Категорія: Кібербезпека

Есе, рекомендації та думки на професійні теми: кібербезпека, аппсек та пентести.

Дика природа кіберпростору

Транскрипт доповіді на IDC Security Roadshow 2017. Цей текст з скороченнями було вперше опубліковано на Укрінформ.

Зараз коли мова заходить за все, що з префіксом кібер-, ми зазвичай маємо на увазі геополітичний контекст, тобто протистояння держав в кібер-просторі. Тема кібербезпеки вкрай політизована, тому неможливо її підняти та уникнути дискусії про те, чи зламали росіяни вибори в США, як відбувається освоєння 80 млн виділених на захист Мінфіну та Держказначейства, та чи здатна Україна контратакувати в кібер-війні.

Це без сумніву дуже цікаві та важливі питання, обговорення яких, напевно, має десь відбуватися. Але давайте замислимось: чи має відношення атрибуція кібер-атак, тобто з’ясування джерела нападу, до інформаційної безпеки? Як точне знання того, хто на вас може напасти, змінить ваше ставлення до захисту? Яка взагалі вам різниця, хто вам загрожує?

Давайте згадаємо, які загрози наразі актуальні в кіберпросторі. Якщо коротко, то розклад по агентах загроз такий.

  • Опортуністи: зламую, тому що можу.
  • Кримінал: зламую за гроші.
  • “Білі” хакери, до яких я відношу й себе: зламую за гроші, але з дозволу цілі.
  • Державні спецслужби: зламую за вітчизну, якою б вона не була. Мотивація політична та геополітична: дії на користь національних інтересів або правлячого режиму.

Таксономія нападників стала, але змінюються її відношення з категоріями цілей, тобто хто атакує кого. Довший час вважалося, що державні спецслужби не здійснюють нападів на цивільні об’єкти. Але тепер, внаслідок активного просування Росією доктрини гібридної війни в кібер-просторі, це правило, здається, вже не діє.

Аналіз ризиків ніби підказує нам, що в залежності від типу нападника, потрібні різні об’єми зусиль на захист: різні бюджети, різні інструменти, різний калібр зброї. Це природно: чим крутіший ворог, тим більше зусиль вимагає захист від нього. Олії в вогонь підливають мас-медіа та вендори ІТ-індустрії, розкручуючи бренди Advanced Persistent Threat, кібер-зброя, кібер-війна та кібер-тероризм, які загрожують ледь не кожному дитсадочку.

Як наслідок, ми маємо низку стереотипів, зокрема про хакерську атаку, як “непоборну силу”, на яку можна списати, віртуально, будь-що: вимкнення світла, знищення даних та зупинку платежів бюджетникам. Хакерські групи, що фінансуються державою, постали у ролі Немезиди сучасного ІТ. І що дуже сумно, суспільне сприйняття цього явище вкрай викривлене. Люди, за виключенням, як каже мій кум, “вузького кола обмежених людей”, схильні вірити, що хакери всесильні і проти них усі зусилля марні. Вони просто накинуть свого капюшона, уважно подивляться в монітор, декілька хвилин завзято постукають пальцями по клавіатурі і вуаля — в банка викрадено 10 мільйонів доларів, на Оболоні вимкнена силова підстанція, а у США президентом стає ходячий коментар з Youtube. Питання про те, чи можна було уникнути цих наслідків, не постає: публіці потрібні драматичні сенсації, а не банальщина про недбалість, некомпетентність, або нецільове використання бюджету.

Але давайте залишимо на деякий час нашу кібер-драму та повернемось в реальність. Дозвольте мені розповісти вам історію.

Є у Росії (вибачте) такий вид туризму, абсолютно нелегальний, але дуже популярний серед багатіїв по усьому світі. Полювання на ведмедя з ножем.

Ви приїжджаєте до Сибіру, там вас вчать як поводитися з ножем, але це не те, що ви подумали. З вас не роблять Дені Трехо, який жбурляє кінжали навпомацки, вражаючи ціль на відстані 20 метрів, проти ведмедя така тактика не діє.

Для того, щоб здолати ведмедя, потрібно мати Стратегію і вона полягає ось в чому. Ведмідь, коли атакує людину, стає “на диби”. Якщо в цей момент йому під шию підкласти шпон (це така рогатина з міцного дерева) та інший кінець шпону вперти в землю, ведмідь стає вразливий — він не може повернутися на чотири лапи, — ось така анатомічна особливість. Отже, ніж потрібний не лише для того, щоб вбити ним ведмедя, але більше для того, щоб змайструвати ним шпон.

Після навчання вас випускають в тайгу буквально з одним ножем і заганяють вам ведмедя. Якщо ви були сумлінним учнем, ви дієте згідно стратегії та повертаєтесь додому з новим килимком. А якщо ні, тоді вся надія на снайпера.

Звісно, слава та багатство організаторів ведмежого полювання не дають спокою конкурентам. Тому існує атракціон для ще більш вибагливої публіки — полювання на амурського тигра.

Відбувається це трохи менш екзотично: вас привозять до Амурської області та дають вільно вибрати зброю з величезного арсеналу вогнепалу. Потім ви ходите довший час з групою підтримки по тайзі, але ніякого тигра не знаходите. Перед вами вибачаються, — ну так сталося, тигр сьогодні не в гуморі, — повертають вам якусь частину грошей і ви спокійно їдете додому.

Як можна здогадатися, це суцільний лохотрон. І справа не в тому, що поголів’я уссурійського тигра в кращі роки було до 500 осіб, при цьому певна частина мешкає у заповідниках та на території Китаю. А в тому, що а) ви ніколи не зустрінете тигра в його ареалі, якщо він сам цього не забажає, та б) якщо це станеться, ваші шанси на виживання майже нульові, незалежно від того, чим ви озброєні. Ви не почуєте та не побачите його до тієї миті, коли вже буде пізно. Тигр — це ідеальний хижак, абсолютна верхівка харчового ланцюга. Якщо хочете, природній аналог “Advanced Persistent Threat”. Очевидно, тигр вимагає іншого підходу, ніж ведмідь. Сучасне полювання на амурського тигра відбувається за допомогою петлі зі сталевого тросу. І звичайно ж, тигролови ніколи не діють наодинці.

(Я бачу дехто в залі починає дивитися на мене дещо з підозрою, тому я вас запевняю, під час підготовки цього виступу жодна дика тварина не постраждала.)

Повернемося до кібер-простору, де нас довший час лякають ведмедями так, ніби це тигри. Розбори гучних кібер-атак останніх років демонструють, що під час їх здійснення не використовується надприродна кібер-зброя нового покоління (інтернет-віпон). А використовується соціальна інженерія для доставки малварі, клонування веб-сайтів для збору логінів та паролів, паролі з минулих масових зламів, тривіальні атаки на вразливості веб-сайтів типу XSS чи SQLi. Коли читаєш розбір чергової атаки “російських супер-пупер-кібер-шпигунів” від ESET чи FireEye, то не бачиш нічого, що виходить за рамки modus operandi більшості “білих” хакерів. Так, можливо для підготовки цих атак з “секретного” бюджету РФ було витрачено мільйони, але беручи до уваги традиції руського міра по розпилу бюджетних коштів, подивіться що залишилось? Так, подекуди, проти дуже важливих цілей, використовується якийсь один 0day, але все інше — макроси в екселі, посилання на фальшиві оновлення флеша, та загальнодоступна малварь. І це — природно. Чому вони повинні діяти складніше, якщо ця тактика й так працює?

Я розумію, що це може справити враження на нормальних людей. Але спитайте будь-якого досвідченого пентестера, і ви почуєте те саме: це не так складно, як здається. Я залишу відкритим питання про те, кому це вигідно, але для мене очевидно, що не нам з вами.

Отже, яка ж вона, стратегія виживання в дикій кібер-природі? Давайте згадаємо, що допомогло нам впоратися з загрозами природи кінетичної. Так сталося, що людина слабша, менша та повільніша майже на все на цій планеті, що може її з’їсти. Тому заради виживання нашим предкам довелося навчитися використовувати інтелект та об’єднуватися.

За допомогою інтелекту ми розробили інструменти, якими підсилили свої кволі кінцівки, а також виробили прийоми боротьби з хижаками та іншими загрозами. І що найголовніше, ми створили метод передачі цих знань між поколіннями, також відомий під назвою науково-технічний прогрес.

Для вироблення ефективної стратегії протидії природним загрозам у нас були мільйони років еволюції. Для вироблення стратегії протидії кібер-загрозам — менше пів століття. Наразі ми щосили намагаємось вирішити проблему безпеки технічним шляхом, відокремлюючи користувача від його відповідальності за власні дії, та створюючи все нові й нові “фаєрволи нового покоління”, “анти-APT аплаянси”, та інші блимаючи скриньки. Цей підхід створив індустрію кібер-безпеки з оборотом більше ніж 100 мільярдів доларів на рік. Але чи є він ефективним?

Він суто реактивний за своєю природою: хакери знаходять методи атаки, вендори їх виявляють та виробляють протидію. Хакери майже одночасно винаходять нові методи, залишаючи вендорів позаду, і так далі до нескінченності. Ця гра в кошки-мишки продовжується вже багато років, та сумна новина в тому, що наразі індустрія кібер-безпеки виконує роль мишки.

Що ж треба зробити, щоб нарешті почати розв’язувати цю проблему? Чому б не застосувати перевірену стратегію виживання: мислення та об’єднАння?

Розпочнемо з мислення та спробуємо усвідомити, що ми маємо справу з ведмедями, а не з тиграми. Нас лякають APT, але що воно таке? Advanced значить, що він крутіший за нас. Persistent — що він вже в наших системах та мережах. Threat — що він може вдарити в будь-який момент. Якщо розкласти механіку атаки на складові, це виявляються речі, з якими ми можемо впоратися. Ми можемо підкачатися по матчасті та зрівнятися силою з нападниками (перекреслити Аdvanced). Ми можемо взяти нарешті сигнатури для Yara чи Snort зі звітів про атаки APT28/29, знайти та видалити їхні імпланти з наших систем (перекреслити Persistent). І ми можемо навчитися протистояти сучасним загрозам, після чого навчити цьому наших колег, близьких, друзів та усіх, хто довірив нам свій захист (перекреслити Тhreat). Це все цілком підйомні речі, тут немає жодної супер-сили. Наш супротивник не тигр, він ведмідь. А проти ведмедя працює ніж.

Тепер найголовніше: як навчитися самим та навчити інших протистояти кібер-загрозам?

Багатьом тут знайомі принципи побудови захищених систем: принцип багатошарового захисту, принцип найменших привілеїв, принцип повної медіації…. Та, можливо, найважливіший з цих принципів: починай з захисту найслабшої ланки. Це зрозуміло навіть інтуїтивно: ось бюджет, ось система, як найефективніше покращити її захист? Взяти найслабшу ділянку та підсилити її!

Більшість погодяться, що найслабша ланка безпеки будь-якої системи — це користувач. Тобто, цілком логічно було б взяти усю цю біомасу та спробувати навчити її виявляти спроби здійснення кібер-атак, та як уникнути ролі жертви. Обізнаність з кібер-загроз, це дуже проста річ, навіть банальна, саме тому їй не приділяють достатньо уваги. Яку форму зазвичай приймає програма обізнаності? Поширені два підходи: ось вам Політика Інформаційної Безпеки, прочитайте та розпишіться; або загнати всіх на тренінг, зазвичай дистанційний, з пачкою слайдів про базові правила безпеки, актуальні в 90-ті. Як це впливає на рівень обізнаності? Майже не впливає. Усвідомлення загроз неможливе без усвідомлення наслідків. Які наслідки демонструє Політика, навіть якщо в ній чітко прописано, що за порушення вас звільнять? “Та щаз!…” Спочатку продемонструйте суттєвий відсоток звільнень за порушення, а потім повернемось до цієї теми.

Що робити? Продемонструвати на прикладах, як відбувається кібер-атака, та до яких ПЕРСОНАЛЬНИХ наслідків вона може призвести. Вважаєте, що ваше листування в електронній пошті нікому не цікаве? А як щодо розсилки вірусу всім вашим контактам, які без зайвих вагань його відкриють? Вважаєте, що у вас нічого красти, тому для хакерів ви нецікава здобич? А як щодо того, що троянець на вашому комп’ютері буде атакувати сервери вашої компанії? Або краще сервери Адміністрації Президента? Чи, що більш ймовірно, поширювати через Даркнет дитячу порнографію? Ви праві, ваші листи нікому не цікаві. Довіра до вас з боку друзів, близьких, колег, роботодавця — ось що має цінність.

Відчуваєте, як персоналізація наслідків додає адреналіну? Так і треба: без цього немає навчання безпеці. Це не просто найкращий спосіб, це єдиний дієвий спосіб. Так влаштований наш мозок: ви всі знаєте, що є тимчасова пам’ять та довготривала. Тимчасова утримує в собі декілька останніх хвилин наших відчуттів. Зазвичай вся ця інформація безслідно зникає. Але трапляються ситуації, коли абсолютно увесь вміст тимчасової пам’яті фіксується назавжди. Це моменти екстремального стресу: люди, які пережили насилля, бомбардування, стихійне лихо, смерть близьких, з точністю до дрібниць пам’ятають, де вони були, що робили, та про що думали, коли це сталося. І навіть декілька років потому найменша дрібниця, яка нагадає їм про стресову ситуацію, може відновити з пам’яті усі обставини, викликавши серйозну тривогу або навіть панічну атаку. Це явище має назву синдрому пост-травматичного розладу. Це страшна річ, але в її основі — дуже дієвий захисний механізм: створюючи на нашому жорсткому диску повний дамп оперативної пам’яті у момент смертельної загрози, мозок забезпечує те, що ми зможемо заздалегідь впізнати ознаки такої загрози в майбутньому.

Я не закликаю створювати загрозу життю заради підвищення обізнаності з кібер-безпеки (хоча це напевно було б дуже дієво). Зазвичай, демонстрації під час тренінгу етапів потенційної (або реальної) атаки на організацію достатньо для створення необхідної атмосфери. Стрес стимулює пам’ять, ви самі можете в цьому переконатися. Наприклад, я майже впевнений, що всі присутні, старші за 30, мають досить яскраві спогади датовані 11 вересня 2001 року. Та переважна більшість можуть згадати, де були коли дізналися про початок анексії Криму.

Якщо вивчити предмет докладніше, то виявляється, що людина ніяка не слабка ланка, просто її тренуванню приділяють замало уваги. Мільйони років еволюції навчили нас, що треба робити, коли розпочинається землетрус або виверження вулкану, або ж як треба діяти, побачивши ведмедя, або, не дай боже, тигра. У комп’ютерних технологій та Інтернету не було цього часу на наше виховання, але це можна виправити, якщо нас добряче налякати демонстрацією загроз, атак, та їхніх наслідків.

Другий елемент стратегії захисту — це об’єднАння. Тільки разом можна перемогти стихію та встояти перед обличчям сучасних кібер-загроз. Об’єднання необхідне в таких формах.

Об’єднання для обміну інформацією. Приховування та низька швидкість поширення інформації про успішні атаки — це наразі головна перевага хижаків.

Деякі недалекоглядні жертви кібер-атак вважають, що приховуючи інформацію про інцидент вони зможуть уникнути негативних наслідків. Ця логіка хибна: по-перше, розголосу все одно не уникнути, рано чи пізно він відбудеться; по-друге, так вони позбавляють інших можливості навчитися на їхніх помилках, багаторазово примножуючи наслідки інциденту.

Одним з можливих способів розв’язання цієї проблеми є створення галузевих центрів реагування на інциденти кібер-безпеки (CERT). Цей підхід добре зарекомендував себе по всьому світі, зокрема в Сполучених Штатах, де CERTи створюються ледь не з кожного приводу. Там є CERT для державних агенцій, є CERT для фінансових установ, є CERT для енергетики, є CERT для ICS/SCADA тощо. Є навіть комерційні CERTи, один з найбільших — на базі Verzion Business, ви могли чути про їхній щорічний звіт Data Breach Investigation Report.

В Україні в якомусь вигляді існує державний CERT-UA, потужності якого очевидно не вистачає в умовах кібер-війни. Більше року пройшло з перших гучних атак на об’єкти енергетики, але про створення галузевого CERTу щось не чути. Ідея банківського CERTу висить у повітрі багато років, але далі розмов діло не йде. CERT це ефективний засіб протидії кібер-загрозам, тому я впевнений, що з часом до їх створення та використання дійдуть всі, хто хоче вижити в кібер-джунглях.

Іншим видом дієвого об’єднання проти кібер-загроз, і декому це буде неприємно почути, є використання хмарних обчислень. Звичайно, не всі постачальники забезпечують однаковий рівень захисту, але якщо ми говоримо про велику трійку провайдерів, — Amazon, Microsoft та Google, — то там хлопці в адекваті. В ефективності захисту в хмарі багато причин, наведу дві. По-перше, безпека даних апріорі є обов’язковою умовою переносу інфраструктури в хмару. І по-друге, надаючи сервіс, а отже й захист, багатьом клієнтам, хмарні провайдери знаходяться одночасно у дуже складній та у вкрай вигідній позиції. З одного боку, їм доводиться мати справу з дуже різноманітними загрозами, адже профілі ризиків в їхніх клієнтів різні. Та з іншого боку, ця ситуація змушує їх постійно розвиватися та освоювати новітні методи захисту, застосовуючи їх до усіх своїх клієнтів.

Ось вам модний приклад: зараз у всіх на вустах Machine Learning. Це не те щоб нова, але дуже актуальна дисципліна, яка ходить в парі з Big Data та дуже релевантна до кібер-безпеки. Стартапи, що успішно використовують Machine Learning, залучають астрономічні інвестиції і не дарма: їхні продукти дійсно виділяються та мають не аби який потенціал. Якщо хтось пропустив, то Machine Learning це така собі можливість створювати алгоритми без, власне, потреби їх програмування. Для цього ці алгоритми потрібно навчити на достатніх об’ємах так званих навчальних або історичних даних, і після цього вони почнуть прогнозувати майбутнє. Якість алгоритму напряму залежить від кількості навчальних даних, але в кого ж їх більше, ніж у хмарних провайдерів? Отже, об’єднуючись в одну інфраструктуру, ми дозволяємо її власникам більш адекватно, нерідко на упередження, реагувати на загрози кібер-безпеки.

Тому витягайте з підвалів ваші залізяки та об’єднуйтеся. Людей, які в наш час вважають, що тримати власний сервер безпечніше, ніж довірити цю справу професіоналам, залишилося небагато, та її звати Хіларі Клінтон. Не повторюйте чужих помилок, шукайте способи об’єднуватися та застосовуйте мислення.

Ось бачите, як і у випадку з полюванням на ведмедя, все досить просто. Добре, добре, з ведмедем було простіше. Але я плекаю надію, що ентузіазму та завзяття я у вас викликав більше, ніж апатії та параної.

Один з моїх клієнтів — це дуже респектабельна фірма, лідер своєї вертикалі в Україні. Як це нерідко буває, наш перший спільний проект, пентест, був для них суцільним культурним шоком. Зізнаюся чесно, під час написання звіту та його презентації мені доводилося дуже акуратно підбирати слова, щоб нікого випадково не образити.

Але ось що відбулося протягом минулого року: ми поставили під сумнів безнадійність користувачів перед обличчям кібер-загроз та застосували наші знання з області соціальної інженерії, щоб навчити їй протидіяти. І це спрацювало: один раз з цим клієнтом, потім з наступним, потім ще раз і так далі. Досі трапляється, що виявивши ознаки можливого нападу, хтось з їх ІТ-департаменту чи відділу безпеки дзвонить нам, буває що серед ночі. Але це не виклик на допомогу, просто вони хочуть переконатися, що то не ми раптом вирішили провести повторну перевірку результатів пентесту. В їхньому голосі немає паніки: це голос спокійної, впевненої у собі людини, яка перетворила “слабку ланку” на ефективний засіб захисту, а подекуди й на зброю відплати. Це голос людини, у якої є ніж. Дякую.

Чому не можна блокувати ВКонтакті та Однокласники

Ніколи не думав, що до цього дійде. Одразу попереджаю, що на мою особисту думку, обидва зазначені вебсайти не заслуговують права на існування з цілої низки причин, але мова далі не про це. Мова про блокування доступу до ресурсів в мережі інтернет.

В такого блокування є два дуже важливі аспекти, які я спробую пояснити. Перше, це технологічна складова, та друге, це суспільна складова проблеми.

Технологічна складова досить проста: це неймовірно дорого та вимагає централізованого підходу. Україна генерує неймовірні об’єми мережевого трафіку, тепер уявіть собі, що увесь він буде проходити через декілька майданчиків, у власності високорівневих провайдерів чи під контролем держави, на яких буде відбуватися застосування політики фільтрації. Це дуже важко зробити інженерно правильно і майже неможливо зробити ефективно. На цей час це більш-менш вдалося реалізувати в Китаї, бюджети астрономічні. Всі інші реалізації або неповноцінні, або граничать з повною ізоляцією від всесвітньої мережі. Наведу приклад: понад 5 років YouTube був “заблокований” у Туреччині. Не занурюючи вас у подробиці такого рішення та деталі його реалізації, повідомлю, що увесь цей час YouTube залишався п’ятим за кількістю відвідувань вебсайтом в цій країні.

Суспільна складова трохи складніша та для багатьох неочевидна. Блокування окремих вебсайтів в інтернеті — це обмеження свободи слова, перший крок до імплементації тоталітарних інструментів контролю доступу до інформації. Так, заради безпеки завжди треба жертвувати якоюсь частиною свободи, але де ви проведете межу? Яку частину вашої свободи ви віддасте державі, яка неминуче буде контролювати такий інструмент? І як ви переконаєтеся в тому, що цей інструмент не буде використовуватися не за призначенням? А повірте мені — він буде використовуватися саме так: немає дурних сидіти та дивитися, як ідеальний інструмент виявлення зрадників, колабораціоністів та п’ятої колони простоює без діла. Точніше, зайнятий якимись дурницями по типу блокування російських соціальних мереж. Ми щось дуже рано забули про закони 16 січня, чи ви справді вважаєте, що рівень тоталітаризму в державі залежить від того, хто наразі за кермом?

Останні пару днів я обговорюю цю тему з прихильниками ідеї блокування окремих або усіх російських інтернет-ресурсів та зустрічаю дуже різні аргументи. Спробую пояснити хибність деяких із них.

2. Мобільні оператори з легкістю дозволяють безплатний доступ до соціальних мереж та інших сервісів, тобто виявляють та не тарифікують трафік на ці мережі. Тому організувати блокування ресурсів легко.

  • Невірна аналогія. Виключення з білінгу певних напрямків не має відношення до контролю доступу: просто не враховується певна категорія спожитих послуг для усіх абонентів, або усіх абонентів, які замовили таку послугу. Інженерно це трохи інша річ: ви не повинні контролювати, ви просто ігноруєте певну більш-менш сталу кількість пунктів призначення. У випадку контролю доступу ця кількість буде постійно змінюватися, звичайно ж в бік зростання. Кращою аналогією для такого проєкту є імплементація перенесення номеру на іншого мобільного оператора, яку нам за чинним законодавством повинні забезпечити.

2. Заборона телевізійних каналів теж несе загрозу свободі слова, і нічого — заборонили ж Дождь та інші.

  • Невірна аналогія. По-перше, соціальні мережі це платформа, а ТВ — це цілком контрольований продукт, який не є носієм свободи слова, він є носієм редакційної політики певного телеканалу. Обмеження доступу до ТВ взагалі — ось краща аналогія блокуванню доступу до певних соцмереж.

3. Блокування ресурсів, які контролюються ворогом — це адекватна міра протидії в умовах війни.

  • Якщо ворог змусить нас вдатися до таких дій, він переможе. Якщо терорист змусив вас боятися, він переміг. Скочування України в тоталітарний режим, або будь-яке наближення до цього, — в інтересах ворога. Я не прихильник конспірології, але мушу поділитися підозрою, що цілком можливо нас до цього підштовхують просто зараз.

На завершення хочу зауважити, що майже нічого з написаного вище не є моєю особистою думкою. За включенням, звичайно, мого ставлення до відвертого лайнокоду типу ВК та ОК. Просто я давно цікавлюся темою приватності та намагаюся бути в курсі дискусій на цю тему в експертному середовищі. До того ж я знаю достатньо способів обходу контролю доступу до інтернету, щоб особисто мене ця загроза аж ніяким боком не торкалася. А ще я знаю, як це — контролювати чийсь доступ до інтернету, і повірте мені, ви не хочете довіряти це нікому у світі.

В Україні найвільніший доступ до всесвітньої мережі, ніж в будь-якій іншій країні, в якій я бував. Цьому варто радіти і це варто захищати.

Бережіться.

Про розв’язання морально-етичних дилем

tl;dr: Особисто я твердо впевнений, що будь-які професійні контакти з російською індустрією інформаційної/кібербезпека повинні бути виключені до завершення окупації території України, включаючи Донецьку та Луганську області та АР Крим. І це не моя особиста думка чи політична позиція, це результат розв’язання морально-етичної дилеми за допомогою простого та доступного інструменту, про який нижче.

Або чому я не відвідую російські конференції з кібербезпеки

Останнім часом у нас в “узком кругу ограниченых людей” регулярно виникають дебати, правильно це чи не правильно в умовах конфлікту співпрацювати з російською індустрією інформаційної безпеки, споживати послуги або товари російського походження, продавати послуги російським компаніям (включаючи їхні українські активи) та, що найчастіше, відвідувати російські конференції з інформаційної безпеки. Нормальні люди можуть порівняти цю вічну драму з більш широко обговорюваними гастролями українських “зірок” на території країни-агресора та отримування ними від неї музичних премій.

На вищому рівні все зводиться до того, чи повинні професійні інтереси враховувати політичну ситуацію. В цьому місці думки розходяться: одні вважають, що професіонали “внє політікі”, тому заради світлого майбутнього, розвитку технологій та бла-бла-бла треба стулити пельку та продовжувати співпрацю. Інші ж впевнені, що відчуження від Росії має бути повним та абсолютним: жодних контактів, включаючи професійні, а хто проти — той зрадник та колабораціоніст. Звичайно, я тут трошки навожу різкість на крайніх випадках, є напевно щось посередині, але я думаю загальну картину ви вловили.

Якщо ви мене знаєте давно та близько, то ви в курсі, що я зарозумілий та пихатий мораліст, якого краще не питати про такі речі. Але, що дивно, навіть добре знайомі люди питають, і то регулярно. Тому, як то кажуть дописувачі Фейсбуку, “я просто залишу це тут”.

tl;dr: Особисто я твердо впевнений, що будь-які професійні контакти з російською індустрією інформаційної/кібербезпека повинні бути виключені до завершення окупації території України, включаючи Донецьку та Луганську області та АР Крим. І це не моя особиста думка чи політична позиція, це результат розв’язання морально-етичної дилеми за допомогою простого та доступного інструменту, про який нижче.

Але спочатку трохи про себе. До середини 90-х, тобто 15 років життя, я прожив на території РФ, спілкувався виключно російською та десь до 20 років вважав себе носієм “східнослов’янської” культури, вірив в братство народів тощо. З 2005 по 2007 я працював у російській компанії, причому не просто в її українському відділенні, а з відрядженнями, часто довготривалими, у найвіддаленіші куточки СНД. Далі, я двічі виступав на досить масштабній конференції з кібербезпеки PHDays, за деякими оцінками найбільшій в регіоні. Я це все розказую, щоб не залишалося сумнівів: я знаю, про що йде мова, і у 2014-му мені довелося багато з чим розпрощатися.

Тепер про інструмент. Є таке поняття, система цінностей. Для багатьох воно суто віртуальне, але якщо розібратися, то все до смішного просто. Є а) цінності та б) їхні пріоритети.

За прикладом далеко ходити не треба: західні, більш відомі як європейські, цінності. Вони складають основу культури т.з. “міжнародної співдружності”. Якщо спрощувати, то це Європа, Північна Америка та країни, які мають з ними тісні культурні зв’язки. Цінності та порядок їхнього пріоритету у цивілізованої західної людини виглядають так:

  1. Людина
  2. Суспільство
  3. Держава
  4. Професія

Або, якщо розгорнути:

  1. Цінність людського життя, права людини, недоторканість приватної власності тощо.
  2. Інтереси суспільної групи: сім’ї, родини, громади, колективу, політичної партії тощо.
  3. Інтереси держави, громадський контроль, фіскальна дисципліна тощо.
  4. Інтереси роботодавця, професійної спільноти тощо.

Як бачите, цінності розташовані в певному порядку, який показує пріоритети між ними. Ці пріоритети важливі в ситуації, яка називається моральною дилемою: коли дві та більше цінності конфліктують одна з одною. У таких випадках, пріоритети використовуються для розв’язання дилем: цінність з вищим пріоритетом (в нормальних умовах) має бути реалізована, а цінність з нижчим пріоритетом — пригнічена. Така поведінка називається моральною або принциповою, а прямо протилежна — аморальною або дефектною.

Якщо я вас вже заплутав, то ось спрощений варіант, який набагато практичніший.

  1. Спершу, будь хорошою людиною.
  2. Потім, будь хорошим членом сім’ї та суспільства.
  3. Потім, будь хорошим громадянином.
  4. І нарешті, будь хорошим працівником та професіоналом.

Розберемо приклад. Або два.

Скажімо, ви — рядовий армії, який “вміє працювати з комп’ютером”. Сидите в аналітичному центрі, слідкуєте “щоб скрізь порядок був”. Аж раптом натрапляєте на засекречений, але не дуже захищений відеозапис розстрілу репортерської групи з борту армійського гелікоптера. Ваші дії? Керуючись цінностями, які у вас закладені з вихованням та формуванням особистості, в тому числі тією ж армією, ви чітко усвідомлюєте, що з одного боку — треба бути хорошим громадянином: розголос цього інциденту вочевидь не на користь вашій державі. Але з іншого боку — треба бути хорошою людиною: розстріл мирних та неозброєних людей, навіть через тактичну помилку, має бути публічно прийнятий та розслідуваний, а винуватці — покарані. Деякий час хороший громадянин та хороша людина всередині вас сперечаються, але людина перемагає. І ви виносите відео з дата-центру, передаєте його в Вікілікс, вас заарештовують, обвинувачують та відправляють за ґрати на термін “до 35 років з правом на помилування”. Аж до поки інша людина не згадує про те, що вона теж ніби хороша, і треба вас помилувати поки президентський термін не скінчився.

Або не так радикально: припустимо, що ви — аудитор, який робить перевірку фінансової звітності. Сидите у клієнта в офісі, в якомусь тихому куточку, звіряєте звіти з фактами. І тут оба-на: бачите ознаки величезної фінансової махінації, про яку, схоже, ніхто крім вас та її організаторів в топменеджменті клієнта не здогадується. І для вас очевидно, що постраждали тисячі міноритарних акціонерів, до того ж держава не отримала мільйони податків в бюджет. Ваші дії? Високоморальний носій західних цінностей, звичайно ж, поставить інтереси суспільства та держави вище за інтереси роботодавця. Зв’яжеться з журналістами та контрольними органами та повідомить про зловживання. Скоріш за все, буде звільнений за порушення угоди про нерозголошення, але зможе (звичайно, у цивілізованій західній країні) успішно оскаржити звільнення в суді, отримати матеріальну компенсацію та розпочати власний бізнес або іншу кар’єру.

Отже, усвідомлюєте ви це чи ні, цінності у вас є. Вони є у всіх, тому що суспільство їх в нас вкладає з народження і до смерті. Цінності — це основа культури, яка об’єднує людей у нації та цивілізації. Та відповідно до відмінностей в системах цінностей ми розділяємо цивілізації: на європейську, азійську, африканську, латиноамериканську тощо. В одній з них може домінувати цінність людського життя, в іншій — інтереси держави, ще в одній — родинні інтереси тощо.

У східній культурі, наприклад, інтереси суспільства та людини зазвичай знаходяться нижче інтересів держави та роботодавця. Не тому, що це результат репресій та деспотизму, ні. Просто це інша культура, інша система цінностей, яка так само як європейська виникла як еволюційна відповідь на виклики часу та в решті решт виявилася оптимальною для сталого розвитку цивілізації. Так, деякі “культурні особливості” східної цивілізації європейцям можуть здаватися аморальним або абсурдними: культури різні, цінності різні. І те, чого ми можемо вимагати від носіїв спільної з нами культури, ми зазвичай не можемо й очкувати від аутсайдерів. Є теорія, що в результаті розвитку цивілізації невідмінно приходять до ідеалів гуманізму, але це вже інша тема.

Отже, повертаючись до питання правильності чи неправильності співпраці з Росією в професійній та діловій площинах. Я розумію, що це може віддавати популізмом в дусі “не за це стояв Майдан”, але на мою думку Україна чітко та виразно дала зрозуміти, якої системи цінностей вона дотримується та до якої цивілізації тяжіє. У такій культурі інтереси держави та суспільства стоять вище за професійні та кар’єрні цілі. І якщо розпрощатися з російським роботодавцем це не завжди швидко та легко, а деколи й суперечить інтересам сім’ї, то принаймні закрити для себе питання участі в професійному житті держави-агресора дозволити собі може кожен. А якщо ні, то постає ціла низка питань, відповіді на які майже ніколи не бувають на користь співпраці з такими елементами.

Звичайно, розв’язання морально-етичних дилем — це не єдине застосування системі цінностей. Якщо тема вас зацікавила, можете проаналізувати як культурні пріоритети використовуються в переговорах (фрейм моральної переваги) та насадженні бізнесової корпоративної культури (розвиток суспільних груп в трудових колективах).

Бережіться.

Неминучість та невідворотність інциденту

Інцидент неминучий. Є лише дві речі, на які ви можете вплинути. Це те, наскільки легко вас буде зламати, та чи будете ви та ваші колеги знати, що робити коли це станеться.

Сьогодні чогось згадалося, як я кілька років тому майже одночасно спілкувався з двома джентльменами на тему неминучості настання інциденту, тобто факту компрометації інформаційних систем. Контексти були різні: в одному випадку ми обговорювали принципи побудови систем та процесів виявлення та реагування на інциденти (Security Operations Center, SOC), в іншому –  доцільність проведення тесту на проникнення по соціальному каналу. Але реакція була майже однакова та досить типова: як це інцидент настане? що значить неминуче? та у нас тут і моніторинг, і реагування, і гайки скрізь закручені.

Пройшов час, і обидва ці джентльмени, точніше інфраструктури, безпеку яких вони забезпечували, стали цілями досить типових атак з використанням все тієї ж соціальної інженерії. Інциденти були досить потужні, але залишмо хоч трохи інтриги. Скажу лише, що це вочевидь вплинуло напрямок їхньої подальшої кар’єри.

До чого це я? Ні, я не про те, що коли ваші аргументи не діють, варто трохи почекати. Хоча інколи це непогана стратегія. Я просто хочу вам повторити те, що казав їм.

Вас зламають. Якщо у вас є що красти та якщо немає. Якщо у вас є Політика безпеки та якщо немає. Якщо у вас є сертифікат PCI DSS або ISO27000 та якщо є обидва. Якщо у вас три антивіруси або нуль. Якщо ви не проводите кібернавчання для персоналу та якщо ви їх проводите. Якщо ви робите пентести в повному обсязі та якщо ви навіть не скануєте периметр nmap-ом зі скриптами. Вас зламають: хтось, колись, з відомих або невідомих вам причин це зробить, тому що це можна зробити. Я знаю як — і повірте, це не вища математика (її я теж знаю). А ще, звичайно ж, я на власній шкурі знаю як це, коли вас зламують.

Тому кажу вам безплатно те, що їм сказав за гроші: інцидент неминучий. Є лише дві речі, на які ви можете вплинути. Це те, наскільки легко вас буде зламати, та чи будете ви та ваші колеги знати, що робити коли це станеться.

Бережіться.

Месенджери та URL-посилання: що відбувається, коли ви відсилаєте лінк?

Що відбувається, коли ви відсилаєте посилання?

Нещодавно в інтернеті знову набули популярності історії про шкідливі програми, які поширюються у SVG файлах, відправлених у Facebook. Ви можете дізнатися більше про цей вектор атаки та методи зловмисників в цьому пості, але мою увагу привернуло інше.

Як ви, напевно, знаєте, SVG це векторний графічний формат, який, по суті, є файлом XML, що містить інструкції з малювання різних зображень та, що декому може здатися дивним, може містити програмний код JavaScript. Ось приклад SVG, відкривши який в більшості сучасних браузерів, ви побачите синє коло та запустите зовнішній сценарій, на який вказує відредаговане посилання:

SVG XML file

На щастя, це спрацює лише тоді, коли в адресному рядку браузера явно вказати URL SVG-файлу, або ж якщо файл буде відкрито з диска; <IMG SRC = більш не працює з очевидних причин.

Отже, коли тема поширення шкідливих програм у SVG піднялася знову, цього разу в контексті недостатньої фільтрації вмісту в Facebook Messenger, я подумав про наслідки для приватності, які несе цей (не дуже ефективний) захід безпеки. Я гадав, що було б гарною ідеєю використати JavaScript-код в зображенні SVG, щоб перевірити, як сучасні месенджери обробляють цей формат файлів.

Після низки повідомлень, відправлених моїй дружині та колегам, я сподіваюся, що мені не заборонять використовувати месенджери, які я використав під час тестування. І, звичайно ж, у мене є чим з вами поділитися.

Гарна новина полягає в тому, що Signal, Viber, WhatsApp, та Facebook Messenger і Telegram у своїх «секретних» режимах, не брешуть, стверджуючи, що шифрують повідомлення з кінця в кінець. Хоча, в разі WhatsApp і Telegram, вставлені в повідомлення URL викликали деяку активність з боку клієнта, крім цього ніхто більше не “з’явився” в журналах вебсервера.

Погана новина в тому, що на цьому хороші новини закінчуються.

Розпочнемо з очевидного: Slack здійснює активний перегляд вмісту за посиланням для того, щоб показати його в графічному інтерфейсі. Це круто, ми всі знаємо що так і потрібно, в цьому пості я просто використаю це як приклад того, як ця діяльність виглядає. Отже, коли ви відправляєте посилання, вебсервер, що його містить, реєструє в журналі ось такий запит:

54.89.92.4 — — [21/Nov/2016:16:02:31 +0000] “GET /avakl.js HTTP/1.1” 404 152 “-” “Slackbot-LinkExpanding 1.0 (+https://api.slack.com/robots)"

Де 54.89.92.4 це, звичайно, один з серверів Slack в Amazon AWS:

$ whois 54.89.92.4 | grep Organization Organization: Amazon Technologies Inc. (AT-88-Z)

Погляньмо, як інші месенджери поводяться з посиланнями.

Skype відправляє 6 запитів з 2 хостів, які напряму належать Microsoft. Багата компанія може собі це дозволити.

23.101.61.176 — — [21/Nov/2016:15:38:44 +0000] “GET /avakl.svg HTTP/1.1” 200 328 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64) SkypeUriPreview Preview/0.5” 23.101.61.176 — — [21/Nov/2016:15:38:44 +0000] “GET /avakl.svg HTTP/1.1” 200 328 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64) SkypeUriPreview Preview/0.5” 23.101.61.176 — — [21/Nov/2016:15:38:44 +0000] “GET /avakl.svg HTTP/1.1” 200 328 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64) SkypeUriPreview Preview/0.5” 23.101.61.176 — — [21/Nov/2016:15:38:44 +0000] “GET /avakl.svg HTTP/1.1” 200 328 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64) SkypeUriPreview Preview/0.5” 104.45.18.178 — — [21/Nov/2016:15:38:44 +0000] “GET /avakl.svg HTTP/1.1” 200 328 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64) SkypeUriPreview Preview/0.5” 104.45.18.178 — — [21/Nov/2016:15:38:44 +0000] “GET /avakl.svg HTTP/1.1” 200 328 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64) SkypeUriPreview Preview/0.5”

Telegram стягує картинку лише один раз, з його власної мережі.

149.154.167.163 — — [21/Nov/2016:15:35:18 +0000] “GET /avakl.svg HTTP/1.1” 200 328 “-” “TelegramBot (like TwitterBot)” $ whois 149.154.167.163 | grep -E ‘^descr|^person|^address’ descr: Telegram Messenger Network person: Nikolai Durov address: P.O. Box 146, Road Town, Tortola, British Virgin Islands descr: Telegram Messenger Amsterdam Network

URL, відправлений через Facebook Messenger на мобільному пристрої, викликає чотири запити.

31.13.102.98 — — [21/Nov/2016:19:44:51 +0000] “GET /avakl.svg HTTP/1.1” 206 328 “-” “facebookexternalhit/1.1 (+https://www.facebook.com/externalhit_uatext.php)" 173.252.120.119 — — [21/Nov/2016:19:44:52 +0000] “GET /avakl.svg HTTP/1.1” 200 328 “-” “facebookexternalhit/1.1 (+https://www.facebook.com/externalhit_uatext.php)" 173.252.123.130 — — [21/Nov/2016:19:44:53 +0000] “GET /avakl.svg HTTP/1.1” 200 328 “-” “facebookexternalhit/1.1 (+https://www.facebook.com/externalhit_uatext.php)" 173.252.123.129 — — [21/Nov/2016:19:45:12 +0000] “GET /avakl.svg HTTP/1.1” 200 328 “-” “facebookexternalhit/1.1 (+https://www.facebook.com/externalhit_uatext.php)"

Facebook люб’язно пояснює свою поведінку за наданою URL.

Facebook web server logs explanation

Однак, коли посилання надсилається через вебсайт Facebook, подивіться, що відбувається:

31.13.113.194 — — [21/Nov/2016:15:11:58 +0000] “GET /avakl.svg HTTP/1.1” 206 328 “-” “facebookexternalhit/1.1” 66.220.145.243 — — [21/Nov/2016:15:12:01 +0000] “GET /avakl.svg HTTP/1.1” 200 328 “https://l.facebook.com/lsr.php?u=https%3A%2F%2F*******%2Favakl.svg&ext=1479741420&hash=AcnhtJ5F7tKqGD-kIHGSbCF0-TflNMaiR9WNCxHznoOqJw" “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0” 66.220.145.243 — — [21/Nov/2016:15:12:01 +0000] “GET /kl.js HTTP/1.1” 200 283 “https://*******/avakl.svg" “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0” 66.220.145.243 — — [21/Nov/2016:15:12:01 +0000] “GET /favicon.ico HTTP/1.1” 404 152 “https://*******/avakl.svg" “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0” 66.220.145.243 — — [21/Nov/2016:15:12:03 +0000] “GET /keylogger? HTTP/1.1” 404 152 “https://*******/avakl.svg" “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0” 66.220.145.243 — — [21/Nov/2016:15:12:04 +0000] “GET /keylogger? HTTP/1.1” 404 152 “https://*******/avakl.svg" “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0” 66.220.145.243 — — [21/Nov/2016:15:12:05 +0000] “GET /keylogger? HTTP/1.1” 404 152 “https://*******/avakl.svg" “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0” 66.220.145.243 — — [21/Nov/2016:15:12:06 +0000] “GET /keylogger? HTTP/1.1” 404 152 “https://*******/avakl.svg" “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0” 66.220.145.243 — — [21/Nov/2016:15:12:07 +0000] “GET /keylogger? HTTP/1.1” 404 152 “https://*******/avakl.svg" “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0” 66.220.145.243 — — [21/Nov/2016:15:12:08 +0000] “GET /keylogger? HTTP/1.1” 404 152 “https://*******/avakl.svg" “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0”

Пояснюю. Спершу якийсь хост Facebook підтягує SVG-файл, а після цього відбувається низка запитів, які генеруються “вбудованим” у SVG скриптом, а це наочно демонструє, що сценарій насправді виконуються в якомусь “браузері”. Цілком можливо, що це і є елемент фільтрації вмісту, тому що це відбувається не кожного разу та виглядає як начебто поведінка “живого” користувача. Все одно, це якось дивно 🙂

Як не дивно, Google Hangouts не показав жодних ознак інтересу до мого посилання.

Це залишає багато запитань відкритими, проте, очевидно одне: політики конфіденційності нам не брешуть і ми насправді не є власниками даних, які ми пересилаємо за допомогою месенджерів, якщо наше спілкування не зашифроване з кінця в кінець.

Під час цих тестів я використовував дивовижний JavaScript-кейлоггер by John Leitch.

Залишайтеся в безпеці.