Українські кібервійська

Про створення українських кібервійськ, стратегію кібербезпеки України, та оновлений CERT-UA під псевдонімом центр кіберзахисту UA30.

В Україні створять кібервійська. Про це лаконічно повідомляє Українська правда, наводячи цитату секретаря РНБО Данілова у “Свободі слова” Шустера. Гіршого місця для анонсу українських кібервійськ годі й шукати, але вже як є.

Схоже, що мова йде про вміст затвердженої на засіданні РНБО 14 травня стратегії кібербезпеки України. Проте термін “кібервійська” з уст українських чиновників може означати що завгодно. Ось, наприклад, Зеленський нещодавно з пафосом повідомив про відкриття центру кіберзахисту UA30, який насправді виявився косметичною підтяжкою CERT-UA. Тому я не вірю, що під “кібервійськами” експерти з кібербезпеки та українські бюрократи розуміють одне й те саме.

Продовжити читання “Українські кібервійська”

Десять років подкастів

13 травня 2011 року троє ентузіастів записали перший епізод подкасту з кібербезпеки Securit13 Podcast. Тому в мене сьогодні своєрідний професійний ювілей.

Рівно 10 років тому, 13 травня 2011 року, троє ентузіастів записали перший епізод першого українського подкасту з кібербезпеки Securit13 Podcast. З того часу, за виключенням короткої творчої відпустки, я неперервно займаюся подкастингом. Змінювався склад, змінювалася назва, змінювалася мова, але суть залишалася незмінною – створювати український контент на гостро актуальну професійну тему. Сьогодні я маю честь працювати з найкращою командою в цій індустрії й разом ми виготовляємо одразу три серії подкастів під спільною назвою No Name Podcast.

Попри всі негаразди, перешкоди та спротив, десять років у будь-якій сфері – це успіх. Тому сьогодні в мене святковий настрій. До того ж як виявилося, багато моїх читачів не в курсі про інший бік моєї публічної діяльності. Тому я вирішив використати цей ювілей, щоб трохи більше розповісти про мій досвід в подкастингу.

Продовжити читання “Десять років подкастів”

Смертельні жертви кібератак

Кожен раз, коли я чую чергове “навіщо мене зламувати, в мене нема чого красти”, мені хочеться провести лекцію з таргетингу державних кібероперацій, але я стримуюся. Тепер я буду направляти таких кіберневігласів за посиланням на цей допис.

Кожен раз, коли я чую чергове “навіщо мене зламувати, в мене нема чого красти”, мені хочеться провести лекцію з таргетингу державних кібероперацій, але я стримуюся. Тепер я буду направляти таких кіберневігласів за посиланням на цей допис.

Трохи передісторії. Foreign Policy опублікував блискуче журналістське розслідування про один з найяскравіших прикладів поєднання розвідувальних заходів у інтернеті та в “реальному житті”. Я наполегливо рекомендую вам ознайомитися з повним текстом.

Схожу історію я розповідаю на початку кожного свого тренінгу для аудиторії з-поза галузі кібербезпеки: розробників програмного забезпечення та топменеджерів технологічних компаній. Насправді це дуже проста вправа з теорії множин. Внаслідок кількох операцій кібершпіонажу, китайська розвідка отримала дані з державних кадрових агенцій (так званий OPM Hack), операторів даних медичного страхування (Anthem Hack), та даних про переміщення осіб (злам мережі готелів Marriott). За допомогою порівняльного аналізу трьох наборів даних їм вдалося визначити перелік персоналу ЦРУ: це держслужбовці, які є у базі даних Anthem (бо це найбільший державний контрактор з медстрахування), та яких немає в базі OPM (бо кадровим діловодством секретних агентів займаються трохи інші установи). А у базах даних дочірніх мереж Marriott можна знайти, як держслужбовці подорожують, після чого озброївшись їхньою кредитною історією, вкраденою в Equifax, можна йти під американське посольство та чатувати на них з пропозицією продати трохи батьківщини за прискорення виплати іпотеки. Проте, підкуп це не єдиний інструмент контррозвідки: деколи викритих шпигунів просто вбивають.

Продовжити читання “Смертельні жертви кібератак”

Інтерв’ю каналу Perceptron. Частина II

Друга частина інтерв’ю YouTube-каналу Perceptron. Говоримо про кіберкримінал, корпоративну та національну кібербезпеку, та як розпочати кар’єру в цій галузі.

Друга частина інтерв’ю YouTube-каналу Perceptron. Говоримо про кіберкримінальну економіку, корпоративну та державну кібербезпеку, та як розпочати кар’єру в цій галузі.

Продовжити читання “Інтерв’ю каналу Perceptron. Частина II”

Модель зрілості автентифікації

Це переклад допису Деніела Мізлера, в якому він представляє візуальну модель зрілості автентифікації користувачів інтернету CASMM v5.

Це переклад допису Деніела Міcлера The Consumer Authentication Strength Maturity Model (CASMM) v5, в якому він представляє візуальну модель зрілості автентифікації користувачів інтернету. Публікується з дозволу автора. Нотатки перекладача додано курсивом.

Мета моделі – Візуалізувати поточний рівень парольної гігієни користувача та показати, як його можна покращити.

Якщо ви трохи знаєтеся на кібербезпеці, то, швидше за все, витрачаєте багато часу, допомагаючи іншим людям покращити їхню персональну кібербезпеку. Ця публікація – спроба створити просту у використанні візуальну модель, яка вам у цьому допоможе.

Продовжити читання “Модель зрілості автентифікації”