Category: it

Category was added automatically. Read all entries about "it".

ОБ ЭТОМ.

Это верхний пост, где рассказывается почему и зачем этот блог.

Всем привет!

Мне приходится много перемещаться по миру. По работе и из врождённого любопытства. Как оно в мире работается, отдыхается, путешествуется, а также мои личные впечатления от увиденного, услышанного, потроганного и попробованного - об этом и блог.

Впрочем, это не отменяет специальных постов про бизнес, технологии, патенты и прочее рабочее повседневное, когда просто невозможно не высказать своё мнение.

Кстати, о мнении. Это мой личный блог и мнения, выраженные здесь могут не совпадать с официальной позицией одноимённой компании. А могут и совпадать – как повезёт. Но, надеюсь, мои рассказы интересны и достаточно фотогеничны.

Рекомендуемое в блоге:


Топ-100 самых удивительных мест в мире

Лучшие, худшие и просто никакие аэропорты мира

Рассказы о моих путешествиях на Камчатку

Рассказы о моих путешествиях по Китаю

Рассказы о моих путешествиях в Китай

Экскурсии по офисам ЛК в разных странах мира

Мы и Феррари

Наши технологии защиты: популярно о сложном


Помимо Живого Журнала меня можно найти:








Книга посетителей, а также жалоб и предложений - в комментах к этой записи. Заходите, отмечайтесь. Мне будет интересно узнать кто читает мои рассказы.

Припев: KOS Day - KOS Night!

Человечество жило в разные эпохи, которые носили разные названия: каменный век, бронзовый и железный века. А вот нынешний век - какой? Как его будут называть археологи будущего? Какой материал или технология являются самыми важными в наше время?

Можно назвать нашу эпоху "электрической", например. Также слышал версию того, что мы живём в "век пластика" - с чем сложно спорить, ведь достаточно просто посмотреть на окружающие нас предметы. Можно долго дискутировать на эту тему, но предлагаю это дело бросить. И вряд ли кто будет возражать, что человек неизбежно движется в сторону эпохи кибер-технологий, в "цифровой век".

// Припев: KOS day - KOS night!

Да-да, я считаю, что мы только вступаем в это цифровое время, что те кибер-сети и интернеты разных вещей - это только начало. Какое будет будущее - видеть сложно. Примерно, как невозможно было во время глобального распространения электричества предполагать появление всяческих технологий, существование которых без электричества невозможно. Та же самая кибер-цифра, например.

1. 1.jpg.dbb4cfff938322223e5d9039c636595c

Цифра, как электричество и пластик, кардинально меняет наш мир. И сложно предполагать, когда эти изменения "устаканятся". Интернету, блокчейнам, машинному обучению - всем этим технологиям всего-то несколько десятков лет! И полвека назад никто и подумать не мог о возможности подобных изобретений.

Короче, мы стремительно летим в цифровой век. И что меня пугает, так это факт того, что летим мы туда "не пристёгнутыми ремнями безопасности". А именно: технологии и продукты, которые внедряются во всё и везде, являются уязвимыми, подверженными "кибер-кариесу", а последствия "заболеваний" могут оказаться фатальными. Примеров чему уже было достаточно, приводить дальше не буду (читайте наши отчёты).

Что же делать?

Хороший вопрос. И, уверен, многие умы этим вопросом пристально занимаются. Наши умы тоже :) Но, прежде чем отправиться в дальнейшие объяснения, мне кажется, что нужно привести какую-нибудь простую и понятную аналогию. Например, про электричество. Оно, как известно, может очень больно ударить, если им неаккуратно пользоваться. Само собой, никакому хомо сапиенсу это не понравится. И разумные представители этого вида озадачились этим вопросом и придумали разные изоляции, электрозащиты и прочую технику безопасности, по которой устраивают учения и сдачу экзаменов.

Короче, электричество стало вполне себе безопасным. Провода изолированы, предохранители на страже, громоотвод заземлён. В чём мораль этой басни? Да то же самое надо и с цифрой! Забезопасить её "by default".

// Припев: KOS day - KOS night!

Технически подкованный читатель тут же сообразит, что я опять сворачиваю на дорожку нашей иммунной операционной системы... И читатель этот окажется прав!

Collapse )

Китайские приметы или особенности национальных конференций в период пандемии.

Обычно мой рабочий график включает самые разные встречи по важным делам в разных странах и на разных континентах, интервью прессе, участие в выставках, выступления на конференциях (само собой, год 2020 вычёркивается...) Так вот, есть нерегулярные мероприятия, а есть обязательные к посещению. Можно сказать, "якорные". И среди осенних "якорей" одно из самых важных событий - это международное мероприятие под названием Всемирная Интернет-конференция, или Учжэньский Саммит, которую ежегодно организовывает Киберадминистрация Китая, и в котором я принимаю участие аж с 2015 года. Репортаж о прошлой конференции можно посмотреть, например, вот здесь.

Увы, в этом году побывать в славном Учьжэне не получилось совсем никак, но - ура! - в нашем цифровом мире невозможность посетить мероприятие лично совсем не означает невозможности в нём поучаствовать. Например, можно обратиться к аудитории главных игроков китайского интернета – гос-регуляторам, главам провинций и местных институтов развития, а также руководителям крупнейших технологических компаний – вот такого с огромного видеоэкрана, размером с олимпийский бассейн, наверное :)

1. EK1

2. EK2

С другой стороны, конечно же, очень жаль, что не удалось самому прогуляться по мощёным камнем улочкам и мостам древнего города, ведь даже в период злосчастного био-зловреда городок отнюдь не пустует! (в чём можно убедиться из "репортажей с места"). И лодочки, которые плавают по местным каналам примерно со времен династии Тан – всё это, несомненно, повод для оптимизма и надежд на будущее в нашу эпоху удалённой работы и онлайн-мероприятий.

Теперь же самое главное: об учжэньских приметах.

Collapse )

OpenTIP, сезон-2: заходите чаще!

Год назад я уже обращался к самым продвинутым 5% аудитории, спецам по кибербезопасности, чтобы порадовать их новым инструментом нашей разработки, Open Threat Intelligence Portal (далее OpenTIP).

Инструменты анализа сложных угроз и просто подозрительных файлов, которыми пользуются в том числе знаменитые «кибер-ниндзя» из GReAT, стали доступны всем желающим. И желающие пришли! Они проверяют тонны файлов ежемесячно.

За год жизнь этих 5% стала гораздо сложнее, потому что зловредный био-вирус выгнал мир на «удалёнку», и обеспечивать безопасность корпоративных сетей стало стократ хлопотней. Время, которого и раньше не хватало, стало драгоценным ресурсом. Поэтому самый частый запрос, который мы слышим от наших искушенных пользователей, прост и прямолинеен: «дайте доступ по API и увеличьте лимиты»!

Сказано – сделано!

1. new home page

В новой версии OpenTIP появилась регистрация пользователей. Постоянным посетителям её категорически советую, потому что после регистрации бóльший кусочек платного Threat Intelligence Portal покажется из сумрака.

Collapse )

Новости нашего офиса.

Внимание, внимание! Говорит и показывает Ленинградское шоссе, д.39А, строение 2! :)

Что-то давно не было новостей из нашего московского офиса... Исправляюсь! Тем более, есть что показать и чем похвастаться :)

Начну со своего кабинета. Вот он. Ничего новенького не замечаете?

1. 1

А если посмотреть поближе...

2. 2

Вот такая красивая штука теперь стоит у меня за спиной. Это наша собственная разработка на основе нейросетей и машинного обучения, представляю уважаемой публике. Прошу любить и жаловать: КДЛ-1 во всей красе!

Collapse )

Из Удомли со свежим электричеством.

А вы когда-либо слышали о городе Удомля? А помните где он находится? А на карте покажете? И что там самое главное? Ещё неделю назад я на все эти вопросы ответил бы отрицательно, поскольку не обладаю энциклопедической памятью и географию изучаю личным присутствием. Так вот, Удомля вот здесь, а главный объект находится к северо-востоку от города. Это одноимённое озеро Удомля, поскольку если бы не оно, то Калининскую АЭС построили бы где-нибудь в другом месте.

// Кстати, а что означает "удомля" на древних языках? Интернеты врут, что это слово финно-угорское, но звучит оно как-то похоже больше на славянские языки. Кто знает?

Так вот, большого и развесистого репортажа с многофотками с АЭС не ждите. Там категорически запрещено фотать самостоятельно, к нам был приставлены специальные люди с камерами, которые щёлкали в специально обозначенных местах. Посему верьте на слово ->

1. FAD_1801

На станции 4 блока, каждый вырабатывает по 1 гигаватту (!!!) И выглядят эти гигаватты весьма впечатляюще.

Collapse )

Рансомварное: шутки закончились.

Сначала краткое изложение событий.

10 сентября ransomware-малвара DoppelPaymer шифрует 30 серверов больницы г.Дюссельдорфа из-за чего пропускная способность учреждения существенно деградирует. Неделю спустя по этой причине больница отказывает в приёме пациентке, срочно нуждающейся в операции, перенаправляя её в соседний город. По пути она умирает. Это первая известная человеческая жертва вследствие ransomware-атаки.

Это очень грустный случай. Он тем более грустный, что здесь сошлись фатальная случайность, пренебрежение к основным правилам компьютерной гигиены и неспособность правоохранительных органов противостоять организованной преступности.

Немного технических деталей: атакована больница была через уязвимость в серверах Citrix Netscaler, также известную как "Shitrix". Кстати, обновление, устраняющее уязвимость, доступно с января – это я по теме важности регулярных обновлений для всех умных железок – всех вообще, а не выборочно. По всей видимости, системные администраторы всё же допустили значительное временнóе окно между выходом обновления и его установкой: именно в этот промежуток злоумышленники смогли проникнуть в сеть и установить бэкдор.

А вот дальше начинаются предположения. Не исключено, что через некоторое время доступ к бэкдору был продан другим хакерам на подпольном форуме как «университет» - атака действительно была изначально нацелена на местный Heinrich Heine University. Именно он был указан в письме вымогателей, когда они потребовали выкуп за возврат зашифрованных данных. Когда хакеры узнали, что это больница, то немедленно предоставили ключи шифрования и исчезли. Видимо затрояненые больницы не пользуются спросом у киберкриминала – слишком «токсичный» актив (что, собственно, и было доказано). Однако, это не спасло ситуацию.

Что вообще происходит с этим миром? Как можно больнице допустить такой инцидент, чтобы хакеры смогли затроянить систему через известную уже уязвимость, для которой был патч? Сколько раз мы говорили, что FreeBSD (а именно на ней работает Netscaler) – не только не гарантия безопасности, но наоборот – «ложный друг» безопасника? В этой операционной системе точно так же есть недостатки, использующиеся в сложных кибератаках. Более того, для организаций критической инфраструктуры обязательна многоуровневая защита, где каждый уровень способен страховать другие. Если бы в сети больницы стояла надёжная защита, то хакерам скорее всего не удалось бы осуществить задуманное.

Теперь же самый интересный вопрос: кто это сделал?

Вероятнее всего, что за DoppelPaymer стоит известная хакерская группировка Evil Corp, на которой висит ответственность за десятки других громких взломов и вымогательств (в том числе громкая атака на сеть Garmin). В 2019-м правительство США выпустило ордер на арест людей, причастных к деятельности Evil Corp и объявило награду в $5млн за помощь в поимке. Что любопытно – личности преступников известны, а сами они до недавнего времени бравировали крутыми (обратите внимание на номер на фотке внизу) тачками и вели богемный образ жизни.

bop
источник

Collapse )

Как поймать чёрного лебедя в собственной сети?

Давненько у человечества не было такого года, как 2020й. Да что там, не было на моей памяти ни одного года с такой концентрацией чёрных лебедей разных видов и форм. Это я, конечно, не про редких птичек, а про непресказуемые события с далеко идущими последствиями, которые с легкой руки господина Талеба вот уже лет десять именно так и величаются. Одна из главных особенностей таких «чёрных лебедей» в том, что ретроспективно они кажутся прогнозируемыми, а вот предсказать их в реальности никогда не удаётся.

Взять хотя бы всем известный вирус (тот, что биологический). Их в одноименном семействе существует несколько десятков, но регулярно находятся новые, которые и нагоняют страха на человечество. Они при этом существуют у всех на виду, живут в кошечках, собачках и летучих мышах. Казалось бы, изучай себе да обезвреживай, то есть разрабатывай вакцины. Но для этого нужно знать, что искать, а это уже искусство.

А как в кибербезопасности?

В интернетах гуляют и полезные приложения, и любительская малвара, и сложные кибершпионские модули, а иногда и редкие, никем не пойманные зиродеи («уязвимости нулевого дня»). Вреда такие уязвимости могут наделать ого-го, но часто они остаются ненайденными до самого момента нанесения этого вреда.

На самом деле, у секюрити-экспертов есть способы бороться с неопределенностью и предсказывать «чёрных лебедей». И речь в этом посте пойдет об одном из этих способов - поиске киберугроз с помощью YARA-правил.

Если коротко, то YARA-правила помогают по заданным характеристикам (иногда о-о-очень хитрым) искать похожие образцы вредоносов и определять: ага, вот эти-то, похоже, сделаны одними ребятами для похожих целей.

Представьте, что ваша сеть — необъятное море, кишащее сотнями самыми разными рыбами. Вам нужно понять, водится ли в этом море определенный род рыб (например, вредоносы авторства конкретной хакерской группы). Так вот YARA в этой водной метафоре будет неводом с ячейками определенной формы, в который попадаются только рыбы из того самого рода. Таким образом, благодаря YARA-правилам можно хитрыми методами находить новые образцы сложной малвары, даже если почти ничего про неё не знать.

У нас на эту тему есть хрестоматийный случай. В 2015 году наш YARA-гуру и глава GReAT’а Костин Райю абсолютно шерлок-холмсовскими методами нашёл в интернетах эксплойт для майкрософтовского ПО Silverlight. Зацепился за слитую хакерами переписку, провёл расследование и буквально из спичек и желудей написал YARA-правило, которое нашло эксплойт и уберегло мир от больших проблем.

Хотите тоже так уметь? Не сомневаюсь :)

Переходим к сути. Искусству создания YARA-правил мы обучаем уже не первый год. Вот только, учитывая сложный характер угроз, которые обычно таким способом ищутся, семинары мы раньше делали только очные и только для узкого круга топовых исследователей. Однако сочетать карантин с офлайн-тренингами оказалось трудновато, а необходимость в образовании никуда не делась — мы видим, что запрос такой по-прежнему есть. Запрос очень понятный, так как кибер-жульё придумывает все более изощрённые способы атак, и удалёнка им тут дает больше творческого пространства, чем когда-либо.  В общем, таить это знание и дальше нам кажется неправильным. Поэтому мы (i) перенесли тренинг в онлайн и (ii) открыли к нему доступ для всех желающих — платный, но цена по меркам профессионального курса такого уровня абсолютно рыночная.

Встречайте!

1

Collapse )

Что там в портфельчике? Топ-5 технологических патентов «Лаборатории».

Мы уже ДВАЖДЫ герои патентного труда признанные инноваторы по версии американского «топчика» Derwent Top 100 Global Innovators – престижного списка глобальных компаний, создаваемого на основе анализа их патентных портфолио. «Топчик» тем более престижный, что (i) мы там в почётной компании с Amazon, Facebook, Google, Microsoft, Oracle, Symantec и Tencent; и (ii) он основан на титанической аналитической работе организатора, Clarivate Analytics - компания оценивает более 14 000 (да-да-да, это не опечатка - четырнадцать тысяч!) кандидатов по ряду критериев, из которых основным является цитируемость. За пять лет пороговое значение для включения в «топчик» по этому критерию выросло аж на 55%.

dervent

Цитируемость – внимание! – это уровень влияния изобретения на инновации других компаний. Другими словами – насколько часто нас упоминают другие изобретатели в своих патентах; некая база развития технологии, ветвистое древо других технологий, вырастающее на её основе. Согласитесь – на фуфловых патентах такое древо не вырастет. И мы, на минуточку, входим в глобальную сотню самых-самых компаний, которые двигают вперёд мировой научно-технический прогресс.

Чувствуете момент? Я вот до сих пор чувствую, наслаждаюсь и никак меня эта тема отпустить не может. Ну и очень хорошо :)

После изучения этой аналитики, мне сразу захотелось посмотреть – какие наши запатентованные технологии самые цитируемые?

На старт-внимание-побежали:

1 место: 181 цитирование(*) - US8713631B1 System and method for detecting malicious code executed by virtual machine (зеркала патента в РФ RU2522019C1 и Китае CN103593608B).

Суть технологии: есть определенные приложения, написанные на коде, который для своего выполнения требует установленной виртуальной машины, которая и выполняет этот код. Классический пример – Java. Таким образом разработчик может легко портировать код на другие платформы (Windows, Linux…) – код-то один, надо только виртуальную машину поставить.

Разумеется, кибернегодяи используют уязвимости в виртуальных машинах для проникновения на компьютеры, при этом для других приложений (в том числе для антивируса) виртуальная машина  – это чёрный ящик, который к тому же доверенный процесс. Запатентованная технология – один из эффективных способов контролировать выполнение кода в виртуальных машинах при помощи их модификации и получении событий.

Collapse )

В тёмном-тёмном лесу офисе

Весьма вероятно, что ваш офис сегодня также пуст, как и наш. Редко-редко раздаются шаги охраны и технических служб, да гудят системы охлаждения серверов, нагруженные всякой «удалёнкой». Кажется, ничего не нарушает покой и крепкий сон системного администратора – кроме невидимых человеческому глазу и неслышных человеческому уху событий, происходящих в тёмном лесу IT-инфраструктуры.

Роль IT-безопасника в некотором смысле похожа на роль лесника – чтобы поймать браконьера (вредоносное ПО) и нейтрализовать угрозу для обитателей леса, надо для начала его обнаружить. Можно, конечно, дождаться звуков выстрелов и быстро бежать в их сторону, но это значит, что событие уже произошло и остаётся только разбираться с последствиями. Можно в превентивных целях расставить по всему лесу сигналы и видеокамеры и реагировать на каждый новый шорох (и быстро лишиться сна и разума). А если учесть, что «браконьеры» научились здорово прятаться и не оставлять следов, то выясняется, что главный вопрос безопасности заключается в умении вычленять подозрительные события из множества событий повседневных.

Современные кибер-браконьеры всё чаще маскируются именно при помощи совершенно легитимных инструментов и операций – например, открытия документа в Microsoft Office, получения администратором удаленного доступа, запуска скрипта в PowerShell или активацией механизма шифрования данных. Новая волна так называемого «бесфайлового» вредоносного ПО и вовсе не оставляет никаких следов на жёстком диске, что заметно усложняет работу традиционных подходов к защите. Именно так, например, группировка Platinum проникала в компьютеры дипломатических организаций. Офисные документы, загружающие вредоносную нагрузку, применялись для заражения через фишинг в операции DarkUniverse, да и многих других. Ещё один пример - «бесфайловый» вымогатель-шифровальщик Mailto (aka Netwalker), который использует PowerShell скрипт для загрузки вредоносного кода непосредственно в память системного процесса.

Итак, если традиционными средствами не обойтись, то можно попытаться запретить целый ряд операций пользователям и ввести жёсткие политики доступа и использования ПО. Однако в этом случае и пользователи, и вредоносы скорее всего найдут обходные пути, как находят их лесные ручьи или звериные тропы.

Лучше найти решение, которое сможет определять аномалии в стандартных процессах и уведомлять о них администратора. Главная сложность такого решения, чтобы научиться автоматически определять «подозрительность» процессов во всем их многообразии, и не досаждать администратора постоянными криками «Волки! Волки!»

И у нас такое решение есть – Adaptive Anomaly Control. В основе сервиса лежат три основных компонента – правила, статистика и исключения. Правила охватывают основные офисные приложения, пакет приложений Windows Management Instrumentation, стандартные скрипты и другие компоненты, совмещённые со списком «аномальных» активностей. Эти правила являются частью решения и не требуют от администратора создавать их заново.

ad1

Collapse )