Категорія: Кібербезпека

Есе, рекомендації та думки на професійні теми: кібербезпека, аппсек та пентести.

Оприлюднено імена учасників Sandworm – хакерської групи за кібератакою NotPetya

Американський мін’юст офіційно висунув звинувачення шести офіцерам ГРУ РФ. Вважається, що всі вони є членами хакерської групи Sandworm, що стоїть за найгучнішими кібератаками сучасності: NotPetya, KillDisk та OlympicDestroyer.

Зокрема, на службі в інтересів РФ, Sandworm здійснив кібератаки на мінфін, держказначейство та об’єкти енергетики України у 2015 році. Ті самі, після яких держслужбовцям пообіцяли надбавку за кібербезпеку, а уряд виділив на неї 80 млн грн. Націлена на Україну кібератака NotPetya, від якої постраждали сотні (тисячі?) компаній по всьому Світу, та яка нанесла рекордні до сьогодні економічні збитки, – також справа Sandworm.

Defendant and Summary of Overt Acts
Yuriy Sergeyevich Andrienko
* Developed components of the NotPetya and Olympic Destroyer malware.
Sergey Vladimirovich Detistov
* Developed components of the NotPetya malware; and
* Prepared spearphishing campaigns targeting the 2018 PyeongChang Winter Olympic Games.
Pavel Valeryevich Frolov
* Developed components of the KillDisk and NotPetya malware.
Anatoliy Sergeyevich Kovalev
* Developed spearphishing techniques and messages used to target:
- En Marche! officials;
- employees of the DSTL;
- members of the IOC and Olympic athletes; and
- employees of a Georgian media entity.
Artem Valeryevich Ochichenko
* Participated in spearphishing campaigns targeting 2018 PyeongChang Winter Olympic Games partners; and
* Conducted technical reconnaissance of the Parliament of Georgia official domain and attempted to gain unauthorized access to its network.
Petr Nikolayevich Pliskin
* Developed components of the NotPetya and Olympic Destroyer malware.

Звісно, це не повний список оперативників Sandworm, а лише ті з них, чию причетність наразі вдалося довести. Проте, навіть в українській професійній тусовці дехто з 2014 року заперечує центральну роль Росії в кібер-атаках на Україну. Впевнений, що повний список, отриманий по каналах розвідки, набагато довший. І усі його фігуранти, так само як і всі інші російські хакери на службі в держави, сьогодні отримали тривожне повідомлення.

Користуючись нагодою, передаю привіт видавництву ФОЛІО. Ми з нетерпінням очікуємо на вихід українського перекладу книжки Sandwrorm, автор якої Енді Грінберг був одним з ключових доповідачів на цьогорічній конференції NoNameCon.

Update: Andy Greenberg написав про це у WIRED, а ось цей ланцюг у Твітері все підсумовує.

Посібник «Як не стати кібержертвою» переїхав

Мої повідомлення читають тисячі людей, але виявляється, що дехто з них не знає про найважливіше – поради з персональної кібербезпеки під кодовою назвою «Не тисніть каку» або “Don’t Click Shit Guide”. (Є ванільніша назва «Як не стати кібер-жертвою», але це для преси та телебачення.)

Чому так сталося? Напевно через те, що я мало про нього згадую. Або тому, що оригінал тексту опублікований на GitHub, до якого не-програмісти ставляться як до будинку з привидами. Або через те, що його читачі та користувачі не поспішають ділитися посиланням з друзями.

Four stages of cyber security awareness

Я спробую це виправити, адже текст корисний і в його створенні взяли участь справжні експерти з кібербезпеки. Буду посилатися на нього, коли згадуватиму окремі поради на кшталт безпечних месенджерів чи засобів шифрування файлів у хмарі. Ну і ви не баріться: чим більше людей дізнається про техніки самозахисту від кіберзагроз, тим більш захищеною стане кожна родина, кожен бізнес, та Україна загалом.

Відтепер посилання на пам‘ятку з персональної кібербезпеки є у головному меню мого сайту. Долучитися до його розширення та оновлення можна у репозитарії на GitHub. Сторінка на сайті регулярно та автоматично оновлюватиметься згідно зі змінами у репозитарії.

Бережіться, чи шо.

Компанію Apple зламали хакери, збитки становлять $289,000

Так, вам не привиділося, найдорожчу компанію в історії людства зламали п‘ятеро надзвичайно талановитих хакерів. Наразі вони отримали за це 289 тисяч доларів винагород, та здається далі буде.

Операція тривала понад три місяці, а звіт містить 55 вразливостей в інфраструктурі Apple. Важливе уточнення: предметом цього імпровізованого пентесту в рамках програми Bug Bounty була сама компанія Apple, а не її продукти.

Enough Pentesting

Найяскравішою знахідкою, як на мене, стала вразливість, що дозволяла створити мережевого хробака, який краде у вас весь вміст iCloud, а потім робить те саме з людьми у вашому списку контактів. Ось чому варто використовувати офлайн-шифрування важливих файлів перед копіюванням їх у хмару. Для цього є кілька зручних рішень, можу порекомендувати Boxcryptor та Cryptomator.

І ось чому всім компаніям треба робити пентести. Цілком можливо, що ви захищені краще, ніж найбільша корпорація у Світі (хоча в мене є сумніви). Але ви не можете бути впевнені, поки хтось це не перевірить. І ні, для цього зовсім не обов‘язково відкладати шестизначну суму в доларах.

Кібер-влада, кібер-конфлікти та кібер-майстерність

The Grugq зробив цікавенний огляд стану справ та розподілу сил в кібер-просторі. Йдеться про кібер-майстерність або мистецтво застосування кібер-влади (кибер-сили? кібер-міці?) Дуже хочеться, щоб це подивитися усі, від кого залежить кібербезпека України. Але після участі в кількох консиліумах я впевнений, що ніхто з них не володіє темою навіть на рівні означень.

Основні тези:

1. Кібер-влада схожа на державну владу, але щоб нею володіти та її застосовувати не треба бути державою.

2. Є держави, що не мають кібер-влади (наприклад, Україна), та осередки кібер-влади, що не мають стосунку до жодної з держав. 

3. Кібер-військо це дешевий, корисний та ефективний спосіб застосування кібер-влади.

4. Розділення кіберпростору та реального життя загалом хибне, адже це частини одного цілого.

5. Правила участі в кібер-конфлікті:

  • Правил немає
  • Не роби то саме двічі

6. Ми в неперервному стані кібер-конфлікту. Це не кібер-війна, тому що війни закінчуються, а це – ні.

Don’t Click Shit: the Next Generation

Коли робиш щось важливе, то це не одразу видно. Але коли отримуєш такі листи, все одразу стає на свої місця.

Доброго дня, мене звати Степан, я учень 10-А класу, нам вчитель задав на домашнє виконання тему про «Кібербезпеку», серед нього було посилання на вашу карту думок «Як не стати кібер-жертвою» і прочитавши мені сподобалось саме подання інформації і саму класифікацію по пунктах і серед такої основної інформації мені було легше зрозуміти текст і навіть дізнатись таке з чим я не стикався, але читавши я помітив деякі помилки, але це не серйозні. Щоб швидше було знайти, вкажу підтему і саме слово з помилкою.

(Тут іде довгий текст, який мені соромно викладати, і навіть фото з скріншотами де і як треба все виправити.)

Ніби все, хоча я теж міг дещо не замітити. 
Дуже вдячний за такий оригінальний підхід з текстом і за легке пояснення.
Сподіваюсь я зміг допомогти!

Star Trek: The Next Generation (TV Series 1987–1994) – IMDb
Star Trek: The Next Generation (TV Series 1987–1994) – IMDb

Після такого сльози на очі навертаються. Звісно, я не міг пройти повз цей лист і викладаю його у своєму блозі. Майже без змін та правок. Тому що, не замітити, а помітити, Степане!

P.S. Дуже дякую за виправлення! Завдяки моєму колезі Анатолію Березюку, вони вже внесені в офіційний текст на GitHub та у чернетку майндмапи. Тепер залишилося розібратися, як опублікувати її зі збереженням URL, який так жваво поширюють серед учнів наші вчителі…