![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
don_katalanШон Таунсенд
Увидел интересный вышкреб государственной мысли в комментариях. Скриншот в комментариях. Оказывается никаких древних CVE не было, а была атака на цепь поставок (Kitsoft), а кто считает иначе - ̶к̶о̶м̶м̶у̶н̶и̶с̶т̶ злобный распространитель слухов. Похоже в число распространителей слухов попадают CERT-UA и Служба безпеки, которые рекомендуют обновить October CMS.
Давайте подумаем чем эти две версии отличаются между собой. Если это была дыра в октябре, то взломщики получили доступ к панелям управления сайтами, разместили свое сообщение, и на этом собственно все. Пара часов унижения и можно все возвращать на место. А вот если это была успешная атака на Китсофт, то последствия могут оказаться куда серьезнее. По странному стечению обстоятельств поднялись все сайты кроме портала Дія. Оно лежит уже вторые сутки.
Как и всегда, меня интересуют не только технические подробности, но и реакция на взлом. О дефейсах я узнал примерно в то же время, что и ДССЗЗІ и НКЦК, около четырех часов утра. Вместо того, чтобы злорадствовать в духе "I told you so", я решил подождать официальной реакции. Как гражданину мне было бы спокойнее, если бы очень ответственные субъекты кибербезопасности написали у себя на странице, что мол так и так, на нас напали, но люди мужественных профессий уже выпили кофе и нажали на кнопку с большими дружелюбными буквами "Don't panic!"
В шесть утра по-прежнему тишина, к освещению новости подключились не только на редкость шустрые забордюрные сми, но и отечественные. К семи-восьми утра уже стало известно и про October CMS и про уязвимость в нем. До твита Ким Зеттер. Самое время начать рассказывать сонным соотечественникам, что злые хакеры увалили половину публичных ресурсов правительства, но проснулся только МИД в лице Олега Николенко. И только к концу дня, когда высказались уже все, включая Белый Дом и Евросоюз, очнулись наши защитнички.
Кризисные коммуникации. Ни на одном сайте нет никаких упоминаний о прошедших дефейсах, видимо это заурядное событие, которое не заслуживает новостей. Всратком. Все как мы любим https://t.me/ruheight/1072
P.S. Уже после этого поста diia[.]gov.ua стал перенаправлять на guide[.]diia.gov.ua, но портал по-прежнему не работает.
===
Igor Azarny
Меня мучает вопрос - почему Октябрь а не Wordpress на родном хостинге ?
---
Шон Таунсенд
Igor Azarny Без разницы. И то и другое нужно уметь готовить.
---
Igor Azarny
Sean Brian Townsend родной хостинг подразумевает , что как минимум дырки закрывают быстро и надежно . В крайнем случае если надо наш хостинг можно генераторе статических сайтов …. Ну то такое . Но 100% надо уметь готовить любое решение
===
Артем Поліщук
Sean Brian Townsend, виявилось, що я був першим і єдиним, хто офіційно телефонува в СБУ/Кіберполіцію і офіційно подав заяву на 102 о третій годині. Зранку думав, що мене арештують. 😀
«Де ви є? Ми зараз до вас приїдемо і будемо ізимать техніку. Через вас, у нас тут генерали всіх… 😀
---
Шон Таунсенд
Артем Поліщук Прекрасно
---
Sergey Saraychikov
Артем Поліщук еще раз подчёркивает что нет безопасного места куда можно сообщить о проблеме!
---
Шон Таунсенд
Національна поліція, Кіберполіція, это что был за нахуй? Вы там похуели все совсем?
---
Артем Поліщук
Sean Brian Townsend, та там весело було… потім все з‘ясувалось. 😀 То черговий перший був геть наляканий. Потім все гараз було. 🙂
І слідчі чемні були з Шевченківського. На вулиці дав пояснення.
---
Артем Поліщук
Sean Brian Townsend, Кіберполіція зранку зателефонувала і там було все адекватно… То Поліція трохи психанула, оскільки на них наїхали згори, а про суть події вони схоже і не знали спочатку…
Потім всі заспокоїлись і все за процедурою пішло нормально.
---
Володимир Фльонц
А почему не на горячую линию в CERT?
На зображенні може бути: текст «19:44 66% CERT-UA KoHTaKTи [email protected] nH 4T: 8:00 17:00, nT: 8:00 15:45: +38 (044) 281-88-25 +38 (044) 281-88-05 Bиx.AHи Ta cBRTKoB AHỉ (uлoAo6oBo): +38 (044) 281-88-01 ueHTp aHTиBpycHoro 3axиcTy иHфopmaue: (044) 281-88-78 http://cazi.gov.ua TeлeфoHи AлR AoBAoK woAo onиTyBaлbHиKa: +38 (044) 281-87-54 +38 (044) 281-87-44 aApeca パ 04119, M. KиïB, Byл. юpиR ллeHKa, 836 mи B coumepeжax»
---
Артем Поліщук
Volodymyr Flonts, у нас 9 органів, що займаються кібер-… Не знаю всіх контактів.
Там справа міжнародна (я про підставу поляків) і на той момент я знав тільки про дефейс МОН…
Мій вибір був: 1) СБУ - автовідповідач; 2) Кіберполіція - автовідповідач і рекомендація 102; 3) 102 - прийняли заяву.
---
Володимир Фльонц
Артем Поліщук я без підйо.. було цікаво чи справді CERT цілодобовий чи там теж автовідповідач
---
Артем Поліщук
Volodymyr Flonts, я ж також. Потім побачив у людей там вночі прийшли специ з однієї з контор і сказали, що працюють…
Буду тепер знати, що хоч хтось не спить. Круть!
---
Наталя Незнанова
Артем Поліщук нє, ну все одно, що було у того чергового в голові, що він вирішив, що йому телефонують ті самі хакери? Спросоння уявив, що сьогодні злочинці будуть здаватися самі?)
---
Артем Поліщук
Наталя Незнанова, то був вже дзвінок через 6 годин після заяви.
-
Увидел интересный вышкреб государственной мысли в комментариях. Скриншот в комментариях. Оказывается никаких древних CVE не было, а была атака на цепь поставок (Kitsoft), а кто считает иначе - ̶к̶о̶м̶м̶у̶н̶и̶с̶т̶ злобный распространитель слухов. Похоже в число распространителей слухов попадают CERT-UA и Служба безпеки, которые рекомендуют обновить October CMS.
Давайте подумаем чем эти две версии отличаются между собой. Если это была дыра в октябре, то взломщики получили доступ к панелям управления сайтами, разместили свое сообщение, и на этом собственно все. Пара часов унижения и можно все возвращать на место. А вот если это была успешная атака на Китсофт, то последствия могут оказаться куда серьезнее. По странному стечению обстоятельств поднялись все сайты кроме портала Дія. Оно лежит уже вторые сутки.
Как и всегда, меня интересуют не только технические подробности, но и реакция на взлом. О дефейсах я узнал примерно в то же время, что и ДССЗЗІ и НКЦК, около четырех часов утра. Вместо того, чтобы злорадствовать в духе "I told you so", я решил подождать официальной реакции. Как гражданину мне было бы спокойнее, если бы очень ответственные субъекты кибербезопасности написали у себя на странице, что мол так и так, на нас напали, но люди мужественных профессий уже выпили кофе и нажали на кнопку с большими дружелюбными буквами "Don't panic!"
В шесть утра по-прежнему тишина, к освещению новости подключились не только на редкость шустрые забордюрные сми, но и отечественные. К семи-восьми утра уже стало известно и про October CMS и про уязвимость в нем. До твита Ким Зеттер. Самое время начать рассказывать сонным соотечественникам, что злые хакеры увалили половину публичных ресурсов правительства, но проснулся только МИД в лице Олега Николенко. И только к концу дня, когда высказались уже все, включая Белый Дом и Евросоюз, очнулись наши защитнички.
Кризисные коммуникации. Ни на одном сайте нет никаких упоминаний о прошедших дефейсах, видимо это заурядное событие, которое не заслуживает новостей. Всратком. Все как мы любим https://t.me/ruheight/1072
P.S. Уже после этого поста diia[.]gov.ua стал перенаправлять на guide[.]diia.gov.ua, но портал по-прежнему не работает.
===
Igor Azarny
Меня мучает вопрос - почему Октябрь а не Wordpress на родном хостинге ?
---
Шон Таунсенд
Igor Azarny Без разницы. И то и другое нужно уметь готовить.
---
Igor Azarny
Sean Brian Townsend родной хостинг подразумевает , что как минимум дырки закрывают быстро и надежно . В крайнем случае если надо наш хостинг можно генераторе статических сайтов …. Ну то такое . Но 100% надо уметь готовить любое решение
===
Артем Поліщук
Sean Brian Townsend, виявилось, що я був першим і єдиним, хто офіційно телефонува в СБУ/Кіберполіцію і офіційно подав заяву на 102 о третій годині. Зранку думав, що мене арештують. 😀
«Де ви є? Ми зараз до вас приїдемо і будемо ізимать техніку. Через вас, у нас тут генерали всіх… 😀
---
Шон Таунсенд
Артем Поліщук Прекрасно
---
Sergey Saraychikov
Артем Поліщук еще раз подчёркивает что нет безопасного места куда можно сообщить о проблеме!
---
Шон Таунсенд
Національна поліція, Кіберполіція, это что был за нахуй? Вы там похуели все совсем?
---
Артем Поліщук
Sean Brian Townsend, та там весело було… потім все з‘ясувалось. 😀 То черговий перший був геть наляканий. Потім все гараз було. 🙂
І слідчі чемні були з Шевченківського. На вулиці дав пояснення.
---
Артем Поліщук
Sean Brian Townsend, Кіберполіція зранку зателефонувала і там було все адекватно… То Поліція трохи психанула, оскільки на них наїхали згори, а про суть події вони схоже і не знали спочатку…
Потім всі заспокоїлись і все за процедурою пішло нормально.
---
Володимир Фльонц
А почему не на горячую линию в CERT?
На зображенні може бути: текст «19:44 66% CERT-UA KoHTaKTи [email protected] nH 4T: 8:00 17:00, nT: 8:00 15:45: +38 (044) 281-88-25 +38 (044) 281-88-05 Bиx.AHи Ta cBRTKoB AHỉ (uлoAo6oBo): +38 (044) 281-88-01 ueHTp aHTиBpycHoro 3axиcTy иHфopmaue: (044) 281-88-78 http://cazi.gov.ua TeлeфoHи AлR AoBAoK woAo onиTyBaлbHиKa: +38 (044) 281-87-54 +38 (044) 281-87-44 aApeca パ 04119, M. KиïB, Byл. юpиR ллeHKa, 836 mи B coumepeжax»
---
Артем Поліщук
Volodymyr Flonts, у нас 9 органів, що займаються кібер-… Не знаю всіх контактів.
Там справа міжнародна (я про підставу поляків) і на той момент я знав тільки про дефейс МОН…
Мій вибір був: 1) СБУ - автовідповідач; 2) Кіберполіція - автовідповідач і рекомендація 102; 3) 102 - прийняли заяву.
---
Володимир Фльонц
Артем Поліщук я без підйо.. було цікаво чи справді CERT цілодобовий чи там теж автовідповідач
---
Артем Поліщук
Volodymyr Flonts, я ж також. Потім побачив у людей там вночі прийшли специ з однієї з контор і сказали, що працюють…
Буду тепер знати, що хоч хтось не спить. Круть!
---
Наталя Незнанова
Артем Поліщук нє, ну все одно, що було у того чергового в голові, що він вирішив, що йому телефонують ті самі хакери? Спросоння уявив, що сьогодні злочинці будуть здаватися самі?)
---
Артем Поліщук
Наталя Незнанова, то був вже дзвінок через 6 годин після заяви.
-