Архив тегов: i-news

Ай-да-новости: взлом с северокорейским акцентом и убегающие данные.

Вот и лето прошло. Но не у всех, в отличии от меня, его последний месяц прошёл на диване с гипсом. Вот наши ребята, например, снова напали на след группировки Lazarus из Северной Кореи. Это те, которые (среди прочих преступлений) увели 81млн долларов у Центрального банка Бангладеш. Хотели в десять раз больше, но с английской грамматикой не дружили. Теперь мошенники нацелились на лакомый рынок криптовалюты, запустив зловред в корпоративные сети криптовалютных бирж. Как часто бывает, сработал человеческий фактор. Подробнее про операцию Applejeus можно почитать тут.

Наряду с рубриками про удивительный мир «умных» кофеварок и дырявых роутеров пора вводить новую про убегающие данные. Что ни неделя, то новый взлом, утечка и т.п. Вот и на прошлой неделе пришла новость о похищении данных 2 миллионов пользователей мобильного оператора T-Mobile. Преступники получили целый набор полезностей: имена пользователей, почтовые адреса, номера телефонов, почтовые индексы и доступ к зашифрованным паролям. Это уже не первый взлом T-Mobile, что говорит о том, что даже такие большие гиганты не гарантируют своим клиентам стопроцентную безопасность данных.

Дальше: как избежать гиперопеки…

Ай-да новости: кибероксюморон и снова дырявые роутеры.

У меня для вас новый обзор новостей из мира кибербезопасности.

Начнём с двойных стандартов.

Гендиректор компании FireEye Кевин Мандиа на форуме по кибербезопасности выступил с интересным заявлением. Мол, малвара, от «Пяти глаз» (альянс разведок США, Великобритании, Новой Зеландии, Австралии и Канады) – это уже и не малвара вовсе, это «nice malware», то есть буквально – «хороший зловред».

Вот такие оксюмороны живут нынче в мире кибербезопасности!

То есть некоторые вредоносы бывают «хорошими», а некоторые, очевидно, не очень. В зависимости от страны происхождения. Удивительно! Не само по себе удивительно, а крайне странно слышать такое от руководителя компании, которая разрабатывает защитное ПО.

Я молчу, что в целом в рамках курса истории последнего столетия такая диалектика ни к чему хорошему не приводила. А вообще любая малвара – это бумеранг, который рано или поздно прилетает обратно (привет, WannaCry, NotPetya, Stuxnet и им подобным). Если не детектировать и не расследовать какой-то определённый тип малвары по территориальному признаку, то потом твоим же заказчикам прилетит от тех, кто сумел раздобыть и использовать технологии этой малвары. Именно так, например, Stuxnet «прилетел» в энергетическую компанию Chevron.

Для нас нет, не было и не будет оправданий кибератакам, вне зависимости от того, кто является их разработчиком. Нам, на самом деле, вообще фиолетово кто разработчик. И мы будем продолжать защищать от всех угроз, включая «nice malware», пользуясь термином Мандиа. Мы первые рассказываем про малвару, говорящую по-русски, по-китайски, по-английски, по-всякому. Наши пользователи спят лучше всех :)

Дальше: от политики к футболу…

Голландские хакеры, большая киберполитика и анатомия современного фейкньюса.

Пожалуй, в индустрии кибербезопасности нет компании, наевшейся медийного вранья больше, чем мы. Почти 4 года как по команде некоторые американские СМИ накладывают в уши публике невероятные истории о киберзаговоре спецслужбистов-банщиков с вашим покорным слугой во главе против «свободного мира».

Сфабрикованная статья в крупнейшей голландской газете доказывает политический заказ на лживые материалы против «Лаборатории Касперского»

Эти истории лепятся по шаблону – их архитектура и риторика похожи как две капли воды:

  • Слив спецслужбами «шокирующих подробностей» о [нужное вписать] в узкий круг изданий,
  • искажение реальности по принципу Парето (80% правда, 20% вранья, результат – чудовищная ложь),
  • отсутствие доказательств противоправного поведения, апелляция к анонимным источникам и некомпетентным лицам,
  • обоснование этими медийными историями политических решений (пруф).

Вот такая получается «медиакратия» с «фейкньюсом» в главной роли для создания образа врага и управления общественным мнением.

Насколько медиакратия эффективна, настолько она и заразна — увы, её запах сейчас можно слышать по всему миру. Недавно она «накрыла» (простите за двусмысленность) Голландию.

3 февраля крупнейшая газета страны De Telegraaf публикует сенсационную статью о хакерше (или «хакерессе»?), в прямом эфире заявившей о головокружительном взломе нашего голландского офиса и обнаружении там ужасных ужасов, доказывающих всё-всё.

Ну, как бы, дальше у хакерши выбор был невелик – штраф за клевету или в тюрьму за несанкционированный доступ. Второе исключалось – внутреннее расследование показало, что никакого взлома не было. Однако дальнейшее развитие событий увело эту вилку совсем в другую сторону.

Оказывается, хакерша никому ничего подобного не говорила! Журналисты опубликовали сфабрикованные данные, что подтверждено свидетельством хакерши под присягой, другим свидетелем, а также заверенными записями телефонных разговоров и электронной перепиской.

Дальше – больше.

Дальше ой как больше…

Ай-да новости: как «Телега» проехала по «Иот».

Снова в эфире рубрика разбора всяческих интересных и важных киберновостей. Они хоть и несутся на нас нескончаемой лавиной, некоторые хочется выделить и почитать между строк.

За последние несколько недель меня много раз просили прокомментировать ситуацию с блокировкой Telegram в России. Честно говоря, лично меня эта история никак не коснулась – ни напрямую, ни опосредованно. Всё, чем я пользуюсь работало, работает и… ну, не будем загадывать :)

Ситуация странная нестандартная непонятная идиотская … даже трудно ёмко в одном прилагательном описать какая это ситуация, которая больше всего напомнила слона в посудной лавке. Увы, противостояние между политикой и Интернетом крепчает с каждым днём. В прошлом году мы это почувствовали на себе сполна. Во что это противостояние выльется предсказать трудно. Пока ясно, что «рубильник» против «софта» как-то не очень работает.

С другой стороны, блокировка неожиданно аукнулась не каким-то ИП «Рога и копыта», а серьёзным ребятам типа Amazon и Google. Да что далеко ходить, и наши корпоративные блоги на несколько часов слегли.

Этот «рикошет» натолкнул меня на мысль о вечных истинах – делаешь дело, делай хорошо! Разрабатывать продукты надо так, чтоб никакого рикошета не бояться. Иначе любой системный сбой выбивает из колеи. Всегда должен быть бекап, и ещё бекап на бекап. Только так выживем в нынешней буре, когда не знаешь из-за какого угла может прилететь.

Дальше: как ещё аукнулась блокировка Telegram…

Ай-да новости: кибер гоп-стоп.

Сегодняшний новостной выпуск в этой традиционной рубрике посвящен одной особенно противной и неприятной проблеме в киберпростанстве. Проблеме гопников шифровальщиков-вымогателей, также известных как ransomware.

Поток неприятных новостей про этот крайне подлый вид криминальной деятельности не просто не иссякает, а как раз наоборот. Причем, надежды на кардинальное улучшение ситуации в ближайшее время немного. Скорее наоборот: победная поступь информатизации и «Интернета вещей» пока что приводит к тому, что количество дырявых устройств и систем, соединенных с Интернетом растёт как на дрожжах. И вот к чему это приводит в нынешней неблагоприятной киберэпидемиологической обстановке:

Как заработать 140 тысяч долларов, наломав дров на миллиард

Дальше: межконтинентальная рансомварь стратегического назначения…

Ай-да новости: маркетинг vs. кибергопники + перезагрузка Лайнера Мечты.

Снова в эфире уже традиционная рубрика про хрупкость нашего всемирного цифрового дома. Интересных новостей про киберзловредство накопилось много! Да что там, поток таких новостей постепенно переходит из режима горного ручейка в масштаб полноценной Ниагары.

Как ветеран киберобороны скажу, что раньше катаклизмы планетарного масштаба обсуждались по полгода. А сейчас поток сообщений как лососи на нересте — толком и поговорить не о чем. «Слышал, хакнули Мегасуперкорпорацию, украли всё, и даже хомячка гендиректора самоуправляемый дрон унёс в неизвестном направлении?» — «Вчера ещё! А вот ты слышал…?»

Обычно в этой рубрике было в среднем по три новости зараз. Но приходится подстраиваться под обстоятельства, и сегодня будет горячая семёрка по-своему важных и интересных историй из мира цифровой опасности.

«Зарази братуху — получи скидку»

Киберпреступники давно ведут свою криминальную деятельность как бизнес. До нас доходили истории про «партнёрские конференции», когда одни преступные группы собирали другие, чтобы обсуждать сотрудничество и стратегию. Не чужды, в общем, негодяи учебников по менеджменту и маркетингу. А о чём надо думать, строя бизнес? О продуктах и услугах, разработке, организационной структуре, каналах — да много о чём!

Вот некие вымогатели почесали голову и предложили сделать своих жертв прямыми соучастниками в деле распространения малвары. Злобный сетевой маркетинг в худшем виде: зарази двух знакомых и получи ключ от своих файлов бесплатно.

Наступив в какую-нибудь гадость, ты получаешь предложение: плати или подгадь двум людям из списка контактов — пусть они платят (или дальше распространяют). И каждый будет потом чесать голову, то ли сам кликнул не на ту ссылку или забрёл в глубокие и заразные дебри без адекватной защиты, то ли какой-то друг сволочь виновата. Хорошо, что о реальных заражениях ничего неизвестно — это пока полуфабрикат, найденный исследователями в мутных тёмных глубинах даркнета.

Дальше: хэдхантинг по-хакерски…

Ай-да новости: о спасении мира от шифрователей и о лучших в мире исследователях.

Привет, друзья, снова в эфире рубрика «Кошмарный сон сисадмина становится явью». Обычно у нас в ней звучит композиция в стиле «всё плохо и становится хуже». Там что-то взломали, здесь что-то обрушили. Видеокамеры устроили ДДоС, например, бетономешалкам. Повсюду черви, троянцы, вирусы, их всё больше, и они всё наглее и скрытнее. Так выглядит мир глазами специалиста по IT-безопасности.

Но на этот раз, удивительное дело, почти все новости хорошие. И в нашей параноидальной отрасли такое случается! И, что приятно, появляются хорошие новости не без нашей помощи.

Ударным трудом по вымогателям и шифрователям!

В понедельник мы запустили новый проект для помощи жертвам шифрователей-вымогателей. Называется он ‘No More Ransom’ и содержит новый бесплатный расшифровщик для вымогателя Shade. Кроме этого там лежат расшифровщики для некоторых других негодяйских программ включая CoinVault и TeslaCrypt. Проект этот совместный с голландской полицией, Европолом, а также с уважаемыми конкурентами из Интел Секьюрити, также известными человечеству как Макафи.

inews1

Что тут сказать? Эпидемия шифровальщиков захлестнула человечество. Больницы, коммунальные предприятия, полицейские участки, многие тысячи и тысячи бизнесов и без счёта обычных граждан пострадали от этой подлой дряни. Легко рекомендовать не платить вымогателям, но что делать, если вдруг бизнес без своих данных как будто на полном ходу въехал в стену? Если вы обычный пользователь и вдруг потеряли все семейные фотографии? Многие, к сожалению, вынуждены платить. Наша цель – чтобы этого делать не надо было в принципе. И в этот проект будут добавляться всё новые дешифраторы.

Дальше: кибер-олимпиада и вредные кибер-советы…

Ай-да новости: об уже наступившем будущем и нестареющей малваре.

Как всегда в данной рубрике, у меня для вас несколько новостей. Как обычно, в основном они, конечно, плохие. Но поводы для оптимизма тоже есть, правда, немного.

Итак, история первая, о наступившем будущем.

Иногда будущее оказывается мрачным. Кадр из кинофильма Blade RunnerИногда будущее оказывается мрачным. Кадр из кинофильма Blade Runner

Многие авторы любят пофантазировать о том, как оно будет в будущем. Иногда произведения писателей-фантастов – это глубокие философские размышления о человеке и его месте во вселенной, как у братьев Стругацких. Часто это размышления невеселые.

Но иногда – это творчество в гораздо более легком жанре. Ваш покорный слуга иногда в 2000-е годы любил в своих презентациях пошутить и попугать слушателей рассказами о будущем, в котором кофеварка дидосит холодильник, а микроволновка сканирует заводские пароли у комбайна с соковыжималкой. Например, чтобы показывать на них рекламу для пылесоса с мультиваркой.

И вот, к сожалению, что-то в таком духе на глазах начинает сбываться. Маленький оффлайновый ювелирный магазин пожаловался на DDoS своего сайта. Выяснилось, что виноват ботнет, состоящий из 25 тысяч камер видеонаблюдения. И это не первый случай! Уже был еще один ботнет поменьше на камерах и холодильник-спаммер.

Дальше: дальше — больше…

Ай-да новости: о червях в реакторе и хакерах-троечниках.

Иногда от текущего новостного фона рука тянется проверить фон радиационный. Тревожные какие-то сообщения попадаются последнее время. Или это я эмоционально реагирую? Вот, например:

История первая, ядрёная.

inews-1Баварская, а точнее швабская АЭС, фото с просторов Википедии

Немецкая Гундреммингенская АЭС в солнечной Баварии, а точнее даже в Швабии, аккурат в 30-ю годовщину аварии в Чернобыле докладывает, что одна из её внутренних IT-систем, обслуживающих реактор Б, была заражена гадкими зловредами. Также сообщают, что волноваться не стоит, опасности никакой, все нормально, спите спокойно, дорогие граждане, всё под контролем, уровень опасности самый низкий, практически отрицательный.

Ну, хорошо, думаешь, и читаешь дальше.

По мере чтения новостей, однако, в сообщениях об этом инциденте появляются некоторые дополнительные подробности. Вроде бы всё хорошо, и фон радиационный не изменился. Но как-то неуютно. Поточил добрый дедушка бритву и убрал в коробочку. А мог бы и полоснуть.

Например, заражение произошло в изолированной от интернета системе, которая управляет движением топливных (ядерных) стержней. Тут останавливаешься, трёшь глаза, перечитываешь…

Дальше: ЕМНИХВОХЧЛЫЫВЛО!!!!!!!??…

Ай-да новости: об атомных станциях и кибервоенщине.

В этот раз выпуск по следам наших давних публикаций.

Первое.

КДПВ – атомная электростанция во Франции, где, как я надеюсь, все супер с кибербезопасностью КДПВ – атомная электростанция во Франции, где, как я надеюсь, все супер с кибербезопасностью

Мы уже много лет на всех углах звоним в колокола о проблемах кибербезопасности промышленности и инфраструктуры. И эта проблема всё чаще оказывается в центре внимания госорганов, исследовательских институтов, СМИ и широкой публики. Но, к большому сожалению, пока мы не наблюдаем заметных положительных подвижек в этой сфере.

На этой неделе вышел отчет британского исследовательского центра Chatham House, в котором говорится, что риски кибератак на атомные электростанции растут по всему миру. Отчет длинный, основан на интервью с экспертами. Звучит, как ознакомление с содержанием эротического фильма по рассказу смотревшего его. Но что делать, отрасль-то секретная.

От  выводов исследования волосы понимающего человека начинают отчетливо шевелиться:

  1. Никакой «физической изоляции» компьютерных сетей атомных станций не существует, это миф (тут замечу, что речь идет только о тех станциях, с которыми знакомы опрошенные международные эксперты; в любом случае, никакой конкретики). Британцы пишут, что на АЭС часто существуют соединения через VPN, часто их делают подрядчики, часто они в принципе не документированы, иногда просто забыты, но вполне себе живы и готовы к использованию.
  2. Большое количество такого рода подключенных систем без проблем находятся в интернете через поисковики вроде Shodan.
  3. Если изоляция существует, то она преодолевается с помощью флэшек (привет, Stuxnet!)
  4. Атомная энергетическая отрасль по всему миру мало участвует в обмене информации о кибер-инцидентах, и в результате, мало учится у более продвинутых в этой сфере отраслей.
  5. При этом повсеместно по экономическим соображениям увеличивается использование массового коммерческого (уязвимого) софта.
  6. Множество промышленных систем управления изначально небезопасно спроектированы, и патчить их, без ущерба для производственных процессов, очень трудно
  7. И много-много чего ещё, в полном отчете 53 страницы.

Эти леденящие кровь факты и подробности, конечно, вряд ли новость для специалиста по IT-безопасности. Но, будем надеяться, от таких публикаций что-то начнёт меняться. Самое главное, чтобы все заинтересованные участники стали активно латать дыры и чинить IT-безопасность до наступления больших неприятностей, а не после них, как, к сожалению, обычно в мире и бывает.

Отчёт рекомендует, среди прочего, продвигать проектирование изначально безопасных промышленных систем (“Security by design”). Это мы поддерживаем всеми руками! Наша безопасная ОСинициатива как раз из этой серии. Сделать системы управления промышленным оборудованием, включая АСУТП, невзламываемыми означает принципиально улучшить ситуацию с кибербезопасностью мира вокруг нас. К сожалению, дорога это длинная и мы лишь в самом начале пути. Зато, уверен, движемся мы в правильном направлении.

Второе.

Много лет как я агитирую за создание глобального договора в области борьбы с кибервоенщиной. Сказать, что лёд в этом отношении тронулся, я пока не могу. Но он отчётливо трещит! Проблему обсуждают специалисты, дипломаты и научные работники. На высшем международном уровне, очевидно, идет поиск хоть каких-нибудь договоренностей, которые хоть как-нибудь должны ограничить и поставить в рамки кибершпионов и кибервояк.

Фото Michael Reynolds/EPA отсюдаФото Michael Reynolds/EPA отсюда

Вот и Барак Обама и Си Цзиньпин в конце сентября договорились, что их страны – две крупнейшие экономики мира — не будут заниматься коммерческим шпионажем друг у друга. Более того, тема кибербезопасности доминировала на их совместной пресс-конференцией наряду с мерами по борьбе с изменением климата. При этом интересно, что проблему политического и военного кибершпионажа они обошли стороной.

Прорыв ли это? Конечно же, пока нет.

Однако это шажок в очень правильном направлении. Ходили слухи, Пекин с Вашингтоном ведут переговоры о «договоре о ненападении» в киберсфере. Предполагалось, что в нём две страны должны взять на себя обязательства в мирное время не нападать с помощью кибероружия друг на друга. На сентябрьской встрече лидеров стран эта тема не поднималась, но, будем надеяться, ещё поднимется. Это был бы хоть и символический, но важный шаг.

Хорошо бы такие договоры подписали в будущем все страны, а потом бы и вовсе договорились бы сделать Интернет и всю киберсферу демилитаризованной зоной. Это был бы самый хороший, хотя, увы, пока что и не очень реалистичный сценарий.