления на PHD (CFP еще продолжается, если что), но для быстрого погружения в тематику вполне подойдет 📖

#цифроваятрансформация

Пост Лукацкого

25 February 2025 20:50

Ой, у светила американского ИБ, CrowdStrike непогрешимого и луноликого, утечка данных сотрудников работников 🚰

#инцидент

Пост Лукацкого

25 February 2025 15:13

В статье с претенциозным названием "ИИ может убить банки", опубликованной на CSO Online, обсуждается, как с помощью генеративного искусственного интеллекта 🧠 может создаваться и распространяться дезинформация, способная вызвать “набеги на банки” (массовое изъятие вкладов клиентами) и другие финансовые кризисы 🏦

Недавнее британское исследование, проведенное компаниями Say No to Disinfo и исследователем Фенимором Харпером, показало, что ИИ может генерировать фальшивые новости и мемы, которые, распространяясь через социальные сети 📱, могут подорвать доверие клиентов к финансовым учреждениям. Эксперименты продемонстрировали, что значительная часть клиентов готова вывести свои средства после просмотра таких материалов: 💰
🔤🔤🔤🔤 респондентов точно выведут деньги
🔤🔤🔤🔤 респондентов с высокой вероятностью выведут
🔤🔤🔤🔤 клиентов банков вероятно выведут деньги 💸

Исследователи призывают банки усилить мониторинг медиа и социальных сетей, интегрируя его с системами отслеживания вывода денежных средств, чтобы своевременно выявлять и реагировать на подобные угрозы 🛡 Предотвратить это уже нельзя, а вот своевременно мониторить такие вещи можно. В противном случае 10-тифунтовая (13 долларов) инвестиция в ИИ может привести к потере 1 миллиона фунтов стерлингов 🛡

А у вас предусмотрено это в модели угроз? 🤔

#ИИ #модельугроз

Пост Лукацкого

25 February 2025 10:05

Странные дела творятся... Вроде как в геополитике все начинается налаживаться, разговоры о мире, дружбе и сотрудничестве. Американцам предлагают редкоземельные металлы в обмен на "мир, дружбу, жвачку", а тут бац... 😮

Австралия ввела запрет на продукцию Лаборатории Касперского 🛡 в своих государственных органах. Якобы из-за недопустимых рисков безопасности (так прямо и пишут, недопустимых). Как обычно, без доказательств недопустимости. С 1-го апреля, и это не шутка, вся продукты и web-сервисы российского разработчика должны быть удалены с устройств и систем австралийских госорганов 🇦🇺

Эксперты проводят параллели с аналогичными решениями в Европе и США, но там они были приняты более года назад 🤔 Неужели нахождение на другом конце Земли (хотя на австралийских географических картах этот материк находится прямо в центре) 🌏 реально влияет на то, что информация доходит очень долго (или там подводные кабеля порезали и информация пошла в обход)?.. Слоупоки, одним словом 😐

#суверенитет

Пост Лукацкого

24 February 2025 15:26

Помните, я писал, что Apple получила от Великобритании 🇬🇧 запрос, который обязывает компанию предоставить правоохранительным органам 🚓 полный доступ к зашифрованным данным в облачном хранилище iCloud. По сути речь идет о предоставлении подданным Его Величества черного хода в продукцию Apple 📱

Я не думал, что компания из Купертино так быстро отреагирует. И я ожидал немного другой реакции, если честно 😭 Но факт налицо - Apple пошла на поводу у англичан и отключила для них функцию Advanced Data Protection, которая защищает данные пользователей даже от самого вендора. И хотя многие пользователи такую функцию у себя не включали (она опциональна), сам факт неприятный 😈

В настоящий момент англичане имеют доступ ко всем облачным бэкапам iCloud, а также фотографиям и заметкам 📝 И хотя данная опция отключается только для новых пользователей, а для старых ее надо отключать вручную, пользователи отмечают, что если пользователь ее не выключит, ему блокируется доступ к iCloud, что снижает удобство пользования техникой Apple ⛈

Теперь стоит ждать, когда такую же функцию запросят другие страны, чего стоит ожидать ⏳ Думаю, и в РФ это может стать условием возвращения яблочной компании обратно в страну. Будем наблюдать...

#суверенитет #регулирование

Пост Лукацкого

24 February 2025 05:40

Была тут встреча с заказчиком, которому мы SOC помогаем строить 🔭 Ну и зашел разговор о метриках, всяких TTA, TTR, TTC и куче других, о которых мы большую статью выпустили на Хабре. Но… важный вопрос, который часто звучит после того, как компании определились с метриками, 📊 — как определить конкретные показатели для этих метрик, в частности для времени реагирования? Ну а поскольку мой опыт построение и аудита SOCов показывает, что это был достаточно частый вопрос, то я решил расчехлить перо и тиснуть немножко мыслей про это ✍️

#SOC #управлениеинцидентами #метрики

Пост Лукацкого

23 February 2025 18:28

Иногда считается, что DPO, то есть ответственные за обработку персональных данных в компаниях, скучные люди, которые только и делают, что заставляют всех подписывать ✍️ согласия на обработку персданных, высасывая из пальца кучу фантастических сценариев обработки и дуя на воду в попытке свести все, даже непрозвучавшие претензии РКН к минимуму. Но нет... 🧐

Тут на днях прошел сбор сообщества RPPA (Regional Privacy Professional Association), на котором я, среди прочего, узнал ответы на такие вопросы:
🤔 Фамилия и имя раба - это персональные данные или нет?
🤔 Эскортница, обрабатывающая ПДн своих клиентов (имя, телефон...), является ли оператором персональных данных (как индивидуальный предприниматель)?
🤔 Будет ли относиться к трансграничной передаче персональных данных пересечение границы человеком с татуировкой с именем и днем рождения любимой? 😂

Во всем есть место юмору, даже в такой, казалось бы, скучной теме, как приватность и персональные данные 🙄 Ну а чтобы вам была еще и польза от этого поста, а не только немного юмора, то на сайте RPPA надысь был опубликован аналитический материал о квалификации владельца облачного хранилища, оказывающего услуги по модели IaaS, в качестве "обработчика" ПДн 😶‍🌫️

#юмор #персональныеданные

Пост Лукацкого

23 February 2025 07:45

Вернемся к утечке данных 🗂 из микрофинансового финтех-сервиса, который утверждает, что никаких персональных данных не утекало, но при этом отключил свой сайт (на момент написания заметки) "на обновление", а последние новости на сайте датированы и вовсе 2023-м годом 🖥 Но сейчас не про данную конкретную компанию, а немного про другое. 18 февраля Госдума в 3-м чтении приняла законопроект, согласно которому федеральные органы власти смогут требовать у операторов информационных систем доступ к базам персональных данных, а также блокировать и удалять хранящиеся в них персональные данные сотрудников Минобороны, ФСБ, ФСО, МВД, СВР 🇷🇺

В этом нормативном акте есть важный момент - он открывает ворота 🚪 в инфраструктуры почти любой организации, которая может обрабатывать данные сотрудников спецслужб и силовых структур (банки, микрофинансовые организации, операторы связи, транспортные компании, турагентства и т.п.). Как такой доступ будет организован, пока непонятно. Это может быть и физический доступ, и удаленный ⭕️ Ответственности за любой ущерб, понесенный в результате такого доступа (уничтожение, модификация или блокирования информации), никакой не предусмотрено 😠

Так что уже сейчас стоит задуматься о том, хранятся ли у вас в системах данные, в которых в поле "место работы" есть текст, начинающийся с "в/ч" 🎖 И если он есть, начать думать о том, как вы будете предоставлять доступ к такого рода информации, чтобы не нарушить права других субъектов персональных данных. Ну и не стоит сбрасывать со счетов, что утечка такого рода информации может рассматривать как отягчающий фактор 🪓 То есть впору задуматься о реальной, а не бумажной защите ИСПДн. Благо 21-й приказ, хоть и давно принят, но вполне себе адекватен по списку защитных мер 📝

ЗЫ. Так что может и хорошо, что утечка в микрофинансовой организации, выдающей займы под залог автомобиля, произошла до вступления в силу и этого закона, и начала действия норм об оборотных штрафах, о чем, в контексте CarMoney, написал Олег и что уже открытым текстом подтверждают с сопредельной стороны.

#регулирование #персональныеданные

Пост Лукацкого

22 February 2025 19:09

Навеяло произошедшим инцидентом у одного крупного российского интегратора 🤦‍♀️

#инцидент #юмор

Пост Лукацкого

22 February 2025 12:32

Желание вернуть карту Visa и MasterCard 💳, как и вера в сказку, понятны, но все-таки надо и голову включать. Даже если СМСка прилетела с номера 900 🤔

Бдителен будь, товарищ,
Не верь смске каждой!
Иначе денег лишишься!
Однажды! 💳

Пост Лукацкого

21 February 2025 19:23

Сегодня в домовом чатике прилетело сообщение:

Коллеги, всем добрый вечер, хочу предостеречь вас и ваших родственников.
Моей маме 2 часа назад поступил звонок на телефон, якобы из управляющей компании, сказали, что завтра будут менять двери в подъезде, спросили сколько магнитных ключей ей заказать, она ответила, предложили заказать запасные, ведь бесплатно. Далее сказали, что у каждой квартиры теперь будет свой код от домофона, общего больше не будет, сейчас он вам придёт. Пришёл? Назовите пожалуйста, чтобы закодировать ваши магнитные ключи.
После того, как она их озвучила, мгновенно поняла, что натворила.
Эти вражены на той стороне трубки, тут же, не положив трубку, между собой стали говорить и блокировке её госуслуг, стоимости недвижимости, которая на ней значится и все её фио, адрес и т.д. Всё это почти скороговоркой. Она бросила трубку.
Сразу вошла в госуслуги - пароль уже поменяли, войти не смогла.
ЧТО НУЖНО ДЕЛАТЬ:
Сразу едем в МФЦ с паспортом и СНИЛС чтобы поменять пароль на госуслугах, блокируем счета в банках по телефону горячей линии и далее в полицию пишем заявление.
Приехав в МФЦ там мы такие оказались не одни (именно с кодом от домофона).

Пост Лукацкого

21 February 2025 10:12

На хакерском форуме появилось объявление о продаже 🫰 доступа к взломанному DNS-контроллеру, обслуживающему по заверению взломщиков, 62 высоконагруженных домена, преимущественно в восточных регионах, с ежемесячной аудиторией более 24 миллионов пользователей 🧑‍💻

Доступ позволяет злоумышленникам полностью контролировать DNS-записи (TXT, A, AAAA), что открывает возможности для:
1️⃣ Фишинговых атак
2️⃣ Перехвата учетных записей
3️⃣ Распространения вредоносного ПО
4️⃣ Манипуляций с SEO
5️⃣ Увода пользователей.

Спрашивать про то, есть ли у вас такая история в модели угроз не буду 🤔 Просто обращу внимание, что кибербез - это не только про внутренние рубежи и бастионы на периметре. Это еще и присмотр за обслуживающей инфраструктурой, от которой зависит (хотя и не всегда явно) жизнедеятельность предприятия, - DNS-сервера, хостинг, CDN, внешние почтовые сервера, внешние сервисы рассылки и т.п. И да, это тоже можно отнести к атакам на подрядчиков! 😷

⚠️ Ну а из рекомендаций могу посоветовать усилить защиту своих доменов и регулярно проверять DNS-записи на предмет несанкционированных изменений 🌐

#инцидент

Пост Лукацкого

27 February 2025 15:07

Вчера, вице-премьер Григоренко анонсировал нацпроект "Экономика данных", выделив ряд ключевых направлений, среди которых была и "информационная безопасность". Основных результатов, которые должны быть достигнуты в этом направлении к 2030 году, названо три: 👉
1️⃣ 💯 оценка защищенности ключевых ГИС. Стремление к абсолютной защищенности похвально, но тут важно, что вкладывается в понятие "защищенность"? Отсутствие уязвимостей или возможности реализовать недопустимые события? Первое - невозможно, второе - вполне. Хотелось бы увидеть формализацию этого пункта, а также список ключевых систем...
2️⃣ До 4 часов должно быть сокращено время блокировки мошеннических ресурсов. Сейчас этот срок составляет не менее 15 часов 🫵
3️⃣ До 831 Тбит/с должна составлять скорость трафика, обрабатываемого автоматической системой безопасности. Самый непонятный показатель из трех. Как скорость может быть показателем эффективности? Это как в анекдоте:

Приходит девушка устраиваться на работу секретаршей.
Шеф спрашивает: "А с какой скоростью вы можете печатать на машинке?"
Девушка: "Ну... 1000-1200 знаков в минуту...."
Шеф: "Разве можно с такой скоростью печатать?!!"
Девушка: "Печатать-то можно, но такая херня получается!!!!"

Пост Лукацкого

27 February 2025 05:40

За последние годы роль CISO претерпела значительные изменения — от малоизвестной технической должности до ключевого игрока в команде топ-менеджмента (хотя многие об этом только мечтают) 🧐 Однако, несмотря на возросшую публичность и внимание со стороны бизнеса, многие CISO сталкиваются с ограниченной властью (делать должен, но полномочий нет), что делает их уязвимыми перед различными кризисами и внутренними корпоративными конфликтами 😰

Исследование Forrester “The Future Of The CISO” предлагает путь к осознанию своей профессиональной идентичности 😆 (я админ, но ощущаю себя замгендира по безопасности) и выбору компании, которая наилучшим образом соответствует стилю управления и ожиданиям специалиста. Раньше такой подход мог бы показаться странным. Что значит, я выбираю компанию себе? 🤷‍♀️ Но теперь это становится нормой; не только работодатель выбирает тебя, но и ты работодателя 🫵

Forrester выделяет шесть ключевых типов CISO, каждый из которых подходит для определенного бизнес-контекста:
1️⃣ Трансформационный CISO – специалист по кардинальным изменениям Такие CISO приходят в организации с неэффективными программами безопасности и быстро налаживают работу, сочетая стратегический подход с тактическими улучшениями.

2️⃣ CISO после утечки – кризисный менеджер 💃 Эти специалисты востребованы в компаниях, переживших громкие инциденты, где необходим жесткий порядок и восстановление доверия клиентов.

3️⃣ Операционный CISO – технарь с глубоким пониманием киберугроз 👨‍💻 Он фокусируется на непрерывной защите организации, управлении рисками и внедрении защитных механизмов.

4️⃣ CISO по комплаенсу и рискам – эксперт по нормативным требованиям 🫵 Особенно актуален в финансовом и, для США, медицинском секторах, где критически важно соблюдать регуляторные стандарты, такие как GDPR или PCI DSS.

5️⃣ CISO стабильного состояния – приверженец принципа “не ломай то, что работает” 👀 Такой лидер поддерживает уже выстроенные системы защиты, внося минимальные, но точечные корректировки.

6️⃣ CISO, ориентированный на клиентов – публичное лицо безопасности 👋 Он взаимодействует с партнерами, инвесторами и СМИ, формируя имидж компании как надежного игрока на рынке. Однако публичность делает его уязвимым — в случае инцидента он может стать “козлом отпущения”.

Любая классификация - штука непростая, но иногда помогает не делать ошибок. В данном случае ни CISO, ни работодателю. Если вы CISO, то какая роль вам ближе? 🤔

#CISO

Пост Лукацкого

26 February 2025 15:28

Я уже как-то писал, что у 🟥 есть портал rules.ptsecurity.com, на котором бесплатно выкладываются сигнатуры для систем обнаружения угроз 🔍 Интересно, что эти сигнатуры используются также в базе правил системы обнаружения атак Suricata, а также сервисах any.run и VirusTotal. Так что можете смело использовать и своих системах 👨‍💻

#opensource #обнаружениеугроз

Пост Лукацкого

26 February 2025 05:40

Раскрываю в блоге великую тайну 🤫 большинства CISO, которая заключается в том, что хотя в кибербезопасности и любят романтизировать противостояние атакующих и защитников, реальность такова, что большая часть времени у среднестатистической команды ИБ уходит не на обнаружение и реагирование на сложные атаки со стороны государственных или продвинутых APT-групп. Все прозаичнее. Рутина - так можно назвать то, чем ежедневно занимается ИБ 🧑‍💻 Ну и как следствие, размышление о том, каким должен быть ИБ-продукт для большинства организаций.

#CISO #средствазащиты

Пост Лукацкого

25 February 2025 19:28

Интересный вариант использования матрицы MITRE ATT&CK с указанием стоимости 💰 использования каждой техники (или защиты от нее). Данные берутся на основе анализа даркнета, стоимости эксплойтов, заказной разработки, условного ФОТ и т.п. Имея на руках такую калькуляцию 🧮, можно обоснованно оценивать себестоимость атаки, сравнивать ее с защитными мерами, обосновывать инвестиции в ИБ и делать многие другие интересные выводы.

#экономика #mitre

Пост Лукацкого

25 February 2025 12:41

Мне бы хотелось иметь сейфовую ячейку 🗄 в Банке России, но, боюсь, у меня столько денег нет, чтобы я был интересен главному финансовому регулятору 💰 Но зато было бы надежно аки нефритовый жезл, на котором можно непрерывно крутить кибермошенников, пытающихся таким образом обмануть доверчивых граждан! 👺

#фишинг

Пост Лукацкого

25 February 2025 05:40

Picus Security продолжила ежегодную традицию публикации своего Топ10 техник MITRE ATT&CK, используемых в наблюдаемых ИБ-вендором атаках (это, кстати, является и ограничением, так как дает картину только по клиентам Picus, а не всему миру). Эта десятка показана на картинке ☝️

7 из 10 техник не поменялись и только три, T1555, T1056 и T1005, являются новичками, присущими работе стилеров и вредоносов 🦠, крадущих пароли, учетные записи и другую конфиденциальную информацию из различных источников, включая менеджеры паролей, кэш браузера, системы и т.п. 🤒

93% всех вредоносных активностей связаны с этой десяткой 💯 Несмотря на это, Picus отмечает, что атаки становятся все более скрытными и сложными, обходящими средства их обнаружения и отражения, многоходовыми, все чаще инициированными государственными хакерами 🇷🇺 При этом авторы отмечают, что в 2024-м году массового применения ИИ в разработке вредоносного ПО не заметили, что и понятно, рост ожидается в этом году 📈

Из не типичных рекомендаций (типа внедрите NGFW, EDR, UBA, MFA и сканирование уязвимостей) Picus советует следующее:
1️⃣ Создавайте сценарные плейбуки, ориентированные на многоходовые атаки. Планы реагирования также должны учитывать многоходовость 📇
2️⃣ Автоматизируйте реагирование на ранних стадиях инцидента.
3️⃣ Заранее определите коммуникации на случай сложных, долгих и нетипичных атак.
4️⃣ Инспектируйте SSL/TLS, а также мониторьте DNS-трафик 🔭
5️⃣ Внедрите специфические механизмы борьбы с шифровальщиками, позволяющие обнаруживать действия, им присущие.

Все остальные рекомендации достаточно типичны для таких отчетов и по сути рекомендуют внедрить все, что есть на рынке ИБ (шучу, но не далеко от истины).

#тенденции #mitre #malware

Пост Лукацкого

24 February 2025 10:27

Интересная картинка того, как расширяется сфера полномочий и зона ответственности CISO 🛡 У большинства - это классический набор вокруг операционки, архитектуры, соответствия и рисков. У не менее половины вылезает история непрерывности, рисков третьих лиц, продуктовая безопасность 🛡

Четверть CISO подминает более широкие темы вокруг безопасности, включая физическую, АСУ ТПшную, приватность (персданные), борьбу с мошенничеством. Совсем малое количество CISO отвечает за цифровую трансформацию, участвует в M&A-сделках в части due dilligence, а также залезает на поляну ИИ и т.д. 🛡

Больше зона ответственности, больше внимания к деятельности CISO со стороны руководства, выше статус, больше шансов сидеть за столом с "большими дядями", больше ресурсов 💪

#CISO

Пост Лукацкого

23 February 2025 21:02

всем кто тут защитник
с праздником ура
гель любви вам в душу
и носок добра

С праздником всех защитников и полузащитников, реальных и виртуальных!! 🫡

Пост Лукацкого

23 February 2025 13:31

Ну что, интересное событие произошло, как по мне. НКЦКИ 🇷🇺 официально опубликовало сведения о компрометации инфраструктуры группы компаний ЛАНИТ. Похоже, ФСБ встало на путь опубличивания таких кейсов, устав бороться с основной причиной инцидентов ИБ последних 3 лет (сегодня уже 3 года!), - атаками через подрядчиков 🔗

После принятия новой редакции 17-го приказа еще и от ФСТЭК будет порция рекомендаций по защите (от) внешних поставщиков. И вот тогда заживем 👏 Ну и есть о чем подумать всем остальным поставщикам услуг, интеграторам, разработчикам ПО и другим компаниям, предоставляющим свои продукты и услуги, не отвечающие требованиям безопасности... информационной.

#инцидент #НКЦКИ

Пост Лукацкого

22 February 2025 19:09

"Добрый день, коллеги..." 🤣

#meme

@s0ld13r_ch

Пост Лукацкого

22 February 2025 15:45

А я продолжаю рассуждать на тему инцидента у Bybit 🪙 с кражей миллиарда с лишним долларов ETH. У Bybit была запущена программа Bug Bounty, где за критическую уязвимость (например, smart contract overflow and conditional competition vulnerability) можно было получить максимум 4000 USDT (около 400 тысяч рублей) 💱 При этом дефекты в контроле разрешений в смарт-контрактах (permission control defects in the smart contract) относятся Bybit не к критическим, а к высокорискованным уязвимостям, вознаграждение за которые составляет от одной до двух тысяч USDT. Утечка подписей относится к среднерисковым уязвимостям (правда, не написано, относится ли в эту категорию потеря всех трех подписей), - а это уже всего 500-1000 USDT 🤏

Для меня эта история интересна с разных точек зрения. Во-первых, налицо дилемма любого хакера с не самыми чистыми намерениями, который стоит на развилке - получить 4 тысячи долларов или миллиард 💵 Причем речь не о конкретно данном кейсе, где Lazarus выполняют вполне конкретную задачу и они точно не участвуют в Bug Bounty, чтобы стоять перед такие моральным выбором. Представим, что простой багхантер нашел такую дыру... И как вы думаете, куда он понесет ее?.. ⚖️

Поэтому так важно грамотно определять стоимость баги, а не идти по пути наименьшего сопротивления - "дадим вам 10 тысяч или возможность заказать пылесос со скидкой в 50%" 🤔 Стоимость, за которую вас готовы ломать, все-таки имеет значение и может, ооооочень условно, являться мерилом вашей ИБ (за столько не ломают, а вот за столько начали, но так и не сломали, а вот за ого-го сколько, хоть и с трудом, но все-таки смогли) ↗️

Во-вторых, очень важны границы программы Bug Bounty. Социальный инжиниринг вообще не покрывался Bybit'ом 💰 По правде говоря, многие Bug Bounty не покрывают социалку, что, с одной стороны, понятно, а с другой - не дает мне полной картины покрытия возможных способов меня нахлобучить 👨‍💻 В ситуациях, где крутятся большие деньги надо расширять scope.

Не случайно, у нас в стране есть такое понятие как кибериспытания, которые по механике похожи на классический Bug Bounty (получаешь бабки за найденные дыры 😵), но гораздо шире по своей области покрытия и более понятны бизнесу, так как в рамках кибериспытаний ищутся не баги, а способы реализации недопустимых для бизнеса событий. Да, у вас есть там некие ограничения, но их гораздо меньше и эта схема оценки защищенности гораздо ближе к тому, что делают реальные хакеры, которые пытаются проникнуть внутрь цели и нанести ей ущерб 🤕

Вывод из этой истории простой: Bug Bounty - это не так просто, как кажется на первый взгляд. И надо оценивать много аспектов перед тем, как выводить себя и свои системы на ту или иную платформу и какую схему оценки защищенности выбирать.

#оценказащищенности #bugbounty

Пост Лукацкого

22 February 2025 07:22

Вчера все активно обсуждали кражу 🤒 денежных средств у криптобиржи Bybit на неслыханную сумму в 1,46 (до падения курса криптовалюты) миллиарда долларов с криптокошелька ETH 💴 Интересно в этом кейсе не сумма в 401 тысяча "монет" (предыдущий "рекорд" 2022 года составлял 620 миллионов долларов), и не то, что украденные деньги сразу разбили на меньшие суммы и перевели на почти 50 различных адресов. И даже не то, что предполагаемый преступник, стоящий за кражей, - это северокорейская группировка Lazarus 🇰🇵 (они же стояли за предыдущим рекордом).

Интересно другое, а именно то, что атака была произведена за счет изменения логики смарт-контракта 👨‍💻 Я напомню, что смарт-контракт - это по сути некоторая программа в блокчейне, которая автоматически выполняется при соблюдении указанных условий 📇 В данном кейсе, который еще расследуется, злоумышленники замаскировались под легальный графический интерфейс по переводу денег (с холодного кошелька на горячий), который показывал корректный адрес для перевода средств 🤑

Предварительно, считается, что злоумышленник внедрил вредоносный смарт-контракт еще 19-го февраля, "имея" на руках три цифровых подписи владельца кошелька 💼 А уже 21-го с помощью механизма мультиподписи легальный смарт-контракт Safe был подменен на вредоносный. Данное действие осталось незамеченным владельцем кошелька из-за использования трех цифровых подписей, что считалось сложнореализуемым на практике 💻 Обычно код контракта является неизменяемым после деплоя; если не предусмотрены механизмы обновления, как в данной истории 💱

Глава Bybit предположил, что инцидент мог произойти из-за взлома провайдера ↔️ защищенных криптокошельков Safe, которые используются криптобиржей для хранения эфира (сам холодный кошелек, в теории, не подключен к Интернет). Safe же заявил, что они хоть и участвуют в расследовании, но никаких доказательств своей компрометации они не нашли (хотя часть функций кошелька приостановили) 🔍

Смарт-контракты ✍️ – мощный инструмент для автоматизации финансовых операций, но ошибки в коде (все-таки это обычный софт) и ошибки в управлении ими могут приводить к масштабным взломам 😵 Именно поэтому внедрение принципов DevSecOps, аудит контрактов, Bug Bounty для криптобирж и строгие меры безопасности – обязательные практики в криптовалютной индустрии. Но, видимо, не в данном случае... 🗡

#блокчейн #инцидент

Пост Лукацкого

21 February 2025 15:17

Вам интересно, какие фреймворки по ИБ и приватности данных наиболее востребованы в мире? Вот вам список по убыванию популярности 📉

#фреймворк

Пост Лукацкого

21 February 2025 05:40

Думаю, уже многие видели новость про то, что Positive Technologies купила долю в белорусском вендоре "ВирусБлокАда" 🦠 Ну и так как многие помнят мое высказывание, что "антивирус не нужен", начинают задавать мне вопрос, а как же так и что теперь я скажу по факту этого поглощения. И у меня есть, что сказать 🤠

Во-первых, речь идет в первую очередь об интеграции движка по обнаружению вредоносного года в решения 🟥 - EDR, Sandbox, NGFW и ISIM (к слову, именно "ВирусБлокАда" первой в мире обнаружила пресловутый Stuxnet). У PT и до этого были свои технологии анализа вредоносов, а сама компания входит в ассоциацию исследователей вредоносного кода AVAR 🦠 Так что покупка ВБА вполне укладываются в стратегию развития компании ↗️

Ну а во-вторых, я продолжаю оставаться при своем, ранее озвученном мнении 🤠 «Голый» антивирус, без EDR-функциональности, без EPP-функций (с оговорками) нафиг не нужен в 99% случаев. Он только формирует чувство ложной защищенности, ловя банальщину, но не что-то действительно сеньезное 🦠

ЗЫ. Кстати, из забавного. Многие на фоне приобретения доли в "ВирусБлокАде" вспомнили про приобретение Сайберусом и частными инвесторами доли 📊 в F.A.C.C.T., который пару дней назад был переименован в F6. Многие думают, что эта сделка тоже имеет отношение к 🔴 Ну что я вам могу сказать... Я вчера пытался скачать свежий отчет F6 о киберугрозах в России и странах СНГ. Зашел на сайт, указал свой корпоративный e-mail... и ничего не смог ни скачать, ни получить ссылку на почту. А вы говорите... И только из хакерских каналов, в которых плохие парни делятся «а смотрите, что про нас пишут», я нашел отчет без регистрации и СМС и смог его скачать ⬇️

ЗЗЫ. Пойду в Red Canary Mac Monitor погляжу, нет ли там чего странного у меня на компе без антивируса...

#поглощения