https://twitter.com/m/status/1485194918339530755 >

.

Нові дані про можливу причетність Дії до останнього масштабного зливу персональних даних.
Різні державні установи України намагаються нас переконати (поки що голослівно), що
а) зливу не було; б) злиті дані – не актуальні та в) Дія тут ні до чого.
А тепер увага. Слідкуємо за хронологією подій.
Хлопцю з одного мальовничого обласного центру України півроку тому виповнилося 14 років.
У серпні 2021 він отримав свій перший паспорт у місцевому ЦНАП.
Коли вже встановив собі Дію (та навіщо?) – це вже другорядне. Встановив – то й встановив, приймемо це як факт.
Але надзвичайно важливим є й інший факт, що на порталі Дія він – НЕ реєструвався. Його батько двічі у нього перепитав про цей момент. Після зливу – довелося зареєструватися, але вже для декодування токену.
Звісно, ФОПом також не реєструвався. І ніде більше не реєструвався. Просто не встиг.
Лише отримав паспорті та зареєструвався в мобільному додатку Дія.
Все.
Аж раптом дорослий родич хлопця знайшов дані парубка у останньому зливі на RaidForums: ПІБ, телефон, email, ідентифікаційний код (на скріні).
Питання: звідки ці дані опинилися у витоку?
Варіанти рівно два: або з ЦНАПу, або з додатку Дія.
Щодо ЦНАПу – сумніваюся. Там у них теж все далеко не ідеально, та і взагалі мало що про це відомо. Серед версій щодо джерел останнього витоку ЦНАПи ніколи не згадувалися. І чи в них взагалі існують якісь власні бази даних? Але навіть якщо існують, і якщо виток був з них – хакери дані вкрали з якоїсь централізованої бази, до якої з обласного ЦНАПу вони якимось чином потрапили. Яким? Трембіта? Дія? Щось інше, про що ми не знаємо? Чи існують взагалі у ЦНАПів власні бази? Якщо існують – де зберігаються? Як і куди передаються дані? Хто за все це відповідає? Маса питань, і поки без відповідей.

А от з версія з Діє виглядає більш вірогідною. І саме виток через «мобільний додаток». Не портал, який начебто хакнули через розробника, а саме додаток.
Мобільний додаток та портал йдуть до баз даних різними шляхами, але ж вони точно між собою якось десь сінхронізуються, авжеж? Інакше немає сенсу їхнього роздільного існування. Можливо, коли хакнули портал – отримали доступ до чогось спільного з додатком. Ми не знаємо інфраструктури Дії та схем її внутрішньої інтеграції – вся документація засекречена, а дані по розслідування останніх інцидентів – просто не повідомляються. Як і по «розслідуванням» усіх попередніх гучних інцидентів, у тому числі по «кейсу Джо Байдена».

Історію про 14-річного хлопця та злив його персональних даних розказав родич хлопця пан Іван тут Просмотр ссылок доступен только зарегистрированным пользователям тому усі уточнюючі питання – до нього. Я особисто поспілкувався з батьком постраждалого і він підтвердив і актуальність даних, і усю історію. Але поки він та його неповнолітній син не готові виходити у публічний простір – і я поважаю це його право на приватність.

Але уся історія - абсолютно реальна, люди – справжні, дані з витоку – свіжі та достовірні.
І це повністю спростовує урядову версію, що «зливу не було», «дані не актуальні» та «Дія тут ні чого!!»
Отже, наразі єдина можливість «дієвим» спихнути з себе провину – якось швиденько перекласти її на ЦНАПи. Але цей проект профінансував Європейський Союз, і навряд чи спонсорам сподобається така пред’ява. Хоча можуть спробувати, якщо вже зовсім в глухому куті, гукніть отого навіженого з мінцирку.

Загалом-то я думаю, що таких випадків насправді значно більше, ніж один.
Але навіть один доводить, що цифровізацією на державному рівні в Україні займаються жахливо некомпетентні та фантастично безвідповідальні люди. Які замість чесно визнати свої помилки та піти з посад, прикривають свої жахливі якості постійною брехнею. Закрилися у своїй шкарлупі і періодично тикають звідти дулі: «Це все брехня, нікому не вірте, вірте нам».
Але цих людей ловлять на брехні (бо вона примітивна та прямолінійна), а вони одну брехню прикривають новою, ще тупішою. Їх знову ловлять, але вони продовжують брехати. І знов. І знов. І знов. Щоб залишитися «на потоках». Щоб продовжувати пиляти наші та західні кошти на сумнівних прожектах та працевлаштувати голодну ораву весільних фотографів з 95кварталу. Щоб будь-яким способом дотягти до «виборів у смартфоні» - причому у смартфоні однієї конкретної людини, ім’я та прізвище якої усі ми чудово знаємо.
Стаття 32 Конституції? Ні, не чули.
Нагадаю.
«Стаття 32. Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України.
Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини…»

.

Как обычно, главное поливать на папиредников, те, что до 2019 года.

Я вижу, что у меня за прошедшие три дня добавились новые подписчики. Давайте знакомиться, я Шон из Ukrainian Cyber Alliance и я немного разбираюсь в кибербезопасности. Люди делятся на тех, кто может взломать государственную думу российской федерации и заткнуть дыру в банке и тех, кто кричит "Дія не хранит данные". После того, как я позолил себе усомниться в том, что "Дия не хранит", министерство цифровых гудков натравило на меня ботов. Чувствую, что стратегия по развитию искусственного интеллекта в Украине тоже провалена. Пока им удалось создать автоматичекого  е-Выскуба Просмотр ссылок доступен только зарегистрированным пользователям и это никак не сочтетается с интеллектом, даже с искусственным. Тем не менее, в их воплях про "провокацию РФ" есть доля истины. 14 января закончилась очередная атака со стороны РФ (или Беларуси) на Украину. И дефейсы правительстенных сайтов - вершина айсберга. Так же часть данных ("Дия" и "Кабинет водителя") были украдены, а часть уничтожена ("МТСБУ"). И те образцы, которые хакеры в погонах выкладывают на форумах не только настоящие, и не только свежие, но и действительно из тех самых источников. У меня сомнений практически не осталось. Подделать десятки тысяч превьюшек документов из Дии и многие другие детали, включая кодированные обрывки кеша на десятом уровне вложенности каталогов, практически невозможно. И вместо того, чтобы минимизировать последствия атаки трансформаторы продолжают лгать. Лгать самозабвенно, слоями, с желтыми узорчиками (напоминаю, что желтый снег есть нельзя). То что бездумная автоматизация не могла закончится иначе, многим специалистам стало понятно очень давно. Жаль, что эти сомнения подтвердились таким образом Просмотр ссылок доступен только зарегистрированным пользователям

А поки кібер-чиновники забилися у бункер та роблять вигляд, ніби нічого особливого з кібератаками не трапилося, хотів би звернути увагу на одне серйозне питання національної кібербезпеки.
«Об’єднуватися щоб протистояти загрозі та нейтралізувати противника» - закликають українських кіберспеціалістів цифрові трансформатори, проср-вши всі можливі полімери та продовжуючи по-дитячому відбріхуватися від сотень очевидних доказів їхньої некомпетентності у стилі «висьоврьоті» та роняючи на айкоси сльози безсилої ненависті.
Звучить це гасло приблизно як «Ми накосячили, але давайте поширимо відповідальність за нашу криворукість і на вас також». Покарати невинних, нагородити непричетних, все як завжди з госухою.
Перше питання, яке виникає: а навколо кого чи чого об’єднуватися? Навколо лузерів, «для яких «роль кібербезпеки перебільшена»? Чи навколо заказушників з кіберполіції, які сфабрикували справу проти кібер-активістів (УКА, Одеський аеропорт)? Чи навколо ДКІБ СБУ, які грабують іноземних інвесторів, які посміли легально майнити крипту в Україні?

Давайте скажемо чесно: жодна з існуючих державних «кібер-установ» не може наразі бути точкою об’єднання. Через корупцію, некомпетентність та, відповідно, глибоку недовіру до них.
Звісно, усі ці НКЦК, ДССЗЗІ, МЦТ, КП чи ДКІБ багато говорять про довіру та про державно-приватне партнерство. При цьому єдине значуще слово - “говорять”. Як в анекдоті: “А он сусіду 75 років і він каже, що ще може. – Ну так і ти кажи!”.
По факту ж єдиний сенс існування усіх цих картонних “кіберцентрів” – розпилювати бюджети, як наші спільні, так і “західну допомогу”.
Задля імітації своєї начебто корисності, чиновники створюють штучну хмару “народної підтримки”: кишенькові “ради кіберекспертів», «громадські ради», урочисте підписання з невідомими ГОшками якихось меморандумів, суто бюрократичні «кругли столи» з ким попало, чи  фотографування з протокольними мордами.
На реальний стан кіберзахищеності країни це аж ніяк не впливає, але, на думку, чиновництва, вдало маскує їхню імпотентність та некомпетентність.

Та і загалом: для чого «об’єднуватися»?
Щоби що? Щоб госуха й надалі пиляла свої 38 мільйонів доларів від USAID, а коли через їхню декоративну кібербезпеку знов трапиться гучний інцидент –  могли спокійно з’їхати: «тю, так це ж наша спільна відповідальність, до чого тут ми? І до чого тут Дія? (С)»

Наведу один свіжий приклад такого «об’єднання»: один експерт активно співпрацював з Мінцирком, ходив з ними на різні публічні заходи, аж поки не наважився критикувати. Просмотр ссылок доступен только зарегистрированным пользователям
Циркові написали кляузу до посольства Швеції, яке фінансувало той проект, мовляв, непокірний експерт «Констатував погану комунікацію Мінцифри зі стейкхолдерами».
І шо ви думаєте? Експерта усунули від проекту.
Це вам і про «об’єднуватися», і про «західну допомогу». І про плюралізм думок, і про врахування думки громадськості, і про цінності західної демократії. Класичний випадок «або погоджуєшся з державою, або іди геть».
«Хто ти такий, щоб знайомитися?» (С) #цитативеликихвискубів
Ну от як після такого з ними «об’єднуватися»?

Звісно, у самих країнах західних демократій ситуація рівно протилежна: там дійсно працює приватно-державне партнерство, дійсно професіоналізм перемагає чиновницькі амбіції, дійсно є бажання зробити важливу справу, а не просто вкрасти гроші.
Ось кілька прикладів.
Нідерланди. У цій країні існує незалежний національний дорадчий орган уряду Нідерландів та бізнес-спільноти - Рада з питань кібербезпеки (CSR), до якого входять крім чиновників, також  представники високого рівня (high-ranking representatives) від громадських, приватних та наукових організацій. Пропорція наступна: 7 урядовців, 7 “приватників” та 4 науковців. І це ще при тому, що у країні один з найвищих у Європі рівнів довіри до влади.
CSR приймає стратегічні рішення у сфері кібербезпеки країни. Просмотр ссылок доступен только зарегистрированным пользователям
Шотландія: Просмотр ссылок доступен только зарегистрированным пользователям
Фінляндія: Просмотр ссылок доступен только зарегистрированным пользователям
Велика Британія: Просмотр ссылок доступен только зарегистрированным пользователям

Не знаю, чому деякі «західні партнери» у себе в країнах роблять все як слід, а в Україні -забувають усі свої високі принципи та цінност. Як це, наприклад, сталося з американським проектом USAID Cybersecurity Activity та їхніми 38 мільйонами доларів. #cyberUSAID
«Західні донори» в Україні враховують лише думку некомпетентних, зате нервових чиновників. А якщо хтось там з чимось не згодний – то нехай місцева влада усе вирішує.
Як сказав мені по секрету один з працівників одного з таких проектів: «Навіть кристально-чесний та принциповий європеєць стає махровим корупціонером протягом двох місяців з дня приїзду в Україну».

Ось чому заклики «об’єднуватися» від сучасних українських держорганів викликають сарказм та скепсис: «Ага, щаз». Причому оці держоргани мінятися не бажають, і на критику не реагують. Натомість вимагають ще більше грошей та ще більше повноважень. Їхня позиція залишається незмінною протягом десятиліть: ей ви, бізнесюки, бігом всі сюди, упалі-віджалися, зробіть нам все швидко, якісно і безкоштовно – ви ж патріоти чи ні? А ми тут усім будемо керувати, вигадувати собі нові генеральські посади та бабос будемо між собою пиляти.

Так не працює. Це точно не приватно-державне партнерство. Це профанація, а не кібербезпека країни.
І без кардинальної зміни цієї парадигми – не буде в країні ніякої національної кібербезпеки. Знов будуть атаки, і знов усі «кібер-воїни» тікатимуть хто куди по кущах. Жоден з «відповідальних органів» не зможе не те щоб протистояти – навіть пояснити притомно: що ж насправді відбулося?. Вискуби будуть брехати та істерити у пабліках як ображений хлопчик, а усі інші «кібер-чиновники» – насуплено мовчатимуть та поважно надуватимуть щоки на засіданнях РНБО. Максимальне досягнення – скласти звіт «А дивіться з яких гвинтиків та гайочок складалася бомба, яка нас в хлам розхреначила».
Скільки років ще триватиме цей цикл – невідомо, тому що я не бачу жодних натяків на передумови до позитивних змін у площині національної кібербезпеки.
Зате я вже приблизно розумію що слід робити. Бо вже набридло спостерігати один й той самий сценарій після кожного етапу кібервійни. Сподіваюся скоро поділитися цими планами з однодумцями. Слідкуйте за анонсами у Мордокнижці.
(Вдягає чорні окуляри, насуває капюшон та таємничо зникає у романтичному тумані. Звучить Запорізький Марш.)

https://www.facebook.com/100005253309366/posts/1859348904250202/

Прошёл ровно месяц с предыдущей атаки и свадебные фотографы опять облажались - в этот раз было чуть другое направление - СМС-рассылка и DDOS.