Websecurity - Веб безпека

Вийшла книга New Wars: On the Trail of Russian Hackers в 2019 році з моїм інтерв’ю.

Це книга Etienne Huver і Boris Razon, в оригіналі зветься Les nouvelles guerres: Sur la piste des hackers russes. Дав їм інтерв’ю ще в квітні 2018 року для документального фільму.

Розповів їм про кібервійну та мою протидію російським окупантам з початку 2014. Записали багато годин. Вони мали випустити фільм, але не оприлюднили ні його, ні жодного відео, проте за рік написали книгу. Яку продають в Інтернеті.

Прочитайте про мою роботу та всі операції Українських Кібер Військ за дев’ять років. Останні дані є на Facebook.

Мені про книгу не сказали, лише відповідали в ті роки, що досі працюють над документальним фільмом. Нещодавно дізнався про неї від француза, що прочитав книгу в бібліотеці.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• DDoS attacks on Dyn
• Slashdot effect
• Stresser
• Wi-Fi deauthentication attack
• WinNuke

У травні я дав інтерв’ю для телеканалу Rai. Що вийшло 17 травня.

В програмі йшлося про мою діяльність проти російських окупантів. А також про мій проект Українські Кібер Війська та нашу роботу в цій сфері за вісім років. Всі бажаючі можуть його подивитися.

Про стан безпеки державних сайтів і скільки держава витратила на захист торік.

В січні росіяни хакали і проводили DDoS атаки на урядові сайти. Вже розповідав вам у 2017 році про тодішні тендери, зараз наведу дані про останній тендер.

Раніше він називався “Послуги захисту Єдиного веб-порталу органів виконавчої влади від Ddos-атак”. Ось новий тендер Кабміну. Програмна продукція для аналізу ІР-трафіку магістральної мережі з метою захисту від DoS і DDoS атак.

Якщо при Порошенко щороку цей тендер вигравала ДАТАГРУП, то при Зеленському двічі тендер вигравала Софтліст, а минулого року виграла ОПТІДАТА - мала забезпечити захист від DDoS атак в 2022. Очікувана вартість 900000 грн., остаточна пропозиція 879654 грн.

Так що всі урядові сайти мали би бути захищеними від атак росіян, але як минулого тижня, так і сьогодні маємо наслідки.

Це лише захист від DDoS атак і лише урядового порталу і сайтів міністерств. А всього державних сайтів центральної та місцевої влади до мільйона.

Прочитайте про всі атаки на державні сайти з 2001 року, та інші українські сайти та про всі уразливості, що я знайшов на українських сайтах за 16 років, в т.ч. державних (включно з ресурсами Камбіну, президента та парламенту), в мене в новинах.

Тому недостатньо цих витрат (і акцент лише на DDoS), які щороку виділяються на захист державних ресурсів, враховуючи постійні взломи, інфікування та DDoS атаки на ці ресурси. Це при сотнях мільярдів гривень щорічних витрат на оборону.

За вісім років на всіх силовиків витратили 1327 млрд. грн. і на цей рік заплановано в бюджеті 323 млрд. А в лютому Верховна Рада виділила додаткові 23 мільярди гривень на безпеку та оборону.

У березні я дав інтерв’ю для каналу 2+2. Що вийшло 18 березня.

В програмі йшлося про мою діяльність проти російських окупантів. А також про мій проект Українські Кібер Війська та нашу роботу в цій сфері за вісім років. Всі бажаючі можуть його подивитися.

Продовжуючи розпочату традицію, після попереднього відео про взлом різноманітних мережевих пристроїв, пропоную нове відео на секюріті тематику. Цього разу відео про взлом банкоматів. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 29 - No Key No PIN No Combo No Problem Pwning ATMs For Fun and Profit

Торік в серпні на конференції DEFCON відбувся виступ Roy Davis, хоч і віддалено. В своєму виступі він розповів про взлом банкоматів для розваги та прибутку. Які бувають уразливості в ATM, як їх знаходити та в підсумку отримати гроші з сейфів банкоматів.

Він розповів про проблеми з безпекою в банкоматах різних виробників, більшість з них насправді малозахищені, бо покладаються на закритість інформації про будову і код ATM, тобто security through obscurity. Навів різні атаки, зокрема на мережу банкоматів, на USB порт, на цифрові замки та інші. Щоб без пін коду отримати гроші. Рекомендую подивитися дане відео для розуміння поточного стану безпеки банкоматів.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• LAND
• HTTP POST flood
• PUSH and ACK floods
• Radio jamming
• Resource exhaustion attack

Вже 23 роки я в Інтернеті - з середини жовтня 1998 року. Ось перелік онлайн загроз з якими я стикався.

Окрім вірусів на сайтах (а раніше на дискетах і дисках), це наступні:

Спам мені шлють з 1998.

Листи з вірусами - з 2000.

Фішинг листи - теж з 2000. Якби мені ці фішери вислали хоча б 10% від тих сум, про які вони пишуть, то я би давно став мультимільярдером .

Тролі атакують своїм хамством з 1998 - в чатах, а коментарях на сайтах і форумах, а потім і в соцмережах.

Уразливі сайти, які хакають і нерідко інфікують. Діряві веб ресурси почав знаходити з 2005.

Тисячі gov.ua сайтів були хакнуті чи інфіковані за 20 років, а також 1488 сайтів навчальних закладів були хакнуті за 16 років. Всього до ста тисяч українських сайтів.

Продовжуючи розпочату традицію, після попереднього відео про ботнети з мережевих пристроїв, пропоную нове відео на секюріті тематику. Цього разу відео про взлом різноманітних мережевих пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 - All Your Things Are Belong To Us

В жовтні на конференції DEFCON відбувся виступ Zenofex, 0×00string, CJ 000 та Maximus64. В своєму виступі вони розповіли про атаки на різноманітні мережевих пристроїв - від IP камер до розумних телевізорів. В яких вони виявили численні уразливості, що вони представили в своїй доповіді як 0-day. Тому всі бажаючі могли одразу протестувати ці уразливості в зазначених пристроях.

Вони розповіли про проблеми з безпекою в багатьох мережевих пристроях, тим самим давши зрозуміти, що всі мережеві пристрої можуть бути взломані. Це веб камери, DVR, мережеві принтери, відеофони, мережеві системи зберігання даних (NAS), флешки для медіа стрімінгу, портативні Wi-Fi колонки, Wi-Fi роутери, програвачі Blue-ray дисків з сервісом медіа стрімінгу, системи розумного будинку, Smart TV. Рекомендую подивитися дане відео для розуміння поточного стану безпеки мережевих пристроїв.

Продовжуючи розпочату традицію, після попереднього відео про експлуатація IoT хабів, пропоную нове відео на секюріті тематику. Цього разу відео про ботнети з мережевих пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 - The call is coming from inside the house

Раніше я багато розповідав про уразливості в мережевих пристроях і взлом IoT пристроїв, як то IP камер, розумних будинків і smart пристроїв. Цього разу мова йде про використання IoT пристроїв для створення ботнетів.

В жовтні на конференції DEFCON 25 відбувся виступ Steinthor Bjarnason і Jason Jones. В своєму виступі вони розповіли про уразливі мережеві пристрої, які захоплюють зловмисники - від IP камер до роутерів та інших IoT пристроїв. Щоб створити ботнети для проведення DDoS атак, як ботнет Mirai, що з’явився два роки тому. Це небезпечна тенденція, враховуючи мільйони вразливих мережевих пристроїв в Інтернеті, кількість яких постійно зростає.

Вони розповіли про процес інфікування мережевих пристроїв і створення ботнету, показали масштаби та наслідки їх діяльності, на прикладі відомих атак IoT ботнетів. Будь-які домашні мережеві пристрої можуть бути інфіковані та залучені в ботнет, в тому числі веб камери, DVR, мережеві принтери, мережеві системи зберігання даних (NAS), Wi-Fi роутери, розумні телевізори (Smart TV). Рекомендую подивитися дане відео для розуміння поточного стану безпеки мережевих пристроїв.