Категорія: Кібербезпека

Одного з найбільших у світі постачальників послуг та продуктів з кібербезпеки, компанію FireEye, зламали хакери. Нападники були санкціоновані одною з великих держав (останнє речення читається так: “Росіяни”). Ціль атаки – інструментарій компанії (“кіберзброя”) та інформація про клієнтів з державного сектору (яких в компанії багацько). 

Тому якщо хтось вам каже, що він “невразливий”, або забезпечує “абсолютний захист”, або що вам “не варто хвилюватися” і ваші дані “в повній безпеці” – можете бути впевнені, перед вами шарлатан. Люди, які так кажуть, просто не розуміють, про що говорять. Це ходячий ефект Даннінга-Крюґера або гірше – приклад відвертої та лицемірної брехні.

Але є в кібербезпеці й гірші речі. Це коли починають звинувачувати жертву. Типу вона могла захиститися, але не стала, тому сама винна. Це може стосуватися відомої людини, комерційної компанії, державної служби – не важливо. Головне оця тупорила совкова презумпція винуватості жертви з бюджетом. Типу мав усі шанси, але не скористався, лоханувся, сам винен.

Такі закиди можна пробачити наївним дилетантам або аматорам-початківцям. Мамкіному хакеру все одно, кого тролити в інтернеті – ”корупціонера”, “баригу” чи “мегакорпорацію зла”. Зі школотою все зрозуміло, її диванна експертиза нікого не цікавить і ні на що не впливає. Але коли жертву починають блеймити самопроголошені “експерди” з перевіреними акаунтами або з телевізора, таке треба запам’ятовувати. А ще краще записувати.

Зараз лузери та хейтери почнуть вам навішувати макарони за те, що FireEye зажрався, пропустив удар, і так йому і треба. Занотовуйте, хто так робить. Цей список вам знадобиться, потім подякуєте. А всіх, хто натякне чи навіть напряму закине, шо я необ’єктивний, бо в мене в FireEye купа друзів та приятелів, – можете сміливо посунути вгору списку. Це класний тест на вошивість для вашого “лідера думок” від кібербезпеки, не втратьте нагоду ним скористатися.

Дослідники Ran Locar та Noam Rotem знайшли базу даних логінів та паролів користувачів Spotify, очевидно зібраних зловмисниками на основі інших колекцій скомпрометованих даних. Ну і звісно ж, ця база не була захищена ¯\_(ツ)_/¯. Spotify вже розпочав скидуватизасвічені паролі.

Використання раніше скомпрометованих паролів – дуже популярна техніка атаки. Вона ефективна завдяки тому, що більшість користувачів використовують ті самі паролі в різних системах. (Переважна більшість користувачів використовують один і той самий пароль в усіх системах). Вразливість такої практики очевидна: якщо пароль вдалося вкрасти в одному місці, його можна використати в багатьох інших. Достатньо дізнатися ім’я користувача, яке, скоріш за все, теж співпадає із вашою основною адресою електронної пошти. Яка, не треба дивуватися, скоріш за все використовувалася як логін до Spotify.

Як захиститися від таких атак? Не рециркулювати паролі. У всіх веб-сайтах пароль має бути унікальним, а отже згенерованим випадково. Для цього треба почати користуватися парольним менеджером – я рекомендую 1Password, але BitWarden або KeePass нічим не гірші. Хороший парольний менеджер дозволяє вам генерувати сильні паролі автоматично, і своєчасно повідомляє про компрометацію систем, в яких ви їх використовуєте, щоб ви могли їх своєчасно змінювати.

Ще один рівень захисту, який потужно підсилить вашу безпеку – це двофакторна автентифікація. Якщо вона у вас ще не ввімкнена в усіх важливих системах, ви заслуговуєте на те, щоб ваш акаунт угнали. Я серйозно, у 2020 році це неприпустима халатність. Це коштує нуль гривень та ніяк не впливає на зручність використання системи, тому єдине виправдання такій поведінці – ваше нестримне бажання стати кібержертвою. Тому встановіть двохетапну перевірку на ваших додатках та вебсайтах просто зараз – колись ви мені за це подякуєте.

Ну і звісно ж, для найважливіших систем, таких як GSuite, AWS або O365, варто використовувати “залізний” другий фактор. Токен від Yubiko коштує до 60 доларів, сподіваюся ви оцінюєте своє цифрове життя в більшу суму.

P.S. Цю та інші новини кібербезпеки ви можете слухати у нашому подкасті No Name Podcast. Також ми записуємо інтерв’ю з успішними спеціалістами з кібербезпеки, а деколи й штатні епізоди на різні безпекові теми. Підписуйтесь на головній сторінці, або ставайте нашими патронами на Патреоні та отримуйте все це на декілька днів раніше.

Мінцифра проливає світло на майбутній багбаунті Дії, але не все. Текст повідомлення короткий, я раджу прочитати його повністю, після чого в мене буде кілька коментарів.

По-перше, вкотре бачу, як недолугі піарники Мінцифри використовують расистський термін “білі хакери”. Насправді те, що вони хочуть сказати, називається етичні хакери, або просто хакери. Англійською цей термін звучить як white-hat hackers, але через довжину перекладу та низьку популярність вестернів в Україні, його здебільшого застосовують в оригіналі.

По-друге, зусилля Мінцифри по підсиленню безпеки мобільного додатку, зокрема програма багбаунті, не мають нічого спільного з впевненістю користувачів у захищеності їхніх персональних даних. Громадяни України користуються Дією не тому, що ви її захищаєте, а тому, що ви типу уряд і від вас очікують, що ви будете це робити добре. Чи так це, покаже час.

По-третє, навіть пропускаючи безглуздий та незграбний реверанс в бік морально застарілої КСЗІ, мушу ткнути вас носом в те, що неможливо “успішно пройти пентест”. Пентест це не аудит, в якому вам скажуть, як ви гарно старалися. Пентест це спосіб вимірювання ефективності вашого захисту. І якщо перше вимірювання показує, що ви його “успішно пройшли”, то це означає лише те, що ви обрали не дуже кваліфікованих пентестерів. Про ефективність другого пентесту тоді годі й казати: якщо на меті в компанії стоїть “успішно пройти пентест”, а не виявити та виправити вразливості, то й постачальник послуг пентестів буде підбиратися відповідний.

А тепер увага, це найцікавіше. “Умови прості: за кожен знайдений недолік системи (баг) – хакер отримує винагороду.” Судячи з цього формулювання, Мінцифри планує винагороджувати хакерів за дублікати, тобто вразливості, про які повідомлять декілька дослідників безпеки. Це дуже щедро з боку організаторів, але скоріш за все призведе до того, що бюджет багбаунті буде вичерпано в першу годину.

А, зовсім забув, бюджет. Як ми й підозрювали, мільйон за багу перетворився у загальний призовий фонд в мільйон гривень, що на думку Мінцфири складає 35 тисяч доларів. Добре, що з конвертацією валют у міністерстві все добре. Але чисто з досвіду: 35 кусків за додаток, який обробляє (ну або буде обробляти) дані більшості населення чи не найбільшої європейської країни… Ви можете мені не вірити, але це не просто неадекватно, це суттєво нижче значно менш масштабних програм багбаунті, навіть для Українських компаній.

Підіб’ємо підсумки. Поки що можу констатувати у цьому заході лише один позитивний момент: він, здається, таки відбудеться. Не знаю, чим керується Мінцифра на шляху до здійснення мети, але очевидно, що не досвідом учасників або організаторів багбаунті. Формат, бюджет та піар події поки що створюють у мене враження, що все це не більше ніж інфопривід для чергової медіа-перемоги.