Vlad Styran | Хакер, що біжить

Про вибори у Сполучених штатах

Цікавий мем перекочував з російського інтернету в український і моментально завірусився. Бо він самоіронічний, саркастичний та абсурдний одночасно, а це рецепт успіху. Ви напевно і самі бачили веселі картинки, на яких прибиральники, селяни та алкаші жваво обговорюють підрахунок голосів на виборах президента США.

Я б не звертав на це вашу увагу, якби не одне але. Цей мем – своєрідне втілення містечкової обмеженості, до якої так мріє повернути нас “старший брат”. Мовляв, нефіг вам, хахли, мріяти про причетність до глобального політичного контексту. Не доросли ви до обговорення культурної кризи ліберальної демократії. Куди вам до Штатів. Вони ого! А у вас президент клоун.

Останній аргумент я проігнорую, бо в Штатах з цим ситуація не ліпша. Але знаєте що, краще вже комік, ніж колгоспник або чекіст. Але повернімось до подій в Штатах і чому це важливо для України.

Почну з того, що США це така собі лабораторія з досліджень сучасного демократичного суспільства. Це, на щастя або на біду, найдемократичніша країна сучасності. Європейські демократії скоріше наслідують її приклад, трохи адаптуючи лібертаріанський стиль американців своїми соціальними гарантіями. Але загалом, якщо сучасні ліберальні демократії розмістити на спектрі від “дофіга демократії” до “трохи менше демократії”, то Штати будуть ну дуже зліва.

Якщо ви розумніші за поділ людей на “правих” та “лівих”, і слова демократія та лібералізм сприймаєте в їхніх оригінальних значеннях, для вас напевно очевидно, що я маю на увазі. Світ поділений на цілком конкретні культурні регіони, або цивілізації. Якісь із них ліберальніші, якісь тоталітарніші, і між ними точиться неперервна ідеологічна боротьба. Хід історії демонструє, що з часом країни стають вільніші та демократичніші, зокрема тому, що багатішають та стають освіченішими. Порівняйте Китай зараз та за часів Мао. Або арабські країни сьогодні та 20 років тому.

Та що там казати, навіть сучасна Росія, прости Господи, зараз переживає не найтоталітарніший свій період. Інша справа, що керують нею відверті тоталітаристи, і не в останню чергу через мовчазну згоду електоральної більшості. Ну а згода ця досягається різними шляхами. Ну, наприклад через пропаганду. Тому що для того, щоб народ не хотів вліво по демократичній шкалі, треба його переконати в тому, що йому туди не треба. Хтось, типу Польщі чи Угорщини, стає в цьому процесі жертвою правого популізму й осідає десь дуже справа, але все ще в рамках демократичного спектра. Типу демократія, хоч і не дуже ліберальна.

Але пацакам туди не треба – рано ще, або взагалі. І Російський уряд дуже наполегливо цю ідею культивує. Як наслідок, в РФ та російськомовному інфопросторі взагалі слово “лібералізм” вважається лайливим. Дідько, там навіть є “Ліберально-демократична партія Росії”, яка, на чолі зі своїм незмінним лідером Жириновським, є абсурдною пародією на цю назву. І одним із неприємних наслідків постімперського впливу російськомовного середовища є те, що Україна також є жертвою цієї пропаганди. Нічого вже не зробиш, культурні зв’язки нікуди не ділися, двомовних та російськомовних громадян України все ще вистачає, отже і наші цивілізаційні кордони все ще десь всередині, а не ззовні кордонів державних.

Однак, Україна неодноразово заявляла про свій намір підтримувати статус вільної (тобто ліберальної) демократичної країни. Відтак, на її долю неодмінно впливають бурління фекалій американського політикуму. Мало того, через свою геополітичну роль, Україна це суттєвий пункт порядку денного американського політичного дискурсу. Тут немає чим пишатися – краще бути, наприклад, Новою Зеландією, не мати дурнуватих сусідів, та не фігурувати в президентських дебатах у США. Але вже як є.

Те, що відбувається в США, впливає на весь вільний світ. З різних причин, починаючи від банальної системи колективної оборони, без якої ЄС розвалиться за лічені роки, і закінчуючи колосальним впливом американського культурного експорту. Але справа навіть не в цьому. Звузивши все до банального самоусвідомлення людини як члена соціуму, громадянина, носія цивілізаційних цінностей, дуже просто визначитися, хто ви є. Наприклад, мешканка Козятина, українка та європейка, що переймається кризою світової демократії. Доля якої, можливо, от просто зараз вирішується у Сполучених штатах.

Оприлюднено імена учасників Sandworm – хакерської групи за кібератакою NotPetya

Американський мін’юст офіційно висунув звинувачення шести офіцерам ГРУ РФ. Вважається, що всі вони є членами хакерської групи Sandworm, що стоїть за найгучнішими кібератаками сучасності: NotPetya, KillDisk та OlympicDestroyer.

Зокрема, на службі в інтересів РФ, Sandworm здійснив кібератаки на мінфін, держказначейство та об’єкти енергетики України у 2015 році. Ті самі, після яких держслужбовцям пообіцяли надбавку за кібербезпеку, а уряд виділив на неї 80 млн грн. Націлена на Україну кібератака NotPetya, від якої постраждали сотні (тисячі?) компаній по всьому Світу, та яка нанесла рекордні до сьогодні економічні збитки, – також справа Sandworm.

Defendant and Summary of Overt Acts
Yuriy Sergeyevich Andrienko
* Developed components of the NotPetya and Olympic Destroyer malware.
Sergey Vladimirovich Detistov
* Developed components of the NotPetya malware; and
* Prepared spearphishing campaigns targeting the 2018 PyeongChang Winter Olympic Games.
Pavel Valeryevich Frolov
* Developed components of the KillDisk and NotPetya malware.
Anatoliy Sergeyevich Kovalev
* Developed spearphishing techniques and messages used to target:
- En Marche! officials;
- employees of the DSTL;
- members of the IOC and Olympic athletes; and
- employees of a Georgian media entity.
Artem Valeryevich Ochichenko
* Participated in spearphishing campaigns targeting 2018 PyeongChang Winter Olympic Games partners; and
* Conducted technical reconnaissance of the Parliament of Georgia official domain and attempted to gain unauthorized access to its network.
Petr Nikolayevich Pliskin
* Developed components of the NotPetya and Olympic Destroyer malware.

Звісно, це не повний список оперативників Sandworm, а лише ті з них, чию причетність наразі вдалося довести. Проте, навіть в українській професійній тусовці дехто з 2014 року заперечує центральну роль Росії в кібер-атаках на Україну. Впевнений, що повний список, отриманий по каналах розвідки, набагато довший. І усі його фігуранти, так само як і всі інші російські хакери на службі в держави, сьогодні отримали тривожне повідомлення.

Користуючись нагодою, передаю привіт видавництву ФОЛІО. Ми з нетерпінням очікуємо на вихід українського перекладу книжки Sandwrorm, автор якої Енді Грінберг був одним з ключових доповідачів на цьогорічній конференції NoNameCon.

Update: Andy Greenberg написав про це у WIRED, а ось цей ланцюг у Твітері все підсумовує.

Посібник «Як не стати кібержертвою» переїхав

Мої повідомлення читають тисячі людей, але виявляється, що дехто з них не знає про найважливіше – поради з персональної кібербезпеки під кодовою назвою «Не тисніть каку» або “Don’t Click Shit Guide”. (Є ванільніша назва «Як не стати кібер-жертвою», але це для преси та телебачення.)

Чому так сталося? Напевно через те, що я мало про нього згадую. Або тому, що оригінал тексту опублікований на GitHub, до якого не-програмісти ставляться як до будинку з привидами. Або через те, що його читачі та користувачі не поспішають ділитися посиланням з друзями.

Я спробую це виправити, адже текст корисний і в його створенні взяли участь справжні експерти з кібербезпеки. Буду посилатися на нього, коли згадуватиму окремі поради на кшталт безпечних месенджерів чи засобів шифрування файлів у хмарі. Ну і ви не баріться: чим більше людей дізнається про техніки самозахисту від кіберзагроз, тим більш захищеною стане кожна родина, кожен бізнес, та Україна загалом.

Відтепер посилання на пам‘ятку з персональної кібербезпеки є у головному меню мого сайту. Долучитися до його розширення та оновлення можна у репозитарії на GitHub. Сторінка на сайті регулярно та автоматично оновлюватиметься згідно зі змінами у репозитарії.

Бережіться, чи шо.

Компанію Apple зламали хакери, збитки становлять $289,000

Так, вам не привиділося, найдорожчу компанію в історії людства зламали п‘ятеро надзвичайно талановитих хакерів. Наразі вони отримали за це 289 тисяч доларів винагород, та здається далі буде.

Операція тривала понад три місяці, а звіт містить 55 вразливостей в інфраструктурі Apple. Важливе уточнення: предметом цього імпровізованого пентесту в рамках програми Bug Bounty була сама компанія Apple, а не її продукти.

Найяскравішою знахідкою, як на мене, стала вразливість, що дозволяла створити мережевого хробака, який краде у вас весь вміст iCloud, а потім робить те саме з людьми у вашому списку контактів. Ось чому варто використовувати офлайн-шифрування важливих файлів перед копіюванням їх у хмару. Для цього є кілька зручних рішень, можу порекомендувати Boxcryptor та Cryptomator.

І ось чому всім компаніям треба робити пентести. Цілком можливо, що ви захищені краще, ніж найбільша корпорація у Світі (хоча в мене є сумніви). Але ви не можете бути впевнені, поки хтось це не перевірить. І ні, для цього зовсім не обов‘язково відкладати шестизначну суму в доларах.

Кібер-влада, кібер-конфлікти та кібер-майстерність

The Grugq зробив цікавенний огляд стану справ та розподілу сил в кібер-просторі. Йдеться про кібер-майстерність або мистецтво застосування кібер-влади (кибер-сили? кібер-міці?) Дуже хочеться, щоб це подивитися усі, від кого залежить кібербезпека України. Але після участі в кількох консиліумах я впевнений, що ніхто з них не володіє темою навіть на рівні означень.

Основні тези:

1. Кібер-влада схожа на державну владу, але щоб нею володіти та її застосовувати не треба бути державою.

2. Є держави, що не мають кібер-влади (наприклад, Україна), та осередки кібер-влади, що не мають стосунку до жодної з держав.

3. Кібер-військо це дешевий, корисний та ефективний спосіб застосування кібер-влади.

4. Розділення кіберпростору та реального життя загалом хибне, адже це частини одного цілого.

5. Правила участі в кібер-конфлікті:

Правил немає
Не роби то саме двічі

6. Ми в неперервному стані кібер-конфлікту. Це не кібер-війна, тому що війни закінчуються, а це – ні.