Архив за месяц: Апрель 2023

Про наказания за утечки

2 комментария

Про наказания за утечки. Каждый раз, когда происходит громкая утечка персональных данных поднимается волна возмущения и призывов ужесточить наказание за это. Я не сторонник ужесточения наказания и вот почему.

1. Какие ваши доказательства? Возьмём последний кейс с Бизонами. Что мы видим? Пара скриншотов, на которых фрагменты ~50 записей. Само по себе ни о чем не говорит. Можно за пару часов по открытым данным нарисовать такие скрины и будет вполне убедительно. Даже если выложат полный дамп, где доказательства, что это не генеренка по данным из других утечек? Даже если доказано, что утечка имела место, где доказательства, что утечка произошла из конкретной организации, а не от партнёров? В общем, доказательство факта утечки это сложная процедура, это не "в одном анонимном телеграмм-канале написали". Если жёстко наказывать по сообщениям в телеге, то подставить можно будет любую организацию.

2. Вы точно хотите жёсткого наказания? Допустим доказали факт утечки из конкретной организации. В качестве наказания предлагается использовать оборотные штрафы, которые должны существенно повлиять на работу компании. Дескать тогда будут бояться и до утечек не доводить. Ну были, например, масштабные утечки из Яндекса (Еды) или СДЕКа. Вот вы правда считаете, что нам, как российскому обществу, будет лучше, если загнётся Яндекс или СДЕК? У нас много таких компаний? Нам без них лучше будет? Или если забрать у этих компаний значительную часть кэша, там уровень безопасности повысится? Вряд ли. Или, возвращаясь к Бизонам, это одна из ТОП5 ИБ компаний в РФ, если по ней ударят оборотными штрафами, значит злоумышленники, которые выполнили атаку, добились своего. Мы прям точно-точно этого хотим?

3. За каждой утечкой кроется проблема в базовых ИБ процессах, например забыли обновить уязвимый плагин в CMS-ке (и это наш любимый Vul­ner­a­bil­i­ty Man­age­ment) или DLP не поймал инсайдера. Не стоит ли в таком случае вместо угроз мега-штрафами уделять больше усилий регуляторному контролю за этими базовыми ИБ процессами в организациях? Да, это сложнее, но цель ведь не в том, чтобы посильнее и без того пострадавшие российские компании наказать, а чтобы таких утечек стало меньше.

Я обычно утечки не комментирую, но последняя бизоновская забавная

Добавить комментарий

Я обычно утечки не комментирую, но последняя бизоновская забавная. Судя по скриншотам, можно предположить, что были слиты данные специалистов-безопасников, которые ходили на оффлайн и онлайн мероприятия организованные BI.ZONE. В частности на "Q&A‑сессия: указ № 250 о дополнительных мерах кибербезопасности". 🤷‍♂️ Видно имя, фамилию, место работы, рабочий email, телефон, хеш пароля.

Выпустил блогопост и видяшку по апрельскому Micorosoft Patch Tuesday Vulristics для англоязычного канала и блога

Добавить комментарий

Выпустил блогопост и видяшку по апрельскому Micorosoft Patch Tues­day Vul­ris­tics для англоязычного канала и блога. По сравнению с первыми впечатлениями добавились Microsoft Word RCE (CVE-2023–28311) с эксплоитом и Win­dows Prag­mat­ic Gen­er­al Mul­ti­cast (PGM) RCE (CVE-2023–28250) похожая на Queue­Jumper RCE в MSMQ. Также добавил много RCE в Win­dows DNS Serv­er, но что-то определенное по ним сказать сложно.

Crit­i­cal
00:50 Ele­va­tion of Priv­i­lege — Win­dows Com­mon Log File Sys­tem Dri­ver (CVE-2023–28252)
01:44 Remote Code Exe­cu­tion — Microsoft Word (CVE-2023–28311)

Oth­er
02:18 Remote Code Exe­cu­tion — Microsoft Mes­sage Queu­ing (CVE-2023–21554) (Queue­Jumper)
03:17 Remote Code Exe­cu­tion — Win­dows Prag­mat­ic Gen­er­al Mul­ti­cast (PGM) (CVE-2023–28250)
04:05 Lots of CVEs Remote Code Exe­cu­tion – Microsoft Post­Script and PCL6 Class Print­er Dri­ver (CVE-2023–24884, CVE-2023–24885, CVE-2023–24886, CVE-2023–24887, CVE-2023–24924, CVE-2023–24925, CVE-2023–24926, CVE-2023–24927, CVE-2023–24928, CVE-2023–24929, CVE-2023–28243)
04:24 Lots of CVEs Remote Code Exe­cu­tion – Win­dows DNS Serv­er (CVE-2023–28254, CVE-2023–28255, CVE-2023–28256, CVE-2023–28278, CVE-2023–28305, CVE-2023–28306, CVE-2023–28307, CVE-2023–28308)
04:32 Remote Code Exe­cu­tion — DHCP Serv­er Ser­vice (CVE-2023–28231)

Video: https://youtu.be/aLt5k18jOwY
Video2 (for Rus­sia): https://vk.com/video-149273431_456239123
Blog­post: https://avleonov.com/2023/04/28/microsoft-patch-tuesday-april-2023-clfs-eop-word-rce-msmq-queuejumper-rce-pcl6-dns-dhcp/
Vul­ris­tics report: https://avleonov.com/vulristics_reports/ms_patch_tuesday_april2023_report_with_comments_ext_img.html

Год с великого исхода западных вендоров: судьба специалиста

Добавить комментарий

Год с великого исхода западных вендоров: судьба специалиста. С трудом уже верится, но раньше в РФ было возможно строить IT/ИБ системы, используя западные решения. 🙂 Более того, это был абсолютный мейнстрим. Как следствие, сотрудники российских компаний естественным образом развивались в крутых специалистов по продуктам Microsoft, Ora­cle, CISCO, PaloAl­to, AWS, Tenable/Qualys/Rapid7 и т.д. 😉 Собирали комплекты вендорских сертификатов, выстраивали красивые CV-шки.

Безусловно, в этом была своя прелесть. Ты используешь те же решения, что и крупные компании во всем развитом мире, твои скилы также востребованы в общемировом масштабе. А значит релокация туда, где лучше, выглядит как вполне себе план Б (а у кого-то и как план А). Минусом шла привязка к западным вендорам и их судьбе в России. Но что с ними сделается-то? 😏

Однако оказалось, что сделаться может много чего и очень быстро. И перед российскими специалистами по решениям западных вендоров всерьез встал выбор:

- продолжать делать то, что делали, а значит релоцироваться туда, где можно продолжать строить системы на западных решениях;
- остаться и строить системы на тех решениях, которые остались/появились в РФ;
- остаться, перестать строить системы и принять участие в копировании западных решений.

Релокация это всегда мероприятие на любителя. Тем более сейчас, когда "жить на 2 страны" стало совсем не так просто и комфортно. Переезд на запад теперь выглядит скорее как дорога в один конец.

Остаться и развиваться в чем-то другом это и потеря конкурентных преимуществ, и необходимость быстро учиться новому, и переход в новый локальный контекст. Опыт с Яндекс Клауд и Астра Линукс безусловно менее универсален, чем с AWS и RHEL. 🙂 Это нужно осознать и принять.

Никого не осуждаю, у всех свои ситуации. Но милей мне, безусловно, оставшиеся. Мы в одной лодке, выгребем. 🛶 🙂

Доли мирового (Device) Vulnerability Management рынка на 2021 год по версии IDC

1 комментарий

Доли мирового (Device) Vulnerability Management рынка на 2021 год по версии IDC

Доли мирового (Device) Vul­ner­a­bil­i­ty Man­age­ment рынка на 2021 год по версии IDC. Сам отчет "World­wide Device Vul­ner­a­bil­i­ty Man­age­ment Mar­ket Shares, 2021: The Stakes Are High" (Ставки высоки!) вышел в декабре 2022 года и вы могли насладиться этими чарующими 13 страницами уже тогда за какие-то жалкие $4,500.00. 😏 Однако Ten­able начали хвастаться своим первым местом в нем только сегодня. Видимо потому, что им только сегодня разрешили выложить бесплатный отрывок, включающий разделы: резюме, доля рынка, кто повлиял на год, контекст рынка, приложение и дополнительная информация. Почитаем, порефлексируем, прокомментируем. Пока же можно констатировать то, что большая тройка не поменялась, это всё ещё: Ten­able, Qualys и Rapid7. В принципе и по ощущениям оно как-то так же.

О возможной принудительной предустановке отечественных ОС на импортируемые ноутбуки и ПК

Добавить комментарий

О возможной принудительной предустановке отечественных ОС на импортируемые ноутбуки и ПК. Сообщает нам Ъ со ссылкой на источник в правительстве. Якобы это инициатива Минцифры и обязанность делать предустановку возложат на ритейлеров. Если предположить, что так и будет, хорошо ли это? Смотря кому.

1. Вендорам отечественных ОС хорошо, т.к. дополнительный доход от OEM лицензий.

2. Государству хорошо, т.к. это поддержка вендоров отечественных ОС, которая не требует бюджетных вливаний. Теоретически может несколько уменьшиться доля западных ОС и зависимость от них.

3. Ритейлу плохо. На них ляжет дополнительная работа по предустановке, тестированию совместимости и т.п. Что делать с устройствами, на которые нельзя поставить отечественную ОС (читай: Apple)? Это фактический запрет на их продажу? Если да, то продажи таких устройств уйдут в тень, если нет, то будет ли действенна эта мера?

4. Пользователям нейтрально-плохо. Ритейлеры свои дополнительные затраты включат в цену устройств. Каким-то пользователям предустановленная ОС может и зайдет. Почта есть, браузер с соцсеточками и ютубом тоже есть — ну и норм. 🙂 Но, думаю, абсолютное большинство будет на свежекупленное устройства тут же ставить Win­dows. Лицензионный или не очень. Возможно как доп. услугу у того же ритейлера.

В целом, как мера поддержки отечественных Lin­ux вендоров это выглядит неплохо, но сама по себе это мера расклад по используемым в РФ операционным системам вряд ли изменит. Чтобы снизить долю macOS и Win­dows нужно прежде всего осознать это как серьёзную проблему и начать это недвусмысленно транслировать. Пока прямых заявлений, что Microsoft и Apple нам вражины и нужно отказываться от использования их продуктов насколько это возможно, я лично не видел. А без этого сложно объяснить конечным пользователям почему им нужно перестать использовать то, что удобно и привычно, и начать вдруг пользоваться тем, что непривычно и менее функционально.

О стоимости одного сканирования

Добавить комментарий

О стоимости одного сканирования. Продолжая тему со сканером Яндекс Клауда. 13,2 рубля / 7,2 рубля за скан это много или мало? По сравнению с бесплатными продуктами всё что угодно будет дорого, конечно. 😏 Но вот, для сравнения, цены на API кредиты Vul­ners (один кредит — один вызов API для проверки одного Lin­ux хоста или Dock­er-образа, если не заморачиваться оптимизациями):

Basic mem­ber­ship
$475 / 300 API cred­its = $1.58 ~ 129.16 руб

Pro mem­ber­ship
$1075 / 3000 API cred­its = $0.35 ~ 28.61 руб

Advanced mem­ber­ship
$1700 / 5000 API cred­its = $0.34 ~ 27.79 руб

Получается у Яндекса как в 2–4 раза дешевле. 🙂 Но, конечно, далеко не всё определяется ценой. Нужно смотреть на реальные возможности детекта и оценивать прежде всего качество сканирования.