Докладно про головне
На тлі кібератак 13-14 січня, Держспецзв’язку виступила з законодавчими ініціативами щодо “узаконення процедури BugBounty”. Зокрема пропонується внести зміни до “кіберкримінальних” статей 361 та 361-1 ККУ, адже наразі вони допускають застосування по факту і не вимагають звернення постраждалої сторони.
Також, пропонується запровадити в державних органах посаду “офіцера з кіберзахисту” з оплатою праці не нижче за ринкову, підвищити зарплатню та розширити повноваження відповідальним за кібербезпеку, підсилити відповідальність посадових осіб за нехтування вимогами кібербезпеки тощо. Джерело: ДССЗЗІ у Facebook.
Все це звучить як логічні заходи, проте у мене стійке враження, що вони не будуть дієвими. Декриміналізація хакерських статей це круто, проте й в поточному стані УКК державні та приватні організації в Україні проводять Bog Bounty, головне бажання.
CISO в держустановах це теж цікаво, проте не дуже реалістично. І справа не в грошах навіть, а в ресурсі. На всі необхідні посади в Україні просто фізично не знайдеться достатньо кандидатів. А виростити кваліфікованих менеджерів кібербезпеки вдасться хіба що за 2-3 роки.
Підсилення відповідальності керівників установ та підвищення зарплатні спеціалістам з кібербезпеки – теж звучить як план, проте не усуває головну проблему. А вона не в тому, що спеціалістам мало платять, а керівників недостатньо карають. Проблема в тому, що в державних органах дуже мало людей насправді розуміють як захищати системи від кібератак.
Я пропонував раніше, і мені не шкода повторити це ще раз. Процесуально та законодавчо проблема кібербезпеки державних установ не вирішується. Це глибока системна криза, головною причиною якої є елементарна відсутність кваліфікованого персоналу.
Державному ІТ треба в першу чергу розказати, а краще показати, як захищати та атакувати власні системи, щоб підвищувати їхню захищеність від кібератак. А поки держава вирішує який з держорганів відповідальний за кіберзахист, спеціалісти на місцях діють на власний розсуд або ж не діють взагалі.
Коротко про важливе
Білоруські кіберпартизани пошифрували системи білоруської залізниці на знак протесту проти переміщення російських військових та озброєння на територію країни. Хактивісти заявляють, що вони атакували лише сервери та робочі станції, які не впливають на системи автоматизації та безпеки. Група вимагає звільнення 50 політичних в’язнів, що потребують невідкладної медичної допомоги, та виведення російських військ з території Білорусі. bleepingcomputer.com
Новий СЕО Twitter сходу звільнив керівника з безпеки, після чого CISO звільнився сам. Це цікавий хід, який може розкривати нову стратегію Твіттеру щодо безпеки. Адже кращого менеджера з безпеки, ніж Mudge, Твіттер навряд чи знайде. Отже, очевидно, відтепер кращого й не треба. nytimes.com
Ентерпрайз-лінійки продуктів компаній McAfee та FireEye об’єдналися під брендом Trellix. theregister.com
DDoS-атака на Squidcraft (Squid Game у Minecraft) “поклала” інтернет в Андоррі. Пікові стрибки трафіку сягали 10Gbps, чим вивели з ладу єдиного ISP в країні. itsecuritynews.info
Компанія Merck виграла позов проти страхової компанії Ace American. Нагадаємо, що бізнес Merck втратив 1,4 млрд дол. США через призупинення операцій у 2017 році через кібератаку росіян з використанням шкідника notPetya. Страхова компанія відмовилася сплачувати компенсацію, вмотивувавши це тим, що неПетя був актом війни, а отже форс-мажором. Суд вищої інстанції цю тезу не підтримав. schneier.com
Хакерські штуки
Компанія Apple випустила термінове оновлення iOS та macOS для виправлення вразливостей нульового дня, які активно використовуються зловмисниками. Рекомендуємо якомога скоріше оновити ваші пристрої. thehackernews.com
Ryan Pickren зміг використати Universal Cross-Site Scripting у веббраузері Safari, щоб отримати доступ до буквально всіх сайтів, які відвідувала жертва. Для цього достатньо переконати користувача натиснути на повідомлення, яке маскується під файл, розшарений через iCloud. Зв’язка з чотирьох вразливостей принесла йому понад $100,000 винагороди від Apple. ryanpickren.com
Китай заражає користувачів macOS шкідником DazzleSpy, використовуючи атаку типу Watering Hole на вебсайті продемократичної радіостанції у Гонконгу. bleepingcomputer.com
Drupal випустив критичне оновлення до версій 7, 9.2 та 9.3, яке вправляє вразливості, що призводять до захоплення контролю над вебсайтом. cisa.gov
Шкідник TrickBot реалізує нові техніки захисту від реверсивного аналізу. Наприклад, тепер вірус вирубає вкладки браузера, в яких дослідники намагаються відновити структуру мініфікованого коду на JavaScript. bleepingcomputer.com
Знайдено вразливість локального підвищення привілеїв в програмі pkexec з пакета Polkit, який встановлено практично у кожному дистрибутиві Linux. bleepingcomputer.com
Ботнет Mirai атакує мережеві пристрої ZyXEL, використовуючи вразливість у Log4j. zdnet.com
Знайдено бекдор у WordPress в темах та плагінах від AccessPress Themes. Очевидно, розробника було скомпрометовано. jetpack.com
Російські кібершпигуни з APT28 використовують Microsoft OneDrive у якості сервера управління для здійснення кібератак на оборонні та державні установи у Польщі та інших східноєвропейських державах. darkreading.com
Анонси
Тривають збори доповідей на зимові зустрічі OWASP Kyiv та OWASP Zhytomyr.
Аналітика та рекомендації
Навчальний курс зі зворотного інжинірингу від Аманди Руссо, ширше відомої як Malware Unicorn: Reverse Engineering 101. Malwareunicorn.org
Відео інтерв’ю Анастасії Войтової на DOU. youtube.com
Єврокомісія розпочала програму баг-баунті для пошуку вразливостей у відкритому програмному забезпеченні, що використовується в установах Євросоюзу. LibreOffice, LEOS, Mastodon, Odoo, та CryptPad. Анонсовано винагороди до 5000 євро. ec.europa.eu
Огляд NIST Cybersecurity Framework від CSO Online. csoonline.com До речі, NIST CSF вже давно перекладено українською [PDF].
Luke Tucker попросив пентестерів у Твіттері розповісти найфантастичніші історії, які траплялися з ними на проєктах. Тепер у цьому треді можна зустріти спогади справжніх живих легенд індустрії.
It-depends це інструмент для автоматичного пошуку програмних залежностей у вашому коді. Тула допомагає позбавитися зайвих бібліотек, які реалізують схожі функції, та шукати відомі вразливості ланцюга постачання. blog.trailofbits.com
Смі#$%oчки
Ілон Маск запропонував дев’ятнадцятирічному студенту $5000 за видалення облікового запису у Twitter. Джек Суінні створив бот, який відстежує приватний літак Маска та постить про оце у Twitter. protocol.com