Sean Brian Townsend — независимый исследователь в области информационной и компьютерной безопасности, участник и спикер Украинского киберальянса — рассказывает об итогах флешмоба #FuckResponsibleDisclosure. Материалы в спецрубриках  [мнение / opinion] и [гражданское общество / civil society] не модерируются редакцией InformNapalm и представляют личную позицию авторов публикаций.

Сложно ли взломать Украину? Как UCA тестировали государственные IT-системы

Кибербезопасность стала в Украине не менее модной темой, чем борьба с коррупцией. Украинский киберальянс и независимые исследователи несколько недель искали уязвимые системы в государственном секторе. Можно ли взломать сайт при помощи Google? Существуют ли русские хакеры или это фантастика? Как чиновники реагируют на сообщения об уязвимостях? Чем занимаются правоохранительные органы? 

У меня для вас две новости, хорошая и плохая. Хорошая состоит в том, что благодаря усилиям альянса и добровольцев множество дыр в безопасности государственных систем было закрыто. В том числе на объектах критической инфраструктуры и в военной сфере. Плохая же заключается даже не в том, что уязвимыми оказались полиция, военкомат, водоканал, а в том, что, несмотря на четвертый год войны и на то, что Украина стала жертвой сотен целенаправленных и разрушительных кибератак, наша страна по-прежнему не защищена в киберпространстве.

Мы постоянно сталкиваемся с русскими хакерами и неготовностью государственных органов к атакам. Так, в декабре 2016 года, читая взломанную переписку пророссийских хакеров, мы выяснили, что полностью скомпрометирован почтовый сервер МВД Украины, о чем мы немедленно сообщили в МВД, киберполицию и СБУ. Так как мы сами занимаемся тем же самым в России и на оккупированных территориях, взломом нас не удивить. Мы не свидетели «киберапокалипсиса» и знаем, что при достаточном количестве денег, времени и капельки удачи можно взломать всё что угодно.

Удивило отсутствие реакции. В МВД, видимо, решили, что это случайное совпадение и больше подобные атаки не повторятся. С подобной реакцией мы столкнемся еще неоднократно, и она — худшая из всех возможных. Даже для того, чтобы показать уязвимость, нам часто приходится показывать образцы внутренних документов, потому что чиновники пытаются отрицать факты несанкционированного доступа к их системам. В случае с почтовым сервером подтверждение в СБУ нам любезно добыл журналист издания InternetUA.

Первейшая отмазка — что это не «секретные документы». А нас интересуют не секреты и даже не возможность сыграть ноктюрн задвижками водоканалов в Ровно и Кировограде. Нас интересует только возможность или невозможность получить доступ извне к тому, что лежит внутри. Я уже рассказывал историю о том, как мы взломали Оренбургскую область. Всё началось с утечки пароля от районной ветеринарной клиники и закончилось полным взломом областного ЦОД — всех сайтов, всей почты, всего документооборота, включая ведомственную связь, правительственных телеграмм и даже стойки ФСБ. Плевать на статус документов. Имея даже маленькую щелочку, можно пройти во внутреннюю сеть и добраться до более значимых ресурсов.

Тем не менее это оказалось очень сложно объяснить представителям ГП «Энергоатом» и Херсонского областного совета, которые оставили несколько своих ресурсов в открытом доступе в сети. Не потребовалось ничего ломать, оказалось достаточно найти машину с диском общего пользования. В «Энергоатоме» таких машин было четыре. Я понимаю беспокойство пресс-службы наших украинских атомщиков: даже намек на то, что по сетям атомных электростанций могут лазить хакеры, может вызвать панику. Но факт остается фактом: неважно, был это контрактор, подразделение, подрядчик, неважно, секретные документы или нет, неважно, перемещаются документы внутри организации по локальной сети или на флешке у нерадивого сотрудника. Утечка есть утечка.

Мы не использовали ни один из хакерских методов. Только поиск, иногда даже просто поиск в «Гугле». Имея доступ в локальную сеть (через флешку или прямой, а одна из точек открывала прямой путь в локалку), рано или поздно, но мы смогли бы добраться до всей сети целиком и полностью. Таким же образом мы уже получили доступ к технологической системе одной из электростанций в России. Таким же образом русским хакерам ненадолго удалось отключить Прикарпатьоблэнерго и ПС «Северная» в 2015 и 2016 годах. Проблема в том что системы Ровенского и Кировоградского водоканалов не пришлось ломать. Они лежали в открытом доступе — со списками потребителей, списками IP-адресов, логинами и паролями, VPN-ключами и всем необходимым для того, чтобы устроить небольшой террористический акт.

Могу вас немного успокоить: этими случаями немедленно заинтересовалось СБУ. А вот Киевэнергоремонт и Государственная служба финансового мониторинга считают, что у них всё в порядке. Список ресурсов, которые мы нашли в открытом доступе, и обнаруженные следы других хакеров просто удручают. Академия МВД (доступ к паролям от сайта, внутренней сети, следы многократных взломов, база данных офицеров), сервер пресс-службы Национальной полиции в Киевской области (документы, логины и пароли, доступ к внутренней сети), Кировоградский водоканал (доступ к критической инфраструктуре), «Энергоатом», Киевэнергоремонт, судебная власть Украины, НАЗК, декларации МВД (включая специальные подразделения), Кировоградский центр занятости, Никопольский пенсионный фонд…

Многие просто не в состоянии понять, что любая информация имеет ценность. Львовский военкомат выложил список из пятнадцати тысяч человек, которые, по мнению военкомата, «уклоняются от призыва» (то есть военкомат их просто не нашел по месту регистрации). Сами выложили. Не на открытый даже диск или FTP, а в «Фейсбук». То есть понимание о том, что это персональные данные, охраняемые законом, напрочь отсутствует. А мы нашли областной военкомат Закарпатской области: базы данных призывников, приказы, переписка с областной администрацией и Министерством обороны, планы, списки, кто в какой части служит — одним словом, всё! Тут уже пахнет не просто «Ой, извините!», а военной прокуратурой, потому что это информация с ограниченным доступом, а не какие-то «персональные данные».

То есть русским хакерам не пришлось бы даже ничего ломать. Приходи и бери. Следующие два примера — Черниговская и Донецкая ОДА. В Чернигове были открыты диски. После нашего поста диски закрыли, но один из наших волонтеров тут же нашел уязвимость на сайте, которая позволяла его полностью взломать и получить доступ к якобы закрытым дискам. По правилам публичные сервисы должны быть полностью отделены от локальной сети. Но правила ведь не для чиновников, верно? С Донецкой администрацией всё было еще интереснее. Тот же волонтер нашел там беспарольную программу удаленного управления (веб-шелл WSO2), который установили другие хакеры.

При этом они не только взломали сайт, но также получили на сервере права администратора, украли у настоящих администраторов все их пароли и полезли дальше в локальную сеть. Напомню, что это не просто ОДА, а военно-гражданская администрация в зоне АТО. А хакеры ходили туда из Самары (если кто-то забыл, то это такой город в Российской Федерации, с которой у нас, на секундочку, идет война). Даже после сообщения о взломе сайт простоял в таком виде еще неделю. Потом то ли администраторы решили прикинуться ветошью, то ли хакеры увидели наше сообщение и зачистили сервер, так или иначе, но его переустановили. Пресс-служба ОДА говорит о «временных технических неполадках». Когда в зоне АТО русские хакеры лазят по сети областной администрации, это, ребята, не «неполадки», а шпионаж со стороны страны-агрессора.

Даже если сервер переустановили сисадмины ОДА, этого совершенно недостаточно: русские могли закрепиться на других машинах в сети. Закрыть доступ и даже переустановить скомпрометированную систему — только начало. Теперь уже нужно всю сеть проверять. Если вы забыли, то я вам напомню о том, как страдали ANNA News и народная милиция «ЛНР». Сисадмин обновлял софт до последних версий, пытался защитить взломанный и восстановленный сервер, а потом снова приходили мы и, пользуясь хитро упрятанными закладками, взламывали всё заново. После четвертого взлома НМ «ЛНР» выключила свой сайт и больше его не включала. Всю ценную информацию о боевиках мы украли еще год назад и отдали «Миротворцу».

Куда уехал CERT?

И как на это реагирует государство? Почти никак. Да, дыры закрываются, в некоторых случаях СБУ проводит расследование или профилактическую работу. Киберполиция, по заявлению киевской полиции, им даже помогла переустановить и «защитить» компьютеры — видимо, ни одного человека, способного настроить Windows так, чтобы не вывалить всё в Интернет, в полиции не нашлось. Но в целом силовики занимаются своей работой — раскрывают и предотвращают преступления. А кто у нас занимается безопасностью? Никто.

По идее, о произошедших инцидентах должна была отчитаться в первую очередь сама организация, потом сообщить в Госспецсвязь, а те, в свою очередь, должны были рассказать все истории, которые рассказываю вам я, и выработать рекомендации. Я не знаю, чем там занимаются в ГСССЗИ, но ничего сделано не было. Ни по одному из перечисленных инцидентов и атак.

Более того, CERT-UA при Госспецсвязи стал одной из первых жертв нашего флешмоба. И бездействуют они не только в этом случае, но и во всех прочих. О русских хакерах у нас любят поговорить все — о том, какая это страшная угроза, о грядущем киберапокалипсисе, о необходимости наращивать темпы развития повышения информационной безопасности. И подобные лингвистические фокусы из лексикона стрелочников. Только вот после десятков кибератак на Украину нет ни одного вменяемого отчета об инциденте. Да, можно выписать из Америки профессиональных экспертов, и Cisco Talos почитает логи и напишет отчет c техническими подробностями о NotPetya, можно также перевести отчеты Microsoft и ESET, но кто устроил атаку? С какой целью? Что нужно сделать, чтобы этого не произошло в будущем? Почему это стало возможным? Тишина.

Если будет проведен бумажный аудит (как это предполагается в законе 2126а об основах кибербезопасности), у вас будет бумажная же безопасность. Для того, чтобы стало возможным частно-государственное партнерство, нужен партнер, а он отсутствует. Мы сообщаем о дыре размером в вагон, а в ответ слышим всё те же байки: ничего не было; было но не у нас, а у нашего подразделения; ну, у нас, но это не привело к плохим последствиям; привело к плохим последствиям, но мы просто отморозимся или солжем в пресс-релизе. Какие еще последствия вам нужны — после «Медка» и всего прочего? За безопасность в Украине отвечают вроде бы все и вроде бы никто.

МЧС выкладывает в открытый доступ схемы прокладки кабелей ведомственной связи. У нас что, коммуникационные колодцы никогда не поджигают? (В Киеве горят и довольно регулярно.) «Киевстар» выкладывает проекты сети мобильной связи (нужно отдать им должное: время реакции службы безопасности «Киевстара» на пост в «Фейсбуке» составило меньше двух минут, до таких показателей государственному сектору расти и расти, там среднее время реакции — сутки и больше). Министерство здравоохранения — дыра в сайте.

Один раз CERT всё-таки провел мониторинг уязвимости государственных сайтов (или, может, их кто-то из активистов доконал, и они опубликовали предупреждение), так вот, в этом списке сайт НИЭКЦ (криминалистического центра, который делает экспертизу по уголовным делам) был отмечен как взломаный. И он стоял в подобном виде год, пока мы не рассказали об этом по телевизору. Тут уж представитель НИЭКЦ пришла ко мне в личку и заверила, что они очень внимательно относятся к безопасности. Мило поговорили. Спасибо.

В личке представители всех организаций милые и пушистые, и иногда даже в комментариях выражают благодарность за найденные уязвимости. Черт возьми, заместитель головы Херсонского областного совета даже пост в «Фейсбуке» написала. И что я вам скажу в ответ? Благодарности — это, конечно, приятно, закрытые уязвимости — это не только приятно, но и полезно, причем для всех, но по большому счету нам нужны не ваши благодарности, а нужно, чтобы вы качественно делали свою работу. К примеру, когда мы взломали Астраханскую область, спикер областной думы орала в НТВ: «Уволим всех!»  Так что начинать исправлять ошибки нужно уже сейчас, не дожидаясь «последствий». И сделать это без публичного обсуждения невозможно.

Ваши сайты забиты «новостями» о проведенных вами конференциях, встречах, законодательных инициативах и прочей лабудой, которую решительно невозможно читать, — но нет ничего о том, что вами была допущена ошибка и как вы ее исправили. Не нужно притворяться неуязвимыми, ломают всех, но работа над ошибками показывает, что вам не наплевать, что в вашей организации есть прогресс. И служит предупреждением для всех остальных. Иначе не изменится ничего.

Что делать? О наказании невиновных и награждении непричастных

Никакие волонтеры, хакеры, модные специалисты, повышенные зарплаты, строгие наказания сами по себе не помогают. Попалась Запорожсталь, сеть супермаркетов, киевское коммунальное предприятие выложило онлайн свою бухгалтерию и какой-то ключ в папке «BANK», видимо, от расчетного счета. О том, что основой для информационной атаки на «Энергоатом» со стороны Киберберкута послужили документы, украденные русскими в Министерстве экологии, мы почему-то узнаем на «Фейсбуке», и только потому, что «Энергоатом» хотел отмазаться от этой утечки. Почему молчит само Министерство экологии? Или вы думаете, что там нет ничего интересного? Могу вас заверить, что чтение отчетов балансной комиссии о состоянии ядерных объектов оказалось настолько интересным, что когда я об этом упомянул в комментарии, пресс-служба атомщиков чуть ли не подпрыгнула, если бы это было возможно на «Фейсбуке». (Кстати, с ядерной безопасностью у нас всё хорошо, незначительные инциденты бывают, но без последствий.)

В украинском сегменте сети Интернет можно просто тралить полезную информацию. Попался нотариус вместе со всеми своими ключами, которые открывают доступ к реестрам. В августе что-то случилось с сайтом Службы внешней разведки, который крутится на WordPress (гугл всё помнит). Служба такси выкладывает онлайн логи поездок. Бесконечные отписки, отмазки, переваливание ответственности и извинения в «Фейсбуке» — не защищают. Десяток «киберцентров» (у нас всюду киберцентр, скоро при ЖЭКах открывать начнут) занимаются бесконечным разлагольствованием и переливанием из пустого в порожнее, а еще чаще — из бюджета в неизвестном направлении. Разрабатываются тонны инструкций и правил поведения на случай подводного боя с инопланетянами, в то время как русские хакеры преспокойно шарят в украинских сетях — и в гражданских, и в военных, и в сетях критической инфраструктуры.

Так что же делать с кибербезопасностью? Упрощать, а не усложнять законы и инструкции. Упразднять бесполезные учреждения. Закрывать бесполезные веб-сайты, на которые никто не ходит. Проще сделать справочник районных администраций, чем поддерживать сотни мусорных сайтов. Увольнять бесполезных людей, которые не только не справляются со своей работой, а практически занимаются саботажем. Начинать с самых простых, элементарных вещей. Убираем из сети открытые SMB-диски и FTP-сервера, отделяем публичные сервисы от внутренней сети, устанавливаем нормальные пароли и двуфакторную аутентификацию, не кликаем по случайным ссылкам. И самое главное: если что-то случается, то об этом нужно честно рассказать, уведомить ту же Госспецсвязь, постараться выяснить, что именно произошло, как и кому это выгодно. Пытаясь скрыть правду, вы вредите и себе, и нашей стране.

В случае полномасштабной спланированной кибератаки отмазки, бумажки и административный пинг-понг не поможет. Мы, конечно, не умрем, но считать придется на счетах и при свечах. И не думайте, что все вокруг идиоты, а у вас самые грамотные администраторы, прекрасные полиси и всё замечательно. Взломать можно каждого — это вопрос времени, денег и мотивации.