Websecurity - Веб безпека

В своєму звіті про атаки та інфікування державних сайтів України за 19 років я навів статистику атак на державні сайти України за останні 19 років. До звіту атаки на державні сайти України за 20 років додам статистику по інфікованим сайтам за останні 20 років.

За 2001 - 2020 роки всього було атаковано 1329 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). А враховуючи інфіковані gov.ua сайти, виявлених за час моїх досліджень інфікованих сайтів в Уанеті, ця кількість ще більше.

Було інфіковано наступну кількість gov.ua сайтів, що без сумніву були взломані для розміщення шкідливого коду:

2009 рік - 5 сайтів
2010 рік - 13 сайтів
2011 рік - 9 сайтів
2012 рік - 16 сайтів
2013 рік - 11 сайтів
2014 рік - 10 сайтів
2015 рік - 3 сайти
2016 рік - 1 сайт
2017 рік - 3 сайти
2018 рік - 1 сайт
2019 рік - 1 сайт
2020 рік - 2 сайти

Всього 75 інфікованих gov.ua сайти за 12 років. Разом з атаками за 20 років всього 1404 державних сайтів.

Статистика від 2 атакованих та інфікованих веб сайтів в 2001 році, 2 сайтів в 2002 році, 1 сайту в 2003 році до 112 сайтів в 2020 році.

Вийшла книга New Wars: On the Trail of Russian Hackers в 2019 році з моїм інтерв’ю.

Це книга Etienne Huver і Boris Razon, в оригіналі зветься Les nouvelles guerres: Sur la piste des hackers russes. Дав їм інтерв’ю ще в квітні 2018 року для документального фільму.

Розповів їм про кібервійну та мою протидію російським окупантам з початку 2014. Записали багато годин. Вони мали випустити фільм, але не оприлюднили ні його, ні жодного відео, проте за рік написали книгу. Яку продають в Інтернеті.

Прочитайте про мою роботу та всі операції Українських Кібер Військ за дев’ять років. Останні дані є на Facebook.

Мені про книгу не сказали, лише відповідали в ті роки, що досі працюють над документальним фільмом. Нещодавно дізнався про неї від француза, що прочитав книгу в бібліотеці.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• DDoS attacks on Dyn
• Slashdot effect
• Stresser
• Wi-Fi deauthentication attack
• WinNuke

У травні я дав інтерв’ю для телеканалу Rai. Що вийшло 17 травня.

В програмі йшлося про мою діяльність проти російських окупантів. А також про мій проект Українські Кібер Війська та нашу роботу в цій сфері за вісім років. Всі бажаючі можуть його подивитися.

Про стан безпеки державних сайтів і скільки держава витратила на захист торік.

В січні росіяни хакали і проводили DDoS атаки на урядові сайти. Вже розповідав вам у 2017 році про тодішні тендери, зараз наведу дані про останній тендер.

Раніше він називався “Послуги захисту Єдиного веб-порталу органів виконавчої влади від Ddos-атак”. Ось новий тендер Кабміну. Програмна продукція для аналізу ІР-трафіку магістральної мережі з метою захисту від DoS і DDoS атак.

Якщо при Порошенко щороку цей тендер вигравала ДАТАГРУП, то при Зеленському двічі тендер вигравала Софтліст, а минулого року виграла ОПТІДАТА - мала забезпечити захист від DDoS атак в 2022. Очікувана вартість 900000 грн., остаточна пропозиція 879654 грн.

Так що всі урядові сайти мали би бути захищеними від атак росіян, але як минулого тижня, так і сьогодні маємо наслідки.

Це лише захист від DDoS атак і лише урядового порталу і сайтів міністерств. А всього державних сайтів центральної та місцевої влади до мільйона.

Прочитайте про всі атаки на державні сайти з 2001 року, та інші українські сайти та про всі уразливості, що я знайшов на українських сайтах за 16 років, в т.ч. державних (включно з ресурсами Камбіну, президента та парламенту), в мене в новинах.

Тому недостатньо цих витрат (і акцент лише на DDoS), які щороку виділяються на захист державних ресурсів, враховуючи постійні взломи, інфікування та DDoS атаки на ці ресурси. Це при сотнях мільярдів гривень щорічних витрат на оборону.

За вісім років на всіх силовиків витратили 1327 млрд. грн. і на цей рік заплановано в бюджеті 323 млрд. А в лютому Верховна Рада виділила додаткові 23 мільярди гривень на безпеку та оборону.

У березні я дав інтерв’ю для каналу 2+2. Що вийшло 18 березня.

В програмі йшлося про мою діяльність проти російських окупантів. А також про мій проект Українські Кібер Війська та нашу роботу в цій сфері за вісім років. Всі бажаючі можуть його подивитися.

Продовжуючи розпочату традицію, після попереднього відео про взлом різноманітних мережевих пристроїв, пропоную нове відео на секюріті тематику. Цього разу відео про взлом банкоматів. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 29 - No Key No PIN No Combo No Problem Pwning ATMs For Fun and Profit

Торік в серпні на конференції DEFCON відбувся виступ Roy Davis, хоч і віддалено. В своєму виступі він розповів про взлом банкоматів для розваги та прибутку. Які бувають уразливості в ATM, як їх знаходити та в підсумку отримати гроші з сейфів банкоматів.

Він розповів про проблеми з безпекою в банкоматах різних виробників, більшість з них насправді малозахищені, бо покладаються на закритість інформації про будову і код ATM, тобто security through obscurity. Навів різні атаки, зокрема на мережу банкоматів, на USB порт, на цифрові замки та інші. Щоб без пін коду отримати гроші. Рекомендую подивитися дане відео для розуміння поточного стану безпеки банкоматів.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• LAND
• HTTP POST flood
• PUSH and ACK floods
• Radio jamming
• Resource exhaustion attack

Вже 23 роки я в Інтернеті - з середини жовтня 1998 року. Ось перелік онлайн загроз з якими я стикався.

Окрім вірусів на сайтах (а раніше на дискетах і дисках), це наступні:

Спам мені шлють з 1998.

Листи з вірусами - з 2000.

Фішинг листи - теж з 2000. Якби мені ці фішери вислали хоча б 10% від тих сум, про які вони пишуть, то я би давно став мультимільярдером .

Тролі атакують своїм хамством з 1998 - в чатах, а коментарях на сайтах і форумах, а потім і в соцмережах.

Уразливі сайти, які хакають і нерідко інфікують. Діряві веб ресурси почав знаходити з 2005.

Тисячі gov.ua сайтів були хакнуті чи інфіковані за 20 років, а також 1488 сайтів навчальних закладів були хакнуті за 16 років. Всього до ста тисяч українських сайтів.

Продовжуючи розпочату традицію, після попереднього відео про ботнети з мережевих пристроїв, пропоную нове відео на секюріті тематику. Цього разу відео про взлом різноманітних мережевих пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 - All Your Things Are Belong To Us

В жовтні на конференції DEFCON відбувся виступ Zenofex, 0×00string, CJ 000 та Maximus64. В своєму виступі вони розповіли про атаки на різноманітні мережевих пристроїв - від IP камер до розумних телевізорів. В яких вони виявили численні уразливості, що вони представили в своїй доповіді як 0-day. Тому всі бажаючі могли одразу протестувати ці уразливості в зазначених пристроях.

Вони розповіли про проблеми з безпекою в багатьох мережевих пристроях, тим самим давши зрозуміти, що всі мережеві пристрої можуть бути взломані. Це веб камери, DVR, мережеві принтери, відеофони, мережеві системи зберігання даних (NAS), флешки для медіа стрімінгу, портативні Wi-Fi колонки, Wi-Fi роутери, програвачі Blue-ray дисків з сервісом медіа стрімінгу, системи розумного будинку, Smart TV. Рекомендую подивитися дане відео для розуміння поточного стану безпеки мережевих пристроїв.