Еврокомиссия выпустила рекомендации по разработке дорожной карты по переходу на постквантовую криптографию 🤒 Ничего интересного в документе нет - одни разговоры о приверженности защите цифровой Европы, необходимости переходить на постквантовую криптографию, необходимости выбора стойкого и устраивающего все государства ЕС алгоритма и бла-бла-бла. Сама дорожная карта 🗺 должна быть разработана в течение ближайших двух лет, до 11 апреля 2026 года.

Приехал я на выставку-конференцию по ИБ GISEC и, на фоне буквально еще не высохшего после небывалого ливня и последующего наводнения Дубая, вдруг вспомнил о том, что столь катастрофические последствия, с которыми столкнулся крупнейший город ОАЭ 🇦🇪, могли бы произойти и по причине кибератаки. Тем более, что за последнее время было уже несколько кейсов, которые могли закончиться плохо.

Три небольших техасских города пострадали в этом январе от рук хакеров, которые попытались вывести из строя местные системы водоснабжения. В Панхендле (2000 жителей) хакеры 37000 раз за 4 дня пытались проникнуть за межсетевой экран 🤬, защищающий локальную критическую инфраструктуру. По словам муниципальных властей "атака была неуспешна, так как город отключил систему водоснабжения и управлял ею вручную". Как по мне, так это не то, чтобы неуспешная атака, а с другой стороны цели хакеры не достигли. В соседнем Мулшу (5000 жителей) атака была более успешной - система водоснабжения ⛲️ была переполнена прежде чем ее отключили и перевели в ручной режим работы. Аналогичные атаки наблюдались и в соседнем Локни (1500 жителей).

Ответственность за атаки взяла на себя группировка CyberArmyofRussia_Reborn, которая помимо американских систем водоснабжения в январе атаковала схожие объекты КИИ и в Польше. Но атакуют системы водоснабжения 🚰 не только они. В прошлом ноябре CISA выпустила предупреждение об атаках на такие системы со стороны иранских хакеров, а уже в марте советник по нацбезопасности Джек Салливан и администратор агентства по защите окружающей среды разослали письмо с предупреждением о росте числа атак на водоснабжение со стороны еще и китайских хакеров 👲

В Израиле тоже имело место инциденты с системами водоснабжения. А потом у нас были атаки на "Московский коллектор" со стороны проукраинской группировки. Число таких атак растет и только Нептун знает, когда количество перейдет в качество и на улицы хлынут потоки воды, сточных вод, фекалий и т.п. Хорошо бы никогда, но это уже маловероятно.

Сначала вы говорите, что в QR-кодах может скрываться угроза и ни при каких условиях не надо сканировать их, если вы на 101% не уверены в чистоте кода 🤓 А потом вы делаете QR частью Passkeys и призываете всех сканировать QR. И все это за пару лет 😈 Такая вот динамическая ИБ в стиле Agile...

В 1996-м году, когда Интернета в России еще почти не было и олдскульные ИТшники пользовались FIDOnet для обмена информацией, я столкнулся с первым в моей жизни примером атаки 📌 на цепочку поставок. В одной из эхоконференций (сейчас бы ее назвали каналом), которые распространяли обновления для антивируса Dr.Web 🕸, выложили фейковое обновление антивирусной базы, установка и запуск которой приводили к форматированию жесткого диска 🤦‍♂️ Прошло 30 лет, а антивирусные компании так и не делают выводы о том, что механизм распределения обновлений должен быть защищен!!!

Индийский 🇮🇳 антивирусный вендор eScan использовал для обновления обычный HTTP, без всякого шифрования (HTTPS), чем не преминули воспользоваться злые северокорейские 🇰🇵 хакеры, предположительно Kimsuky, которые засунули в обновления бэкдор и майнер криптовалют. Avast, нашедшая эту кампанию, назвала ее GuptiMiner. По ссылке "многабукаф", но ключевая идея уже описана - уязвимость в архитектуре обновления и все, амба 🔓

Чтобы у вас не создавалось ложных иллюзий напомню, что в 2017-м году от той же самой фигни пострадала и сама Avast, когда через ее сайт распространяли зараженное ПО CCleaner, которое успело скачать, по разным оценкам, от полумиллиона до миллиона пользователей Интернет 😮 А до этого, в феврале 2008 года, сайт индийского антивирусного разработчика AvSoft Technologies был взломан и на него был инсталлирован вредоносный код, заражающий компьютеры посетителей 😈 В феврале 2004 года, антивирусная компания F-Secure разослала своим подписчикам 👎 в Великобритании письмо с вирусом Netsky.B, а в ноябре 2002 года аналогичным образом отличилась Лаборатория Касперского, список рассылки которой был взломан и тысячи подписчиков получили копии червя Braid 🪱

У меня нет цели показывать пальцем 🫵 и кричать "сапожник без сапог" (все-таки и на старуху бывает проруха), просто отмечу два важных факта:
1️⃣ Сегодня архитекторы ИБ на вес золота 🏗, так как этому нигде не учат, а знания у людей этой специальности обычно выходят за рамки традиционных менеджеров по продуктам или даже разработчиков. Архитектор - это высшая каста ИБшников, которые знают все слабые места системы и могут путем изменения исходного проекта/архитектуры нивелировать потенциальные проблемы, которые потом могут дорого обойтись (по данным Forrester, устранение проблемы на этапе проектирования обходится в 30 раз дешевле 🤑, чем на этапе промышленной эксплуатации).
2️⃣ ZeroTrust придумали не просто так. И если отбросить в сторону маркетинговый булшит, когда вендора рассказывают, что они полностью реализовали ZT в своих продуктах, то важна сама идея, что нельзя никому безоговорочно доверять 🧐 и надо регулярно (в идеале постоянно) проверять любые соединения, попытки доступа, поведение, действия, трафик и т.п. "Доверяй, но проверяй" - это про ZeroTrust!

Ну а корпоративным ИБшникам я бы посоветовал при работе со своими вендорами по ИБ:
1️⃣ Узнать, есть ли в компании архитектор (не по должности, а по сути) и пообщаться с ним, чтобы он рассказал вам про архитектуру предлагаемого решения, а не просто зачитал маркетинговую листовку 🙏
2️⃣ Уточнить, как происходит обновление ваших продуктов; не важно, идет ли речь о сигнатурах, правилах, фидах TI, или об обновлении самого ПО 🆕
3️⃣ Разработать плейбук в расчете на то, что именно через обновление доверенного поставщика к вам прилетит бяка (посмотрите рекомендации ФСТЭК по обновлению ПО, там есть здравые мысли о том, как проверять все апдейты).

ЗЫ. Кстати, на PHD2 у нас будет целый Evasion-трек про обход средств защиты информации и что с этим делать...

В 1981-м году профессор Роджер Фишер, специализирующийся на теме переговоров 🤝 и управлении конфликтами в Гарвардском университете, занимался среди прочего и тематикой ядерной войны, включая и тему предотвращения случайного нажатия ядерной кнопки. Согласно предложенной им идеи 💡, пароли доступа от красной кнопки, которая находилась в ядерном чемоданчике Президента США, должны были храниться в капсуле, которая вшивалась в грудь офицера, сопровождавшего президента страны. При этом носитель чемоданчика с кнопкой ▶️, должен был также носить с собой и большой мясницкий нож, которым американский президент должен был сначала убить носителя капсулы, вынуть ее из бездыханного тела, вскрыть ее, вынуть оттуда пароли доступа, после чего уже ввести их для запуска ядерных ракет 🚀

Пентагон отказался от этой идеи, посчитав, что требование убить человека может повлиять на решение 🧐 президента нажать красную кнопку. С другой стороны ее нажатие приведет к смерти не одного, не ста и даже не миллиона, а сотен миллионов человек, что заставит человека десять раз подумать 😦 и, возможно, не допустить ядерного апокалипсиса. Прежде чем убить миллионы тех, кто где-то далеко, сначала надо было убить своими руками одного, того кто рядом. Это реальная история, но интересна она тем, что это очень интересный способ хранения одноразовых паролей, открывающих доступ к несказанно критическим системам, воздействие на которые могло бы привести к настолько катастрофическим последствиям, что я даже не знаю, можно ли такое событие называть недопустимым или ему надо придумывать свой собственный термин 🫡

Есть в криптографии такое понятие - "одноразовый блокнот". Его идея заключается в том, что при шифровании текста криптографический ключ 🗝 равен длине шифруемого текста, ключ случаен и используется в качестве гаммы ("накладывается" на открытый/закрытый текст), а также ключ используется только один раз! 1️⃣

В основе идеи одноразовых блокнотов 🗒 лежит шифр Вернама, для которого Клод Шеннон в 1949-м году доказал абсолютную криптографическую стойкость. Но использование таких шифров сопряжено с рядом неудобств - основным из которых является необходимость использования ключа с длиной, равной шифруемому сообщению, который используется только один раз. То есть вам нужно выстроить непростую инфраструктуру генерации, хранения и уничтожения ключевого материала 🗝

На видео (за что спасибо подписчику) вы видите пример простого принтера AMRRON DARK LABS- OTP, который как раз и пытается решать все эти задачи. Генеря одноразовые блокноты на 250/500/1000 символов, вы можете надежно защитить свою переписку в мессенджерах (не спрашивайте, 🤐 как вы будете переносить коды из блокнота в ПО для шифрования). Исходники ПО, включая и генератор случайных чисел, также выложены на сайте производителя. Так что если вы криптоанархист и фанат зашифрованной переписки, то этот принтер для вас! Даешь гражданскую криптографию в массы!!! 🤘

Ну что, вот и с межсетевыми экранами Cisco тоже беда. Не успела PaloAlto отчитаться о 10-тибалльной уязвимости, как в МСЭ Cisco ASA и Cisco Firepower нашли несколько уязвимостей с CVSS 8.6 (еще у двух CVSS 6.0), которые позволяют имплантировать в средства сетевой безопасности вредоносный код 👨‍💻, выполнять команды, потенциально перехватывать и передавать куда надо трафик, проходящий через устройство и даже использовать МСЭ как плацдарм для развития дальнейшей атаки 🧑‍💻 Кампания ArcaneDoor, за которой стоит прогосударственная группировка UAT4356 (или STORM-1849 по именованию Microsoft), началась еще прошлым летом, но с первыми признаками атак клиенты столкнулись в этом январе 🧑‍💻

Как пишет Cisco, обновления можно скачать в рамках действующего контракта на техподдержку, а для тех, у кого контракта нет, обратиться 📞 к представителю Cisco или в службу поддержки Cisco TAC за получением ссылки на обновление. Российским заказчикам это все сейчас недоступно. Так что делаем выводы, чтобы не попасть впросак, как ряд российских организаций, которые использовали МСЭ Fortinet, но не смогли вовремя их пропатчить 👨‍💻 и были взломаны через трендовые уязвимости, которые хакеры начали эксплуатировать очень быстро 😂

Техники, тактики и индикаторы описаны в блоге Talos, но конкретных рекомендаций, кроме как поставить патч, не дано. И не факт, что они есть в такой ситуации. Но в любом случае присмотритесь к рекомендациям вендорам по защите своих межсетевых экранов. В данном кейсе это не поможет, но на будущее (если вы не стремитесь перейти на PT NGFW, конечно, 😎) стоит их учесть.

Потихоньку осваиваем зарубежные СМИ, несем свет знаний в локальные массы 😊 А местами и сам узнаешь что-то новое. Например, комментируя вопросы журналиста из Dark Reading, узнал, что в Гане 🇬🇭 (это в Африке, если что) есть требование лицензирования специалистов по ИБ. Да-да, именно лицензирования, а не сертификации, и именно специалистов, а не ИБ-компаний. Это свежий закон, который заработал с прошлого года. По сути речь все равно идет об аналоге сертификации (проверка знаний и опыта), но с получением соответствующей аккредитации и занесением в реестр.

В 2009-м году в США готовилась схожая инициатива, но не прошла проверку здравым смыслом, так как было непонятно, как поддерживать уровень знаний специалистов на должном уровне 👨‍🎓 и постоянно его актуализировать? А без этого, идея лицензирования превращается в профанацию и еще одно "бумажное" требование. Но Гана - страна поменьше (при этом входит в тройку африканских стран с максимальным т.н. индексом ИБ) и может быть там эта идея и приживется.

ЗЫ. На фото выше ☝️ еще одна статья в зарубежном СМИ "имени меня"...

ЗЗЫ. Товарищ майор, если вы меня читаете, то знайте, что никаких секретов супостатским спецслужбам не раскрывал, к 275-й не приближался ни на йоту! 🫡

SIEM с ИИ, багбаунти с ИИ, пентесты с ИИ, обучение с ИИ, threat hunting с ИИ, управление сертификатами с ИИ, GRC с ИИ… 🧠 Если у вас у продукта или сервиса нет приставки AI-driven, AI Empowered или Supercharged by AI, то вас просто не пустят на порог в приличную арабскую компанию или на выставку 🇦🇪

А еще на GISEC, на каждом стенде свой SOAR, SIEM или XDR. И так как всем хочется выделиться, то все начинают создавать новые классы продуктов, добавляя буквы X (eXtended) или N (New). XSIEM, NXDR (это вообще странная конструкция)… Но самый беспроигрышный вариант - добавить в начало или конец AI. aiSIEM, aiXDR, aiBULLSHIT… 😂

Интересные плакаты на автобусных 🚌 остановках в Москве стали вешать. Похвально, что на эту проблему стали обращать внимание рядовых граждан, активно пользующихся общественным транспортом и часто и становящихся жертвами мошенников.

Меня в данном случае заинтересовала рекомендация позвонить в 112. У операторов 📞 "Службы 112" реально есть плейбук на действия при таких звонках? Они знают, что спрашивать у граждан, которые звонят с заявками на мошенников? И они знают, что делать потом, как сообщать в систему "Антифрод"? Вот прям интересно 🤔

Positive Technologies подвела итоги года с точки зрения зафиксированных 🟥 в прошлом году киберугроз. Подразделение Mandiant американской Google тоже сделало это, выпустив свой отчет M-Trends 2024. Но они, как это делают почти все ИБ-компании Нового Света, замесили все в один документ, который насчитывает под сотню страниц, что делает непростой задачу его чтения. То ли дело у нас - каждой теме свой отчет - хошь по угрозам за год, хошь по угрозам в ритейле, хошь по APT на Ближнем Востоке (очень хорошо зашло во время GISEC). А скоро будет еще один - про результаты работы наших пентестеров. Тем интереснее сравнивать то, что пишут в Mandiant с тем, что происходит у нас.

Один из основных показателей в отчете американцев - так называемое dwell time, то есть среднее время, которое есть у хакера, находящегося во внутренней инфраструктуре, пока его не заметит служба ИБ. За год этот показатель снизился с 16 дней до десяти. Что характерно, аналогичные цифры и у 🟥. Также совпадают у нас и показатели работы пентестеров - редтимерам Mandiant удается проникнуть в инфраструктуру за 5-7 дней, а "бойцам" ПТ на это требуется от 1 до 7 дней; минимальное время захвата контроллера домена у нас - 6,5 часов. К слову сказать, чтобы эффективным у службы ИБ время обнаружения и реагирования (TTR) должно быть меньше времени атаки (TTA) - в противном случае APT будут постоянно резвиться у вас в инфраструктуре.

Основной вектор атак по версии Mandiant - эксплойты. Фишинг обосновался на втором месте, третий - компрометация через ранее купленные доступы, затем идут украденные креды, а на пятом месте - подбор пароля. По данным 🟥 пятерка распределяется иначе:
1️⃣ Вредоносное ПО
2️⃣ Социальный инжиниринг, включая и фишинг
3️⃣ Эксплойты
4️⃣ Компрометация учетных данных
5️⃣ DDoS.

Кстати, именно через скопрометированные учетные записи от приложений, позволяющие персоналу удаленно подключаться к сервисам, и была взломана UnitedHealth Group, заявившая об инциденте стоимостью около 2 миллиардов долларов.

Из других тенденций, о которых пишет подразделение Google, которое взламывали в январе 2024-го года и которое троллили LockBit в 2022-м якобы имевшей место утечкой, можно назвать:
1️⃣ Фишинг эволюционирует и хакеры начинают использовать такие каналы как соцсети и мессенджеры (мы про это тоже писали)
2️⃣ Рост кейсов с обходом многофакторной аутентификации
3️⃣ Рост числа атак на облачные инфраструктуры
4️⃣ Использование ИИ в деятельности красных и фиолетовых команд (как по мне, так этот "тренд" - просто дань моде)
5️⃣ В 2023-м появилось 719 новых APT, которые отслеживает Mandiant. На мой взгляд это дурацкая метрика, так как сегодня каждый хакер создает новую "армию", один раз кого-нибудь дидоснет и затихает. А уж число группировок, появившихся в отчет на конфликт Израиля и ХАМАС, и вовсе зашкаливает. Так что не показатель, но общее число отслеживаемых группировок в 4000 штук выглядит солидно.

Вообще в отчете Mandiant много всяких циферок, так что есть в чем залипнуть 👇, пока не подоспела новая аналитика от 🟥

Был у меня как-то кейс, который привел к кардинальной смене мной и используемой техники, и отношения к хранению данных. У меня накрылся SDD на ноутбуке 💻; причем достаточно серьезно, без возможности восстановления. Диск был зашифрован и никто не смог помочь мне восстановить данные. Система резервного копирования на Винде у меня была установлена компанией, но из-за ее тормозов в процессе индексации и синхронизации данных, я ее в какой-то момент отключил и получил ценный урок 💡

В результате я поменял ноут с виндой на макбук, в котором Time Machine - это просто верх удобства резервирования данных. Действительно "настроил и забыл". Но страх потерять данные все-таки остался и я стал пользоваться правилом, которое, как я позже узнал, называется "3️⃣➖2️⃣➖1️⃣". Это стратегия, предложенная фотографом Питером Крогом, который так спасал свои фотографии от потерь (саму концепцию он взял у ИТшников):
3️⃣ - столько должно быть копий данных (например, ПК, облако, флешка) 💻
2️⃣ - столько должно быть различных носителей данных (например, жесткий диск ПК и внешний HDD или облако) 🌩
1️⃣ - столько должно быть копий в удаленном месте, вне офиса или дома; в зависимости от основного места вашей работы, (например, в облаке или NAS).

В корпоративной среде такое правило тоже применимо, но только для самых ценных данных (поэтому так важна классификация информации в компании). При этом стоит помнить о ряде важных нюансов:
1️⃣ Это поможет и для защиты от шифровальщиков в том числе!
2️⃣ Резервируя данные, не допустите, чтобы и бэкапы были тоже зашифрованы.
3️⃣ Не забывайте регулярно проверять, что вы можете получить доступ к бэкапам и, если вы используете специфический формат или шифрование, восстановить данные.
4️⃣ Храня данные в облаке, уточните, кто будет считаться их владельцем и что облачный провайдер с ними может делать (например, обучать свой ИИ)? Ну и про санкции не забудьте...

Тут, конечно, можно еще накрутить "цифр", например, учитывая хранение данных в стране нахождения и за ее пределами, но это уже для иноагентов параноиков.