А хорошо что у нас Роскомнадзор еще не занимается согласованием планировок квартир с точки зрения защиты приватности граждан 🏠

#приватность

Читать полностью…

Ну вот и раскрыт секрет авторства книги, о нестандартном маркетинге которой я писал ✍️ Первый – Александр Гостев. Второй, Леха Андреев, в свое время приложил руку к составлению сборника рассказов русского киберпанка; поэтому Александр его и называет в заметке отцом этого жанра ✊

Всем читать больше книг – хороших и разных; и про безопасность!

#маркетинг #книга

Читать полностью…

Вы знали, что в космосе, в условиях невесомости, невозможно заниматься сексом (потому что кровь не подступает к половым органам, не говоря уже о проблеме обмена жидкостями), развитие плода тоже невозможно 🛰 Парадоксальная ситуация – мы думаем, что наши желания должны быть легко реализуемы в любой среде (биологической или цифровой), но забываем, что и среда, и мы сами подчиняются жестким, не всегда очевидным правилам. Эти правила (гравитация, физиология, математика, архитектура ПО) формируют ландшафт возможного 👽

В ИБ существуют тоже вещи, которые кажутся простыми в реализации, но на практике все равно недостижимыми 🤷‍♀️ Например, социальный инжиниринг, который невозможно победить. Цель атаки – человеческая психика, а не система. Можно создать идеальную техническую защиту, но если человеку позвонит профессиональный манипулятор, то риск повестись достаточно высок. Абсолютная защита – это абсолютная изоляция. Единственный способ на 100% защититься от социнжиниринга – это полное исключение человека из любых коммуникаций и информации. А это равносильно уничтожению полезности системы 🤯

Борьба с социальной инженерией 🧠 – это не задача "до полной победы", а задача на управление рисками. Это как в медицине: мы не можем победить все болезни и смерть, но можем снизить их вероятность и последствия через профилактику (обучение), вакцины (архитектуру), гигиену (политики) и диагностику (мониторинг поведения) 👩‍⚕️

Ровно поэтому невозможно разработать абсолютно защищенный мессенджер Ⓜ️, в котором не будет мошенников (точнее, возможно, но при условии, что у мессенджера не будет ни одного пользователя). Чиновники Непрофессионалы думают, что это легко, если назвать мессенджер защищенным, "ать-два". Также рядовые пользователи не видят хэшей, "рукопожатий" в рамках TLS, правил на МСЭ, систем обнаружения вторжений, bug bounty, безопасной разработки, кибериспытаний и т.п. Кажущаяся простота интерфейса (логин/пароль) скрывает за собой сложнейший мир, который и создает ощущение "простоты" 🤔

Возвращаясь к сексу в космосе... 😎 эту задачу можно решить, но только сложным набором приспособлений, креплений и т.п., что скорее всего будет не очень удобно. Либо надо менять исходную задачу и менять среду, убирая невесомость и создавая искусственную гравитацию. Вот и в ИБ также – либо неудобно, либо надо все менять к чертовой матери и создавать новую среду, в которой невозможное будет возможным! 😎

#философия #фишинг

Читать полностью…

SentinelOne разродился очередным исследованием, которое меня зацепило нестандартным упоминанием моего бывшего работодателя 🧑🏻‍🔬 Материал рассказывает о том, как двое китайцев, Ю Ян (Yu Yang) и Цю Дайбин (Qiu Daibing), связанные с китайской хакерской группировкой Salt Typhoon, вероятно, начинали свою карьеру с участия в Cisco Networking Academy Cup в 2012 году и уже затем оказались причастны к масштабным кибершпионским операциям против телеком-инфраструктуры и ИТ-систем по всему миру 👲

Cisco Network Academy Cup – соревнования 👨‍💻, организованные Cisco Networking Academy, глобальной образовательной программой по сетевым технологиям от компании Cisco. Эта программа дает возможность пройти обучение по технологиям Cisco, включая сетевые продукты и решения по ИБ, которые позднее эксплуатировались хакерами, которые занимали высокие места (первое и третье в провинции, третье на национальном уровне) в соревнованиях 🐉

Автор исследования проводит аналогию с классической историей о том, как ученик может в будущем пойти против своего наставника. Сам факт обучения 👩‍🎓 в академии Cisco не является ошибкой, уязвимостью или недосмотром – эта программа глобально доступна по всему миру (уже кроме России) и направлена на повышение цифровой грамотности и карьерных навыков. Проблема, по мнению автора, в том, что широкий доступ к профессиональному обучению может непреднамеренно помогать развитию навыков у потенциальных противников, особенно если затем те применяют знания в наступательных операциях 🥷

Так что любое обучение ценно, но его роль в формировании мировых киберталантов, в том числе и темных, сложна и многогранна 🤔

#обучение #osint #хакеры

Читать полностью…

Эксперты Позитива подводят итоги года и делятся прогнозами на год красной лошади, а это отчасти и год 🟥, так как пахать надо будет как лошадь; еще и красная. Ну а я же тоже немного эксперт – поэтому мои прогнозы тоже попали в серию статей на Хабре. С них, собственно, и начинается публикация. На сайт попала отцензурированная версия того, что я реально думаю про ИБ, но даже в таком виде великолепная семерка наблюдений и прогнозов может быть кому-то интересна: 🤠
6️⃣ Финансовая ответственность вендоров и провайдеров
2️⃣ Катастрофические убытки от кибератак и сложность их оценки
3️⃣ Каскадные сбои и эффект домино в цепочках поставок
4️⃣ Усиление контроля над интернетом и цифровыми коммуникациями
5️⃣ Рост внимания руководства компаний к вопросам кибербезопасности
6️⃣ ИИ на службе и у атакующих, и у защитников: возможности и ограничения
7️⃣ Централизация управления кибербезопасностью в России: ФСБ, секретные нормативы и конкуренция регуляторов

И вообще, я художник эксперт, я так вижу... 🤔

#статья #тенденции

Читать полностью…

Бывшему старшему менеджеру Accenture, подрядчика правительства США 🇺🇸, предъявлено обвинение в многолетней схеме мошенничества, направленной на введение в заблуждение федеральных агентств насчет безопасности облачной платформы, используемой армией США и другими правительственными заказчиками 💭

С примерно марта 2020 по ноябрь 2021 года 53-хлетняя Дэниел Хилмер якобы скрывала 🤐 недостатки безопасности в облачной платформе, которую она курировала. Она ложно утверждала, что система соответствует требуемым стандартам, например, FedRAMP и требованиям DoD Risk Management Framework, несмотря на отсутствие необходимых мер, таких как многофакторная аутентификация, регистрация событий и мониторинг ИБ 🛡

Предположительно Хилмер также препятствовала аудиту, скрывала реальные проблемы от независимых оценщиков и инструктировала других сотрудников делать то же самое, чтобы платформа получила и сохранила все необходимые разрешения для работы с правительственными агентствами. Если она будет признана виновной, ей грозит несколько десятков лет тюрьмы 😡

Все врут о своей защищенности и не выполняют бумажные требования. Но у американцев таких хотя бы наказывают – это уже не первый случай за последнее время 🤔

#ответственность

Читать полностью…

Представьте, вы включаете Первый канал 📺 и в передаче "Доброе утро" в преддверие Нового года и Рождества видите криптографические головоломки от 8-го Центра ФСБ 🗂 Представили? Ну напрягитесь же... Не можете? Я тоже не смог. Сюр какой-то. А вот в Великобритании BBC устроило прекрасную коллаборацию с центром правительственной связи Его Величества (GCHQ) 💂 и в течение уже нескольких дней постит всякие простые криптографические загадки 🫥 И это не те, что GCHQ опубликовал на днях.

#геймификация #криптография #видео

Читать полностью…

Новости (на английском, но все понятно) из прогрессивной и демократической Европы 🆕 В Германии за публикацию в интернете "оскорбительных" мемов можно присесть в тюрьму 😡 В том числе и за репосты таких мемов. А использование Интернет для этого еще и усиливает наказание. А вы говорите это только у нас РКН и ФСБ лютуют. Это общий путь сейчас для многих стран 🤔

#цензура #видео

Читать полностью…

По приглашению Руслана (спасибо, дружище) выступил вчера на на IV Всероссийском форуме технологического предпринимательства в рамках Sci-fi панели "Драматургия будущего: темные и светлые сценарии развития технологий" 🔮 Руслан прекрасно подытожил (часть первая и вторая) ключевые выводы, прозвучавшие от участников – я даже не буду их повторять.

После 20 декабря будет выложено видео 🍿, которое я даже сам пересмотрю, так как получилось очень экспрессивно и провокационно – про сравнение человека с ленточным червем, про реальную "Матрицу", в которую мы все идем, про превращение нас в биороботов, сценарии использовании ИИ для реального развития человека, взломы наших мозгов и кражу воспоминаний и снов 🤔 Прям с удовольствием поучаствовал в этой дискуссии!

#мероприятие #тенденции

Читать полностью…

В американских юридических школах 👩🏼‍⚖️ часто дают задание написать эссе на тему "ценность нарушения законов" (The Value of Breaking the Law), которая расширяет ранее описанную мной мысль Мокси Марлинспайка. По идее если бы соблюдение закона было всегда гарантировано (100% "идеальное правоприменение"), то многие важные социальные перемены, возможно, никогда и не состоялись бы. Юристы подчеркивают, что законы часто становятся ненужными или несправедливыми – и бывают моменты, когда их нарушение (будь то сознательное неповиновение, протест или просто бессмысленное правило) служит катализатором перемен 🤔

Обычно приводят такие примеры, как легализация однополых браков 👬 или декриминализация употребления марихуаны (все в США). Без людей, которые нарушали "старые" законы, эти изменения, возможно, никогда бы и не произошли. И поэтому, "отклонения от закона" рассматриваются не как чистое зло, а как важный механизм, через который общество может давать сигналы и вырабатывать справедливые нормы, бороться с несправедливостью, корректировать законы, которые устарели или несправедливы. То есть абсолютная, всеобъемлющая правопослушность – не всегда благо, иногда она мешает прогрессу. А постоянный страх наказания убивает спонтанность, творчество, свободу, индивидуальность, прогресс 🔫

Вот и в ИБ это проявляется – разработчики 🧑‍💻 сознательно создают инструменты, которые "ломают" попытки тотального контроля. Например, Tor, I2P и другие анонимные сети выросли не только как технология приватности, но и как форма цифрового гражданского неповиновения; они гарантируют возможность свободного общения там, где государство считает сам факт приватности 🔐 подозрительным (напоминает гонения на VPN в России, не так ли?). Mesh-сети вроде FireChat использовались протестующими в Гонконге, когда мобильные операторы по требованию властей отключали связь. Анти-FaceID-маски, глитч-мейкап и любые способы обходить массовую биометрическую идентификацию используют тот же принцип – граждане создают "технологии отказа" там, где правила становятся чрезмерными. Возможно, когда-то это приведет к изменению тупых законов, введенных людьми, которые не видят ничего дальше своего носа 🤥

И здесь возникает парадоксальная, но важная мысль 💡: в самой идее цифровой приватности всегда есть элемент нарушения запретов. Потому что если представить "идеальное правоприменение" в государстве тотального контроля, где любое шифрование без разрешения автоматически вызывает подозрение, где обход фильтрации запрещен 🤬, а анонимность считается угрозой, – сама возможность свободного общества и общения, без оглядки на реестры иноагентов, запрещенных материалов, а также непубличных черных списков, исчезает. В такой системе исчезают не только преступления, что неплохо, но и любое нелояльное мнение, любая попытка защитить себя от злоупотреблений, любой шанс на реформу, что катастрофично для граждан и общества и прекрасно для самого государства 😕

Поэтому ценность "нарушения" в цифровом мире заключается не в том, чтобы поощрять беззаконие, а в том, что право на приватность всегда содержит право на сопротивление чрезмерному контролю 😠 Именно такие "отклонения" и помогают удерживать баланс, напоминают обществу, что безопасность без свободы превращается в инструмент подавления, и заставляют законы развиваться в сторону защиты человека, а не только усиления надзора. Хотя у нас пока видно только усиление контроля, а до защиты человека мы пока не доросли и лет 11 еще точно не дорастем, как мне кажется. Но вдруг?.. Будем посмотреть... 🤔

#приватность #философия #суверенитет

Читать полностью…

Представьте себе раннее утро перед решающим днем (хотя у нас сейчас каждый день решающий). Вы стоите у окна 🪟, а за ним – плотный, молочно-белый туман. Он скрывает знакомые очертания: дороги, здания, ориентиры. Видны лишь размытые силуэты самого ближнего. Мир сократился до радиуса в несколько десятков метров. В этом тумане знакомое становится незнакомым, а расстояние и время ощущаются иначе 😶‍🌫️

Именно в таком тумане сегодня оказываются руководители компании, глядя в будущее кибербеза 🔮 Это не ясная картина с обозначенными угрозами и четкими контурами решений, а среда с высокой неопределенностью. Что скрывает этот туман?
➡️ Очертания новых технологий? Кванты, ИИ-агенты, IoT во всем... Мы понимаем, что они есть, но не понимаем их точное влияние на нас; слишком уж все размыто.
➡️ Фигуры противников? Уже не просто хакеры-одиночки, а целые кластеры преступников, экосистема враждебного ИИ, чей следующий шаг угадать непросто.
➡️ Контуры регуляторного ландшафта? Новые законы, стандарты, требования появляются как силуэты в дымке. Они меняют правила игры, но их окончательная форма и последствия еще не проявились из-за отсутствующего правоприменения 🤔

Примерно такие ощущения и мысли звучали на последнем в этом году обучении топ-менеджеров 🧐 одной российской группы компаний с последующими штабными киберучениями для них и отработкой различных сценариев из реальной практики. Люблю такие закрытые мероприятия, на которых участники высказывают совершенно иной взгляд на то, чем ты занимаешься последние 30 лет. У топ-менеджеров другое отношение к ИБ, к рискам, к ущербу... Более прагматичное, чем у ИБшника; не такое максималистское, "все защитить, все исполнить". На мероприятиях по ИБ часто слышишь, что ИБшник должен встать на место хакера и посмотреть на свою компанию его глазами. Я считаю, что ИБшник должен вставать и на позицию топ-менеджера; это полезное занятие 🤔

А еще ты узнаешь о таких инцидентах 🔓, о которых никто, нигде и никогда не рассказывал. И если обычно ты сам пугаешь слушателей страшилками про хакеров и недопустимые события, то тут уже пугают тебя и тебе рассказывают про то, что могло бы лечь в основу сюжета очередного блокбастера 🍿

ЗЫ. На фото вид с 95-го этажа здания, где и проходили обучение и киберучения для топ-менеджеров! Туман, неопределенность, мысли "а что там впереди"...

#обучение #awareness #cxo

Читать полностью…

Уважаемые абоненты!

Сегодня могут быть временные сбои со связью. Хакеры развлекаются, пробуя свои силы, атакуя крупнейшие российские компании.

Техническая служба Ориона оперативно локализовала атаку. Сейчас нужно немного времени, чтобы окончательно вернуть всё в штатный режим.

Исполнительный директор Орион телеком Денис Якунин:

«Мы выстроили многоуровневую систему защиты, которая позволяет быстро выявлять и нейтрализовывать внешние угрозы. Все данные клиентов находятся под надёжной защитой».

Читать полностью…

Депутаты приняли в первом чтении законопроект о внесении изменений в ФЗ-152 в части уточнения трансграничной передачи персданных, а точнее, в части уточнения процедуры включения иностранных государств в список адекватных ⛔️ Почему-то разные источники пишут, что теперь РКН получил право блокировать любую передачу информации за границу. В реальности это норма вообще мало на что влияет и уж точно никак не влияет на реальную защищенность ПДн, на утечки и ни на что другое. Вот если бы у нас поступили как в Ирландии 🇮🇪

14 мая 2021 года у ирландского Health Service Executive (HSE) произошел инцидент 🔓 – злоумышленники из Conti или связанной с ними группы использовали фишинговое письмо, что повлекло за собой проникновение внутрь HSE, шифрование инфраструктуры и массовое нарушение работоспособности ИТ-систем организации. В результате была выведена из строя значительная часть серверов и рабочих станций, ИТ-системы пришлось отключить, больницы, клиники, административные отделы перешли на бумажный учет, отложены тысячи визитов, операций и диагностических процедур 🏥 Пострадавшими оказались сотни тысяч пациентов и сотрудников: украдена и частично опубликована (на теневых форумах) конфиденциальная информация (медицинские данные, персональные данные и др.).

И вот в статье пишут, что HSE начала предлагать компенсацию €750 жертвам кибератаки, чьи данные были скомпрометированы или чьи права могли быть затронуты вследствие инцидента 🤑 Ранее HSE уведомила около 90 тысяч человек, чьи данные могли быть затронуты. Число судебных исков, в т.ч. коллективных, выросло – по данным на ноябрь 2025 года уже составило около 620. Попытка оценки стоимости атаки показывает сумму в ~€100 миллионов сразу, но возможны и дополнительные траты, включая судебные издержки 👩🏼‍⚖️, компенсации, модернизацию ИТ-инфраструктуры. Для части истцов, уже начавших индивидуальные процессы, €750 могут быть только "базой" – они могут продолжать добиваться более высоких компенсаций в судах. Параллельно Государственное агентство по искам ведет 12 дел о причинении вреда здоровью, связанного с психологическим воздействием атаки на людей, а часть вопросов уже вышла на уровень Суда ЕС 🇪🇺

Это один из крупнейших в Европе примеров, когда кибератака на систему здравоохранения 👩‍⚕️ повлекла последствия не только технического и организационного порядка, но и долговременные юридические, финансовые и репутационные потери. Инцидент закончился в 2021-м, а чеки за него продолжают выписывать в 2025-м. Но самое главное, что в этой истории демонстрируется реальное, а не показушное отношение государства к персональным данным своих граждан. Государственная структура Ирландии, фактически национальная служба здравоохранения, взяла на себя ответственность за утечку и платит по счетам. А у нас?.. 🤠

#персональныеданные #регулирование #утечка #ущерб

Читать полностью…

А если это я? 🤔

#аутентификация #юмор

Читать полностью…

Не могу согласиться с мнением коллег о том, что голосовые колонки включаются только от ключевого слова 🙅‍♂️ Мои, достаточно поверхностные, эксперименты показывают, что они прекрасно понимают речь и без этого – могут то внезапно начать комментировать то, что ты говоришь в кругу друзей, то выполняют инструкции без ключевого слова 🦻

Да, они могут не писать ничего и не передавать в облако, но это только вопрос доверия к производителю. Может ли она записывать все не только после активации? Теоретически, да! Может ли быть изменено ключевое слово? Теоретически, тоже да. Действительно ли кнопка Mute физически вырубает микрофон? Нет, разрыва цепи не происходит, хотя колонка и перестает "слушать" вокруг 🤔

А помните кейс с функцией "Активная прослушка" от маркетинговой фирмы Cox Media Group (CMG)? 👂 Эта фича позволяла записывать разговоры пользователя и показывать ему релеватную рекламу, а клиентами CMG были Google, Amazon и др., которые публично дистанцировались от CMG и заявили, что отказались от ее услуг 🙅‍♂️ Но тот же Facebook или Google неоднократно заявляли о прекращении "слежки" за своими пользователями и отказе от сбора лишних персональных и мета-данных, но потом их не раз ловили на том, что, упс, эти функции вендора забывали отключать или они, случайно конечно же, появлялись в новых релизах ПО ☺️

Amazon 📱, кстати, прямо пишет в политике конфиденциальности, что голосовые записи могут быть использованы для "улучшения услуг" и "рекламы и маркетинга". У Google такие же оговорки. Есть исследования, предполагающие, что у умных колонок могут быть тысячи слов, позволяющих активировать запись и передачу данных на облачные сервера. Например, у той же Amazon Echo известны сработки на слово "выборы" или "неприемлемый" 😮 (видимо поэтому мои эксперименты показывают, что отечественные колонки реагируют не только на одно слово активации).

То есть умная колонка слушает вас ВСЕГДА 🫡 – исходить в своей персональной модели угроз надо из этого. А дальше – допустимо это для вас или нет?.. Если вас это напрягает, но вы хотите продолжать пользоваться голосовыми ассистентами, то переходите на Apple HomePod, Mycroft Mark II или Snips – эти решения обрабатывают голос локально 🤔 Допустимо? Ну и забейте, как и абсолютное большинство счастливых обладателей голосовых ассистентов.

#модельугроз

Читать полностью…

Понимаю, что тема секса в космосе 🛸 вас волнует больше и вы готовы выискивать в Интернете доказательства того, что секс все-таки возможен. Но давайте вспомним, что канал посвящен ИБ и продолжим про "очевидное - невероятное". Не знаю, изучали ли вы в институте теорему Райса, которая гласит, что: ✍️

Для любого нетривиального свойства вычислимых функций определение того, вычисляет ли произвольный алгоритм функцию с таким свойством, является алгоритмически неразрешимой задачей.

Если транслировать эту историю на программное обеспечение, а именно на вредоносное ПО, то его вредоносность – это именно: 🦠
➡️ нетривиальное,
➡️ семантическое,
➡️ поведенческое свойство программы.

Почему семантическое? Потому что ответ на вопрос "является ли программа вредоносной?" – это про ее будущее поведение, а именно:
➡️ выполнит ли она вредоносные действия,
➡️ при каких условиях,
➡️ на каком окружении,
➡️ после каких событий,
➡️ и вообще выполнит ли их когда-нибудь (а это мы уже заходим на поляну проблемы остановки, доказанной Тьюрингом) 🦠

Следовательно, не существует универсального алгоритма, который принимал бы на вход любой код и всегда корректно решал, вредоносен он или нет 🤷‍♀️ Если смотреть шире, то невозможно и на 100% автоматически проверить, содержит ли программа закладку, является ли она трояном, шифрует ли она данные (как ransomware), уходит ли в бесконечный цикл при определенных условиях и т.д. Можно лишь сказать:
➡️ "мы пока не увидели вредоносного поведения",
➡️ "при таких-то условиях вредоносное поведение не наблюдается",
➡️ "вероятность вредоносного поведения низкая" 🤔

То есть, если вернуться к прошлой заметке, задача обнаружения вредоносных программ относится к выглядящим простым, но недостижимым на практике 😲 Поэтому я и не очень люблю разговоры про антивирусы и пользу от них, которые только создают иллюзию защищенности. EDR и песочницы – это другое дело. Изначально создавались в иной парадигме. Они допускают false positive и false negative, анализируют не весь код, а различные паттерны, поведение, ограниченные классы программ, применяя для этого, в том числе, и статистические и ML-алгоритмы. Сигнатурные базы при этом не играют столь уж большой роли, но про это я еще напишу. То есть EDR и песочницы стараются приблизиться к неразрешимой теореме Райса 🚶‍♂️

Отсюда напрямую вытекают:
➡️ необходимость следованию принципу "возможно, нас уже взломали",
➡️ недоверие к "обнаружению 100% вирусов в дикой природе",
➡️ сдвиг фокуса от предотвращения к обнаружению, реагированию и обеспечению устойчивости.

Дальше продолжим эту историю, чтобы в одном посте не нагромождать кучу всего про "простое, но нереализуемое" 👨‍💻

#ущерб средствазащиты #наука #malware

Читать полностью…

Олег, как часто бывает, раскопал интересный кейс 👨‍💻 Роскомнадзор подал в суд на сервис DLBI, известный своими услугами по обнаружению утечек информации (канал в Telegram, правда, заброшен с октября). Регулятор, который сам нередко ссылался на этот сервис, решил предъявить претензии, обвинив сервис в утечках ПДн. К счастью суд встал на сторону DLBI, что, по статистике, обычно бывает в 1-м случае из 10-ти (хотя статистика построена на базе судов общей юрисдикции, а не арбитража, в ведении которого теперь находятся дела по утечкам) 👩🏼‍⚖️

Но дело тут не в этом, а в том, что ровно об этом говорили все эксперты во время принятия законопроекта по оборотным штрафам 📜 А ведь помимо административных дел существует еще и поправка в Уголовный Кодекс в виде статьи 272.1 ("незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения"). Но Минцифры уверяло всех, что под действие новых поправок к УК подпадут только мошенники, осуществляющие незаконный доступ и распространяющие утекшие ПДн 😡 Сенатор Артем Шейкин также был оптимистично настроен, считая, что нарушением будет считаться только "незаконный оборот компьютерной информации, которая получена незаконным путем и содержит персональные данные". И вот претензия к DLBI со стороны государства...

Позже, Минцифры решило обсудить с отраслью и профильными ведомствами выведение из-под уголовной ответственности деятельности, связанной с расследованием утечек ПДн 🔍 Но пока, как мы видим, ситуация с мертвой точки не сдвинулась. Отрасль, сплотившаяся вокруг Ассоциации Больших Данных, подготовила проект поправок в ФЗ-152, но они так и не были до сих пор рассмотрены. Складывается такое впечатление, что отдельные неназванные лица не хотят давать ходу этой инициативе, держа всех на крючке 🪝 Схожая история и с рядом других законодательных ИБ-инициатив.

Много лет назад на одном из мероприятий с участием представителей разных структур 👮‍♂️ прозвучала мысль, что расследованием инцидентов ИБ могут заниматься только спецслужбы и правоохранительные органы, а всем остальным это должно быть запрещено. Чудится мне, что эта идея продолжает занимать головы регуляторов, которые своими действиями осознанно загоняют тему OSINT, мониторинга Даркнета, Threat Hunting и Figital Forensics и т.п. в серую зону с тем, чтобы... ну вы и сами все понимаете, не маленькие 😳

Надеюсь вчерашний отказ Google от мониторинга утекших паролей своих пользователей не связан с действиями РКН… 🤔

#тенденции #управлениеинцидентами #регулирование #утечка

Читать полностью…

Ну что, дамы и господа! Решили головоломки от GCHQ?.. 💂 У меня для вас тоже есть своя загадка. Помните, я 8 декабря опубликовал 24 ошибки ИБ? Кто-то оценил сами картинки, кому-то понравилась форма изложения материала, кто-то посчитал это банальщиной, кто-то просто пролистал этот заметочный марафон, кто-то удивился отходу от стандартной практики публикации 4-х постов в день. Так вот все это было непросто так... 🤔

В этих заметках зашифрована фраза, которую я и предлагаю вам дешифровать 🔑 Ну а чтобы у вас был стимул, предлагаю первому, кто отгадает, книгу (это же до сих пор лучший подарок) "The Modern Security Operations Center" со своим автографом. Хотя я и не Джозеф (это автор, мой бывший коллега), но почему-то многие просят у меня до сих пор автографы (на бейджиках, блокнотиках, Positive Research и др.) 📖 Кто не готов к книге, того ждет иной приз к новогоднему столу – бутылка хорошего алкоголя. На выбор – коньяк, водка, виски, вино... Победитель оценивается по времени публикации ответа в комментариях к этому посту. Кто первый, тот и получит приз. Непьющий победитель может заменить алкоголь на книгу... или, если он не читает по английски, набор чая или кофе (на выбор). Доставка за мой счет 🕹

Сможете раскрыть тайну этих сообщений, глядишь и другие зашифрованные сообщения сможете обнаружить... 🤔

#геймификация #криптография

Читать полностью…

Португалия 🇵🇹 внесла изменения в свой закон о киберпреступности, введя правовую защиту (safe harbor) для добросовестной деятельности исследователей безопасности, делая определенные действия, которые ранее считались незаконными, неподсудными при строгом соблюдении условий 💻

В новый раздел (статья 8-A) под названием "Действия, не подлежащие наказанию в силу общественной важности в области кибербезопасности" добавлено положение об исключении ряда действий из уголовной ответственности, если они направлены на повышение безопасности 🧑‍⚖️

Условия, при которых исследователь не будет привлекаться к ответственности: ✍️
6️⃣ Цель – только поиск уязвимостей, не созданных самим исследователем, и улучшение безопасности через уведомление.
2️⃣ Запрещено получать экономическую выгоду сверх обычного профессионального вознаграждения.
3️⃣ Уязвимость немедленно сообщается владельцу системы, контролеру данных и Португальскому национальному центру кибербезопасности (CNCS).
4️⃣ Действия должны быть строго необходимыми для обнаружения уязвимости и не должны нарушать работу системы, изменять/удалять данные или причинять вред.
5️⃣ Запрещена незаконная обработка персональных данных (в соответствии с GDPR).
6️⃣ Нельзя использовать вредоносные или запрещенные методы, такие как DoS/DDoS, социальная инженерия, фишинг, кража паролей, внедрение вредоносного ПО и прочее.
7️⃣ Все полученные данные должны оставаться конфиденциальными и удаляться в течение 10 дней после устранения уязвимости.
8️⃣ Если исследователь действует с согласия владельца системы, то он также освобождается от наказания, но все равно эти действия подлежат уведомлению в CNCS

Нововведение ясно определяет рамки легальной деятельности исследователей безопасности и одновременно защищает добросовестных хакеров от уголовного преследования за действия, направленные на благо кибербезопасности 🤔

#оценказащищенности #bugbounty #пентест

Читать полностью…

Закончим триптих о приватности и нашем будущем, начатый заметкой об эссе Мокси Марлинспайка и о ценности нарушения законов, небольшим рассказом "Зеркало" 🪞 Лю Цысиня, который многим больше известен по своей трилогии "Задача трех тел".

В "Зеркале" же 📖, одному из героев попадает в руки струнный компьютер (прообраз квантового), способный до мельчайших деталей смоделировать сценарии развития любой ситуации, начиная от Большого Взрыва и заканчивая поведением и действиями конкретных людей 💻

Эта технология дает герою неограниченный доступ к любой информации и предоставляет возможность следить за всеми людьми на планете. Рассказ ставит вопрос о границах личной свободы и приватности, о будущем общества, в котором невозможно нарушение закона, так как об этом сразу станет известно. Концовка рассказа интригующая... 🤔

ЗЫ. Мысль о моделировании различных сценариев 📇 с помощью квантового компьютера, который может перебирать комбинации из миллиардов параметров, достаточно интересна и заставляет задуматься о применении квантов не только для целей нарушения приватности, но и для целей ИБ. А это уже интересно...

#книга #pqc #тенденции

Читать полностью…

Вот тут Bloommbeg пишет, что администрация Трампа 🇺🇸 планирует в ближайшие неделе озвучить новую стратегию наступательных киберопераций против своих врагов, в реализацию которой будут вовлечены американские частные ИБ-компании. То, о чем я уже писал месяц назад, но тогда речь шла только об обсуждении этой темы, а тут уже началась активная работа. Так что ждем... 2026-й год обещает быть интересным 🤔 Красную кнопку жать никто не готов, а вот ноликами и единичками всех завалить – это пожалуйста.

#кибервойна #геополитика #регулирование

Читать полностью…

На прошлой неделе наш директор по информационной безопасности попросил меня сделать презентацию на тему "архитектура нулевого доверия".
Я не знаю, что это значит.
Я зарабатываю 340000 долларов в год.
Я не прикасался к брандмауэру со времен первого срока Обамы.
Но у меня есть сертификат CISSP.
Я сдал экзамен, зазубрив аббревиатуры.
Я до сих пор не знаю, что означает половина из них.
Я начал свою презентацию со слов "предположим, что нас взломали".
Все серьезно кивнули.
Я три раза произнес "эшелонированная оборона".
Совет директоров был очарован.
Затем младший аналитик подняла руку.
Она спросила, как мы будем внедрять микросегментацию.
Я почувствовал холодный пот.
Я сказал: "Отличный вопрос. Давайте обсудим это в частном порядке".
Она настаивала.
Я сказал, что нам следует "использовать решения на базе искусственного интеллекта".
Она спросила, какие именно.
Я ответил: "Те, что работают в облаке".
Она выглядела сбитой с толку.
Я сказал ей, что это естественно.
Я сказал: "Безопасность – это путь, а не конечная цель".
Генеральный директор начал аплодировать.
Я не знаю, почему.
Но другие присоединились к нему.
Аналитик перестала задавать вопросы.
Я закончил словами: "Безопасность – это ответственность каждого".
Это означало, что это не была ничья ответственность.
Особенно моя.
Через две недели нас взломали.
Я обвинил аналитика в "создании культуры сомнений".
Ее отправили на программу профессионального развития.
Меня повысили до вице-президента.
Устойчивость – это не предотвращение неудач.
Это выживание после них.
Желательно, когда другие не выживают.

Украдено из Твиттера и переведено с супостатного 😎

#юмор #cxo

Читать полностью…

Центр правительственной связи Великобритании 💂 выпустил свой очередной набор ежегодных головоломок. Внизу я выложил сам сборник, а по ссылке выше можно найти файлик с подсказками и ответами, если вам будет тяжело 🎮 или вы просто сразу захотите узнать правильные ответы, отговаривая себя тем, что вы не знаете английского языка. На сайте BBC часть головоломок автоматизирована. Так что разомните свои извилины в эти серые (бу)дни 🕹

#криптография #геймификация

Читать полностью…

Это прекрасно 😀

ЗЫ. Утащил у коллег.

#юмор #суверенитет

Читать полностью…

MITRE опубликовала 2025 Common Weakness Enumeration (CWE™) Top 25 Most Dangerous Software Weaknesses list (CWE™ Top 25) – ежегодный рейтинг слабых мест в коде, которые часто и легко эксплуатирую злоумышленникам 👨‍💻 и в реальных инцидентах, приводя к серьезным последствиям (кража данных, выполнение произвольного кода, отказ в обслуживании и т.п.). Список составляется на основе тысяч записей CVE с оценками их частоты и тяжести. Это помогает (должно помогать 🧑‍💻) разработчикам и командам безопасности понять, на какие виды ошибок в первую очередь стоит обратить внимание.

Топ25 этого года выглядит так:
6️⃣ CWE-79 – Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)
2️⃣ CWE-89 – Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)
3️⃣ CWE-352 – Cross-Site Request Forgery (CSRF)
4️⃣ CWE-862 – Missing Authorization
5️⃣ CWE-787 – Out-of-bounds Write
6️⃣ CWE-22 – Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)
7️⃣ CWE-416 – Use After Free
8️⃣ CWE-125 – Out-of-bounds Read
9️⃣ CWE-78 – Improper Neutralization of Special Elements used in an OS Command (OS Command Injection)
6️⃣1️⃣ CWE-94 – Improper Control of Generation of Code (Code Injection)
6️⃣6️⃣ CWE-120 – Buffer Copy without Checking Size of Input (Classic Buffer Overflow)
6️⃣2️⃣ CWE-434 – Unrestricted Upload of File with Dangerous Type
6️⃣3️⃣ CWE-476 – NULL Pointer Dereference
6️⃣4️⃣ CWE-121 – Stack-based Buffer Overflow
6️⃣5️⃣ CWE-502 – Deserialization of Untrusted Data
6️⃣6️⃣ CWE-122 – Heap-based Buffer Overflow
6️⃣7️⃣ CWE-863 – Incorrect Authorization
6️⃣8️⃣ CWE-20 – Improper Input Validation
6️⃣9️⃣ CWE-284 – Improper Access Control
2️⃣1️⃣ CWE-200 – Exposure of Sensitive Information to an Unauthorized Actor
2️⃣6️⃣ CWE-306 – Missing Authentication for Critical Function
2️⃣2️⃣ CWE-918 – Server-Side Request Forgery (SSRF)
2️⃣3️⃣ CWE-77 – Improper Neutralization of Special Elements used in a Command (Command Injection)
2️⃣4️⃣ CWE-639 – Authorization Bypass Through User-Controlled Key
2️⃣5️⃣ CWE-770 – Allocation of Resources Without Limits or Throttling 🤔

#уязвимость #mitre

Читать полностью…

Мир кибербезопасности стремительно меняется – и мы меняемся вместе с ним 🤪 В условиях турбулентности 2025–2026 годов отрасль как никогда нуждается не только в технологиях, но и в новых смыслах, новых подходах и новых людях. Кибербезопасность все чаще становится зеркалом, в котором отражаются зрелость управления, культура компании, устойчивость процессов, поведение людей и способность бизнеса адаптироваться. Давайте поговорим об этом?! 🤔 Мы объявляем прием заявок на выступления на PHDays 2026 и приглашаем специалистов, руководителей и исследователей подать доклады, которые помогут увидеть, – какими мы становимся, когда меняется среда вокруг нас.

А как ответственный в очередной раз за бизнес-трек фестиваля, хочу специально подсветить, что мы ищем выступления по следующим направлениям бизнес-программы:
➡️ Кибербез малого и среднего бизнеса. Как МСБ живет в условиях растущих угроз и ограниченных ресурсов? Какие практики крупных компаний можно адаптировать "в малом масштабе"? Где проходит граница между достаточной защитой и чрезмерными ожиданиями? Какие практики реально работают, а какие можно выбросить на свалку истории? 👶

➡️ Security Leader. Эволюция роли руководителя ИБ: от "охранника процессов" к бизнес-наставнику, архитектору рисков, стратегу и переговорщику. Переходные карьерные траектории, развитие лидерства, управление командами в эпоху перегрузки и постоянных изменений 🧐

➡️ Современные и будущие технологии мониторинга и реагирования. Data-first SOC, автономный SOC, атрофия навыков при переходе на рои ИИ-агентов, заменяющих L1, обучение ИИ-моделей, автоматизация реагирования, киберразведка нового поколения – все, что движет обнаружение и реагирование вперед. Как меняются инструменты? И чему они нас учат, если смотреть на них как в зеркало – отражение зрелости процессов или их хаоса? 🔍

➡️ Антикризисный 2026 год. Рост налогов, сжатие бюджетов, сокращение штатов, нестабильность, сложная геополика и неуверенность в собственном будущем – как в таких условиях выживать специалистам и руководителям ИБ? Как доказать свою ценность, оптимизировать ресурсы, выстроить автоматизацию, договариваться с бизнесом и делать больше меньшим?

➡️ Отличные люди в ИБ. Нейроотличие в ИБ, когнитивные искажения, бехевиористика и виктимология – все, что помогает не только понимать людей, включая и хакеров, но и лучше строить команды, процессы и коммуникации. Почему "другие" способы мышления становятся суперсилой в ИБ? 🎶

➡️ Доказательство ИБ. Как сегодня бизнес доказывает свою защищенность? Bug bounty, кибериспытания, имитация реальных атак, верификация недопустимых событий, страхование, публичная отчетность... И главное – почему любое доказательство безопасности тоже становится зеркалом, показывающим не только зрелость технологий, но и честность организации перед собой и своими клиентами 🧑‍💻

➡️ А также много иных направлений: атаки через подрядчиков и цепочки поставок, геймификация и игровые форматы в ИБ, прогнозирование и футурология новых технологий, моделирование будущих угроз, новые модели сотрудничества бизнеса и государства, нестандартные подходы к обучению, формированию культуры и управлению рисками 👾

Мы ищем доклады, которые не просто информируют, а заставляют задуматься – о будущем, о нашей профессии, о людях, о технологиях. Доклады, которые показывают, как кибербезопасность отражает нас самих: наши слабости, наши сильные стороны и наш потенциал к росту 🪞

Если у вас есть идея такого выступления – мы будем рады ее услышать. Не стесняйтесь, подавайтесь! 🤔

#мероприятие #phdays

Читать полностью…

Помните летний инцидент у Орион-Телеком, который даже посчитал до копейки размер нанесенного им хакерами ущерба? Их снова атаковали 🤕 Но вроде все под контролем! А как иначе? Сложно думать, что компания не извлекла уроков из прошлого инцидента. Иначе это будет выглядеть очень странно, хотя и так по-русски. Ведь у нас часто думают, что снаряд дважды в одну воронку не попадает. Хотя любой артилерист вам скажет, что попадает, все зависит от плотности огня. Так и тут... Будем посмотреть на то, как быстро восстановится телеком-оператор 📡

На фоне этого инцидента, заявлений хакеров о взломе "Микорда" (хотя МинОбороны уже опровергло) и уничтожении всех данных реестра воинского учета 🔓, а также ряда других не столь публичных пока инцидентов, я вдруг подумал, что ближайшую неделю мы можем услышать и о других резонансных и массовых инцидентах ИБ. Ведь скоро у нас будет прямая линия с президентом (19-го декабря) и это прекрасный повод либо попробовать ее сорвать, атакуя телеком-провайдеров, либо увеличить число вопросов "Доколе", некоторые из которых могут прорваться и в "прямой" эфир. Так что и тут будем посмотреть, насколько эта повестка будет взята на флаг хакерами, которые обычно чутко следят за тем, что можно использовать для усиления своей вредоносной активности 🥷

#инцидент #антикризис

Читать полностью…

Подписчик, за что ему спасибо 🤝, прислал интересный кейс про разгорающийся скандал в узбекском финтехе. История между экосистемой Humans и платежной организацией Paylov (Octagram) начиналась как обычный технический инцидент, но очень быстро превратилась в более серьезный конфликт 🇺🇿

Humans – один из самых заметных цифровых игроков Узбекистана. Это суперапп, объединяющий мобильного оператора, финтех-сервисы, кошелек, кэшбэк, маркетплейс и платежи 💬 По сути, это экосистема "одного окна", через которую миллионы пользователей совершают повседневные операции. Чтобы эти платежи работали, Humans использует инфраструктуру внешнего партнера – платежной организации Paylov, работающей под брендом Octagram AJ. Paylov предоставляет API, ключи и технологическую платформу, через которую проходят платежи и P2P-переводы. Их роль – "фундамент" финтеха: незаметная, но критически важная 💻

И вот 6 декабря система риск-мониторинга Paylov фиксирует подозрительные транзакции 🤌, Humans об этом уведомляют, операции временно блокируются. 7 декабря Humans направляет официальное письмо: "уязвимость устранена, фрод остановлен" и просит снова разрешить проведение операций. А уже 8 декабря происходит массовое списание средств у пользователей 🤑

Версия Paylov: злоумышленники использовали валидные шифровальные ключи Humans 🔑 Инфраструктура Paylov при этом не была взломана. Официальная позиция платежного сервиса: ответственность за безопасное хранение этих ключей лежит полностью на Humans, и другие партнеры Paylov проблем не испытывают 🤷‍♀️

Самое стремное во всей этой истории – письмо Humans от 7 декабря ✉️ Если менеджмент действительно заверил партнера в устранении проблемы, но полного анализа ситуации и ее источника так и не провел, то это уже выходит за рамки ИТ и ИБ и попадает в категорию необоснованного принятия риска. Paylov сейчас защищает себя, свою репутацию и лицензию перед местным регулятором, показывая, что проблема локализована и это проблема у партнера 👨‍💻 Для Humans ситуация выглядит куда тяжелее: если проверка подтвердит, что они настояли на включении прохождении транзакций преждевременно, то восстановить доверие B2B-рынка будет чрезвычайно сложно. В финтехе доверие теряется мгновенно.

Сейчас все ждут официального ответа Humans... ⏳

#инцидент

Читать полностью…

🤓🤓🤓🤓🤓🤓🤓🤓

🖲️ Технологии всё сильнее интегрируются в наш быт. Но чем больше функций и возможностей они предлагают, тем больше вопросов возникает у пользователей.

🤓 Сегодня в нашей рубрике #миф_или_реальность — один из самых распространённых цифровых страхов: кажется, что «умные» колонки постоянно подслушивают наши разговоры, чтобы потом показывать таргетированную рекламу в других сервисах.

Что на самом деле слышат и запоминают эти устройства? Делают ли они это круглосуточно? И главное, куда «умные» колонки передают полученную информацию?

📌 Ответы – в наших карточках!


🅱️ Интеграл в VK | 📤 Интеграл в MAX

Читать полностью…

Павел пишет интересное. В США арестовали 👮 двух близнецов, работающих в ИТ-компании, которая обслуживала федеральное правительство. Судя по тексту приговора, братаны крали данные и пароли, удаляли базы данных, подтирали следы своей деятельности в системах налогового ведомства, минсельхоза, минэнерго, регуляторов по национальной безопасности. Вроде обычная история, но есть один нюанс... Близнецов в 2015 уже осудили за кражу компьютерных данных 😡

А где хваленый скрининг персонала при доступе к федеральным ИТ-системам? Хотя Задорнов и был прав 🤦‍♂️, но я задумался, а насколько реален такой кейс у нас? Как проверяются сотрудники ИТ-подрядчиков, имеющие доступ к отечественным государственным информационным системам? Проверяются ли они вообще? 🤔

Тут сорока на хвосте принесла 😂, что один аутсорсинговый SOC на субподряд взял одну команду из очень ближнего зарубежья, а там тоже решили сэкономить и взяли на работу гражданина Украины со всеми вытекающими... из защищаемой SOCом компании данными, которые после были пошифрованы 🤒

А у вас в политике ИБ для подрядчиков учитывается такой риск? 🤔

#инцидент #ответственность #supplychain

Читать полностью…