Докладно про головне

На тлі кібератак 13-14 січня, Держспецзв’язку виступила з законодавчими ініціативами щодо “узаконення процедури BugBounty”. Зокрема пропонується внести зміни до “кіберкримінальних” статей 361 та 361-1 ККУ, адже наразі вони допускають застосування по факту і не вимагають звернення постраждалої сторони.

Також, пропонується запровадити в державних органах посаду “офіцера з кіберзахисту” з оплатою праці не нижче за ринкову, підвищити зарплатню та розширити повноваження відповідальним за кібербезпеку, підсилити відповідальність посадових осіб за нехтування вимогами кібербезпеки тощо. Джерело: ДССЗЗІ у Facebook.

Все це звучить як логічні заходи, проте у мене стійке враження, що вони не будуть дієвими. Декриміналізація хакерських статей це круто, проте й в поточному стані УКК державні та приватні організації в Україні проводять Bog Bounty, головне бажання.

CISO в держустановах це теж цікаво, проте не дуже реалістично. І справа не в грошах навіть, а в ресурсі. На всі необхідні посади в Україні просто фізично не знайдеться достатньо кандидатів. А виростити кваліфікованих менеджерів кібербезпеки вдасться хіба що за 2-3 роки.

Підсилення відповідальності керівників установ та підвищення зарплатні спеціалістам з кібербезпеки – теж звучить як план, проте не усуває головну проблему. А вона не в тому, що спеціалістам мало платять, а керівників недостатньо карають. Проблема в тому, що в державних органах дуже мало людей насправді розуміють як захищати системи від кібератак.

Я пропонував раніше, і мені не шкода повторити це ще раз. Процесуально та законодавчо проблема кібербезпеки державних установ не вирішується. Це глибока системна криза, головною причиною якої є елементарна відсутність кваліфікованого персоналу.

Державному ІТ треба в першу чергу розказати, а краще показати, як захищати та атакувати власні системи, щоб підвищувати їхню захищеність від кібератак. А поки держава вирішує який з держорганів відповідальний за кіберзахист, спеціалісти на місцях діють на власний розсуд або ж не діють взагалі.

Коротко про важливе

Білоруські кіберпартизани пошифрували системи білоруської залізниці на знак протесту проти переміщення російських військових та озброєння на територію країни. Хактивісти заявляють, що вони атакували лише сервери та робочі станції, які не впливають на системи автоматизації та безпеки. Група вимагає звільнення 50 політичних в’язнів, що потребують невідкладної медичної допомоги, та виведення російських військ з території Білорусі. bleepingcomputer.com

Новий СЕО Twitter сходу звільнив керівника з безпеки, після чого CISO звільнився сам. Це цікавий хід, який може розкривати нову стратегію Твіттеру щодо безпеки. Адже кращого менеджера з безпеки, ніж Mudge, Твіттер навряд чи знайде. Отже, очевидно, відтепер кращого й не треба. nytimes.com

Ентерпрайз-лінійки продуктів компаній McAfee та FireEye об’єдналися під брендом Trellix. theregister.com

DDoS-атака на Squidcraft (Squid Game у Minecraft) “поклала” інтернет в Андоррі. Пікові стрибки трафіку сягали 10Gbps, чим вивели з ладу єдиного ISP в країні. itsecuritynews.info

Компанія Merck виграла позов проти страхової компанії Ace American. Нагадаємо, що бізнес Merck втратив 1,4 млрд дол. США через призупинення операцій у 2017 році через кібератаку росіян з використанням шкідника notPetya. Страхова компанія відмовилася сплачувати компенсацію, вмотивувавши це тим, що неПетя був актом війни, а отже форс-мажором. Суд вищої інстанції цю тезу не підтримав. schneier.com

Хакерські штуки

Компанія Apple випустила термінове оновлення iOS та macOS для виправлення вразливостей нульового дня, які активно використовуються зловмисниками. Рекомендуємо якомога скоріше оновити ваші пристрої. thehackernews.com

Ryan Pickren зміг використати Universal Cross-Site Scripting у веббраузері Safari, щоб отримати доступ до буквально всіх сайтів, які відвідувала жертва. Для цього достатньо переконати користувача натиснути на повідомлення, яке маскується під файл, розшарений через iCloud. Зв’язка з чотирьох вразливостей принесла йому понад $100,000 винагороди від Apple. ryanpickren.com

Китай заражає користувачів macOS шкідником DazzleSpy, використовуючи атаку типу Watering Hole на вебсайті продемократичної радіостанції у Гонконгу. bleepingcomputer.com

Drupal випустив критичне оновлення до версій 7, 9.2 та 9.3, яке вправляє вразливості, що призводять до захоплення контролю над вебсайтом. cisa.gov

Шкідник TrickBot реалізує нові техніки захисту від реверсивного аналізу. Наприклад, тепер вірус вирубає вкладки браузера, в яких дослідники намагаються відновити структуру мініфікованого коду на JavaScript. bleepingcomputer.com

Знайдено вразливість локального підвищення привілеїв в програмі pkexec з пакета Polkit, який встановлено практично у кожному дистрибутиві Linux. bleepingcomputer.com

Ботнет Mirai атакує мережеві пристрої ZyXEL, використовуючи вразливість у Log4j. zdnet.com

Знайдено бекдор у WordPress в темах та плагінах від AccessPress Themes. Очевидно, розробника було скомпрометовано. jetpack.com

Російські кібершпигуни з APT28 використовують Microsoft OneDrive у якості сервера управління для здійснення кібератак на оборонні та державні установи у Польщі та інших східноєвропейських державах. darkreading.com

Анонси

Тривають збори доповідей на зимові зустрічі OWASP Kyiv та OWASP Zhytomyr.

Аналітика та рекомендації

Навчальний курс зі зворотного інжинірингу від Аманди Руссо, ширше відомої як Malware Unicorn: Reverse Engineering 101. Malwareunicorn.org

Відео інтерв’ю Анастасії Войтової на DOU. youtube.com

Єврокомісія розпочала програму баг-баунті для пошуку вразливостей у відкритому програмному забезпеченні, що використовується в установах Євросоюзу. LibreOffice, LEOS, Mastodon, Odoo, та CryptPad. Анонсовано винагороди до 5000 євро. ec.europa.eu

Огляд NIST Cybersecurity Framework від CSO Online. csoonline.com До речі, NIST CSF вже давно перекладено українською [PDF].

Luke Tucker попросив пентестерів у Твіттері розповісти найфантастичніші історії, які траплялися з ними на проєктах. Тепер у цьому треді можна зустріти спогади справжніх живих легенд індустрії.

It-depends це інструмент для автоматичного пошуку програмних залежностей у вашому коді. Тула допомагає позбавитися зайвих бібліотек, які реалізують схожі функції, та шукати відомі вразливості ланцюга постачання. blog.trailofbits.com

Смі#$%oчки

Ілон Маск запропонував дев’ятнадцятирічному студенту $5000 за видалення облікового запису у Twitter. Джек Суінні створив бот, який відстежує приватний літак Маска та постить про оце у Twitter. protocol.com