Фото: Unsplash.com
Пересказ книги «Вот как, по их словам, закончится мир: Гонка кибервооружений» (This Is How They Tell Me the World Ends: The Cyberweapons Arms Race) журналистки The New York Times Николь Перлрот.
«Наполненная шпионами, хакерами, торговцами кибероружием и невоспетыми героями, написанная как триллер книга – потрясающий пример журналистской работы. Материал основан на годах репортерской работы и сотнях интервью, автор поднимает завесу над черным рынком, показывая как никогда более актуальную угрозу для всех нас, если, конечно, мы не прекратим глобальную гонку кибервооружений», – обещает аннотация. Отзыв рецензента The New Yorker более лаконичен: «Местами Джон Ле Карре, местами – Майкл Крайтон. Захватывающе!»
Контекст
В июне 2017 года вирус NotPetya появился на Украине, а затем быстро распространился по всему миру. Тысячи компьютеров отобразили слова с требованием выкупа за разблокировку данных. Но вскоре стало ясно, что это не вирус-вымогатель: скорее всего, программа вообще не предполагала разблокировку.
Хотя вирус затронул десятки стран, Украина была его целью и понесла наибольший ущерб. Жители страны не могли заправить машину, снять деньги со счета; сотни посылок потерялись, когда были уничтожены данные об их получателях; наблюдатели в Чернобыле не могли контролировать уровень радиации. На протяжении нескольких лет Украина подвергалась постоянным кибератакам – часть из них затронула энергосеть и оставила сотни людей без света и тепла в середине зимы – но эта атака оказалась наиболее разрушительной.
Мало кто на Украине и в западных странах сомневался в заказчике: она случилась 27 июня, всего за день до украинского Дня конституции, и, скорее всего, была предупреждением. Таким образом, пишет Перлрот, Москва напоминала, что вполне способна навредить соседней стране даже без физического военного вмешательства.
Сам факт атаки мало кого удивил. К 2017 году почти не осталось сомнений, что спецслужбы практически каждой страны совершают кибератаки. Шоком для многих в индустрии стало другое: NotPetya содержал в себе инструменты АНБ США для взлома Windows. Инструменты, которые, как утверждали представители американского правительства, тщательно охраняются, используются только при необходимости и никогда не попадут в чужие руки. И вот подтверждение того, о чем хакеры говорили десятки лет: США больше не царствуют в киберпространстве, и их код может быть использован кем угодно, в том числе против них.
Николь Перлрот в течение нескольких лет занималась расследованиями кибершпионажа и кибербезопасности для The New York Times. В своей первой книге она рассказывает о попытках проникнуть в непроницаемый мир торговли кибероружием, параллельно рисуя картину того, как нации оказались в состоянии необъявленной «кибервойны всех со всеми».
Фото: Unsplash.com
как низко пали потрясающие примеры журналистской работы
Я бы настоятельно советовал привлекать к написанию тематических статей людей, которые хоть немного разбираются в области.
Чем больше система, тем выше её сложность и следовательно, в ней больше ошибок, но никак не наоборот (современные программные системы фантастически сложные, ошибок там - космическое количество). Другое дело, что найти их непросто. Это похоже на добычу алмазов в шахте, где до тебя вашего брата были уже тысячами. И было перепробовано уже практически всё, если ты смелый - то вперёд.
Обычно, найденные уязвимости попадают в специальные базы данных, 0-day это те уязвимости которых, грубо говоря, в этих базах нет. Когда пишут в каждом предложении 0-day от этого просто вытекают глаза, итак ведь понятно, про что идёт речь. Действительно большие деньги предлагают, если ты продаешь ранее неизвестную уязвимость эксклюзивно одному покупателю. Но даже если уязвимость уже известна, но её нет в базах (такое тоже бывает), то её всё равно можно неплохо продать.
Не уверен, кто именно решил, что главное в хакинге это незаметность (автор статьи или книги) но как мне видится, главное - это всё же матчасть (с технической точки зрения). То, что вторжение заметят - это скорее всего неизбежно, важно, чтобы тебя американцы из ЦРУ не поймали и не дали 30ку.
Отдельная боль в статье - это описание вируса Stuxnet (в каком-то смысле, это одна из самых сложных программ, когда-либо написанных людьми). Кому интересно вот тут можно про неё почитать https://habr.com/ru/post/358930/
https://www.youtube.com/watch?v=n6s6tbyMxTA
Вот тут можно продолжить чтение, во второй серии про центрифуги будет, наверное:)
А вообще в статье слишком много пафоса, просто американцы показали одной операцией вообще все, на что технологии способны в принципе, но все это теоретически можно было представить, и ничего такого потрясающего воображение не произошло. Но Путин с 2010-2011-го года ОЧЕНЬ серьезно за интернет взялся и ресурсов кинул на это, наверно это как-то связано...
Ну и я не знаю примеров, чтобы американцы кому-то давали 30-ку, как они могут словить, если никто не сунется к ним никогда, когда вред какой-то наносит?
Ну, были персонажи вроде Ромы Селезнева (агенты ФБР его с Мальдив прямиком на военную базу на остров Гуам вывезли) ему дали 27. Других ребят из Амстердама экстрадировали и сроки похожие светят.
Мне кажется, что иногда пафос вполне уместен. Теоретически, термоядерный реактор тоже можно построить, но это очень и очень сложно. С инженерной точки зрения, вирус Stuxnet - потрясающий. В РФ, может и могли бы создать что-то подобное, но в текущих реалиях это будет очередной распил бабла.
А что, вы его знали что ли?
“Кому интересно вот тут можно про неё почитать https://habr.com/ru/post/358930/“
.
Спасибо, занимательные подробности.
Cyber Security как индустрия растёт как на дрожжах. Принята куча стандартов, в принципе понятно что и как делать. Публикуются бюллетени уязвимостей. Продавать решения без интегрирования cyber security уже невозможно. Проблема с critical infrastructure, и в частности с industrial control systems (ICS), в том что ранее системы строились от reliability, и про инфобезопасность не думали ни производители компонентов (плк, реле защиты, преобразователей протоколов, концентраторов данных и тп), ни те кто рисовал архитектуры тех же ICS на основе этих компонентов. Интегрировать же это всё (legacy systems) в новые реалии непросто и затратно, хотя нет ничего невозможного. А новое воплощать вроде бы понимание есть, как делать.
Больницы, и атаки на них, это другая история. Полагаю это или вымогатели или начинающие силы пробуют.
Ну как бы сказать, насчёт "начинающих" и растущей на дрожжах...
Вот, скажем, свежий кейс с Hafnium. Офигенная цепочка уязвимостей, удалённая эксплуатация, участие пользователя не требуется, и видимо очень тихо и аккуратно использовалась китайской APT группой. В январе цепочку находят Orange Tsai и отдают MS, при этом видят использование in wild весь январь и февраль, а MS выпускает патч 2 марта, за неделю до Patch Tuesday.
А вот после выхода патча эксплуатация понеслась в небеса, вплоть до встраивания в Ransomware-as-a-Service киты, при этом количество незапатченных Exchange OWA всё ещё считается десятками тысяч.
При этом совершенно не ясно, что именно могли посадить китайцы до публикации патчей, там уже с дюжину вариантов шеллов нашли.
И здесь ведь простейший случай: нашли уязвимость - запатчили уязвимость. С тем же SolarWinds всё ещё хуже.
>С тем же SolarWinds всё ещё хуже.
А не могли бы вы порекомендовать, что прочитать по этой кейсу? Что в итоге удалось накопать?
С SolarWinds ещё ничего не закончилось, эта история надолго, какие-то новые данные регулярно публикуются. К сожалению какого-то одного ресурса, где собираются все данные, не существует.
Сами SolarWinds считают, что уязвимости как в продукте, так и в Supply Chain они починили, но у сторонние аналитики в этом сомневаются. Ну и в принципе нет никакого способа узнать, что именно было установлено с использованием уязвимости в SolarWinds, US CISA по-прежнему предлагает держать изолированными системы, к которым Orion имел доступ cyber.dhs.gov - Emergency Directive 21-01
В том, что подключается к инету, я полный дилетант, по работе сталкиваюсь с ICS, на предприятиях где система изолирована или дб изолирована от внешнего мира.
Про госпитали слышал во французских новостях, без подробностей.
А вот с изолированностью ICS ковид местами внёс коррективы, в процессе перевода операторов на удалёнку.
Причём кое-где как раз есть варианты удалённого доступа от вендора и для вендора, и в этом случае удалённый доступ обеспечили условно безопасным способом.
А вот там, где его в принципе не предусмотрено, получилось как на станции водоподготовки во Флориде, с TeamViewer и паролём по умолчанию.
А если про местные реалии, то есть свежая история с РЖД.
тут ещё эффект "нового рынка": если есть потребность в продукте, надо срочно выйти на этот рынок и предложить этот продукт, чтобы иметь first-mover advantage, а любая информационная безопасность требует времени и ресурсов, поэтому компания, которая будет изначально этим заниматься, практически неизбежно проиграет тем, кто захватит рынок раньше и на полученные средства сможет "допилить" безопасность уже пост-фактум. ну и отсутствие серьёзных законодательных последствий от проблем с безопасностью, конечно, тоже не помогает - у equifax, например, после той истории больше было репутационных потерь чем материальных.
Заголовки журналистки NYT писать, конечно, умеют. Но за компетентным мнением всё-таки лучше к профессионалам, скажем Bruce Schneier, Click Here to Kill Everybody
UPD: Поскольку это пересказ, то текст видимо принадлежит автору статьи, а не книги. Так вот тексту не хватает редактуры специалиста по ИБ, не хватает до уровня "убиться фейспалмом". Некоторые примеры ушли через Ctrl-Enter, но нужна полная редактура по тексту.
Ничего не сказано про то, что 95% всех инцидентов безопасности - человеческий фактор. Компрометация учетных записей вследствие слабости пароля, ключей, итд, фишинговые атаки, социнжиниринг, или намеренные действия персонала, приводящие к утечке/компрометации данных.
https://republic.ru/posts/98585
Только мне показалось, что у автора проблема с логикой? Как одна часть текста:
.
«В июне 2017 года вирус NotPetya появился на Украине, а затем быстро распространился по всему миру
.
Таким образом, пишет Перлрот, Москва напоминала, что вполне способна навредить соседней стране даже без физического военного вмешательства.»
.
связана с другой:
.
«NotPetya содержал в себе инструменты АНБ США для взлома Windows.»
В логической цепочке пропущено несколько звеньев, а также фамилии Сноудена и Ассанжа. Но да, NonPetya атрибутируют российским хакерам, которые использовали слитые инструменты АНБ (Eternal Blue, ЕМНИП).
Спасибо
только вам