Категорія: Кібербезпека

Есе, рекомендації та думки на професійні теми: кібербезпека, аппсек та пентести.

Як працює пропаганда à la russe

В цьому пості я ділюся знаннями, отриманими з досліджень дезінформації в інтернеті, і які дозволяють мені виявляти пропаганду в мережі та пояснювати це іншим.

Якщо розумієш як працює російська психологічно-інформаційна диверсійна індустрія, багато речей стають зрозумілими. Нещодавно я спробував пояснити свої висновки в одному ланцюгу твітів, після чого в мене була низка досить цікавих дискусій в різних приватних чатах. Сьогодні я викладаю це на блозі, зокрема для тих, хто “не розуміє” Твіттер.

Приклад Brexit

Почну здалеку – з Брекзиту. Просто щоб вам було зрозуміло наскільки цинічна і безжалісна Москва в трансляції своїх геополітичних інтересів на інші держави.

Брекзит в принципі був провальною ідеєю. Навіть найтупіший беззубий брит розумів, що залишатися в межах ЄС простіше та безпечніше, ніж повертатися на свої хліба. Але на піку кампанії Джонсону підфартило: Асад та Путін з усіх стволів зарядили по мирному населенню в Сирії.

Масштаби пошкоджень нема чого аналізувати – вони були колосальні. Я просто нагадаю, що за наступний рік в одній Німеччині опинилися понад 1 млн сирійських типу біженців. Так, більшість з них були біженцями. Якась частина була трудовими мігрантами. Незначна частина була терористами.

Що на цьому фоні зробила Росія? Запустила фейкову кампанію про згвалтування неповнолітньої сирійськими мігрантами. Такі випадки були реальністю, але цей конкретний був фейком. Однак він спрацював і за ним пішла ціла серія викидів відвертої брехні.

Звісно, менеджери кампанії за Брекзит не могли не скористатись цією нагодою. І зрештою беззубий брит увірував, що покинути завалений біженцями ЄС безпечніше, ніж залишитися. Увага! При цьому в угоді Британії з ЄС є унікальне виключення: політика ЄС щодо біженців її не стосується. Взагалі.

Сподіваюся, тепер вам зрозуміло, як це працює. Росія вивчає сентименти населення країни-супротивника та перетворює їх на зброю. Причому робить це не лише за допомогою “фабрик тролів”, хакерських операцій та зливу конфіденційних даних. Росія, з метою створення інформаційного приводу, не зупиняється перед отруєннями та масовими вбивствами.

Приклад BLM

Переходимо до другого прикладу, афроамериканці в США під час виборів президента 2016 року і під час масових заворушень #BLM.

Як це було. ІРА (Internet Research Agency) – російська фабрика тролів – вивчила афроамериканські настрої перед виборами та відтворила просту як двері тактику “розділяй і властвуй”. Ключ: вагання національної меншини, яка за Обаму голосувала двічі, голосувати за Хіларі чи ні. Як би ви не ставилися до расової нерівності в Штатах, вона існує, і це можна використовувати під час інформаційних кампаній. Чорних американців переконати в тому, що білі демократи не гідні їхніх голосів. Це відіграло вирішальну роль у перемозі Трампа.

Принципи пропаганди

Інтерлюдія: тепер ви маєте розуміти тактику російської пропаганди.

  1. Знайти суспільну проблему, яка існує. Не вигадувати щось нове, а знайти наратив, в якого вже є носії та прихильники.
  2. Кластеризувати суспільство на полюсах ставлення до цієї проблеми. Це нескладно: в сучасному інтернеті щодо будь-якої тези моментально формуються два ворожі табори.
  3. Вкинути характерні для цих конфліктних кластерів тези, які спонукають їх до рішучих дій або бездіяльності: протестів, ігнорування виборів тощо.

Приклад мовного питання

Тепер повернімось до України. Ось вам один з пунктів російського інформаційного впливу. Ви ж помітили, що мовне питання в Україні вічне? Вам може здаватися, що це тому, що Росія мріє викорінити українську мову та культуру, щоб у нас залишилася одна русифікована Малоросія.

Я стверджую що це не має стосунку до планів Росії. Розділення населення України стосовно мовного питання – ключовий фактор успіху російської пропаганди. Поки в нас немає єдності щодо мови та її ролі в суспільстві, пацаки будуть це експлуатувати.

Приклад декомунізації

Ще один важливий приклад: декомунізація. Під словом декомунізація ховається два терміни, а не один. Декомунізація це фактично патріотизація. Бо Московський проспект перейменовують в проспект Степана Бандери. З точки зору української державності в цьому нічого поганого немає. Але з точки зору спротиву російській інформаційній агресії – тут багато поганого. Бо це створює вразливість, через яку російські пропогандони наступні кілька років компостуватимуть мізки російськомовним пенсіонерам. А рішення в проблеми просте: перейменувати Московський в Патона чи Авеню №5.

Це дуже типовий бізнес-кейс, на якому можна напряму застосувати інструмент з кібербезпеки під назвою Моделювання загроз. Якщо коротко, то перед будь-якою дією треба сісти на дупу й акуратно подумати: що ми хочемо зробити? що може піти не так? як ми з цим впораємось? як ми перевіримо, що ми впорались? В цьому конкретному випадку, достатньо обрати нейтральну назву. Вона не буде здійснювати територіальне посилення національного порядку денного (це мінус), але при цьому не буде й створювати підґрунтя для подальшого розхитування політичних обставин (це плюс). В підсумку – ситуація стабільна, російські тролі перемикаються на інший наратив.

Способи протидії

Це просто як двері, якщо подивитися на те, що вони роблять скрізь і завжди. Вони нас роз’єднують і в них для цього є купа приводів та підводок. Треба позбавити їх цих тактичних інструментів і їм доведеться краще готуватися та більше витрачати ресурсів, а ось це і є – безпека.

Повернімося до мови. Радикальне вимагання від усіх громадян розмовляти та писати українською – ще один козир російської пропаганди. Звісно, за такі ідеї можна відхопити звинувачення в підігруванні російській інформаційній агресії, але лише від тих, хто цю агресію не розуміє.

Росія не там, де звучить російська мова. Вона там, де мовне питання політизують та радикалізують, і це дає підстави для російського втручання. Ми повинні виробити імунітет проти пацакських викидів та навчитися показувати середній палець на звинувачення в лояльності до агресора.

Коли заряджений Кремлем лівак звинувачує білого американця в расизмі, він не завжди правий. Коли ватнік звинувачує українця в нацизмі, той має право послати його у дупу. Коли вишиватник звинувачує російськомовного українця у зраді, той має право категорично не погодитись.

Тому що саме розділення по ідеологічному принципу, кластеризація та радикалізація – основні елементи тактики російської інформаційної війни. Трайбалізм та ідеологічна нетерпимість – це вроджена, природна вразливість людського мозку, а отже й соціуму, нації, людства загалом. Людина так влаштована, що ненавидіти групу людей – громадян іншої країни, послідовників іншої релігії, виборців іншої партії – нам набагато легше, ніж конкретних індивідуумів. І вся пропаганда à la russe, хто б її не застосовував, крутиться навколо цих первісних основ соціальної динаміки.

Сподіваюся, цей пост був для вас корисним. Поділіться їм у соцмережах, бо кожен раз, коли українець читає мій блог, десь у Хімках плаче аналітик ГРУ.

Чому не варто користуватися VPN сервісом

Чому треба користуватися VPN та не варто користуватися VPN-сервісом. Довгий та детальний пост з аргументами та поясненнями.

Хотів написати довгий та розлогий пост про те, чому вам не потрібно користуватися VPN-сервісами. Але згадав, що Sven Slootweg вже зробив це. В його тексту навіть є переклад російською. А є навіть кращий текст від Dennis Schubert.

Ви все ще тут? Добре, я додам від себе. Чисто з точки зору математики та моделювання загроз, у вас більше шансів стати жертвою (атаки хакерів, глобального спостереження спецслужб, або поведінкового трекінгу мега корпорацій) коли ви користуєтесь найкращим у світі VPN-сервісом, ніж коли не користуєтесь жодним. Справа тут в агрегації ризиків. Я поясню.

Модель загроз

Спершу, згадаймо, що відбувається, коли ви користуєтесь інтернетом. Найпростіший приклад – ви відкриваєте браузер та заходите на facebook.com. Ваше з’єднання розпочинається у вашій локальній мережі, перетинає мережі вашого інтернет-провайдера та кількох (2-5) операторів зв’язку, досягає мережі провайдера вебсайту і зрештою потрапляє на сам вебсайт. (У випадку з Фейсбуком все трохи інакше через його колосальні масштаби, але загалом десь так.)

Тепер, уявімо, від яких загроз на цьому шляху вас, як ви думаєте, захищає VPN-сервіс. Більшість користувачів сприймають VPN-сервіс як засіб захисту від таких загроз:

  1. Ваш провайдер (плюс будь-який інший провайдер на вашому шляху) та будь-хто, кому вдалося змусити його до співпраці (спецслужби, кіберзлочинці, інсайдери тощо) прослуховує та модифікує ваш трафік. Іншими словами, між вами й сайтом є шматок інтернету, і будь-хто, хто його контролює, може втрутитися у ваші із сайтом інтимні стосунки.
  2. Вебсайт за вами слідкує. Причому не лише коли ви на нього заходите, але й коли ви йдете собі далі. Це робиться безліччю способів, від занотовування вашої IP-адреси та розміщення у вашому браузері файлів cookie, до надсучасного профайлінгу зі штучним інтелектом та біг датами. Для цього вебсайти розміщують у себе програми-трекери один одного: відкрийте консоль браузера та самі подивіться що і звідки він завантажує. Facebook Pixel та Google Analytics це найпоширеніші трекінг-платформи, але є й інші.

Проблема в тому, що VPN-сервіс не захищає вас від ані від першого, ані від другого сценаріїв. Не вірите? Ну дивіться самі.

Аналіз ризиків

Далі, уявіть собі, що нас N і ми користуємось умовним VPN-сервісом NeutrinoVPN. Припустимо, кожен із нас становить певний інтерес для агентів загроз, позначимо наш середній рівень ризику як R.

Користуючись сервісом з метою захиститися від першого сценарію атаки, ми трохи змінюємо архітектуру нашого доступу до інтернету. Весь трафік від нашого комп’ютера до нашого VPN-сервіс провайдера буде захищений криптографією (якщо нам пощастить – сильною). Але чи зміниться від цього щось в термінах ризику?

Так, звісно: наш ризик підвищиться. Люди не користуються VPN від нема чого робити: всі N з нас тут через побоювання щодо нашої кібербезпеки (1) та приватності (2). І використовуючи VPN-сервіс ми явно це демонструємо усім зацікавленим особам та організаціям. Тому, коли ви користуєтесь звичайним “наземним” провайдером, середній ризик ваш і ваших сусідів r значно нижчий за наш VPN-юзерський R.

Nr << NR

Архітектура безпеки

Але ж провайдери логують сесії, а VPN-провайдери ні! Ви ніколи цього не взнаєте, тому просто забудьте це як казку про Діда Мороза. Сервіси VPN це повноцінні інтернет-провайдери, особливо в юрисдикціях, в яких не стрьомно розміщувати VPN-сервери. І навіть якщо збирати та зберігати користувацькі логи від них не вимагається по закону, робити це в їхніх інтересах щонайменше з двох причин: для розв’язання юзерських проблем зі з’єднанням, та щоб відвести від себе підозру під час розслідування кіберзлочинів. Але друге лише якщо злочинець буде достатньо дурним і скористається VPN-сервісом.

Ось це і називається агрегація ризиків і в архітектурі безпечних систем це, м’яко кажучи, не вітається. Звісно, коли мова йде про одного юзера, сучасну сім’ю або невелику компанію, “тримати всі яйця в одному кошику” може бути доцільно. На противагу цьому, тримати всі яйця тисяч зацікавлених в кібербезпеці користувачів в одному кошику – пряма дорога до прискіпливої уваги найпотужніших хакерів у світі.

Ризики приватності

Але бог вже з тою кібербезпекою: вона взагалі, як той казав, переоцінена. Що у нас з приватністю? Тут все теж дуже погано. Заміна вашого IP від провайдера на ваш IP від VPN-сервісу – вправа суто теоретична та на ефективність трекінгу не впливає. З цією задачею можна більш-менш впоратись двома шляхами:

  1. На рівні мережевої фільтрації: забанити всі трекери на рівні IP або DNS;
  2. На рівні браузера: аналізувати контент та трафік й різати всі спроби трекерів скористатися механізмами, які виробники браузерів їм надають.

Погані новини в тому, що шлях номер один – недосяжний. VPN-сервіс провайдеру нецікаво фільтрувати ваш трафік (це складно) та й побічні ефекти в цієї фільтрації неприємні вам обом (це ж типу втручання у вашу приватність). Щобільше, за це Facebook просто забанить його адресні простори, а Google перетворить життя його користувачів у суцільний пошук світлофорів та пожежних гідрантів у квадратиках капчі. А шлях номер два реалізується без допомоги VPN. Сучасні приватні браузери, такі як Firefox, Brave та Safari, прекрасно рубають трекери на рівні клієнта, тоді навіщо для цього пускати увесь свій трафік через чужі сервери?

Управління ризиком

Це все цікаво, Стиран, але що робити, якщо приватності та безпеки хочеться так, що аж зуби зціпило? Все просто, треба використовувати інструменти за призначенням. VPN створювався не для спільного використання тисячами не пов’язаних один з одним людей, а для іншого, і він чудово виконує свої оригінальні задачі. І те, що вам потрібно, це VPN. Просто VPN, а не VPN-сервіс.

На щастя, створити власний VPN-сервер не просто, а дуже просто. Для цього є безкоштовні інструменти, які дозволяють і від провайдера й місцевих спецслужб сховатися, і блокування трекерів налаштувати. За відео про налаштування персонального VPN-сервера мені дякують журналісти, юристи, лінгвісти та астрофізики, тому і ви впораєтесь. Так, у вашого VPN не буде гарного логотипу та розпіареної назви. Але разом із лого та назвою не буде й чужих, зайвих для вас ризиків. Ну і на додачу до цього – ви не обдаруєте своїми ризиками когось іншого.

Корисні посилання.

Оприлюднено імена учасників Sandworm – хакерської групи за кібератакою NotPetya

Американський мін’юст офіційно висунув звинувачення шести офіцерам ГРУ РФ. Вважається, що всі вони є членами хакерської групи Sandworm, що стоїть за найгучнішими кібератаками сучасності: NotPetya, KillDisk та OlympicDestroyer.

Зокрема, на службі в інтересів РФ, Sandworm здійснив кібератаки на мінфін, держказначейство та об’єкти енергетики України у 2015 році. Ті самі, після яких держслужбовцям пообіцяли надбавку за кібербезпеку, а уряд виділив на неї 80 млн грн. Націлена на Україну кібератака NotPetya, від якої постраждали сотні (тисячі?) компаній по всьому Світу, та яка нанесла рекордні до сьогодні економічні збитки, – також справа Sandworm.

Defendant and Summary of Overt Acts
Yuriy Sergeyevich Andrienko
* Developed components of the NotPetya and Olympic Destroyer malware.
Sergey Vladimirovich Detistov
* Developed components of the NotPetya malware; and
* Prepared spearphishing campaigns targeting the 2018 PyeongChang Winter Olympic Games.
Pavel Valeryevich Frolov
* Developed components of the KillDisk and NotPetya malware.
Anatoliy Sergeyevich Kovalev
* Developed spearphishing techniques and messages used to target:
- En Marche! officials;
- employees of the DSTL;
- members of the IOC and Olympic athletes; and
- employees of a Georgian media entity.
Artem Valeryevich Ochichenko
* Participated in spearphishing campaigns targeting 2018 PyeongChang Winter Olympic Games partners; and
* Conducted technical reconnaissance of the Parliament of Georgia official domain and attempted to gain unauthorized access to its network.
Petr Nikolayevich Pliskin
* Developed components of the NotPetya and Olympic Destroyer malware.

Звісно, це не повний список оперативників Sandworm, а лише ті з них, чию причетність наразі вдалося довести. Проте, навіть в українській професійній тусовці дехто з 2014 року заперечує центральну роль Росії в кібер-атаках на Україну. Впевнений, що повний список, отриманий по каналах розвідки, набагато довший. І усі його фігуранти, так само як і всі інші російські хакери на службі в держави, сьогодні отримали тривожне повідомлення.

Користуючись нагодою, передаю привіт видавництву ФОЛІО. Ми з нетерпінням очікуємо на вихід українського перекладу книжки Sandwrorm, автор якої Енді Грінберг був одним з ключових доповідачів на цьогорічній конференції NoNameCon.

Update: Andy Greenberg написав про це у WIRED, а ось цей ланцюг у Твітері все підсумовує.

Посібник «Як не стати кібержертвою» переїхав

Мої повідомлення читають тисячі людей, але виявляється, що дехто з них не знає про найважливіше – поради з персональної кібербезпеки під кодовою назвою «Не тисніть каку» або “Don’t Click Shit Guide”. (Є ванільніша назва «Як не стати кібер-жертвою», але це для преси та телебачення.)

Чому так сталося? Напевно через те, що я мало про нього згадую. Або тому, що оригінал тексту опублікований на GitHub, до якого не-програмісти ставляться як до будинку з привидами. Або через те, що його читачі та користувачі не поспішають ділитися посиланням з друзями.

Four stages of cyber security awareness

Я спробую це виправити, адже текст корисний і в його створенні взяли участь справжні експерти з кібербезпеки. Буду посилатися на нього, коли згадуватиму окремі поради на кшталт безпечних месенджерів чи засобів шифрування файлів у хмарі. Ну і ви не баріться: чим більше людей дізнається про техніки самозахисту від кіберзагроз, тим більш захищеною стане кожна родина, кожен бізнес, та Україна загалом.

Відтепер посилання на пам‘ятку з персональної кібербезпеки є у головному меню мого сайту. Долучитися до його розширення та оновлення можна у репозитарії на GitHub. Сторінка на сайті регулярно та автоматично оновлюватиметься згідно зі змінами у репозитарії.

Бережіться, чи шо.

Компанію Apple зламали хакери, збитки становлять $289,000

Так, вам не привиділося, найдорожчу компанію в історії людства зламали п‘ятеро надзвичайно талановитих хакерів. Наразі вони отримали за це 289 тисяч доларів винагород, та здається далі буде.

Операція тривала понад три місяці, а звіт містить 55 вразливостей в інфраструктурі Apple. Важливе уточнення: предметом цього імпровізованого пентесту в рамках програми Bug Bounty була сама компанія Apple, а не її продукти.

Enough Pentesting

Найяскравішою знахідкою, як на мене, стала вразливість, що дозволяла створити мережевого хробака, який краде у вас весь вміст iCloud, а потім робить те саме з людьми у вашому списку контактів. Ось чому варто використовувати офлайн-шифрування важливих файлів перед копіюванням їх у хмару. Для цього є кілька зручних рішень, можу порекомендувати Boxcryptor та Cryptomator.

І ось чому всім компаніям треба робити пентести. Цілком можливо, що ви захищені краще, ніж найбільша корпорація у Світі (хоча в мене є сумніви). Але ви не можете бути впевнені, поки хтось це не перевірить. І ні, для цього зовсім не обов‘язково відкладати шестизначну суму в доларах.