Автор: Vlad Styran

РНБО повідомляє про атаку російських хакерів на систему документообігу держорганів

РНБО попереджає про фішингову атаку через систему документообігу Українських державних установ та звинувачує в цьому росіян.

Техніка атаки примітивна: класичні документи Microsoft Office із макросами. Проте, цілком дієва: фішинг завжди в моді, а користувачі радо погоджуються на пропозиції хакерів завантажити на комп’ютер шкідливі програми.

Цікавий скоріше вектор атаки: поширення файлів через Систему електронної взаємодії органів виконавчої влади (СЕВ ОВВ). Це такий собі файлообмінник з вебінтерфейсом та скриптами за кілька десятків мільйонів гривень, який українські державні установи використовують замість електронної пошти або сервера SharePoint. Система, на хвилиночку, має атестат відповідності КСЗІ від 2019 року.

З усього скидається те, що нападникам вдалося захопити контроль над щонайменше одним суб’єктом системи документообігу. Цікавий нюанс: у пресрелізі РНБО напад класифікують як атаку на ланцюг постачання (Supply Chain Attack). Чи випливає з цього, що було модифіковано програмне забезпечення системи СЕВ ОВВ? Чи йдеться про первинне проникнення в державну установу – суб’єкта документообігу? Про це РНБО змовчує, залишаючи простір для спекуляцій.

Проте, походження атаки сумнівів не викликає. Адже зафіксовані індикатори компрометації однозначно вказують на російську хакерську групу Gamaredon (aka Primitive Bear), яка вже кілька років кошмарить українську госуху. Та й на тлі політичного та військового загострення, викликаного введенням санкцій проти низки проросійських політиків в Україні, така гібридна відповідь виглядає цілком очікувано.

Не клікайте каку.

Блокування LiveJournal і Github в Україні

Голосіївський районний суд заблокував 426 вебсайтів, серед яких блог-платформа LiveJounral та навіть піддомен Github.

Оновлення 2021-02-25 18:00. Схоже, новина викликала неабиякий резонанс. Ситуація перейшла на рівень МВС, де робляться спроби врегулювати цей маразм та ініціювати законодавчі зміни, які б його унеможливили.

Це було б дуже смішно, якби відбувалося не з нами. Голосіївський суд Києва заблокував кількасот вебсайтів і цього разу до списку потрапили LiveJournal та піддомен gist.github.com.

Тут для не-технарів невеличке пояснення. Що таке LiveJournal багато з вас, напевно, ще пам’ятає. Це одна з найперших успішних блог-плаформ, яка пережила пік популярності ще до початку епохи соцмереж і скотилася десь під кінець 2000-х років. Її викупили росіяни, бо більше нікому вона була непотрібна, і росіяни ж нею переважно й користуються.

Але щодо Github ситуація принципово інша. Це платформа для розміщення вихідного коду програмного забезпечення. Скажімо, у вас є команда програмістів, і ви хочете налагодити між ними ефективну роботу. Ви створюєте організацію в Github, додаєте до неї розробників, і вже за кілька хвилин можете розпочати процес створення нового програмного продукту. Ресурс неймовірно популярний і його нещодавно викупила корпорація Microsoft. Після чого на Github з’явилися нові фішки типу автоматичного безплатного аналізу вразливостей у використаних вами програмних бібліотеках та інші безпекові примочки. З усіх боків класний та позитивний сервіс. Звісно ж, що його блокування автоматично призводить до зупинки усіх пов’язаних проєктів з розробки програмного забезпечення.

Продовжити читання “Блокування LiveJournal і Github в Україні”

Гейміфікація моделювання загроз

Цієї суботи на OWASP Kyiv штовхатиму за моделювання загроз в Application Security та тестах на проникнення. Хто думає що пентести то форма мистецтва і що моделювання загроз то нудно, хай так і думає. Більш просунутих запрошую доєднатися та обговорити тему в усіх подробицях.

– Назва
Гейміфікація моделювання загроз for Fun and Profit

– Тези
У цій доповіді я розповім, як наша команда (BSG) моделює загрози під час проєктів тестування безпеки для досягнення повноти покриття обсягу робіт. Ми використовуємо гейміфікацію для вдосконалення цього процесу, і я припускаю, що це набагато менш нудно, ніж ви очікуєте від сеансу моделювання загроз. Я поділюсь інструментами, якими ми користуємось, та загальним підходом до гри.

Продовжити читання “Гейміфікація моделювання загроз”

Рекомендовані книжки прочитані у 2020. Частина IV: особистий розвиток

В завершальному четвертому дописі серії я рекомендую такі твори: Eat and Run by Scott Jurek, Atomic Habits by James Clear, Range by David Epstein. А також книги, які не увійшли до жодної з категорій.

Це завершальний допис з серії читацьких рекомендацій за 2020 рік. В попередніх дописах я розповів про книжки з кібербезпеки, науково-популярну літературу та наукову фантастику. В цьому пості я завершу серію відгуками про книжки, які найбільше вплинули на моє уявлення про людей.

Eat and Run: My Unlikely Journey to Ultramarathon Greatness

By: Scott JurekSteve Friedman

Eat and Run book artwork

Скотт Джурек це один з найуспішніших та найвідоміших ультрамарафонців нашого часу. Якщо ви захоплюєтесь бігом та почитуєте трохи на цю тему, ви можете пам’ятати його з книги Крістофера Макдуґала “Народжені бігати”, яка раніше вийшла в українському перекладі. Скотт – один з центральних персонажів того бестселера та автор цього.

Продовжити читання “Рекомендовані книжки прочитані у 2020. Частина IV: особистий розвиток”

Китайські бекдори в SuperMicro та Lenovo

За версією Bloomberg, компанії Supermicro та Lenovo були зламані китайськими кібершпигунами, які вбудували у вибіркові партії виробів цих компаній програмні та апаратні бекдори. За допомогою цих закладок, китайські спецслужби понад десятиліття шпигували за десятками державних та приватних установ у Сполучених Шатах. Під час цих операцій їм вдалося викрасти цінні розвіддані, отримати інформацію про будову мереж, а подекуди завантажити шкідливі програми в системи їхніх жертв.

Коли я вперше побачив цей матеріал, я подумав: “Bloomberg знову взявся за своє. Що вони там курять таке міцне, що їх так довго тримає?” Прочитавши цей матеріал вперше, я сказав про себе: “Хм… А чого ж вони раніше мовчали?” Після другого прочитання, я замислився: “І що ж це, вони весь час мали рацію, а ми з них глузували?”

Короткий переказ попередніх серій. Протягом останніх років Bloomberg кілька разів розміщував на своїх шпальтах сенсаційні заяви про те, що китайські спецслужби вбудовують бекдори в обладнання Supermicro та Lenovo. (Посилання на ці матеріали ви можете знайти в оригінальній статті на Bloomberg). Ці бекдори, або закладки, які дозволяють викрадати дані з комп’ютерів користувачів та навіть захоплювати над ними контроль, спочатку представлялися авторами як додаткові компоненти, мікрочипи на материнських платах, які деякі анонімні та не дуже експерти ніби то бачили на свої очі. Пізніше, бекдори перекочували у прошивку та BIOS, й історія з фантастичної стала науково-фантастичною. Але увесь цей час у якості доказів журналісти представляли або анонімних експертів, які мали стосунок до відповідних розслідувань, або неанонімних, які до розслідування жодного стосунку не мали.

Продовжити читання “Китайські бекдори в SuperMicro та Lenovo”