Зарелизил на неделе утилитку imgtov, с помощью которой свои видяшки собираю, как и обещал ранее. Последнюю видяшку собрал аж в 8k качестве, вроде норм на Youtube и VK залилось.
Название это абберевиатура от "images tovideo". Кроме того "tov" это "хорошо" на иврите ("טוב"). И это хорошо. 🙂
Сделал максимально примитивно. В input.txt кладем таймстемпы. Исходные файлы с картинками кладем в директорию images. В корень кладем input.mp3. Запускаем imgtov.py. Получаем video.mp4, радуемся. Подробнее читайте в описании проекта на гите.
Выпустил-таки видео по ноябрьскому Patch Tuesday. С одной стороны, вроде и 0day-ев много вышло. А с другой стороны, чего-то супер-критичного не просматривается. Нет, ну атаки на браузер? Серьезно? Или метки для скаченных файлов (не так давно была похожая тема про macOS)? Патчиться конечно надо, но, к счастью, хвататься за голову в этот раз повода пока нет. 🙂
Вспомнилась старая студенческая шутка "а сердечник для катушки выбираем деревянный, потому что все равно никто текст дипломного проекта не читает". Уязвимость Print Spooler оказывается каким-то боком касается JScript9 scripting language. 😜
Qulays по ошибке подставили для "CVE-2022-41073 | Windows Print Spooler Elevation of Privilege (EoP) Vulnerability" описание из "CVE-2022-41128 | Windows Scripting Languages Remote Code Execution (RCE) Vulnerability". Причем это же описание вставили ещё и в "CVE-2022-41091 | Windows Mark of the Web Security Feature Bypass Vulnerability". Но кто ж это читает-то. 😏
На днях вышел бюллетень CISA про эксплуатацию уязвимости Log4Shell (CVE-2021-44228) в некоторой американской государственной организации.В pdf бюллетене приводится подробное описание атаки. Ознакомился. Мне, конечно, было наиболее интересно собственно про Log4Shell и начальную эксплуатацию.
1. В какой организации произошел инцидент? Непонятно. Это одна из FCEB organizations. Это может быть всем известная NASA, а может быть какая-нибудь Commission of Fine Arts. Но по большей части организации в списке выглядят критично.
2. Когда нашли? В апреле2022. Предположительное время компрометации - февраль 2022 года.
3. Как нашли? Через ретроспективный контроль трафика с помощью CISA-вской EINSTEIN IDS. Увидели ip-адрес ранее засветившийся в атаках использующих Log4Shell.
4. Как известно Log4Shell (CVE-2021-44228 заведена 10.12.2021) касается кучи продуктов, а что именно поломали? VMware Horizon. Патч вышел 16.12.2021. Детект у Tenable для этой уязвимости (без аутентификации) вышел 07.01.2022. CISA требовали зафиксить все Log4Shell уязвимости до 24.12.2021.
5. Исходя из таймлайна, в сроки CISA (7 дней по факту) уложиться было мало реально. Причем это нужно было сделать ещё до появления нормальных детектов. Но то, что не уложились даже за 1-2 месяца вплоть до успешной атаки злоумышленников это конечно неслабое нарушение. И раз такое в принципе было возможно, CISA видимо не особо контролирует VM процесс в подопечных FCEB организациях, а сроки устранения, которые они спускают через свой Known Exploited Vulnerabilities Catalog видимо по факту не выдерживаются.
Что Наталья Касперская говорила на SOC форуме про кибервойну и децифровизацию (2/2).
Про цифровизацию
"Говоря про импортозамещение, оно у нас усложняется массово ведущейся несколько лет в стране цифровизацией. Цифровизация, к моему большому сожалению, строилась без оглядки на информационную безопасность. По началу предполагалось, что информационная безопасность будет пронизывать всю цифровую экономику, потом её становилось все меньше и меньше, потом свелось к трем пунктам, практически свелось на нет. Основными целями [цифровизации] заявлялась производительность, повышение эффективности, экономическое ускорение. Это все замечательно. Но теперь очень многие системы построены либо на системах с открытым кодом, либо на импортных системах кое-как слеплены. И нам сейчас ещё и это нужно тоже либо заменять, либо каким-то образом блокировать.
По поводу подхода к импортозамещению. Как нам сразу заместить всё. Из всех подходов к импортозамещению, которые я видела мне лично больше всего понравился подход Банка России. […] Есть технологические процессы, давайте определим самые критичные, в самых критичных определим самые критичные, наиболее санкционнозависимые, и будем замещать с них. И потом будем расширяться. Это грубо и упрощенно. Мне кажется очень правильно определить те процессы, где "если упадёт, то всё", и начинать замещать с них.
Что касается средств наложенной безопасности, NGFW самая наша больная тема. Сейчас многие компании резко бросились в эту область, пытаются что-то делать. Но у нас здесь нет альтернативы. У нас нет возможности сказать "ой, мы потеряем в производительности". Ну потеряем, да. А что, какие альтернативы? Остаться на Check Point? Чтобы нам в определенный момент просто все выключили? Этой альтернативы у нас нет, поэтому давайте её не рассматривать. Нет у нас возможности рассказывать о том, что у нас снизится качество. Ну снизится. Будет торможение. Ну будет, да. И чего? Альтернативы? Альтернативы нет."
Про децифровизацию
"Предсказывать течение конкретных угроз неблагодарная задача. С точки зрения объектов атак это скорее всего промышленные объекты. Раньше этого не было, т.к. мошенничество было направлено на хищение. Поэтому у нас банки защищены на порядок лучше, чем все остальные. А сейчас всем остальным нужно дотягивать этот уровень. Причем до такой непопулярной меры как децифровизация. Возможно съем интернет-датчиков там, где они может быть не очень нужны. Возможно где-то переход на механические системы. Безусловно разделение АСУ ТП и корпоративного сегмента и т.п. Там где это смешивается это чудовищное нарушение безопасности. К сожалению, это нельзя сделать извне. Это должны сделать сами промышленные предприятия. Они должны посмотреть свои объекты, которые являются наиболее критичными, понять насколько их можно атаковать и понять что с этим делать, какие действия могут быть предприняты."
Как видим о децифровизации речь шла в контексте промышленных предприятий и АСУ ТП, а не отказа от госуслуг, перехода на бумажный документооборот и прочего такого, что журналисты и комментаторы сами себе напридумали.
Что Наталья Касперская говорила на SOC форуме про кибервойну и децифровизацию (1/2).
На прошлой неделе вышло несколько довольно резонансных новостных статей по мотивам выступления Натальи Ивановны Касперской на SOC форуме. Пока видео с выступления не было, комментировать было сложновато. Но теперь видео есть, каждый может посмотреть пленарку и сделать выводы. По мне как и в прошлом случае с "отключением смартфонов" прямая речь оказалась более чем адекватной, а журналисты опять всё передернули и переврали. Не поленился выписать, что конкретно было сказано.
Про кибервойну
[Вступление про 9 месяцев кибервойны] [Игорь Ляпунов: технологический суверенитет, импортозамещение и технологический рывок как-то не сочетаются.]
"Я начну все-таки с кибервойны. Здесь прозвучал термин "кибервойна", "идет кибервойна". Я не согласна, что идет кибервойна. Главная недружественная страна кибервойну против России не разворачивала, потому что если бы она её развернула у нас бы всё уже выключено было. У нас бы все ключевые элементы инфраструктуры просто бы перестали работать. Товарищи, давайте не будем строить себе иллюзий. Базовые станции мобильных операторов, основные системы управления технологическими процессами, контроллеры на ключевых наших сетях, это все импортное у нас. Большинство из них с удаленным управлением. Выключить не представляет никакой сложности, никаких атак не нужно. Атаки делают […] переобувшиеся на политическую борьбу хакеры-самоучки. Профессионалы, профессиональные спецслужбы, конечно, действовали бы по-другому и гораздо более жестко. И мы, конечно, не готовы к этому.
Обсуждать киберзащиту в отрыве от IT-систем бессмысленно. Что бы мы ни делали с наложенными средствами кибербезопасности, как бы мы ни прыгали с нашими фаерволами или чем угодно, выключат нам всю инфраструктуру и всё. Для обеспечения кибербезопасности нужно говорить об информационных технологиях в целом.
[…] Цифровой суверенитет состоит из двух компонент: электронного и информационного. С этого и надо начинать.
Нужно говорить про электронный, инфраструктурный суверенитет. Это значит, что нам нужно заменять все по цепочке. Будет торможение? Ну да. По сути нам нужно у едущего поезда заменить все части, включая колесную базу и двигатель. Сохранить скорость это другая задача, но по крайней мере наш поезд не должен сойти с рельс. Это серьезный вызов. Как это делать второй вопрос, об этом поговорим.
С другой стороны на нас сверху сыпятся "немецкие листовки", всякие телеграмм-каналы "всёпропальщики", которые предсказывают скорую гибель всему. И от этого нужно абстрагироваться, отключать, с этим нужно бороться. Это вторая компонента, о которой нельзя забывать. Она не является в прямом смысле кибербезопасностью, но мы тоже должны с этим работать. У нас Роскомнадзор в основном блокирует эти каналы по возможности. Но они все равно просачиваются во-первых. А во вторых здесь ещё вопрос воспитания. Должно быть какое-то информационное воспитание: этому верьте, этому не верьте, это десять раз просчитайте.".
На сайте SOC форума про записи выступлений пока ни слова, но они уже есть на ютуб-канале Ростелекома. К сожалению, большими кусками по дням/залам и без каких-либо дополнительных описаний и таймстемпов. Поэтому чтобы что-то найти нужно смотреть в программу мероприятия, а потом уже как-то искать в самой видяшке. Но и на том большое спасибо! Есть что заценить на выходных. 🙂
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
