інтерв’ю з Шон Таунсенд (Sean Brian Townsend)
#fuckresponsibledisclosure – акція, яку проводить “Український кіберальянс”, регулярно публікуючи під цим хештегом шокуючі дані про реальний стан захисту закритої інформації в державних структурах України.
Регулярний виток даних, відкриті для всіх бажаючих системні диски із інформацією, яка за нормальних умов мала б зберігатися в таємниці, прості паролі до системних акаунтів або навіть їхня відсутність – ось лише поверховий перелік помилок, які допускають в роботі з інформацією більшість державних структур країни. Як виявилося, під загрозою майже всі – від МВС і Держспецзв’язку до облдержадміністрацій, обленерго та водоканалів. За таких обставин Український кіберальянс віришив провести акцію #fuckresponsibledisclosure, яка має на меті на найвищому рівні привернути увагу до вразливості у кіберзахисті українських державних структур.
Український кіберальянс детально розповів про виявлені протягом акції проблеми та можливі шляхи їх вирішення.
Кібербезпека в Україні в жахливому стані
Стан кібербезпеки в нашій країні — це секрет Полішинеля. Фахівці й раніше мали уявлення про стан справ у цій царині. І багато хто з них скептично ставився до законодавчих ініціатив, однак суспільство сприймало цей скепсис із недовірою. Тоді ми Український кіберальянс і почав показувати, що відбувається. До нашої роботи підключилися волонтери, допомагали нам знаходити уразливі ресурси. А після проколів у МВС і Держспецзв’язку ситуація набула широкого розголосу. Просто зараз, наприклад, в уразливому стані ресурси Чернігівської та Донецької ОДА. Чи вплинув якось на цю ситуацію нещодавно ухвалений закон про основні засади кібербезпеки? Ні. Отже, щось пішло не так.
Ні, ми не збираємося нескінченно тестувати державні ресурси. Думаю, за тиждень підіб’ємо підсумки й оцінимо, хто як реагував на інциденти, пов’язані з кібербезпекою. Зрозумійте: найчастіше писати відповідальним за це особам марно. У найкращому разі вони закриють тихенько дірку й на тому все закінчиться. Тобто це означає, що інші про атаку нічого не знатимуть і не зможуть підготуватися. А коли державні організації присоромлюють публічно, то це таки дає певний ефект.
Звинувачення в самопіарі і в роботі на РФ – маячня
Щодо “руки Кремля” це просто смішно. Якби ми працювали на Москву, просто зламали б знайдені ресурси, відвандалили б їх і надіслали б інформацію в Кремль, як це роблять російські хакерські угруповання. Натомість понад три роки боремося проти Росії: добуваємо інформацію, іноді допомагаємо її аналізувати, часом передаємо спецслужбам. Якщо ми провокатори, то яка мета? Якщо спровокувати відповідальніше ставлення до роботи працівників державних структур, тоді так, ми провокатори. Ще багато говорять про наш самопіар. Знову ж таки будь-який піар має якусь мету. Ми не займаємося комерцією, не беремо участі в публічній політиці. Для піару в нас є безліч матеріалів, роздобутих у Росії та її невизнаних республіках. І піаримо ми не себе, а свої знахідки.
#fuckresponsibledisclosure: не “ламаємо”, а шукаємо “дірки” в системах захисту ресурсів держорганів
У нашої акції не було на меті щось “ламати”. Ми лише шукаємо уразливі ресурси, публічно про це повідомляємо й тегаємо в повідомленнях у Facebook тих, хто міг би вплинути на ситуацію. Чим такі уразливості небезпечні? Один із недавніх прикладів: Херсонська обласна рада та Національна академія внутрішніх справ. В обох випадках адміністратор залишив загальний диск, на якому зберігалася інформація цих держструктур, без пароля. Тобто будь-хто міг підключитися до дисків і спокійно копирсатися у файлах. Для цього не потрібне якесь додаткове програмне забезпечення. За таких умов хакер може не тільки завантажити файли, а й дістати повний доступ до комп’ютера й далі до локальної мережі організації. Нещодавно також трапився випадок, коли від імені польських хакерів було опубліковано особисті дані учасників АТО та документи поліції. Є всі підстави вважати, що це стало можливим не завдяки професіоналізму російських хакерів, а через халатність адміністраторів у державному секторі. Ще один яскравий приклад — два блекаути в Україні. Тоді, нагадаю, російські хакери дісталися до обленерго. А ми під час своєї акції знайшли доступи до дистанційного управління водоканалом у Кропивницькому. Думаю, не треба пояснювати, що така недбалість, коли списки паролів і ключі доступу перебувають у відкритому доступі, може призвести до катастрофи.
НЕ ВАРТО НАМАГАТИСЯ ВИРІШИТИ ПРОБЛЕМУ КІБЕРБЕЗПЕКИ ЗА ДОПОМОГОЮ ДОРОГОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ Й ІНОЗЕМНИХ ФАХІВЦІВ. НЕОБХІДНО ПОЧИНАТИ З ПРОСТОГО Й РУХАТИСЯ ДО СКЛАДНІШИХ РІШЕНЬ. І АЖ НІЯК НЕ НАВПАКИ
Під загрозою всі, хто передає приватну інформацію про себе держсектору
Багато організацій приділяє захисту даних достатньо уваги. Але для теракту, на відміну від шпигунства, підходить будь-яка ціль. А це означає, що передусім вдарять не по найзахищеніших, а по найуразливіших цілях. І часом це можна зробити навіть без хакерської підготовки, просто за допомогою Google. Із таких недавніх знахідок — ПФ у Нікополі. Ситуація була така, що будь-хто міг зайти на диски цієї організації й стерти абсолютно всі документи. І тоді 50 тис. пенсіонерів чекали б, доки управління Пенсійного фонду перерахує все і всіх дідівськими методами. При цьому уразливими іноді виявляються навіть організації, які зобов’язані забезпечувати захист від таких загроз. Як-от поліція або Держспецзв’язок.
Кіберполіція працює, але – не на повну
У кіберполіції ми не знайшли уразливостей. Але показником її роботи є розкриття злочинів. Так, кіберполіція робить багато корисного, наприклад ловить шахраїв і розповсюджувачів дитячого порно. Однак специфічних комп’ютерних злочинів розкрито одиниці. Тобто рівень захисту з боку держави як власних ресурсів, так і громадян від злочинних посягань поки що низький.
Трійка лідерів або найпоширеніші помилки в захисті
Це відкриті сервіси (FTP/SMB), неоновлене програмне забезпечення серверів, сервіси, яким зовсім не обов’язково мати вихід в інтернет. Адже що більше сервісів відкрито, то простіше хакерові знайти лазівку. Тут уже додаються ненадійні паролі, неготовність працівників держорганів до фішингових атак. Тобто йдеться про найпростіші, елементарні загрози. Зовсім не потрібно бути фахівцем із безпеки, щоб від них захищатися, достатньо дотримувати елементарних правил безпеки. Звісно, можна зламати усе й усіх. Ми от ламали радників Путіна та російських військових, Kaspersky зламав Агенцію нацбезпеки США. Однак у нашому випадку мова не про такий хайтек. Йдеться про те, що не варто лишати двері для хакерів прочиненими. А якщо вже такі інциденти трапилися, не слід замовчувати факти або спроби зламу. Інакше нічого не зміниться. Якщо вдавати, що нічого не трапилося, це нікому не допоможе. Краще визнати недоліки й почати працювати над їх усуненням.
Як на акцію #fuckresponsibledisclosure відреагували компетентні інстанції
CERT-UA (команда реагування на комп’ютерні надзвичайні події) визнав свої помилки. Представники Херсонського обласної ради після нашої роботи подали заяву в поліцію, але потім розібралися й подякували за допомогу. Погроз переламати руки, слава Богу, не було. Природно, люди на нас ображаються за те, що їхні помилки набувають розголосу. Але іншого виходу, мабуть, немає. Наприклад, зламаний вандалами сайт поліції в Білій Церкві красувався в такому вигляді місяцями, доки до цього не привернули увагу. А ось у Держфінмоніторингу, напевно, все добре, там не оновлюють сервера вже 10 років поспіль. Очевидно, вже забули, як свого часу під Новий рік лягли Держказначейство та ще кілька великих організацій.
Власне, ми знаходимо такі елементарні помилки, для усунення яких допомога хакерів не потрібна. Іноді люди просять перевірити їхній ресурс на наявність уразливості, але тягти на собі такий публічний сервіс ми просто не в змозі. Ми не можемо усунути проблему. Хіба що вкажемо на її наявність і масштаб. У багатьох випадках ресурси, які ми знаходили, були зламані іншими хакерами. Наприклад, на сервери Донецької ОДА просто зараз лазять росіяни. Принаймні IP-адреси російські. І кожен такий випадок потребує ретельного розслідування та публічного звітування. Необхідно з’ясовувати, яка інформація витекла, чи не лишилося в системі “закладок”. Тут недостатньо заткнути дірку ганчіркою й сказати: “Ой, вибачайте!”. Приміром, свого часу Чернігівська ОДА закрила свої диски, але проґавила уразливість на сайті, яка дає змогу повернути доступ до них протягом кількох годин. На сервері Національної академії внутрішніх справ ми також знайшли сліди злому. Хто там до нас ходив, невідомо.
Сліди інших хакерів виявити складно, але реально
Якщо хакер акуратний, відстежити його складно. Але зазвичай сліди і у вигляді шматків хакерських програм, і в логах. Понад те, часом на сайтах лишають “графіті”. Аби на це подивитися, достатньо ввести в Google запит site: gov.ua “hacked by” — і ви знайдете десяток уже зламаних сайтів. Один із них — сайт Донецької ОДА. А це, нагадаю, зона АТО. Думаю, важливої інформації в них було хоч греблю гати. Чомусь, коли йдеться про абстрактних “російських хакерів”, усі готові роздавати коментарі. А коли ми знаходимо сліди справжніх, у відповідь тиша.
Низька зарплата технічних фахівців не виправдовує того, що важлива інформація опиняється під загрозою
Зарплата сама по собі нічого не вирішує. Тут мова про ставлення до роботи, особисту відповідальність. Це гордіїв вузол, який можна розплутати. Як? Спрощувати закони, а не ускладнювати їх, як у випадку із законом про кібербезпеку. Звільняти людей, які імітують бурхливу діяльність. Тим, хто лишиться, підняти зарплати. Не варто намагатися вирішити проблему за допомогою дорогого програмного забезпечення й іноземних фахівців. Необхідно починати з простого й рухатися до складніших і дорожчих рішень. І аж ніяк не навпаки. Якщо сайт ніхто не відвідує, його потрібно закрити. Для невеликих сайтів можна зробити централізовану платформу, за якою стежити буде простіше, ніж за сотнею відділів у невеликих організаціях. Якщо установа не може найняти фахівця, слід знайти контрактора, який обслуговуватиме відразу 10 чи 20 таких організацій. Але ні зарплати, ні волонтери, ні закони, ні доктрини, ні покарання й ускладнені до божевілля правила самі по собі не працюють. Все починається з технічного фахівця, який повинен розуміти, що інформація, яку йому довірили, має цінність, що її потрібно охороняти й що від її збереження залежить і його благополуччя, і благополуччя нашої країни.
Режим Full Disclosure: повне розголошення інформації про знайдені уразливості
Full Disclosure — це саме те визначення. І так, за кордоном схожі конфлікти вибухали не раз. Власне, є визначення повного розголошення та відповідального розголошення. Останнє, як і всяких “етичних хакерів”, придумали виробники програмного забезпечення, щоб мінімізувати свої збитки. Проте публікувати знайдені уразливості потрібно. А спроба приховати прокол у безпеці нікому ще на користь не пішла. Так, коли ми бачимо, що публікація інформації “як є” може завдати шкоди, призвести до руйнівних ефектів, частково приховуємо її, аби нею не скористалися наші вороги.
Елементарні правила кібербезпеки для всіх
Потрібно починати із найпростішого: з нормальних паролів, двофакторної аутентифікації, закритого паролем особистого комп’ютера й смартфона. У жодному разі не потрібно залишати відкритими диски, на яких ви зберігаєте цінну інформацію, слід робити резервні копії, не клікати на невідомі посилання, не відключати функції безпеки пристроїв і програм просто тому, що “так зручно”. Розумію, все це звучить дуже банально, щось на кшталт “мийте руки перед їдою”. Але біда в тім, що багато хто їх не миє. І навіть якщо не дуже зручно, потрібно себе змусити дотримувати основних правил. Інакше рано чи пізно за це доведеться платити. Добре, якщо лише грошима. Бо тут як з епідеміями: порушуючи правила безпеки, людина шкодить не лише собі, а й своєму оточенню. Одним словом, “it’s better to be safe than sorrow”.
Хто зламав Twitter поліції Київської області?
Те, що поліція в нас хороша, але в неї чомусь лапки, лише збіг. Напевно, тому, що їхній пароль від Twitter mvd123 лежав у текстовому файлі на відкритому диску. У кореневому каталозі, щоб довго не шукати. І якщо його знайшли ми, то міг знайти й будь-хто інший.
За матеріалами видання “Тиждень”.