Головна Блог Любові пост
Любові пост

Любові пост

Любові пост.

Точно вам кажу: абсолютна більшість проблем сучасної світової кібербезпеки виникли та існують через те, що практично усі розробники софта плювати хотіли на безпеку свого продукту.
І це прекрасно. Але про прекрасне – пізніше.
Спочатку про рашн-хацкерс, FireEye, Мінфін США та тих чудових людей-розробників.
Про злам рузькомірними всесвітньо-відомої кібербезпекової компанії FireEye я вже розказував https://bit.ly/389B3v1
Завдяки тому хаку став можливий злам Міністерства фінансів та торгівлі США https://bit.ly/2K2BIGV
Він же дав змогу піґдоґам залізти також у інші американські (та й не тільки) комп’ютерні системи. І вони вже там, шоб ви не сумнівалися.
А запущений увесь цей ланцюжок доміношек (згідно попереднього звіту https://bit.ly/2WiiVd7 ) був досить банально: виявляється, FireEye користувалася софтом розробника SolarWinds та його продуктом Orion. А це не просто продукт, а ціла платформа, я нарахував 96 інших програмних продуктів, які також через неї зачепило: https://bit.ly/3gU4kxP
FTP-cервер, який роздавав оновлення платформи Orion – ось тут уважно – мав пароль solarwinds123 і лежав у відкритому репозиторії.
Схема інфікування точно така, як у червні 2017 року, коли шматком кривого лайна NotPetya через сервер оновлень програмного продукту M.E.Doc поклали ледь не третину економіки України, а загалом по Світу було нанесено шкоди на 10 мільярдів доларів.
І ця схема проста: ламають сервер оновлень, добавляють в офіційне оновлення свій шкідливий код (або заміняють нормальний код на свій), клієнти скачують оновлення як легітимні, малварь активується дистанційно або за розкладом – вуаля, тисячі компаній строєм ідуть на кібер-локдаун.
У 2017 році критикували M.E.Doc за слабкість захисту серверу оновлень. Пройшло три роки з того випадку, і офіційний постачальник самого FireEye знов сміливо йде по тим самим грабелькам, який молодець.
І ці люди нас кібербезпеці навчають. З поважними пиками.
Але сьогодні я хочу офіційно освідчитися у своїй любові до розробників, девелоперів, девів, різних галєр та їхніх гребців.
Люди, дякую вам, що ви є.
Допоки ви згадуєте про безпеку продукту на стадії «пред-реліз» – допоки у індустрії кібербезпеки буде робота. Багато роботи, на багато років вперед.
Допоки ви перепитуєте один у одного «а шо таке безпечна розробка» – допоки звіти про пентести будуть переважно червоно-жовтих кольорів, і аж ніяк не зелених.
А значить – будуть повторні тестування та асессменти. Нові й нові контракти на соцінженерію, тестування на проникнення, Application Security, безпеку інфраструктури, тренінги з безпечного кодінгу, загальну обізнаність і все що ми любимо.
Допоки у компанії-розробника не буде віце-президента з безпеки (як це було весь час у SolarWinds до початку грудня 2020) – безпеку у компанії зневажатимуть, не даватимуть бюджетів, на безпечників шикатимуть, цикатимуть та скорочуватимуть штат.
Умнічки просто, аплодую стоячи. Так і розцілував би.
Не треба заморочуватися безпекою на стадії планування архітектури, золотенькі мої, викиньте цю дурню з голови.
Забудьте про ту безпеку аж поки не настане стадія «продакшн». Розслабтеся, візьміть в руку смузі, пихніть айкосом, take it easy.
Потім, перед самісіньким релізом, просто покличите найдешевших кібер-шототам, вони вам намалюють сертифікат «все безпечно», ви релізнитеся, клієнтів почнуть хакати, вам підуть рекламації (а може разом із санкціями та штрафами) і ось тоді – велкам, як то кажуть, он борд. Ось тепер кладіть на стіл ваші товсті гаманці і почнемо приємну та серйозну розмову про справжню кібербезпеку.
А ще краще, коли софт – грандіозних розмірів, з мільйонами користувачів, щоб від нього залежали ще сотні інших видів програмного забезпечення.
Шоб після хаку такого монстра дзижчали інфарктні телефони, людей вночі підіймали з ліжка та запихували у літаки-потяги-маршрутки, збирали екстрені засідання рад національних безпек, щоб істерично кричали «які ти знаєш надійні перевірені кібер-компанії, а ну швидко!»
У таких випадках роботу отримують сотні фірм та десятки тисяч фахівців, пам’ятайте про це.
Так шо моє єдине побажання розробникам – не зупиняйтеся, рідненькі. Просто продовжуйте робити те, що завжди: не думайте про кібербезпеку на ранніх стадіях розробки. Я знаю, у вас все вийде. Ви уперті та наполегливі, враховувати ризики безпеки не вмієте і не хочете. Обожнюю вас за це, цілую-обіймаю. Ми обов’язково зустрінемося у наступному та усіх наступних після нього роках.
До скорих зустрічей, мої шановні девелопери, розробники, програмісти та кодери. До дуже скорих. Ви наші годувальники, люблю вас.
Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.