Кібербезпека | Хакер, що біжить

Блокування LiveJournal і Github в Україні

Голосіївський районний суд заблокував 426 вебсайтів, серед яких блог-платформа LiveJounral та навіть піддомен Github.

Оновлення 2021-02-25 18:00. Схоже, новина викликала неабиякий резонанс. Ситуація перейшла на рівень МВС, де робляться спроби врегулювати цей маразм та ініціювати законодавчі зміни, які б його унеможливили.

Це було б дуже смішно, якби відбувалося не з нами. Голосіївський суд Києва заблокував кількасот вебсайтів і цього разу до списку потрапили LiveJournal та піддомен gist.github.com.

Тут для не-технарів невеличке пояснення. Що таке LiveJournal багато з вас, напевно, ще пам’ятає. Це одна з найперших успішних блог-плаформ, яка пережила пік популярності ще до початку епохи соцмереж і скотилася десь під кінець 2000-х років. Її викупили росіяни, бо більше нікому вона була непотрібна, і росіяни ж нею переважно й користуються.

Але щодо Github ситуація принципово інша. Це платформа для розміщення вихідного коду програмного забезпечення. Скажімо, у вас є команда програмістів, і ви хочете налагодити між ними ефективну роботу. Ви створюєте організацію в Github, додаєте до неї розробників, і вже за кілька хвилин можете розпочати процес створення нового програмного продукту. Ресурс неймовірно популярний і його нещодавно викупила корпорація Microsoft. Після чого на Github з’явилися нові фішки типу автоматичного безплатного аналізу вразливостей у використаних вами програмних бібліотеках та інші безпекові примочки. З усіх боків класний та позитивний сервіс. Звісно ж, що його блокування автоматично призводить до зупинки усіх пов’язаних проєктів з розробки програмного забезпечення.

Продовжити читання

Гейміфікація моделювання загроз

Цієї суботи на OWASP Kyiv штовхатиму за моделювання загроз в Application Security та тестах на проникнення. Хто думає що пентести то форма мистецтва і що моделювання загроз то нудно, хай так і думає. Більш просунутих запрошую доєднатися та обговорити тему в усіх подробицях.

– Назва
Гейміфікація моделювання загроз for Fun and Profit

– Тези
У цій доповіді я розповім, як наша команда (BSG) моделює загрози під час проєктів тестування безпеки для досягнення повноти покриття обсягу робіт. Ми використовуємо гейміфікацію для вдосконалення цього процесу, і я припускаю, що це набагато менш нудно, ніж ви очікуєте від сеансу моделювання загроз. Я поділюсь інструментами, якими ми користуємось, та загальним підходом до гри.

Продовжити читання

Китайські бекдори в SuperMicro та Lenovo

За версією Bloomberg, компанії Supermicro та Lenovo були зламані китайськими кібершпигунами, які вбудували у вибіркові партії виробів цих компаній програмні та апаратні бекдори. За допомогою цих закладок, китайські спецслужби понад десятиліття шпигували за десятками державних та приватних установ у Сполучених Шатах. Під час цих операцій їм вдалося викрасти цінні розвіддані, отримати інформацію про будову мереж, а подекуди завантажити шкідливі програми в системи їхніх жертв.

Коли я вперше побачив цей матеріал, я подумав: “Bloomberg знову взявся за своє. Що вони там курять таке міцне, що їх так довго тримає?” Прочитавши цей матеріал вперше, я сказав про себе: “Хм… А чого ж вони раніше мовчали?” Після другого прочитання, я замислився: “І що ж це, вони весь час мали рацію, а ми з них глузували?”

Короткий переказ попередніх серій. Протягом останніх років Bloomberg кілька разів розміщував на своїх шпальтах сенсаційні заяви про те, що китайські спецслужби вбудовують бекдори в обладнання Supermicro та Lenovo. (Посилання на ці матеріали ви можете знайти в оригінальній статті на Bloomberg). Ці бекдори, або закладки, які дозволяють викрадати дані з комп’ютерів користувачів та навіть захоплювати над ними контроль, спочатку представлялися авторами як додаткові компоненти, мікрочипи на материнських платах, які деякі анонімні та не дуже експерти ніби то бачили на свої очі. Пізніше, бекдори перекочували у прошивку та BIOS, й історія з фантастичної стала науково-фантастичною. Але увесь цей час у якості доказів журналісти представляли або анонімних експертів, які мали стосунок до відповідних розслідувань, або неанонімних, які до розслідування жодного стосунку не мали.

Продовжити читання

Хтось продає базу даних українців і стверджує, що це усі клієнти ПриватБанку

В Даркнеті виставлено на продаж базу даних українців та стверджується, що це клієнти ПриватБанку – найбільшого банку в Україні. В мене є сумніви, щодо правдивості цієї інформації.

На одному з форумів з’явилося оголошення про продаж ніби то бази даних усіх клієнтів ПриватБанку на 40 млн записів, яка містить повне ім’я, дату та місце народження, дані паспорту та ІНН, сімейний стан, наявність авто, освіту, мобільний телефон та контакт у Вайбері. Ціна досить скромна, $3,400. Звісно, що ПриватБанк все спростовує.

Як і більшість українців, я не великий шанувальник ПриватБанку, але в цій історії, мені здається, є занадто багато фактів, що вказують на спробу продавця вкраденої бази даних ввести нас в оману. По-перше, компіляції баз даних, що вже витекли раніше, продаються зараз на кожному кроці, і це може бути ще один такий випадок. По-друге, ці дані цілком можна було скомпілювати з баз, які продає на форумі той самий персонаж, адже серед них є БД українських паспортів, транспортних засобів та інших пов’язаних даних.

Продовжити читання

Новини про мою роль в OWASP

Я складаю повноваження лідера OWASP Kyiv та продовжую діяльність в OWASP як член OWASP Chapter Committee.

Трохи персональних новин. Відсьогодні я формально припиняю бути лідером Київського відділення OWASP та передаю цю роль команді, яка блискуче зарекомендувала себе за останні роки. Як співзасновник, керуватиме чаптером Ігор Блюменталь, а я продовжуватиму підтримувати діяльність відділення за лаштунками.

Паралельно я докладатиму зусиль до розвитку руху за безпеку програмного забезпечення як член OWASP. Всі спеціалісти BSG відтепер є членами цієї організації, а наша компанія нещодавно стала корпоративним членом.

Також, як учасник OWASP Chapter Committee, я братиму участь в формуванні політики OWASP Foundation щодо регіональних відділень та допомагатиму волонтерам з усього світу створювати чаптери та здійснювати їхню діяльність. Тому якщо у вас є бажання приєднатися до нашої глобальної тусовки – ласкаво прошу, ми з колегами завжди раді допомогти.

Тим часом триває підготовка до першої події OWASP Kyiv цього року: відділення шукає доповідачів та партнерів. Особисто я цього разу долучуся як доповідач, але в організації участі не братиму. Якщо бажаєте доєднатися з доповіддю або воркшопом, подайте заявку на виступ. Якщо хочете стати партнером заходу – повідомте про це Ігорю.

Якщо ви поняття не маєте, про що був цей допис, подивіться це відео 🙂