Спикер Украинского киберальянса Шон Таунсенд о массовой проверке безопасности украинских госсистем, открывшей правду: множество ресурсов давно взломано хакерами, а чиновники не спешат латать дыры, пока не окажутся в центре скандала
Ответственное разглашение (responsible disclosure) — термин в компьютерной безопасности, обозначающий, что уязвимости, найденные в системе, какое-то время не выходят наружу, чтобы ее владельцы успели их исправить. Украинские хактивисты долгое время пытались работать именно так, надеясь, что чиновники начнут ответственнее относиться к работе, но не дождались этого. В итоге Украинский киберальянс провел серию проверок под лозунгом #FuckResponsibleDisclosure, публикуя найденные недостатки. Среди тех, у кого есть проблемы с кибербезопасностью, — Центр космической связи, Запорожская АЭС, военкоматы и многие другие госучреждения. Представитель Украинского киберальянса с псевдонимом Шон Таунсенд рассказал Фокусу о первых результатах проверки и путях выхода из катастрофы.
Публичное давление
Почему вы решили провести массовый тест на проникновение в системы госорганов? Были ли у вас другие способы проверить безопасность ресурсов, не привлекая к этому особого внимания?
— Идея родилась спонтанно, в ходе широкой дискуссии о свободе и безопасности, о пользе и вреде цензуры и законопроектах в сфере кибербезопасности, в частности, принятом №2126а "Об основах кибербезопасности". Чтобы показать, что новый закон возлагает ответственность на всех вообще и ни на кого в частности, я рассказал историю о том, как год назад российские хакеры взломали почтовый сервер МВД. Один из наших волонтеров с помощью простого запроса в Google "site:gov.ua hacked by" нашел в Сети украинские ресурсы, уже взломанные другими хакерами.
Мы решили проверить, кто отвечает за безопасность этих сайтов, и начали постить ссылки на взломанные ресурсы, тегая команду быстрого реагирования на инциденты при Госспецсвязи (CERT-UA). Они обязаны обмениваться информацией об инцидентах и давать рекомендации. Но наш CERT был занят тем, что проводил "киберучения". Они были настолько "успешными", что их сайт не открывался. Когда он поднялся, шутки ради мы проверили, как он устроен, и сразу же в открытом виде нашли пароль от почтовой учетной записи, хотя Госспецсвязь — одна из ключевых организаций в обеспечении кибербезопасности страны.
"Один из наших волонтеров с помощью простого запроса в Google "site:gov.ua hacked by" нашел в Сети украинские ресурсы, уже взломанные хакерами"
Подобное происходит не в первый раз. Евгений Докукин из Украинских кибервойск задолго до нашей акции нашел несколько сотен уязвимых государственных сайтов и, наверное, даже пытался об этом куда-то сообщать, но его все игнорировали. Поэтому выбор способа публикации был очевиден: только полное разглашение, если оно, конечно, не вредит организации, и публичное давление заставляют чиновников закрывать дыры в сайтах.
Сколько государственных ресурсов вы проверили и в какие проникли?
— Мы нашли десятки, если не сотни уязвимых ресурсов. Некоторые просто поиском в Google, некоторые поверхностным сканированием. Мы не вмешиваемся в работу найденных ресурсов, а только сообщаем об их уязвимостях. Перед нами не стоит задача проникнуть или добыть какие-то секретные сведения — секреты мы достаем в России и контролируемых ею непризнанных республиках. Наша задача показать, что тот или иной ресурс уязвим и безответственное отношение к информационной безопасности наносит существенный вред всей национальной безопасности Украины.
Мы не проверяли всех подряд, наверняка есть организации, которые защищены лучше, чем прочие. Мы использовали самые простые, неинтрузивные методы проверки, и, если бы мы применили полный спектр хакерских способов, результаты были бы куда печальнее. Мы раза по три взламывали "министерства" обеих "республик" Донбасса, а у нас нашли три-четыре министерства чуть ли не в открытом доступе.
В число найденных ресурсов попало управление Национальной полиции в Киеве, Академия МВД — на открытом диске лежала база данных сайтов и база офицеров, НАЗК, "Энергоатом", включая отдел ядерной безопасности Запорожской АЭС — у них в открытом доступе лежало все, начиная от чертежей реактора 1984 года и до последних отчетов. Как нам любезно рассказала пресс-служба "Энергоатома", несколько недель назад российские хакеры взломали Министерство экологии. Правда, они это сказали, чтобы переложить ответственность за утечку на чужие плечи.
В Кировоградском водоканале открытой оказалась система удаленного управления водопроводом, в Ровенском — доступ в локальную сеть и списки потребителей. Херсонский областной совет оставил в свободном доступе общий диск с документами. Одно из киевских коммунальных предприятий выложило онлайн свою бухгалтерию и ключ от расчетного счета. Были выявлены утечки документов мобильных операторов "Киевстар" и Vodafone — службы безопасности операторов начали реагировать через считаные секунды после публикации. В случае с сайтами СНБО и Конституционной комиссии при президенте Украины реакция последовала незамедлительно, им понадобилось от суток до недели, чтобы закрыть или исправить скомпрометированные ресурсы.
"Надо донести до исполнителей простую мысль, что информация — это ценность, ее необходимо защищать"
Уязвимыми оказались сайты Министерства образования, Министерства здравоохранения. На сайте Донецкой ОВГА мы обнаружили следы взлома и попытки проникновения во внутреннюю сеть. IP-адреса в логах были российскими — Самара. А еще сети супермаркетов, служба такси, областной военкомат Закарпатской области — с планами, списками призывников, распределением по частям. Они меня, кстати, забанили на Facebook после публикации, это к вопросу о реакции. Пенсионный фонд в Никополе. Центр космической связи, который в том числе получает разведданные со спутников. Десятка два районных администраций. Центр занятости в Кировограде. Аптечная сеть с доступом к POS-терминалам — это те штуки, куда вы вставляете пластиковую карту, телеканал "Интер", газета "Вести", Тернопольгаз, еще один военкомат, на этот раз Киево-Святошинского района, одна из структур Министерства юстиции, и, наконец, три компьютера офицеров Министерства обороны. Там были документы для служебного пользования, а если порыться, то, наверное, и секретные найдутся.
Ключ под ковриком
Какой командой вы работаете и насколько изощренные способы вам приходилось использовать?
— В акции участвовало около десятка людей. Способы, как выражается наша полиция, сводятся к "поиску в сети интернет". Это открытые общие диски, открытые ФТП (файлообменники), уязвимости веб-сайтов, которые выявляются стандартными сканерами. В случае целенаправленной и спланированной атаки злоумышленники прошли бы через украинскую критическую инфраструктуру и органы центральной власти, как нож сквозь масло. Вынужден констатировать, что кибербезопасность в Украине находится на очень низком уровне, и никто не несет за это ответственности, ни по старым законам, ни по новым.
Организации с уязвимостями, подвергшиеся раскрытию, потом выступали с заявлениями в духе "все равно там была публичная информация", "проникновения во внутренний периметр не было", "этот взлом ничему не угрожает". Что вы скажете в ответ?
— Неважной информации не бывает. Имея, скажем, сайт или почту районной администрации, гораздо легче будет взломать областную. Кроме того, речь идет не о получении информации, а о практически свободном доступе в локальную сеть учреждения, где могут найтись уже настоящие секреты. В большинстве случаев защитный периметр как таковой просто отсутствует. В случае с Центром космической связи пароли от почты и доступа к серверу буквально протекали сквозь веб-сайт (сейчас он закрыт). Во многих случаях нет никакой границы между внутренней и внешней сетью. На сайте Донецкой ОВГА нашлись логи сканирования внутренней сети, которая вообще не должна быть видна с веб-сервера. Неуязвимых и неломаемых не бывает, если иметь хоть небольшую зацепку. А то, с чем мы столкнулись, — это не зацепки, а открытая дверь и ключ под ковриком. Хакер средней руки не оставит от подобных организаций камня на камне.
"Кибербезопасность в Украине находится на очень низком уровне, и никто не несет за это ответственности"
Не нужно отрицать наличие дыр, их недостаточно просто прикрыть. Если не публиковать отчеты об инцидентах безопасности, другие не смогут узнать о типовых ошибках и подготовиться. Во многих случаях мы натыкались на следы других хакеров, и если мы останавливаемся на пороге, то россиян не удержат ни ваши титулы, ни СБУ. Они уже дважды взламывали объекты энергетики — мы, кстати, нашли большую подборку документов Киевэнергоремонта в открытом доступе. Даже в случае настоящих хакерских атак расследование либо не проводится, либо проводится на уровне "лишь бы отвязались". Сейчас западные эксперты предсказывают новую атаку на украинскую энергетику, а проверить их утверждения невозможно, потому что результатов предыдущих расследований просто нет.
Регуляция пустоты
Как часто вы наблюдали следы работы хакеров и сколько из них могут иметь отношение к РФ?
— Примерно в половине случаев мы находили следы взлома. В случае с почтовым сервером МВД нам удалось установить личности российских хакеров, включая паспортные данные. В случае с Донецкой ОВГА нашлись IP-адреса, которые так же могут указывать на то, что это была одна из российских хакерских групп.
Некоторые чиновники любят поговорить о российской угрозе, о защите инфраструктуры, но как только доходит до реальных атак — тишина. Существующая система неэффективна. Несмотря на то, что война идет четвертый год, охрана государственных информационных систем поставлена из рук вон плохо. Доктрины и законы — не более чем пустой звук.
У вас есть диалог с теми, кто на государственном уровне занимается кибербезопасностью в Украине?
— Мы общались с представителями СБУ, АП, СНБО и учреждений, в которых выявили уязвимости. По многим сообщенным нами инцидентам проводились или проводятся проверки.
Какой выход видите из сложившей ситуации?
— Мое личное мнение сводится к тому, что требования к обслуживанию государственных ресурсов противоречивы и невыполнимы. Необходимо упрощать законодательство, упразднять бесполезные учреждения, увольнять людей, которые не справляются с поставленными задачами. Усложнение законов, надежды на чудодейственные иностранные железки или приглашенных чудо-специалистов — это путь в никуда. В Украине уже открыто несколько киберцентров, которые усиленно занимаются освоением бюджетов и грантов, но результатов их работы не видно. Поэтому, если нет денег на то, чтобы сделать все заново на более высоком уровне, можно упростить существующую систему.
- Читайте также: Цифровая гигиена. Как устроена система киберзащиты Украины
Надо донести до исполнителей простую мысль, что информация — это ценность, ее необходимо защищать. Нужно признать наличие проблемы и обсуждать ее публично, а не заниматься перекладыванием ответственности. У нас очень много желающих поуправлять и порегулировать, но управлять-то нечем. Чиновники пытаются регулировать пустоту.