Привет всем, кто к нам пришел! Мы увидели среди подписчиков много знакомых ников и сразу хотим сказать: у нас пока нет ни программы bug bounty, ни каких либо ресурсов на неё. Но если вы вдруг случайно что-то найдёте (а найти, уверены, на этом этапе можно многое), пишите, постараемся сделать для вас что-нибудь приятное.

Когда пишешь детективный сюжет или, наоборот, — находишься в его центре, занимаясь расследованием, очень тянет сделать обобщения широкими мазками: "персонаж садовник —> он и есть убийца". Чаще всего такие связи оказываются ложными. Особенно если сделаны по географическому принципу.

Пару лет назад доблестные голландские электроразведчики якобы следили через взломанную камеру видеонаблюдения за группировкой Cozy Bear (история выглядела настолько фантастически, что на неё отреагировал сам Уильям Гибсон). Стремясь придать факту взлома камеры соответствующий вес, голландцы сообщили, что она располагалась "в университете рядом с Красной Площадью". Из университетов, рядом с Красной Площадью нет ничего тематического. Здесь когда-то была академия РВСН им. Петра Великого и до сих пор есть пара факультетов МГУ (журналистики и психологии), но для людей, слабо разбирающихся в географии Москвы, такая близость к центру мирового зла выглядит убедительно.

Ещё был случай, когда издание Нью Йорк Таймс связало кого-то с российским правительством через "их офис — следующая дверь после офиса российского энергетического гиганта Лукойл". Тут, правда, их нисколько не смутило, что дом номер 4 никак не может быть "следующей дверью" после дома номер 3. Да и дома-то такого в Москве нет. В целом, это было так глупо, что даже знаменитая группа Беллингкэт опубликовала детальный разбор этого материала.

Ну и наконец, мы сами, делая одно исследование и желая усилить связь некой американской строительной компании с Пентагоном, написали, что "офис компании расположен в районе Арлингтон, прямо позади Пентагона". Жители Федерального округа Колумбия на это справедливо заметили нам, что в Арлингтоне вообще много строительных компаний. И просто офисных зданий, где можно оперативно снять площади.

В общем, если вы следователь, OSINTер или автор детективов, по возможности воздерживайтесь от использования связей по географическому принципу. Они обычно самые ненадёжные.

Есть такая смежная с нашей область науки, которая называется "теория защищённости и живучести". Под защищённостью там понимается не то, к чему мы с вами привыкли, а вовсе даже способность объекта противостоять расчётным средствам поражения. Очень, кстати, удобно — у них защищённость выражается одним числом: в килограмм-силах на квадратный метр или, что то же самое, в атмосферах избыточного давления по фронту взрывной волны. Никаких тебе перечислений уязвимостей на 200 страниц.

Эту схему мы взяли из одной из книг (единственой, не несущей грифа секретности) Дмитрия Сурина — известного российского специалиста по специальной фортификации. Удивительно, насколько она универсальная. Можно заменить пару слов и вешать на стенку перед тем, как начинаешь продумывать архитектуру безопасности своей информационной системы.

Опасная история произошла с российской шахматной сборной: она победила в онлайновой шахматной олимпиаде. Если остановиться на этом заголовке, то уже в голову лезут мысли про русских хакеров, да?

Победа и правда сопровождалась скандалом: финал прошел в две встречи со сборной Индии. Первый раз — вничью, а второй раз у индусов внезапно пропало соединение с сервером и хотя российская команда и до того выигрывала, они решили апеллировать.

Президент ФИДЕ Аркадий Дворкович — (тоже русский, да ещё и связанный с российским правительством), вероятно, во избежание упомянутого нытья про русских хакеров, принял решение наградить золотыми медалями и индусов тоже. Забавно, что чуть раньше подобная ситуация произошла с армянской командой — у них пропала связь во время матча как раз таки с Индией, но их апелляция осталась без удовлетворения.

Поможет ли Дворковичу соломоново решение обидеть россиян и армян (они обиделись: россияне, армяне), лишь бы не обидеть индусов — покажет время.

Понятно одно. Сеть — вещь нестабильная и местами опасная, и правила онлайн-олимпиад надо к ней существенно адаптировать. А если кто-то решит спорить с победой России, то он это всё равно сделает. Сошлётся если не на хакеров, то на допинг. И мы даже знаем какой допинг помогает в онлайн-олимпиадах. Будете у нас на Китай-Городе, пишите — мы знаем вокруг все лучшие бары с крафтовым допингом и регулярно им пользуемся.

Копаясь в замшелых фолиантах с описаниями исторических событий (все для игр, не подумайте), мы в очередной раз убедились, что схема "прислать вредонос по почте" - весьма старая и была опробована десятки сотен лет назад, причем весьма успешно.

Например, есть вот кейс 946 года. Как вы помните, была такая княгиня Ольга, жена и вдова киевского князя Игоря Рюриковича. Древляне убили князя Игоря, а Ольга осталась регентом при малолетнем сыне Ярославе. Помимо того, что она первой из правителей Руси приняла христианство, она известна еще и своей местью древлянам (и мы ее понимаем). Эпизодов было четыре, согласно летописям, и вот про четвертый мы как раз и хотим рассказать.

Собрав с древлян (а именно жителей Торжка) дань голубями (а голуби были важным для новоторов символом и формой почтовой связи, в каждом доме была своя голубятня), Ольга привязала к лапкам птиц паклю, подожгла ее - и отпустила птиц на волю.

Птицы в панике прилетели к своим хозяевам, в родные голубятни и дома. Деревянный крытый соломой Торжок сгорел почти весь. Совсем весь. Потому что средство связи принесло э-э-э троян. Будьте бдительны, даже если вы в Х веке!

Голуби с красными ленточками до сих пор красуются на гербе Торжка, кстати.

Мой комментарий для издания Россия в Глобальной Политике к статье американских кибервоенных, которые жалуются на то, что злобные русские и китайцы атакуют США в страшной придуманной коммунистами сети Интернет.

Если вам лень читать длинные тексты, краткое содержание:

Директор АНБ генерал Накасоне и его советник Сулмейер рассказывают (без конкретики и технических подробностей, просто общие слова) про то, как проактивно защищать критически важные сети.

Мы же напоминаем, что само АНБ начало работу над концепцией современной кибервойны ещё в 1996 году (судя по датам регистрации первых доменов использованных Equation group), а с 2001 года активно действует в чужих сетях, не разбирая союзников и противников. Все остальные страны, деятельность которых так не нравится авторам, здесь исключительно в роли догоняющих.

Тут почти во всех ИБ-каналах промелькнула новость о первой настоящей жертве компьютерного вируса.

Напомним, как все было: в Германии женщина скончалась из-за того, что внутренняя компьютерная сеть (более 30 внутренних серверов) Университетского госпиталя Дюссельдорфа была поражена вирусом-вымогателем.

Можно с удовлетворением отметить, что вот оно, началось.

А теперь давайте быстренько разберемся.

1. Заражение внутренних серверов госпиталя произошло 10 сентября, госпиталь в твиттере пожаловался на уязвимость в "распространенном коммерческом программном продукте", а 17 сентября (спустя почти год после выявления уязвимости) немецкое агентство кибербезопасности BSI опубликовало предупреждение, призывающее все немецкие компании, использующие Citrix, обновить сетевые шлюзы для устранения уязвимости CVE-2019-19871. Именно поэтому киберсек-сообщество и уверено, что вымогатель попал на серверы госпиталя через эту уязвимость.

По идее, если следить за актуальностью используемых программных продуктов, за без малого год можно было хотя бы попытаться решить проблему.

2. Нигде не сказано, что несчастная женщина умерла от того, что отказало какое-то медицинское оборудование. Похоже, причина в том, что ее не приняли в приемном покое Университетского госпиталя Дюссельдорфа из-за отказа регистратуры. И отправили в больницу Вупперталя (и по нашему опыту, там не "чуть более 30 км", а прямо очень больше 30 км пути...).


И вот мы тут думаем по этому поводу, что причиной этой трагедии стал немного другой вирус (которому десятки тысяч лет) - человеческий фактор. И еще бюрократия, не позволяющая оказывать медицинскую помощь человеку до того, как на него завели профайл в сети клиники.

Так что берегите свои шлюзы, от них и умереть можно.

^^ Забавно, что если бы больница не работала по причине отключения электричества, на её руководство вылились бы ушаты помоев: в современном мире критически важные учреждения принято защищать от таких сбоев и продумывать планы быстрого восстановления. Никому бы не пришло в голову обвинять в смертях энергогенерирующую компанию. А вот в отказе компьютерных систем виноваты хакеры, а сама больница — вроде как, тоже пострадавшие.

^^"Вы, люди, - самый мерзкий вирус" (с) агент Смит.

Рассказывали сегодня в одном приличном месте байки про атрибуцию кибератак. Вот вам слайдик из презентации.

Наконец и мы тут напишем про Covid-19.

Вот прямо сейчас Борис Джонсон в телевизоре объясняет, что британское правительство не знает сколько случаев заражения Covid-19 было утеряно "в результате технического сбоя". Описание самого сбоя на первый взгляд вызывает восхищение. Дело в том, что данные о зараженных в какой-то момент поступали в таблицу Excel, по столбцу на каждого зараженного. Как можно понять, excel генерировался автоматически каким-то скриптом, который, очевидно, не проверял результатов своей деятельности и не сообщал о том, что не может создать новый столбец. А не мог он потому, что максимальное количество столбцов — 16384.

Интересно, что данные из этой таблицы использовались не только для формирования официального графика. Они ещё и поступали в ведомство, отвечающее за отслеживание контактов заболевших.

Один наш читатель рассказывал нам про подобный случай. В те стародавние времена, когда эксель умел всего 65 536 строк, в некой организации на его встроенном бейсике написали анализатор логов. Сначала скрипт сохранял суточный лог файрвола в эксель, а потом эксель его обрабатывал и выдавал какие-то оптимистичные результаты по количеству дропнутых пакетов, попыткам сканирований и прочим подозрительным событиям. Что из миллионов строк суточных данных обрабатывается только первые несколько минут стало известно сильно позже.

В строках эксель с тех пор сильно продвинулся и британцам пришлось постараться, чтобы найти что в нём можно превысить. Как мы видим, им удалось.

Почему мы пишем об этом здесь и какая мораль?

Во первых, для промышленного применения выбирайте промышленные решения. Эксель к таковым точно не относится.
Во вторых, выбирая решение, отвлекитесь на секунду от своеобразной agile-методологии "давайте сейчас пользоваться вот этим, а потом разберёмся" (ну мы не знаем, какой ещё ход мысли был у тех кто придумал описанный выше формат файла с заболевшими).

Оба примера — и сегодняшний, и старый, говорят нам о том, что нарушение этих двух простых истин может быть небезопасно. Кто-то просто не контролирует ситуацию на своём файрволе, а кто-то вообще — не отслеживает инфекционных больных.

Там по ссылке, кстати, обновление: говорят, что проблема всё таки в строках. Лаборатории отдавали некие многострочные данные минздраву (вернее, исполнительному агентству Public Health England) в csv, а те уже конвертировали их в xlsx и теряли всё, что больше миллиона с копейками строк.

Мораль от обновления не меняется.

Сегодняшние (упс, уже вчерашние!) новости сообщают, что за год число киберпреступлений в России выросло на 77%.

Нет, ну а вы серьёзно думаете, что ваш ребёнок в больших изолирующих наушниках, всё утро за закрытой дверью с умным видом пялящийся в экран, дистанционно изучает там историю, природоведение и обществознание?

Рассуждая о государственных APT-группах, мы всегда предполагаем зубодробительную серьёзность и присущую государственным органам скрупулёзность. Однако, по факту это не так.

Крупнейшая утечка киберинструментов ЦРУ произошла по двум причинам:

Первичная — никто никогда не озаботился разграничением доступа внутри сети подразделения или, хотя бы, аудитом этого доступа.

Вторичная, но непосредственная — сотрудник одного из самых секретных подразделений ЦРУ Джошуа Шульте — лыс и обидчив.

Наверное при поступлении в разные трёхбуквенные организации надо вести какую-то разъяснительную работу о серьёзном отношении к происходящему?

Приходите к нам, мы это геймифицируем. Шутка.

Ещё американского. Среди всех актёров комедийного жанра, занимающих сейчас президентские посты, Донни — наш безусловный фаворит.

Вот давеча он высказал глубокую мысль по нашей тематике: "чтобы быть взломанными вам нужен кто-то с IQ 197, кто знает примерно 15% от вашего пароля".

Осмелимся утверждать, что если кто-то знает 100% от вашего пароля, ему достаточно IQ 20, чтобы вас взломать. С меньшим IQ уже просто затруднительно найти, куда этот пароль вообще вводить.

Достройте сами числовой ряд между этими парами значений и используйте в своих моделях угроз при моделировании злоумышленника. Ссылайтесь на Трампа — президент США ерунды не скажет!

Теперь немного про наши APT-группы. Или про то, как их видят в ФБР.

На этой картинке должен быть какой-то лозунг с моралью, начинающийся с "сегодня делаешь ты селфи...".

Не делайте селфи лишний раз, если не уверены.

А на этой фотографии (тоже "русский хакер ГРУ" с сайта ФБР) изображен человек в довольно уже старой форме капитана ракетных войск стратегического назначения.

Значок на правой стороне, если вам интересно — знак классности (специалист 2 или 3 класса). На левой стороне висит медаль "за отличие в воинской службе" III степени образца 1995 года. Чтобы получить такую медаль, капитан Детистов 1985 года рождения должен был к 2009 году (когда внешний вид медали и, главное, ленты, поменялся), отслужить в вооруженных силах не меньше 10 лет.

Вообще, мы почти уверены, что это не настоящая форма, а шаблон, какие применяются в киосках "фото на документы".

UPD: В тексте обвинительного заключения утверждается, что Детистов носил звание капитана на протяжении всей своей работы в в/ч 74455 — аж по 2018 год. И это единственный человек, для которого там указано воинское звание.