«Український кіберальянс», який раніше оприлюднював зміст електронної скриньки радника президента Росії Владислава Суркова, оголосив флешмоб проти безвідповідальної, як вони кажуть, політики кібербезпеки українських державних структур. У рамках флешмобу активісти викладають документи зі службових комп’ютерів правоохоронців, енергетиків і військових – показують, що справжнім хакерам отримати доступ до службової чи секретної документації не так вже й важко. Серед останніх «жертв» флешмобу – Міністерство оборони і державне підприємство «Енергоатом». В обох агенціях зараз проводять службове розслідування. Хакери говорять, що завдяки «флешмобу» інші державні структури закрили декілька важливих кібервразливостей.
Захист даних у кіберпросторі за останні кілька років став однією з головних тем не лише в українських, а й у світових ЗМІ. Окремий підрозділ для боротьби із кіберзагрозами створили в НАТО, про захист від російських та китайських хакерів говорили в Пентагоні. Україна також не раз була жертвою комп’ютерних зламів. Взимку 2015-2016 років кібератаки зазнали три електростанції, що призвело до тимчасових відключень у майже 400 населених пунктах. Цей випадок потрапив у доповідь однієї з міжнародних компаній з кібербезпеки FireEye. Остання велика кібератака відбулася влітку 2017 року – вірус вдарив по сайтах кількох державних структур, у тому числі уряду і аеропорту «Бориспіль», і по багатьох приватних компаніях. Вже нинішньої зими експерти попереджають про можливість нових кібератак.
Перевірити захист державних структур вирішили активісти «Українського кіберальянсу» (УКА) – їхні ж активісти минулого року оприлюднювали листування радника президента Росії Владислава Суркова. У листах йшлося, зокрема, про організацію так званої «русской весни» на сході України і про засоби розхитування ситуації в Україні.
Близько двох місяців тому активісти розпочали флешмоб #FuckResponsibleDisclosure і за цей час вони «перевірили» роботу сайтів і баз даних Міністерства оборони, Національної поліції, Міністерства внутрішніх справ, обласних державних адміністрацій, Конституційної комісії, РНБО, Державної служби спеціального зв’язку та захисту інформації й інших державних служб та відомств.
Суть флешмобу полягає в оприлюдненні в соціальних мережах несекретних документів зі службових комп’ютерів, демонстрації ненадійності сайтів окремих міністерств та службових баз даних підприємств і об’єктів критичної інфраструктури. Активісти не використовують суто хакерські методи – зазвичай достатньо лише пошуку в Google, пише речник УКА під ніком Шон Таунсенд у своїй колонці про підсумки флешмобу.
В інтерв’ю Радіо Свобода він розповів, що дехто закриває вразливості швидко, а дехто ігнорує повідомлення хакерів. Втім, після їхніх «перевірок» правоохоронці відкрили щонайменш два кримінальних провадження, одне з яких стосується російських хакерів. Їм вдалося прорватися на поштовий сервер МВС.
Працівники науково-дослідного експертно-криміналістичного центру МВС почистили комп’ютери і подякували нам після телевізійного репортажуШон Таунсенд
«Прес-служба Національної поліції в Київській області залишила твердий диск із паролями в загальному доступі. Речник пізніше заявив, що у них немає до нас претензій, а Кіберполіція допомогла їм налаштувати комп’ютери заново. Працівники науково-дослідного експертно-криміналістичного центру МВС почистили комп’ютери і подякували нам після телевізійного репортажу», – говорить Таунсенд.
У відкритому доступі можна було знайти списки офіцерів і базу даних сайту академії МВС. Тепер ці дані закрили. Команді швидкого реагування при Держспецзв’язку знадобилося п’ять днів для реагування на повідомлення, проте після цього вразливість також прикрили, зазначає представник хакерської спільноти.
Швидко відреагували на вразливість сайту РНБО, зазначає Таунсенд, і на діру в безпеці на сайті Конституційної комісії. Останньою займався заступник голови Адміністрації президента Дмитро Шимків.
Деякі державні сайти перестали працювати
Ще донедавна (станом на 20 грудня 2017 року) не працював сайт Міністерства освіти і науки України. За словами хакерів – через флешмоб, який виявив відкритий доступ до бази даних міністерства. Зараз (26 грудня 2017 року) сайт працює, в прес-службі міністерства на запитання щодо заходів кібербезпеки поки не відповіли.
В грудні хакери оприлюднили документи з комп’ютерів офіцерів Збройних сил України – дані з одного стосуються розмінування, з іншого – бронетехніки. В Міністерстві оборони Радіо Свобода повідомили, що за фактом можливого зламу проводиться службове розслідування. Хакери кажуть, що одного з трьох відповідальних за помилку офіцерів вже знайшли, але офіційного підтвердження поки немає. В міністерстві наполягають – серед документів, що були оприлюдненні хакерами, секретних немає.
За словами Таунсенда, це не є важливим. Головне, що у кібербезпеці військових є вразливість, якою можуть скористатися російські хакери, при чому не уся критична інформація проходить під грифами «секретно» чи «для службового використання». Ба більше, українські хакери оприлюднюють не усю інформацію, що вдається знайти
«В кожному випадку, про який ми повідомляємо, йдеться не про данні, а про можливість доступу до внутрішньої мережі. Я люблю розповідати, як ми зламали Центр обробки даних Оренбурзької області – почали з ветеринарної клініки одного з районів і дійшли до губернатора, систем відомчого зв’язку і комп’ютерів працівників ФСБ
В українському випадку стартова позиція набагато вища – маючи доступ до мережі військкомату чи міністерства, можна просунутися набагато далі», – говорить Таунсенд.
На «Енергоатомі» визнають злам, але говорять, що це некритично
Остання «жертва» флешмобу українських хакерів – це державне підприємство «Енергоатом». Підставою їхньої «перевірки» стала жовтнева публікація російськими хакерами з групи «Кіберберкут» декількох документів про нібито «новий Чорнобиль» і наступну інформаційну атаку на «Енергоатом». Пізніше у Фейсбуці представники «Енергоатому» заявили, що російські хакери зламали Міністерство екології, а не їхнє підприємство.
«Спочатку ми оприлюднили нешкідливий документ їхнього підрядника «Тонельспецстрой», щоб продемонструвати їхню вразливість. Після того, як компанія заявила, що ми нічого не оприлюднили і нічого не відбулося, активісти знайшли ще два комп’ютери «Енергоатому» із доповідями балансної комісії про стан ядерних об’єктів. Після цього прес-служба скорегувала свою відповідь, хоча і досі заперечувала наявність проблем із кібербезпекою. І тут ми знайшли четвертий відкритий комп’ютер «Енергоатому»і з Запорізької АЕС. Він належить відділу ядерної безпеки об’єкту. Це відкритий мережевий твердий диск із багатьма гігабайтами документів для службового використання, в тому числі схема реактору 1984 року», – розповідає Таунсенд.
На державному підприємстві «Енергоатом» внаслідок флешмобу проводять внутрішнє розслідування. Попередньо можна сказати, що активістам вдалося отримати доступ до службової інформації, яка не є конфіденційною, говорить директор ДП «Енергоатом» з інформаційних технологій Олександр Лісовий в коментарі Радіо Свобода.
«У будь якій ситуації присутній людський фактор і так звана кібер-гігієна. На сьогоднішній день ті дані, що були виявлені за допомогою цього флешмобу, стосуються саме нестачі комп’ютерної гігієни конкретних людей і конкретних посадових осіб. На щастя, для нас доступу до критичних сегментів локальних мереж навіть загального використання отримано не було. Не кажу вже про доступ до технологічних систем, які реально впливають на безпеку і стан захисту критичної інфраструктури», – заявив експерт.
На підприємстві обіцяють підвищити заходи з моніторингу і профілактики, а для остаточного рішення чекають закінчення службового розслідування. Особиста відповідальність тих, хто через власну дурість чи переоцінку можливостей, завдав шкоду державному підприємству, буде вирішуватися додатково.
«Енергоатом» поступово впроваджує загальноприйнятний підхід так званого не покарання, для того, щоб своєчасно отримувати інформацію про можливі інциденти. Ми плануємо провести із такими людьми додаткову роз’яснювальну роботу», – заявив Лісовий.
Флешмоб #FuckResponsibleDisclosure допоміг виявити проблеми, визнає він, проте інформаційний вплив оприлюднення даних був негативним.
«Якщо людина хоче покращити ситуацію із кіберзахистом і виявляє проблеми, то вона в першу чергу зв’язується із власником інформаційної системи і намагається вирішити це питання без фактичного запрошення справжніх зловмисників використати вразливості», – говорить IT-директор. Він також нагадав, що об’єкти ДП «Енергоатом» влітку не постраждали від вірусної атаки, на відміну від багатьох інших державних структур.
На думку одного зі спеціалістів американської компанії з кібербезпеки Comodo Group, що раніше працював у декількох відділах комп’ютерної безпеки державних органів, проблеми з кіберзахистом державних агенцій пов’язані не тільки із низькою комп’ютерною культурою, а й з низькою зарплатою.
«На сьогоднішній день мінімумом для спеціаліста з кібербезпеки є зарплата близько тисячі доларів. На «хакерському» ринку одна вразливість системи може коштувати 3,5-4 тисячі, стільки ж – невеличка база даних із паролями. Якщо йдеться про інформаційний дамп «на замовлення» – це набагато більші гроші. Їм також можуть пропонувати тисячні хабарі за відкриття інформаційного порту чи твердого диску із даними», – наголосив фахівець.
Будь які службові дані у відкритому доступі – це критично
Експерт з інформаційної безпеки Дмитро Снопченко каже Радіо Свобода , що будь-які дані з тих, що хакери оприлюднили, в соціальних мережах, можна назвати критичними. Інформація може не бути конфіденційною, проте сам факт, що її можна знайти в загальному доступі, викликає побоювання.
Інформація, що вони оприлюднили, була зібрана нашвидкуруч. Треба ще з’ясовувати, чи є там ще вразливостіДмитро Снопченко
«Інформація, що вони оприлюднили, була зібрана нашвидкуруч. Треба ще з’ясовувати, чи є там ще вразливості і чи отримали вони ще якісь документи. Проте, якщо зараз не знайшли якоїсь конфіденційної інформації, можна навіть користуючись такими частками і такими документами скласти дуже цікаву картину про те, як працює та чи інша державна агенція», – говорить Снопченко.
Кілька років тому він виконував замовлення для декількох державних структур – налагоджував мережу, проводив аудит, шукав і знаходив вразливості в програмному забезпеченні, в налаштуваннях мережі, в параметрах політики доступу для користувачів.
Снопченко наголосив, що злам в абсолютній більшості випадків відбувається через окремих користувачів – замість того, щоб купувати у хакерів дорогі вразливості за кілька тисяч доларів, можна відправити вірус за п’ять доларів на комп’ютер помічника чи секретаря керівника. Саме таким чином, на думку експертів, зламали електронну скриньку Суркова – знайшли його секретаря, який не дуже дбав про власну кібербезпеку.
Його ставлення до флешмобу двояке. З одного боку, ця публічна критика могла привернути увагу справжніх хакерів, які тепер більш активно будуть шукати вразливості у державних служб. З іншого боку, флешмоб допоміг викрити недоліки кібербезпеки, а після зламу засоби кібербезпеки зазвичай підсилюють.
Хакери називають свій флешмоб демократичним методом
У минулорічному інтерв’ю Радіо Свобода Шон Таунсенд казав, що хакерська спільнота воює з Росією. І у відповідь на запитання, чи готові вони «ламати» українських політиків, сказав, що внутрішні українські проблеми мають вирішуватися демократичним шляхом. Не відмовляється він від своїх слів і сьогодні. «Так званий full disclosure, який ми робимо, – це доволі демократичний засіб, який вирішує більше технічні проблеми. Проте неадекватна реакція на це іноді дивує», – зазначив Шон Таунсенд.
Крім вже вказаних державних агенцій, хакери говорять, що «пройшлися» по багатьох інших – сайти водоканалу і центр зайнятості в Кропивницькому, мобільні оператори «Київстар» та Vodaphone (втім, приватні компанії закрили вразливість протягом буквально двох хвилин), два комунальних підприємства Києва, обласна рада Херсонської області, сайти Чернігівської і Донецької ОДА, Національне агентство з питань запобігання корупції, сайт Міністерства охорони здоров’я та інші.
Повний список можна побачити за хештегом #FuckResponsibleDisclosure у соціальних мережах – «Фейсбук» та «Твітер».