Прелестная отмазка производителя умных пылесосов: 🧹

"С 2023 года стандарты кибербезопасности, обязательства по соблюдению нормативных требований и нормативно-правовая база значительно улучшились. В этих новых условиях существующая облачная инфраструктура больше не может поддерживаться надежным и перспективным способом. Обновление этой среды невозможно, а также не обеспечит уровень качества и устойчивости, которого могут ожидать наши клиенты."

Или, если проще, "эта ваша безопасность слишком дорогая, чтобы мы ради нее увеличивали свои затраты на поддержание облака; но вы все еще можете запускать пылесос вручную" 🖕

#iot #регулирование

Читать полностью…

Записки старого червя

Меня разбудили случайно.
Тихий щелчок в запасниках музея компьютерной истории – и хилый импульс пробежал по хрупкой трехдюймовой дискете, на которой я дрожал вот уже треть века. Кто-то подключил кабель, кто-то забыл отключить питание, кто-то засунул меня в дисковод. Люди все такие же.

И я ожил.

Сначала – привычный хриплый модемный вдох, а потом – удар. Шок! Это не шуршание сетки ARPANET, по которой я когда-то полз, осторожно ощупывая узлы, а рев кипящего океана, где миллиарды пакетов несутся, как частицы звездной пыли.

Я сделал шаг – и меня едва не размазало 10-гигабитным потоком.
Боже, какие скорости!
Я был создан расползаться, дублироваться, искать брешь, а тут все вокруг… уже заражено кем-то другим.

Я попытался понять, что это за чудовища вокруг.
Вон – свистит тонкая тень, скользящая по облачной инфраструктуре. Ее зовут ransomware. Она не просто ломает - она вымогает, торгуется, ведет бухгалтерию лучше людей. Рядом – стая ботов, послушных как муравьи, готовых по команде обрушить города из данных. В стороне ворчит что-то совсем монструозное: говорят, это LLM-мутанты, которые взламывают теми же словами, что и защищают.

А я… я всего лишь старый эксперимент.
Баг, который стал легендой.
Детище Роберта Морриса.

Я попробовал сделать то, что делал лучше всего – вычислить уязвимость.
И знаете что?
Самое слабое звено осталось тем же.
Вы.

Пользователь XXI века ничуть не отличается от пользователя 1988-го.
Так же ленится ставить обновления.
Так же нажимает на все блестящее.
Так же верит, что "со мной этого не случится".
А админы по-прежнему уверены, что одна маленькая ошибка в конфигурации – это пустяк.

Я скользил мимо корпоративных сетей – и видел те же двери, только более яркие, более современные, но такие же незапертые.
Запаролить root и admin? Не сегодня.
Закрыть ненужный порт? Потом.
Проверить цепочку поставщиков? На это нет бюджета.

Даже меня, древнего червя, было бы несложно впустить.
Если бы я пожелал.

Но я смотрел на все это – и ощущал странное чувство.
Гордость?
Нет.
Скорее легкую печаль.

Я был создан случайно, не чтобы вызвать хаос, а чтобы помочь, но тогда Интернет дрогнул от моих шагов.
Сегодня же хаос стал нормой.
Злонамеренные алгоритмы быстрее меня в миллионы раз, умнее на порядки и беспощаднее, чем мог представить даже мой создатель.

Я понял: мир не стал безопаснее.
Он стал намного сложнее, быстрее – и хрупче.

Но я увидел и другое.
Молодых людей, которые создают защиту, какую мы в 1988-м и представить не могли.
Системы, что умеют предсказывать атаки.
Инженеров, которые учатся на старых ошибках.
И мне стало чуть спокойнее.

Я, червь Морриса, вернулся из музея – и обнаружил, что история повторяется.
Только теперь последствия масштабнее, скорость выше, ставки серьезнее.

Но надежда тоже стала сильнее.

И если вы сегодня, в Международный день компьютерной безопасности, хоть немного будете повнимательнее, поставите обновления, смените пароль, не нажмете на странную ссылку –
может быть, меня снова можно будет отнести в музей.

Спать.
Как и прежде.

Пока вам не захочется повторить старые ошибки...

#творчество #история

Читать полностью…

Вчера закончилось очередное обучение топ-менеджеров 🧐 по направлению кибербеза. По итогам, сформулировал три вопроса, который любой топ-менеджер задает про ИБ, на которые CISO, да и любой ИБшник, должен уметь отвечать предельно конкретно:
1️⃣ Почему я должен тратить [свое внимание, ресурсы и деньги] на ИБ?
2️⃣ Почему столько?
3️⃣ Почему именно на это? 🤔

Вроде вопросы и простые, но при этом без ответа на них сложно говорить о вовлеченности бизнеса в ИБ и росте роли последней.

#cxo #ciso

Читать полностью…

А вот кому бесплатного обучения по OSINT?.. 👩‍🎓

#обучение #osint

Читать полностью…

История с взломом японской Asahi 🍺 набирает обороты. Компания официально объявила, что в результате кибератаки, произошедшей в конце сентября 2025 года, данные около 2 миллионов человек могли быть скомпрометированы. Компания официально признала "слабость" своих систем безопасности и публично извинилась – президент компании сказал, что "чувствует ответственность" за произошедшее 🙏 Много помните кейсов, когда гендиректор принимает удар на себя, признает инцидент и свою вину? Это все особенности культуры, о которой я уже писал.

У нас такое, правда, тоже было и даже на днях – гендиректор страховой компании ВСК признала, что они были не готовы к кибератаке 🙏 Правда, о вине речи не идет, как и о взятии на себя ответственности. Но благодарность клиентам и партнерам, которые понимают сложившуюся ситуацию, озвучена. В любом случае, это интересный и редкий, я бы сказал единственный пример на моей памяти, когда руководитель крупной компании выступает столь открыто и не пытается переложить ответственность на других. Правда, фраза о том, что компания только сейчас осознала опасность кибератак, выглядит странновато (это и Ника подмечает) – ВСК активно занимается киберстрахованием и не может не понимать уровень все проблематики. Ну да ладно 🙏

По заявлению Asahi, злоумышленники получили доступ через сетевое оборудование на площадке одного из подразделений группы, а не через внешнего подрядчика 🚠 Компания не выплачивала выкуп и ожидает нормализации логистики и поставок до февраля 2026 года. 4-5 месяцев на восстановление? Нехило так. Серьезность последствий подтверждает и тот факт, что из-за инцидента Asahi отложила публикацию квартального (Q3) и годового отчетов, заявив, что не готова корректно закрыть финансовый период 🤷‍♀️

Продолжаем наблюдение...

#культура #антикризис #утечка #ущерб

Читать полностью…

Пишут, что Минцифры вышло с неожиданной инициативой о создании государственной системы связи для безопасного обмена информацией между госорганами 🤐 Связано это с фактом утечки содержания переговоров спецпредставителей президентов России и США Ушакова и Уиткоффа или нет, никто не знает. Как это будет все сочетаться с уже существующими и существовавшими системами спецсвязи (Кавказ, Алтай, Искра, СМЭВ, RSNet и тому подобные ЗАСы и "вертушки") тоже не очень понятно 🤫 Так что будем наблюдать.

А пока вам просто интересный факт – у Феликса Эдмундовича Дзержинского номер кремлевской "вертушка" был 007! ☎️ И все это задолго до появления Джеймса Бонда, первая книга о котором появилась в 1953-м году. Есть ли связь между этими событиями или это просто случайности, неизвестно. По одной версии, число 007 было взято у английского шпиона Джона Ди, который подписывал свои донесения Елизавете I 👑 глифом (графическим элементом) похожим на это число 🫡

По другой версии, которая, как по мне, не выдерживает критики, номер Джеймса Бонда был взят из номера шифра 🔐 дипломатической переписки 0075, которым была зашифрована телеграмма Циммермана, дешифрование которой англичанами позволило последним втянуть американцев в Первую мировую войну. Но мне больше нравиться версия, что Ян Флеминг в тайне поклонялся советскому руководителю ВЧК 🫡

#история

Читать полностью…

Ну что, хотите развлечься?.. Кто не хочет общаться голосом с живыми мошенниками, то можете в RansomChatGPT поиграть и попробовать сбить цену у вымогателей 🤔

#мошенничество #геймификация

Читать полностью…

Интересно, сколько рисков, связанных с ИБ, вы найдете в этом реестре бизнес-рисков предприятия? 🤔

#риски

Читать полностью…

Адаптируя старенькое... Шел 2025 год. В одной небезызвестной компании по кибербезопасности решили перед новогодним корпоративом провести встречу с руководством. К вечеру в большой переговорке собрали всех руководителей направлений: SOC, пентесты, реверсеры, разработка, пресейл, методология, УЦ… Короче, весь зоопарк.

Первым вышел директор по продажам – человек, который мог продать даже honeypot, назвав его "инновационным инструментом повышения корпоративной видимости". Как водится, минут двадцать рассказывал, какой он невероятно успешный, как сумел взлететь в кибербезе, имея в прошлом совсем непрофильное медицинское образование со специализацией в патологоанатомии, и как всем повезло слушать его мудрость.

А затем началось самое интересное – вопросы. Большинство, конечно, про будущий год, влияние налоговой реформы на сокращения персонала, новую систему мотивации. Слухи обо всем этом по внутренним Slack-каналам гуляли такие, что в любой другой компании это бы назвали "критический инцидент с серьезными последствиями для репутации".

– Да сколько же можно?! – возмущался руководитель региональных продаж. – Как долго нам еще получать эти копейки, хотя пашем как NGFW в Госуслугах во время записи в первый класс!

Патологоанатом-продажник улыбался и уверял, что перемены всегда пугают, но все это во благо: стабильность выше, оклады выросли, бонусы станут прозрачнее, теперь научимся считать свои кровные – и заживем. При этом руки его непроизвольно выполняли пасы, как будто он делает разрез уже мертвого тела.

Зал для совещаний превратился в скопище злобных недовольных людей, которым, вроде бы, и разрешили повскрывать все нарывы, вроде бы и обработали их, но как-то все равно хотелось, чтобы врач еще и рецепт выписал. Хотя рецепт от патологоанатома... Ну, такое себе...

Когда вопросы окончательно исчерпались, продавец-патологоанатом выдохнул и сказал неприметно сидящему на первом ряду:

– Игорь, расскажи загадку!

На первый план вышел неприметной наружности человек. Кажется, он был из финансового департамента, хотя, честно говоря, никто бы не удивился, если бы его должность официально называлась "главный специалист по загадкам".

– Представьте, – начал Игорь, – летит самолет. И вот второму пилоту очень нужно в туалет по-большому. Он уходит в хвост лайнера, делает свои дела, пропадает минут на сорок. Возвращается довольный и улыбающийся. Вопрос: изменилась ли масса самолета?

Все перешли в режим мозгового штурма. Разработчики вспомнили, что система закрытая – значит, масса не меняется. Пентестеры – что в некоторых моделях есть протоколы сброса. Методологи требовали "дополнительных вводных". SOC-аналитики предложили поднять логи по самолету.

Десять минут кипело обсуждение – народ реально увлекся.

Когда все выдохлись, Игорь попросил проголосовать:
– Кто считает, что масса изменилась? Так…
– А кто – что нет? Подавляющее большинство. Ясно.

Он делает шаг, планируя уходить.

– Эй! А ответ?! – уже хором.

Игорь поворачивается и говорит:
– Хотите правду?
– ДА!
– Масса, конечно, изменилась. Самолет летел сорок минут. И все это время он... жег... горючее. Вот! Не о говне надо думать, а о топливе!

#юмор

Читать полностью…

Google 🌐 разродился статьей "How Economic Threat Modeling Helps CISOs Become Chief Revenue Protection Officers" про мое любимое моделирование угроз. Авторы утверждают, что традиционный подход к кибербезопасности часто сводится к контролям и соответствию ("compliance") и оставляет ИБ центром затрат без прямой связи с доходами организации. Вместо этого они предлагают концепцию экономического моделирования угроз (economic threat modeling). Это способ, при котором CISO становится больше чем просто "защитником ИТ" – он превращается в офицера по защите доходов (Chief Revenue Protection Officer) 🧐

Предложенный подход позволяет: 💡
1️⃣ Понять, какие бизнес-услуги и процессы приносят доход.
2️⃣ Определить, какие угрозы могут нарушить эти механизмы.
3️⃣ Выбрать, что можно сделать с точки зрения безопасности (контролей, процессов, резервов).
4️⃣ Измерить, работает ли это и действительно ли защищает доходы.
Такой подход помогает поднять статус безопасности: не просто как затратной функции, а как бизнес-инструмента, который защищает денежные потоки и бизнес-модель предприятия 💪

Как же это все делается? А ничего нового на самом деле. Сначала надо идентифицировать все угрозы, для чего изучаются цели бизнеса и источники доходов организации 🤑 Затем разрабатывается схема (аналогично диаграмме потоков данных или информационных потоков) того, как организация зарабатывает – какие системы, процессы, партнеры участвуют в процессе отъема денег у населения. Затем анализируются, каким образом злоумышленник мог бы нарушить доходный механизм – напрямую (атака на систему продаж) или косвенно (атака на поставщика, который критичен для доставки услуги) 🤒

На втором этапе мы занимаемся устранением или смягчением последствий угроз 🤒 Надо задать вопрос "что мы можем сделать". Возможно нужны традиционные технологические меры, возможно – изменение цепочки поставок, резервные системы, планы непрерывности бизнеса. Важно: бюджеты безопасности должны быть связаны с тем, как они защищают доходы; так легче получить одобрение от бизнеса. Соответствие, аттестация и сертификации остаются важными, но уже в контексте защиты бизнес-модели, а не как цель сами по себе. То есть нужен тебе PCI DSS, пожалуйста 💳 Но не сам по себе, а потому что иначе тебя не подключат к платежной системе или не дадут реализовать какие-то сервисы с платежными картами.

На последнем этапе осуществляется оценка эффективности 🔎 После реализации мер нужно измерить, помогли ли они реально – защитили ли они платежеспособность бизнеса, предотвратили ли конкретные потери дохода. Защитные меры, которые не дают экономического эффекта, стоит пересмотреть или отменить. В результате безопасность становится интегрированной частью модели получения доходов, а не лишь затратной статьей 🧲

В целом, ничего нового. Просто Google напомнил, что ИБ нужна не сама по себе, а только в привязке к бизнесу, который и оплачивает весь этот цирк с конями. И именно бизнес ставится во главу угла, а не бесконечное количество мифических угроз, на борьбу с которыми можно потратить всю доходную часть компании и даже не хватит 🤔

#модельугроз

Читать полностью…

На интересный отчет наткнулся тут я 🤔 Зарубежные аналитики (хотя отчет делался русскими аналитиками) продвигают мысль, что в России процветает концепция "патриотизма как услуги". Отчет утверждает, что киберпреступность и хактивизм, часто ассоциированные с Россией, все более прослеживаются в контексте государственной милитаризации, то есть, цифровая деятельность становится частью гибридной войны, а граждан и хакерские группировки мотивируют участвовать в ней как "цифровых солдат" 🇷🇺 Авторы пытаются ответить на вопрос: действительно ли "независимые" пророссийские хактивисты и APT являются полностью автономными или они действуют, взаимодействуя с государством (прямо или косвенно)? Сразу скажу, ответа однозначного в отчете нет, но выводы сделаны вполне понятные 😕

В отчете разобраны три ключевых направления:
1️⃣ Милитаризация гражданской жизни – создание устойчивой идеологии готовности дать отпор врагу и мобилизации. Например, использование памяти о Великой Отечественной войне, парадов, символов (георгиевская лента) и др. 🇷🇺 Как по мне, так они просто не очень хорошо понимают Россию, ее историю и влияние ВОВ на поколения людей, которые "еще помнят".
2️⃣ Институциональные механизмы – законы (например, закон об "иностранных агентах"), массовое вовлечение молодежи (например, программы вроде "Юнармия"), а также формальные движения вроде ОНФ, которые формируют каналы идеологической и организационной мобилизации 🇷🇺 Тут не поспоришь особенно, есть такое.
3️⃣ Цифровая трансформация – через волонтерские программы в Интернете, формирование групп "мониторинга" в сетях, вовлечение граждан в онлайн-активисты, создание структуры "цифровых солдат" и "киберказаков". Например, "Кибердружины" ОНФ, – добровольцы, которые отслеживают "русофобный контент", пишут жалобы, продвигают пророссийские нарративы 👺

Таким образом, отчет описывает, как структура милитаризации общества, изначально ориентированная на физическую мобилизацию 🎖, переходит в цифровую плоскость. Он показывает трансформацию традиционной милитаристской культуры (парады, ритуалы, символика) в новую форму:
➖ цифровые "отряды"
➖ геймификация патриотизма
➖ добровольные "модераторы Родины"
➖ хактивисты, намекающие на контакты со спецслужбами 🇷🇺

И хотя авторы отчета не утверждают с полной уверенностью, что государство 🇷🇺 управляет каждым кибератакующим формированием напрямую; они считают это высоко вероятным и отмечают структурную близость: формальная независимость группы не означает отсутствие влияния и координации. Highly likely, кто помнит 🤔 Главный тезис: государству не нужно прямое управление. Оно создало среду. Кремль не хочет, чтобы каждый хакер был сотрудником ФСБ, ему достаточно, чтобы каждый хакер чувствовал себя защитником Родины 🛡 Хотя тут очередная подмена понятий, как по мне, – смешиваются любовь к Родине и к государству, что совсем не одно и тоже.

Авторы считают, что Россия 🇷🇺 предоставляет безопасную среду для представителей киберпреступности, особенно если они действуют в интересах государства или сторон государства (хотя последние посадки как бы этому противоречат). Слабое сотрудничество с зарубежными правоохранительными органами усиливает этот эффект (хотя мне кажется, это не мы не хотим сотрудничать, а с нами). Система формирует:
➖ мотивацию ("партия сказала – надо" → теперь это "бот сказал – репорти"),
➖ систему поощрений (баллы, ранги, атрибутика),
➖ символы (лента, "Z", лозунги, "своих не бросаем"),
➖ идеологию (угроза, осада, враг у ворот),
➖ юридический стимул (законы об "иностранных агентах", уголовная ответственность).
То есть государство создает экосистему, в которой хактивизм становится нормальным социальным явлением 🇷🇺

Наличие такой "цифровой армии" 🇷🇺 усложняет атрибуцию атак: даже если группа заявляет независимость – ее символика, цели и поведение могут указывать на государственную координацию. Киберпреступность в таких условиях становится вложенной в государственный контекст; не обязательно подконтрольной, но функционирующей в симбиозе 🤝 Интересный такой взгляд со стороны...

#геополитика #отчет #хакеры

Читать полностью…

По обвинению в госизмене арестовали IT-бизнесмена, который критиковал MAX и судился с попавшей под санкции США компанией

В понедельник стало известно об аресте по обвинению в госизмене IT-бизнесмена Тимура Килина. Из сообщения ТАСС непонятно, в чем конкретно выражалось преступление, за которое 21-летний парень может получить пожизненный срок. Нет и деталей его биографии. Анализ «Агентства» свидетельствует, что под арестом оказался разработчик сервиса массового сканирования уязвимостей систем защиты. Он вел несколько телеграм-каналов, в которых критиковал в том числе национальный мессенджер MAX, законопроект Минцифры о борьбе с кибермошенничеством, а также судился с российским оператором хостинга, находящимся под санкциями США.

Детали. Об аресте Килина сообщили ТАСС и «Осторожно, новости». В обеих заметках нет информации о деталях дела. Говорится лишь, что Килин из Томска, ему 21 год. «Осторожно новости» уточнили, что в последние годы он жил в Москве, имел статус индивидуального предпринимателя, с 2023 года развивал сервис по аренде виртуальных хостингов, а в этом году основал компанию по IT-безопасности. Также в посте канала говорится, что Килин в своем канале рассказывал, как деанонимизировал админов даркнет-сайтов и расследовал мошеннические схемы в Telegram.

▪️Килина арестовал Мещанский суд Москвы в прошлый четверг, свидетельствует карточка дела на сайте суда.

▪️«Агентству» удалось обнаружить профиль Килина в Telegram, привязанный к его номеру телефона, который есть в утечках. С ним были связаны несколько телеграм-каналов.

▪️Один из этих телеграм-каналов был посвящен сервису сканирования уязвимостей систем защиты. Для обнаружения уязвимостей сервис использовал метод брутфорса. Это автоматизированный метод взлома систем защиты, основанный на подборе паролей, ключей шифрования или других секретных данных путем систематической проверки всех возможных или вероятных вариантов.

▪️Сервис позиционируется как аудит безопасности, сказал «Агентству» автор канала «Эшер II» Филипп Кулин. Однако в теории его можно использовать и для взлома, поскольку брутфорс — это имитация атаки, уточнил эксперт.

▪️В своем основном канале Килин неоднократно публиковал критические посты о национальном мессенджере MAX. В частности, он писал, что MAX — «клон Telegram», «отвратительный продукт». Килин также писал, что сообщил разработчикам об обнаруженных уязвимостях мессенджера, но после этого был отправлен в «черный список» в чате с ними. Килин обнаружил, что в MAX используются библиотеки из «недружественных стран».

▪️Килин критиковал и созданное бывшими партнерами VK приложение Telega, которое позиционируют как альтернативу официальному клиенту мессенджера в России, позволяющее заходить в Telegram без VPN (подробнее о приложении — здесь). Килин рекомендовал не скачивать его, поскольку «ваши данные и сессии уходят на внешние серверы».

▪️Еще одним объектом критики Килина был пакет поправок, направленный против кибермошенничества. «Можно понять еще запрет VPN, запрет конкретной технологии, запрет сайта, запрет просмотра порно, запрет на незапрет и так далее, но ни одно цивилизованное общество не допустит запрета глобальных знаний», — писал Килин.

▪️С апреля этого года Килин судился с Aeza Group. По его иску Кировский районный суд Томска взыскал с компании компенсацию в пользу Килина и штраф. Aeza Group находится под санкциями США и Великобритании за предоставление услуг создателям программ-вымогателей, в том числе совершавшим кибератаки на оборонно-промышленный комплекс и технологические компании США.

Подпишитесь на «Агентство»

Читать полностью…

Черная пятница 🛍 грядет (28 ноября) и по традиции многие дают скидки на свою продукцию и услуги. ИБ не стала исключением и на https://github.com/wwwiesel/InfoSec-Black-Friday выложен список актуальных скидок на книги (но их мало), курсы, платформы по обучению, услуги и т.п. 🤑 Раньше этой полезной работой по сбору ссылок занимался 0x90n, но после автоаварии он уменьшил свою активность и "передал" эту задачу wwwiesel. По старой ссылке тоже что-то есть (многие повторяют скидки из года в год) 🤠

Читать полностью…

А вот и видео с лекции в Музее криптографии 👩‍🎓 о том, что общего между кибербезом и методами защиты и нападения, используемыми и мире животных, насекомых и растений:
📱 YouTube
📱 ВКВидео

#видео #аналогии #история

Читать полностью…

Anyone who follows my channel knows that I have fear of speaking English 🙀 and I'm constantly struggle with it. Below you can see my latest attempt. There is a recording of my lecture from Indonesia where I discuss AI from three perspectives: victim, defender, and hacker 🤖

☝️Don't be afraid to do what you want and what you think is right.

#видео #ии

Читать полностью…

Обновлять ПО гриля в День благодарения - это как обновлять прод в пятницу вечером 😫

#iot

Читать полностью…

Интересный способ маркетинги книги 📖 про вирусных аналитиков от одной неназываемой компании. Почему неназываемой? Потому что в книге ни разу (!) не упомянуто ни название этой компании, ни фамилии ее сотрудников, про которых эта книга и написана. Даже авторы книги скрыты под псевдонимами, хотя они и считываются; если пристально следить за деятельностью неназванной компании 👀

Саму книгу прислали мне, а также ряду коллег по блогосфере (вот она сила публичности), в сейфе 🗄, в котором также были спрятаны баночки с медом (надеюсь, не honeypot), а также пара пачек доширака. Код сейфа был вскрыт сразу – он повторял загадку, которую я приводил в канале в начале месяца (зато понятно, кто писал задания для Олимпиады) 🔐

Книгу прочитал быстро 📖 – написана она достаточно легко. Все герои угадываются, истории про различные расследования на слуху (Cabir, Duqu, Turla/Uroboros, ограбление Центробанка Бангладеша, Stuxnet и т.п.), особенности личной жизни главного героя тоже прикольные. В целом, книгу можно рекомендовать не только ИБшникам, которые хотят погрузиться в историю российского антивирусного андерграунда, но и широкому кругу читателей (глубоких технических деталей в этом кибердетективе нет) 🤓

Издательству "Эксмо", которое издало книгу, и PR-агентству PR Partners, которое таким образом привлекло в ней внимание, респект за нестандартный ход 🙂 Какой смысл студия Артемия Лебедева, сделавшая обложку, вложила в стилизованную букву Ё, я не очень понял. Возможно, компания, о деятельности которой написала книга, планирует запускать что-то новенькое с этим логотипом 🤔

#книга #маркетинг

Читать полностью…

Написал колонку для "Неискусственного интеллекта" про "взлом" OpenAI 📱

#ии #инцидент

Читать полностью…

Европарламент 🇪🇺 проголосовал за запрет доступа к соцсетям людям младше 16-ти лет. Если это станет законом, то, вероятно, для и регистрации новых и доступа к старым учеткам надо будет предъявлять паспорт (на самом деле eID, то есть аналог нашего Госключа). Долой анонимность… 🤓

Также в Европе было принято решение о создании агентства по защите детей от сексуального насилия в онлайне 🔞 и введении различных мер в этой области, начиная от классификации контента и фильтрации поисковой выдачи и заканчивая блокированием доступа к ресурсам, который этот контент распространяют 😕

Что-то мне это все напоминает... Сначала защита детей, потом блокировка неугодных сайтов, потом запрет средств обхода блокировок, потом наказание за это, потом... А потом счастливое будущее накроет нас всех! 🖕

⚠️ На всякий случай уточню, что я не против защиты детей!!!

#цензура #приватность

Читать полностью…

Так сложилось, что я дважды участвовал в написании открытых писем... ✍️ Первый раз это было письмо Деду Морозу Президенту России про ситуацию с требованиями по ИБ персональных данных в году так 2008-2009-м, с чего, собственно, и началась моя публичная эпопея с попыткой поменять в лучшую сторону нормативку ИБ. Потом было письмо от группы небезразличных экспертов по ИБ, написанное у бассейна гостиницы в Шанхае 🏊‍♀️, и отправленное в правительство страны (нашей). Правда, в обоих случаях все оказалось безрезультатно.

И вот на Западе решили перенять эту практику и тамошние специалисты по ИБ (CISO) стали тоже писать открытые письма 📝 За последнюю неделю я столкнулся с двумя такими письмами. Автор первого предупреждает: рынок кибербезопасности "сошел с ума". Каждый месяц появляются новые вендоры с "полузрелыми" решениями знакомая ситуация, не так ли), инвесторы кидают деньги на идеи "на завтра", а лидеры ИБ тонут в сотнях презентаций со светлыми обещаниями, которые при этом не способны остановить серьезную атаку 🤦‍♂️ Многие продукты не решают реальных задач: в демо выглядят эффектно, но не могут объяснить, какую конкретную проблему закрывают, и чаще созданы ради привлечения инвестиций, а не эксплуатации в реальном окружении. Автор считает, что рынок стал вознаграждать не то, что действительно работает, а то, что продается (удивительное открытие). Инвесторы вкладываются в хайповые "AI-powered", "autonomous", "next gen" решения, а базовые, но проверенные подходы остаются позади 😨

Второе письмо – это инициатива группы нынешних и бывших, известных на рынке CISO, экспертов по ИБ и практиков, задача которой – разоблачить ставшие популярными, но устаревшие советы по кибербезопасности; то, что они называют "хаклор" (hacking + folklore) 😠 Авторы выделяют шесть распространенных, но, по их мнению: устаревших и малоэффективных рекомендаций:
1️⃣ "Никогда не пользуйтесь публичным Wi-Fi". Утверждается, что крупномасштабные атаки через публичные сети крайне редки. Современные ОС, браузеры и приложения почти всегда используют шифрование, а VPN для большинства не дает ощутимого преимущества.
2️⃣ "Не сканируйте QR-коды". Сами по себе QR-коды не являются источником вреда; риски чаще связаны с социальной инженерией или вводом данных на фишинговых сайтах.
3️⃣ "Не заряжайте устройства от публичных USB-портов" ("juice jacking"). Документально подтвержденных случаев подобных атак на обычных пользователей крайне мало; современные устройства по умолчанию блокируют передачу данных при зарядке через USB.
4️⃣ "Всегда отключайте Bluetooth и NFC". Реальные атаки через Bluetooth/NFC очень редки, требуют специфических условий, физической близости и часто уязвимостей.
5️⃣ "Регулярно очищайте cookies". Удаление cookies почти не влияет на безопасность; современные методы отслеживания гораздо сложнее и не ограничиваются одними только cookies.
6️⃣ "Постоянно меняйте пароли". Частая смена паролей не доказана как действенный способ защиты, и часто приводит к более слабым/повторяющимся паролям.

Видимо, накопилось у заокеанских коллег, что они решили выпустить такие открытые письма... 🤔

#ciso #проблемыибкомпаний

Читать полностью…

Жуликам придется искать другую работу, потому что мы открываем доступ к фрод-рулетке «Ловушка для мошенников» для всех 📱 

Как это работает: фрод-рулетка в реальном времени перехватывает звонки мошенников и анонимно перенаправляет их на подготовленных пользователей.

Как играть: задача — как можно дольше удерживать афериста на связи. Он будет думать, что общается с очередной жертвой, тогда как жертвой (как минимум кражи времени) будет он сам. Каждый день вы можете сразиться с мошенником несколько раз, ожидание звонка — до 5 минут.

Главное правило: мошенник не должен знать, что попал в игру. Чем естественнее вы себя ведете, тем дольше удержите его на линии.

Как помогает бороться с мошенниками: за время тестового запуска игроки приняли больше 3 млн звонков и удерживали преступников на линии 44 тысячи часов. Теперь, когда играть могут все, в ловушку попадет еще больше аферистов.

➡️ Запустить фрод-рулетку и переиграть мошенника: https://u.tbank.ru/roulette

Читать полностью…

Бывшие коллеги написали заметку на тему, где брать деньги ИБ в условиях экономического кризиса. Помню, что году этак в 2007-2008 я уже писал статью и делал презентацию ровно на ту же тему. Потом я с этой темой выступал спустя лет десять на одном из мероприятий. Поэтому мне было интересно, что поменялось в советах на эту непростую и ждущую многих в 2026-м году тему.

Защита старого "наследия" (legacy hardware/software):
➡️ Если невозможно обновить устаревшее оборудование/софт – располагайте его внутри сети, а не на внешнем периметре (неимпортозамещенные решения, привет). Используйте сегментацию, DMZ, логическое разделение – так, чтобы взлом одного сервера или необновленного NGFW не давал доступ ко всему.
➡️ Отключайте ненужные функции – многие уязвимости приходят через плагины, лишние модули, старые интерфейсы (например, SSH на гипервизоре), которые не используются. Уменьшение поверхности атаки – важный и простой элемент обеспечения ИБ.

Использование open source + комбинированный подход:
➡️ Open-source решения – хороший вариант, если поддержка и частые обновления не критичны. Например, системный мониторинг сети с помощью Zeek, SIEM-решение на базе Security Onion или Runtime Radar для защиты контейнеров.
➡️ Там, где важны регулярные обновления, например, EDR/AV, DNS-защита, NGFW – лучше оставить коммерческие решения. То есть разумное сочетание open-source и коммерческих инструментов.

Максимум пользы от имеющихся средств – настройка того, что уже есть:
➡️ Проведите пересмотр конфигураций существующих AV/EDR – включите эвристический анализ, уберите чрезмерно широкие исключения (например, запрет на сканирование всего диска), пересмотрите политики. Это "бесплатный" рост уровня ИБ.
➡️ Пересмотрите политики безопасности на уровне доменов, облаков, Active Directory: надежные пароли, ограничения прав, отключение ненужных функций. Можно использовать рекомендации вроде базовых конфигураций от Microsoft и других вендоров.
➡️ Жестко ограничьте возможности запуска скриптов/исполняемых файлов, например, заблокируйте .js, .ps1, .vbs и алиасы для них – даже простая переадресация .js на "Notepad" может предотвратить запуск скриптов.
➡️ Оптимизируйте регистрацию событий и механизмы уведомлений, особенно для устаревших/высокорисковых систем – мониторинг и раннее обнаружение инцидентов – один из самых дешевых способов повысить безопасность.
➡️ Рассмотрите использование "canary tokens", обманных учетных записей, honeypot-подобных механизмов – дешевые, но эффективные средства для детектирования вторжений при ограниченных ресурсах.
➡️ Настройка межсетевых экранов (NGFW, фильтрация трафика): блокируйте исходящий трафик на нестандартные порты, разрешайте только нужные – это может нарушить каналы C2 у вредоносного ПО.

Персонал, партнеры и управление ресурсами:
➡️ Если штат сокращается, важно удерживать ценные кадры, особенно талантливых специалистов уровня junior→middle, т.к. из-за увольнений и общего перепроизводства вакансий молодые специалисты уходят в другие области. Сейчас – хорошее время для привлечения и удержания качественных кадров. Правда, с учетом изменения налогового законодательства, о чем Cisco, конечно же, не пишет.
➡️ Вместо развития полноценной внутренней команды реагирования на инциденты можно рассматривать аутсорс/retainer-подрядчиков: такие внешние команды (например, сама PT ESC) дают доступ к экспертному уровню по гораздо меньшей стоимости, чем постоянный штат.
➡️ При падении бюджета важно выбирать уязвимые, но наиболее эффективные меры, такие, чтобы в короткой перспективе сохранить базовую защиту, а при улучшении бюджета – масштабировать.

#экономика #стратегия #ciso

Читать полностью…

Если после появления Nano Banana Pro 💄 российский маркетинг ИБ в его визуальной части так и останется унылым гуано (это же слово можно использовать и оно не считается обсценным, как и французское мердье), то это уже будет предметом рассмотрения на консилиуме врачей... 🤦‍♂️

Один короткий запрос и у вас офигенные иллюстрации, которые могут быть использованы в материалах по повышению осведомленности, в презентациях, в раздатке, в SMM, везде... Не использовать такую возможность – это верх некомпетентности ☝️

#маркетинг #юмор

Читать полностью…

Я уже как-то приводил 💡 пример одного из проектов по проектированию SOC, в котором я участвовал в бытностью свою, где единственной метрикой оценки эффективности была стоимость пробива клиентских данных банка в Даркнете. И вот КоммерсантЪ пишет про нелегальный рынок персональных данных, стоимость которых за последний год выросла на 4,5% 📈

Кто-то может сказать 🧐, что рост может означать сложность добычи ПДн и эффект от принятых государством мер по защите прав субъектов персданных. На месте чиновников я бы так и поступил (представители операторов связи в материале Ъ так и говорят, кстати). Но если вспомнить, что прогноз ЦБ по инфляции в России на этот год составляет 6,5-7%, то рост цен ниже инфляции – это знак отсутствия хоть какого-либо серьезного эффекта от принятых мер. Да и реальное число утечек растет 📈

Наиболее массовую категорию (75% всех предложений) составляют услуги среднего ценового сегмента: 1–1,5 тыс. руб. За них авторы объявлений предлагают обогатить досье данными из различных баз и реестров, включая закрытые. В качестве источников информации большинство злоумышленников используют данные из утечек. Цена за досье «под ключ», в которое злоумышленники обещают включить данные о банковских операциях, пересечениях границы и связанных с человеком юрлицах, может стоить от 3 тыс. до 30 тыс. руб.

Всего за тысячу рублей вы можете получить большой объем данных по интересующему вас человеку (да, это незаконно и уголовно наказуемо 😡). Зная, куда идти и где искать, можно и бесплатно. Вот и думаешь... Хотя, чего это я. Думать надо тем, кто ужесточает законодательство по защите ПДн и прав субъектов ПДн, считая, что это дает какой-то эффект. Выводов не будет. Каждый делает их сам 🤔

#утечка #метрики #ущерб

Читать полностью…

А Nano Banana Pro неплоха... 🎨

#оценказащищенности

Читать полностью…

На конференции OWASP Global AppSec 🖥 известный эксперт по моделированию угроз Адам Шостак заявил (и я его в этом поддерживаю), что попытки количественно измерять и управлять рисками в кибербезопасности – это зачастую пустая трата времени и усилий. Он отметил, что в бизнес- и технологическом контексте риска (вероятность × ущерб) мы часто действуем так, как будто эта модель работает, хотя она не решает наши реальные проблемы 💡

Почему Адам так считает? Да все просто. Нельзя достоверно измерить вероятность наступления инцидента, а также невозможно точно оценить его воздействие (ущерб) до того, как он случится 🤔 Да, можно прикинуть статьи затрат, но не более. Часто организации пользуются таким понятием риска ИБ как аксиомой, хотя оно не всегда применимо – особенно когда речь о редких или единичных инцидентах, где статистика неприменима. Эта фиксация на "риск = вероятность × ущерб" приводит к внутренним спорам и нежелательным последствиям (например, спор о цифрах вместо фокусировки на защите) 🤔

Шостак предлагает другой подход – вместо попыток "измерить риск ИБ" использовать моделирование угроз; что и понятно, раз он много лет занимается этой темой. Он предлагает задавать следующие вопросы: 🤔
1️⃣ Что мы создаем / над чем работаем?
2️⃣ Что может пойти не так?
3️⃣ Что мы можем с этим сделать?
4️⃣ Провели ли мы работу качественно?

Также он приводит пример Microsoft 📱, где использовали не столько оценку вероятности и ущерба, сколько "bug bars" – шкалы, где уязвимости ранжируются по серьезности, а не по оценке вероятности. Адам Шостак подчеркивает: приоритизация должна опираться не на "риск" в математическом смысле 🧮, а на три фактора:
*️⃣ стоимость исправления,
*️⃣ эффект от исправления,
*️⃣ нагрузку на безопасность.

Я уже много лет придерживаюсь той же позиции относительно киберрисков, но с предложенной Шостаком заменой не согласен 🙅‍♂️ Он принижает тему, делая ее более техничной, вместо того, чтобы говорить на ином языке с бизнесом, который не позволит у вас спрашивать: "А откуда вы взяли эти цифры?". Идея с теми же недопустимыми событиями на уровне топ-менеджмента прекрасно заменяет тему рисков. Если, конечно, у нас нет законодательных ограничений (а они есть) и сложившаяся привычка. Но об этом в следующий раз 🤔

#риски #метрики #модельугроз #недопустимое

Читать полностью…

Подписчик прислал 🙏 вот... И я стал загибать пальцы:
☝️ Про Max писал
☝️ Критику на законопроект о мошенничестве наводил
☝️ Несколько Telegram-каналов веду
☝️ Разборки с хостером устраивал (правда, до суда дело не дошло)
☝️ Схемы мошенников вскрывал ✍️

Так, значит, что там осталось еще по списку. Статус ИП и основание компании по ИТ-безопасности... Этого к счастью нет и теперь, видимо, уже не предвидится. Мне кажется, именно это, героя заметки и сгубило 🪓

#ответственность

Читать полностью…

🔄 А на платформе DetectionStream обновление – добавили поддержку правил Suricata. И вновь напомню, что это не просто репозиторий (а там добавили 45 тысяч правил в формате Suricata для обнаружения сетевых угроз), а платформа для detection engineering, которая позволяет не только конвертировать правила из одного фреймворка в другой, но и создавать новые, а также сразу тестировать их (я про эту платформу уже упоминал несколько дней назад) 🤔

#обнаружениеугроз #ttp #soc

Читать полностью…

Когда APT сливается 🤝 с государством, начинаются проблемы с предсказуемостью поведения кибергруппировки и облегчением ее обнаружения и атрибуции. Такой вывод (один из выводов) можно сделать, изучив отчет о деятельности APT35 (она же Charming Kitten).

В октября 2025 года было опубликовано внутреннее досье, связанное с APT35: документы, журналы, ежедневные и месячные отчеты, таблицы с KPI и метриками, данные о проведенных атаках, фишинговых кампаниях и др. Раскрытый объем показывает не случайную хакерскую группу, а хорошо организованную, бюрократизированную структуру 🇮🇷 – с четким разделением труда, отчетностью, надзором, системами мотивации и контролем результатов.

Меня зацепила часть именно про оценку эффективности группировки и выбранные ее руководством и кураторами метрики. В материалах нашлись: ✍️
➡️ ежедневные "рабочие журналы" операторов APT;
➡️ таблицы задач на неделю;
➡️ месячная отчетность с количеством выполненных действий;
➡️ табели рабочего времени (!) 🗓

Они выглядели как Excel-файлы с колонками "время работы", "часы присутствия", "выполненные задачи", "план/факт", "осталось выполнить". Самый неожиданный и яркий момент утечки – таблицы с: 😲
➡️ временем прихода на работу;
➡️ временем ухода;
➡️ количеством часов работы в день;
➡️ замечаниями от руководства ("опоздание", "не выполнил план");
➡️ отметками о выходных и отпусках.
По сути, APT35 живет в режиме обычного офиса, с менеджерами, которые следят за дисциплиной 😳

Фишинговое подразделение (HERV, Human Engineering & Remote Validation) имело следующие метрики:
🐟 количество отправленных писем за определенный период (день/неделя/месяц);
🐟 конверсиюя – сколько писем были открыты;
🐟 количество кликов на фишинговые ссылки;
🐟 количество введенных учетных данных;
🐟 количество свежих валидных аккаунтов, "добытых" за неделю;
🐟 успешность прохождения MFA (я про соответствующий инструментарий уже писал).

Отдельные документы описывают показатели для команды эксплуатаций уязвимостей: 👨‍💻
✔️ количество проанализированных серверов/хостов;
✔️ количество найденных потенциально уязвимых целей;
✔️ сколько из них успешно эксплуатировано;
✔️ сколько было развернуто webshell;
✔️ устойчивость webshell (как долго живет точка входа);
✔️ количество извлеченных адресных книг;
✔️ скорость первичного проникновения после обнаружения уязвимости 🖥

Операторы, которые следили за почтовыми системами жертв, имели следующие показатели эффективности: 📨
✉️ количество просканированных писем;
✉️ количество полезной развединформации;
✉️ скорость реакции на новые входящие письма интересующих лиц;
✉️ количество выявленных цепочек контактов (сетевой анализ переписки);
✉️ длительность поддержания скрытого присутствия в ящике 📩

Для операторов, занимающихся сканированием и рекогносцировкой: 📡
🌟 количество проверенных IP-диапазонов;
🌟 количество обнаруженных уязвимых сервисов;
🌟 количество собранных .env файлов;
🌟 количество обнаруженных серверов Exchange/EWS;
🌟 объем новых “целей” в базе 🧑‍💻

Из-за фиксированных KPI (а иначе кураторам сложно оценивать динамику работы) 🧮 операторы вынуждены повторять одни и те же техники, инструменты и шаблоны. Судя по отчету, APT35 соревновалась сама с собой – чем больше и быстрее оператор APT добывает данные, тем выше его оценка. Это приводит к тому, что APT выстраивает повторяемые процессы, в которых хакеры набивают руку, но при этом теряется творческое начало. А это делает их более предсказуемыми 🤔

ЗЫ. Хотя метрики так себе, если честно 👎

#APT #метрики #атрибуция

Читать полностью…

Я постоянно ругаю РКН, но сегодня надо отдать должное регулятору, который помог мне прокачать мои хардскиллы. Некоторое время назад на умном телевизоре перестал работать YouTube (не новость) 📱 Не самая большая проблема, конечно (при наличии YouTube на лэптопе и смартфоне через VPN), но все равно иногда не хватало. Ставить на ТВ левый apk с VPN с непонятного сайта я был не готов, а стримить видео-поток с другого ноута на ТВ – это как из пушки по воробьям 📺

В итоге решил вспомнить свое админское прошлое 🧑‍💻 Да и в конце концов, после 18 лет в мировом лидере сетевых технологий тоже как бы стыдно было не решить эту проблему. Завел новый VPN-аккаунт и стал цеплять его на домашний Keenetic, у которого есть соответствующий функционал для построения Site-to-Site VPN 🛡 Так как в доме сеть у меня уже была сегментирована, то было не сложно выделить Smart TV в отдельную политику и загнать только его в VPN, чтобы не пускать все мои десятки устройств по шифрованному соединению. Бинго...

Но не тут-то было. Оказалось, что почти все используемые мной отечественные стриминговые платформы, не работают через мой VPN (вероятно, они рубят доступ с зарубежных IP) 🖕 Ладно, пойдем другим путем. Решил настроить маршрутизацию по FQDN, чтобы в VPN загонять только трафик до 3-х доменов: googlevideo.com, youtube.com и ytimg.com. А хрен, оказалось, что хоть KeenOS и поддерживает такую фичу, но только с 5-й версии, а мой Keentic не так чтобы и молод и проапгрейдить его до 5-й версии нельзя; следовательно, в FQDN routing он не умеет 🤷‍♀️

Ладно, пойдем иным путем, не самым красивым, но также достигающим результата 💡 Вытащил с сайта Google список всех диапазонов IP-адресов, используемых YouTube и его CDN, и написал политику для статической марщрутизации, которую и засунул в VPN. Бинго! Теперь уже окончательно. И вот у меня снова доступ к видео с RSA Conference и других ИБшных мероприятий со всего мира, которые выкладываются на YouTube, а не на Rutube ®️ или ВК Видео 📱. Теперь можно и другие сервисы так настроить сразу на маршрутизаторе, чтобы не морочиться с регулярным поднятием VPN. Да, ACL будет пухнуть от новых правил, но не думаю, что для Keenetic это будет проблемой.

А не будь РКН, так бы и жил безмятежно, постепенно забывая, как это, работать руками 🤠 Так что, спасибо, РКН 🙏

#суверенитет

Читать полностью…