The Grugq зробив цікавенний огляд стану справ та розподілу сил в кібер-просторі. Йдеться про кібер-майстерність або мистецтво застосування кібер-влади (кибер-сили? кібер-міці?) Дуже хочеться, щоб це подивитися усі, від кого залежить кібербезпека України. Але після участі в кількох консиліумах я впевнений, що ніхто з них не володіє темою навіть на рівні означень.
Основні тези:
1. Кібер-влада схожа на державну владу, але щоб нею володіти та її застосовувати не треба бути державою.
2. Є держави, що не мають кібер-влади (наприклад, Україна), та осередки кібер-влади, що не мають стосунку до жодної з держав.
3. Кібер-військо це дешевий, корисний та ефективний спосіб застосування кібер-влади.
4. Розділення кіберпростору та реального життя загалом хибне, адже це частини одного цілого.
5. Правила участі в кібер-конфлікті:
Правил немає
Не роби то саме двічі
6. Ми в неперервному стані кібер-конфлікту. Це не кібер-війна, тому що війни закінчуються, а це – ні.
Коли робиш щось важливе, то це не одразу видно. Але коли отримуєш такі листи, все одразу стає на свої місця.
Доброго дня, мене звати Степан, я учень 10-А класу, нам вчитель задав на домашнє виконання тему про «Кібербезпеку», серед нього було посилання на вашу карту думок «Як не стати кібер-жертвою» і прочитавши мені сподобалось саме подання інформації і саму класифікацію по пунктах і серед такої основної інформації мені було легше зрозуміти текст і навіть дізнатись таке з чим я не стикався, але читавши я помітив деякі помилки, але це не серйозні. Щоб швидше було знайти, вкажу підтему і саме слово з помилкою.
(Тут іде довгий текст, який мені соромно викладати, і навіть фото з скріншотами де і як треба все виправити.)
Ніби все, хоча я теж міг дещо не замітити. Дуже вдячний за такий оригінальний підхід з текстом і за легке пояснення. Сподіваюсь я зміг допомогти!
Star Trek: The Next Generation (TV Series 1987–1994) – IMDb
Після такого сльози на очі навертаються. Звісно, я не міг пройти повз цей лист і викладаю його у своєму блозі. Майже без змін та правок. Тому що, не замітити, а помітити, Степане!
P.S. Дуже дякую за виправлення! Завдяки моєму колезі Анатолію Березюку, вони вже внесені в офіційний текст на GitHub та у чернетку майндмапи. Тепер залишилося розібратися, як опублікувати її зі збереженням URL, який так жваво поширюють серед учнів наші вчителі…
Кілька місяців пройшло з того часу, як я прочитав цю книжку, і я нарешті дозрів до написання ревю. Цей час я використав для того, щоб обговорити отримані концепції із колегами та протестувати кілька трюків на практиці. Як ви зараз зрозумієте, мені був потрібен час на те, щоб поредтімати зміст цієї книжки 🙂 Результатом я більше ніж задоволений, тому готовий ділитися відгуком.
Книга “Red Team – How to Succeed By Thinking Like the Enemy” by Micah Zenko – це публіцистична праця, зразок доброї журналістики, в якому автор досліджує нашу професію та робить цікаві висновки. У книгу увійшли історичні сюжети, пряма мова патріархів цієї професії, та роздуми, аналітика й узагальнення самого автора.
Серед найважливішого у книзі можу назвати широке узагальнення дисципліни редтімінгу, яке охоплює усі його прояви: бізнесовий воргеймінг, стратегічний альтернативний аналіз, політичний та військовий редтімінг та звісно ж пентести та інші хакерські забавки. Для прикладу, починає Міка із препарації ролі “адвоката диявола” в адміністрації Ватикану, а у якості одного з найбільших провалів редтімінгу наводить недостатню увагу до альтернативних теорій під час підготовки другої іракської війни. (Як ви пам’ятаєте, привід для вторгнення – наявність в режиму Саддама Хусейна зброї масового ураження – так і не підтвердився.)
Протягом книги Зенко аналізує підхід до редтімінгу не лише в пентестах, але й у розвідувальній та контррозвідувальній діяльності, під час підготовки до військових операцій, та протягом розробки програм охорони здоров’я всесвітнього масштабу – список можна продовжувати. Усі прояви редтімінгу автор об’єднує спільною методологією, але жахатися цього слова не потрібно. Адже вона настільки високорівнева, що скоріш підкреслює недоцільність використання в редтімінгу методологій у звичному розумінні цього терміну.
Основна ідея редтімінгу – це альтернативний (або конкурентний) аналіз наявних даних та інформації, тобто виклик статус кво. Таким чином, редтімати можна все, що завгодно: стратегію, продукт, теорію, ідею тощо. І залежно від важливості та цінності об’єкту редтімінгу масштабуватиметься важливість цієї вправи. Це ми знаємо з практики – неважливому бізнесу чи стартапу в перший рік пентест не потрібен.
Ще ми знаємо, що редтімер нікому не спрощує життя. Це отой ніколи ні з чим не згодний член команди, який завжди ставить все під сумнів та до всього ставиться скептично. У редтімінгу як професії це робиться свідомо та послідовно. Успішне доведення альтернативної теорії демонструє неспроможність оригінальної теорії. А безуспішне – навпаки, підтверджує статус кво та підкріпляє його аргументами. У одному з випадків успішного редтімінгу, червоній команді поставили на меті довести, що новозбудований в Ірані секретний об’єкт не є фабрикою зі збагачення урану. Після тижнів блискучого конкурентного аналізу аналітики дійшли висновку що єдиним альтернативним поясненням цього будівництва є спроба Ірану дезінформувати ЦРУ, тобто переконати в тому, що це таки фабрика зі збагачення урану, коли насправді це не так.
Стилістично, за виключенням одного мінусу – автор часто повторює ті самі речі різними словами – книжка дуже сподобалася. Приємно читати про твою улюблену справу, особливо фрагменти, написані зі слів визнаних експертів у цій професії. Діно Дай Зові, Джейсон Стріт, Дейв Кеннеді, Кріс Нікерсон та ще ціле сузір’я відомих хакерів, які діляться своїм поглядом на індустрію та критерії успішності в ній – це вам не мемуари Митника, Сноудена чи ще якогось невдахи. Це реальне м’ясо з окопів, до якого іншим маршрутом шлях іде через десятиліття практики, повної провалів, стресу та решти супутнього нашій справі шарму.
Я раджу прочитати це кожному, хто вважає себе спеціалістом з наступальної безпеки. Єдине, що мене непокоїть, це як щільно ідеї твору перегукуються із моїм власним досвідом та поглядами на професію. Тому, якщо після прочитання матимете альтернативну теорію – буду радий подискутувати. Ми ж бо хакери, чи де?
Підсумки та враження. Спробую коротко, по пунктах.
1. Відвідувачі
Неймовірна та безпрецедентна підтримка. Куплено майже 200 квитків. Повернуто 1 (один). Онлайн в YouTube та Zoom від 100 до 200 людей. Дві з половиною тисячі переглядів стрімів на YouTube. Більше сотні запитань для спікерів!
На майже повністю (крім одної доповіді та дебатів) англомовній, віртуальній конференції. Я досі в це не вірю, але факти річ уперта.
Величезне дякую усім, хто в нас вірив. Ми зробили все, що від нас залежало, і трошечки більше. Здається, вийшло непогано.
2. Доповідачі
Програма, що була сформована на початку року, попри всі зміни в форматі та часі конференції, майже не змінилася. Всі доповідачі пішли на зустріч та підлаштувалися під графік. Багато хто погодився зробити попередній запис свого виступу, щоб звести до мінімуму актуальні ризики. За це їм щира шана та подяка, адже для багатьох із них, як і для нас, все це вперше і все це стрес.
Заключні кіноут спікери: ми це зробили, додати нічого. Завдяки Руслану, година з Брюсом Шнайером вийшла фантастично цікава. А бесіда з Грінбергом – на моїй пам’яті це найбільш пізнавальна подія кібербезпекової сцени в контексті українського протистояння російській агресії.
Щира подяка всім, хто готував доповіді та воркшопи, мучився із записом та редагуванням відео, тренувався перед дзеркалом. Спілкування з аудиторією через екран, та проведення онлайн воркшопів – це зовсім інший досвід, порівняно з офлайн сценою. Наші спікери та воркшопери – ви неймовірні! Завдяки вам ми перейшли на наступний рівень і це була справжня історична подія для української кібербезпекової сцени.
3. Партнери
Тут у нас особистий антирекорд. Компанії, які підтримали нас матеріально, так чи інакше пов’язані з командою: це наші друзі, колеги, та активні волонтери спільноти. Так сталося через повну відсутність фандрейзингової кампанії. Цього року ми просто розіслали запрошення і пару разів про них нагадали. З огляду на економічну ситуацію, вважаю таку стратегію коректною. Тому, якщо хтось очікував на спеціальне запрошення – вибачте, не цього разу.
Особисто для мене та Berezha Security прояви на конференціях це не реклама і навіть не інвестиція в майбутніх експертів нашої компанії. Це демонстрація того, що в нас все добре, і ми готові длитися. Щедрість – це найкращий маркетинг.
Респект та шана усім, хто нас підтримує матеріально, технічно, морально та закриваючі очі на “ресурсний розрив” на цілий тиждень під час кібер-жнив. Ви в авангарді цього бізнес-напрямку і ми раді, що можемо допомогти вам це транслювати.
4. Команда
Я брав участь в організації декількох масштабних професійних конференцій і десятків менших мітапів та інших збіговиськ. З усієї поваги до колег та однодумців, NoNameCrew – найкраща організаційна команда, в якій мені пощастило працювати. Чому так сталося? Все дуже просто: відкритість до нового. Взяти участь в організації може будь-хто, головне бажання. Нові задачі виникають постійно, і за їхнім розв’язком ми звертаємось до аудиторії та волонтерів. Обов’язково знаходиться хтось, хто хоче за це взятися. А подекуди люди приходять із власними ідеями. Ось і весь рецепт, а результат ви знаєте.
Збір заявок, відбір доповідей, узгодження програми з доповідачами, відео-продакшн, відео-трансляція, модерування стрімів та воркшопів, підтримка, супровід, робота з партнерами, робота з фінансами, облік, оподаткування, звітність, реклама, висвітлення в мережі та соцмедіа, виготовлення сувенірної продукції, дизайн-проектування- виготовлення-тестування-знову виготовлення-розмитнення-програмування-знову тестування бейджів, перемовини з видавництвом, дизайн стилю, адміністрування веб сайту, продаж квитків, доставка бейджів та сувенірів, відшкодування витрат доповідачів, винагородження тренерів воркшопів, адміністрування доступу до Zoom-Discord-YouTube, перемовини з хостером, оренда-транспорт-оплата обладнання та приміщень, технічна підтримка живлення та зв’язку, забезпечення процесу калоріями та кофеїном, підготовка-ревю-нагородження переможців квіза, і численні відповіді на фантастичну кількість однотипних запитань, які вже висвітлені на сайті або у поштових розсилках – ось невелика частка того, що роблять 25 ентузіастів протягом року від конференції до конференції та під час самої події.
Я міг би написати книжку про те, як робити конфи з кібербезпеки, але жодна з порад у ній не матиме жодної цінності без головного – ніколи не робіть конференцію самотужки або невеликою групою. Конференція це не стільки подія раз на рік, скільки рух однодумців. Знайдіть однодумців. Визначте спільні цілі. Тримайтесь разом. Спробуйте не розсваритись. Так і лише так можна досягти якогось помітного успіху. А всі ваші негаразди по дорозі до нього створять незабутній командний дух, якому без спільних невдач просто немає звідки взятися.
5. Формат
Судячи зі статистики на YouTube, це була найуспішніша наша конференція. Кожна проблема це замаскована можливість, як би банально це не звучало. Жодна найбільш детальна та прискіплива підготовка не замінить досвід, який ми отримали за два дні віртуальної конференції. З’явилися нові унікальні фішки, і є намір поєднувати формати за будь-яких, навіть найсприятливіших обставин. З усією повагою до спікерів, найцікавіші (для мене) теми обговорювалися не в доповідях, а за лаштунками, у Zoom. Це неймовірно круто і я не знаю як до такого можна було б додуматись, якби не карантин.
6. Наступні дії
Дуже скоро, я сподіваюся вже цього місяця, всі учасники конференції отримають бейджі та інші подарунки. Почнеться найцікавіше для найхардкорнішої частини аудитрії: NoNameBadge CTF. Хлопці з TechMaker обіцяють, що цього року легко не буде, тому готуйтесь страждати да заливати клавіатури сльозами. І це лише частинка того, що нам як організаторам залишилося зробити. У нас все ще є “plenty of room to провтикать”, але початок непоганий. Залишайтеся з нами, не пошкодуєте.
Три роки тому ви прокинулися з кращим розумінням того, з чим спеціалісти з кібербезпеки мають справу щодня. З кібератаки notPetya 2017 року кожен зробив свої висновки: хтось правильні, хтось не дуже. Одне можна стверджувати напевне: ця історія не залишила осторонь нікого з користувачів комп‘ютерної техніки та мереж. Але сьогодні, у День Конституції України, нас в першу чергу цікавить, які висновки зробив уряд нашої держави.
На мою скромну думку, не зроблено рівно нічого з того, що можна і варто було зробити.
Спочатку, я поясню свою точку зору на ситуацію, щоб було зрозуміліше, хто вам це все пише. Формально, я працюю в галузі кібербезпеки з 2007 року, фактично – з 2005-го. Через освіту та особливості професійного виховання, я маю досить широкий кут огляду, адже отримую інформацію в основному з англомовних джерел в реальному часі, поки менш підготовлені колеги чекають на переклади та аналіз місцевих оглядачів. Однак, до 2014-го року я, як і більшість українських колег на той час, був досить тісно інтегрований в російськомовну професійну спільноту. Але скоріш наповнював її контентом – вів блог, записував подкаст, виступав на конференціях тощо – ніж споживав його. Протягом 2014-го, як багато хто з моїх друзів, я повністю ізолювався від російськомовного впливу та перевів власну медійну активність на українську, зменшивши аудиторію приблизно в 10 разів. Шість років потому я вважаю це правильним вибором, який призвів до зовсім неочікуваних позитивних наслідків, таких як заснування власної компанії, створення конференції NoNameCon та інших поступових рішень. Підсумовуючи, ви можете вважати мене кібербандерівцем, який має багату спільну історію з російською індустрією кібербезпеки.
Тому коли у 2017 році нарешті бомбануло – я був до цього морально готовий. Чи був такий тотальний ефект спланованим, для мене все ще загадка, але ескалація була логічною. Росія щонайменше з 2015-го демонструвала готовність в разі чого «вирубати» щось важливе. З метою демонстрації сили, надсилання дипломатичного сигналу на Захід, або просто випробування нових наступальних тактик в кіберпросторі. Власне з огляду на ці прояви агресії я й «прокачав» на той час раніше невідому мені галузь знань з кібербезпеки – міжнародні конфлікти та захист критичної інфраструктури. Очевидно, українські чиновники від кібербезу, цього не зробили. Не те, щоб я сподівався, що це допомогло б їм краще протистояти російській агресії, ні. Але це дало б їм змогу скористатися кризою захисту для накопичення наступального потенціалу.
Бо на мій погляд, у 2017 році Україна була в ідеальній ситуації, щоб на урядовому рівні зробити три важливі речі:
Створити доктрину кібербезпеки, яка включає захисні та наступальні заходи. В ситуації, коли ми були жертвою тотальної агресії, міжнародна спільнота сприйняла б це схвально, і скоріш за все навіть допомогла б матеріально. Але ми не скористалися цим приводом, тому у 2020-му нарешті проводимо перші більш-менш підготовлені кібернавчання (до речі, організовані приватними особами), а не застосовуємо сучасні засоби отримання стратегічної інформації (також відомі як кібершпіонаж) в процесах прийняття рішень першими особами.
Здійснити «мобілізацію» професіоналів кібербезпеки навколо оборонних завдань держави та створити в професії культуру ефективної протидії стратегічним загрозам. Хвилю патріотичного піднесення в спільноті на той момент переоцінити важко: навіть найпрактичніші скептики погоджувалися, що робити це треба негайно, щоб наступного разу бути готовими не лише захищатися, а й завдавати удар у відповідь. Одним з приємних наслідків цього піднесення було створення першої редакції конференції NoNameCon, але увага державних діячів до неї була досить стриманою. Силовики, напевно, і досі вважають, що «науково-практичні» змагання з синхронного надування щік – це те, що допоможе їм підготувати кваліфіковані кадри.
Вийти на прямий діалог з хактивістами та іншими грейхетами усіх мастей та напрямків. Ви уявляєте собі, яким нереальним дивом є Український кіберальянс? Ні, ви майже напевно собі цього не уявляєте. Зібрати хакерів в групу – майже неможливо. Група хакерів це нонсенс, це як групова фотосесія котів. Редтімери занадто незалежні, щоб щось довго робити разом. В кожного є власна думка і майже ні в кого немає навичок добре поводитися в пісочниці. (Саме тому кожен раз, коли я чую вираз «хакерська тусовка» я внутрішньо посміхаюся.) І ось на тлі цього броунівського руху виникає не просто група патріотично мотивованих хакерів, — виникає альянс з кількох таких груп. І що ви думаєте, уряд радіє і починає використовувати цю громадську ініціативу в інтересах держави? Зовсім ні. Натомість, за Порошенка державні органи обмежуються мовчазною угодою про «повне взаємне ігнорування», а за Зеленського — переходять до репресій. Адже професія «хакер» небезпечна зокрема тим, що внаслідок моральної застарілості та недосконалості законодавства, «створити проблеми» можна будь-кому з нас – головне знайти достатньо енергійного слідчого та достатньо близькозорого суддю.
Україна мала шанс і вона ним не скористалася. Естонія мала схожий шанс за значно менш драматичних (читати: сприятливих) обставин – і скористалася ним по повній. Але в України інший шлях. Які були причини цього гальмування – мені не відомо. Можливо, в уряді просто не знайшлося людини, яка на належному рівні володіє предметом. Можливо, така людина знайшлася, але ініціатива обламалася через тодішню звичку перших осіб всі наступальні ініціативи спершу узгоджувати з «західними партнерами». А дарма – просити вибачення значно простіше, ніж дозволу.
Три роки по неПєті ми все ще не маємо належного захисту критичної інфраструктури та кваліфікованого кібервійська в країні, яка, напевно, найбільше цього потребує. Як я вже неодноразово казав, якщо світ кібербезпеки уявити собі дитячим майданчиком, то десь на лавочці Китай та Ізраїль грають в шахи, поруч з ними США, Британія, Німеччина, та інші союзники грають у шашки, десь збоку Росія, Іран та Пн. Корея грають в «Чапаєва», а посередині цього дійства сидить Україна і тримаючи лобзика в правій руці намагається відпиляти ним ліву.
