Любові пост
Любові пост.
Точно вам кажу: абсолютна більшість проблем сучасної світової кібербезпеки виникли та існують через те, що практично усі розробники софта плювати хотіли на безпеку свого продукту.
І це прекрасно. Але про прекрасне – пізніше.
Спочатку про рашн-хацкерс, FireEye, Мінфін США та тих чудових людей-розробників.
Про злам рузькомірними всесвітньо-відомої кібербезпекової компанії FireEye я вже розказував https://bit.ly/389B3v1
Завдяки тому хаку став можливий злам Міністерства фінансів та торгівлі США https://bit.ly/2K2BIGV
Він же дав змогу піґдоґам залізти також у інші американські (та й не тільки) комп’ютерні системи. І вони вже там, шоб ви не сумнівалися.
А запущений увесь цей ланцюжок доміношек (згідно попереднього звіту https://bit.ly/2WiiVd7 ) був досить банально: виявляється, FireEye користувалася софтом розробника SolarWinds та його продуктом Orion. А це не просто продукт, а ціла платформа, я нарахував 96 інших програмних продуктів, які також через неї зачепило: https://bit.ly/3gU4kxP
FTP-cервер, який роздавав оновлення платформи Orion – ось тут уважно – мав пароль solarwinds123 і лежав у відкритому репозиторії.
Схема інфікування точно така, як у червні 2017 року, коли шматком кривого лайна NotPetya через сервер оновлень програмного продукту M.E.Doc поклали ледь не третину економіки України, а загалом по Світу було нанесено шкоди на 10 мільярдів доларів.
І ця схема проста: ламають сервер оновлень, добавляють в офіційне оновлення свій шкідливий код (або заміняють нормальний код на свій), клієнти скачують оновлення як легітимні, малварь активується дистанційно або за розкладом – вуаля, тисячі компаній строєм ідуть на кібер-локдаун.
У 2017 році критикували M.E.Doc за слабкість захисту серверу оновлень. Пройшло три роки з того випадку, і офіційний постачальник самого FireEye знов сміливо йде по тим самим грабелькам, який молодець.
І ці люди нас кібербезпеці навчають. З поважними пиками.
Але сьогодні я хочу офіційно освідчитися у своїй любові до розробників, девелоперів, девів, різних галєр та їхніх гребців.
Люди, дякую вам, що ви є.
Допоки ви згадуєте про безпеку продукту на стадії «пред-реліз» – допоки у індустрії кібербезпеки буде робота. Багато роботи, на багато років вперед.
Допоки ви перепитуєте один у одного «а шо таке безпечна розробка» – допоки звіти про пентести будуть переважно червоно-жовтих кольорів, і аж ніяк не зелених.
А значить – будуть повторні тестування та асессменти. Нові й нові контракти на соцінженерію, тестування на проникнення, Application Security, безпеку інфраструктури, тренінги з безпечного кодінгу, загальну обізнаність і все що ми любимо.
Допоки у компанії-розробника не буде віце-президента з безпеки (як це було весь час у SolarWinds до початку грудня 2020) – безпеку у компанії зневажатимуть, не даватимуть бюджетів, на безпечників шикатимуть, цикатимуть та скорочуватимуть штат.
Умнічки просто, аплодую стоячи. Так і розцілував би.
Не треба заморочуватися безпекою на стадії планування архітектури, золотенькі мої, викиньте цю дурню з голови.
Забудьте про ту безпеку аж поки не настане стадія «продакшн». Розслабтеся, візьміть в руку смузі, пихніть айкосом, take it easy.
Потім, перед самісіньким релізом, просто покличите найдешевших кібер-шототам, вони вам намалюють сертифікат «все безпечно», ви релізнитеся, клієнтів почнуть хакати, вам підуть рекламації (а може разом із санкціями та штрафами) і ось тоді – велкам, як то кажуть, он борд. Ось тепер кладіть на стіл ваші товсті гаманці і почнемо приємну та серйозну розмову про справжню кібербезпеку.
А ще краще, коли софт – грандіозних розмірів, з мільйонами користувачів, щоб від нього залежали ще сотні інших видів програмного забезпечення.
Шоб після хаку такого монстра дзижчали інфарктні телефони, людей вночі підіймали з ліжка та запихували у літаки-потяги-маршрутки, збирали екстрені засідання рад національних безпек, щоб істерично кричали «які ти знаєш надійні перевірені кібер-компанії, а ну швидко!»
У таких випадках роботу отримують сотні фірм та десятки тисяч фахівців, пам’ятайте про це.
Так шо моє єдине побажання розробникам – не зупиняйтеся, рідненькі. Просто продовжуйте робити те, що завжди: не думайте про кібербезпеку на ранніх стадіях розробки. Я знаю, у вас все вийде. Ви уперті та наполегливі, враховувати ризики безпеки не вмієте і не хочете. Обожнюю вас за це, цілую-обіймаю. Ми обов’язково зустрінемося у наступному та усіх наступних після нього роках.
До скорих зустрічей, мої шановні девелопери, розробники, програмісти та кодери. До дуже скорих. Ви наші годувальники, люблю вас.