Перша – це злам пошти радника президента Росії Владіміра Путіна Владислава Суркова. Друга – пошуком доказів російської агресії на Донбасі й у Криму. Третя – акцією Fuck the responsible disclosure (#FRD), під час якої активісти шукали вразливості у захисті української критичної інфраструктури в кіберпросторі.
25 лютого до кількох активістів цього руху з обшуками прийшли силовики: кіберполіція та Служба безпеки України. Людей звинуватили у тому, що у жовтні минулого року вони нібито зламали інформаційне табло одеського аеропорту і вивісили там фотографію екоактивістки Грети Тунберг із нецензурним написом. Це звинувачення стало приводом до конфіскації частини комп’ютерів кіберволонтерів. Наразі їм не пред’явлено жодних підозр, проте тривають суди щодо вилученої техніки.
Тиждень.ua поспілкувався з Андрієм Перевезієм – членом Кіберальянсу, який знайшов вразливості в захисті аеропорту Одеси за півтора тижні до інциденту. Ми поговорили з ним про обшуки, співпрацю активістів з органами державної влади та про загальні проблеми у кібербезпеці України.
Скажіть, чим ви займалися до Майдану і початку російської агресії?
Я займався, займаюся і буду займатися кібербезпекою. У своїй роботі я більше орієнтуюся зараз на російську агресію, тому я б не надто прив’язувався саме до подій на Майдані. А після початку війни ми почали займатися дослідженням псевдореспублік, шукаємо у кіберпросторі докази російської агресії. Також знаходимо вразливості у державних структурах та в бізнесі, які потенційно на свою користь може використати Росія.
Читайте також: Український кіберальянс: «Держструктурам не варто лишати двері для хакерів прочиненими»
Так, кілька років тому Альянс почав акцію Fuck the responsible disclosure (#FRD). Ви шукали вразливості й публічно про них повідомляли. Чи були випадки, коли українські державні структури оперативно на це реагували?
#FRD триває вже 4 роки. Останнім часом були випадки, так, коли ми співпрацювали з державними установами і вони доволі швидко виправляли помилки. Спочатку ми інформували про вразливості органи влади, потім повідомляли про це публічно. Бували випадки, коли реакція була… повільна Скажімо, у Національної агенції державної служби . У них була вразливість. Ми про це їм повідомили, повідомили правоохоронні структури. Але реагування було дуже довгим. А оперативно виправляли вразливості, скажімо, у Генпрокуратурі. Також приклад швидкої реакції – Херсонський адміністративний суд. Але, на жаль, таких випадків доволі мало.
Була історія, коли ви знайшли проблеми у захисті одного з військкоматів і нібито це зробили росіяни.
Там історія була трохи інакша. На одному з російських форумів, закритому для публічного доступу, злили інфу з одного із наших українських військкоматів. Ми про це повідомили публічно. І коли почали розбиратися детальніше – виявилося, що через сайт того військкомату тривалий час качали різну інфу. Але я б не зосереджувався суто на вразливостях. Це більше ІТ-шна термінологія. А історія #FRD – це пошук відкритої інформації. Тобто ми шукаємо те, що може отримати середньостатистичний користувач в інтернеті. Але ми для себе поставили певні обмеження. Наприклад, якщо ми десь введемо логін і пароль «admin – admin» і зайдемо в чиюсь систему – то це вже кримінальна відповідальність. Тому цього ми не робимо. Але якщо дізнаємося, що у когось, для прикладу, такий «захист» облікового запису – ми про це повідомляємо. Загалом історія FRD – це боротьба з отакими явищами. Коли документи, які мають бути закритими, чомусь відкрито стирчать в інтернет.
На ваші знахідки якось реагує кіберполіція?
Є один нюанс. Аби кіберполіція почала кримінальне провадження – потрібно аби стався злочин. Або була чиясь заява. Коли ми публікуємо дані про вразливості – це не є заявою до кіберполіції. Тобто потрібно, аби структура, або компанія, в якої ми знайшли вразливість, сама звернулася до правоохоронців. Фактично написала заяву сама на себе, тому що вони недбало ставляться до своїх обов’язків. Зрозуміло, що такого ніколи не буде.
Читайте також: Звіт CEPA: стратегії впливу Росії і Китаю на ЗМІ
І тому заяви писали на вас.
Так, кілька таких випадків було.
Але ж зазвичай, коли ви знаходите вразливості у державних структур, вони починають все заперечувати.
Так. І найбільше це стосується пана Юрія Назарова з КМДА. Я для нього персонально останні рази почав записувати відео: як і яким чином ми знаходимо важливу інформацію, яка відкрито стирчить в інтернет. Бо йому певний час здавалося, що ми скріншоти малюємо у Photoshop. Після того, як ми почали писати відео, пан Назаров якось перестав коментувати наші пости.
Якщо говорити загалом про захист в Україні від кіберзагроз? Наскільки все погано? Випадок з вірусом NotPetya (атака сталася у 2017 році, була порушена робота низки підприємств, банків та медіа. Також внаслідок атаки була заблокована робота аеропорту «Бориспіль», Укртелекому, Укрпошти тощо)
Давайте так. НеПетя – логічна атака, під час якої було використано особливості нашої IT інфраструктури. Атака відбулася через програму M. Е. Doc (програма для електронної звітності та документообігу – ред.). У більшості компаній станом на 2017-й рік використовували саме цей софт. І ця атака – це питання компетентності системних адміністраторів. Оскільки у більшості випадків ця програма мала адміністраторські права на комп’ютерах. А коли на різних конференціях я питав: «Так а чому ви цій програмі фактично дали необмежений доступ до комп’ютерів», мені відповідали, що, мовляв, інакше вона і не встановлювалася. Встановлювалася. У мене були клієнти, в яких через цю атаку лягла бухгалтерія. А були клієнти, в яких все було добре. Бо вони відповідально ставилися до своєї роботи. Масштаб проблеми міг бути значно меншим.
Тобто все впирається у кадри?
Не лише. Наприклад, бувають випадки, коли в компанію приходить працювати новий системний адміністратор і питає: «У вас все працює?» І якщо відповідь «так» – він і не втручається в роботу. Навіть ревізію свого попередника не робить. А бувають інші випадки. Наприклад, коли новий адмін приходить і хоче провести ревізію, щось оптимізувати, а власник йому каже: не лізь, воно й так працює. А потім, під час атаки хакерів, знаходять критичні вразливості у захисті. Загалом десь 90% проблем в інформаційній безпеці – це халатність системних адміністраторів або розробників. Ми під час акції #FRD нічого не ламали. Ми просто шукали інформацію у відкритому доступі. І знаходимо її. Але хто у цьому винен?
Читайте також: Фаєрвол проти хакерів чи онлайн-цензор?
Добре. А за таких умов можливо побудувати державу у смартфоні?
Давайте так. Ви хочете поїхати за кордон. Але у вас колись був штраф за паркування. І ви його ніби як сплатили і хотіли б впевнитись, що вас не внесли до списку невиїздних громадян. І для цього вам треба відправити листа через Укрпошту до Державної прикордонної служби. І отримати від них паперову відповідь. І не факт, що поки до вас ця відповідь буде йти, вас не внесуть до якихось баз невиїздних. Тому процес оцифровування – це масштабна річ. Наприклад, зараз запустили додаток Дія. Але якщо в їх підтримки спитати, чи замінить цей додаток паперове посвідчення водія – то відповідь буде однозначна. Ні. Тому що є закон. Який визначає, що посвідчення водія має бути встановленого зразка. Або, наприклад, зараз хочуть запровадити єдиний військовий квиток. Я б хотів подивитися на людину, яка справу кожного призовника буде руками вносити в єдину базу.
Але ж тут ще існує можливість витоку інформації.
Аби цей витік стався, спочатку має інформація з’явитися. Я вже бачу цю картинку: сидить людина у кімнаті, завалена папером і все це передруковує. Середня справа призовника – це папка 5 см завтовшки. Подивимося, як воно запрацює.
Як і коли ви знайшли вразливість у Одеському аеропорту?
Це було 7 жовтня минулого року. Ми написали пост у Facebook. Повідомили, о є вразливість у захисті, є доступ до документів, до машуртизаторів. Наприклад, якщо ви вводили в адресний рядок певну адресу, а потім додавали «/doc» або «/іmg» – то ви отримували доступи до документів і зображень. Ми тегнули у тому пості аеропорт, кіберполіцію. І згідно законодавства, це можна було вважати офіційним зверненням. Хоча проблема там була серйозна: через діру в захисті можна було отримати доступ навіть до диспетчерської, якщо захотіти. А 16 жовтня в Одеському аеропорту на табло хтось розмістив фотографії Грети Тунберг. І на той момент аеропорт говорив лише про те, що хтось розмістив фотографії. А вже 25 лютого, коли в нас були обшуки, аеропорт заявляв, що через це фото Ледь не довелося скасовувати рейси та зупиняти роботу аеропорту. Врешті я почитав матеріали справи, по якій у нас проводили обшук. І з’ясувалося, що Кіберальянсу там немає. Тому що у звіті аеропорту йдеться про те, що зламали електронне табло через локальну мережу. Є звіт СБУ у матеріалах справи, де йдеться про те, що табло зламали через локальну мережу. Не через інтернет. Тобто за версією слідчих, я влаштувався на роботу в аеропорт, 16 жовтня туди поїхав, сів за робочий комп’ютер, під’єднаний до локальної мережі, повісив фото Грети на електронне табло, після цього звільнився і поїхав назад до Києва. Часто згадують, що саме я знайшов вразливості. Але я ж про це і повідомив. Відкрито. Ніколи не ховався.
Чи можна сказати, як давно існувала ця діра в захисті аеропорту?
Ні. Можливо, вона там була три роки. Але, припускаю, що десь з моменту, коли аеропорт проклав собі оновлену LAN-мережу. І в той момент з’явилася вразливість.
У справі про Одесський аеропорт у вас є якийсь статус? Свідка? Підозрюваного?
Ні. На даний момент я особа без статусу у справі. У мене просто були обшуки. З КОРДом, СБУ.
Читайте також: Цифровий неспокій
Розкажіть, як це відбувалося.
Це було у трьох місцях. Обшукували житло дружини й дочки, житло моєї мами і моє. Приїхав навіть головний слідчий у справі, на обшуках був цілий підполковник СБУ. Того дня, 25 лютого, я поїхав до аеропорту «Бориспіль» зустрічати дружину Олександра Галущенка. Ми з Олександром та Ганною (його дружиною) давні друзі. І тут мені телефонують і повідомляють про обшуки. У мене хотіли забрати мій робочий ноутбук. Цього дуже хотів прокурор. Але в ухвалі про обшук не було жодного слова про вилучення будь-чого. Тому я ще в дорозі передав слідчим логін і пароль, дозволив їм скопіювати інформацію. Але віддавати свій робочий інструмент я відмовився. Ну і зазвичай речі, які потрапляють на експертизу, потім цілими не повертаються. А в дитини, наприклад, забрали телефон. У квартирі, де живе дочка, забрали роутер і ноутбук без жорсткого диска, оперативної пам’яті і акумулятора. У мами, чомусь, забрали ніж. Ну і під час обшуків працювали глушилки зв’язку: в мене, у Шона, у Галущенка. Думаю, аби інформація про обшуки не стала публічною. У мене навіть вдома інтернет-кабель перерізали.
То, власне, хто міг опублікувати це фото в аеропорту?
Почнемо з того, що знайдені мною вразливості до табло аеропорту не мають жодного стосунку. По-друге, ще раз наголошую, злам відбувся з локальної мережі. Добре, якби написали, що хтось через інтернет зламав комп’ютер, потім через нього табло. Але тут йдеться про локальну мережу. Я не мав до неї доступу. Але, враховуючи загальний рівень захисту критичної інфраструктури в Україні, зламати електронне табло Одеського аеропорту могло багато людей.
Ви наразі припинили співпрацю з державними структурами?
Так. Це позиція Кіберальянсу. Ми припиняємо нашу співпрацю до моменту, поки не буде справедливого рішення суду – що ми не причетні до зламу електронного табло в Одеському аеропорту. Також ми чекаємо на вибачення від слідчих. А поки чекаємо – будемо займатися просвітницькою діяльністю.
А як щодо розвідницької діяльності?
А навіщо? Якщо держава так реагує на нашу допомогу. Фактично, цією історією з аеропортом нам прямо сказали: «Йдіть нафіг, ви нам не потрібні». Ми поки не до кінця розуміємо, що ж відбувається. Але нам, якщо чесно, фіолетово, хто президент чи влада. Ми допомагаємо захищати свою країну від кіберзагроз. Однак поки не буде вибачень – ще раз повторюся, будь-яка співпраця з державою припинена.