Хакерская пирамида Маслоу в ландшафте современных кибер-геополитических реалий.

// звучит как название докторской диссертации :)

Как-то раз на прошлой неделе майским весенним утром я вышел на сцену и сказал буквально следующее: «Как же я рад вас всех здесь видеть!», — да просто потому, что все уже устали от этой затянувшейся коронаковидной истории эпохи биовирусного сезона, уже давно хочется вернуться в привычный ритм конференций, выставок и прочих массовых деловых активностей (и желательно без галстука). И тут у нас, как и было заказано, небольшое ежегодное мероприятие под названием «Kaspersky Security Day — 2021».

Дальше: про непредсказуемое кибер-геополитическое…

Первый (*кибериммунный*) пошёл!

Пришло время разбавить фото- и видеоотчёты о путешествиях и увиденных там природных и прочих достопримечательностях рассказом про наши продуктово-корпоративные новости и достижения. Тем более, что прямо сейчас мы вовсю запускаем и официально представляем миру наше первое полностью кибериммунное решение для обработки промышленных данных, которое открывает эпоху кибериммунитета и является первым вестником заката традиционной кибербезопасности. Как минимум в промышленных системах и интернетах вещей (IoT).

Дальше: всем иммунитета!…

Фотоканал на Flickr

  • Happy birthday Kaspersky!
  • Happy birthday Kaspersky!
  • Happy birthday Kaspersky!
  • Happy birthday Kaspersky!

Instagram Photostream

Выкуп кибервымогателям: совсем не платить иль не платить ничего?

Иногда узнаёшь какие-нибудь новости про то, что ещё какая-то большая компания стала жертвой очередного шифровальщика, и что их вынудили заплатить выкуп, или читаешь комментарии, где натыкаешься на советы типа «подумайте о том, чтобы заплатить выкуп». В такие моменты мне становится немного не по себе, потому что платить вымогателям категорически не следует — и не только потому, что они не то чтобы честным трудом зарабатывают. Видимо, пора в очередной раз высказаться, почему.

Во-первых, вы спонсируете киберпреступность.

Дальше: а что ж тогда делать-то?…

Как сохранить здоровье завода без регистрации и СМС.

Год 2020й, который однозначно войдёт в историю как био-вирусный, летел к своему логическому завершению. Следом за ним уже маячит на горизонте следующий год, по счёту 2021й, про который уже шутят, что его номер можно произносить иначе: «две тысячи двадцать» – пауза – «первый год». Но тут не до шуток.

Почти весь мир уже 10 месяцев (а кто и больше) живёт в состоянии перманентного шока. Причём это не только к населению относится – пострадал частный бизнес и национальные экономики. Но, увы, в списке «кому сейчас плохо» индустрия кибер-преступности не значится. Сетевым негодяям разных мастей просто раздолье! Народ плотно засел в интернетах – и потенциальных жертв стало значительно больше. Плюс к тому можно «покопаться» и в корпоративных сетях через недостаточно хорошо защищённые компы сотрудников, работающих на удалёнке – чем кибер-злодеи частенько пользуются. Короче, мировой цифро-порядок тоже подкосило этим злобным биологическим вирусом.

Как следствие, на компании в секторе цифровой безопасности легла дополнительная нагрузка. Нам совершенно не скучно! Да и не привыкли мы скучать… И даже наоборот. Для нас год 2020 получился весьма продуктивным. Список выпущенных в этом году новых версий наших решений весьма впечатлителен (особенно в корпоративном сегменте).

Причём список этот всё пополняется! И сейчас хочу рассказать вам ещё об одной штуке, о разработке, которую мы для краткости называем MLAD, а в необрезанном виде — Kaspersky Machine Learning for Anomaly Detection.

Кстати, смешной факт: если поЯскать эту аббревиатуру, можно найти что в других интерпретациях это ещё и Minimum Local Analgesic Dose (что-то типа «минимальной дозировки местных анестетиков»), и Mid Left Anterior Descending artery (одна из сердечных артерий). Всё, видите, какой-то медицинский оттенок в этом году приобретает с этим клятым биовирусом. 

Так вот про наш MLAD, технологический.

Те, кто следит за нашими блогами, могут помнить, что это такое. Могут, впрочем, и не помнить, поэтому я коротенечко расскажу с чего вообще сыр-бор разгорелся.

Если по-умному и с терминами, то это такая система, которая методами машинного обучения анализирует данные телеметрии с промышленной установки и на основе этого анализа оперативно находит всевозможные аномалии, атаки и поломки.

Вот представим, что у вас есть свечной заводик с тысячами датчиков — давления, температуры, всего на свете. Каждый из этих датчиков постоянно генерит поток информации. Уследить за всеми потоками вручную, как вы понимаете, невозможно, и вот тут пригождается машинное обучение. Предварительно натренировав нейросеть, MLAD может по прямым или косвенным корреляциям определять, что на таком-то участке производства что-то не так. И соответственно предотвращать миллионные и миллиардные убытки от инцидентов.

Раз уж мы взялись проводить аналогии с медициной… У многих сегодня есть смарт-часы с фитнес-браслетами. Но они вам могут разве что пульс померять и количество шагов посчитать. В стационарных условиях у врачей возможностей побольше, они могут и кровь проанализировать, и давление, и что-нибудь ещё наверное. А теперь представьте, что к каждому вашему кровеносному сосуду, каждой нервной клетке и каждому кровяному тельцу привязано по датчику. Как профессионал любой врач такому информационному перегрузу будет рад, но при попытке анализа попросту сойдёт с ума. Вот тут на помощь приходим мы со своими технологиями.

Кто-то скажет: это всё конечно круто, но что же вы нам повторно ту же технологию рекламируете? И окажутся неправы, потому что технология та же, да мощно обновленная. Собственно, именно про эти обновления я и хочу рассказать, а это было так, скорее вступление.

Первый серьёзный апгрейд MLAD называется Pipeline. Уж простите за англицизмы, издержки глобального бизнеса. Суть этого «пайплайна» в следующем. Иногда, даже довольно часто, всё собранное датчиками телеметрическое богатство эффективнее обрабатывать не скопом, а частями. У большинства из нас есть по две руки, две ноги, определённое количество других органов — и согласитесь, помимо общего положения дел хорошо бы понимать состояние каждого из них по отдельности. На практике это может пригодиться в проектах Building Information Management (BIM), или информационного моделирования зданий. В каждой комнате есть датчик окна, термометр, индикатор режима работы кондиционера и много чего ещё. И вместо того, чтобы всё здание запихивать в одну модель, мы делаем по мини-модельке для каждой комнаты. Вот так просто и элегантно.

Второе большое обновление называется «Тренер». Оно позволяет заказчикам переобучать алгоритмы в случае необходимости и без нашего участия. Делать это приходится довольно регулярно: сырье сменилось, где-нибудь резервуар подвинули или фильтр добавили. Аналогия «ближе к телу» тоже понятная: стали вы по-другому питаться, перешли с колбасы на овощи (или наоборот), и медицинские показатели ваши тоже изменятся. После этого нейросетке нужно на новых данных показать новую норму, и делается это теперь одной кнопкой.

Ну и какое-то количество интерфейсных доделок и улучшалок мы внедрили, куда без этого. Например, теперь MLAD может показывать срез данных по датчикам одного типа на всём объекте, составлять такую «карту» производства с распределением давления или температуры по всему тракту. В будущем мы и вовсе планируем по запросу рисовать трёхмерную модель объекта со всеми обозначениями, чтобы локализовать аномалии можно было невооружённым взглядом. Но это так, небольшой тизер.

Ещё один смешной факт на закуску. Технология настолько крутая, что мы столкнулись с неожиданной трудностью: поначалу заказчики просто не верят, что такое возможно! В итоге после практический демонстрации возможностей MLAD у людей округляются глаза и восторгам нет предела.

Ну что, впечатлились? Если да, но хочется больше информации, я просто оставлю тут эту ссылку. Там и кейсы, и пара симпатичных демо-роликов наличествуют — в общем, есть где разгуляться любопытствующему мозгу. Всем не болеть!

Припев: KOS Day — KOS Night!

Человечество жило в разные эпохи, которые носили разные названия: каменный век, бронзовый и железный века. А вот нынешний век — какой? Как его будут называть археологи будущего? Какой материал или технология являются самыми важнейшими в наше время?

Можно назвать нашу эпоху «электрической», например. Также слышал версию того, что мы живём в «век пластика» — с чем сложно спорить, ведь достаточно просто посмотреть на окружающие нас предметы. Можно долго дискутировать на эту тему, но предлагаю это дело бросить. Ведь вряд ли кто будет возражать, что человек неизбежно движется в сторону эпохи кибер-технологий, в «цифровой век».

// Припев: KOS day — KOS night!

Да-да, я считаю, что мы только вступаем в это цифровое время, что те кибер-сети и интернеты разных вещей — это только начало. Какое будет будущее видеть сложно. Примерно как невозможно было во время глобального распространения электричества предполагать появление всяческих технологий, существование которых без электричества невозможно. Та же самая кибер-цифра, например.

Цифра, как электричество и пластик, кардинально меняет наш мир. И сложно предполагать когда эти изменения «устаканятся». Интернету, блокчейнам, машинному обучению — всем этим технологиям всего-то несколько десятков лет! И полвека назад никто и подумать не мог о возможности подобных изобретений.

Короче, мы стремительно летим в цифровой век. И что меня пугает, так это факт того, что летим мы туда «не пристёгнутыми ремнями безопасности». А именно: технологии и продукты, которые внедряются во всё и везде являются уязвимыми, подверженными «кибер-кариесу», а последствия «заболеваний» могут оказаться фатальными. Примеров чему уже было достаточно, приводить дальше не буду (читайте наши отчёты).

Что же делать?

Хороший вопрос. И, уверен, многие умы этим вопросом пристально занимаются. Наши умы тоже :) Но прежде чем отправиться в дальнейшие объяснения, мне кажется, что нужно привести какую-нибудь простую и понятную аналогию. Например, про электричество. Оно, как известно, может очень больно ударить, если им неаккуратно пользоваться. Само собой, никакому хомо сапиенсу это не понравится. И разумные представители этого вида озадачились этим вопросом и придумали разные изоляции, электрозащиты и прочую технику безопасности, по которой устраивают учения и сдачу экзаменов.

Короче, электричество стало вполне себе безопасным. Провода изолированы, предохранители на страже, громоотвод заземлён. В чём мораль этой басни? Да тоже самое надо и с цифрой! Забезопасить её «by default».

// Припев: KOS day — KOS night!

Технически подкованный читатель тут же сообразит, что я опять сворачиваю на дорожку нашей иммунной операционной системы… И читатель этот окажется прав!

Дальше: не лозунг, а скоро ждите на рынке…

Анти-, но не -вирус. Надёжно против техно-кибер-ворон. Им будет больно.

Так, похоже, что к мою историю про «КДЛ-1» (он же «Детектор-Лжи-1») некоторые восприняли чересчур серьёзно, хоть там и был прямой намёк про «первоапрельское». Ну что же, попробую раскрыть эту тему немного другими словами. Или как сказал классик русского рока: «… я попытаюсь спеть о том же самом в несколько более сложных словах».

«Не мышонок, не лягушка, а неведома зверушка» — могут подумать случайно заглянувшие в мой кабинет или же зашедшие туда по делам. Действительно, вот стоит такой неведомый глазастый аппарат, весь в строгих цветах и весь из себя откровенно хай-технологичный:

Но прежде чем начать подробный рассказ об этом устройстве, я сверну немного в сторону. Вот о чём.

Мы традиционно раз в году устраиваем «отчётное собрание», где все сотрудники компании в онлайне могут узнать главные новости за прошедший год, что планируется, задать вопросы и т.п. В наши тревожные биовирусные времена мы стали подобные сессии AMA («Ask Me Anything») устраивать гораздо чаще. Народ сидит по домам, новости не самые радостные, надо народ бодрить и поддерживать — и примерно раз в квартал топ-менеджмент компании выходит «в прямой эфир».

Во время предыдущей такой телеконференции пришёл «вопрос из зала» — а что это за загадочная штуковина стоит у меня за спиной? Тут же в общем АМА-чатике начали появляться разные догадки и идеи. Особенно понравилась чья-то версия про зловещий сканер мозга, способный читать чужие мысли. // да-да, именно по мотивам этой догадки и родился «первоапрельский текст» про «детектор лжи». На самом деле это наша новейшая разработка — бейте в барабаны и трубите в трубы ->

Знакомьтесь, это наш новый замечательный Kaspersky Antidrone собственной персоной. Прошу любить и жаловать!

Дальше: эти глаза напротив…

OpenTIP, сезон-2: заходите чаще!

Год назад я уже обращался к самым продвинутым 5% аудитории, спецам по кибербезопасности, чтобы порадовать их новым инструментом нашей разработки, Open Threat Intelligence Portal (далее OpenTIP).

Инструменты анализа сложных угроз и просто подозрительных файлов, которыми пользуются в том числе знаменитые «кибер-ниндзя» из GReAT, стали доступны всем желающим. И желающие пришли! Они проверяют тонны файлов ежемесячно.

За год жизнь этих 5% стала гораздо сложнее, потому что зловредный био-вирус выгнал мир на «удалёнку», и обеспечивать безопасность корпоративных сетей стало стократ хлопотней. Время, которого и раньше не хватало, стало драгоценным ресурсом. Поэтому самый частый запрос, который мы слышим от наших искушенных пользователей, прост и прямолинеен: «дайте доступ по API и увеличьте лимиты»!

Сказано – сделано!

В новой версии OpenTIP появилась регистрация пользователей. Постоянным посетителям её категорически советую, потому что после регистрации бóльший кусочек платного Threat Intelligence Portal покажется из сумрака.

Дальше: и песочница тоже!…

Рансомварное: шутки закончились.

Сначала краткое изложение событий.

10 сентября ransomware-малвара DoppelPaymer шифрует 30 серверов больницы г.Дюссельдорфа из-за чего пропускная способность учреждения существенно деградирует. Неделю спустя по этой причине больница отказывает в приёме пациентке, срочно нуждающейся в операции, перенаправляя её в соседний город. По пути она умирает. Это первая известная человеческая жертва вследствие ransomware-атаки.

Это очень грустный случай. Он тем более грустный, что здесь сошлись фатальная случайность, пренебрежение к основным правилам компьютерной гигиены и неспособность правоохранительных органов противостоять организованной преступности.

Немного технических деталей: атакована больница была через уязвимость в серверах Citrix Netscaler, также известную как «Shitrix». Кстати, обновление, устраняющее уязвимость, доступно с января – это я по теме важности регулярных обновлений для всех умных железок – всех вообще, а не выборочно. По всей видимости, системные администраторы всё же допустили значительное временнóе окно между выходом обновления и его установкой: именно в этот промежуток злоумышленники смогли проникнуть в сеть и установить бэкдор.

Что вообще происходит с этим миром? Как можно больнице допустить такой инцидент, чтобы хакеры смогли затроянить систему через известную уже уязвимость, для которой был патч?  Сколько раз мы говорили, что FreeBSD (а именно на ней работает Netscaler) – не только не гарантия безопасности, но наоборот – «ложный друг» безопасника? В этой операционной системе точно так же есть недостатки, использующиеся в сложных кибератаках. Более того, для организаций критической инфраструктуры обязательна многоуровневая защита, где каждый уровень способен страховать другие. Если бы в сети больницы стояла надёжная защита, то хакерам скорее всего не удалось бы осуществить задуманное.

А вот дальше начинаются предположения. Не исключено, что через некоторое время доступ к бэкдору был продан другим хакерам на подпольном форуме как «университет» — атака действительно была изначально нацелена на местный Heinrich Heine University. Именно он был указан в письме вымогателей, когда они потребовали выкуп за возврат зашифрованных данных. Когда хакеры узнали, что это больница, то немедленно предоставили ключи шифрования и исчезли. Видимо затрояненые больницы не пользуются спросом у киберкриминала – слишком «токсичный» актив (что, собственно, и было доказано). Однако, это не спасло ситуацию.

Теперь же самый интересный вопрос: кто это сделал?

Вероятнее всего, что за DoppelPaymer стоит известная хакерская группировка Evil Corp, на которой висит ответственность за десятки других громких взломов и вымогательств (в том числе громкая атака на сеть Garmin). В 2019-м правительство США выпустило ордер на арест людей, причастных к деятельности Evil Corp и объявило награду в $5млн за помощь в поимке. Что любопытно – личности преступников известны, а сами они до недавнего времени бравировали крутыми (обратите внимание на номер на фотке внизу) тачками и вели богемный образ жизни.

источник

Полиция Германии сейчас проводит расследование для выяснения реальных причин смерти пациентки. Надеюсь, что немецкие власти запросят от России содействия в задержании преступников — и это прямое обращение действительно наконец-то сдвинет ситуацию с мёртвой точки.

Для возбуждения уголовного дела требуется по крайней мере формальное заявление или предмет преступления. «Написано на заборе» правовая система не принимает к рассмотрению. Нет заявления – нет дела, потому что иначе любой адвокат вмиг его развалит. Если есть серьёзные доказательства преступления, то надо запускать нормальную процедуру, основанную на межгосударственном взаимодействии. Как говорится «that’s the way it works». Правительствам имеет смысл превозмочь свои геополитические предрассудки и действовать совместно. А покамест из-за политической заморозки международного сотрудничества уже гибнут люди, а киберкриминал оборзел до космических масштабов.

UPD: первый шаг к восстановлению сотрудничества в кибербезопасности сделан.

Кстати, а вы заметили, что в прессе почти нет новостей об успешных атаках шифровальщиков против российских организаций? Оставив в стороне смешную конспирологию о том, что «рансомварщики» работают под «крышей» российских спецслужб (не могут же они «крышевать» также китайских, корейских, украинских, иранских и прочих других хакеров), у меня остаётся только один разумный ответ этому парадоксу.

Да потому что подавляющее большинство российских предприятий защищено нормальной киберзащитой, а в перспективе ещё лучше накроется киберимунной операционкой. Да, да, той самой защитой, которую в США запретили использовать в государственных учреждениях.

UPD2: Вчера стало известно, что из-за ransomware-атаки крупнейшая американская больничная сеть UHS отключила компьютерную систему, обслуживающую ~250 учреждений по всей стране, переведя регистрацию пациентов на бумагу. Подробности пока неизвестны.

Кибер-пандемия: охота за вакциной.

Карантин карантином, а премьера нового документального фильма о реальных киберпреступлениях из серии Hacker:HUNTER по расписанию! Тем более, что к онлайн-формату нам уже не привыкать. И кстати, премьера – самая злободневная, ведь что для простых смертных – самоизоляция, то для хакеров – возможность поживиться чужими данными и деньгами. А с режимом удалённой работы киберпреступники более чем знакомы!

Ни для кого не секрет, что во время пандемии резко участились кибератаки на медицинские учреждения и исследовательские центры. Некоторые кибернегодяи искали способ быстрого обогащения (и, к сожалению, не всегда напрасно), а отдельные (и очень продвинутые) группировки искали, пожалуй, самую ценную на сегодня медицинскую информацию. Наша новая документалка «Hacker:HUNTER: Ha(ck)c1ne Healthcare on the Edgeкак раз об этом. Фильм рассказывает о том, как на фоне борьбы с коронавирусом те, кто беззаветно спасает наши жизни, стали целями самых продвинутых кибератак, и почему те, кто всеми правдами и неправдами стремится завладеть данными по разработке вакцины от Covid-19, прибегают к услугам киберпреступников.

Новый фильм — это третий сезон серии документальных фильмов-расследований о киберпреступности Hacker:HUNTER, которая выходит в рамках нашего онлайн-проекта Tomorrow Unlocked. Первым в серии стал документальный фильм об известной кибергруппировке Carbanak, которая несколько лет назад смогла похитить 1 миллиард долларов из банкоматов в разных странах мира. Сюжетом для второго фильма послужила громкая история шифровальщика WannaCry.

А ещё у серий отличный рейтинг на IMDB, так что ответ на вопрос, что же ещё посмотреть, если уже всё посмотрел, находится здесь.

Премьера Hacker:HUNTER: Ha(ck)c1ne Healthcare on the Edge! состоится уже в эту пятницу 25 сентября в 18ч00 по московскому времени.

Посмотреть фильм можно будет здесь.

А пока — трейлер:

Если после просмотра у вас останутся или появятся новые вопросы, то их можно будет сразу же смело задать создателям и техническим экспертам фильма: Райнеру Боку, руководителю проектов ЛК из Brand Activation Studio, и Костину Райю, директору GReAT и одному из главных консультантов сего творения.

Кстати, тому, кто опубликует самый остроумный и интересный пост о фильме, мы подарим ваучер на покупки на сумму 100 евро (пост должен включать ссылку на YouTube-премьеру и хештег #hackc1ne). А автор самой популярной публикации будет награждён коллекцией корпоративных сувениров.

Так что запасайтесь попкорном, устраивайтесь поудобнее и приятного просмотра! Обещаю, что будет интересно!

Первая посткарантинная промышленная.

Итак, мальчики и девочки, у нас произошло эпохальное событие — и я без лишней скромности об этом громко заявляю. В одном небезызвестном приморском городе, в котором «тёмные ночи» и каждый жил бы, «зная прикуп» ->

— там у нас прошла самая первая посткарантинная и самая настоящая деловая конференция! Мой первый посткарантинный бэджик:

Дальше: уточнение, пояснение и подробности…