Наслідки, до яких могли призвести ці дірки в захисті інформації, найрізноманітніші — від витоку даних про бійців АТО (що вже сталося) до дистанційного управління регіональними водоканалами. Як «відповідальні особи» реагували на виявлення таких проблем, чому українські хакери взялися шукати вразливість у кіберзахисті українських державних структур, чи знаходили вони сліди російських хакерів — про це і не тільки Тиждень поспілкувався з Українським кіберальянсом.
Як і коли народилася ідея акції #fuckresponsibledisclosure? Що стало причиною, каталізатором для її старту?
— Стан кібербезпеки в нашій країні — це секрет Полішинеля. Фахівці й раніше мали уявлення про стан справ у цій царині. І багато хто з них скептично ставився до законодавчих ініціатив, однак суспільство сприймало цей скепсис із недовірою. Тоді ми (Український кіберальянс. — Ред.) і почали показувати, що відбувається. До нашої роботи підключилися волонтери, допомагали нам знаходити уразливі ресурси. А після проколів у МВС і Держспецзв’язку ситуація набула широкого розголосу. Просто зараз, наприклад, в уразливому стані ресурси Чернігівської та Донецької ОДА. Чи вплинув якось на цю ситуацію нещодавно ухвалений закон про основні засади кібербезпеки? Ні. Отже, щось пішло не так.
Ні, ми не збираємося нескінченно тестувати державні ресурси. Думаю, за тиждень підіб’ємо підсумки й оцінимо, хто як реагував на інциденти, пов’язані з кібербезпекою. Зрозумійте: найчастіше писати відповідальним за це особам марно. У найкращому разі вони закриють тихенько дірку й на тому все закінчиться. Тобто це означає, що інші про атаку нічого не знатимуть і не зможуть підготуватися. А коли державні організації присоромлюють публічно, то це таки дає певний ефект.
Чиатйте також: Український кіберальянс перерахував елементарні правила кібербезпеки
Хтось називає вас провокаторами, хтось шукає руку Кремля у ваших діях. Як ви на такі звинувачення реагуєте?
— Щодо «руки Кремля» це просто смішно. Якби ми працювали на Москву, просто зламали б знайдені ресурси, відвандалили б їх і надіслали б інформацію в Кремль, як це роблять російські хакерські угруповання. Натомість понад три роки боремося проти Росії: добуваємо інформацію, іноді допомагаємо її аналізувати, часом передаємо спецслужбам. Якщо ми провокатори, то яка мета? Якщо спровокувати відповідальніше ставлення до роботи працівників державних структур, тоді так, ми провокатори. Ще багато говорять про наш самопіар. Знову ж таки будь-який піар має якусь мету. Ми не займаємося комерцією, не беремо участі в публічній політиці. Для піару в нас є безліч матеріалів, роздобутих у Росії та її невизнаних республіках. І піаримо ми не себе, а свої знахідки.
Повернімося до теми #fuckresponsibledisclosure. Ви справді «ламаєте» ресурси держорганів? Чи йдеться виключно про дірки в системах?
— У нашої акції не було на меті щось «ламати». Ми лише шукаємо уразливі ресурси, публічно про це повідомляємо й тегаємо в повідомленнях у Facebook тих, хто міг би вплинути на ситуацію. Чим такі уразливості небезпечні? Один із недавніх прикладів: Херсонська обласна рада та Національна академія внутрішніх справ. В обох випадках адміністратор залишив загальний диск, на якому зберігалася інформація цих держструктур, без пароля. Тобто будь-хто міг підключитися до дисків і спокійно копирсатися у файлах. Для цього не потрібне якесь додаткове програмне забезпечення. За таких умов хакер може не тільки завантажити файли, а й дістати повний доступ до комп’ютера й далі до локальної мережі організації. Нещодавно також трапився випадок, коли від імені польських хакерів було опубліковано особисті дані учасників АТО та документи поліції. Є всі підстави вважати, що це стало можливим не завдяки професіоналізму російських хакерів, а через халатність адміністраторів у державному секторі. Ще один яскравий приклад — два блекаути в Україні. Тоді, нагадаю, російські хакери дісталися до обленерго. А ми під час своєї акції знайшли доступи до дистанційного управління водоканалом у Кропивницькому. Думаю, не треба пояснювати, що така недбалість, коли списки паролів і ключі доступу перебувають у відкритому доступі, може призвести до катастрофи.
Тобто в нинішній ситуації будь-яка інформація, яку ми передаємо держсектору і яка є в держсекторі, може бути отримана через дірки, що з’явилися через недбалість працівників?
— Часто так і є. Багато організацій приділяє захисту даних достатньо уваги. Але для теракту, на відміну від шпигунства, підходить будь-яка ціль. А це означає, що передусім вдарять не по найзахищеніших, а по найуразливіших цілях. І часом це можна зробити навіть без хакерської підготовки, просто за допомогою Google. Із таких недавніх знахідок — ПФ у Нікополі. Ситуація була така, що будь-хто міг зайти на диски цієї організації й стерти абсолютно всі документи. І тоді 50 тис. пенсіонерів чекали б, доки управління Пенсійного фонду перерахує все і всіх дідівськими методами. При цьому уразливими іноді виявляються навіть організації, які зобов’язані забезпечувати захист від таких загроз. Як-от поліція або Держспецзв’язок.
А як щодо кіберполіції?
— У кіберполіції ми не знайшли уразливостей. Але показником її роботи є розкриття злочинів. Так, кіберполіція робить багато корисного, наприклад ловить шахраїв і розповсюджувачів дитячого порно. Однак специфічних комп’ютерних злочинів розкрито одиниці. Тобто рівень захисту з боку держави як власних ресурсів, так і громадян від злочинних посягань поки що низький.
Якщо говорити про найпоширеніші помилки в захисті, чи можна скласти умовну трійку лідерів?
— Так. Це відкриті сервіси (FTP/SMB), неоновлене програмне забезпечення серверів, сервіси, яким зовсім не обов’язково мати вихід в інтернет. Адже що більше сервісів відкрито, то простіше хакерові знайти лазівку. Тут уже додаються ненадійні паролі, неготовність працівників держорганів до фішингових атак. Тобто йдеться про найпростіші, елементарні загрози. Зовсім не потрібно бути фахівцем із безпеки, щоб від них захищатися, достатньо дотримувати елементарних правил безпеки. Звісно, можна зламати усе й усіх. Ми от ламали радників Путіна та російських військових, Kaspersky зламав Агенцію нацбезпеки США. Однак у нашому випадку мова не про такий хайтек. Йдеться про те, що не варто лишати двері для хакерів прочиненими. А якщо вже такі інциденти трапилися, не слід замовчувати факти або спроби зламу. Інакше нічого не зміниться. Якщо вдавати, що нічого не трапилося, це нікому не допоможе. Краще визнати недоліки й почати працювати над їх усуненням.
Читайте також: Український кіберальянс назвав найпоширеніші помилки в захисті держструктур
Чи була реакція «компетентних органів» на знайдені дірки? Чи хтось пішов на співпрацю? Наприклад, той самий CERT-UA (команда реагування на комп’ютерні надзвичайні події. — Ред.)?
— CERT-UA визнав свої помилки. Представники Херсонського обласної ради після нашої роботи подали заяву в поліцію, але потім розібралися й подякували за допомогу. Погроз переламати руки, слава Богу, не було. Природно, люди на нас ображаються за те, що їхні помилки набувають розголосу. Але іншого виходу, мабуть, немає. Наприклад, зламаний вандалами сайт поліції в Білій Церкві красувався в такому вигляді місяцями, доки до цього не привернули увагу. А ось у Держфінмоніторингу, напевно, все добре, там не оновлюють сервера вже 10 років поспіль. Очевидно, вже забули, як свого часу під Новий рік лягли Держказначейство та ще кілька великих організацій.
Власне, ми знаходимо такі елементарні помилки, для усунення яких допомога хакерів не потрібна. Іноді люди просять перевірити їхній ресурс на наявність уразливості, але тягти на собі такий публічний сервіс ми просто не в змозі. Ми не можемо усунути проблему. Хіба що вкажемо на її наявність і масштаб. У багатьох випадках ресурси, які ми знаходили, були зламані іншими хакерами. Наприклад, на сервери Донецької ОДА просто зараз лазять росіяни. Принаймні IP-адреси російські. І кожен такий випадок потребує ретельного розслідування та публічного звітування. Необхідно з’ясовувати, яка інформація витекла, чи не лишилося в системі «закладок». Тут недостатньо заткнути дірку ганчіркою й сказати: «Ой, вибачайте!». Приміром, свого часу Чернігівська ОДА закрила свої диски, але проґавила уразливість на сайті, яка дає змогу повернути доступ до них протягом кількох годин. На сервері Національної академії внутрішніх справ ми також знайшли сліди злому. Хто там до нас ходив, невідомо.
Ви часто знаходите сліди інших хакерів? Чи можливо їх відстежити?
— Якщо хакер акуратний, відстежити його складно. Але зазвичай сліди і у вигляді шматків хакерських програм, і в логах. Понад те, часом на сайтах лишають «графіті». Аби на це подивитися, достатньо ввести в Google запит site: gov.ua «hacked by» — і ви знайдете десяток уже зламаних сайтів. Один із них — сайт Донецької ОДА. А це, нагадаю, зона АТО. Думаю, важливої інформації в них було хоч греблю гати. Чомусь, коли йдеться про абстрактних «російських хакерів», усі готові роздавати коментарі. А коли ми знаходимо сліди справжніх, у відповідь тиша.
Є думка, що підняття зарплати автоматично поліпшує якість роботи фахівців і відповідно захищеність ресурсу. Наскільки у випадку з #fuckresponsibledisclosure це відповідає дійсності? Як відомо, ви знайшли дірки і на сайтах ОДА, і на сайтах великих приватних компаній.
— Зарплата сама по собі нічого не вирішує. Тут мова про ставлення до роботи, особисту відповідальність. Це гордіїв вузол, який можна розплутати. Як? Спрощувати закони, а не ускладнювати їх, як у випадку із законом про кібербезпеку. Звільняти людей, які імітують бурхливу діяльність. Тим, хто лишиться, підняти зарплати. Не варто намагатися вирішити проблему за допомогою дорогого програмного забезпечення й іноземних фахівців. Необхідно починати з простого й рухатися до складніших і дорожчих рішень. І аж ніяк не навпаки. Якщо сайт ніхто не відвідує, його потрібно закрити. Для невеликих сайтів можна зробити централізовану платформу, за якою стежити буде простіше, ніж за сотнею відділів у невеликих організаціях. Якщо установа не може найняти фахівця, слід знайти контрактора, який обслуговуватиме відразу 10 чи 20 таких організацій. Але ні зарплати, ні волонтери, ні закони, ні доктрини, ні покарання й ускладнені до божевілля правила самі по собі не працюють. Все починається з технічного фахівця, який повинен розуміти, що інформація, яку йому довірили, має цінність, що її потрібно охороняти й що від її збереження залежить і його благополуччя, і благополуччя нашої країни.
Читайте також: Цифровий неспокій
Україна далеко не перша країна, де хакери-активісти взялися за роботу в режимі Full Disclosure (у цьому випадку повне розголошення інформації про уразливості. — Ред.). В інших країнах цей метод спрацював?
— Full Disclosure — це саме те визначення. І так, за кордоном схожі конфлікти вибухали не раз. Власне, є визначення повного розголошення та відповідального розголошення. Останнє, як і всяких «етичних хакерів», придумали виробники програмного забезпечення, щоб мінімізувати свої збитки. Проте публікувати знайдені уразливості потрібно. А спроба приховати прокол у безпеці нікому ще на користь не пішла. Так, коли ми бачимо, що публікація інформації «як є» може завдати шкоди, призвести до руйнівних ефектів, частково приховуємо її, аби нею не скористалися наші вороги.
Ми говорили про елементарні правила. Можете їх перерахувати? Зрозуміло, що це, умовно кажучи, не ставити пароль qwerty12345, але яких ще правил мали б дотримувати в держструктурах?
— Потрібно починати із найпростішого: з нормальних паролів, двофакторної аутентифікації, закритого паролем особистого комп’ютера й смартфона. У жодному разі не потрібно залишати відкритими диски, на яких ви зберігаєте цінну інформацію, слід робити резервні копії, не клікати на невідомі посилання, не відключати функції безпеки пристроїв і програм просто тому, що «так зручно». Розумію, все це звучить дуже банально, щось на кшталт «мийте руки перед їдою». Але біда в тім, що багато хто їх не миє. І навіть якщо не дуже зручно, потрібно себе змусити дотримувати основних правил. Інакше рано чи пізно за це доведеться платити. Добре, якщо лише грошима. Бо тут як з епідеміями: порушуючи правила безпеки, людина шкодить не лише собі, а й своєму оточенню. Одним словом, «it’s better to be safe than sorrow» («краще бути в безпеці, ніж у печалі». — Ред.).
Злам Twitter поліції Київської області й пости про лапки котів — ваша робота?
— Те, що поліція в нас хороша, але в неї чомусь лапки, лише збіг. Напевно, тому, що їхній пароль від Twitter mvd123 лежав у текстовому файлі на відкритому диску. У кореневому каталозі, щоб довго не шукати. І якщо його знайшли ми, то міг знайти й будь-хто інший.