Категорія: Кібербезпека

Есе, рекомендації та думки на професійні теми: кібербезпека, аппсек та пентести.

NoNameCon 2020 Virtual Edition

Підсумки та враження. Спробую коротко, по пунктах.

1. Відвідувачі

Неймовірна та безпрецедентна підтримка. Куплено майже 200 квитків. Повернуто 1 (один). Онлайн в YouTube та Zoom від 100 до 200 людей. Дві з половиною тисячі переглядів стрімів на YouTube. Більше сотні запитань для спікерів! 

На майже повністю (крім одної доповіді та дебатів) англомовній, віртуальній конференції. Я досі в це не вірю, але факти річ уперта.

Величезне дякую усім, хто в нас вірив. Ми зробили все, що від нас залежало, і трошечки більше. Здається, вийшло непогано.

2. Доповідачі

Програма, що була сформована на початку року, попри всі зміни в форматі та часі конференції, майже не змінилася. Всі доповідачі пішли на зустріч та підлаштувалися під графік. Багато хто погодився зробити попередній запис свого виступу, щоб звести до мінімуму актуальні ризики. За це їм щира шана та подяка, адже для багатьох із них, як і для нас, все це вперше і все це стрес.

Заключні кіноут спікери: ми це зробили, додати нічого. Завдяки Руслану, година з Брюсом Шнайером вийшла фантастично цікава. А бесіда з Грінбергом – на моїй пам’яті це найбільш пізнавальна подія кібербезпекової сцени в контексті українського протистояння російській агресії.

Щира подяка всім, хто готував доповіді та воркшопи, мучився із записом та редагуванням відео, тренувався перед дзеркалом. Спілкування з аудиторією через екран, та проведення онлайн воркшопів – це зовсім інший досвід, порівняно з офлайн сценою. Наші спікери та воркшопери – ви неймовірні! Завдяки вам ми перейшли на наступний рівень і це була справжня історична подія для української кібербезпекової сцени.

3. Партнери

Тут у нас особистий антирекорд. Компанії, які підтримали нас матеріально, так чи інакше пов’язані з командою: це наші друзі, колеги, та активні волонтери спільноти. Так сталося через повну відсутність фандрейзингової кампанії. Цього року ми просто розіслали запрошення і пару разів про них нагадали. З огляду на економічну ситуацію, вважаю таку стратегію коректною. Тому, якщо хтось очікував на спеціальне запрошення – вибачте, не цього разу.

Особисто для мене та Berezha Security прояви на конференціях це не реклама і навіть не інвестиція в майбутніх експертів нашої компанії. Це демонстрація того, що в нас все добре, і ми готові длитися. Щедрість – це найкращий маркетинг.

Респект та шана усім, хто нас підтримує матеріально, технічно, морально та закриваючі очі на “ресурсний розрив” на цілий тиждень під час кібер-жнив. Ви в авангарді цього бізнес-напрямку і ми раді, що можемо допомогти вам це транслювати.

4. Команда

Я брав участь в організації декількох масштабних професійних конференцій і десятків менших мітапів та інших збіговиськ. З усієї поваги до колег та однодумців, NoNameCrew – найкраща організаційна команда, в якій мені пощастило працювати. Чому так сталося? Все дуже просто: відкритість до нового. Взяти участь в організації може будь-хто, головне бажання. Нові задачі виникають постійно, і за їхнім розв’язком ми звертаємось до аудиторії та волонтерів. Обов’язково знаходиться хтось, хто хоче за це взятися. А подекуди люди приходять із власними ідеями. Ось і весь рецепт, а результат ви знаєте.

Збір заявок, відбір доповідей, узгодження програми з доповідачами, відео-продакшн, відео-трансляція, модерування стрімів та воркшопів, підтримка, супровід, робота з партнерами, робота з фінансами, облік, оподаткування, звітність, реклама, висвітлення в мережі та соцмедіа, виготовлення сувенірної продукції, дизайн-проектування- виготовлення-тестування-знову виготовлення-розмитнення-програмування-знову тестування бейджів, перемовини з видавництвом, дизайн стилю, адміністрування веб сайту, продаж квитків, доставка бейджів та сувенірів, відшкодування витрат доповідачів, винагородження тренерів воркшопів, адміністрування доступу до Zoom-Discord-YouTube, перемовини з хостером, оренда-транспорт-оплата обладнання та приміщень, технічна підтримка живлення та зв’язку, забезпечення процесу калоріями та кофеїном, підготовка-ревю-нагородження переможців квіза, і численні відповіді на фантастичну кількість однотипних запитань, які вже висвітлені на сайті або у поштових розсилках – ось невелика частка того, що роблять 25 ентузіастів протягом року від конференції до конференції та під час самої події.

Я міг би написати книжку про те, як робити конфи з кібербезпеки, але жодна з порад у ній не матиме жодної цінності без головного – ніколи не робіть конференцію самотужки або невеликою групою. Конференція це не стільки подія раз на рік, скільки рух однодумців. Знайдіть однодумців. Визначте спільні цілі. Тримайтесь разом. Спробуйте не розсваритись. Так і лише так можна досягти якогось помітного успіху. А всі ваші негаразди по дорозі до нього створять незабутній командний дух, якому без спільних невдач просто немає звідки взятися.

5. Формат

Судячи зі статистики на YouTube, це була найуспішніша наша конференція. Кожна проблема це замаскована можливість, як би банально це не звучало. Жодна найбільш детальна та прискіплива підготовка не замінить досвід, який ми отримали за два дні віртуальної конференції. З’явилися нові унікальні фішки, і є намір поєднувати формати за будь-яких, навіть найсприятливіших обставин. З усією повагою до спікерів, найцікавіші (для мене) теми обговорювалися не в доповідях, а за лаштунками, у Zoom. Це неймовірно круто і я не знаю як до такого можна було б додуматись, якби не карантин.

6. Наступні дії

Дуже скоро, я сподіваюся вже цього місяця, всі учасники конференції отримають бейджі та інші подарунки. Почнеться найцікавіше для найхардкорнішої частини аудитрії: NoNameBadge CTF. Хлопці з TechMaker обіцяють, що цього року легко не буде, тому готуйтесь страждати да заливати клавіатури сльозами. І це лише частинка того, що нам як організаторам залишилося зробити. У нас все ще є “plenty of room to провтикать”, але початок непоганий. Залишайтеся з нами, не пошкодуєте.

Відео NoNameCon 2020

Три роки по кібератаці notPetya. Що змінилося?

Три роки тому ви прокинулися з кращим розумінням того, з чим спеціалісти з кібербезпеки мають справу щодня. З кібератаки notPetya 2017 року кожен зробив свої висновки: хтось правильні, хтось не дуже. Одне можна стверджувати напевне: ця історія не залишила осторонь нікого з користувачів комп‘ютерної техніки та мереж. Але сьогодні, у День Конституції України, нас в першу чергу цікавить, які висновки зробив уряд нашої держави.

На мою скромну думку, не зроблено рівно нічого з того, що можна і варто було зробити.

Спочатку, я поясню свою точку зору на ситуацію, щоб було зрозуміліше, хто вам це все пише. Формально, я працюю в галузі кібербезпеки з 2007 року, фактично – з 2005-го. Через освіту та особливості професійного виховання, я маю досить широкий кут огляду, адже отримую інформацію в основному з англомовних джерел в реальному часі, поки менш підготовлені колеги чекають на переклади та аналіз місцевих оглядачів. Однак, до 2014-го року я, як і більшість українських колег на той час, був досить тісно інтегрований в російськомовну професійну спільноту. Але скоріш наповнював її контентом – вів блог, записував подкаст, виступав на конференціях тощо – ніж споживав його. Протягом 2014-го, як багато хто з моїх друзів, я повністю ізолювався від російськомовного впливу та перевів власну медійну активність на українську, зменшивши аудиторію приблизно в 10 разів. Шість років потому я вважаю це правильним вибором, який призвів до зовсім неочікуваних позитивних наслідків, таких як заснування власної компанії, створення конференції NoNameCon та інших поступових рішень. Підсумовуючи, ви можете вважати мене кібербандерівцем, який має багату спільну історію з російською індустрією кібербезпеки.

Тому коли у 2017 році нарешті бомбануло – я був до цього морально готовий. Чи був такий тотальний ефект спланованим, для мене все ще загадка, але ескалація була логічною. Росія щонайменше з 2015-го демонструвала готовність в разі чого «вирубати» щось важливе. З метою демонстрації сили, надсилання дипломатичного сигналу на Захід, або просто випробування нових наступальних тактик в кіберпросторі. Власне з огляду на ці прояви агресії я й «прокачав» на той час раніше невідому мені галузь знань з кібербезпеки – міжнародні конфлікти та захист критичної інфраструктури. Очевидно, українські чиновники від кібербезу, цього не зробили. Не те, щоб я сподівався, що це допомогло б їм краще протистояти російській агресії, ні. Але це дало б їм змогу скористатися кризою захисту для накопичення наступального потенціалу.

Бо на мій погляд, у 2017 році Україна була в ідеальній ситуації, щоб на урядовому рівні зробити три важливі речі:

  1. Створити доктрину кібербезпеки, яка включає захисні та наступальні заходи. В ситуації, коли ми були жертвою тотальної агресії, міжнародна спільнота сприйняла б це схвально, і скоріш за все навіть допомогла б матеріально. Але ми не скористалися цим приводом, тому у 2020-му нарешті проводимо перші більш-менш підготовлені кібернавчання (до речі, організовані приватними особами), а не застосовуємо сучасні засоби отримання стратегічної інформації (також відомі як кібершпіонаж) в процесах прийняття рішень першими особами.
  2. Здійснити «мобілізацію» професіоналів кібербезпеки навколо оборонних завдань держави та створити в професії культуру ефективної протидії стратегічним загрозам. Хвилю патріотичного піднесення в спільноті на той момент переоцінити важко: навіть найпрактичніші скептики погоджувалися, що робити це треба негайно, щоб наступного разу бути готовими не лише захищатися, а й завдавати удар у відповідь. Одним з приємних наслідків цього піднесення було створення першої редакції конференції NoNameCon, але увага державних діячів до неї була досить стриманою. Силовики, напевно, і досі вважають, що «науково-практичні» змагання з синхронного надування щік – це те, що допоможе їм підготувати кваліфіковані кадри.
  3. Вийти на прямий діалог з хактивістами та іншими грейхетами усіх мастей та напрямків. Ви уявляєте собі, яким нереальним дивом є Український кіберальянс? Ні, ви майже напевно собі цього не уявляєте. Зібрати хакерів в групу – майже неможливо. Група хакерів це нонсенс, це як групова фотосесія котів. Редтімери занадто незалежні, щоб щось довго робити разом. В кожного є власна думка і майже ні в кого немає навичок добре поводитися в пісочниці. (Саме тому кожен раз, коли я чую вираз «хакерська тусовка» я внутрішньо посміхаюся.) І ось на тлі цього броунівського руху виникає не просто група патріотично мотивованих хакерів, — виникає альянс з кількох таких груп. І що ви думаєте, уряд радіє і починає використовувати цю громадську ініціативу в інтересах держави? Зовсім ні. Натомість, за Порошенка державні органи обмежуються мовчазною угодою про «повне взаємне ігнорування», а за Зеленського — переходять до репресій. Адже професія «хакер» небезпечна зокрема тим, що внаслідок моральної застарілості та недосконалості законодавства, «створити проблеми» можна будь-кому з нас – головне знайти достатньо енергійного слідчого та достатньо близькозорого суддю.

Україна мала шанс і вона ним не скористалася. Естонія мала схожий шанс за значно менш драматичних (читати: сприятливих) обставин – і скористалася ним по повній. Але в України інший шлях. Які були причини цього гальмування – мені не відомо. Можливо, в уряді просто не знайшлося людини, яка на належному рівні володіє предметом. Можливо, така людина знайшлася, але ініціатива обламалася через тодішню звичку перших осіб всі наступальні ініціативи спершу узгоджувати з «західними партнерами». А дарма – просити вибачення значно простіше, ніж дозволу.

Три роки по неПєті ми все ще не маємо належного захисту критичної інфраструктури та кваліфікованого кібервійська в країні, яка, напевно, найбільше цього потребує. Як я вже неодноразово казав, якщо світ кібербезпеки уявити собі дитячим майданчиком, то десь на лавочці Китай та Ізраїль грають в шахи, поруч з ними США, Британія, Німеччина, та інші союзники грають у шашки, десь збоку Росія, Іран та Пн. Корея грають в «Чапаєва», а посередині цього дійства сидить Україна і тримаючи лобзика в правій руці намагається відпиляти ним ліву.

З Днем Конституції.

Роскомнадзор зняв бан з Телеграма

Роскомнадзор (російський держорган, який опікується захистом інтересів Кремля в інтернеті, зокрема впроваджує цензуру) відмовився від заборони Телеграма, так ніби вона колись могла б працювати. Серед аргументів найбільш важливі для нас два:

  1. Дурови ніби то запропонували уряду допомогу в боротьбі з тероризмом і екстремізмом. Мовляв, ми вже й так багато для цього робимо: банимо контент, закриваємо канали тощо. Готові до співпраці.
  2. Телега це загалом дуже зручний спосіб швидко поширити інформацію серед тих, кому вона цікава. (І при цьому не залучений жоден штучний інтелект чи ще якась новомодна техно магія. Я розсилаю пост, ви миттєво його отримуєте. Якщо вам не цікаво – ви ставите канал на м’ют або відписуєтесь.) І виявилося, що це дуже допомагає поширювати важливу інфу під час глобальних криз. Землетрусів там, повеней, епідемій. Тощо.

Щодо другого аргументу мені важко щось критикувати, бо тут все досить раціонально виглядає. Але я все ж таки спробую. Будь-яка криза відкриває вікно можливостей для непопулярних змін. Комусь вона дає привід звільнити 40% працівників – бо завжди хотілося, та не було солідної відмазки. Комусь вона дозволяє натиснути на політичних активістів та обмежити право громадян на зібрання та протести – дик карантин же ж. І практично всім вона дає моральне право попросити знижку – дивіться яка страшна криза, нумо поторгуємось. Роскомнадзору криза дала змогу відмовитись від нерозумної та невигідної для Кремля спроби обмежити використання Телеграму в РФ. І що найголовніше – публіка вважатиме це великою перемогою, а це вигідно всім: і Телеграму, і Кремлю, і Роскомнадзору, і Роскосмосу. Хоча ні, Роскосмосу вже ніщо не допоможе.

Щодо першого ж аргументу… тут все просто, мої дорогенькі. Українці (в нормальному розумінні цього слова) цілком натурально попадають в одну з названих категорій. Для офіційного Кремля, якщо ми не колаборанти, то ми або терористи, або екстремісти.

Zoom буде шифрувати дзвінки безкоштовних користувачів

Чесно кажучи, я не дуже вірив, що це станеться. Дивіться, два тижні тому Зум знову осоромився, коли їхній директор заявив, що компанія “не планує використовувати наскрізне шифрування” для захисту дзвінків в безкоштовних планах. Багато хто побачив в цьому суцільну зраду, мовляв, всі шифрують, а Зум такий – не буду. Насправді це справжнісінький піар фейл, тому що групові дзвінки не шифрує наскрізь рівно ніхто з конкурентів Zoom (будьмо реалістами: Wire Зуму не конкурент).

Чесно кажучи, я не дуже вірив, що це станеться. Дивіться, два тижні тому Зум знову осоромився, коли їхній директор заявив, що компанія “не планує використовувати наскрізне шифрування” для захисту дзвінків в безкоштовних планах. Багато хто побачив в цьому суцільну зраду, мовляв, всі шифрують, а Зум такий – не буду. Насправді це справжнісінький піар фейл, тому що групові дзвінки не шифрує наскрізь рівно ніхто з конкурентів Zoom (будьмо реалістами: Wire Зуму не конкурент).

На місці піарників Зуму я б, якщо чесно, забив і почекав, що ця буча вляжеться якось сама. Але бач як, здається, компанія вирішила використати ситуацію собі на користь, та переглянула своє попереднє рішення. І підкреслюю: в наслідок цього Зум не стане шифрувати дзвінки всіх користувачів end-to-end “як решта” конкурентів. Він стане першим з них, хто таке зробить.

Як писати резюме в кібербезпеці

Кожного разу після події типу Nonamecon чи OWASP Kyiv в мою поштову скриньку та месенджери надходить багато повідомлень приблизно такого змісту: чи є у вас вакансії? як потрапити до вас в компанію? ось моє резюме. А отримавши відповідь, найчастіше питають, як його покращити.

Так, на жаль, відкритого набору в Berezha Security не існує: ми не настільки великі, щоб тримати вакансії відкритими та оголошувати на них “конкурс”. Коли ми ростемо, про це перш за все дізнаються наші підписники в Facebook, LinkedIn та Twitter, ну і звісно ж наші друзі та партнери по суспільно-професійній діяльності. Але резюме я все одно читаю, і ось що я мушу вам про це сказати.

Написання “ефективного” резюме – це окрема навичка, яку треба прокачувати. Я не вірю в “кар’єрних коучів”, хоча не виключаю, що деякі з них вартують свого гонорару. Як на мене, то для спеціаліста з кібербезпеки такий засіб підготовки резюме це занадто. Вимоги до текстів в нашій галузі зараз невисокі, адже людей критично не вистачає. Але CV все одно мати треба, і скласти його вам допоможуть такі прості поради.

1. Пишіть про досягнення, а не про досвід. Дуже часто доводиться читати пачку булетів по кожному місцю роботи, зміст яких зводиться до того, що автор мав справу з тими чи іншими методиками та інструментами. Ця інформація може бути корисна, але її краще десь узагальнити в одному розділі документу, а в описі місць роботи вказати досягнення, які демонструють вашу траєкторію в конкретній компанії. Прийшов першим ІБшником, за два роки побудував нормальні операції та автоматизував процеси. Або розпочав молодшим пентестером, а за рік виріс в автономну одиницю та виступив лідом в надцяти проєктах. Щось таке, що характеризує вас як працівника, який прогресує та росте, а не просто отримує досвід.

2. Уникайте списків. Булети розстрілюють ваше резюме. Хочете навести приклади – робіть це через кому або крапку з комою. І ніколи не перетворюйте розділ в вичерпний опис. Адже мозок сприймає інформацію дуже своєрідно: з усіх перерахованих пунктів він залишить в пам’яті середнє враження. Тому краще навести два найкрутіші приклади, ніж вичерпний список. Наприклад, не варто перераховувати усі ваші професійні сертифікати, починаючи з CCNA та адміністратора Windows 2012 Server. Звісно ж, краще перерахувати найбільш релевантні та найсвіжіші здобутки.

3. Слідкуйте за граматикою. Багатьом відома така штука як Grammarly, але й MS Word з ввімкненими параметрами граматики відпрацьовує досить ефективно. Уникайте зайвих та складних термінів. Якщо слово можна спростити або видалити без суттєвої зміни змісту – це варто зробити.

4. Навчання без сертифікації нікому не цікаве. Якщо пройшли протягом трьох років 5 найкрутіших та найтоповіших навчальних програм, але не склали іспит – краще не вказуйте їх в резюме. Поки не складете іспит. Натрапляючи на назву курсу без відповідного сертифікату, читач почне розпитувати вас про причини такої незавершеної дії. І якими б вони не були, це не на вашу користь.

5. Рекомендації. Якщо маєте дозвіл вказувати імена, позиції та контакти в резюме – зробіть це. Але спробуйте обмежити список людьми, з якими працювали в останні рік-два. Адже інакше вони матимуть дуже загальне уявлення про вашу ситуацію та вагатимуться робити припущення. Найкраще в резюме виглядають рекомендації прямого керівника або внутрішнього чи зовнішнього “замовника”, який безпосередньо отримував користь від вашої роботи.

6. Волонтерський досвід та суспільна активність. Навіть Forrester та Gartner беруть до уваги ці критерії, коли оцінюють компанії, а про конкретних професіоналів годі й казати. Якщо ви здатні підняти п’яту точку та піти зробити щось для спільноти – це обов’язково треба вказувати в резюме. По-перше, це унікальний досвід, а по-друге, так ви засвідчуєте, що на вас можна покластися не лише тому, що вам за це платять гроші.

7. Медіа-активність. Якщо маєте блог, акаунт на GitHub, фейсбук-сторінку чи ще десь ведете професійну або колопрофесійну діяльність – не соромтеся вказувати це в резюме. Просвітницька діяльність, коміти в опенсорс проекти, виступи на конференціях тощо – все це може бути цікаво потенційному роботодавцю. Адже цілком можливо, що він шукає не просто працівника, а ще й представника компанії в медіа та на профільних заходах.

Якщо маєте питання на тему складання резюме – тепер для цього є спеціальний канал #career-advice в Discord-сервері Ukrainian Cybersecurity. Молодші колеги можуть ставити там питання, а досвіченіші – відповідати, в тому числі приватно, або навіть голосом.

Своєю чергою, я спробую допомогти покращити якомога більше ваших резюме. Досвід відбору більше сотні спеціалістів з безпеки треба якось використовувати. Але зважайте, що останній раз я писав CV років зо 10 тому, отже розцінюю цей процес виключно з точки зору роботодавця. Тому моє власне резюме не є зразковим прикладом.