В богоспасаемых США творится Б-г знает что: «In 2018, mobile account takeovers increased even more. There were 679,000 mobile account takeovers, versus 380,000 in 2017. (Source: Javelin Strategy)». Рост едва ли не на 100% в год, отличные показатели. Впрочем, абсолютные цифры тоже шокируют. Надо бы глянуть методику их получения, возможно, в них учитывают слишком многое.

При всём при этом, чтобы вы понимали, the very first ever судебный приговор по такому делу был вынесен только этой зимой, т.е. в 2019 году, против чуваков, которые крали миллионы долларов у «криптанов» прямо во время их тусовочек. Рекордный улов — 5 миллионов за один вечер.

Кстати, помните Майкла Терпина, знатного криптовалютного спекулянта, который поставил абсолютный рекорд в этой области? В прошлом году он потерял крипты на 216 млн. долларов в ценах на момент кражи. Дядька был вне себя от бешенства, поскольку его оператор наглейшим образом злоупотребил всем, чем только можно было. Впрочем, подробности я уже описывал, ограничусь сообщением об относительно счастливом финале. Мистер Терпин выиграл суд против AT&T, получив 75.8 млн. долларов. Не 220, конечно, но тоже неплохо, учитывая, что подписанный им договор на VIP-обслуживание вообще не предусматривал ответственность оператора за что-либо.

Подозреваю, что история с Терпином стала катализатором публичного интереса к этой проблеме, заставив почтенную публику навести, в конце концов, резкость на происходящие в индустрии бардак и беспредел. Ещё год назад буквально в каждой публикации речь шла о «сотнях, может быть тысячах» пострадавших. Никаких агрегированных данных, никакой национальной статистики я не встречал.

Чудовищность истории, приключившейся с уважаемым человеком, произвела на американцев впечатление. Теперь в публикациях мелькают разного рода инициативные группы, которые ищут справедливости, ссылаясь, в том числе, на злоключения знатного криптоинвестора.

В Австралии, насколько могу судить по нескольким попавшимся на глаза публикациям, дела обстоят примерно так же, как это было в Штатах до конца прошлого года. С одной стороны, газеты сообщают о десятках жертв, допуская возможность их общего числа в размере сотен и даже тысяч. С другой стороны, операторы и банки на голубом глазу утверждают о соблюдении ими «лучших мировых практик». Fuck off, короче, дорогие клиенты.

В старой доброй Англии пресса пошла заметно дальше. Ещё в 2016 году журналисты одной из радиостанций, входящих BBC наглядно продемонстрировали, как с помощью перевыпуска SIM-карты можно установить контроль над чужим банковским счётом. Сразу два банка, ставшие полигоном для публичной демонстрации уязвимостей, признали наличие проблемы и пообещали изменить процедуры аутентификации. Представил, как Дубилету-старшему предлагают отказаться от SMS-аутентификации из-за того, что у кого-то украли деньги со счёта.

Два года спустя другая команда журналистов с помощью скрытой камеры зафиксировала как сотрудники салонов мобильной связи нарушают процедуры замены SIM-карт. Причём нарушения затрагивали и абонентов контрактной формы подключения, и предоплаченных услуг. Эти факты использовались ими для передачи, посвящённой всё той же проблеме кражи денег с банковских счетов.

Мне до сих пор не удалось найти хоть какую-то статистику по такого рода преступлениями в ЕС. Возможно, её просто нет. Было бы интересно сравнить ЕС и США по этому показателю.

В Бразилии много не только диких обезьян, но и крутых инноваторов. Финтех-стартапы далёкой прекрасной страны обожают использовать номер мобильного как фактор аутентификации. Восстановить «забытый» пароль? Нет проблем! Результат — эпидемия мошеннических действий, жертвами которой стало много представителей «высших слоёв» общества.

Зато обнаружился пример успешного решения проблемы кражи денег с банковских счетов посредством угона «финансового» номера. Причём решения радикального, обеспечившего практически полное искоренение проблемы. Случилось это, внезапно, в Мозамбике.

Все мобильные операторы страны реализовали для банковских учреждений приватный API, который позволяет проверить не происходила ли в указанный период времени замена SIM-карты для данного номера. Банки блокируют любые транзакции для номеров, которые были перенесены за последние 48-72 часа. Этот период был признан достаточным, чтобы жертва кражи номера нашла время обратиться к оператору и восстановить контроль над ним. В случае если замена карты производилась законным владельцем, он может воспользоваться услугами банка при личном визите в отделение.

Достоинством этой схемы является то, что она не предполагает распространение персональной информации. Банк отправляет запрос, на который получает один-единственный ответ «правда» или «ложь».

В этом месте стоит сделать одно важное неприятное замечание. Информация о мозамбикском кейсе почёрпнута мною из материала Kaspersky Lab. Не знаю, как это трактовать, но эта статья оказалась наиболее профессиональным материалом по данной теме. Причём таких материалов я встретил всего ничего, мизер.

Скажу больше, и проблему SS7-уязвимостей в сетях мобильной связи наиболее глубоко копают в российской Positive Technologies. Если к этой тёплой компании присоединятся китайцы, имея целью заделаться лучшим (а то и единственным) проводником интересов абонентов мобильной связи в США и ЕС, будет вообще вызывающая ситуация. Получится, что защитой абонентов от произвола операторов и банкиров занимается только «ось зла».

С этим, кстати, связаны и возможности. В конце прошлого года по приглашению организаторов Nonamecon я выступил с докладом об уязвимостях в сетях мобильной связи. Именно в сетях, а не в абонентских устройствах.

После доклада была возможность пообщаться и на конференции, и по её окончании. Обнаружился поразительный факт — я оказался, кажется, первым и единственным человеком за много лет, который говорил об этих вещах. На сегодняшний день проблематика специфических рисков и угроз в сетях мобильной связи оказалась в слепой зоне профессионального сообщества. В Украине я до сих пор не нашёл ни одного специалиста, ни одной команды, которые специализируются на этих вопросах.

Это вполне себе ниша, в которой можно найти немало денег и других ништяков. Главное не лениться.

При этом одной из главных целей киберпреступников являются сайты компаний и структур, занимающихся финансовыми операциями. Это, в частности, банки, различные платёжные сервисы и пр.

Перечень наиболее распространённых атак со временем практически не меняется. Так, наиболее часто сетевые злоумышленники применяют следующие методы: «Внедрение SQL-кода» (SQL Injection), «Выход за пределы каталога» (Path Traversal) и «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS).

Как утверждают эксперты, все сайты из любой отрасли ежедневно подвергаются кибератакам. Если атака целенаправленная, то отдельные её шаги можно сопоставить и сложить в единую цепочку.

Специалисты Positive Technologies выяснили, что в прошлом году большинство кибератак осуществлялось с целью незаконного получения тех или иных данных.

«Сайты IT-компаний подвергались главным образом атакам, направленным на получение информации и контроля над приложением. Финансовые организации тем временем в первую очередь страдали от атак на их клиентов, наиболее распространённая из которых — XSS (29 % всех атак на сайты в отрасли). Аналогичным атакам подвержены сферы услуг и образования», — говорится в отчёте.

Бенчмарки, названные MLPerf Inference v0.5, концентрируются вокруг трёх общих задач машинного обучения: распознавание изображений, обнаружение объектов и системы перевода. Учитывая различные возможности обработки данных на различных устройствах, существуют отдельные тесты для ИИ на различных платформах, таких как смартфоны, серверы и чипы.

Генеральный председатель MLPerf Питер Мэттсон (Peter Mattson) отметил, что формирование таких критериев оценки ИИ создаст стандарты для оценки новых программных платформ машинного обучения, аппаратных ускорителей и облачных и периферийных вычислительных платформ в реальных ситуациях. Также это сформирует равные условия, которые смогут использовать даже самые мелкие компании.

Помимо этого, стандартизация подстегнёт разработку ИИ-систем и направит её в нужное русло. На данный момент пока не сообщается, какие технические особенности реализуются в MLPerf Inference v0.5. Также не ясно, когда набор тестов выйдет на рынок и станет доступен коммерческим структурам. Однако сам факт появления такого инструмента указывает, что разработчики видят перспективы для ИИ-систем.

«Мы должны изолировать наше общение», – говорит высокопоставленный правительственный чиновник.

Напомним, что Франция запустила зашифрованное приложение чата «Tchap» для использования в государственных учреждениях в начале этого года. Доступ к Tchap могут получить только те люди, которые работают во французских правительственных учреждениях. Но примечательно, что разработчики открыли исходный код этого приложения для всеобщего обозрения и аудита.

Пользователи, которые не подписаны на канал за деньги, вместо полноценной трансляции увидят её предпросмотр. Однако отмечается, что бесплатная месячная подписка с помощью Twitch Prime позволит зрителям просматривать эфиры только для платных подписчиков.

Кроме того, записи таких трансляций тоже будут доступны только платным подписчикам, а вот клипы смогут просматривать все пользователи сервиса, если только автор не изменит это в настройках своего канала.

пан Корсун вважає, що Україна залишається незахищеною перед новою кіберагресією, а агенція, яка опікується кіберзахистом держави, — Держспецзв’язку — використовує застарілі методи роботи.

Одним з головних інструментів, який використовується Держспецзв’язку, є так звана КСЗІ — комплексна система захисту інформації, яка наразі активно впроваджується на різних підприємствах та об’єктах критичної інфраструктури.

Олександр Галущенко додав, що зовнішня перевірка захисту провайдерів та державних ресурсів, що використовують КСЗІ, показала її неефективність.

«Попри її використання величезна кількість надважливих даних, зокрема про об’єкти критичної інфраструктури, персональні дані українців, дані комерційних компаній тощо, все ще знаходяться у відкритому доступі. А це абсолютно неприпустимо», — сказав пан Галущенко.

Нагадаємо, вірус NotPetya вразив Україну 27 червня 2017 року. Атака охопила українські ІТ-системи і потім поширилася по всьому світу. За деякими оцінками, шкода від NotPetya сягнула мільярдів гривень, а постраждало майже кожне четверте підприємство в країні.

Ранішемедіа» публікував інтерв’ю з Костянтином Корсунем, де він детально розповідав, чому Україна є вразливою для хакерських атак і як це виправити.

Отныне пользователь может загружать плейлисты, альбомы, историю прослушивания всего в один клик. Песни будут добавляться ночью, когда владелец девайса будет спать. Единственное, что нужно, это качественное WiFi соединение. YouTube показал пример того, как это может выглядеть для обычного пользователя: «Offline Mixtape, Pop Hotlist, плейлист Summer 2019, альбом Kacey Musgraves».

Некоторые не понимают, зачем людям нужно так много музыки на своих телефонах. Однако многие международные компании, как правило, имеют такую ​​функцию для удобства пользователей. Netflix также находится на пути реализации такой возможности.

Это отвечает высокому спросу со стороны клиентов, который подтверждается тем, что более пяти тысяч новых заказчиков приступили к тестовому использованию Autonomous Database только в четвертом квартале 2019 финансового года.

«Сервис Autonomous Database Dedicated позволяет клиентам легко перейти от управляемых вручную, независимых базы данных, функционирующих в локальной среде к полностью автономной изолированной облачной базе данных в публичном облаке Oracle Public Cloud, – сказал Хуан Лоайза, исполнительный вице-президент Oracle по направлению Mission-Critical Database Technologies – Наш сервис Autonomous Database Dedicated решает проблемы безопасности, изоляции и соблюдения регламентов при переходе в облако, с которыми ранее приходилось сталкиваться многим корпоративным клиентам».

Сервис Oracle Autonomous Database Dedicated предоставляет клиентам настраиваемые базы данных в частном облаке, работающие на выделенной инфраструктуре Exadata в облаке Oracle Cloud. Это хорошая платформа «базы данных как сервис», которая позволяет клиентам запускать базы данных любого размера, масштаба и критичности. Ее архитектура обеспечивает высокую степень изоляции рабочих нагрузок, помогая защитить каждую базу данных – как от внешних угроз, так и от злонамеренных действий внутренних пользователей. Уровень безопасности и выделенной производительности можно легко адаптировать к потребностям каждой базы данных.

Сервис Oracle Autonomous Database Dedicated также предусматривает настраиваемые параметры работы. Клиенты получают больший контроль над выделением ресурсов для базы данных, обновлением ПО и уровнем доступности.

Oracle также объявила о доступности богатого набора встроенных возможностей Autonomous Database для разработчиков, включая поддержку Oracle Application Express (APEX), Oracle SQL Developer Web и Oracle REST Data Services. Они позволяют быстро разрабатывать и развертывать новые приложения, работающие с данными.

Дополнительно Oracle объявила о доступности SQL Developer Web – веб-интерфейса для работы с автономной базой данных Oracle. С его помощью разработчики могут легко выполнять запросы, создавать таблицы и диаграммы схем баз данных. Благодаря встроенной поддержке Oracle REST Data Services теперь можно разрабатывать и развертывать RESTful-сервисы для Autonomous Database. Это упрощает создание современных REST-интерфейсов для работы с реляционными данными.

По моей информации, сейчас готовится отмена решения СНБО о запрете в Украине российских социальных сетей… Мы можем вернуться в тот процесс, когда нам возобновят работу «Одноклассников» и Вконтакте И далее будут кормить украинское общество, украинскую молодежь российской пропагандой», – отметил он.

Журналист добавил, что Зеленский найдет возможность отменить указ СНБО. Также он акцентировал, как в Украине активизировались пророссийские силы после прихода Зеленского к власти.

«Помните, как президент Зеленский говорил, чтобы украинцы возвращались в Украину и помогали что-то делать? Вернулись! Коломойский, Портнов, ждем Азарова, ждем Януковича», – добавил он.

Анонімні автори каналу закликають до агресії відносно учасників КиївПрайду. Так, до однієї з дівчат, яка була присутня на акції у військовій формі з шевроном УПА, просять застосувати насильство і «провести бесіду».

Нагадаємо, в неділю, 23 червня, в Києві пройшов Марш рівності - акція на підтримку рівних прав для лесбіянок, геїв, бісексуальних та трансгендерних людей (ЛГБТ) в Україні. Четверо жителів Рівненської області спробували закидати фекаліями учасників КиївПрайду, вони були затримані поліцією.

Збої в роботі Вікіпедії спостерігаються з 8:38 за часом Східного узбережжя США (3:38 Київ)”, — сказано на сайті сервісу.

Найчастіше про проблеми в роботі повідомляють користувачі з США, Великобританії, Данії, Німеччини та інших країн Європи, в тому числі України.

Найбільше користувачі скаржаться на проблеми з роботою сайту (86%) і авторизацією (13%).

В сообщении говорится о том, что атака проводилась с применением вредоносного ПО Regin, используемого альянсом «Пять глаз», в состав которого помимо США и Великобритании входят Австралия, Новая Зеландия и Канада. Представители спецслужб указанных стран пока не комментировали это сообщение.

Стоит отметить, что кибератаки западных стран против России редко признаются и о них не принято говорить публично. Источник издания сообщил о том, что определить, какая именно страна стоит за атакой на ........, достаточно сложно. По его словам, внедрение вредоносного кода было осуществлено в период с октября по ноябрь 2018 года.

Представители ........ признали, что в указанный период поисковая система действительно подверглась атаке. Однако было отмечено, что служба безопасности ........ смогла выявить подозрительную активность на ранней стадии, что позволило полностью нейтрализовать угрозу до того, как хакеры смогли нанести какой-либо вред. Было отмечено, что в результате атаки не были скомпрометированы какие-либо пользовательские данные.

По мнению источника ......., который сообщил о хакерской атаке, злоумышленники пытались заполучить техническую информацию, которая позволит понять, каким образом ........ осуществляет аутентификацию пользователей. Имея в наличии такие данные, спецслужбы могли бы выдавать себя за пользователей ........, получая доступ к их электронным письмам.

Напомним, вредоносная программа Regin была идентифицирована как инструмент альянса «Пять глаз» в 2014 году, когда о ней впервые публично рассказал бывший сотрудник Агентства национальной безопасности (NSA) Эдвард Сноуден (Edward Snowden).

Напомним, программист создал приложение DeepNude, которое использует нейронные сети для удаления одежды с фотографий женщин.

Разработчики заявили, что не думали, что сервис станет вирусным.

"Мы создали этот проект для развлечений пользователей несколько месяцев назад. Мы думали, что у нас будет несколько продаж каждый месяц, которые мы будем контролировать вручную... Сервис работает только с определенными фотографиями. Мы никогда не думали, что наш сервис станет вирусным, и мы не сможем контролировать трафик. Мы сильно недооценили запрос", - говорится в заявлении.

Создатели приложения объянили, что несмотря на принятые меры безопасности (водяные знаки), если его используют 500 тысяч человек, вероятность того, что люди будут злоупотреблять им — слишком высока.

"Мы не хотим зарабатывать деньги таким способом. Конечно, некоторые копии DeepNude будут опубликованы в Сети, но мы не хотим быть теми, кто продает это приложение... С этого момента DeepNude не будет выпускать другие версии приложения и давать доступ к уже существующим, даже в премиум-версию", - отметили в DeepNude.

Они подчеркнули, что "мир еще не готов к DeepNude", так как слишком высока вероятность злоупотребления сервисом.

Приложения размещаются на отдельных серверах, где вирус постоянно обновляется для невозможности обнаружения. На данный момент обнаружено 137 версий.

Нужно сказать, что пользователи далеко не всегда замечали проблемы, так как сами программы достаточно ресурсоемкие.

Специалисты призывают отказаться от пиратского софта в пользу официальных версий программ, который однозначно будут намного безопаснее.

Удалять вредные твиты политиков сервис не хочет — чтобы не нарушать право пользователей на доступ к общественно значимой информации.

Правила распространяются на верифицированные аккаунты представителей власти и кандидатов на государственные должности, у которых более 100 000 подписчиков.

В числе прочего правилами запрещено: угрожать насилием отдельным лицам или группам лиц; публиковать угрозы и пропагандировать терроризм или воинствующий экстремизм; целенаправленно преследовать других пользователей или поощрять подобное поведение; пропагандировать насилие, угрожать и оскорблять других людей на основании расовой, этнической или национальной принадлежности, сексуальной ориентации, пола, гендерной идентичности, религиозных убеждений, возраста, ограниченных физических или умственных возможностей или серьезных заболеваний; пропагандировать либо поощрять самоубийство или причинение себе вреда.

Прятать вредный твит или нет, каждый раз будет решать команда модераторов.

Новые правила распространяются только на новые твиты, опубликованные с 27 июня

Так, буквально в січні ми повідомляли про те, що Apple Music набрав вже 50 млн платних передплатників, як зараз стало відомо, що таких у сервісу вже 60 млн.

Для порівняння, у Spotify – головного конкурента Apple Music – у квітні було 100 млн платних передплатників, але зараз база сервісу Apple зростає швидше. На стороні Apple Music як популярність компанії, так і доступність на тих ринках, де Spotify досі немає.

Всі вони з його допомогою обмінюються повідомленнями, телефонують по відеозв’язку, здійснюють голосові дзвінки, відправляють файли, а також використовують багато інших можливостей, які надає дане ПО, причому абсолютно безкоштовно.

Проте, вже незабаром WhatsApp перестане працювати на багатьох смартфонах під управлінням Android і iOS, про що всі їх власники обов’язково повинні знати. Це програмне забезпечення перестане підключатися до серверів розробників, в зв’язку з чим буде неможливо не тільки відправляти кому-небудь повідомлення, але ще і приймати їх. На практиці це означає, що мільйони людей втратять можливість спілкуватися, а станеться це вже 1 лютого 2020 року.

Як повідомило офіційне джерело, месенджер WhatsApp перестане працювати будь-яким чином на смартфонах і планшетах, які працюють на базі операційних систем iOS 7 і старше, а також Android 2.3.7 і старше. На практиці це означає, що користувачі пристроїв, що працюють під управлінням таких платформ, не зможуть продовжувати використовувати це програмне забезпечення будь-яким чином. Як вважають розробники, такі ОС вже дуже сильно застаріли, тому прийшов час відмовитися від їх підтримки, причому під удар потрапили не тільки вони.

Вже з 31 грудня 2019 року месенджер WhatsApp перестане якимось чином працювати на будь-яких пристроях під управлінням Windows Phone від компанії Microsoft. Всім власникам даних гаджетів доведеться попрощатися з таким сервісом для спілкування. Щоб цього не довелося робити розробники радять усім власникам телефонів, що працюють на застарілих операційних системах, як можна швидше задуматися про покупку собі сучасного мобільного пристрою. В іншому випадку продовжувати використовувати найпопулярніший в світі сервіс для спілкування буде неможливо.

«Попытки перевести XRP в любую из криптовалют или фиатные средства были неуспешными. Вместо этого высвечивалось уведомление: «сервис временно не работает». Тогда я понял, что появились проблемы. Когда захотел проверить наличие своих запросов в очереди, вовсе не смог попасть на Bitsane», – заявил один из пользователей. На данный момент сайт криптобиржи не работает. Скорее всего, его отключили 10-11 дней назад. Мошенники удалили и аккаунты из социальных сетей. На момент закрытия у торговой площадки было почти 250 тысяч аккаунтов. Дневной оборот составлял 7 миллионов долларов, хотя последнее время сделки на площадке не проходили. Попытки связаться с сотрудниками биржи по телефонным номерам, которые прописаны в пресс-релизе, не увенчались успехом.

Сотрудникам MySpace был доступен инструмент Overlord, который позволял читать личную переписку пользователей и видеть их пароли в незашифрованном виде. Они использовался для модерации платформы и решения спорных вопросов, в том числе связанных с авторскими правами на размещаемую музыку.

Бывший руководитель службы безопасности MySpace Хеманшу Нигам считает, что подобные инструменты есть у любой соцсети. С их помощью поддержка выявляет нарушения и принимает решения о том, как реагировать на обращения пользователей, правообладателей и запросы правоохранительных органов.

Представители MySpace сообщили, что инструмент Overlord по-прежнему существует, но доступ к нему есть лишь у нескольких сотрудников, все действия с ним подробно протоколируются, а любое злоупотребление ведёт к немедленному увольнению.

"Попытка атаки была предотвращена до причинения какого-либо ущерба. Можем заверить, что злоумышленники не смогли получить доступ к данным пользователей сервисов "......а", – заявили в пресс-службе компании агентству "......", как и все крупные интернет-компании, регулярно сталкивается с разнообразными видами киберугроз. Наша корпоративная политика не подразумевает распространения подробной информации о подобных случаях".

Накануне агентство опубликовало эксклюзивную статью, в которой говорится, что хакеры, работающие на западные спецслужбы, взломали серверы "......а" в конце 2018 года. Благодаря этому они могли следить за аккаунтами пользователей.

В статье утверждается, что злоумышленники действовали с помощью программы Regin. Это программное обеспечение используют для хакерских атак спецслужбы США, Великобритании, Австралии, Новой Зеландии и Канады, Определить, какая из пяти стран стояла за атакой, невозможно.

Представители агентства Национальной безопасности США и спецслужбы пяти стран от комментариев агентству отказались.

"......" – российская транснациональная компания, представляющая услуги интернет-поиска, почтовый и другие сервисы. Чистая консолидированная прибыль компании за 2018 финансовый год составила более 660 миллионов долларов. Это на 430 процентов выше аналогичного показателя за 2017 год.

К таким выводам пришли эксперты инициативной группы, которая на протяжении месяца проводила исследование сетей так называемых «защищенных» провайдеров телекоммуникаций,

Среди учреждений, у которых обнаружены существенные проблемы с кибербезопасностью – Энергоатом, Укрпошта, Укрзалізниця, КОРД, крупные логистическая и страховая компания и множество других

Как мы уже сообщали ранее, группа украинских ИБ-экспертов в рамках флеш-моба #двадцатьседьмое на протяжении месяца исследовала сети операторов, провайдеров телекоммуникаций, которые построили по требованию Государственной службы специальной связи и защиты информации так называемую комплексную систему защиты информации (КСЗИ) и имеют Аттестат соответствия системы защиты защищенных узлов доступа. КСЗИ, напомним, является обязательным условием для провайдера, предоставляющего услуги доступа к сети Интернет государственным органам и учреждениям, и стоит провайдеру от 300 тысяч гривен. Часть результатов исследования была опубликована ранее и уже при публикация первых результатов позволила исследователям говорить о том, что КСЗИ – «иллюзия защищенности, очковтирательство и рассадник коррупции». 27 июня ИБ-эксперты презентовали итоги акции #двадцатьседьмое общественности.

Что говорили

27 июня в У........ прошла совместная пресс-конференция Председателя Правления Интернет Ассоциации Украины Александра Федиенко и экспертов по кибербезопасности Контстантина Корсуна, Андрея Перцюха, Александра Галущенко и Андрей Перевезий на тему «Вторая годовщина кибератаки NotPetya: готова ли Украина к киберагресии?».

– Украина была эпицентром самой масштабной в истории человечества кибератаки – атаки вируса NotPetya. По некоторым оценкам, практически каждое четвертое предприятие Украины так или иначе зацепил этот вирус. Казалось бы: Украина находится в центре кибервойны и такие жестокие уроки должны были привести к тому, что мы пошли должны были пойти путем Эстонии и стать одной из самых мощных стран Европы в плане киберзащиты. Но этого не произошло, – отметил эксперт по кибербезопасности Константин Корсун.

Константин Корсун подчеркнул, что ключевым государственным агентством страны, отвечающим за кибербезопасность Украины, является Государственная служба специальной связи и защиты информации, но эта служба, по его мнению, не способна выполнять возложенные на нее задачи и обязанности.

– Она не является профессиональной, использует устаревшие методы, и её усилия не соответствуют современным вызовам киберзащиты страны и организации этой работы, – подчеркнул Корсун.

Особое внимание Константин Корсун обратил на КСЗИ – Комплексную систему защиты информации, которая «агрессивно и активно внедряется на различных предприятиях, объектах критической инфраструктуры»:

– В частности, есть положение, которое говорит, что провайдеры доступа к Интернету не имеют права предоставлять услуги госучреждениям, если у провайдеров нет КСЗИ. По этому поводу мои коллеги провели несколько интересных исследований.

– Возникла идея посмотреть снаружи, что же происходит с нашими государственными ресурсами и провайдерами, которые имеют заключение о КСЗИ. Мы не использовали какие-либо специальные средства – мы использовали обычный компьютер, на котором не установлено ничего, то есть каждый пользователь Интернета может все эти манипуляции повторить, – объясняет один из инициаторов исследования Александр Галущенко. – Мы смотрели на веб-интерфейсы, на открытые ресурсы, и когда в течение месяца получили результаты и обработали их, стало на самом деле страшно: элементарные вещи, которые доступны с любой точки планеты любому пользователю Интернета, находятся в открытом доступе. При чем, эта информация не просто критическая, она архикритическая.

– Очень многие мои знакомые задавали мне вопрос о том, для чего нам это нужно. Мы все с вами живем в Украине и если, не дай Бог, какая-то из атомных электростанций, данные о которой есть в открытом доступе, рванет, пострадают все – вне зависимости от того, живете вы в Киеве, Одессе, Львове… К сожалению, наша страна находится не просто в состоянии кибервойны, мы находимся в состоянии войны с Российской Федерацией. Я не готов на сегодняшний день гарантировать, что у кого-то что-то в голове не стукнет и на нашу страну, на наши объекты критической инфраструктуры, не начнется атака. И на сегодняшний день, как показали наши исследования, объекты критической инфраструктуры (само определение которых на государственном уровне выписано крайне туманно) не просто не защищены, – они находятся в открытом доступе, – комментирует участник исследования Андрей Перевезий. – Точно так же в открытом доступе находятся персональные данные наших граждан.

Андрей Перевезий отмечает – когда анонсировались итоги исследования, очень многие говорили о том, что сами провайдеры не имеют отношения к проблемам, обнаруженным у их клиентов:

– Мы ни в коей мере не говорим, что провайдеры виноваты с точки зрения того, что они не хранят нормально данные своих клиентов. Мы говорим о том, что провайдер получает КСЗИ, а КСЗИ не защищает клиента. Но мне лично, моим клиентам предлагали провайдеры и рассказывали о том, что у них КСЗИ, можно всё разместить и всё будет защищено, а ровно через полгода этих клиентов взломали. Мы говорим о том, что есть даже не КСЗИ, а базовые нормы кибербезопасности, кибергигиена, которую нужно соблюдать абсолютно всем, в том числе объектам критической инфраструктуры и провайдерам, у которых есть КСЗИ.

Что показали

– Мы ничего не взламывали, мы смотрели то, что открыто, то, что доступно каждому в рамках действующего законодательства. Я делегирован продемонстрировать то, что мы нашли во время этой акции, но хочу отметить, что это не первая наша акция, – это логическое продолжение одного из флэш-мобов, организованного Украинским киберальянсом. При этом часть данных, обнаруженных ещё тогда, до сих пор остается в Интернете, – подчеркнул эксперт по кибербезопасности Андрей Перцюх.

На пресс-конференции показали только часть обнаруженных проблем, которые, по словам экспертов, являются показательными для составления общего представления о ситуации.

– Мы вынесли сюда лишь те случаи, которые характеризуют основные обнаруженные нами проблемы. Самих же проблем, на самом деле, очень много. Это не конечный перечень, – комментирует эксперт.

«Провайдер с КСЗИ»

В открытом доступе были обнаружены хеши паролей и персональные данные – бэкап базы данных, которая, по предположению экспертов, занимается управлением некой системой и, вероятно, принадлежит провайдеру с КСЗИ.

«Информация с пульта охраны»

В открытом доступе обнаружена открытая «в мир» общая папка с данными крупной охранной компании. Среди документов и данных, которыми охранники заботливо поделились со всеми желающими в сети, – сведения с пульта охраны, где аккумулируется информация о состоянии охраны, кодах доступа к охраняемому объекту, телефонах контактных лиц и т.д.

– Эта вся информация доступна, как и программное средство управления пультом охраны, где видно, где и когда срабатывает сигнализация. Это данные большой компании, которая работает в целом ряде крупных городов. Возможно, это даже государственная структура, – прокомментировал Андрей Перцюх.

«Укрпочта»

На скриншоте – открытая папка, доступная любому пользователю сети, с каталогами, где хранятся отчеты, информация о выдаче пенсий и т.д.

– Настолько большого объема данных, как у них, мы не видели – мы просто даже не смогли всё обработать, – комментирует Андрей Перцюх.

ЖК Гелиос

Система управления автоматизированными системами здания доступна онлайн.

Чертежи документов

В открытом доступе обнаружены чертежи газотурбинных двигателей предприятия, которым, предположительно, является «Мотор Сич».

НАЭК Энергоатом

Датчики Энергоатома.

– Наиболее громким, в своё время, наверное, был наш спор с представителями Энергоатома касательно информации, которая была обнаружена и продолжает обнаруживаться в открытом доступе об атомных электростанциях. Мы показываем здесь обнаруженные фотографии датчиков Энергоатома, потому что остальная информация, по нашему мнению, очень критическая, – объясняет Андрей Перцюх.

Технологическая информация Энергоатома по энергоблокам.

Описание системы блока аварийного сохранения данных.

– Если вы знаете, как именно эта информация хранится, условно говоря, создание внештатной аварийной ситуации с возможностью её фиксации можно просчитать, изучив эту документацию, – комментирует Андрей Перцюх. – Отмечу, что когда информация касается столь критических инфраструктур, она сразу же передается в соответствующие органы.

Элементы чертежей энергоблока

Электронная схема управления, собственно, реактором.

Технологические схемы реакторного цеха Южно-Украинской АЭС.

«Укрзализныця»

Критическая транспортная инфраструктура – Укрзализныця. Используется очень слабый механизм шифрования. Данные доступны онлайн в «расшареном» виде. В нижнем углу находится информация с открытыми ключами доступа к частной сети Укрзализныци, благодаря которой можно зайти с Интернета в эту часть частной сети.

Часть открытой для всех желающих информации, касающейся Львовской, Одесской, Юго-Западной, Приднепровской, Донецкой железных дорог и Центра обслуживания.

В этих папках доступна контрольная информация о сетях. Архитектура всей сети доступна, – комментирует эксперт.

Устаревшая операционная система, используемая УЗ.

– Не нужно долго искать информацию об уязвимостях ОС. Если вы знаете, какие системы используются, имеете VPN-доступ, и знаете архитектуру сети, – этого больше чем достаточно большинству злоумышленников, – отмечает Андрей Перцюх.

«ЦНАП»

Информация о Центрах предоставления административных услуг, доступная по протоколам незащищенного доступа (http-протокол, без шифрования).

– Мы очень много находили таких ресурсов, но вынесли напоказ только «ЦНАПы». потому что это физически касается каждого. Если вы пользуетесь услугами ЦНАП, информация о вас может утечь благодаря методам ARP-спуффинга, используемыми злоумышленниками, – объясняет эксперт.

Аналогичная ситуация – на Едином портале административных услуг

Логистическая компания


Информация логистической компании о передвижении транспорта, маршрутах, состоянии техники и т.д.

Система водоснабжения Львова

– Ещё одна критическая инфраструктура – система водоснабжения Львова. Мы можем увидеть, как работают насосы, сколько перекачано воды, как это работает и т.д., – говорит Андрей Перцюх.

Открытый почтовый сервер meest-express.com.ua

Почтовый сервер, где видно с кем ведется переписка, IP-адреса и т.д.

Полиция

Вход без шифрования.

– У нас есть огромное подозрение, что это система полиции, куда вход осуществляется без шифрования. Насколько это прямо используется – говорить не будем, но это доступно, – объясняет эксперт.

КОРД

Когда система разрабатывается нелепо и используются такие элементы, как информация об авторизации, которая сохраняется в java-скрипте на стороне клиента, это вызывает шок. Вызывает также шок использование таких простых пасфраз как логин «admin» и пароль «admin». Здесь вы видите и сессионный ключ и авторизационные данные к системе/модулю этой организации, – комментирует Андрей Перцюх.

Страховая компания

– Данная страховая компания достаточно оперативно отреагировала на наше сообщение об утечке информации и закрыла проблему. Теперь мы ожидаем от нее отчета и сообщений своим клиентам о том, что произошла утечка информации с их персональными данными. По структуре таблицы вы можете увидеть, что здесь вся информация о клиентах, в том числе и о местах, куда они ездили, автомобилях и т.д., – отмечает эксперт.

акже во время презентации показаны информация о почтовом сервере провайдера «Фарлеп» без https, о множестве систем электропитания, трансмиттере в Луцке, передающем сигнал на частоте 90,3 МГц.

Как реагируют

В большинстве случаев, отмечают участники пресс-конференции, на информацию об уязвимостях государственные структуры реагируют негативно. При этом бизнес научился прислушиваться к сообщениям о проблемах и оперативно закрывает «дыры». Тем не менее, в случае полномасштабной атаки «нового NotPetya» ни украинский бизнес, ни госучреждения и объекты критической инфраструктуры к ней просто не готовы.

– Среди государственных структур реакция в 99% случаев негативная. Среди частных структур – порядка 60% реагируют оперативно и закрывают. На сегодняшний день Украина не готова к повторной атаке масштаба NotPetya. Как пример: за последнюю неделю только я знаю 5 компаний, у которых были зашифрованы данные. Алгоритм шифровки данных и распространения вируса был именно таким, как и у NotPetya. – комментирует Андрей Перевезий. – Это говорит о многом. Поэтому утверждать, что уровень угрозы меньше, я не могу. Может, действительно, меньше где-то на 7% (те 7%, которые сделали выводы и защитили инфраструктуру). Со стороны государства я изменений вообще не вижу. И мы это сегодня показали.

КСЗИ не работает

Одной из причин, благодаря которой многие госучреждения и объекты критической инфраструктуры так и остаются плохо защищенными, эксперты называют Комплексную систему защиты информации. Дело в том, что подключение (не зависимо от того, защищенное, или обычное) к интернет-сервис провайдеру, построившему КСЗИ, госорганы зачастую воспринимают чуть ли не как построение КСЗИ у себя.

Есть интернет-сервис провайдеры, которые имеют КСЗИ на своих системах. Интернет-провайдер, у которого есть КСЗИ, защищает себя. К сожалению, многие госучреждения понимают это так, что если они подключаются к этому оператору, то они автоматически защищены. Это не так. Если вы подключаетесь к такому интернет-сервис провайдеру, вы должны четко ставить задачу этому провайдеру – от чего он должен вас защищать. В оператора с КСЗИ есть длинный перечень предоставляемых услуг, но если госучреждение, которому навязывают подключение к защищённому провайдеру, не поставило провайдеру четкой задачи от чего его нужно защищать, то, условно говоря, это учреждение подключается как бизнес-структура к бизнес-структуре, – комментирует Глава Правления Интернет Ассоциации Украины Александр Федиенко. – Ещё одно звено провайдеров – хостинг-провайдеры. Это уже отдельный вопрос: действительно, если мы говорим о хостинг провайдерах, которые берут на свои площадки какую-то информацию, то они должны её защищать. Есть огромная разница между провайдером, который передает информацию, и провайдером, которому вы передаете информацию на хранение.

Александр Федиенко отметил, что к чести интернет-сервис провайдеров, построивших КСЗИ, «критических дыр, с помощью которых в дальнейшем, не нарушая законодательства, возможно было бы вмешаться в работу операторов/провайдеров, найдено почти не было». Вместе с тем, Председатель Правления ИнАУ обратил внимание на одну из главных «организационных» проблем в сфере кибербезопасности государственных учреждений и объектов критической инфраструктуры – отсутствие ответственных:

– В государственных структурах или на объектах критической инфраструктуры никто не несет никакой ответственности: иногда там вообще нет даже специалиста по кибербезопасности. Это большая проблема: лицо, руководящее критической инфраструктурой, не несет никакой ответственности. Мы знаем много таких случаев – когда в ГФС, например, терялась база налогоплательщиков, потому что не было бэкапов, и за это никто не понес ни административной, ни, тем более, уголовной ответственности.

Кроме этого, сама Комплексная система защиты информации морально устарела и превратилась в «обязаловку» для провайдеров, желающих работать с госучреждениями и конкурентное преимущество в борьбе провайдера за выживание на рынке. Госучреждения же довольно часто выбирают «легкий путь» – им дешевле подключится к защищенному провайдеру и отчитаться о защите, чем действительно покупать у таких провайдеров защищенный доступ, который стоит в разы дороже обычного. В результате – полная профанация идеи защиты:

Государство Украина в лице Госспецсвязи запрещает госучреждениям подключаться к тем интернет-сервис провайдерам, у которых нет КСЗИ. Провайдеры вынуждены строить КСЗИ, чтобы не потерять клиентов и как-то выживать на этом рынке. Они получают Аттестат соответствия КСЗИ и потом используют его в конкурентной борьбе: идут к государственным клиентам, показывают эту бумажку и говорят, что есть обычный доступ, а есть защищенный. Клиент спрашивает о цене и понимает, что защищенный доступ – это дорого. И государственный клиент выбирает обычный доступ, – объясняет Константин Корсун. – То есть, формально у провайдера есть КСЗИ, которая сама по себе устарела, но государственные клиенты, для которых, собственно, КСЗИ и делается, даже ею просто пренебрегают. Получается, что провайдеры тратят кучу времени, от 300 тысяч гривен, огромное количество времени и сил, но на выходе это – полная профанация. Требования к провайдерам касаются исключительно провайдеров и никоим образом не помогают защищать себя их клиентам – государственным учреждениям.

Похоже, то, что КСЗИ стала инструментом конкурентной борьбы на рынке, а не инструментом защиты, поняли и в Госспецсвязи. Риторический вопрос первого заместителя председателя Комиссии по науке и ИТ УСПП Олега Гусева поставил точку в пресс-конференции и, похоже, выразил мысль, которую поддержали все участники исследования:

Раньше на сайте ГСССЗИ размещалась информация о 5 субъектах, получивших документы о наличии КСЗИ. В этом году есть информация о 17. Субъектов хозяйствования в сфере телекоммуникаций – более 5 тысяч. Получить КСЗИ – от 300 тысяч гривен до, по некоторым оценкам, миллиона гривен. Не кажется ли вам, что существует четко построенная коррупционная схему по викачиванию денег из перспективного рынка размером в 4,8 миллиарда?

Італійське агентство повідомило, що 57 італійців завантажили додаток ThisIsYourDigitalLife, який використовувався для збору інформації ....... про користувача і його друзів у соціальній мережі.
Відомо, що цей додаток було використано для надання даних компанії Cambridge Analytica - агентству, яке використовувало персональні дані людей, щоб впливати на виборців під час президентських виборів у США 2016 року.
[L]
Загалом понад 200 тисяч італійців без їхнього відома надали інформацію про себе через додаток із приблизно 87 мільйонів користувачів ....... які постраждали від скандалу з даними.
Водночас в італійській агенції підкреслили, що зібрана соцмережею інформація не була передана Cambridge Analytica, проте такий збір даних порушує італійські правила конфіденційності.