У десяти няньок кіберзахист із дірками

Вибори нового прем’єр-міністра Великої Британії відкладено на півтори тижні через загрозу хакерської атаки. Затримка сталася через попередженням тамтешньої спецслужби GCHQ про можливе стороннє втручання та підміну результатів голосування. При цьому конкретної загрози не існувало, попередження GCHQ було загальним та змальовувало лише теоретичні вразливості процедури онлайн-голосування. GCHQ – головна структура у Великій Британії, яка відповідає за національну кібербезпеку. Її місія викладена зрозуміло та лаконічно: Making the UK the safest place to live and do business online. А не як у нас: десять різних державних інституцій «відповідає» за кібербезпеку країни, але по факту не відповідає ніхто.

Читати далі

Небачена «перемога» української кібербезпеки

Якщо не хочете даунгрейда своїх когнітивних функцій – не приходьте на держслужбу з бізнесу. Ось вам приклад. “.. Українська кібербезпека вистояла не тому, що вона була добре захищена…”. Секундочку, це як – «захищена кібербезпека»? Виходить, що безпеку саму потрібно захищати? А що це може бути? І як воно називається? Супербезпека? Безпека безпеки? Цікаааво. А хто має захищати безпеку безпеки? А безпеку безпеки безпеки? А якщо українська кібербезпека “не була добре захищена” – звідки така імперативна переконаність, що вона таки “вистояла”? В якому місці вона «вистояла»? І як взагалі може «вистояти» те, чого ніколи не було (принаймні у державному секторі)?

Читати далі

На кібервійну не можна «не прийти» (відео)

Випадків, коли кібератака спричинила суттєві фізичні руйнування вкрай мало, і кожен такий випадок унікальний і резонансний. Але це лише тому, що наразі технології поки вкрай недостатньо контролюють ключові сфери життя людей. Технології розвиваються швидше за їхню безпечність. Але люди бажають бути впевненими у безпечності технологій. Тому ці побоювання стримують швидкість їх розвитку. Це пояснює, чому, наприклад, у жодній країні світу досі немає аналога Дії. А після прикладу України – так і нескоро буде. Так, кібер не вбиває безпосередньо, і не руйнує багатоповерхівки. Але у сучасній війні врешті решт виграє той, у кого краще розвіддані, у кого більш захищений канал управління БПЛА, у кого загалом кращі технології. І хто краще ці технології захищає.

Читати далі

Цифрова частина урядового «Плану відновлення України»

Подивився я, у чому ж полягає цифрова частина «Плану відновлення України», який був представлений у Лугано цього тижня. Перше і загальне враження: Хаос. Пожежа у борделі. Наскирдовані безсистемні хотєлкі купи зацікавлених у розпилах західних грошей осіб та організацій. Не можна під час складання плану курити план. На що взагалі розраховували ваяльники подібного «шедевру»? Що його ніхто з потенційних донорів не буде читати, обмежившись захопливим вигуком “Вау, у них є План”? А якщо й читатимуть, то не далі першої сторінки? Вони дійсно вважають, що таке Г можна продати за 750 ярдів? Із таких жаданих 750 мільярдів доларів вдалося наколядувати лише 1,9 мільярда. І це лише обіцяна сума, не отримана. А там хтозна, як ще буде після війни, коли ми переможемо, а з фронту повернуться котики та зайчики.

Читати далі

В Україні немає кібервійськ

Поняття «війська» передбачає певну кількість саме військовослужбовців, які виконують спеціалізовані задачі. Того, що можна було б назвати «кіберармією», поки що немає в структурі ЗСУ. Не буду заглиблюватися у деталі під час війни (там є кілька близьких до теми підрозділів), але створення кіберармії в Україні знаходиться поки на дуже ранньому етапі. Майбутнє національної (у тому числі військової) кібербезпеки залежатиме від активності позиції учасників українського кіберспротиву після нашої Перемоги на полі бою.

Читати далі

Хтось помітив вчора серйозні перебої доступу до Інтернет? Ні?

А між тим вчора відбувалися одні з найпотужніших російських кібератак проти кількох ключових українських Інтернет-сервіс-провайдерів. Це був тяжкий день для їхніх працівників, але кінцеві користувачі – ми з вами – практично нічого не помітили. SYN flood летів – аж гай шумів. І не тільки. Чому більшість користувачів цього не помітила? Я вкотре знімаю свого білосніжного капелюха перед мужніми, професійними та скромними працівниками українських Інтернет-сервіс-провайдерів. Ви реально круті. А ще хочу, щоб про це знали усі.

Читати далі

Яким каналам комунікації можна довіряти?

Давня проблема слабкої комунікації влади з суспільством проявила себе зараз максимально. Тому простих порад маю дві – довіряйте лише: 1) Офіційним джерелам України (про них нижче); 2) Людям, яких знаєте та довіряєте особисто. Спишіться, попитайте, хто кого знає особисто, хто зараз в армії або в ТрО, або в СБУ/поліції, скидайте через них свої повідомлення про ворога. Продовжуємо бути пильними в інформаційному просторі та боронити нашу Неньку всіма доступними способами. Перемога буде за нами, однозначно. Слава Україні та її Героям. Смерть ворогам.

Читати далі

Про кібератаки 15 лютого 2022 року

Який рівень дна необхідно пробити, щоб українська влада почала нарешті займатися справжньою, не імітаційною національною кібербезпекою? Що такого прям жахливого має статися? І чи існує у цьому світі сила, здатна пробити кілометровий бетон чиновницької профанської самозакоханості? Навіть не уявляю. Тому до нових масштабних кібератак. Можливо, через місяць. А може, й раніше.

Читати далі

НАТО підпише з Україною угоду про посилення кіберспівпраці

Генеральний секретар НАТО Єнс Столтенберг засудив кібератаку на сайти українських держорганів і запевнив, що НАТО продовжить “рішучу політичну та практичну підтримку України”. “Найближчими днями НАТО та Україна підпишуть угоду про посилення кіберспівпраці, що включає доступ України до платформи НАТО з обміну інформацією про шкідливі програми”, — сказав генсек НАТО.

Читати далі

Євросоюз скликає безпековий комітет через кібератаку на урядові сайти України

«На жаль, я маю сказати, що цього ранку ми прокинулися із новинами про ще одну атаку проти України. Цього разу це була кібернетична атака на урядові веб-сайти. Такі дії спрямовані на дестабілізацію України та спрямовані на подальшу ескалацію вже й без того напруженої ситуації. Ми готові надати Україні подальшу пряму допомогу, якщо надійде такий запит», – повідомив Жозеп Боррель. Загалом було атаковано понад 70 державних веб-сайтів, 10 з яких зазнали несанкціонованого втручання.

Читати далі

Нищівний удар по зелених мріях про «державу в смартфоні»

Не виключено, що сьогодні Росія почала активну кібервійну в рамках можливого нового нападу. Хакери змінили перші сторінки 16 провідних урядових сайтів і зробили написи, в тому числі польською мовою. Останнє може бути прикриттям, щоб заплутати сліди. Постраждали сайти Кабміну, МЗС, ДСНС, Міносвіти, Мінмолодьспорту, Міненерго, Мінагрополітики, Мінветеранів, Мінзахисту довкілля та Держказначейства. Виглядає так, що влада загралася в утримання самої влади і у підготовку до виборів. Цей випадок ще раз підтвердив: просувати онлайн-вибори в наших умовах – це дуже, дуже небезпечна маячня.

Читати далі

Врятуватися від Дії можна, але виправити її помилки майже неможливо

Поки ми поїдали святкові салати, Дія продовжувала робити свою чорну справу, відповідно до її логотипу. Один покидьок із використанням Дії понабирав кредитів на ім’я наївної дівчини, яка сама віддала «знайомому знайомої» логіни-паролі до BankID. Віддала тому, що злодій пообіцяв начебто допомогти підтягнути в Дію сертифікат вакцинації. Насправді ж, «доброзичливець», скориставшись доступом до двох банківських акаунтів жертви, набрав від її імені кредитів, гроші вивів в кеш, а жертву кинув на розправу колекторам. Ну а мікро-фінансові організації негайно почали намотували на видані кредити свої скажені проценти та пресувати жертву. Так, віддавати слабо знайомим людям доступ до свого банківського акаунту, навіть якщо там немає коштів, – дуже погана ідея. Так, Дія сама по собі не бере кредитів, хоча без неї не було б можливим здійснити цей вид шахрайства. Тому здавалося б, «при чому тут Дія?». А Дія тут саме при чому. Причому сильно.

Читати далі

Інтернет-вибори фундаментально небезпечні

Поки що жодна країна Світу (крім Естонії) не готова до онлайн-голосування, у тому числі Сполучені Штати Америки, кращі фахівці яких консолідовано заявляють про неприпустимість такої практики. Звісно, «дієві» та їхні боси можуть свавільно пропхнути якийсь лівий закон та внагляк провести вибори через Дію. Перший заступник міністра МЦТ вже озвучив такий намір. Але як відреагує на це українське суспільство? Знов проковтне? Чи зможе (і чи захоче) кібербезпекова спільнота України об’єднатися задля недопущення такого сценарію, за прикладом колег в США?

Читати далі

Онлайн-вибори проводити не можна заборонити

Схоже, що доморощені цифрові махінатори визначилися з місцем, де ставити кому у цьому реченні. Імітуючи «довіру виборців», у «дієвих» залишається гіпотетичний шанс утриматися у владі та ще на кілька років відтермінувати покарання за усе скоєне своїми кривими рученятами. Через «Дію» вони намалюють собі результати голосування такі, які захочуть. Можуть як ВВХ за пореєбріком або як Лука, а можуть хитріше, щоб «схоже на правду». І спробуй потім довести, що ти голосував під примусом або не таємно, або взагалі голосував, або голосував не за правлячу партію. Добудова такої комп’ютерно-центричної системи стає останнім шансом для зекоманди залишитися при владі.

Читати далі

Якщо вірус нападе на наше кохане міністерство діджитальних трансформаторів

Якщо хтось вважає, що хакнути внутрішню мережу Міністерства цифрової трансформації неможливо, тому я розсміюся в обличчя і розкажу про сотні таких випадків у Google, Twitter, Amazon, eBay, Sony, міністерствах та відомствах США, Німеччини, Італії, Франції, Японії, та навіть про хаки найкрутіших світових кібербезпекових компаній типу FireEye. Щоб цього не сталося у МЦТ, потрібно докласти до цього багато зусиль, причому зусиль кваліфікованих. Зовнішні «аутсорсери» типу SaaS поки приїдуть, поки розберуться, поки щось частково відновлять, – Дія-фани вже штурмуватимуть офіс «дієвих» на Діловій та на Парковій. Звісно, за пару днів майже все відновлять, але після того довіра до Дії перейде у мінусові значення, а питання «ти шо, користуєшся Дією?» сприйматиметься приблизно як «ти шо, лох?».

Читати далі

Історія з фейковим кредитом через Дію триває

Якщо хтось вирішив, що історія з фейковим кредитом через Дію, який шахраї повісили на киянку Людмилу, щасливо завершився – для того у мене погані новини. Нічого не завершилося. Все знов на початковій точці. Кредит залишається висіти на пані Людмилі. Ви ставте собі Дію, ставте, вона ж он яка гарна. А якщо щось піде не так – які до нас претензії? Ідіть скаржитися в поліцію, в суд, в НБУ, в КМУ, в Спортлото, у Всесвітню Лігу Сексуальних Реформ. Лісом ідіть, інакше кажучи. Ми тут для «швидких перемог», а не для вашого ниття, лузери. Самі винуваті. Віддайте борг – і живіть собі далі. Не заважайте будувати світле цифрове майбутнє.

Читати далі