Все статьиВсе новостиВсе мнения
Политика
Мир
Красивая странаРейтинги фокуса
Вы взломаны. Хактивисты нашли уязвимости в системах госорганов Украины

Вы взломаны. Хактивисты нашли уязвимости в системах госорганов Украины

Спикер Украинского киберальянса Шон Таунсенд о массовой проверке безопасности украинских госсистем, открывшей правду: множество ресурсов давно взломано хакерами, а чиновники не спешат латать дыры, пока не окажутся в центре скандала

000

Ответственное разглашение (responsible disclosure) — термин в компьютерной безопасности, обозначающий, что уязвимости, найденные в системе, какое-то время не выходят наружу, чтобы её владельцы успели их исправить. Украинские хактивисты долгое время пытались работать именно так, надеясь, что чиновники начнут ответственнее относиться к работе, но не дождались этого. В итоге Украинский киберальянс провёл серию проверок под лозунгом #FuckResponsibleDisclosure, публикуя найденные недостатки. Среди тех, у кого есть проблемы с кибербезопасностью, — Центр космической связи, Запорожская АЭС, военкоматы и многие другие госучреждения. Представитель Украинского киберальянса с псевдонимом Шон Таунсенд рассказал Фокусу о первых результатах проверки и путях выхода из катастрофы.

Публичное давление

Почему вы решили провести массовый тест на проникновение в системы госорганов? Были ли у вас другие способы проверить безопасность ресурсов, не привлекая к этому особого внимания?

— Идея родилась спонтанно, в ходе широкой дискуссии о свободе и безопасности, о пользе и вреде цензуры и законопроектах в сфере кибербезопасности, в частности, принятом №2126а "Об основах кибербезопасности". Чтобы показать, что новый закон возлагает ответственность на всех вообще и ни на кого в частности, я рассказал историю о том, как год назад российские хакеры взломали почтовый сервер МВД. Один из наших волонтёров с помощью простого запроса в Google "site:gov.ua hacked by" нашёл в Сети украинские ресурсы, уже взломанные другими хакерами.

Мы решили проверить, кто отвечает за безопасность этих сайтов, и начали постить ссылки на взломанные ресурсы, тегая команду быстрого реагирования на инциденты при Госспецсвязи (CERT-UA). Они обязаны обмениваться информацией об инцидентах и давать рекомендации. Но наш CERT был занят тем, что проводил "киберучения". Они были настолько "успешными", что их сайт не открывался. Когда он поднялся, шутки ради мы проверили, как он устроен, и сразу же в открытом виде нашли пароль от почтовой учётной записи, хотя Госспецсвязь — одна из ключевых организаций в обеспечении кибербезопасности страны.

"Один из наших волонтёров с помощью простого запроса в Google "site:gov.ua hacked by" нашёл в Сети украинские ресурсы, уже взломанные хакерами"

Подобное происходит не в первый раз. Евгений Докукин из Украинских кибервойск задолго до нашей акции нашёл несколько сотен уязвимых государственных сайтов и, наверное, даже пытался об этом куда-то сообщать, но его все игнорировали. Поэтому выбор способа публикации был очевиден: только полное разглашение, если оно, конечно, не вредит организации, и публичное давление заставляют чиновников закрывать дыры в сайтах.

Сколько государственных ресурсов вы проверили и в какие проникли?

— Мы нашли десятки, если не сотни уязвимых ресурсов. Некоторые просто поиском в Google, некоторые поверхностным сканированием. Мы не вмешиваемся в работу найденных ресурсов, а только сообщаем об их уязвимостях. Перед нами не стоит задача проникнуть или добыть какие-то секретные сведения — секреты мы достаём в России и контролируемых ею непризнанных республиках. Наша задача показать, что тот или иной ресурс уязвим и безответственное отношение к информационной безопасности наносит существенный вред всей национальной безопасности Украины.

Мы не проверяли всех подряд, наверняка есть организации, которые защищены лучше, чем прочие. Мы использовали самые простые, неинтрузивные методы проверки, и, если бы мы применили полный спектр хакерских способов, результаты были бы куда печальнее. Мы раза по три взламывали "министерства" обеих "республик" Донбасса, а у нас нашли три-четыре министерства чуть ли не в открытом доступе.

В число найденных ресурсов попало управление Национальной полиции в Киеве, Академия МВД — на открытом диске лежала база данных сайтов и база офицеров, НАЗК, "Энергоатом", включая отдел ядерной безопасности Запорожской АЭС — у них в открытом доступе лежало всё, начиная от чертежей реактора 1984 года и до последних отчётов. Как нам любезно рассказала пресс-служба "Энергоатома", несколько недель назад российские хакеры взломали Министерство экологии. Правда, они это сказали, чтобы переложить ответственность за утечку на чужие плечи.

В Кировоградском водоканале открытой оказалась система удалённого управления водопроводом, в Ровенском — доступ в локальную сеть и списки потребителей. Херсонский областной совет оставил в свободном доступе общий диск с документами. Одно из киевских коммунальных предприятий выложило онлайн свою бухгалтерию и ключ от расчётного счёта. Были выявлены утечки документов мобильных операторов "Киевстар" и Vodafone — службы безопасности операторов начали реагировать через считаные секунды после публикации. В случае с сайтами СНБО и Конституционной комиссии при президенте Украины реакция последовала незамедлительно, им понадобилось от суток до недели, чтобы закрыть или исправить скомпрометированные ресурсы.

"Надо донести до исполнителей простую мысль, что информация — это ценность, её необходимо защищать"

Уязвимыми оказались сайты Министерства образования, Министерства здравоохранения. На сайте Донецкой ОВГА мы обнаружили следы взлома и попытки проникновения во внутреннюю сеть. IP-адреса в логах были российскими — Самара. А ещё сети супермаркетов, служба такси, областной военкомат Закарпатской области — с планами, списками призывников, распределением по частям. Они меня, кстати, забанили на Facebook после публикации, это к вопросу о реакции. Пенсионный фонд в Никополе. Центр космической связи, который в том числе получает разведданные со спутников. Десятка два районных администраций. Центр занятости в Кировограде. Аптечная сеть с доступом к POS-терминалам — это те штуки, куда вы вставляете пластиковую карту, телеканал "Интер", газета "Вести", Тернопольгаз, ещё один военкомат, на этот раз Киево-Святошинского района, одна из структур Министерства юстиции, и, наконец, три компьютера офицеров Министерства обороны. Там были документы для служебного пользования, а если порыться, то, наверное, и секретные найдутся.

Ключ под ковриком

Какой командой вы работаете и насколько изощрённые способы вам приходилось использовать?

— В акции участвовало около десятка людей. Способы, как выражается наша полиция, сводятся к "поиску в сети интернет". Это открытые общие диски, открытые ФТП (файлообменники), уязвимости веб-сайтов, которые выявляются стандартными сканерами. В случае целенаправленной и спланированной атаки злоумышленники прошли бы через украинскую критическую инфраструктуру и органы центральной власти, как нож сквозь масло. Вынужден констатировать, что кибербезопасность в Украине находится на очень низком уровне, и никто не несёт за это ответственности, ни по старым законам, ни по новым.

Организации с уязвимостями, подвергшиеся раскрытию, потом выступали с заявлениями в духе "всё равно там была публичная информация", "проникновения во внутренний периметр не было", "этот взлом ничему не угрожает". Что вы скажете в ответ?

— Неважной информации не бывает. Имея, скажем, сайт или почту районной администрации, гораздо легче будет взломать областную. Кроме того, речь идёт не о получении информации, а о практически свободном доступе в локальную сеть учреждения, где могут найтись уже настоящие секреты. В большинстве случаев защитный периметр как таковой просто отсутствует. В случае с Центром космической связи пароли от почты и доступа к серверу буквально протекали сквозь веб-сайт (сейчас он закрыт). Во многих случаях нет никакой границы между внутренней и внешней сетью. На сайте Донецкой ОВГА нашлись логи сканирования внутренней сети, которая вообще не должна быть видна с веб-сервера. Неуязвимых и неломаемых не бывает, если иметь хоть небольшую зацепку. А то, с чем мы столкнулись, — это не зацепки, а открытая дверь и ключ под ковриком. Хакер средней руки не оставит от подобных организаций камня на камне.

"Кибербезопасность в Украине находится на очень низком уровне, и никто не несёт за это ответственности"

Не нужно отрицать наличие дыр, их недостаточно просто прикрыть. Если не публиковать отчёты об инцидентах безопасности, другие не смогут узнать о типовых ошибках и подготовиться. Во многих случаях мы натыкались на следы других хакеров, и если мы останавливаемся на пороге, то россиян не удержат ни ваши титулы, ни СБУ. Они уже дважды взламывали объекты энергетики — мы, кстати, нашли большую подборку документов Киевэнергоремонта в открытом доступе. Даже в случае настоящих хакерских атак расследование либо не проводится, либо проводится на уровне "лишь бы отвязались". Сейчас западные эксперты предсказывают новую атаку на украинскую энергетику, а проверить их утверждения невозможно, потому что результатов предыдущих расследований просто нет.

Регуляция пустоты

Как часто вы наблюдали следы работы хакеров и сколько из них могут иметь отношение к РФ?

— Примерно в половине случаев мы находили следы взлома. В случае с почтовым сервером МВД нам удалось установить личности российских хакеров, включая паспортные данные. В случае с Донецкой ОВГА нашлись IP-адреса, которые так же могут указывать на то, что это была одна из российских хакерских групп.

Некоторые чиновники любят поговорить о российской угрозе, о защите инфраструктуры, но как только доходит до реальных атак — тишина. Существующая система неэффективна. Несмотря на то, что война идёт четвёртый год, охрана государственных информационных систем поставлена из рук вон плохо. Доктрины и законы — не более чем пустой звук.

У вас есть диалог с теми, кто на государственном уровне занимается кибербезопасностью в Украине?

— Мы общались с представителями СБУ, АП, СНБО и учреждений, в которых выявили уязвимости. По многим сообщённым нами инцидентам проводились или проводятся проверки.

Какой выход видите из сложившей ситуации?

— Моё личное мнение сводится к тому, что требования к обслуживанию государственных ресурсов противоречивы и невыполнимы. Необходимо упрощать законодательство, упразднять бесполезные учреждения, увольнять людей, которые не справляются с поставленными задачами. Усложнение законов, надежды на чудодейственные иностранные железки или приглашённых чудо-специалистов — это путь в никуда. В Украине уже открыто несколько киберцентров, которые усиленно занимаются освоением бюджетов и грантов, но результатов их работы не видно. Поэтому, если нет денег на то, чтобы сделать всё заново на более высоком уровне, можно упростить существующую систему.

Надо донести до исполнителей простую мысль, что информация — это ценность, её необходимо защищать. Нужно признать наличие проблемы и обсуждать её публично, а не заниматься перекладыванием ответственности. У нас очень много желающих поуправлять и порегулировать, но управлять-то нечем. Чиновники пытаются регулировать пустоту.

0
Делятся
Google+
Загрузка...
Подписка на фокус

ФОКУС, 2008 – 2017.
Все права на материалы, опубликованные на данном ресурсе, принадлежат ООО "ФОКУС МЕДИА". Какое-либо использование материалов без письменного разрешения ООО "ФОКУС МЕДИА" - запрещено. При использовании материалов с данного ресурса гиперссылка www.focus.ua обязательна.

Данный ресурс — для пользователей возрастом от 18 лет и старше.

Перепечатка, копирование или воспроизведение информации, содержащей ссылку на агентство ИнА "Українські Новини", в каком-либо виде строго запрещены.

Все материалы, которые размещены на этом сайте со ссылкой на агентство "Интерфакс-Украина", не подлежат дальнейшему воспроизведению и/или распространению в любой форме, кроме как с письменного разрешения агентства.

Материалы с плашками "Р", "Новости партнеров", "Новости компаний", "Новости партий", "Инновации", "Позиция", "Спецпроект при поддержке" публикуются на коммерческой основе.