О как 🧠

#ии #пентест

Тоже самое управление ООН разработало и кооперативную настольную командную игру CyberStrike 🎲 для 4-6 игроков, в которой участники должны разработать общую стратегию борьбы с киберпреступностью. Постоянно меняющийся ландшафт игры требует от игроков критического мышления, внимательного слушания, перехода от руководящей роли к вспомогательной в зависимости от необходимого набора навыков, прогнозирования последствий и формулировки возможных решений 🎮

Требуя от игроков совместной работы, игра также укрепляет их навыки функционирования в команде 🃏 В Cyberstrike либо все выигрывают, либо все проигрывают – нет одного победителя. Успешная глобальная команда должна пройти десять раундов геймплея, чтобы выиграть. Карточки с инструкциями, правила игры, игровое поле и другие игровые материалы выложены в открытом доступе на русском и английском языках на сайте ООН 🕹

#геймификация

В рамках инициативы "Образование во имя правосудия" (E4J) Управлением ООН по наркотикам и преступности была разработана серия модулей по киберпреступности (доступно на русском языке) 👨‍🏫 Эти университетские модули включают как теоретические концепции, так и практические знания. Не то, чтобы очень глубоко, но и делалось в расчете на не специалистов 👩🏼‍⚖️

Кроме того, эти модули имеют междисциплинарный характер, поскольку посвящены разным темам и содержат материалы по различным аспектам киберпреступности и расследования киберпреступлений 🥷 Дополнительные методические указания для преподавателей содержатся в разработанном в рамках E4J Учебно-методическом пособии по киберпреступности. Все на русском языке 🇷🇺

#обучение #киберпреступность

15-минутный опросник от Google для оценки 🧮 зрелости SecOps-процессов, технологий и команды. Не заполняйте с рабочих IP-адресов, чтобы не сообщить недружественному государству информацию о своей защищенности! 🤔

#soc #maturity

CrowdStrike 🇷🇺 разродился ежегодным отчетом об угрозах и нарушителях ИБ. Среди интересных цифр:
1️⃣ Общие тенденции в киберугрозах
➖ Кибератаки становятся быстрее, сложнее и чаще обходятся без вредоносного ПО: 79% инцидентов в 2024-м были malware-free (в 2019 таких было 40%).
➖ Среднее время взлома (breakout time) сократилось до 48 минут, рекорд — 51 секунда.
➖ Основные векторы начального доступа — компрометация учетных данных, социальная инженерия (особенно по телефону) и эксплуатация уязвимостей.
➖ 52% обнаруженных уязвимостей связаны с начальными этапами атаки.
➖ Объявления от брокеров доступа выросли на 50% за год.

2️⃣ Социальная инженерия
➖ Вишинг вырос на 442%.
➖ APT-группы вроде CURLY SPIDER, CHATTY SPIDER, PLUMP SPIDER используют телефонные звонки от "IT-поддержки" для установки RMM-инструментов, похищения данных или проведения финансового мошенничества.
➖ Распространяются атаки через обман служб поддержки для сброса паролей/MFA.

3️⃣ Генеративный ИИ в руках атакующих, который используется для:
➖ Создания фишинговых писем, deepfake-аудио/видео, фальшивых профилей в LinkedIn.
➖ Проведения операций по дезинформации.
➖ Автоматизации написания скриптов, создания сайтов-приманок, помощи в разработке эксплойтов.
➖ LLM-фишинга, который показывает CTR 54% против 12% у "человеческого" фишинга.
➖ LLMJacking – кражи доступа к облачным LLM-сервисам для перепродажи.

4️⃣ Нарушители и геополитика
➖ Китай – рост активности на 150% (в отдельных секторах – до 300%), появление специализированных групп (например, VAULT PANDA для финсектора).
➖ КНДР (FAMOUS CHOLLIMA) масштабно применяет инсайдерские схемы (IT-сотрудники под вымышленными личностями).
➖ Всего в 2024-м выявлено 26 новых APT, общее число отслеживаемых – 257.

5️⃣ Облака и учетные записи
➖ 35% облачных инцидентов – злоупотребление валидными учетными записями.
➖ Нарушители активно двигаются по облачной инфраструктуре через доверенные связи, кэшированные учетные записи и инструменты управления VM.
➖ Появляются новые тактики обхода политик безопасности, в т.ч. замена методов MFA.

6️⃣ Эксплуатация уязвимостей
➖ Популярные цели – пограничные устройства и сетевое оборудование.
➖ Растет применение цепочек эксплойтов (exploit chaining) и злоупотребление легитимными функциями (например, xp_cmdshell в SQL Server).
➖ Наблюдается тренд на повторное использование векторов атак и быстрое создание альтернативных эксплойтов.

7️⃣ Ключевые рекомендации
➖ Приоритетная защита идентификаций и MFA.
➖ Проактивное устранение уязвимостей (особенно в публично доступных системах).
➖ Мониторинг и защита облачных сред.
➖ Использование AI-driven threat hunting для обнаружения скрытых атак.
➖ Максимальное сокращение времени реагирования на инциденты.

#статистика #тенденции

Из наблюдений 👀 За очень короткий срок с начала августа успел выступить про кибербезопасность для инвестиционных аналитиков, договориться об участии в обучении топ-менеджеров тематике кибербеза в двух бизнес-школах, вписаться в обучение топов в рамках парочки корпоративных университетов, провести встречи с топами 🧐 ряда взломанных компаний (по их инициативе), а также выступить перед учениками 8-10 классов в рамках Летней экономической школы (фото оттуда).

Мне кажется, что у нас в индустрии наступил некий перелом, когда тема ИБ действительно выходит за рамки только специалистов и становится интересной 🤔 для бизнеса и с точки зрения бизнеса. А это требует немного иного подхода к рассказу об этой теме для неподготовленной аудитории на языке, понятной именно для нее. Для топов - свои аналогии, для инвесторов свои, для школьников (самая сложная для меня аудитория) - свои. Но это и интересно... 🙂 Каждый раз новый challenge и новый опыт. Наконец-то название блога "Бизнес без опасности" начинает оправдывать свое название...

#бизнес #тенденции #cxo

Дуров опят щелкнул по носу Роскомнадзор 🔢, продемонстрировав, кто реально борется с утечками персональных данных, а кто только делает вид. В 2022 году я уже писал о канале "Черное зеркало", который еженедельно выкладывал у себя переписку чиновников, политиков, бизнесменов и иных известных личностей. Причем переписка измерялась тысячами и десятками тысяч сообщений за долгие годы 📭

Каким-то образом "Черное зеркало" получало доступ ко всему этому массиву данных, содержащих очень чувствительную информацию - от зарубежных активов государственных чиновников и данных по межгосударственным сделкам ✈️ до коррупционных схем и персональных данных. И все делали вид, что так и должно быть, что ничего не происходит, что сделать ничего нельзя. И вот в один день, Дуров объявляет о начале борьбы с каналами, публикующими чужие персданные, и в тот же день блокирует "Черное зеркало". Потому что может! 💪

#утечка

Говорят, в нашем городе 🏰 скоро начнут чинить пару мостов – вроде бы временно, но кто их знает… На один мост, говорят, просто повесят табличку "проход затруднен", а другой – могут и вовсе разобрать доски, что не пройдешь, не проедешь. Чтобы не остаться на берегу, пока все машут друг другу с противоположного берега, стоит заранее запомнить пару потайных ходов, которые не все знают, но с помощью которых можно перебираться на ту сторону 🔐 А еще не мешало бы переписать адреса всех ярмарок, лавочек и шумных площадей, куда вы ходите за историями и новостями, – мало ли, телегу придется гнать в другой город, и будет обидно, если забудете, где все это найти.

#суверенитет #мессенджер

Помните историю с UnitedHealth Group, которая пострадала от действий шифровальщика 😷 и выплатила выкуп в размере 22 миллионов долларов? Так вот в начале года компания опубликовала годовой отчет, в котором зафиксировала убытки от кибератаки в размере... гигантских 3,09 миллиардов долларов, что делает этот инцидент самым дорогим в мире за всю историю кибербеза! 🏆

#ущерб

Грядет сезон мероприятий по SOCам...

#юмор

Тот случай, когда сначала ты используешь стандартную функцию проверки надежности пароля 🔏 и все ОК, а потом добавляешь в форму новое правило с минимальной длиной пароля, которое никак не связано со всеми предыдущими проверками. И получается конфуз - одна функция дает добро, а другая - нет 👩‍💻

ЗЫ. Пример правильного скрипта по проверке стойкости пароля есть у меня в блоге.

#аутентификация #ux #юзабилити

Представьте: тихое утро в офисе Бокума‑Хёвеля, Германия 🇩🇪 Основатель одноименной компании Вильгельм Эйнхаус приходит на работу и оказывается перед неприятным сюрпризом – на каждом принтере – записка: "Wir haben Euch gehackt. Alle weiteren Informationen übers Darknet" (“Мы взломали вас. Все дальше – в Даркнете”) 😷 Ни один компьютер, ни один сервер не поднимается. Это случилось весной 2023 года – и стало началом конца для компании, которая когда-то была пионером сервиса страхования телефонов по всей Германии 📞

Einhaus Group, на пике своего развития: 📞
➡️ Обслуживала более 5 000 магазинов,
➡️ Генерила оборот до 70 млн €,
➡️ Имела около 170 сотрудников.

Но атака с требованием выкупа в биткойнах в сумме 200000 евро (≈ 230000 долларов) все изменила 📞 Даже несмотря на то, что компании удалось его выплатить, ИТ‑инфраструктура так и не восстановилась, связи с партнерами были прерваны, страховые выплаты пришлось перевести на ручные процессы – убытки достигли семизначной суммы 🤑

Выживали как могли: урезали штат с более чем 100 до всего 8 сотрудников, продали недвижимость 🛍 И даже после ареста троих предполагаемых подозреваемых и изъятия у них криптовалюты ситуация не изменилась к лучшему – государство не вернуло компании ее выкуп, сделав реструктуризацию и возврат в предатакованное состояние невозможным ⛔️

В итоге три связанных компании, включая 24 logistics GmbH, подали на инсольвенцию, то есть статус должника, когда он находится в полной невозможности выполнить принятые на себя обязательства 🤷‍♀️, а мобильный ремонтный бизнес свернули. Несмотря на это, Wilhelm Einhaus, 72‑летний ветеран бизнеса, не готов сдаваться — он настроен начать все сначала. И это единственный позитивный момент во всей истории 🙂

#инцидент #недопустимое #ущерб #ransomware

"Почему антивирус не смог защищить пользователей Диадок?", хотел я назвать свою заметку в блоге по событиям прошедшей недели с распространением вредоносного ПО 🦠 через отечественную систему электронного документооборота. Но потом стали появляться все новые и новые вопросы, которые затмили исходный ✉️ Но по итогам в этом инциденте все равно осталось очень много темных пятен, которы, я надеюсь, коллеги из СКБ Контур все-таки раскроют. Было бы интересно почитать, чтобы не домысливать худшее... 😷

#malware #инцидент #проблемыибкомпаний

Когда в один день в разных каналах от разных людей появляется текст, который иногда дословно копирует друг друга, у меня закрадываются некоторые сомнения, в том что это все написано независимо друг от друга. Повторяя слова известного депутата, мне кажется этим "и объясняется информационная активность, построенная на тиражировании фейковых новостей" 🤠

Интересно, когда все ссылаются на министра цифрового развития, который якобы сказал, что разработчики MAX согласовали все требования по безопасности с ФСБ, а само Минцифры согласовало модель угроз, то комментаторы и повторители чужих слов понимают разницу между "согласовали требования" и "реализовали требования"? 😦

Репутация – штука такая. Сейчас ты публично соврал, потому что тебя попросили в каких-нибудь администрации или секретариате опровергнуть пост, а завтра тебе уже никто не поверит, когда ты напишешь правду 🎭

#мессенджер #регулирование #дезинформация

Когда деревья были большими, а авторских ИБ-каналов не в пример больше, меня часто приглашали на различные мероприятия, которые проводили отечественные вендора в области кибербеза, выпускающие то новую DLP, то очередной отчет о российском рынке ИБ, то еще что-то очень важное ☝️

И я всегда задавал вопрос, а зачем вы меня зовете? 🤔 Ответ не блистал своей новизной и уникальностью. Орги хотели, чтобы я потом что-то написал про тему, которая была представлена на мероприятии. Я всегда уточнял, могу ли я писать то, что я думаю, особенно, если то, что я думаю, может отличаться от мнения приглашающей стороны не в лучшую сторону. На что приглашающие говорили, что, наверное, они не хотели бы, чтобы я писал негатив. На мой вопрос, а тогда зачем меня зовут, они всегда мялись ☺️

Также я задавал вопрос, а какой смысл 😔 мне тратить свое время, чтобы послушать про очередной российский NGFW, очередной российский SIEM, очередной российский WAF или сканер безопасности? Ведь я трачу свое время на то, что не очень-то мне интересно. И приглашающая сторона не всегда могла четко ответить и на этот вопрос. Кто-то думал, что сам факт приглашения – это круто. Другие мялись и говорили, что они готовы как-то компенсировать мое время, намекая то на бесплатный мерч и хавчик, то на деньги 🤑 В общем, про встать на место "заказчика" мало кто думал.

Я в такие игры не играю и в какой-то момент времени меня перестали приглашать ⛔️ И я не жалею об этом, но вижу, что есть авторы каналов, которые не столь разборчивы и ездят на такого рода мероприятия. И, к сожалению, они пишут не то, что они думают или стоило бы написать, а то, за что им заплатили; либо напрямую, либо через обещание платной рекламы, либо через оплату трансфера и проживание 🤑

Позиция приглашающего вендора мне понятна, а вот авторов каналов, если они не являются СМИ, не очень... 🚽 Ждать непредвзятого взгляда от них после хвалу возносящих постов не приходится. Потому что, когда ты им перестаешь платить, они тебя начнут или смешивать с говном, или игнорировать, как будто тебя и нет. Кто-то и вовсе берега путает, и еще и деньги требует за то, чтобы о тебе написать... В общем, ИБ-блогер, работающий за еду от спонсоров или деньги, - это путь в никуда 🤠 Хотя кого-то и такой вариант устраивает.

#ибфриланс

⚔️ Сегодня, внезапно, выступаю про применение искусственного интеллекта в военном деле с точки зрения кибербезопасности 🤖 Традиционно несколько слайдов из ста в презентации.

И также традиционно 1,5 часов не хватает, чтобы погрузиться в кейсы применения ИИ в сфере, в которой служат участники, угрозы и примеры инцидентов для ИИ в ней. А еще надо про ИИ на темной стороне и ИИ в ИБ… 🤯 Эх, когда придумают маховик времени…

#ии #презентация

Стал обращать внимание, что годовая отчетность 📈 крупных компаний (годовой отчет, отчет об устойчивом развитии и т.п.) стала включать в себя раздел по кибербезопасности. Пару лет назад такое было у "Почты России". Сейчас вот "Магнит" подтянулся, Аэрофлот про это написал, другие крупные игроки рынка 🙂

Так, глядишь, и в отчетах МСФО ✍️ станут появляться строки по потерям от инцидентов ИБ с раскрытием больших деталей о том, как в реальности компания занимается ИБ, сколько кибериспытаний провела, сколько на bug bounty выплатила, кому подчиняется ИБ и т.п. 🛡

#cxo

моргнешь не вовремя а хакер
уже прокинул reverse shell

Зашел разговор на дискуссии о SOCах, является ли ситуация с «Диадоком» инцидентом 🔓 и должен ли SOC реагировать на нее? Интересно, что мнения, как на секции, так и после, в кулуарах, разделились. Кто-то считает (и даже имеет соответствующий playbook), что да, надо сразу запускать процедуру, проверять , работаем ли мы с подрядчиком, попавшим в новости 🗞️, и, если попал, чистить доступы, включать дополнительный мониторинг, а то и compromise assessment заказывать. Кто-то же считает, что пока зараженный и отправленный через «Диадок» файл не прилетит в почту, то это не инцидент и напрягаться не надо 😂

Схожая история с другим упомянутым в той же заметке кейсом. Если тебя не хакнула APT, то это и не инцидент и сообщать никому не надо. Это же всего лишь недовольный сотрудник пакостит. Значит не жопа инцидент, молчим. Ну и что, что этот инсайдер мог работать в чьих-то интересах… 🇺🇸 А вот если бы к тебе постучались и на ломаноммрусском спросили бы: «Ни хао. Я твою АД шатал, отдавай мой выкуп, а то кирдык все твоя писи», тут-то все понятно и прямой путь в НКЦКИ или ФинЦЕРТ 👩‍💻

Как все-таки причудлив терминологический мир ИБ. Примерно как, КИИ ты значимый или право имеешь 😂

И, кстати, еще интересный вопрос. Несет ли «Диадок» ответственность за то, что его использовали как транспорт для рассылки вредоноса? Тоже ведь есть нюансы… 🤔

#стихи #управлениеинцидентами

11 февраля 2013 года система оповещения 📣 о чрезвычайных событиях (Emergency Alert System, EAS) была взломана на пяти телевизионных станциях в Монтане, Мичигане, Висконсине и Нью-Мехико. Обычное вещание было прервано и зрители увидели бегущую строку с ложным сообщением о смерти людей 💀

А тут столкнулся с кейсом. ТВ-компания 📡 по законодательству должна согласовать модель угроз с ФСТЭК, ФСБ и Минцифры. И ФСТЭК говорит - вы должны учесть в числе актуальных нарушителей иностранные спецслужбы. Нууу, Окэй (голосом Олега Тинькова). ФСБ говорит, ах, спецслужбы, ну тогда давайте СКЗИ класса КА 😨 И это для теле- и радиовещания.

Тут вопрос интеграция МАХа с ЕСИА покажется цветочками. И дело даже не в отсутствии необходимых криптографических решений, а в их неспособности встроиться в современную технологическую архитектуру СМИ 📻 При этом кейсы взлома радио и ТВ у нас в новейшей истории известны. Но вот как современными методами защищаться при устаревшей нормативке?.. Это вопрос-вопросов 🤔

А что Минцифры? А Минцифры собирает рабочие группы и ничего не делает, чтобы разрулить ситуацию 📺

#инцидент #сми

Интересное сравнение размеров совокупных штрафов 🤑, выписанных бигтех-компаниям за нарушение законодательства о персональных данных в разных странах, и доходов этих ИТ-монстров. Нельзя сказать, что эту суммы прям значительны для Apple, Google, Microsoft и иже с ними. Доход за несколько дней или не более пары-тройки процентов 🛍 Последние три года Microsoft 📱 растет на 15% в год, Apple 📱 - на 2-5%, Google 🌐 - 12-13%, Meta 📱 - 19-21%.

При таком ежегодном росте, основанном во многом на обработке данных, допустима ли потеря 2-3%? 🤔 Вопрос риторически-философский, но математик во мне говорит, что при таком росте штрафами можно пренебречь. Это будет осознанное бизнес-решение, пусть и не в интересах пользователей и клиентов. Но кто когда вообще интересовался их мнением?

Одно дело - небольшая частная компания, дорожащая каждым клиентом 👫, и совсем другое, - потоковый масштабный бизнес при отсутствии серьезной конкуренции. Плюс неповоротливый регулятор и хорошие юристы… В общем игру за права субъектов ПДн мы проиграли, как мне кажется 💸

#персональныеданные #ответственность

📺 Бизнес-консультант по информационной безопасности Алексей Лукацкий — гость нового выпуска «Что это было» с Василием Кучушевым на RTVI. Собрали цитаты

💬 О том, как организованы кибератаки: «По статистике последних, наверное, лет 10, [есть] основных три вектора, через которые начинаются практически все атаки во всем мире, и в России — не исключение. Это фишинговые письма: либо через электронную почту, либо в последнее время набирает тренд использование различных мессенджеров, как правило, это пока Telegram либо WhatsApp, но, я думаю, через какое-то время появится MAX в этом списке. На втором месте — это использование уязвимостей в непублично доступных сервисах: это веб-сайты, это сетевое оборудование и так далее. <...> И третий ключевой вектор — это утекшие пароли, учетные записи сотрудников компании, потому что люди достаточно ленивые, предпочитают оставлять одни и те же пароли для личных сервисов и для корпоративных».

💬 О мотивах хакеров: «Сегодня мотивация любой группировки, которая атакует Россию, — на 99% можно быть уверенными, что это идеология и геополитика. То есть, если до 2022 года в основном мотивация большинства группировок — если мы говорим именно о группировках, не о единичных хакерах, хактивистах и так далее, а именно о группировках — была финансовая мотивация. <...> То с 2022 года, по понятным причинам, атаки носят именно геополитический и идеологический характер, и каких-либо требований, выкупов и так далее обычно не выдвигается».

💬 О том, как допустили атаку на «Аэрофлот»: «Существует некая парадигма, в которую до сих пор многие специалисты по безопасности верят: что надо создать стену вокруг корпоративной сети. Если мы эту стену создадим, то внутри ничего уже защищать и мониторить не надо. <...> Если злоумышленники попали в инфраструктуру через, например, подрядчика, с которым были доверенные отношения, через сотрудника, например, сочувствующего (такая версия тоже существует), через подброшенную флешку, через присланный какой-то документ якобы от Налоговой и так далее... То есть он уже попал внутрь инфраструктуры, он не был обнаружен, потому что он создавался специально под конкретную компанию и, соответственно, ни антивирус, ни другие средства защиты его изначально не обнаружили. А дальше злоумышленник действительно закрепляется внутри, в таком незаметном режиме расширяет свой плацдарм, собирает разведывательную информацию об инфраструктуре и в какой-то момент времени наносит удары».

💬 О будущем кибератак: «Количество инцидентов будет только нарастать, потому что это достаточно простой, дешевый способ нанесения ущерба врагу. Для государств, которые не способны иметь, содержать серьезную армию и иметь серьезное вооружение, кибератаки являются „очень хорошим“, к сожалению, инструментом для донесения своих каких-то месседжей, сигналов до противника и нанесения ущерба противнику».

➡️ Смотрите полный выпуск по ссылке

⭕️ Подпишись на RTVI

Я конечно не JLo в Ереване, а ALu в Москве. Но столь же прекрасен, хотя мне и нет 56-ти 🎙 Да, кстати, эфир был не про Аэрофлот ✈️

#интервью

SentinelLabs (подразделение SentinelOne) 30 июля 2025 опубликовало исследование "China’s Covert Capabilities: Silk Spun From Hafnium" 🐉 В нем раскрывается более 10 патентов, зарегистрированных китайскими компаниями, связанными с хакерской группой Silk Typhoon (Hafnium), которые описывают продвинутые технологии кибершпионажа и цифровой криминалистики (со знаком минус) 🐲 Компании, где фигурируют обвиненные в работе на Hafnium злоумышленники, получали патенты на:
⚡️ восстановление файлов с Apple-устройств удаленно 📱
⚡️ расшифрование и дешифрование жестких дисков
⚡️ сбор сетевого трафика
⚡️ инструменты цифровой криминалистики, ранее неизвестные в публичных кейсах Silk Typhoon 🌪

Патенты и корпоративные связи указывают на стратегическую поддержку хакерских операций со стороны государства 🇨🇳, что усложняет однозначное определение принадлежности операций разведслужбам или частным подрядчикам. Исследование ставит под сомнение представление о том, что кибершпионаж – исключительно криминальный или теневой рынок: официально существующие компании получают патенты именно на разработку таких инструментов и без поддержки государства такое было бы невозможно 🥷

Хотя, как по мне, так это скорее демонстрирует открытость Китая 👲 Ну кто еще бы так смог - публично патентовать отдельные техники проведения атак. Американцы? Точно нет. Они секретят свои разработки, пока они не утекут в рамках какого-нибудь Vault7, а то и вовсе ничего не регистрируют, считая, что они выше закона. Другие спецслужбы? 🇷🇺 Да тоже самое - менталитет у всех схожий.

#apt

Тут подоспел очередной обзор "русских APT", курируемых отечественными ГРУ, ФСБ 🇷🇺 и СВР. Да, для иллюстрации не обошлось без бородатых гномов мужиков, хлещущих водку между взломами американской демократии (ушанки со звездой только не хватает и ручного медведя, выглядывающего из-за монитора). Основной вывод статьи - российские APT плохо скоординированы и поэтому не достигают своих целей 🇷🇺

Ох уж это американское самомнение и уверенность в том, что они все знают лучше других 🤦‍♂️ Откуда вообще взялась мысль, что разные спецслужбы, которые еще и действуют по-разному и для достижения разных целей внутри страны и за ее пределами, должны координировать свои усилия в киберпространстве?

Автор вообще пытался сопоставить тактики того же АНБ, свое МинОбороны и ЦРУ? 🇺🇸 Даже если не брать в расчет другие спецслужбы (а их в США 17; почти как мгновений весны), которые тоже имеют свои наступательные подразделения. Они тоже координируют свои усилия? Ага, щаз... Каждый преследует свою цель и не делится результатами с другими. Несмотря на якобы единое разведсообщество и координирующий орган в лице DNI 🎩

Вдруг что-то вспомнилось. Был у меня в ВУЗе 👨‍🏫 предмет (закрытый, понятно, с прошитыми тетрадками и портфелем, сдаваемым после каждой лекции под роспись в неприметное зарешетчатое окошко) по спецслужбам иностранных государств и изучали мы, как водится, американцев 👮 До сих пор с теплотой вспоминаю эти лекции. Не потому, что они были открытием. Скорее потому, что кто-то вообще рассказывал о внутрянке потенциального противника, его целях и задачах. Наверное, по ту сторону океана изучают наши спецслужбы 🇷🇺 и тоже благодарят своих преподов, часть которых, возможно, входила или входит в Troika Reports.

Лишний раз убеждаюсь, что оценивать определенные нюансы можно только очень долгое время прожив в стране и погрузившись в ее культуру и историю. Тогда многое становится понятным и действия отдельных людей и ведомств объяснимыми 🤔

#apt #threatintelligence #атрибуция

Просматривал руководство по курсу SANS по безопасности АСУ ТП, который я проходил очно в Амстердаме 🌷 Потом переключился на фотографии из Голландии, потом полез в Википедию читать про Вермеера, потом про Реформацию и кальвинизм, потом отвлекла новость из Великобритании про запрет VPN в туманном Альбионе... А потом как-то само собой одно сложилось с другим и родилась заметка в блоге о том, что общего между окнами в голландских средневековых домах и блокировками VPN ✍️

#суверенитет #vpn

Есть такая игра 🎮Wordle, где за 6 ходов вам надо угадать слово из пяти букв. Я в свое время пытался ее запрограммировать, сделав ИБ-версию. Но оказалось, что в английском словаре все около 12000 пятибуквенных слов и про ИБ из них очень малое число 🤏

Схожая история со стендапом 🤡 Красиво говорить могут не все. Красиво говорить про ИБ может еще меньше людей. Красиво шутить про кибербез могут единицы. Это если не опускаться до шуток уровня Петросяна🤦‍♂️

Воскресенье вечер… Самое время посмотреть ИБ-стендап в Кибердоме и оценить свое чувство юмора 😂

#видео #юмор

Вы когда-нибудь замечали, что наличие мощной системы защиты иногда делает людей не осторожнее, а наоборот — расслабляет их? 😎 Это когнитивное искажение известно как эффект Пельцмана. И в кибербезопасности он проявляется все чаще и чаще 🤓

Экономист Сэм Пельцман в 1975 году заметил, что после введения ремней безопасности водители стали ездить агрессивнее 🚘 Их субъективное чувство защищенности компенсировало эффект самой меры. Так появился термин «эффект Пельцмана» - склонность людей увеличивать рискованное поведение, когда чувствуют себя в безопасности 🥴 В кибербезе он тоже проявляется.

Когда в компании внедрены NGFW, EDR, SIEM, DLP и десятки других решений, сотрудники и менеджмент начинают думать: «Мы защищены, можно не напрягаться». В результате:
6️⃣Пользователи кликают на фишинг-ссылки - антивирус же спасет 🛡
2️⃣Админы игнорируют обновления - у нас же есть сканер уязвимостей 🤕
3️⃣Разработчики не проводят ревью кода - WAF же все отфильтрует 🪣

Получили ISO 27001? Прошли PCI DSS? Получили аттестат ФСТЭК? Отлично 🙂 Но это не гарантирует безопасности, если на практике процессы не работают, политики не читаются, а риски остаются на бумаге 🙃

«У нас все за firewall-ом и под MFA» — одна из самых опасных фраз. Исходная проблема никуда не девается: люди все равно кликнут на вредоносную ссылку, установят тулбар с майнером, сольют данные в Telegram или откроют доступ подрядчикам 🤬

Эффект Пельцмана приводит к тому, что защита работает не как «усиление», а как «успокоение», вызывающее рискованные действия 🥴 Это нарушает баланс между техническими мерами и человеческим поведением. Пока мы верим, что технологии могут полностью защитить нас от рисков, мы становимся уязвимее 🔓 Эффект Пельцмана — это напоминание: чем выше чувство защищенности, тем важнее помнить о здравом смысле.

#психология

Dropbox 📱 официально закрывает свой менеджер паролей Dropbox Passwords, который был основан на технологии купленного в 2019 году стартапа Valt. Работа всего сервиса будет полностью прекращена 28 октября 2025 года. Dropbox объясняет решение необходимостью сконцентрироваться на развитии основного продукта (облачного хранилища и рабочего пространства), поскольку продукт не приобрел значительную популярность на фоне конкурентов (Microsoft Authenticator, кстати, тоже ушел в небытие месяц назад) 🤷‍♀️

Ключевые даты для пользователей:
🗓️ 28 августа 2025 – доступ только для чтения. Невозможно добавлять новые пароли, отключено автозаполнение.
🗓️ 11 сентября 2025 – мобильное приложение прекращает работу. Доступ остается через браузерное расширение.
🗓️ 28 октября 2025 – полное отключение сервиса, удаление всех сохраненных паролей, платежных данных и прекращение функции мониторинга dark web для отслеживания утекших паролей.

Пользователям рекомендуется экспортировать данные через браузерное расширение 🖥 или мобильное приложение (в формате CSV) и, если есть необходимость, перейти на альтернативу – Dropbox рекомендует 1Password, но также подходят Bitwarden, Dashlane, LastPass или встроенные менеджеры ОС 🔏

Закрытие ❌ Dropbox Passwords – пример осознанной фокусировки на ключевых направлениях бизнеса и закрытия неприбыльных сервис в нише безопасности не принес значимой отдачи, поэтому приоритет возвращен к ключевым возможностям платформы 🔐

#аутентификация

Если каждая кухарка может управлять государством, то и каждая первая ракетка 🏸 мира может быть экспертом по кибербезопасности! Комментарии и ответы на них Кафельникова, конечно, доставляют особое удовольствие 🤣

Если колокольный звон помогает от атак волоконно-оптических дронов 🔔, то может колокола и от кибератак тоже спасают? Вы слышали об инцидентах ИБ в храмах РПЦ? Вот то-то и оно! Мне кажется этот вариант у нас еще не пробовали раскатывать на КИИ и ГИСы 🤔 И ведь это не просто импортозамещение, это еще и скрепно! 😦

Не могу не напомнить о чеклисте, который готовился для генерального директора, компанию которого взломали и который не знает, что делать 🧐 Сейчас это становится как никогда актуальным!

#управлениеинцидентами #cxo

Очень интересное и имеющее, как мне кажется, долгоиграющие последствия решение Верховного суда 👩🏼‍⚖️, который посчитал, что любая компания, продающая что-то в Интернет, обязана следить за фишинговыми сайтами, маскирующимися под ее ресурсы 🖥 Права жертвы, пострадавшей от действий мошенников, при этом должны быть защищены.

#регулирование #фишинг

На словах-то государство гражданам ничем пользоваться запрещать 📵 не планирует, наказывать за VPN не будет. А на деле?.. 🤔 Да, про возможное блокирование с 1-го августа Whatsapp и VPN я тоже читал, но там все настолько неконкретно, что пока выглядит больше уткой 🦆

ЗЫ. Еще и Speedtest заблочили. Как будто у спецслужб иностранных государств нет иных способов узнать структуру Рунета и используемое операторами связи оборудование и его конфигурацию... 😂 Но зато теперь иностранцы не узнают, когда у нас РКН замедляет Интернет. Может в этом был смысл?.. 🤔 Но когда телеком-журналист пишет, что не знает про рекомендуемый РКН сервис «ПроСеть», это о чем-то да говорит...

#суверенитет

Вот тут сервис DLBI проанализировал использование 🤔 пользователями паролей и оказалось, что 30% россиян используют всего 1-3 пароля и 47% – 4-7 паролей для всех своих сервисов в сети Интернет (данные только по известным утечкам). Отсюда можно сделать вроде как важный вывод, лежащий на поверхности. Все плохо, пользователи используют одни и те же пароли к разным сервисам и утечка из одного, может нанести ущерб и другим сервисам пользователя, если там тот же пароль 🔏

Вывод логичный, но неверный без дополнительной информации, что это были за сервисы ☺️ Если это сервисы однодневки, где ты зарегистрировался один раз и больше к ним не обращаешься, то и пофигу. А если у пользователя включен механизм многофакторной аутентификации, а в сервисе еще и контролируется, откуда пользователь регистрируется, то картина и вовсе не такая уж и печальная ✌️

Это примерно, как обсуждать, что директор Аэрофлота не менял пароль с 2022 года 😮 Ну и что? У меня есть пароли, которые с 2010-го года не менялись, но что-то ничего плохого из-за этого не происходило. И таких паролей у меня вагон и маленькая тележка... При наличии MFA и ряда дополнительных мер защиты неизменность пароля не говорит ровным счетом ни о чем 🤔

В общем, любая новость, неподкрепленная дополнительными сведениями и доказательствами, трактоваться можно от "ужас-ужас" до "да и хрен с ним".

#аутентификация #статистика

Любое сообщение 💬 об успешно проведенной кибератаке, от кого бы оно не исходило, должно проверяться из нескольких независимых источников; в идеале с сопредельных сторон ⚔️

И в обычной-то жизни часто заявления ничем не подкреплены и часто делаются для придания себе значимости в чужих глазах, а то и вовсе с целью дезинформации 🫢 В военное время ситуация только усугубляется и любое опубличивание факта кибератаки или инцидента, а также деталей вокруг них, может преследовать, среди прочих, цель введения в заблуждение противника, его запугивание, а также направление по ложному следу 🔫

Вот тут в одном канальчике с той стороны об этом явно пишут применительно к DDoS-атакам. Важна не только сама атака, но и возникающий страх 😱, не скрывала ли она иную деструктивную деятельность. Вас могут DDoSить просто потому, что вы попали под руку, а могут и для отвлечения внимания. Проверять надо обе версии, конечно. Но факт остается фактом - многие громкие заявления часто остаются только заявлениями 😝

Я, например, не очень верю в:

На протяжении года мы находились внутри их корпоративной сети, методично развивая доступ, углубляясь до самого ядра инфраструктуры — Tier0

Целый год! 😮 Но подтвердить или опровергнуть это заявление не могу. Хотя кейсы, когда злоумышленники сидели годами (11 лет даже было), знаю. Возможно, когда-нибудь узнаю что-нибудь в кулуарах и в данном случае. От самой авиакомпании вряд ли стоит ждать раскрытия подробностей даже на уровне 12Storeez 🤐 От обслуживающих компанию поставщиков ИБ-услуг, как подписавших с помпой всякие меморандумы и соглашения на ЦИПРе и ПМЭФе, так и от тех, кто там уже сидел до них, тоже вряд ли чего можно будет добиться (разве что на каком-нибудь закрытом мероприятии в каком-нибудь Завидово). Поэтому пока оцениваю только ручейки информации, которые ко мне стекаются из разных источников, но по которым сложно оценивать всю картину 🧩

#антикризис #дезинформация

Ох, не хотел я это комментировать, но по Рунету стали разгонять непроверенные факты о том, что якобы хакеры получили программное обеспечение и коды ядерных ракет Франции 🇫🇷 Причем большинство СМИ тупо репостят чей-то корявый перевод, да еще и приукрашенный для нагона страха. Итак, что же произошло на самом деле 🤔

23 июля 2025 года хакер под именем Neferpitou 🥷 опубликовал на форуме DarkForums образец данных объемом 13 ГБ, заявив, что это часть из 1 ТБ конфиденциальной информации французской оборонной компании Naval Group. Среди опубликованных данных — исходный код систем управления кораблем (CMS) 🚢, технические спецификации субмарин, внутренняя переписка, образы виртуальных машин, виртуальные двойники оборудования и данные симуляции, данные об ИТ-инфраструктуре и контракты ✍️

В открытых источниках, которые освещают предполагаемую утечку данных из французского судостроительного концерна Naval Group, не упоминается ядерное оружие ⚛️ как часть утекших материалов. Некоторые СМИ уточняют, что часть данных может относиться к программам, связанным с субмаринами класса Barracuda, которые у Франции действительно могут нести ядерные ракеты 🚀, однако никаких конкретных сведений о ядерном вооружении или технологиях в утечке явно не обнаружено и об этом не заявляют ни хакеры, ни эксперты. Но почему-то заявляют русскоязычные СМИ. Хотя учитывая нашу нынешнюю любовь к Европе 🌍, немудрено.

Naval Group описала это событие как “атака на репутацию” и заявила, что не обнаружила признаков взлома 🔓 своих IT‑систем и нарушения операций не выявлено (ну это вроде как классика уже при таких инцидентах). Они быстро заявили о реализации расследования, сотрудничестве с местным CERT и властями, но до сих пор не раскрыла детали, что подчеркивает деликатность ситуации 🤐

От хакеров нет публичных требований о выкупе — скорее это угроза: они давали 72 часа для контакта, затем выложили архив. Если утечка реальна, она затрагивает военные разработки ✈️, включая систему управления боевыми действиями на субмаринах и фрегатах, что представляет угрозу национальной безопасности Франции и ее партнеров 🤝 Данные могут включать уникальные технологии, контрактную и проектную информацию, имеющие ценность для разведки, конкурентов или неправительственных игроков 🎩

Утечка, дата которой совпала с национальной и бизнес-напряженностью, если она имеет место быть, подвергает опасности не только компанию, но и целую экспортную программу 🇫🇷 с Индией, Бразилией, Австралией, Египтом и другими странами, а это уже из серии недопустимых событий, особенно если контракты на поставку подлодок отложатся, а то и отменятся 🖕

ЗЫ. Тем временем МинОбороны Великобритании, с целью повышения навыков своих сотрудников в деле борьбы с кибератаками, запускает International Defence Esports Games 🎮 - международные военные киберспортивные игры. Думаю, хакеры многих стран, "любящих" Туманный Альбион, тоже захотят поиграть с поданными Его Величества 👑 И пусть победит опытнейший!

#инцидент #утечка