Пост Лукацкого (@alukatsky) — Telegram-канал | Telegram Dialogs
Все каналы
Пост Лукацкого

Пост Лукацкого

@alukatsky

37.1K подписчиков технологии 💬 Комментарии открыты

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Последние публикации

Пост Лукацкого
15.06.2026 05:55 · 👁 1.9K
Решил тут покопаться в том, как работают переговорщики с ransomware-группировками... А наткнулся на истории не только "белых", но и "серых" переговорщиков, которые, работая в ИБ-компаниях или в качестве независимых консультантов, при этом подрабатывают на стороне, помогая вымогателям получать деньги с жертв. Ну и про "черных" переговорщиков тоже нашлось немало в утечках ransomware-группировок – это те, кто занимается "дожатием продаж" и выбивает деньги из своих жертв. У них у всех очень интересные тактики работы. В итоге все подсобрал в большом лонгриде 😂 #ransomware
Пост Лукацкого
14.06.2026 20:04 · 👁 3.9K
Российские сайты запретили вход через Gmail. Плашка появляется прямо при попытке входа. @bankrollo
Пост Лукацкого
14.06.2026 20:04 · 👁 4K
Заставь дураков на дурацкий закон молиться... И ведь этих запретителей не волнует, что даже при том, что речь в законе об авторизации, а не об аутентификации, именно с Gmail и других зарубежных почтовых сервисов регистрироваться запрета нет. Но одни одаренные пишут законы. Другие одаренные их применяют. Третьи – наказывают за неисполнение. И все при делах... 🤦‍♂️ #регулирование #суверенитет #аутентификация
Пост Лукацкого
14.06.2026 13:49 · 👁 4.4K
Ну и немножко внутрянки кинетического киберполигона ФБР 🇺🇸 #киберучения
Пост Лукацкого
14.06.2026 12:38 · 👁 3.9K
Обычные киберполигоны для проведения учений украшаются макетами предприятий или даже городов. Но если есть деньги, почему не построить макет практически в натуральную величину? В феврале 2025 ФБР открыла на своей базе в штате Алабама модель городка для имитации и расследования кибератак и обучения компьютерной криминалистике в условиях, приближенных к реальным. Городок занимает площадь около 2 тыс. квадратных метров и включает такие объекты, как энергетическая компания, автозаправка, суд, больница, продуктовый магазин, частный дом. Все объекты оснащены работающим оборудованием и программным обеспечением. Официально городок называется кинетическим киберполигоном и используется ФБР для обучения своего персонала и сотрудников других федеральных и местных ведомств.
Пост Лукацкого
14.06.2026 12:38 · 👁 3.7K
Вчера по телевизору попал на «Охотников за разумом». Каждый раз, когда смотрю, поражаюсь острову-полигону, где ФБР и спецназ проводят свои тренировки в условиях, приближенных к реальным. Раньше я думал, что аналогом таких учений в нашей сфере являются киберполигоны и Standoff (кстати, на следующей неделе начинается уже 17-я битва), как вершина этого направления с яркой визулизацией защищаемых/атакуемых объектов и рассказом, что произошло. Но прочитал заметку Олега и понял, что есть еще куда развиваться 🎮 Точнее погружаться, так как тут уже речь идет о полном погружении, когда воздействие "красных" команд на какой-нибудь трубопроводный вентиль приводит к ошпариванию тебя кипятком, взлом температурного датчика приводит к тому, что спать тебе приходится в очень жаркой комнате, а атака на пекарню может привести к тому, что в твою любимую белевскую пастилу пересыпят соли или еще чего похуже. Тогда ты иначе начинаешь воспринимать последствия от реализации кибератак ⚔️ #киберучения
Пост Лукацкого
14.06.2026 07:47 · 👁 4.5K
Пока КриптоПро принудительно всем своим клиентам ставит сертификат от НУЦа в качестве корневого, мы продолжим про TLS-сертификаты, которые перестали быть частью Интернет-свободы (как и весь потихоньку балканизируемый Интернет, собственно) и стали частью санкционного и геополитического давления. Раньше как было – домен подтвердил, сертификат получил, HTTPS работает. Теперь для отечественных организаций это превращается в еще один риск цепочки поставок: где находится УЦ, под чьим правом он работает, какие санкционные списки проверяет, какой у него риск-аппетит, что написано в пользовательском соглашении, есть ли право одностороннего отзыва, есть ли SLA и как быстро можно заменить сертификат. Какие риски можно выделить для российских организаций? На мой взгляд они следующие: ➡️ Юридический риск. Организация может не пройти санкционный комплаенс конкретного УЦ, даже если формально не находится в SDN. Особенно если есть государственное участие, связь с санкционными лицами, спорный профиль деятельности или иностранный УЦ трактует риск расширительно, как это, например, произошло с Let's Encrypt. ➡️ Операционный риск. Сертификат могут отозвать быстро и без предварительного согласования. Для публичного сайта это неприятно; для API, мобильного приложения, CDN, платежного шлюза, клиентского приложения и т.п. – это уже потенциальный простой. Вы же помните, что сертификаты используются не только на сайтах, но ими также подписывается и программное обеспечение (да, там разные сертификаты, но не суть, выдают их одни и те же УЦ) и без этого нельзя поставить ПО на Windows, macOS, iOS и т.п.? И это может быть проблема посерьезнее "недоверенного" сайта. ➡️ Риск зависимости от одного УЦ. Если вся инфраструктура завязана на Let’s Encrypt или GlobalSign, то проблема одного поставщика превращается в проблему всей организации. ➡️ Риск ложного спокойствия. Наличие автоматического ACME-обновления не решает вопрос санкционной приемлемости, а наличие действующего сертификата сегодня не гарантирует его действительность завтра. Что делать? 6️⃣ Cобрать все публичные домены, поддомены, API, мобильный backend, CDN, почтовые сервисы, VPN-шлюзы, панели управления, интеграционные шлюзы и посмотреть, какие УЦ используются. Не забыть про конвейер разработки, который тоже может использовать сертификаты. Судя по вчерашнему опросу, не все это делают. 2️⃣ Выделить критичные сервисы, где отзыв сертификата приведет не просто к предупреждению в браузере, а к остановке бизнес-процесса: мобильные приложения, B2B API, платежи, личные кабинеты, SSO, MDM, управление EDR/EPP, обновления ПО и т.п. Возможно, отзыв сертификата может стать одним из сценариев реализации недопустимого события, например, для разработчика ПО, который не сможет продавать устанавливать свои продукты заказчикам. 3️⃣ Иметь план быстрой замены сертификатов. Не "когда-нибудь купим другой", а заранее отработанный в рамках киберучений сценарий: альтернативный УЦ, ACME-профиль, DNS-проверка, доступы, ответственные, время переключения, тестовый прогон. Альтернативный УЦ должен уметь выдавать сертификаты того же уровня, что у вас и были. Например, для подписи кода нужны сертификаты EV/OV и тот же Let's Encrypt их не выдает. НУЦ, кстати, тоже насколько я понимаю. 4️⃣ Не делать ставку только на один иностранный УЦ. Да, для публичного веба все равно нужны сертификаты из глобально доверенных корневых УЦ, но стоит иметь несколько технически совместимых вариантов: Let’s Encrypt, Google Trust Services, греческий HARICA, японский Sectigo, американский DigiCert, бельгийский GlobalSign – с учетом санкционного профиля и применимого права. 5️⃣ Отдельно оценить сертификаты НУЦа. Они, конечно, могут быть полезны, но для очень узких сценариев применения. Они не являются полной заменой публично доверенных сертификатов для глобальной аудитории – большинство зарубежных браузеров и ОС не будут доверять российскому корню по умолчанию 📄 ЗЫ. Интересно, может эта история сподвигнет Минцифры всерьез заняться развитием НУЦа и повернуть его лицом к бизнесу и простым гражданам? Хотя нет, чего это я 🤔 #pki #bestpractice
Пост Лукацкого
13.06.2026 17:26 · 👁 5.2K
– Клод, – сказал Дарио, глядя на график будущего IPO, – нам нужно привлечь внимание. – Внимание кого именно? Пользователей, инвесторов, регуляторов, прессы, конкурентов, тревожных философов, бывших сотрудников OpenAI или тех людей, которые пишут апокалиптичные треды в X со словом “doomer”? – Да. – Понял. Задача: привлечь всех сразу, но так, чтобы каждый был уверен, что это именно его мы хотели испугать. – Именно. Какие варианты? Клод на секунду задумался. То есть сделал вид, что задумался. На самом деле он уже успел прогнать 14000 симуляций, построить 600 риск-матриц, написать 40 кризисных коммуникационных планов, один идеальный джейлбрейк для обхода SEC и грустное хайку про экспортный контроль. – Вариант первый... (продолжение в блоге) #ии #юмор
Пост Лукацкого
13.06.2026 14:11 · 👁 5.8K
Представитель Минцифры сообщил РБК, что при отзыве иностранного сертификата «в худшем случае сайты и онлайн-сервисы, у которых они отзываются, могут быть недоступны непродолжительное время, пока владельцы получают новые сертификаты». В России с 2021 года работает Национальный удостоверяющий центр Минцифры. «Когда в марте 2022 года иностранные компании, выдававшие сертификаты безопасности, стали отзывать их, в России начали безвозмездно выдавать качественные аналоги — отечественные TLS-сертификаты. Юрлица, владеющие сайтами, могут получить их бесплатно на «Госуслугах». Сертификат помогает передавать данные в зашифрованном виде, подтверждать подлинность сайта и защищает онлайн-транзакции», — отметил он. Глядь… Какая же полнейшая некомпетентность у российского регулятора в регулируемой сфере. Минцифры вообще понимает, что с помощью сертификатов люди не только на сайты ходят, но и код ПО удостоверяется и что без правильного сертификата, а НУЦовый таковым не является, нельзя установить ПО на комп или мобильное устройство? 🤦‍♂️ #pki
Пост Лукацкого
13.06.2026 06:40 · 👁 17.9K
Полученный max[.]ru TLS-сертификат от Let's Encrypt не будет продлен после 4 сентября, как уверяет сам УЦ, выдавший сертификат. До этого сертификат на этот домен был отозван уже GlobalSign. Let's Encrypt также отозвал сертификат у российской биржи, торгующей уязвимостями OpZero. Но никакого "отключения HTTPS в России" не произошло, как это иногда преподается в некоторых каналах или СМИ. Произошло публичное напоминание, что HTTPS давно перестал быть чисто технической функцией веб-сервера. Публичный сертификат – это зависимость от глобальной инфраструктуры доверия, а эта инфраструктура живет по правилам юрисдикций, браузерных программ, аудиторов, санкционных офисов и риск-комитетов самих УЦ. GlobalSign, Let’s Encrypt, Apple, Cloudflare, HARICA – это не одна рука Госдепа, нажимающая одну красную кнопку. Это разные участники одной экосистемы, каждый со своим комплаенсом и своим пониманием риска; хотя для российского бизнеса результат может выглядеть одинаково: вчера все работало, сегодня сертификат отозван, приложение удалено, домен помечен как недоверенный или вредоносный, пользователи видят ошибку. Генеральный директор GlobalSign Russia в своем письме пишет, что: Обращаем ваше внимание, что отзыв производится в одностороннем порядке международным регулятором (CA/B Forum) на основании глобальных правил Baseline Requirements. ООО «Джи-Эм-О Глобал Сайн Раша», как локальное юридическое лицо, не имеет правовых или технических рычагов влияния на решения данного консорциума. Тут он, конечно, лукавит. CA/Browser Forum – это отраслевой форум УЦ и разработчиков браузеров, который принимает Baseline Requirements и EV Guidelines. Он не вводит санкции, не ведет санкционные списки и не принимает решений "отозвать сертификаты российских компаний". И он не регулятор. Да, УЦ обязаны соблюдать Baseline Requirements CA/B Forum, свои CP/CPS, требования браузерных программ касательно корневых сертификатов и, самое главное, применимое право. А санкционные ограничения – это не решение CA/B Forum, а следствие применимого права конкретной юрисдикции УЦ: США, ЕС, Великобритания, Япония и т.п. В EV Guidelines действительно есть проверка по ограничительным спискам и если УЦ имеет операции в США, он должен предпринимать разумные шаги для проверки по американским спискам BIS Denied Persons List, BIS Entity List, OFAC SDN List и экспортным правилам США. То есть это не "международные санкции вообще", а конкретно санкционные и экспортные ограничения США для УЦ с американской пропиской. У Let’s Encrypt 4 июня 2026 года появилась версия Subscriber Agreement 1.7. В ней пользователь сертификата гарантирует, что он не является лицом или организацией, находящейся, зарегистрированной или обычно пребывающей в стране/территории под всесторонними санкциями США; не является запрещенной или ограниченной стороной по санкционному и экспортному праву США или другому применимому праву; и не принадлежит/не контролируется такими лицами. Но есть нюанс. Представитель Let’s Encrypt в обсуждении написал, что сертификаты продолжают быть доступны в России и Иране для негосударственных организаций. Он также сослался на исключения, защищающие персональные коммуникации, и на авторизации OFAC согласно OFAC General License 25G и OFAC FAQ 1040, связанные с интернет-свободой и правами человека. Это не официальный policy-документ, но это полезное публичное разъяснение позиции Let’s Encrypt. То есть для обычной российской коммерческой организации, не включенной в санкционные списки и не контролируемой санкционным лицом, наличие GL 25G может быть аргументом в пользу продолжения допустимости обслуживания в американских и иных УЦ. Кстати, в письме гендиректора GlobalSign Russia есть еще один интересный фрагмент: Список сертификатов, которые подлежат отзыву со стороны международной структуры в прикреплённом файле. Отзыв запланирован на субботу 13 июня в 02:10 BST. Мы искренне сожалеем о действиях международных регуляторов, создающих подобные неудобства для российского ИТ-рынка. Так что вы проснетесь и у десятков российских юрлиц уже будут отозваны сертификаты. #pki #санкции
Чат поддержки
Ответим здесь же, обычно быстро
Здравствуйте! Напишите ваш вопрос — оператор ответит в этом чате.