Про нейминг конференций. ВК внезапно начал усиленно рекламировать мне масштабную конференцию по ресторанному бизнесу в Сочи, которая называется Гастрит (Gastreet). Видимо от gastronomic street. Но как тут можно удержаться от медицинских ассоциаций я не знаю. Звучит абсолютно уморительно."Топовые спикеры и шеф повара, мастер-классы, тренинги, [перечисление опции по питанию], все это твой восьмой Гастрит!". "Гастрит ждет тебя!" 😄
Подумал, что это настолько плохо, что даже уже и хорошо. И наверное так и надо. 😏
Какие аналогичные нелепые и негативные названия для ИБшной конфы можно придумать? Что-нибудь вроде "Взломали", "Пошифровали", "Слили Базу". А для VM-ной конфы, например, "RCE На Периметре". Твоя восьмая "RCE На Периметре"! "RCE На Периметре" ждет тебя! Класс же, не? 🙂 Организаторы конференций, присмотритесь.
Выпустил на выходных итоговый блогопост и видяшечку по мартовскому Microsoft Patch Tuesday. Приглашаю ознакомиться.
1. В целом, пока первые впечатления выглядят верными. Атака на хеши с помощью Outlook наиболее актуальна. Обход MOTW и DoS Excel хоть и эксплуатируются, но не особо пугают. Потенциально эксплуатабельные и wormable RCE в ICMP и, в меньшей степени, в HTTP/3 и RPC могут мощно стрельнуть, а могут и оказаться пшиком. Пока не ясно. Но лучше, конечно, заранее запатчиться. 2. Вокруг Microsoft Outlook (CVE-2023-23397) была политота. Microsoft начали разгонять про какие-то state-sponsored attacks с указанием конкретных стран и группировок. Это подхватили VM-вендоры в своих обзорах и таким образом это просочилось в отчет Vulristics. Пришлось всё это highly likely безобразие ручками подтереть. 3. Аж 7 RCE в Microsoft PostScript and PCL6 Class Printer Driver выглядят загадочно, но посмотрим во что это выльется. Кажется кто-то раскопал новую тему. 4. Заканчивается первый квартал. Во втором должны выложить подробности по SPNEGO. Ждем. 🙄 5. Похоже мои англоязычные avleonov.com и @avleonovcom в основном становятся про Patch Tuesday. 😅 Три последних поста были про это. Про другие темы что-то пока нет времени и желания туда писать, а тем более делать видяшку. Возможно разбавлю чем-нибудь, но вряд ли это будет до CISO Forum. Пока буду тратить ресурсы на подготовку к нему. Ну и вообще, "делать контент" на русском как-то пока больше нравится. Спасибо за ваш фидбек и поддержку! 🙂
Барби безопасник. Ознакомился намедни с произведением. 🙂 Про программирование там не особо, только мельком упомянули, что Барби дизайнит обучающую игрушку. Основной сюжет про то, что Барби и её сестра заразили свои ноуты зловредом ("вирусом"). Предположительно через флешку. Но с помощью своих друзей-парней пофиксили устройства, восстановили важные файлы и всё закончилось хорошо.
Задумка годная, пропаганда IT/ИБ и STEM для девочек это круто и важно. Но реализация так себе. Откуда вирус появился на флешке не рассказывают, как и в принципе что это за вирусы такие. Для защиты от вирусов советуют использовать бесплатные антивирусы из интернета (без конкретизации). 🤨 Почему снятый жёсткий диск подключенный к другому компьютеру его "не заразит" не объясняется - просто у компьютера "хорошая защита". 🤷♂️
Ещё цепануло, что файлы помогли восстановить парни-друзья, а компьютерный гений почему-то исключительно Барби. Приписывание чужих заслуг это как-то такое себе. 🙄
Алексей Комаров @zlonov представил обновлённую подборку каналов и чатов в Telegram по информационной безопасности на русском (преимущественно) языке. Весьма залипательно. Интересно поглядеть, что в нашей ИБшной тусовочке читают и о чем пишут. Вечные темы понятно какие: новости (в основном про громкие инциденты), туториалы (в основном про оффенсив), регуляторочка. 🙂
Я в подборке тоже есть. И @avleonovrus, и @avleonovcom. Последний оказывается на 50% подрос за год, прикольно. ⬆️🙂 @avleonovnews там нет, но наверное и не надо, т.к. это не столько канал, сколько агрегатор, машина бездушная. 🤖😄
Тусим в Кидбурге. Это детский центр с игровой профориентацией. Система такая: есть общее расписание, смотрим какая из активностей скоро откроется, подходим, там собирается группа детишек, они проходят с ведущим игровую обучающую активность на 15-20 минут, получают зарплату в игровой валюте. Повторяем пока ребенок не наиграется. По итогу отовариваем заработанное. 🙂
В целом круто, но есть куда развивать. По IT-шной части есть только инженер-программист с 7 лет. По ИБ-шной части вообще ничего нет, хотя можно было бы. Например, взять что-нибудь из стандартной cyber hygiene: пароли, обновления/уязвимости, опасный софт, опасное общение, что нельзя выкладывать и т.д. Возможно что-нибудь про анти-кибербулинг. Возможно какой-то игровой SOC, чтобы атаки на банкоматы ловить, чтобы позрелищнее. 🤠 Для тех, кто постарше можно лайтовый CTF изобразить. И все под брендом какой-нибудь реальной ИБ компании, типа Positive Technologies или Kaspersky. Было бы классно. 🙂
Сходили сегодня на "Сказки старого фонаря" в театр А-Я. Музыкальный спектакль по мотивам сказок Г. Х. Андерсена «Принцесса и свинопас», «Оловянный солдатик, «Снежная королева» и «Старый уличный фонарь». Очень понравилось. Особенно сцена собеседования фонарщиков в начале, т.к. собеседования ИБшников напомнило. 🙂
Было 2 кандидата. Один из них заявил примерно следующее:
"Я из семьи уважаемых стекольщиков, разбираюсь во всем, что связано со светом. В школе учился на все пятерки. Вот мой аттестат, дипломы и рекомендации. Обязуюсь аккуратно исполнять свои обязанности и вовремя зажигать и тушить фонари".
Второй заявил:
"Мне нечего сказать кроме того, что я с детства хотел зажигать и гасить фонари, потому что это красиво и нужно всем людям. Обещаю, что буду стараться… А если вы не возьмёте меня, то я уйду из города и подамся в разбойники или пираты".
Взяли второго. Почему? Да фиг его знает.
Собеседование это во многом лотерея и никогда не угадаешь что в голове у собеседующего происходит и на что он в первую очередь смотрит. 🙂 Но упомянуть к какому делу у тебя страсть тоже никогда лишним не будет.
А потом по прошествии времени тот парень, которого не взяли фонарщиком, дорос до бургомистра города и устроил всем веселенькую жизнь (особенно тем, на кого был обижен).
И это тоже напоминание о том, что собеседование надо проводить корректно, уважительно, а не оттягиваться на кандидатах. Мир тесен (особенно ИБшный) и никогда не знаешь как у кого сложится и при каких обстоятельствах может жизнь дальше свести. Роли вполне могут поменяться на противоположные, тогда будет неприятно и некрасиво. 🙂
Вынужденно смотрю много детских мультов, в частности "Маленькое королевство Бена и Холли". Понравилась одна серия про принятие риска ТОПом. Распространенный финт в Управлении Уязвимостями и в ИБ вообще. Посмотрите, всего 10 минут.
Серия называется Банти 2. Сюжет следующий. Мистер Эльф строит лодку Банти 2. Почему 2? Потому что первую лодку Банти съела рыба Большой-злой-Барри. Лодка идеально подходит для круиза по тропическим морям. Но как защитить её от Большого-злого-Барри? У Мистера Эльфа есть решение - "Банти 2 никогда не спустится на воду".
Защищаем уязвимый актив через ограничение (сетевого) доступа. Как это часто бывает с компенсационными мерами, выглядит это довольно по-дурацки, но задачу решает. 🙂 Почему не рассмотрели внедрение средств обнаружения и защиты история умалчивает. Можно предположить, что на это не было бюджета. Поэтому вот так.
Король Чертополох заявляет, что это нелепо и у него есть идея. Он заявляет Мистеру Эльфу:
- Как король я приказываю тебе спустить Банти 2 на воду и отправиться в тропический круиз. - Но как же Большой-злой-Барри? - Не бойся, если Барри съест Банти 2 я возьму ответственность на себя - Что это значит? - Будешь винить во всем меня - Но, но… - Чудно, тогда решено, мы едем в отпуск! - Лаадно…
Т.е. ТОП пушит принятие решения по небезопасной эксплуатации актива, владельцем которого он не является. Владелец актива прогибается, при этом у него на руках нет ничего кроме расплывчатой устной договоренности.
Далее Банти 2 успешно уплывает от Большого-злого-Барри, но в итоге её съедает Гигантский Осьминог. Происходит диалог:
- Ааа! Моя лодка съедена, я же говорил вам! - Нет, ты говорил, что её съест Большой-злой-Барри, но её съел Гигантский Осьминог. - Это катастрофа… - Не волнуйся, я обещал взять ответственность на себя и я возьму. - И? - И всё, я взял ответственность на себя.
Ущерб нанесен, никакого возмещения с ТОПа истребовать теперь невозможно. Крайним оказывается владелец актива. Чтобы было совсем по классике по итогам должно быть что-то от ТОПа: "Когда я говорил, что принимаю риск, я не понимал всей опасности, ведь не я же профессионал в этом, а вы! Это ваш актив! Зачем вы меня слушали? Это ваша вина!"Крыть такое особенно нечем. 🙂
Мораль для реальной жизни?
1. Не ведитесь на "я принимаю риск", "ответственность на мне". 2. Моделируйте что будет в случае реализации риска. Возможный ущерб лучше переводить в деньги. 3. Аккуратно фиксируйте договоренности, слова к делу не пришьешь. Предложение написать заявление по собственному с открытой датой на случай реализации риска обычно заставляет человека задуматься, а стоит ли упорствовать. 4. Подумайте что вы будете делать, если завтра этот ТОП сам уволится, а наследовать этот риск никто не захочет, не окажитесь ли вы при этом крайним. 5. Информируйте о происходящем CEO/Board. Возможно они вообще не в курсе и их точка зрения будет гораздо ближе к вашей, чем вы думаете. 6. Старайтесь не работать с чудаками.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
