Sean Brian Townsend — независим изследовател в областта на информационната и компютърна безопасност, участник и говорител на Украински кибералианс — разказва за резултатите от флашмоба #FuckResponsibleDisclosure. Материалите в специалните рубрики [мнение / opinion] и [гражданско общество / civil society] не се модерират от редакцията на InformNapalm и отразяват личната позиция на автора на публикацията.
Сложно ли е да бъде хакната Украйна? Как UCA тестваха държавните IT-системи?
В Украйна кибербезопасността се превърна в не по-малко модна тема от тази за борба с корупцията. Украинският кибералианс и независими изследователи, в продължение на няколко седмици търсиха уязвимостта на системите в държавния сектор. Може ли да бъде хакнат сайт с помощта на Google? Съществуват ли руски хакери или са фантастика? Как реагират чиновниците на съобщения за уязвимост? С какво се занимават правоохранителните органи?
За вас имам две новини- добра и лоша. Добрата е, че благодарение на усилията на алианса и доброволците множество дупки в безопасността на държавните системи бяха затворени. В това число в обекти от критичната инфраструктура и във военната сфера. Лошата се състои не само в това, че уязвими се оказаха полицията, водоснабдяването и военните окръжия, а основно в това, че въпреки продължаващата четвърта година война в Украйна, и че тя вече беше жертва на стотици целенасочени и разрушителни кибератаки, страната както и преди се оказа незащитена в киберпространството
Ние постоянно се сблъскваме с руските хакери и с липсата на готовност на държавните органи за кибератаките. Например, през декември 2016 г., докато разглеждахме хакнатата кореспонденция на проруски хакери разбрахме, че пощенския сървър на МВР на Украйна е напълно компрометиран, за което незабавно уведомихме МВР, киберполицията и СБУ (службата за сигурност на Украйна). Тъй като се занимаваме със същата дейност в Русия и в окупираните територии не останахме учудени. Ние не сме само свидетели на “киберапокалипсис” и знаем, че с достатъчно пари, време и капчица късмет може да бъде хакнато всичко, което поискате.
Учуди ни липсата на реакция. В МВР вероятно са решили, че става дума за съвпадение и подобни атаки в бъдеще няма да има. С подобна реакция ни предстои да се сблъскваме многократно и тя е най- лошата от всички възможни. Често ни се налага да показваме образци от вътрешни документи, за да демонстрираме установената от нас уязвимост, тъй като чиновниците се опитват да отричат факта на неоторизиран достъп до системите им. В случая с пощенския сървър потвърждение за пред СБУ ни бе осигурено любезно от журналист от изданието InternetUA.
Първото оправдание- не се касае за “секретни документи”. Ние не се интересуваме от тайните, не се интересуваме дори от възможността да изсвирим ноктюрно с клапаните на водните канали в Ровно и Кировград. Интересува ни само възможността или липсата на такава за достъп отвън до това, което се намира вътре. Разказвал съм ви, как хакнахме Оренбургска област. Всичко започна с изтичането на данни за паролата от районната ветеринарна клиника и завърши с пълно разбиване на областния ЦОД (Център за обработка на данни) — всички сайтове и пощенски кутии, целия документооборот, включително ведомствената връзка и дори рафтовете на ФСБ. Без значение е статутът на документите. Дори малка цепнатина, може да осигури достъп до вътрешната мрежа и от там – до по-значими ресурси.
Въпреки това се оказа доста сложно да обясним това на представителите на ДП ”Енергоатом” и на Херсонския областен съвет, които бяха оставили няколко от ресурсите си със свободен достъп в мрежата. Не се наложи да разбиваме нищо, оказа се напълно достатъчно да намерим машина с диск за общо ползване. В ”Енергоатом” имаше четири такива машини. Разбирам безпокойството на прес- службата на нашите украински атомници: дори намек за това, че по мрежите на атомните електростанции могат да пъплят хакери, е в състояние да предизвика паника. Обаче, фактът си остава факт: без значение дали се касае до договорен партньор, подразделение, подизпълнител, без значение дали документите се движат в организацията по локална мрежа или се пренасят с флашка от небрежен сътрудник. Изтичането си е изтичане.
Не сме използвали нито един хакерски метод. Само търсене, понякота просто търсене в “Гугъл”. Имайки достъп до локалната мрежа (через флашка или пряко, а една от точките отваряше пряк път към локалната мрежа), рано или късно бихме могли да се доберем до цялата мрежа изцяло и напълно. По този начин вече сме си осигурявали достъп до технологичните системи на една от руските електростанции. По същия начин и руските хакери успяха да кратко да изключат Прикарпатобленерго и ПС «Северная» през 2015 и 2016 години. Проблемът се състои в това, че например системите на Ровенското и Кировгородското ВиК дори не се наложи да бъдат хаквани. Те си стояха в открит достъп – със списъците на потребителите, списъци на IP-адреси, логини и пароли, VPN-ключове и всичко необходимо, за да бъде извършен малък терористичен акт.
Мога малко да ви успокоя: към тези случаи веднага прояви интерес СБУ. Докато Киевенергоремонт и Държавната служба за финансов мониторинг считат, че при тях всичко е наред. Списъкът на ресурсите, който намерихме в открит достъп и следите от други хакери, на които попаднахме, определено подтискат. Академията на МВР (достъп до паролите на сайта, вътрешни мрежи, следи от многократни хаквания, база данни на офицерите), сървъра на пресслужбата на Националната полиция в Киевска област (документи, логини и пароли, достъп до вътрешната мрежа), Кировгородското ВиК (достъп до критичната инфраструктура), «Енергоатом», Киевенергоремонт, съдебна власт на Украйна, НАЗК, декларации на МВР (включително на специалните подразделения), Кировгородски център по заетостта, Никополски пенсионен фонд…
Мнозина просто не са в състояние да проумеят, че всяка информация е ценна. Лвовското военно окръжие публикува списък на петнадесет хиляди души, които според него “отклоняват получаването на повиквателни” (т.е. просто не са били намерени по мястото си на регистрация). Сами са го публикували. Дори не на отворен диск или FTP, а във «Фейсбук». Разбирането за това, че се публикуват лични данни, които следва да бъдат пазени по закон напълно липсва. Ние пък намерихме военното окръжие на Закарпатска област: база данни на подлежащите на мобилизация, заповеди, кореспонденция с областната администрация и Министерство на отбраната, планове, списъци, кой в коя част служи – с една дума всичко! Тук вече мирише на просто на “О, извинете!”, а на военна прокуратура, защото това е информация с ограничен достъп, а не някакви си “лични данни”.
На руските хакери дори не им се налага да хакват. Ела и си вземи. Следващите два примера – Черниговска и Донецка ОДА (Областна Държавна Администрация). В Чернигов дисковете бяха открити. След нашата констатация ги закриха, но един от доброволците ни веднага намери уязвимост на сайта, която позволяваше той напълно да бъде разбит и да бъде осигурен достъп до уж затворените дискове. Според правилата, публичните услуги би следвало да бъдат отделени напълно от локалната мрежа. Но пък правилата не са за чиновниците, нали? С Донецката администрация нещата стояха още по-интересно. Същият доброволец намери там безпаролна програма с дистанционно управление (веб-шелл WSO2), инсталирана от други хакери.
При това те не само бяха хакнали сайта, но и бяха получили на сървъра права на администратор, чрез кражба на паролите на действителните администратори, след което се добрали и до локалната мрежа. Напомням, че става дума не просто за ОДА, а за военно-гражданска администрация в зоната на АТО (зоната на военните действия в Украйна). А хакерите попаднали там от Самара (в случай, че някой е забравил, има такъв град в Руската Федерация, с която,… секунда…, сме във война). Дори след съобщението за взлома, сайта остана в същия си вид още седмица. После, дали администраторите решиха да замажат работата или пък хакерите, като видяха съобщението ни, зачистиха сървъра, но в крайна сметка той беше спрян. Пресслужбата на ОДА съобщи за “временни технически неизправности”. Когато в зоната на АТО руски хакери пъплят из мрежите на областната администрация, това, момчета не са “неизправности”, а шпионаж от страна на държавата – агресор.
Дори да приемем, че сървърът е спрян от системните администратори на ОДА, то това е съвсем недостатъчно: руснаците биха могли да се закрепят на други машини в мрежата. Да прекратиш достъпа и дори да спреш компрометираната система е само началото. Необходимо е да бъде проверена цялата мрежа. Ако сте забравили, ще ви припомня как страдаха ANNA News и народната милиция на «ЛНР». Системният администратор обновявше софтуера до последните версии, опитваше се да защити хакнатия и възстановен сървър, а след това ние отново се връщахме и ползвайки хитро маскирани бележки, разбивахме всичко отново. След четвъртото хакване на НМ «ЛНР» изключи сайта си и повече не го е включвала. Успяхме да откраднем и предадем на “Миротворец” цялата ценна информация за терористите още преди година.
Къде отиде CERT (Екип за компютърна аварийна реакция-бел.прев.)?
Как реагира държавата на всичко това? Почти никак. Да, затварят се дупките, в някои случаи СБУ провежда разследване или профилактична дейност. Според изявлението на киевската полиция, Киберполицията дори им помогнала да преинсталират и “защитят” компютрите – очевидно е обаче, че в полицията не се е намерил човек, който да е способен да настрои Windows така, че да не се изсипва всичко в Интернет. В общи линии служителите в силовите ведомства си вършат работата – разкриват и предотвратяват престъпления. Кой у нас се занимава с безопасността? Никой.
По презумпция, възникналите инциденти би трябвало да се обсъдят в самата организация, след което да бъде съобщено в Госспецсвяз (Държавна служба за специални връзки и защита на информацията на Украйна- бел. прев.), а те, от своя страна – да направят съобщения за всички истории, които ви разказвам аз и да изготвят препоръки. Не знам с какво се занимават там, но нищо от това не беше направено. По нито един от посочените инциденти и атаки.
Нещо повече, CERT-UA на „Госспецсвяз“ стана една от първите жертви на нашия флашмоб. И те бездействат не само в този случай, а във всички. У нас всички обичат да говорят за руските хакери – каква страшна заплаха представляват, за предстоящия киберапокалипсис, за необходимостта от засилване на темпа на развитие в повишаване на информационната безопасност. И още подобни лингвистични фокуси от лексикона на стрелочниците. Само дето след десетки кибератаки в Украйна няма нито един смислен доклад за такъв инцидент. Да, можем да повикаме от Америка професионални експерти и Cisco Talos ще прочете логовете и ще напише отчет с технически подробности за NotPetya, може също да преведем докладите на Microsoft и ESET, но остава въпросът кой е извършил атаката? С каква цел? Какво трябва да се направи, за да не се случва в бъдеще? Защо изобщо се е случило? Тишина.
Ако бъде направен одит на документацията (както е предвидено в закон 2126а за основите на кибербезопасността), ще разполагате с документална безопасност. За да стане възможно държавно-частното партньорство е необходим партньор, а той липсва. Съобщаваме за дупка с размерите на вагон, а в отговор чуваме едни и същи небивалици: нищо не се е случило; случило се е, но не при нас, а при наше подразделение; да, при нас е, но нямаше последствия; доведе до ужасен резултат, но ние ще премълчим или ще излъжем в прессъобщението. Какви още последствия са ви нужни след «Медка» (“M.E.Doc”- компания, чийто сървър е бил заразен с вируса NotPetya- бел. прев.) и всичко останало? За безопасността в Украйна отговарят като че ли всички и никой.
МЧС (Министерство на извънредните ситуации) излага в открит достъп схеми за полагане на кабели за ведомствена връзка. Какво, нашите комуникационни шахти не могат да ги запалят ли? (При това в Киев горят доста редовно). «Киевстар» показва проекти на мрежата за мобилна връзка (трябва обаче да се признае: времето за реакция на службата за безопасност на «Киевстара» на публикация във «Фейсбуке» беше по- малко от две минути, за такива показатели държавният сектор може само да мечтае, там средното време за реакция е денонощие, а може и повече). Министерство на здравеопазването — дупка в сайта.
Веднъж CERT все пак проведе мониторинг за уязвимост на държавните сайтове (вероятно някой от активистите им е досаждал, и те публикуваха предупреждение) , та в този списък сайта НИЕКЦ (криминалистичен център, който провежда експертизите по наказателни дела) беше отбелязан като хакнат. И си остана в този вид година, докато не разказахме за това по телевизията. Веднага “на лични” към мене се обърна представител на НИЕКЦ, за да ме увери, че се отнасят към безопасността с нужното внимание. Побеседвахме си мило. Благодаря.
“На лични” (лична кореспонденция във “Фейсбук”- бел. прев.) представителите на всички организации са мили и пухкави и дори понякога изказват благодарност за намерените от нас пробойни. Дявол да го вземе, заместник областния управител на Херсонския областен съвет дори написа пост във “Фейсбук”. И какво да ви отговоря? Благодарностите разбира се са приятно нещо, а затварянето на пробойните е не само приятно, но и полезно, при това за всички. В крайна сметка ние се нуждаем не от вашите благодарности, а от това да си вършите качествено работата. Например, когато хакнахме Астраханска област, говорителката на областния съвет крещеше по НТВ: «Ще уволним всички!» Поправянето на грешките трябва да започне веднага, без да се чакат “последствията”. И това няма да се случи без публично обсъждане.
Сайтовете ви са препълнени с «новини» за проведени от вас конференции, срещи, законодателни инициативи и подобна плява, които е абсолютно невъзможно да бъдат четени и нито дума за това, че сте допуснали грешка и как сте я поправили. Не е нужно да се преструвате на неуязвими, всеки може да бъде хакнат, но работата над грешките показва, че не ви е все едно, че в организацията ви има напредък. Това ще послужи и като предупреждение за останалите. В противен случай нищо няма да се промени.
Какво да се направи? За наказанията за невиновните и наградите на неучаствалите.
Никакви доброволци, хакери, модерни специалисти, повишаване на заплатите, строги наказания и т.н. сами по себе си няма да помогнат. В мрежите попаднаха „Запорожка стомана“, верига супермаркети, киевско комунално предприятие публикува онлайн счетоводството си и някакъв ключ в папка «BANK», явно от разплащателна сметка. За това, че като база за информационната атака на Киберберкут срещу «Енергоатом» са послужили документи, откраднати от руснаците от Министерството на екологията, неизвестно защо научаваме от «Фейсбук» и то само защото «Енергоатом» реши да се разграничи от изтичането на информацията. Защо мълчи Министерството на екологията? Или си мислите, че там няма нищо интересно? Мога да ви уверя, че четенето на отчетите на комисията по баланса за състоянието на ядрените обекти се оказа толкова интересно, че когато споменах за това в коментариите, пресслужбата на атомниците едва не подскочи, ако това беше възможно във «Фейсбук». (Между другото, с ядрената безопасност всичко ни е наред, случват се незначителни инциденти, но без последици.)
В украинския сектор на Интернет мрежата може просто да тралиш полезна информация. Попаднах на нотариус, заедно с всичките му ключове, осигуряващи достъп до регистрите. През август нещо се случи със сайта на Външното разузнаване, който се върти на WordPress (гугъл помни всичко). Таксиметрова служба излага онлайн логове на курсовете си. Безкрайното оправдаване, увъртане, прехвърляне на отговорност и извинения във «Фейсбук» — не защитават. Десетки «киберцентрове» (у нас скоро и към ЖКХ ще открият киберцентър) се занимават с безкрайно празнословие и преливане от пусто в празно, а още по- често – преливане от бюджета в неизвестно направление. Разработват се тонове инструкции и правила за поведение в случай на подводен бой с извънземни, при положение че в същото време руски хакери преспокойно се мотаят из украинските мрежи – и в гражданските, и във военните и в тези на критичната инфраструктура.
Та, какво може да се направи за кибербезопасността? Да се опростяват, а не усложняват законите и инструкциите. Да се закрият безполезните учреждения. Да се закрият безполезните сайтове, които никой не посещава. Най- лесно е да се направи справочник на районните администрации, вместо да се поддържат стотици боклукчийски сайтове. Да се уволнят безполезните хора, които не само не се справят с работата си, но и на практика се занимават със саботаж. Трябва да се започне от най- простите и елементарни неща. Махаме от мрежата отворените SMB-дискове и FTP-сървъри, отделяме публичните услуги от вътрешната мрежа, слагаме нормални пароли и двуфакторно удостоверяване, не кликваме върху случайни линкове. И най- важното: ако нещо се случи, трябва да се каже, да се уведоми същата тази „Госспецсвяз“, да се положат усилия, за да се изясни точно какво се е случило, как и за кого е изгодно. Като се опитвате да скриете истината вредите и на себе си и на страната ни.
В случай на пълномащабна, планирана кибератака, оправданията, хартийките и административния пинг-понг няма да помогнат. Разбира се няма да умрем, но ще се наложи да анализираме щетите на свещи. И не си мислете, че около вас всички са идиоти, а вие имате най-грамотните администратори, прекрасни полицаи и всичко е прекрасно. Всеки може да бъде хакнат – въпрос на време, пари и мотивация.
No Responses to “Активисти организираха флашмоб #FuckResponsibleDisclosure за разкриване на уязвимостта на IT-системите на Украйна”