Топ-10 кібер подій 2020

Топ-10 кібер подій 2020.

Вітаю шановне товариство прихильників кібербезпеки.

Рік 2020 минув (хай йому грець) тож давайте пригадаємо якими основними подіями він увійшов в історію.

Почнемо із січня 2020.

У січні штат Апарату РНБО був збільшений на 30 людино-одиниць для «підвищення та посилення кібербезпеки» і таким чином було створено мертвонароджене утворення НКЦК – Національний координаційний центр кібербезпеки

У лютому СБУ спільно з поліцією сфабрикували кримінальне провадження проти Українського Кіберальянсу за те, що вони викривали та робили публічною тотальну некомпетентність, фантастичну тупість та вражаючу безвідповідальність державних чиновників та керівників критичної інфраструктури, які повинні були опікуватися кібербезпекою та кіберзахистом.

У активістів провели жорсткі показові обшуки зі спецназом, позабирали навіть дитячі смартфони та порубали кабелі доступу в Інтернет.

Типова така акція залякування.

Саме кримінальне провадження, як було зрозуміло відпочатку, не має жодних перспектив, але його свідомо затягують і досі не повернули віджатого під час обшуків.

Логічно, що тепер взаємодія так званої «держави» з кібер-спільнотою надійно заблокована на кілька років.

А ще у лютому сталася національна трагедія: відбувся реліз державного додатку Дія і до кінця 2020 року його завантажило більше 6 мільйонів користувачів.

Головна проблема додатку є типовою проблемою більшості розробників: спочатку створюють додаток, а потім на нього «натягується» безпека.

Ефективність такого підходу можна порівняти із запиханням зубної пасти назад у тюбик: в принципі це можливо, але на практиці виходить криво та «якось трошки по-дебільному (с).

Головний ідеолог Дії віце-прем’єр-міністр Михайло Федоров та його апологети з Міністерства цифрової трансформації неодноразово голослівно заявляли, нібито «дія безпечна», але переконливих доказів цьому тезису так і не надали.

Спробували навіть провести Bug Bounty щоб хоч якось переконати експертне середовище – але про це розкажу трохи пізніше.

У травні стався скандал навколо витоку 26 млн. водійських прав нібито через додаток Дія.

Насправді Дія там була ні до чого, а бази даних як продавалися у даркнеті до того – так само успішно продаються і зараз.

До речі, силовики ще у травні поклялися Федорову на священному логотипі Дії що знайдуть і покарають винних у витоку баз даних.

«Справа честі!!!» – волали вони.

І як завжди у них буває – збрехали.

Провели купу обшуків по всій країні, але більшість справ не дійшли навіть до слухняних та корумпованих українській судІв.

А ті, що дійшли – або розвалилися, або підозрюваного залякали та примусили зізнатися в обмін на умовний термін.

А тим часом бізнес продажу баз онлайн – чудово собі процвітає і зараз.

У липні сталося нечуване навіть для сліпо-глухо-німих «дієвих»: є таке відомство Державна служба спеціального зв’язку та захисту інформації України і воно має найбільше владних повноважень у сфері кібербезпеки.

Так от, керувати ним призначили людину, яка у 2015 році була затримана внутрішньої безпекою СБУ на вимаганні та отриманні хабаря.

І навіть опублікували фото затриманого на сайті СБУ, щоправда не показали обличчя.

Ось це фото: спиною, з пачками грошей.

«Ага, обличчя не видно – значить можна призначАти міністром!» – вирішив Федоров і призначив.

Але зеленій владі на це начхати і до цієї пори чомусь ніхто не сказав «вийди з зали, розбійник».

У вересні РНБО пообіцяло взяти на облік усіх користувачів Вконтакті.

Чи взяло – невідомо.

Але у будь-якому разі – не раджу ходити на ту ФСБ-помийку.

Ще, у вересні кремлівські кібер-банди здійснили масштабні та добре зрежисовані кібератаки на сайти Нацполіції кількох областей України та Рівненької АЕС.

Атаки були присвячені спільним військовим навчанням RapidTrident-2020.

Спалился, як завжди, на дрібницях-паляницях: «ВарашскАЯ міська ДУМА прийняла рішення…».

Шо цікаво, буквально напередодні атаки, національна поліція пафосно заявляла що їх ресурси “надійно захищено” і що вони «докорінно все змінили».

Ну не вміють вони не брехати, мабуть це шось генетичне.

На початку жовтня знов Федоров пафосно презентував версію 2.0 додатку Дія, яку розробили вже не міфічні «волонтери» з українського офісу російської компанії ЕПАМ, а їхні власні розробники з державного підприємства Дія. За пристойні такі гроші, між іншим.

На підтримку цього франкенштейна Федоров ходив по різних ефірах, ретельно уникаючи опонентів з числа фахівців з кібербезпеки.

На одному з таких ефірів у одіозного Сави Шустрого пан Михайло видав новий мем: “Сертифікат КСЗІ – це як Оскар в кібербезпеці в Україні”.

При тому, що ця ж сама людина рік тому публічно заявляла, що «видача сертифікатів КСЗІ є відкритою торгівлею красивими папірцями і не має нічого спільного з кібербезпекою»

І тоді ж він же планував ліквідувати Держспецзв’язку взагалі як явище))

Ще у 2020 році розпочалася програма кібер-допомогу Україні від американського урядового фонду USAID на загальну суму 38 млн доларів.

Головним бенефіціаром програми одразу визначили Мінцифри, де досі немає ЖОДНОГО пристойного фахівця з кібербезпеки.

Серед спів-виконавців – купа абсолютно лівих фірм, без стосунку до кібербезпеки.

Численні звернення українських експертів про очевидний формалізм програми – ніякого враження на керівництво USAID не справили.

Протягом року двічі змінювали керівника проекту, і обоє вони дупля не відстрелюють у кібербезпеці.

Програма розрахована на чотири роки, але її ефективність можна передбачити вже зараз.

В сенсі – гроші витратять усі до цента, не сумнівайтеся, а от чи допоможе це кібербезпеці України – маю великі сумніви.

У грудні стало відомо, що рузько-хакерс зламали одну з найбільших та найвідоміших світових кібер-компаній FireEye.

Наслідком цього став подальший хак Міністерства фінансів США та ще кількох американських державних інституцій.

Американській владі навіть довелося проводити екстрене засідання тамтешнього РНБО.

І це лише верхівка айсбергу, хак FireEye ще не раз аукнеться багатьом.

Також у грудні Верховна Рада України закінчила еру вільного Інтернету в Україні, проголосувавши за законопроект 3014, згідно якого фактично в Україні вводиться система тотального моніторингу Інтернет-комунікацій.

Проголосований закон чекає ще підпису президента, і потім – всьо, фініта ля комедія.

Досить вам демократії, скуштуйте СОРМу a la russe.

Ну і про Bug Bounty додатку Дія:

Відпочатку це дійство планувалося лише як пропагандистське шоу, яке мало б закрити рота критикам захищеності додатку. Мені, наприклад.

Bug Bounty було організовано на платформі BugCrowd (вимовляється «баґ-крауд», пане Федоров) і тривало лише один тиждень, якого не може бути достатньо для глибокого аналізу та виявлення вразливостей.

Також організатори всіляко заважали дослідникам, максимально звужуючи їх можливості для об’єктивного аналізу.

Але навіть за такої неспортивної поведінки «дієвих», протягом трьох тижнів днів після закінчення Bug Bounty, від Мінцифри не пролунало ані слова про результати цієї розпіареної програми.

Лише після мого критичного допису, Мінцифри нарешті розродилося інформацією про результати Bug Bounty, де повідомили, що учасники програми шукали-шукали вразливості, але так і не знайшли. А як могло бути інакше, якщо самі організатори активно заважали пошуку об’єктивної істини?

Але досить вже про госушну псевдо-кібербезпеку, розкажу трохи про кібербезпеку справжню.

А саме – про кібер-конференції.

Рік 2020 примусив усіх нас відмовитися від фізичного відвідування кібер-конференцій, але деякі з них все ж відбулися.

Конференція CISO DX Day 2020 провели 20 лютого, буквально за три тижні до початку Великого Карантину. Виходить, це був єдиний офлайн кібер-івент року?

Конференції NoNameCon та OWASP Ukraine теж відбулися, але в онлайн-форматі.

І добре, що взагалі відбулися.

UISGCON, наприклад, – взагалі відмінили.

Чесно кажучи, особисто мені онлайн-формат не дуже подобається, – не то пальто, – але все одно: я дуже вдячний тим самовідданим дівчатам та хлопцям, які організували ці онлайн-івенти. Ви – молодці, моя вам щира дяка та повага.

На цій позитивній ноті закінчую викладати факти і переходжу до висновків.

Особливістю цьогорічного огляду є повна відсутність позитивних новин для національної кібербезпеки країни. Та і з перспективами на 2021 рік – та ж історія.

І коронавірус тут ні до чого: це повністю заслуга державних кібер-керівників.

Ось дивіться: Єдиного координаційного органу з питань кібербезпеки країни як не було – так і немає: РНБО, Мінцифра, Держспецзв’яку, СБУ та МВС завзято тягають один одного за чуба через гроші та повноваження, але жоден з цих органів не є достатньо компетентним чи хоча б достатньо відповідальним.

Розробляти адекватне кібер-законодавство – у них теж немає клепки.

Ініціативи та пропозиції професійної кібер-спільноти – просто ігноруються. І перш за все тому, що в них немає місця чиновникам, дерібану, «владним повноваженням» та рішалову.

Як каже перший заступник Мінцифри Олексій Вискуб: «Ваши пости – дно, да свіданія».

На заміну диктаторському законопроекту 6688 проти свободи Інтернет, свободи слова та свободи доступу до інформації пропонуЮться аналогічні, але під новими номерами – 3014 та 4004.

Суди продовжують свавільно, без жодних правових підстав, блокувати неугодні владі веб-ресурси та блог-платформи.

Державно-приватне кібер-партнерство розглядається виключно в контексті «а скільки даси відкату?»

На вищі посади призначають або відвертих корупціонерів або цілковитих невігласів (інколи – два в одному).

В державі масово нав’язується веб-додаток, який обробляє критичні персональні дані, але додаток цей – без документації, без легальних підстав використання та без доведеної безпеки.

Тому поки що status quo залишається стабільним: кожен сам за себе.

Держава – окремо, громадяни – окремо. Рятуйся хто як може.

Парадоксальність ситуації полягає у тому, що пустота залишається незаповненою, і природа це продовжує терпіти.

Я не можу уявити собі ситуацію, щоб якийсь умовний МВФ вимагав реального реформування національної кібербезпеки «а то не дамо черговий транш».

Гірше того: іноземці, від яких ми чекаємо крутих цінних порад про реформування сектору, під виглядом кібер-допомоги просто тихо пиляють гроші своїх платників податків.

Це схоже на ситуацію, коли рятувальник замість витягАти людину з колодязя, достає калькулятор та неспішно рахує як на цьому заробити.

І наприкінці про плани.

Чи буду я продовжувати боротися з усіма цими вітряками у 2021 році?

Поки не можу сказати точно.

Тому що інколи мені стає сумно одному на цьому полі бою.

Коли тебе мало хто зважується підтримати відкрито, а твій ворог – а це некомпетентність та невігластво – комфортно продовжує панувати в українській державній кібербезпеці – якось не дуже хочеться продовжувати лупати сю скелю.

Але точно буде продовжено цикл навчальних відео “Кіберзахист від держави”, оскільки держава наша кохана стає лише агресивнішою до своїх громадян і прагне їх позбавити прав та свобод.

Тож я пішов готувати нове відео, а вам, любі хлопчики й дівчатка, побажаю насолодитися залишком святкових днів та як слід приготуватися нестримно вджобувати у 2021 році на славу себе коханих, своїх близьких та України.

Бо Україна – понад усе. Слава Україні.

Ми обов’язково переможемо. Я знаю.

P.S.: відео-версію цього доспису у моєму виконанні можна побачити на YouTube: https://youtu.be/dkP5HQkY_Yo

P.P.S.: Ця текстова версія підготовлена навмисно для

Альона Гринько

, яка заради цього розгорнула цілу спецоперацію та зібрала більше 20 лайків для того, щоб примусити мене викласти матеріал у вигляді тексту. Н – наполегливість. Поважаю таке.