Умом я понимаю, что РКН в очередной раз призвал всех россиян отказаться от зарубежных VPN ⛔️, но сделал он это как обычно через одно место, что меня, как человека, начинавшего карьеру в ИБ с разработки средств криптографической защиты в одном закрытом НИИ 🧑‍💻, прям коробит.

В России всего, насколько мне известно, один 1️⃣ единственный отечественный криптографический протокол (из не секретных), используемый в контексте, о котором пишет РКН. Это IPlir, разработанный Инфотексом и принятый в качестве рекомендаций по стандартизации под номером Р 1323565.1.034–2020 ☝️ При отсутствии альтернатив, то есть по сути монополизации, можно было задаться вопросом, а не продвигает ли государственный орган интересы конкретной коммерческой компании, которая сегодня чуть ли не единственная реализует IPlir в своих продуктах 🤔

Есть еще отечественные 🇷🇺 протоколы CRISP для промышленных систем, SESPAKE для обмена ключами, работы НПО "Криптонит" в рамках криптографических протоколов сетей связи 5G 3GPP TR 33.846, но это все другое и отношения к теме сообщения РКН не имеет 📡

Но я далек от мысли так думать, так как РКН скорее всего просто не понимает разницы между терминами "криптографический протокол" и "криптографический алгоритм" 🖕 А если бы понимал, то поинтересовался бы у старших товарищей, которые бы объяснили, что весь Интернет, включая работу сайта самого Роскомнадзора, построен на иностранных криптографических протоколах, а именно TLS/IPSec, которые могут использовать разные криптографические алгоритмы, как зарубежные (AES, Camellia, DSA, RSA, SHA, MD5, ECDSA и т.п.), так и отечественные ГОСТы 🔐 И ФСБ с Минцифры прекрасно разрешают использовать зарубежные криптографические протоколы, просто выпуская различные стандарты и спецификации, разъясняющие принципы работы иностранных протоколов с российской криптографией 🇷🇺

А если думать, что РКН понимал, что писал, то он прямым текстом запрещает в Рунете любую криптографию, так как аналогов SSL/TLS у нас нет 🤔 А если бы и были (хотя смысла в этом немного), то она была бы востребована только в одном случае - полная замена всего ПО, включая ОС и браузеры, на отечественное, и запрет на использование Chrome, Firefox и иже с ними на территории Российской Федерации 🇷🇺 Это амбициозная задача, которую можно было бы решить, будь мы Северной Кореей или Ираном, которые не имеют нормального выхода в Интернет и им не надо коммуницировать с соседями, которые продолжают использовать привычный TLS в своей инфраструктуре. Или это план? 🤔

ЗЫ. Да, на всякий случай, IPSec и SSH, STARTTLS и иже с ними, тоже не отечественные криптографические протоколы.

#криптография

Обещал написать про кибербез в арктических широтах 🥶 Не претендуя на истину в последней инстанции, просто вспомню свои заметки, которые я делал на хребте Мустатунтури в 200 км от Мурманска во время своего отпуска много лет назад. Я бы выделил несколько аспектов (тезисно):

1️⃣ Низкие температуры, требующие оборудования в промышленном исполнении. В случае использования автономно работающих устройств их аккумуляторы должны быть спрятаны с специальные кожухи, так как при замерзании устройства отказывают 🧊

2️⃣ Штормы, наледь, снежные заносы могут блокировать доступ к средствам защиты и затруднять их физическое обслуживание, что требует от средств максимальной автономности и устойчивости к перегрузкам и обрывам связи 🥶

3️⃣ Медленная и нестабильная связь, что связано с тем, что низкоорбитальные спутники плохо работают в крайних широтах. Это приводит к проблемам с обновлениями средств ИБ и невозможности мониторинга в реальном времени для SIEM, EDR, NDR и т.п. Облачные SOC тоже косячат и поэтому нужны системы с большим буфером 🥶 для локального хранения логов и выгрузки их по расписанию. Помню, как я с хребта подключался к телеконференции только через норвежский Telenor, так как на полуострове Рыбачий не работал в тот момент ни один российский оператор связи 🛰

4️⃣ Ограниченный доступ к персоналу 🥶 и техподдержке означает, что те же самые СКЗИ должны иметь возможность перезапуска без необходимости ручной загрузки криптографических ключей. Возрастают требования к удаленной диагностике.

5️⃣ Часто для связи используют спутниковые каналы связи, которые относительно легко глушатся (при той модели нарушителя) 🥶

6️⃣ Требуется учитывать социально-психологические аспекты работы в изолированном пространстве в условиях полярной ночи, что может приводить к различным негативным последствиям 🥶

7️⃣ Требуются навыки управления оленьими упряжками. Права категории B не катят 🥶

ЗЫ. Думаю, ничего нового не сказал и на конференции про киберустойчивое и кибербезопасное развитие Арктики это все тоже говорили 🤔

#CISO #модельугроз

Уж не знаю, случайно так совпало или нарочно, но ТК26 🇷🇺 4 апреля выпустил первую редакцию нового проекта ГОСТ Р "Информационная технология. Криптографическая защита информации. Термины и определения". И что характерно, под номерами 8 и 9 даны определения терминов "криптографический алгоритм" и "криптографический протокол", в которых запутался РКН 🔐

ЗЫ. А никакого термина "криптование" не существует 🤬

#криптография #стандартизация

Взлом сервера через DisplayPort или mini-VGA?.. 😮 Крутой навык, наверное.

ЗЫ. Понабрали SMM по объявлению…

Ну что ж, напряженные три дня лекций 👩‍🎓 с утра до вечера закончились, ночное время можно использовать не для создания лекционного материала, а для того, чтобы оглядеться по сторонам и посмотреть что происходит вокруг. Исследователи из SlashNext обнаружили новый инструмент для помощи в организации кибератак - Xanthorox AI 🤖

Речь идет о целой платформе, которая, в отличие от многих существующих хакерских GPT инструментов, не обходит ограничения ChatGPT, Claude, Gemini и т.п., а является самостоятельно обученной моделью, которая хостится на собственных серверах. На самом деле это целых 5️⃣ моделей:
🤖 Xanthorox Coder - позволяет писать вредоносы, генерить нужный код, искать уязвимости и автоматизировать работу с эксплойтами 😈
🤖 V4 - позволяет создавать фишинговые сообщения, ответы для чатботов, а также в целом занимается обработкой информации 🤨
🤖 Xanthorox Vision - анализирует изображения и снимки экрана, извлекая из них информацию, интерпретируя ее и описывая.
🤖 Xanthorox Reasoner Advanced - помогает планировать атаки, организовать сложные кампании по социальному инжинирингу и поддерживает принятие решений для хакера 👋
🤖 оркестратор и координатор между предыдущими 4-мя моделями 🫡

Из ключевых особенностей инструмента Xanthorox AI: 💀
🤖 может запускаться целиком локально
🤖 может вытягивать данные из различных источников (скраппинг) без обнаружения этого различными инструментами защиты с помощью 50 различных поисковиков
🤖 работает с различными расширениями файлов при их анализе, трансформации, редактировании и т.п.
🤖 собственная модель (никаких CharGPT, LLaMA, Claude и т.п.)
🤖 модульный дизайн
🤖 голосовое управление 😆

По сути речь идет о создании полноценного ассистента для хакеров, который облегчает планирование и проведение кибератак 👋 То есть пока речи не идет (да и вряд ли вообще в обозримом будущем может идти) о чем-то кардинально новом в области киберугроз. Просто хакеры ускоряют свои возможности, автоматизируя многие задачи и снижая порог входа в криминальный бизнес. А вы к этому готовы? 💩

#ии #malware

AMTSO (Anti-Malware Testing Standards Organization) представила первую в отрасли стандартизированную методологию оценки песочниц для анализа вредоносного ПО — Sandbox Evaluation Framework 🧑‍💻, который разработан для обеспечения прозрачной, объективной (насколько это возможно) и адаптируемой оценки решений класса Sandbox.

Ключевые особенности Sandbox Evaluation Framework:
1️⃣ Шесть ключевых показателей эффективности песочницы, включая анализ вредоносных файлов, противодействие уклонению, масштабируемость, отчетность, автоматизацию и соответствие требованиям безопасности 🧑‍💻
2️⃣ Вводятся настраиваемые профили весов для различных задач в области безопасности, таких как массовая обработка вредоносных программ, анализ фишинга, обнаружение 0Day и генерация TI-отчетов 🧑‍💻
3️⃣ Фреймворк включает в себя инструменты на базе open source и формулу оценки для обеспечения последовательных и воспроизводимых результатов тестирования 🧑‍💻

Авторы считают, что Sandbox Evaluation Framework позволит всесторонне и прозрачно оценивать существующие продукты на соответствие реальным сценариям кибербезопасности. Будем посмотреть, насколько этот фреймворк будет использован в отрасли ⏳

#средствазащиты #malware

Говорят, за одного битого двух небитых дают, а за одного взломанного двух невзломанных 🤜 Разумеется, если взломанные извлекли уроки из произошедшего у них инцидента. По статистике, 74% жертв шифровальщиков сталкивались с ними более 1 раза, а 33% — 4 (!) и более раз! Только представьте себе — тебя 4 раза хакнули, а ты так и не извлек никаких уроков! 😦

Тем интереснее было прочитать 📖 статью Государственной службы специальной связи и защиты информации Украины (ДССЗЗИ) под названием "Как хакеры возвращаются в сеть после атаки: типичные ошибки, которые дают им второй шанс", где анализируются распространенные ошибки, допускаемые организациями после кибератак, которые позволяют злоумышленникам повторно проникать в системы 🔓

#управлениеинцидентами

В преддверие RSA Conference 2025 были объявлены финалисты 20-го ежегодного конкурса Innovation Sandbox, в рамках которого выделяются наиболее перспективные стартапы в области кибербезопасности. Ниже представлены 10 финалистов и краткое описание их деятельности:

1️⃣ Aurascape. Разрабатывает решения для безопасного внедрения и использования ИИ, включая генеративные модели и ИИ-агентов.

2️⃣ CalypsoAI. Предлагает платформу для защиты ИИ-приложений и ИИ-агентов в реальном времени с помощью настраиваемых защитных механизмов, redteam'инга, устранения уязвимостей и управления всем этим хозяйством.

3️⃣ Command Zero. Автономная ИИ-платформа для проведения расследований и threat hunting, предназначенная для трансформации SecOps и сокращения времени реагирования на инциденты.

4️⃣ EQTY Lab AG. Разрабатывает решения для обеспечения доверия к ИИ, используя криптографию для обеспечения подотчетности и проверяемости управления ИИ-агентами.

5️⃣ Knostic. Предоставляет контроль доступа на основе необходимости знания для больших языковых моделей (LLM), позволяя организациям ускорить внедрение LLM без ущерба для безопасности и ценности.

6️⃣ Metalware. Помогает предприятиям и государственным организациям обеспечивать автоматизированное тестирование прошивок (firmware) для решений, используемых в критической инфраструктуре.

7️⃣ MIND. Платформа для обеспечения безопасности данных, объединяющая решения DLP и IRM, добавляя к ним автопилот для обнаружения, классификации и предотвращения утечек конфиденциальной информации.

8️⃣ ProjectDiscovery. Еще одно решение класса ASM/VM, но для проектов с исходным кодом.

9️⃣ Smallstep. Обеспечивает доступ к чувствительным ресурсам только с устройств, принадлежащих компании, с помощью платформы идентификации устройств, обеспечивающей безопасность при подключении с помощью Wi-Fi, VPN, ZTNA, SaaS-приложений и облачных API.

1️⃣0️⃣ Twine Security. Разрабатывает ИИ-сотрудников, выполняющих задачи от А до Я, помогая ИБ-командам преодолеть дефицит кадров. Первый такой ИИ-сотрудник, Alex, берет на себя задачу управления идентификационной информацией (Identity).

#средствазащиты

На хакерском форуме неизвестный продавал метод обхода двухфакторной аутентификации 2FA 🤒 для учетных записей Bitwarden, популярного парольного менеджера у разработчиков ПО, которые используют его для хранения кредов, секретов и т.п. 👨‍💻

#инцидент #проблемыибкомпаний

Если бы в США был свой НКЦКИ, то лишение допуска к гостайне у бывшего руководителя CISA и нынешнего руководителя отдела по киберразведке компании SentinelOne Криса Кребса, выглядело бы так 😂

#юмор