Американський мін’юст офіційно висунув звинувачення шести офіцерам ГРУ РФ. Вважається, що всі вони є членами хакерської групи Sandworm, що стоїть за найгучнішими кібератаками сучасності: NotPetya, KillDisk та OlympicDestroyer.
Зокрема, на службі в інтересів РФ, Sandworm здійснив кібератаки на мінфін, держказначейство та об’єкти енергетики України у 2015 році. Ті самі, після яких держслужбовцям пообіцяли надбавку за кібербезпеку, а уряд виділив на неї 80 млн грн. Націлена на Україну кібератака NotPetya, від якої постраждали сотні (тисячі?) компаній по всьому Світу, та яка нанесла рекордні до сьогодні економічні збитки, – також справа Sandworm.
Defendant and Summary of Overt Acts
Yuriy Sergeyevich Andrienko
* Developed components of the NotPetya and Olympic Destroyer malware.
Sergey Vladimirovich Detistov
* Developed components of the NotPetya malware; and
* Prepared spearphishing campaigns targeting the 2018 PyeongChang Winter Olympic Games.
Pavel Valeryevich Frolov
* Developed components of the KillDisk and NotPetya malware.
Anatoliy Sergeyevich Kovalev
* Developed spearphishing techniques and messages used to target:
- En Marche! officials;
- employees of the DSTL;
- members of the IOC and Olympic athletes; and
- employees of a Georgian media entity.
Artem Valeryevich Ochichenko
* Participated in spearphishing campaigns targeting 2018 PyeongChang Winter Olympic Games partners; and
* Conducted technical reconnaissance of the Parliament of Georgia official domain and attempted to gain unauthorized access to its network.
Petr Nikolayevich Pliskin
* Developed components of the NotPetya and Olympic Destroyer malware.
Звісно, це не повний список оперативників Sandworm, а лише ті з них, чию причетність наразі вдалося довести. Проте, навіть в українській професійній тусовці дехто з 2014 року заперечує центральну роль Росії в кібер-атаках на Україну. Впевнений, що повний список, отриманий по каналах розвідки, набагато довший. І усі його фігуранти, так само як і всі інші російські хакери на службі в держави, сьогодні отримали тривожне повідомлення.
Користуючись нагодою, передаю привіт видавництву ФОЛІО. Ми з нетерпінням очікуємо на вихід українського перекладу книжки Sandwrorm, автор якої Енді Грінберг був одним з ключових доповідачів на цьогорічній конференції NoNameCon.
Чому так сталося? Напевно через те, що я мало про нього згадую. Або тому, що оригінал тексту опублікований на GitHub, до якого не-програмісти ставляться як до будинку з привидами. Або через те, що його читачі та користувачі не поспішають ділитися посиланням з друзями.
Я спробую це виправити, адже текст корисний і в його створенні взяли участь справжні експерти з кібербезпеки. Буду посилатися на нього, коли згадуватиму окремі поради на кшталт безпечних месенджерів чи засобів шифрування файлів у хмарі. Ну і ви не баріться: чим більше людей дізнається про техніки самозахисту від кіберзагроз, тим більш захищеною стане кожна родина, кожен бізнес, та Україна загалом.
Відтепер посилання на пам‘ятку з персональної кібербезпеки є у головному меню мого сайту. Долучитися до його розширення та оновлення можна у репозитарії на GitHub. Сторінка на сайті регулярно та автоматично оновлюватиметься згідно зі змінами у репозитарії.
Так, вам не привиділося, найдорожчу компанію в історії людства зламали п‘ятеро надзвичайно талановитих хакерів. Наразі вони отримали за це 289 тисяч доларів винагород, та здається далі буде.
Операція тривала понад три місяці, а звіт містить 55 вразливостей в інфраструктурі Apple. Важливе уточнення: предметом цього імпровізованого пентесту в рамках програми Bug Bounty була сама компанія Apple, а не її продукти.
Найяскравішою знахідкою, як на мене, стала вразливість, що дозволяла створити мережевого хробака, який краде у вас весь вміст iCloud, а потім робить те саме з людьми у вашому списку контактів. Ось чому варто використовувати офлайн-шифрування важливих файлів перед копіюванням їх у хмару. Для цього є кілька зручних рішень, можу порекомендувати Boxcryptor та Cryptomator.
І ось чому всім компаніям треба робити пентести. Цілком можливо, що ви захищені краще, ніж найбільша корпорація у Світі (хоча в мене є сумніви). Але ви не можете бути впевнені, поки хтось це не перевірить. І ні, для цього зовсім не обов‘язково відкладати шестизначну суму в доларах.
The Grugq зробив цікавенний огляд стану справ та розподілу сил в кібер-просторі. Йдеться про кібер-майстерність або мистецтво застосування кібер-влади (кибер-сили? кібер-міці?) Дуже хочеться, щоб це подивитися усі, від кого залежить кібербезпека України. Але після участі в кількох консиліумах я впевнений, що ніхто з них не володіє темою навіть на рівні означень.
Основні тези:
1. Кібер-влада схожа на державну владу, але щоб нею володіти та її застосовувати не треба бути державою.
2. Є держави, що не мають кібер-влади (наприклад, Україна), та осередки кібер-влади, що не мають стосунку до жодної з держав.
3. Кібер-військо це дешевий, корисний та ефективний спосіб застосування кібер-влади.
4. Розділення кіберпростору та реального життя загалом хибне, адже це частини одного цілого.
5. Правила участі в кібер-конфлікті:
Правил немає
Не роби то саме двічі
6. Ми в неперервному стані кібер-конфлікту. Це не кібер-війна, тому що війни закінчуються, а це – ні.
Останнє оновлення Apple iOS та інтеграція автоматичної перевірки витоку паролів у Google Chrome, напевно, є найбільшим в історії приростом приватності користувачів інтернету. Іронія полягає в тому, що ті самі компанії, разом з іншими інтернет-гігантами, такими як Facebook, Microsoft та Amazon, становлять найбільшу загрозу приватності.
Почнемо з хорошого. Apple iOS 14 радує як ніколи. По-перше, розробники вдосконалили контроль доступу додатків. Наприклад, раніше ви могли або надати, або не надати додатку доступ до фоток або геолокації. Відтепер ви можете надати доступ до приблизної геолокації та конкретних фоток. Окремі дозволи вимагаються на трекінг користування додатками та вебсайтами, на зв’язок з іншими пристроями в локальній мережі, на автозаповнення форм контактними даними, і найкрутіше – на доступ до буфера обміну.
Своєю чергою, Google нарешті доробив перевірку безпеки паролів у Chrome на всіх платформах. Тепер паролі, які ви вводите в форми, автоматично перевіряються у відомих базах даних витоків паролів, і так – це безпечно. До речі, аналогічну функцію можна ввімкнути у вбудованому парольному менеджері iOS, але я все що рекомендую користуватися чимось спеціалізованим типу 1Password або KeePass.
Але що конкретно не так з Facebook, Google та іншими інтернет-монополіями, які неперервно конкурують за нашу увагу, повністю витіснили природні соціальні контакти віртуальними, маніпулюють нашими рішеннями та продають їх рекламодавцям? Якщо для вас відповідь на це питання не очевидна з формулювання, я нагадаю, що побічним ефектом економіки дії (або спостережного капіталізму) є ізоляція соціальних груп в інформаційних бульбашках. І як наслідок – поляризація та радикалізація суспільства, через яку стаються фантастичні речі, на кшталт Брекзит, президентів Трампа та Зеленського, та (зі свіженького) кандидата в мери Києва Пальчевського.
Друзі та знайомі, особливо батьки, часто питають мене, як зробити використання гаджетів безпечнішим. Як контролювати та захищати цифрове життя дитини? Як допомогти рідним вберегтися від загроз кіберпростору? Сьогодні в мене порада, як захиститися від загроз, про які ви не запитуєте. Як уникнути неявних загроз сучасних цифрових технологій, або хоча б зменшити їхні наслідки.
Головною зброєю цифрового капіталізму є маніпулювання нашою увагою. Найдієвішим способом боротьби з маніпуляцією є уважна медитація (mindful meditation). Вдумливе управління увагою є пріоритетом цієї практики. Тому навчившись контролювати її або принаймні уважніше її розподіляти, ми можемо побудувати необхідний захист. Уважну медитацію рекомендують кілька дослідників цифрової залежності, а також нейропсихолог Сем Харріс та вже згадана винахідниця терміну “спостережний капіталізм” Шошана Зубова.
Щоб розпочати медитувати, багато не треба: встановіть якийсь популярний додаток і вперед. При цьому майже неважливо який, хоча я раджупочати з Headspace або Calm. Якщо вас відлякує певна метафізика медитації – відкиньте це одразу. Ефективність уважної медитації доведена нейробіологами та має мало спільного з релігією, окрім історичної популярності на Сході. Успіх тут неминучий та є функцією від часу. Головне спробувати та зробити медитацію корисною звичкою. І тоді вона відкриє вам двері, про існування яких ви інакше не дізналися б.
Якщо ж медитація це “не ваше, і все”, маю погану новину: другий шлях веде через певні обмеження свободи. Вивчіть інструменти контролю екранного часу у ваших гаджетах (Screen Time в Apple та Google) та зробіть наступне. Накладіть обмеження на доступ до додатків соціальних медіа та інших розваг: Facebook, Instagram, Snapchat, TikTok, Twitter тощо. Комусь навіть знадобиться додати до цієї категорії поштовий клієнт, адже серед нас чимало імейлоголіків. Встановіть ліміт на час використання цих додатків – скажімо, чотири години на добу – та захистіть налаштування кодом доступу. Увага, цей код маєте встановити не ви, а людина, яка справді про вас піклується та якій ви дуже дорогі.
Може здаватися, що це якась психологічна вправа в програмі лікування залежності або викорінення поганої звички. Так і є. Якщо під час налаштування екранного часу ви побачите, що користуєтесь смартфоном понад чотири години на добу, це поганий знак. Вам і справді потрібна допомога, і це не найгірший спосіб її отримати.
Якщо у вас виникли питання щодо описаних в цьому тексті практик, ви можете поставити мені їх у каналі #meditation нашого серверу в Discord. Також, я буду радий поспілкуватися в коментарях під цим постом та скрізь, де ви його знайдете. Соціальні медіа це зручний та дієвий спосіб створювати інформацію та обмінюватися нею. Але, як і багато інших винаходів людства, соцмедіа мають побічні ефекти. Людство завжди адаптується до своїх винаходів, цього разу зробімо це якнайшвидше.
