Атака на Twitter 15 липня 2020: і для нас є висновки

Вчора соціальна мережа Twitter зазнала однієї з найрунівніших атак за свою історію.

Зламали верифіковані акаунти таких знаменитих користувачів як Джо Байден, Барак Обмама, Ілон Макс, Біл Гейтс, Джеф Безос, Кенні Вест, Майкл Блумберг, Кім Кардаш’ян, корпоративні акаунти Apple, Uber, та багатьох криптобірж.
Зламані акаунти злодії використали дуже просто: розмістили на них оголошення типу «сьогодні у мене атракціон нечуваної щедрості, тож надішли мені будь-яку суму в біткоїнах ось на цей гаманець – і я протягом 30 хвилин поверну тобі рівно удвічі більше». І таким нехитрим чином наколядували собі за пару годин (поки заблокували зламані акаунти) пару мільйонів доларів.
Як ще міг бути використаний доступ до локалки відомої соціальної мережі – розбираються фахівці з безпеки.

Причини зламу називають різні.
Сам Твіттер стверджує, що кілька їх працівників стали жертвою так званої «соціальної інженерії» і надали зловмисникам певну службову інформацію, яка була використана для компрометації акаунтів з мільйонами підписників.

За іншими даними, було використано вразливість у АРІ.

Як тільки Twitter повідомили про атаку, той просто заблокував геть усі верифіковані акаунти. Нехай лише на годину, але абсолютно усі з синьої галочкою. Потім, звісно, відновили, але залишили заблокованими лише зламані акаунти.
Подібні інциденти подекуди трапляються у Тві.
У 2017 співробітник Twitter чи то навмисно, чи то не навмисно виключив акаунт президента США Д. Трампа. А той, як відомо, використовує його у якості чи не найголовнішого каналу комунікацій з усім Світом.
У 2019 двоє співробітників Twitter були звинувачені у шпигунстві на користь Саудівської Аравії шляхом нібито передачі доступу до тисяч користувацьких акаунтів.

Що подібні випадки означають для України, де Твіттер значно менш популярний, ніж той самий Фейсбук?

По-перше, нагадує про те, що злам методами «соціальної інженерії» є не менш небезпечний, ніж злам систем технічного захисту мереж.
Зловмисникам не потрібно місяцями шукати вразливості, купляти дорогі експлоіти, отримувати адмінські права та застосовувати високо-рівневі знання щоб зрозуміти як експлуатувати отримані доступи. Достатньо ідентифікувати працівників певної компанії, знайти їх особисті профілі, контакти, номери телефонів, акаунти у месенджерах і придумати хитру схему як «розвести» жертву на певну інформацію. Це може бути рядовий співробітник, який вважає «та кому я та мій email потрібен».
А ще скажу з власного досвіду, що дуже часто великі комерційні компанії приділяють багато уваги технічній безпеці мереж, але при цьому нехтують загрозами та ризиками від «соціалки». І дарма.

По-друге.
Вкотре підтверджено, що немає додатків, які не можна зламати.
Навіть якщо у штаті сотні кваліфікованих фахівців. Навіть якщо є солідний бюджет «на кібербезпеку», придбано та побудовано пристойно захищений периметр. Навіть якщо проводяться регулярні тестування на безпеку. Кібербезпека – це не якийсь сталий стан, досягши якого можна розслабитися і закурити сигару. Це постійний біг, і щоб залишатися на певному рівні захищеності – треба бігти дуже швидко. І навіть ще швидше. Швидше за інших.
А якщо немає ані кваліфікованого персоналу, ані бюджетів, ані зваженої політики безпеки мереж – тоді залишається лише молитися, що ніякий злочинець не зацікавиться твоєю компанією. Або українською державною установою чи об’єктом української критичної інфраструктури))

І по-третє. Неочікуване.
Професор комп’ютерних наук Дуглас Шмідт з університету Вандербілт вважає, що робота зловмисників була легшою через те, що співробітники працюють віддалено, у зв’язку з коронавірусом: “The likelihood of attacks like this increase when people are working remotely it is much easier for bad actors to impersonate someone through an email and gain access to their accounts,” said Schmidt…”
Чому саме він так вважає – треба пошукати додатково (а мені ліньки та немає часу), оскільки я знаю кілька прикладів в українських компаніях, де віддалена робота підрозділу кібербезпеки стала навіть ефективнішою за традиційне сидіння по офісах.

Популярні соціальні мережі періодично ламають. Тому що гонка озброєнь у сфері кібербезпеки ніколи не зупинялася і, мабуть, ніколи не зупиниться. Не за нашого життя.
Більше того: увесь світ все стрімкіше переходить «у цифру», переносячи в мережі та Інтернет свої персональні дані, конфіденційну інформацію, контракти, великі та малі секрети, інтимні фоточки та таємні плани захоплення влади.
Тому значення кібербезпеки буде лише зростати, і її значення категорично не можна применшувати, пан Федоров.
Не можна призначати цілковитих нулів на високі кібер-посади.
Вкрай небезпечно пиляти мільйони «на кібербезпеку», коли ворог готує черговий шквал кібер-атак проти України.
Дослухатися думок професійної спільноти –неприємна необхідність. І від того, що ображені чиновники фабрикують кримінальні справи проти високо-кваліфікованих кібер-активістів – загрози не стануть меншими ані на міліметр. Вони просто стануть менш видимими, і від того більш небезпечними.

Розумію, що випадок з Twitter нічому не навчить українського чиновника у сенсі національної кібербезпеки, але якщо навіть одна людина змінить свій пароль на сильніший, або добавить другий фактор автентифікації при логіні у соцмережі – то вже добре, значить вже не дарма я усе це писав.