С интересом читаю прогнозы о возможных кибер-диверсиях со стороны эрефии. Особенно доставляют комеентарии по поводу того, что Интернет выключится и правительство не сможет обратиться к народу. Видимо, не совсем учитывают национальные особенности. Обычно я чувствую неуверенность и страх не тогда, когда правительство молчит, а когда открывает рот. Как появится какая-нибудь успокаивающая новость ("данные не потекли" или "регулирование цен на социально значимые товары"), так уж точно жди беды. А Интернет в Европе выглядит примерно так. И две тысячи точек на карте - Украина. Именно потому, что государство не совало туда свои грязные лапы. И именно потому любая попытка державы что-нибудь в сети порагулировать закончится бедой. Так что не нужно лезть к внешним каналам, и про "центры управления сетями" нужно забыть раз и на всегда.
👍170👎2
Прелесть техно-хипстеров не только в том, что они понятия не имеют как работает их любимая технология (дай им белый светодиод, так они его проглотят, закусят батарейками и будут всем жопу показывать), но в том, что они не подозревают, что в той области, которую они желают осчастливить живительной силой прогресса, уже закопаны предыдущие поколения модников.
В то время, как в российской империи проводили лотерею, чтобы выкупить из рабства украинского поэта, в Англии появилась Народная Хартия, и первое поколение победившего стимпанка. Нельзя, просто нельзя игнорировать телеграф Семюэля Морзе и достижения передовой викторианской науки, чтобы не сделать машину для голосования. д̶и̶д̶ж̶и̶т̶а̶л̶и̶з̶а̶ц̶и̶я̶ ̶и̶ ̶б̶л̶о̶к̶ч̶е̶й̶н̶ Шестеренки и электричество! Помогло? Не очень.
Уровень мошенничества и насилия связанного с передачей власти (точнее с нежеланием её просто так отдавать) удалось понизить с помощью анонимных бюллетеней (закрепленных во французской конституции 1795 года), а на прозрачность выборов куда сильнее повлияли урны для бюллетеней сделанные из стекла (патент 1858 года), а не электробудки для электоральных самоубийств. Прозрачная урна нужна, чтобы в ней нельзя было спрятать бюллетени за двойным дном (Сан-Франциско, 1856).
Что в очередной раз должно напомнить о том, что традиционное голосование можно и нужно улучшать с помощью технологий - машины для пересчета бюллетеней, публикация отчетов избирательных комиссий, аудиты снижения риска, но не хипстерская техносодомия
В то время, как в российской империи проводили лотерею, чтобы выкупить из рабства украинского поэта, в Англии появилась Народная Хартия, и первое поколение победившего стимпанка. Нельзя, просто нельзя игнорировать телеграф Семюэля Морзе и достижения передовой викторианской науки, чтобы не сделать машину для голосования. д̶и̶д̶ж̶и̶т̶а̶л̶и̶з̶а̶ц̶и̶я̶ ̶и̶ ̶б̶л̶о̶к̶ч̶е̶й̶н̶ Шестеренки и электричество! Помогло? Не очень.
Уровень мошенничества и насилия связанного с передачей власти (точнее с нежеланием её просто так отдавать) удалось понизить с помощью анонимных бюллетеней (закрепленных во французской конституции 1795 года), а на прозрачность выборов куда сильнее повлияли урны для бюллетеней сделанные из стекла (патент 1858 года), а не электробудки для электоральных самоубийств. Прозрачная урна нужна, чтобы в ней нельзя было спрятать бюллетени за двойным дном (Сан-Франциско, 1856).
Что в очередной раз должно напомнить о том, что традиционное голосование можно и нужно улучшать с помощью технологий - машины для пересчета бюллетеней, публикация отчетов избирательных комиссий, аудиты снижения риска, но не хипстерская техносодомия
👍221
Атаки 14 января, война с россией, Дия, выборы-онлайн, "Грета", особенности национальной кибер-бюрократии в интервью журналу Тиждень https://tyzhden.ua/Society/254203
👍95
Vlad Styran любезно перевел пост grugq “Ukraine my heart, cyber just for show?” https://gru.gq/2022/01/16/ukraine-my-heart-cyber-just-for-show/ (ссылка на перевод в комментариях) об атаке "14 января". Мне кажется, что мой коллега-хакер стал жертвой намеренной дезинформации со стороны нашего правительства. Так как он лишен радостей общения с титанами цифровой мысли, то он может просто не понимать особенностей национальных кибер-нарративов.
Я убежден в том, что это была одна и та же атака, а не несколько независимых событий, а так же в том, что это была демонстрация силы со стороны наших не самых лучших соседей. У state-APT есть характерные черты. Хакеры на госслужбе это всем нам хорошо знакомая гебня. Из положительных качеств гебни можно отметить настойчивость, если не сказать назойливость. Они особенно не прячутся и будут планомерно долбить изо дня в день, из года в год одними и теми же инструментами, периодически их обновляя.
В голове у трудяги-чекиста (есть и другие типажи) не так уж много мыслей. В основном о звездочках, о том как бы что-нибудь спиздить в свободное от основной работы время, как не подъебаться на службе, и конечно про "домик в Жаворонках", по возможности с блядями и лебедями. Обычные вобщем-то люди, и квартирный вопрос их портит вне очень длинной очереди на жилье. Они имеют весьма отдаленное представление о хактивизме, технологиях, сцене, компьютерном андеграунде и образе мысли противника. Потому из года в год наступают на одни и те же грабли.
Давайте вспомним еще раз, что произошло? Как минимум с конца осени россияне (назовем их так заради толерантности) сидели в IT-системах нашего правительства. Никто их не видел и не слышал. Как именно они туда попали нам должны рассказать СБУ и Госспецсвязь, но думаю, что это случится не скоро. Пока есть несколько вполне убедительных версий - уязвимость в October CMS (версия Китсофта), сам Китсофт, как вектор атаки на цепь поставок и возможно Log4j. Старый добрый фишинг, брут и драйвбай тоже исключить нельзя.
Они получили все что хотели, и тут, как говорили советские дикторы, международная обстановка резко обострилась - обмены ультиматумами, провал переговоров между РФ и США и все-такое. Возникла необходимость еще раз обозначить позиции. Как это у них заведено, вместо тонких намеков (signaling) они предпочитают действовать. США они сделали глазки - в тот же день были арестованы хакеры из REvil и Infraud (что, кстати, в долговременной перспективе разрушит негласные договоренности между черными хакерами и чекистами), а украине вставили двухметровый титановый стержень в афедрон (если вы понимаете о чем я).
Месседж адресован не населению, кого оно волнует то население, а непосредственно властям Украины. Это напоминание и про кибервойска и про прочие всплески сознания незамутненного рефлексией. Тем не менее, не смотря на то, что вокруг стоит стойкий дух лаптей и капустных щей с тушонкой из пайка, забордюрье всегда повторяет, что "нас там нет" и при этом как бы подмигивает окосевшими от непрерывного вранья глазами. В случае с кибер-диверсиями (а это именно оно) выбор из фальшивых флагов невелик - другая страна, внутренняя угроза, черные хакеры и хактивисты.
И они попробовали все варианты одновременно! Задней ногой провели дефейсы плохо маскируясь под польских националистов-активистов (не в первый раз, кстати, "Anonymous" "Poland" уже был). Потом попытались "торговать данными" на Raid Forums, видимо $100 за регистрацию на Экплоите жалко и XSS (где их немедленно забанили, там сидит старая школа и про неглассные договоренности помнит хорошо) и наконец-то попытались втравить украинские спец. службы в непонятное ("минеры", рансомварь-WhisperGate вот это вот все).
Я убежден в том, что это была одна и та же атака, а не несколько независимых событий, а так же в том, что это была демонстрация силы со стороны наших не самых лучших соседей. У state-APT есть характерные черты. Хакеры на госслужбе это всем нам хорошо знакомая гебня. Из положительных качеств гебни можно отметить настойчивость, если не сказать назойливость. Они особенно не прячутся и будут планомерно долбить изо дня в день, из года в год одними и теми же инструментами, периодически их обновляя.
В голове у трудяги-чекиста (есть и другие типажи) не так уж много мыслей. В основном о звездочках, о том как бы что-нибудь спиздить в свободное от основной работы время, как не подъебаться на службе, и конечно про "домик в Жаворонках", по возможности с блядями и лебедями. Обычные вобщем-то люди, и квартирный вопрос их портит вне очень длинной очереди на жилье. Они имеют весьма отдаленное представление о хактивизме, технологиях, сцене, компьютерном андеграунде и образе мысли противника. Потому из года в год наступают на одни и те же грабли.
Давайте вспомним еще раз, что произошло? Как минимум с конца осени россияне (назовем их так заради толерантности) сидели в IT-системах нашего правительства. Никто их не видел и не слышал. Как именно они туда попали нам должны рассказать СБУ и Госспецсвязь, но думаю, что это случится не скоро. Пока есть несколько вполне убедительных версий - уязвимость в October CMS (версия Китсофта), сам Китсофт, как вектор атаки на цепь поставок и возможно Log4j. Старый добрый фишинг, брут и драйвбай тоже исключить нельзя.
Они получили все что хотели, и тут, как говорили советские дикторы, международная обстановка резко обострилась - обмены ультиматумами, провал переговоров между РФ и США и все-такое. Возникла необходимость еще раз обозначить позиции. Как это у них заведено, вместо тонких намеков (signaling) они предпочитают действовать. США они сделали глазки - в тот же день были арестованы хакеры из REvil и Infraud (что, кстати, в долговременной перспективе разрушит негласные договоренности между черными хакерами и чекистами), а украине вставили двухметровый титановый стержень в афедрон (если вы понимаете о чем я).
Месседж адресован не населению, кого оно волнует то население, а непосредственно властям Украины. Это напоминание и про кибервойска и про прочие всплески сознания незамутненного рефлексией. Тем не менее, не смотря на то, что вокруг стоит стойкий дух лаптей и капустных щей с тушонкой из пайка, забордюрье всегда повторяет, что "нас там нет" и при этом как бы подмигивает окосевшими от непрерывного вранья глазами. В случае с кибер-диверсиями (а это именно оно) выбор из фальшивых флагов невелик - другая страна, внутренняя угроза, черные хакеры и хактивисты.
И они попробовали все варианты одновременно! Задней ногой провели дефейсы плохо маскируясь под польских националистов-активистов (не в первый раз, кстати, "Anonymous" "Poland" уже был). Потом попытались "торговать данными" на Raid Forums, видимо $100 за регистрацию на Экплоите жалко и XSS (где их немедленно забанили, там сидит старая школа и про неглассные договоренности помнит хорошо) и наконец-то попытались втравить украинские спец. службы в непонятное ("минеры", рансомварь-WhisperGate вот это вот все).
👍83
Основная "стрататегия" Украины в области кибер - deterrence by denial, или как удачно перевел этот принцип Рома Бурко - мороз нас не раз спасал. Так как наши, прости господи, власти не понимают сигналы ни на одном языке, включая и родной, то понадобились дефейсы и слив данных. Для этого забордюрье создало двух вымышленных персон "Vaticano" (да, это был настоящий аккаунт! Продолжение польской темы, где к Иоанну Павлу II особое отношение. Вспомните, как ЦРУ распространяло слухи о том, что КГБ готовит на него покушение. Думаю, что в СВР еще помнят) и "Free Civilian".
И именно та детская непосредственность, с которой орудуют эти персонажи подтверждает кибер-диверсию со стороны России. Западные исследователи просто не могут понять, как можно сидеть по уши в говне и притворяться, что вокруг фиалки. Культурный барьер. Не смотря на то, что россияне наследили, нагадили и нафакапили причинен колоссальный ущерб. Как минимум Дие, МТСБУ, е-Драйверу, Минрегиону и е-Здоровью - полный пиздец, Минэкологии и ДСНС в списке.
Я переведу на совсем простой язык, для особо непонятливых трансформаторов - в случае полномасштабной войны вас отлавливать будут по тем "данным 2019 года, которые потекли не из Дии". Точнее не вас, а тех, кто вас дураков защищает все эти годы. Так понятно? Снимайтесь с ручника.
P.S. Пост и так уже длинный, так что дискуссию обмен пруфами и наблюдениями предлагаю продолжить в комментариях.
И именно та детская непосредственность, с которой орудуют эти персонажи подтверждает кибер-диверсию со стороны России. Западные исследователи просто не могут понять, как можно сидеть по уши в говне и притворяться, что вокруг фиалки. Культурный барьер. Не смотря на то, что россияне наследили, нагадили и нафакапили причинен колоссальный ущерб. Как минимум Дие, МТСБУ, е-Драйверу, Минрегиону и е-Здоровью - полный пиздец, Минэкологии и ДСНС в списке.
Я переведу на совсем простой язык, для особо непонятливых трансформаторов - в случае полномасштабной войны вас отлавливать будут по тем "данным 2019 года, которые потекли не из Дии". Точнее не вас, а тех, кто вас дураков защищает все эти годы. Так понятно? Снимайтесь с ручника.
P.S. Пост и так уже длинный, так что дискуссию обмен пруфами и наблюдениями предлагаю продолжить в комментариях.
👍172
Можно долго смотреть не только на то, как люди тушат пожары, но и на то, как подгорает у министерства цифровой трансформации (Очень рекомендую сообщество Скриншоты Выскуба на каждый день) И сейчас речь пойдет не про Дию, а про отношение чиновников к гражданам. Смотрите, вы можете проснуться одним прекрасным утром и обнаружить, что телефон не работает и вы гордый обладатель кредитов на несколько тысяч долларов под грабительские проценты. Вы обращаетесь в банк, в полицию, к ростовщикам, к регулятору и все прекрасно понимают, что кредит мошеннический, но не собираются что-либо делать. Если бы у всей этой публики были бы хоть малейшие сомнения в том, что кредит оформлен мошенниками они бы вас обвинили в мошенничестве и завели дело, не отходя от кассы. Все все прекрасно понимают и им наплевать. Дия ни при чем. Документы оформлены правильно. Тупо нема повноважень. Идите нахер. Вот введем симки по паспорту и мошенничество прекратится (подсказка, на самом деле нет). И именно это печально независимо от наличия или отсутствия Дии. Ваши проблемы и продолжающиеся преступления для чиновника - "фейк". И спрашивается зачем мы им платим в таком случае?
👍206
Киберполиция продолжает массовую незаконную слежку за пользователями в Украине, действия полиции не только незаконны, но и несут угрозу национальной безопасности, собранная информация сливается на Россию
Два года назад, в январе 2020, в издание “Полтавщина” пришло письмо из департамента Киберполиции с просьбой установить на сайте скрипт для слежки за пользователями https://cutt.ly/DOiN0mE У каждого пользовательского устройства есть небольшие отличия - разные версии браузеров, разное разрешение экрана, шрифты - все эти мелкие детали позволяют создать своеобразный “отпечаток”. Есть библиотеки, такие как FingerprintJS, которые позволяют собирать “отпечатки. Если человек оставил анонимный комментарий через VPN о том, что полиция вместо того чтобы ловить мошенников, проводит “контрольные закупки” на OnlyFans, а затем тот же человек заходит без VPN на сайт интернет-магазина, то база отпечатков позволяет деанонимизировать пользователя с большей или меньшей степенью уверенности. Подобная слежка без ордера без сомнения незаконна. Когда полицию буквально схватили за руку, они заяили, что таким способом проверяют “уровень доверия общества” к полиции https://cutt.ly/8OiN5Eb С моей точки зрения скандал, связанный с незаконной слежкой в Интернете опустил уровень доверия в область отрицательных величин.
Из этой истории Киберполиция извлекла определенный урок - не попадаться. В декабре 2021 года на сайте платежной системы iPay.ua появился еще один скрипт https://archive.is/liSCV в домене cdnjs.cloubflare[.]com. С первого взгляда даже не очень заметна небольшая опечатка clouBflare вместо clouDflare. Сам скрипт выглядит полной бредятиной, но есть очень простой способ выяснить, что он делает. Открываем “панель разработчика” и просим вывести все переменные из текущего окна: for (var b in window) if (window.hasOwnProperty(b)) console.log(b + " = " + window[b]); userAgent (название и версия браузера), language, deviceMemory, итд - скрипт собирает всю информацию, шифрует ее с помощью библиотеки JSEncrypt и отправляет на сервер. Перед нами очередной трекер. Есть даже ссылка на исходный код "'new Fingerprint()' is deprecated, see https://github.com/Valve/fingerprintjs2#upgrade-guide-from-182-to-200") Более того, охотники на камхор забыли в коде ключ шифрования: ----- BEGIN RSA PRIVATE KEY ----- MIIEowIBAAKC… Даже самые примитивные формы жизни вроде авторов программ-вымогателей знают, что так делать нельзя.
Теперь постараемся выяснить куда еще мамкины пинкертоны распихали свои закладки? Нам поможет SEO-сервис для отслеживания ссылок https://webtechsurvey.com/website/cdnjs.cloubflare.com/backlinks/websites Список скорее всего не полный, но даже в нем около сорока сайтов: Запорожский Национальный Университет, Харьковский университет строительства и архитектуры, Винницкий национальный технический и целый ряд интернет-магазинов.Теперь самое интересное, куда уходят данные? Может показаться, что IP 78.108.181[.]141 расположен в Чехии, а счет провайдера обслуживает банк на Кипре и регистрация на Сейшелах, но это иллюзия, потому что домен славного хостера yeshost[.]RU. Там же хостился сайт Кинокрад. И у меня к киберполиции остался только один вопрос: Are you ohueli tam sovsem? Я хочу знать кому именно пришла в бестолковку идея устроить массовую слежку без ордера и слить всю информацию вместе с ключами на сервер российской компании? (Не говоря уже о том, что эта инфраструктура может быть использована для кражи карточек из iPay и supply-chain атаки на сайты, установившие скрипт)
Два года назад, в январе 2020, в издание “Полтавщина” пришло письмо из департамента Киберполиции с просьбой установить на сайте скрипт для слежки за пользователями https://cutt.ly/DOiN0mE У каждого пользовательского устройства есть небольшие отличия - разные версии браузеров, разное разрешение экрана, шрифты - все эти мелкие детали позволяют создать своеобразный “отпечаток”. Есть библиотеки, такие как FingerprintJS, которые позволяют собирать “отпечатки. Если человек оставил анонимный комментарий через VPN о том, что полиция вместо того чтобы ловить мошенников, проводит “контрольные закупки” на OnlyFans, а затем тот же человек заходит без VPN на сайт интернет-магазина, то база отпечатков позволяет деанонимизировать пользователя с большей или меньшей степенью уверенности. Подобная слежка без ордера без сомнения незаконна. Когда полицию буквально схватили за руку, они заяили, что таким способом проверяют “уровень доверия общества” к полиции https://cutt.ly/8OiN5Eb С моей точки зрения скандал, связанный с незаконной слежкой в Интернете опустил уровень доверия в область отрицательных величин.
Из этой истории Киберполиция извлекла определенный урок - не попадаться. В декабре 2021 года на сайте платежной системы iPay.ua появился еще один скрипт https://archive.is/liSCV в домене cdnjs.cloubflare[.]com. С первого взгляда даже не очень заметна небольшая опечатка clouBflare вместо clouDflare. Сам скрипт выглядит полной бредятиной, но есть очень простой способ выяснить, что он делает. Открываем “панель разработчика” и просим вывести все переменные из текущего окна: for (var b in window) if (window.hasOwnProperty(b)) console.log(b + " = " + window[b]); userAgent (название и версия браузера), language, deviceMemory, итд - скрипт собирает всю информацию, шифрует ее с помощью библиотеки JSEncrypt и отправляет на сервер. Перед нами очередной трекер. Есть даже ссылка на исходный код "'new Fingerprint()' is deprecated, see https://github.com/Valve/fingerprintjs2#upgrade-guide-from-182-to-200") Более того, охотники на камхор забыли в коде ключ шифрования: ----- BEGIN RSA PRIVATE KEY ----- MIIEowIBAAKC… Даже самые примитивные формы жизни вроде авторов программ-вымогателей знают, что так делать нельзя.
Теперь постараемся выяснить куда еще мамкины пинкертоны распихали свои закладки? Нам поможет SEO-сервис для отслеживания ссылок https://webtechsurvey.com/website/cdnjs.cloubflare.com/backlinks/websites Список скорее всего не полный, но даже в нем около сорока сайтов: Запорожский Национальный Университет, Харьковский университет строительства и архитектуры, Винницкий национальный технический и целый ряд интернет-магазинов.Теперь самое интересное, куда уходят данные? Может показаться, что IP 78.108.181[.]141 расположен в Чехии, а счет провайдера обслуживает банк на Кипре и регистрация на Сейшелах, но это иллюзия, потому что домен славного хостера yeshost[.]RU. Там же хостился сайт Кинокрад. И у меня к киберполиции остался только один вопрос: Are you ohueli tam sovsem? Я хочу знать кому именно пришла в бестолковку идея устроить массовую слежку без ордера и слить всю информацию вместе с ключами на сервер российской компании? (Не говоря уже о том, что эта инфраструктура может быть использована для кражи карточек из iPay и supply-chain атаки на сайты, установившие скрипт)
👍156
Теперь поговорим о том, как сохранить приватность в Интернете. Для начала стоит отказаться от DNS-серверов провайдера и заменить их на 1.1.1.1, 8.8.8.8 или 9.9.9.9. Или любой другой сервис, например OpenDNS, как можно дальше от Украины. Желательно при этом включить в настройках браузера DoH/DoT. Затем следует отключить WebRTC (в Файрфоксе в настройках, для Хрома понадобится плагин). Отключаем плагины Java, Flash и Silverlight, если они у вас стоят. Теперь идем на https://browserleaks.com/ и смотрим, что еще видно. Чтобы скрыть IP-адрес вам понадобится VPN. Можно купить подписку или поставить собственный сервер. А можете попробовать наш бесплатный #GardaVPN. Для этого вам понадобится OpenVPN-клиент и файл с настройками https://cyber.org.ua/vpn.html В качестве бонуса - обход интернет-цензуры. Одна из целей Ukrainian Cyber Alliance - противодействие цензуре и слежке в Интернете. Запустить в нас чеканной монетой можно тут https://send.monobank.ua/7X8yYxK9MF #ACAB
👍245
Осенью власти Германии попытались запустить свой аналог "Дии" - водительские права в телефоне. После того, как Лилит Виттманн показала, как использовать приложение для кражи личности его срочно изъяли из сторов "в связи с высокой нагрузкой". В отличии от немецкого "ID-кошелька" для "Дии" кража личности не побочный эффект, а основная функциональность. У Kostiantyn можно прочитать, что не так с украинской "цифровизацией" https://www.facebook.com/kostiantyn.korsun/posts/1864644137054012
А Лилит после похорон светлого цифрового будущего Германии взялась за немецкий аналог "нет такого агентства". Все началось с того, что она нашла в каталоге правительственных служб Федеральную Телекоммуникационную Службу (Bundesservice Telekommunikation), а дальше начались странности. У "телекоммуникационной службы" не нашлось работающего телефона или почты, у нее нет бюджета, штатного расписания, министерство внутренних дел не смогло ответить на запросы парламента (очень при этом нервничая).
Зато офис таинственного телеком-агентства оказался поблизости от Bundesamt für Verfassungsschutz (федеральное ведомство по охране конституции - контрразведка и противодействие экстремизму). Очень рекомендую почитать оригинальный пост Лилит https://cutt.ly/2OGo3el о том, как нехитрые OSINT-приемы помогают собирать информацию. Закончилось все тем, что Лилит послала на адрес телекоммуникационной службы Airtag спрятанный в журнале. И airtag отозвался не из Берлина, а из Кельна из службы защиты конституции...
Я не согласен с тем, что секретные службы должны быть упразднены, но держать сам факт их существования в секрете невозможно, а без парламентского контроля опасно.
А Лилит после похорон светлого цифрового будущего Германии взялась за немецкий аналог "нет такого агентства". Все началось с того, что она нашла в каталоге правительственных служб Федеральную Телекоммуникационную Службу (Bundesservice Telekommunikation), а дальше начались странности. У "телекоммуникационной службы" не нашлось работающего телефона или почты, у нее нет бюджета, штатного расписания, министерство внутренних дел не смогло ответить на запросы парламента (очень при этом нервничая).
Зато офис таинственного телеком-агентства оказался поблизости от Bundesamt für Verfassungsschutz (федеральное ведомство по охране конституции - контрразведка и противодействие экстремизму). Очень рекомендую почитать оригинальный пост Лилит https://cutt.ly/2OGo3el о том, как нехитрые OSINT-приемы помогают собирать информацию. Закончилось все тем, что Лилит послала на адрес телекоммуникационной службы Airtag спрятанный в журнале. И airtag отозвался не из Берлина, а из Кельна из службы защиты конституции...
Я не согласен с тем, что секретные службы должны быть упразднены, но держать сам факт их существования в секрете невозможно, а без парламентского контроля опасно.
👍170👎3
После российской атаки "14 января", в результате которой произошла массивная утечка данных из Дія, Міністерство внутрішніх справ и Мінрегіон возникло много вопросов о том, как все єто произошло. Kostiantyn Korsun взял на себя труд по систематизации недостатков правительственной "диджитализации" вобще и "Дии" в частности. В результате совместных усилий получился вот такой документ "Що не так з Дією?" https://cutt.ly/2OR77bF Министерство Цифровой Трансформации не только продолжает врать о том, что утечки не произошло, но и заставляет врать полицию.
Коммуникационная стратегия министерства (если визги заместителя министра Алексея Анатольевича Выскуба можно так назвать) сводится к тому, чтобы прикрываться частными компаниями (EPAM и Kitsoft, к которым по большому счету у меня лично претензий нет - что им государство заказало, то они и сделали) и атакам ad hominem на тех, кто участвовал в написании "Що не так". Можете почитать сами https://www.facebook.com/devuaua/posts/250050817278002 Если в Украине возникнут перебои с газом, то мы смело можем перевести отопление на чиновников минцифры. Очень ярко горят. Издание dev.ua попросило нас рассказать про наш опыт, и я с радостью воспользуюсь их приглашением, чтобы поговорить о том, что делает экспертов экспертами. Who we really are.
Когда Алексей Анатольевич Выскуб занимался цифровизацией в отдельно взятой области я решил шутки ради поучаствовать в баг-баунти программе украинского банка. Банк гораздо больше и сложнее чем "Дия". Нашел большую утечку финансовых данных. Банк выплатил максимальную награду. Может мне повезло, подумал я? И нашел способ обхода аутентификации в том же самом банке. Служба безопасности сперва не поняла, как это работает. Я объяснил. Банк сменил оценку уязвимости на "исправить немедленно!" и выплатил максимальную награду. Учитывая размеры тех баунти, скорее развлечение, чем настоящая работа.
С Константином Корсуном я лучше познакомился в марте 2014 года, когда он пригласил УБКТЛ (сейчас это Киберполиция), ДССЗЗІ, СБУ и частные компании, работающие в области кибербезопасности, чтобы обсудить, что государство и бизнес могут сделать для отражения российской агрессии https://cutt.ly/LOKnsk3 Все пришли, никто не отказался и ни у кого не возникало никаких вопросов, что тот или иной человек делает на этой встрече. "Экспертность" - социальный конструкт (в хорошем смысле этого слова), этому не обучают в институте, в эксперты нельзя записаться или получить сертификат эксперта. Мы можем спорить между собой, придерживаться разных политических взглядов и даже серьезно ссориться, но никому и в голову не придет оспаривать квалификацию коллег, независимо от того, носят ли они погоны или папки с хорошо известными логотипами. Ты либо соответствуешь, и тогда в сообществе у тебя есть свое место, принадлежащее тебе по праву, либо нет.
Что касается практического опыта, то мне есть чем похвастаться, как-то я нашел зацепку к известной кардерской группировке, СБУ не захотели писать международный запрос, спустя два месяца на тот же след случайно вышла полиция Нидерландов. В другой раз, получилось обойти защиту системы видеонаблюдения с помощью ножа, после того, как сидящий рядом в наручниках подозреваемый увидел кино, он тут же перешел к деятельному и чистосердечному раскаянию. Я могу найти утечку из СБУ и заставить московскую полицию прислать мне информацию. Прямо с "Петровки, 38". Вместе с Артемом Карпинским мы взломали государственную думу РФ. Дважды. Довели до истерики Киселева. Обманом натравили генерала ФСБ на собственных подчиненных. Заставили офицеров военной разведки забордюрья подозревать друг друга в шпионаже. Взломали хакеров, которые взломали полицию Украины. А когда мы отдавали контрразведке информацию на очередного сторонника русского мира на лайфе вышел сюжет о том, что Украине помогают "пятьдесят хакеров NATO". Так что хорошо мотивированный украинский доброволец равен взводу. Так думают в РФ.
Коммуникационная стратегия министерства (если визги заместителя министра Алексея Анатольевича Выскуба можно так назвать) сводится к тому, чтобы прикрываться частными компаниями (EPAM и Kitsoft, к которым по большому счету у меня лично претензий нет - что им государство заказало, то они и сделали) и атакам ad hominem на тех, кто участвовал в написании "Що не так". Можете почитать сами https://www.facebook.com/devuaua/posts/250050817278002 Если в Украине возникнут перебои с газом, то мы смело можем перевести отопление на чиновников минцифры. Очень ярко горят. Издание dev.ua попросило нас рассказать про наш опыт, и я с радостью воспользуюсь их приглашением, чтобы поговорить о том, что делает экспертов экспертами. Who we really are.
Когда Алексей Анатольевич Выскуб занимался цифровизацией в отдельно взятой области я решил шутки ради поучаствовать в баг-баунти программе украинского банка. Банк гораздо больше и сложнее чем "Дия". Нашел большую утечку финансовых данных. Банк выплатил максимальную награду. Может мне повезло, подумал я? И нашел способ обхода аутентификации в том же самом банке. Служба безопасности сперва не поняла, как это работает. Я объяснил. Банк сменил оценку уязвимости на "исправить немедленно!" и выплатил максимальную награду. Учитывая размеры тех баунти, скорее развлечение, чем настоящая работа.
С Константином Корсуном я лучше познакомился в марте 2014 года, когда он пригласил УБКТЛ (сейчас это Киберполиция), ДССЗЗІ, СБУ и частные компании, работающие в области кибербезопасности, чтобы обсудить, что государство и бизнес могут сделать для отражения российской агрессии https://cutt.ly/LOKnsk3 Все пришли, никто не отказался и ни у кого не возникало никаких вопросов, что тот или иной человек делает на этой встрече. "Экспертность" - социальный конструкт (в хорошем смысле этого слова), этому не обучают в институте, в эксперты нельзя записаться или получить сертификат эксперта. Мы можем спорить между собой, придерживаться разных политических взглядов и даже серьезно ссориться, но никому и в голову не придет оспаривать квалификацию коллег, независимо от того, носят ли они погоны или папки с хорошо известными логотипами. Ты либо соответствуешь, и тогда в сообществе у тебя есть свое место, принадлежащее тебе по праву, либо нет.
Что касается практического опыта, то мне есть чем похвастаться, как-то я нашел зацепку к известной кардерской группировке, СБУ не захотели писать международный запрос, спустя два месяца на тот же след случайно вышла полиция Нидерландов. В другой раз, получилось обойти защиту системы видеонаблюдения с помощью ножа, после того, как сидящий рядом в наручниках подозреваемый увидел кино, он тут же перешел к деятельному и чистосердечному раскаянию. Я могу найти утечку из СБУ и заставить московскую полицию прислать мне информацию. Прямо с "Петровки, 38". Вместе с Артемом Карпинским мы взломали государственную думу РФ. Дважды. Довели до истерики Киселева. Обманом натравили генерала ФСБ на собственных подчиненных. Заставили офицеров военной разведки забордюрья подозревать друг друга в шпионаже. Взломали хакеров, которые взломали полицию Украины. А когда мы отдавали контрразведке информацию на очередного сторонника русского мира на лайфе вышел сюжет о том, что Украине помогают "пятьдесят хакеров NATO". Так что хорошо мотивированный украинский доброволец равен взводу. Так думают в РФ.
👍224
Я так могу продолжать еще долго, у меня в запасе много удивительных историй, но если вам нужно независимое подтверждение, то вот выводы FireEye iSIGHT Intelligence. По поводу "moderate technical sophistication" я не обижаюсь. "High technical sophistication" - это уровень NSA и GCHQ. А "low confidence", так это уже просто неприкрытая лесть. (Кстати, на будущее, господа союзники, можете просто подойти и спросить, совсем не обязательно тратиться на дорогостоящую техническую разведку) Так что Aleksey Vyskub кое-какой опыт у нас есть. Мы сомневаемся не в профессиональных качествах наших коллег из EPAM, а в ваших, Алексей Анатольевич. И я глубоко убежден в том, что после недавних взломов МЦТ пора двигаться по шкале Кюблер-Росс от отрицания к принятию. Не хотите слушать своих профессионалов, вами займутся вражеские и что-то мне подсказывает, что ваш богатый опыт "цифровизации" ОДА вам не сильно поможет.
👍218
Я пока не хочу комментировать золотой дождь Дия саммита, тем более что сайт все равно лежит. Так что пока листаю увесистый документ о том, как мышам стать ежами ("План реалізації Стратегії кібербезпеки"). Выглядит как сборник пожеланий разных силовых ведомств (что как бы намекает, что никакой Стратегии, даже если написать слово КАПСОМ, на самом деле нет) Я уже немного освоился с высоким стратегическим стилем и от слов "усиление возможностей по предотвращению" у меня уже почти не кровоточат глаза.
Цель "плана по реализации" - разработать "систему индикаторов". Предлагаю не останавливаться и сразу сделать реестр индикаторов и осуществить комплекс неотложных мер по усилению возможностей в области разработки системы индикаторов для плана реализации (в доме, который похуй всем). Индикатор один. Очень надежный. Когда данные из Дія, Мінрегіон и МВС не лежат в даркнете, то цели уже достигнуты на 80%. Оставшиеся двадцать сводятся к тому, что под камеры должен выйти кибер-полковник и рассказать, что именно сделано и кто за это отвечает.
Дальше в плане "Кибервойска" и MIL-CERT. Про кибервойска уже говорили и не раз, а военный CERT вобщем-то неплохая идея. К примеру, пару дней назад ко мне обратилась частная компания и показала мисконфигурацию в DNS МОУ. Они попытались свзяаться с МОУ, но несколько недельные попытки дозвониться или написать письмо не увенчались успехом. Вмешательство НКЦК тоже не помогло. В итоге спустя несколько часов удалось связаться с одним из заместителей. Не знаю как с CERT'ом, но у меня есть очень простой план, как исправить ситуацию.
Нужен телефон (один), журнал бумажный (один), боец владеющий навыками связной речи (два), ручки шариковые, чай-кофе в ассортименте. Номер телефона опубликовать на сайте и в whois. А теперь самая важная и сложная часть плана.
Боец должен снимать трубку 24/7, отвечать вежливо (я точно знаю, что такие есть, прямо на парковке министерства) и все что ему говорят записывать в журнал. А теперь не только важная, а ключевая часть плана. Критическая. Дежурный администратор, приходя на работу, должен взять журнал, прочитать все что там написано и исправлять косяки. Если количество администраторов увеличить до двух, то вместе с двумя бойцами-секретарями получится "мини-CERT". Команда реагирования должна реагировать. В этом суть.
Это пока замечания к первой странице "плана", там есть еще двадцать пять, одна другой краше...
Цель "плана по реализации" - разработать "систему индикаторов". Предлагаю не останавливаться и сразу сделать реестр индикаторов и осуществить комплекс неотложных мер по усилению возможностей в области разработки системы индикаторов для плана реализации (в доме, который похуй всем). Индикатор один. Очень надежный. Когда данные из Дія, Мінрегіон и МВС не лежат в даркнете, то цели уже достигнуты на 80%. Оставшиеся двадцать сводятся к тому, что под камеры должен выйти кибер-полковник и рассказать, что именно сделано и кто за это отвечает.
Дальше в плане "Кибервойска" и MIL-CERT. Про кибервойска уже говорили и не раз, а военный CERT вобщем-то неплохая идея. К примеру, пару дней назад ко мне обратилась частная компания и показала мисконфигурацию в DNS МОУ. Они попытались свзяаться с МОУ, но несколько недельные попытки дозвониться или написать письмо не увенчались успехом. Вмешательство НКЦК тоже не помогло. В итоге спустя несколько часов удалось связаться с одним из заместителей. Не знаю как с CERT'ом, но у меня есть очень простой план, как исправить ситуацию.
Нужен телефон (один), журнал бумажный (один), боец владеющий навыками связной речи (два), ручки шариковые, чай-кофе в ассортименте. Номер телефона опубликовать на сайте и в whois. А теперь самая важная и сложная часть плана.
Боец должен снимать трубку 24/7, отвечать вежливо (я точно знаю, что такие есть, прямо на парковке министерства) и все что ему говорят записывать в журнал. А теперь не только важная, а ключевая часть плана. Критическая. Дежурный администратор, приходя на работу, должен взять журнал, прочитать все что там написано и исправлять косяки. Если количество администраторов увеличить до двух, то вместе с двумя бойцами-секретарями получится "мини-CERT". Команда реагирования должна реагировать. В этом суть.
Это пока замечания к первой странице "плана", там есть еще двадцать пять, одна другой краше...
👍241