Пара слов про вчерашнее падение государственных и некоторых других сайтов.

Вы, наверное, уже видели сообщения из анонимных источников о том, что BGP-анонс со специально сформированным payload якобы уронил маршрутизаторы Juniper в Ростелекоме (и, наверное, даже посмеялись над этой новостью, ибо Juniper с версией 16.7 существовать не может по определению).

Мы тут смеяться не стали, а пошли выяснять, какие есть возможности.

Вот он — интересующий нас security bulletin (вот CVE): Ошибка при обработке входящих пакетов BGP в демоне Juniper Networks RPD (routing protocols process) позволяет злоумышленнику аварийно завершить работу RPD, тем самым вызывая отказ в обслуживании.

Среди версий JunOS существует версия 16.1R7, которая действительно уязвима к этому CVE. End of support этой версии наступал в январе 2020, но для R7 был продлён до января 2021. То есть, если всё описанное правда, то к инженерам Ростелекома будут большие вопросы о том, что это оборудование делает в продакшене. Но не гигантские, потому что всего три месяца неактуальная версия, чего вы хотите.

Остаётся вопрос: была ли это та самая кибератака, обещанная анонимным американским источником. И если да, то о ней знают не только Путин и окружение, как обещалось, но и вся страна.

PS: Важное дополнение. PoC к этой уязвимости публично не доступен.

После событий прошлой недели, когда не только падали российские сайты, но и ярким пламенем полыхал крупный европейский датацентр, мы собрали очень простую памятку по написанию аварийного плана для тех, у кого ещё нет ничего подобного, но кто созрел на то, что ему очень надо.

Пусть она окажется вам полезной.

PS: А если план у вас уже есть, но теперь вы созрели на то, чтобы проводить регулярные аварийные тренировки, мы помогаем организовывать подобные мероприятия. Напишите нам на [email protected].

Результатами опроса, который показывает. что наши читатели — хорошие ребята, не ругаются матом и переводят старушек через дорогу (а иногда и с английского!) — мы довольны.

Теперь к чему всё это.

Гонения на “ботов для пробива” попали даже в федеральные новости. И у людей от темы далёких, могло сложиться впечатление, что речь идёт о каком-то новом явлении: появились торговцы данными (молодые и дерзкие) и вот наконец за них взялись!

Всё, конечно, не так. Истории с утечкой данных в открытый доступ много лет и проблемой купить базу в современной России не было никогда. Вопрос в объеме данных и возможности их использовать.

Лет десять назад искусство специалиста по “экономической безопасности” заключалось в умении собрать хорошую коллекцию баз, позволяющих “пробивать” потенциальных клиентов, контрагентов и т.п. Авторам доводилось видеть такие коллекции, там были не только телефонные базы (которые в какой-то момент перестали утекать), но и банковские и полицейские базы. Как вам база “записные книжки проходящих по уголовным делам”? Очень ценный, между прочим, источник информации. Работа с вот этим вот всем -- поиск, обновление, добавление в СУБД Кронос — требовала определенных умений. Квалификации. И, конечно, денег.

Потом отдельные сотрудники таких подразделений и их более молодые последователи сделали на уже собранных коллекциях бизнес. Но это был, если можно так выразиться, B2B сегмент -- пойти на форум, найти там нужного человека, заплатить ему через гаранта и так на каждый пробив. Не самое простое занятие.

И вот, кое-кто наконец пошел дальше и снизил порог вхождения практически до нуля.

Теперь каждый школьник - диванный “осинтер” и классическое “я вычислю тебя по айпи” сменилось на “я тебя сдеаноню” с немедленным форвардом сообщения оппонента в “глаз бога”.

Будет ли эффект от действий Роскомнадзора? Скорее всего — нет. Времена профессионалов прошли, если фарш бесконтрольного доступа к этим большим данным уже пролез через решетку мясорубки, запихать его обратно не получится. Сами базы данных никуда не делись и продолжают лежать в открытом доступе в интернете, а широкие массы распробовали, каким заманчивым может быть доступ к ним.

Поэтому жить надо исходя из следующих принципов:

— Информация про вас, которая уже попала в интернет, останется здесь навсегда.
— Любые личные данные, попавшие в интернет, обогащают чьи-то базы данных.
— Если вы передали какую-то информацию о себе любому субъекту, ведущему свои базы (магазину со скидками, автосервису и т.п.), сразу рассчитывайте, что рано или поздно эта информация станет общественным достоянием.

Не то, чтобы мы тут раскрывали какие-то великие тайны. Люди, считающие, что надо необходимо профессионально прятаться, давно всё это знают и принимают свои меры. Или нет?

Об этом в следующем посте.

Итак, продолжаем тему "пробива по IP".

Казалось бы, чем больше пользователь знает тёмную сторону интернета, тем большим параноиком он должен быть и тем больше мер должен принимать, чтобы не светиться в базах, которые давно стали общедоступными. Берём набор тактик по сохранению своей анонимности и смотрим, как часто их применяют.

Секлаб вот тут пересказывает очень смешное продолжение истории с пентагоновской картинкой, в клуб немногочисленных ценителей которой попали и мы. Вероятно потому, что в отличие от чиновников Пентагона, придумывающих мемы в приказном порядке (и объясняющих шутку на 29 листах), мы немного разбираемся в культурном коде и знаем, что тут изображено на самом деле.

Традиция под названием trick-or-treating (у нас переводят, как "сладость или гадость") предполагает, что "мультяшный медведь, одетый на Хэллоуин в советскую форму" (цитата из ответа Пентагона) ходит по домам с этой корзинкой и выпрашивает что нибудь вкусное. А ему в корзинку подсовывают ComRAT, Drovorub, и прочие "названия вредоносных программ".

И теперь, когда содержимое корзинки рассыпалось, на лице медведя мы видим неподдельное изумление и даже разочарование в тех людях, чьи дома он обходил.

В общем, как по этому поводу говаривал классик: "кто как обзывается, тот сам так называется".

Контейнеровоз, как вы знаете. вытащили, миру срочно нужен новый повод для мемов. Вот он.

Вчера какие-то люди, используя, предположительно, неизвестную уязвимость в git.php.net, попытались забэкдорить исходный код PHP.

Смысл бэкдора таков: если вы используете взломанную версию PHP и к вам в HTTP-запросе приходит заголовок User_Agentt, а содержимое этого заголовка содержит слово "zerodium", то содержащийся в заголовке код исполняется на сервере.

Анекдот в том, что попавший в PHP код явно был каким-то примером. Zerodium — это, вообще, компания, занимающаяся скупкой на рынке эксплойтов и перепродающая их правительствам. Наличие в коде строки:

REMOVETHIS: sold to zerodium, mid. 2017

право доставляет и заставляет гадать, что это вообще было. Может это толстый троллинг, а може Zerodium перепродал уязвимость в git.php.net вместе с файлом readme в котором был вот этот пример использования, а покупатель ничтоже сумняшеся вот прямо так и сделал.

Сам Zerodium заявляет, что это всё тролли, они тут не причём.

Сейчас будет наш самый полезный пост.

По случаю отмечаемого сегодня "международного дня резервного копирования" (не знаем, кто это придумал, но идея хороша), давайте вы прямо сейчас:

-- Проверите продолжают ли выполняться ваши автоматические бэкапы.
-- Проверите, содержат ли они те данные, которые вы ожидаете.
-- Попробуете развернуть бэкап недельной давности и убедитесь, что он нормально разворачивается.

Если у вас нет автоматических бэкапов, отличный повод сесть вечером с пивом и заняться.

Когда-то, года полтора назад, когда авторы этого канала глубокой ночью придумывали финалочку первой демо-игры (вы же помните, что мы делаем платформу для игр-тренингов и сами игры?), между ними случился такой разговор:

- Так, отлично, мы придумали, что финально хакеры получат доступ к тимвьюеру...
- В игре он будет "Дримвьювер"!
-... и сломают что-то на производстве...
- Угу. На каком?
- Ядерная электростанция?
- Чувак, твои шутки имеют свойство сбываться. Про ядерную энергетику не шутим.
- Про химическую тоже.
- Про автозавод и конвейер мы уже писали, не будем повторяться.
- Парализовать работу в офисе - не масштабно, надо масштабнее.
- Вообще, конечно, прикольно, чтобы это было что-то из ряда вон, смешно и неожиданно.
- Хм... Станция аэрации?
- Да!
- Тогда пишу, "волны мутной воды обрушились на исторический центр города"?
- Да! Отлично!
- И хорошо, что в реальности так не бывает! Ну кто ж такое делать-то будет?

Имейте ввиду. Шутки авторов этого канала имеют свойство сбываться, какими бы глупыми они ни были. Из исходника, правда, непонятно: обрушались ли на исторический центр города потоки мутной воды и вообще, удалось ли обиженному инженеру нанести существенный вред. Так или иначе, ему светит 25 лет.

Традиционные противники на этом нашем киберфронте — Израиль и Иран — похоже, опять в деле. На этот раз у Ирана что-то сломалось на электроподстанции завода по обогащению урана в Натанзе (того же самого, который десять лет назад атаковали вирусом Stuxnet).

Подробностей пока нет, но сам Иран обвинил в поломке Израиль, а израильское радио КАН нашло какие-то анонимные источники в Мосаде, которые признались в том, что это израильская кибератака.

Впрочем, принимать эти сообщения за чистую монету пока рано: Иран обвиняет Израиль во всём, включая, разбитые лампочки в подъездах, а ссылаться на "анонимные источники в Мосаде" — ну такое. Обращает на себя внимание, что через несколько часов после аварии объект посетил пресс-секретарь иранского агентства по атомной энергии Бехруз Камальванди, который во время этого визита "упал с высоты около 7 метров", получил переломы и был госпитализирован. Так что, похоже, с техникой безопасности там и без Израиля не очень.

Дополнение: наши, да и не только наши, источники в Иране утверждают, что на электроподстанции завода в Натанзе (а электроподстанция, как и весь завод, расположена в фортсооружении c глубиной залегания порядка 50 метров) взорвался аккумулятор ИБП. После этого перестала работать некая "система распределения питания", завод обесточило и обогащающие уран центрифуги остановились.

Пеняют на то, что взрыв произошел в результате неких хитрых манипуляций с батареей, выполненных дистанционно.

Дискуссий на тему "можно ли взорвать ИБП, получив доступ к его интерфейсу" мы за последний год прочли немало. Если версия кибератаки подтвердится, то наконец появится экспериментально подтверждённый ответ на этот вопрос.

PS: Но опять же: аккумуляторы иногда взрываются безо всяких кибератак. Особенно полученные в обход санкций.

Кстати, если спросить гугл о причинах взрывов аккумуляторов, он выдаст вот такой список. Последний пункт — самый важный. Опасайтесь его.

По техническим причинам ассортимент сырного отдела уменьшен. Приносим извинения за доставленные неудобства

Ransomware через уязвимость в Exchange пробрался в сеть логистической компании Bakker, и крупнейшая голландская сеть супермаркетов Albert Heijn осталась... без сыра. То есть вообще — уже десять дней там пустые полки. Хотя, вроде, наконец проблема решилась, и сыр скоро снова поступит.

К сегодняшнему введению санкций против наших коллег из Positive Technologies АНБ, агентство кибербезопасности и ФБР выпустили совместный боевой листок в котором, вроде бы, должны были однозначно указать на связь группы APT-29 с СВР РФ и одновременно — с известными кибератаками.

В реальности-же внутри написано дословно следующее: APT-29 продолжает использовать публично доступные уязвимости для атаки на США и их союзников, вот список. (приводится список из публичных CVE с 2018 по 2020 годы). К каждой уязвимости в списке приводится ссылка на прошлые отчёты означенных ведомств, в которых есть хоть какая-то конкретика. Так или иначе, ничего нового в сегодняшнем сообщении нет, сделано оно лишь для поддержания информационного шума.

Последние пару дней очередной раз поднялся громкий шум вокруг индексации поисковыми системами корпоративных аккаунтов в Trello.

Случилось это не первый раз и не последний, так, что хотим напомнить о том, что любые положенные в интернет и не закрытые логином и паролем данные рано или поздно попадут в поисковики. Секретная ссылка, пусть и с файлом robots.txt — не самая лучшая схема сокрытия информации. Да и логин с паролем не всегда спасают.

Сто лет советской/российской шифровальной службе.

Кто о чём, а мы будем об уязвимостях и человеческом факторе.

Дэвид Кан в своей книге Codebreakers (если не читали, то рекомендуем) рассыпался в похвалах в адрес советских коллег, сообщая, что грамотно сконструированные шифраторы навечно сохраняют в секрете от врагов России ее наиболее важную дипломатическую, агентурную и военную переписку.

Впрочем, эти слова Кан писал до того, как ЦРУ сняло секретность с одного из самых больших советских провалов на криптографическом фронте: c 1942 по 1948 год, вопреки заветам Котельникова-Шеннона, НКВД использовало не совсем одноразовые шифроблокноты: время от времени случались повторы.

Американский археолог (!) Ричард Халлок, которого АНБ привлекло в проект по вскрытию советских шифров, получивший название "Венона", доказал наличие таких повторов, после чего, некоторые шифротелеграмы удалось вскрыть. Причём за отсутствием подходящих вычислительных мощностей вся работа проводилась вручную и продолжалась аж до 1980 года, когда все поддающиеся вскрытию телеграммы уже перестали представлять какой-то интерес. кроме археологического.

Жервами Веноны предположительно стали и Клаус Фукс и супруги Розенберг и Ким Филби. В 1948 году в НКВД обнаружили ошибку и повторное использование случайных последовательностей прекратилось. Похвала Дэвида Кана снова стала соответствовать реальности.

На иллюстрации — зал шифрующей аппаратуры на "Объекте № 16". Фотография из акта о приёмке объекта в эксплуатацию, 1944 год.

Знаете, что это на фотографии?

Это въезд на один из объектов компании Colonial Pipeline Co, о которой в нашей индустрии последние три дня только и разговоров.

И смотрите что удивительно: забор, колючая проволока, камеры, датчики, будка с ЧОПом. И даже реклама методики "Остановись - Подумай - Сделай - Проверь" (ради этой рекламы мы и выбрали конкретный объект), которая явно насаждается в компании для усиления безопасности (той, которая safety). Ещё рядом с насосными станциями компании можно разглядеть дизельные генераторы и даже ветроуказатели (типа "полосатый тряпичный конус").

То есть существует какой-то риск-менеджер, который составляет модель угроз и насаждает в компании стратегии снижения риска: вот забор и камеры от террористов и охотников за металлом/нефтью, вот методики от ошибочных действий персонала, вот дизели на случай отключения электропитания.

А потом внезапно приходит ransomware — и компания перестает работать вообще. И ладно бы какая-то небольшая, так ведь это крупнейший трубопроводный оператор! И несмотря на меры, принимаемые властями и нефтетрейдерами — дефицит бензина, очереди на заправках и прочее, и прочее, что невероятно дорого обойдётся экономике.

Получается, что этот, как сказали бы у нас, субъект критической инфраструктуры, оказался, во-первых, весьма лёгкой для Ransomware целью. Причём, не просто сама компания, но её технологический сегмент.

Во-вторых, оказывается, что у крупнейшего трубопроводного оператора страны нет никакого аварийного плана, позволяющего в подобной ситуации сравнительно быстро ввести инфраструктуру в строй. Вот и полнится интернет фотографиями, как жители США закупают впрок десятки канистр с бензином.

Если бы такое произошло от отключения электропитания, от проникновения на территорию заблудившегося гризли или от похищения оборудования, в первую очередь в виноватые записали бы саму компанию. Потому что не огородили, не охраняли, не позаботились о генераторах. А тут все обращают внимание пока только хакеров, хотя, честно сказать, стоит задать компании много интересных вопросов.

Работая над списком тем для наших обучающих игр (ну, там, "фишинг", "безопасные пароли", "размещение важной информации в открытых источниках", "социальная инженерия", вот это всё), собрали такой список из трёх первичных навыков, которые нужны человеку для выживания в современном киберпанк-мире:

— Знание, что от вас хотят киберпреступники (спойлер: ничего, они хотят деньги вашей компании);
— Разумное недоверие;
— Внимательность.

Остальное — важные, но детали.
Вы вот согласны?