На 4 февруари сайтът DOU публикува интересно интервю с говорителя на Ukrainian Cyber Alliance (UCA) Андрей Баранович. Публикуваме интервюто за читателите на сайта на международната доброволческа общност InformNapalm, която на определен исторически етап също изигра важна роля за обединяването на различни групи от украински киберактивисти в един ефективен екип на UCA. На нашия сайт можете да намерите множество публикации, излезли благодарение на сътрудничеството на OSINT-разследващите от InformNapalm с хактивистите от Украински Кибер Алианс и други отделни групи от украински IT специалисти. Точно преди 4 години, в началото на февруари 2017 г., публикувахме и кратко документално видео „CYBERWAR: обзор на успешните операции на UCA през 2016 година„, който е интересен като допълнение към това интервю.
«Украински кибералианс» (УКА) е общност от украински хактивисти, появила се през 2016 г. след обединяването на няколко хакерски групи. Според прессекретаря на Ukrainian Cyber Alliance Андрей Баранович тяхната основна цел е била да получават информация за Русия и нейното участие във войната. По-късно UCA стартира и флашмоба #FuckResponsibleDisclosure, който трябваше да оцени нивото на защита на държавните ресурси на Украйна. В интервю за DOU Андрей Баранович разказва за дейността на UCA, отделни акции, кибервойната и обиските на СБУ у членовете на организацията. Той сподели мнението си и за приложението „Дия“, онлайн изборите и сигурността в интернет в Украйна.
За Ukrainian Cyber Alliance
— Първият общ въпрос. Кои са хакерите?
На първо място, аз се идентифицирам не като хакер, а като специалист по мрежи, програмиране, сигурност. До публична хактивистка дейност стигнах едва след началото на войната. С моите колеги решихме, че можем да използваме знанията си и по този начин. В крайна сметка, ако знаете как да защитите системите, тогава знаете как да ги атакувате. Тоест, за разлика от черните хакери, които правят това за да печелят пари, и за разлика от белите хакери, които правят това само от любопитство, за да разберат как работят технологиите, ние се смятаме за хактивисти, тъй като използваме информацията, която получаваме за военни и политически цели.
— Ще цитирам реплики от ваши интервюта, за да коментирате. В една от статиите казвате: „На „черните“ платформи администрацията подтиска политиката – търговските интереси се поставят по-високо от националните“. За украинската хакерска общност като цяло ли става ли въпрос?
Цитатът се отнася изключително за чернтеи хакери, които хакват, за да печелят пари. Като специалист по информационна сигурност имам достъп и до затворени хакерски форуми. Защото, наред с другото, ние събираме данни и за това как работят черните хакери, наблюдаваме ги в естествената им среда на обитание, изучаваме техния ред, има ли нещо ново … И, естествено, там политиката не е добре дошла, защото много вреди на бизнеса. Черните хакери също могат да бъдат наречени бизнесмени, макар че се занимават с незаконна дейност. Затова те се стараят да не обсъждат политиката. Киберпрестъпността няма националност.
— Вече започнахте да говорите за създаването на „Украинския кибералианс“. Разкажете ни по-подробно как се формира той?
Първоначално имахме отделна група, наречена RUH8. С моите колеги проведохме няколко акции, включително взлома на Държавната дума на Руската Федерация, Съвета на Федерацията и регионалните правителства в Астрахан и Оренбург. Нашето сътрудничество с други хакерски групи се установи благодарение на сайта InformNapalm, където всички ние предоставяхме информация за обработка и публикуване. И така, през юни 2016 г. „Украински кибералианс“ беше сформиран изцяло от групите RUH8, FalconsFlame, Trinity и „КиберХунта“. Всеки имаше различни умения, различна специализация, благодарение на които се допълвахме. И така продължихме да работим до 2019 г., докато през февруари 2020 г. при нас не дойдоха киберполицията и Службата за сигурност на Украйна с абсолютно нелепи обвинения …
— Ще се върнем пак към тази тема. Първо искам да разбера за организацията като цяло. Колко членове има? Кои са те, в Украйна ли живеят или има чужденци, които също искат да участват във вашите акции?
В момента УКА като широка общност практически не съществува. Преди година с моите колеги регистрирахме официално нашата организация в Министерство на правосъдието, така че сега има НПО „Украински кибералианс“. Планирахме да се занимаваме със сигурността, включително на украинските системи, защото войната се състои не само от атака, но и от отбрана. Тези въпроси бяха обсъдени с представители на властите, включително в Съвета за национална сигурност и отбрана през есента на 2019 г. Но след това на някой всичко това спря да му харесва… Така че сега имаме една НПО, която се състои от трима основатели.
— А как стояха нещата до миналата година?
Няма да назова точния брой на постоянните участници, но не бяха много: плюс-минус 10 човека. Не сме приемали, и не приемаме никаква чуждестранна помощ. Никога не съм си поставял за цел да разбера кои са останалите членове. За някои зная повече, за други по-малко. Основно са специалисти техничари. По принцип такива въпроси обикновено не се задават: колкото по-малко знаеш, толкова по-добре спиш.
Екипът включваше специалисти от Украйна. А целите ни бяха изключително в Руската Федерация и в окупираните от Русия територии. Винаги сме повтаряли и повтаряме, че нашата цел беше да получаваме информация за Русия, за нейното участие във войната, за военното и политическото й ръководство, никога те ти е интересувало нищо друго.
„Ние просто не обръщаме внимание на заплахите“
— Вие сте пресаташе на „Украински кибералианс“. Избраха ли Ви, или сам пожелахте да комуникирате с пресата от името на УКА?
Винаги съм разбирал, че ако искаме нашата информация да влияе на събитията, трябва да разказваме подробно за нея, да общуваме с хората … Всичко започна с това, че ни поискаха интервю от списание „Фокус“. Аз убедих колегите си, че трябва да се даде, така че хората да разберат добре кои сме ние, с какво се занимаваме, за да не ни възприемат като заплаха и да не ни бъркат с черни хакери.
— Често ли общувате с журналисти?
Достатъчно често. За много издания давам коментари като експерт по сигурността или поддържам колонки за текущи събития.
— Какви средства за комуникация обикновено използвате, за да съобщавате за резултатите от вашите акции?
Докато се занимавахме с основния си проект, насочен срещу Русия, нашата платформа беше „InformNapalm“. С тях обработвахме информацията, пишехме статии, в които публикувахме връзки към материалите, за да може всеки да ги изтегли, да ги провери и да се увери, че никого не заблуждаваме и че всичко е както казваме в нашите публикации.
— В различни интервюта многократно сте подчертавали, че действате в рамките на действащото законодателство. И все пак за мнозина думата „хакер“ се асоциира с понятието „извън закона“. Как се справяте с това в „Кибералианса“?
Естествено, ние нарушаваме законите на Руската Федерация. Там срещу нас са образувани няколко десетки дела от всички правоприлагащи органи: полицията, ФСБ и следствения комитет. Ние абсолютно не се срамуваме от това и не се страхуваме, тъй като между Украйна и Русия няма сътрудничество в правоохранителната сфера. В окупираните територии Украйна отстъпи от задълженията си да поддържа реда и законността. А Руската Федерация не може да се обърне към Интерпол, защото всички тези акции са политически мотивирани.
Разбира се, ние не нарушаваме законите в Украйна. Дори когато стартирахме кампанията #FuckResponsibleDisclosure, чиято цел беше да покаже, че украинските системи са много уязвими към нападение както от страна на Русия, така и от криминални хакери, ние използвахме неинвазивни средства. Ако открием в публичното пространство някаква информация, принадлежаща на Украйна, това няма нищо общо с хакерството – тя се е оказала там поради небрежност. По този начин ние демонстрирахме, че всеки желаещ, който просто използва Google, може да намери секретни документи, свързани с нашата армия, разузнавателни служби и т.н.
— Казахте, че през годините на съществуване на УКА постоянно получавате заплахи. От кого и от какъв характер?
Естествено, на тези, които хакваме, това не им харесва особено. Например, ситуацията с руския пропагандист Проханов. Прихванах страницата му във Facebook, както и неговите издания „Ден“ и „Утре“, и написах няколко забавни текста от негово име. Тогава в ефира на предаването „Вести“ той много се възмущаваше от това, а синът му Андрей Фефелов сипеще празни заплахи. И от окупираните територии също постоянно изпращат всякакви гадости. Просто не обръщаме внимание на заплахите.
Кибервойната
— Коя от акциите си смятате за най-успешна?
Сложно е да определя само едно нещо. Понякога успявахме да намерим информация, например, от Федералната служба за охрана на Руската Федерация – това е част от бившето КГБ, което освен всичко друго се занимава и със сигурността на критичната инфраструктура. Затова намирането на такава информация не беше лесно. Най-много се споменава в пресата акцията SurkovLeaks, когато получихме достъп до пощенските кутии на приемната на помощника на президента на Руската Федерация Владислав Сурков. Вдигна се голям шум, защото акцията съвпадна с избора за президент на САЩ. Веднага се появиха слухове, че това може да е отмъщение на САЩ срещу Русия за хакването на DNC. Тези слухове, разбира се, бяха опровергани от американската разузнавателна общност, но този тайминг привлече силно внимание към темата. Има акции, които са по-интересни в технически план.
— Ще имаме читатели програмисти, и те сигурно ще се интересуват от техническата част…
От техническа гледна точка интересен случай е Оренбургска област. Използвахме вече публикувани експлойти. Беше Heartbleed, изтичане на памет. Сканирахме голям брой руски сайтове, и сред тях попадна и един от малките сайтове, поместени в Центъра за данни на администрацията на Оренбургска област, тоест достъпът до него тръгна от паметта на сървъра. Дълго време не успявахме да направим там нищо, защото те имат както IT-отдел, така и отдел за информационна сигурност със строг контрол от страна на ФСБ. В един момент обаче системният администратор направи грешка: помести мрежовото хранилище на публичен уеб сървър и оттам вече изтече достатъчно информация, за да се получи достъп до цялата система и да се закрепим там, наблюдавайки всички части от това регионално правителство, включително и ФСБ.
Дори се наложи да прогоним няколко скитащи хакери, които бяха влезли в същата система, за да не загубим достъпа до нея. И запазихме достъпа дълго време – около година и половина. През това време оттам беше изпомпвано всичко, което може. Това показва как дори малките и краткотрайни грешки водят до дългосрочни последици. И ако APT-група (advanced persistent threat) вече е влязла в системата и се е закрепила в нея, тогава тези хакери е трудно да бъдат открити, те ще получават информация едва ли не години. Подобен случай е шумната скорошна история с supply chain атаката срещу SolarWinds, когато руски хакери също разпространиха бекдор през ПО за мониторинг на мрежата и са поддържали този достъп в продължение на месеци. Открили са ги почти случайно.
— Каква е целта на вашите акции? Какво искате да постигнете?
Работата е в това, че руските хакери влизат в украинските системи точно като у дома си. Състоянието на информационната сигурност в нашия държавен сектор е ужасяващо. Така че първото послание, което бихме искали да предадем – всичко, което можете да ни направите, ние можем да го направим на вас. Имаме достатъчно компетентни специалисти за това. Втората цел е да се получи непосредствена информация за това кой взема решенията, особено за военните, как се вземат, какво мислят в президентската администрация на Руската Федерация, каква е тяхната позиция в преговорите в Минск – не това, което казват публично , а какво обсъждат помежду си. Вярвам, че това е ценна информация, която би било трудно или много скъпо да бъде получена по други пътища.
Четете още: Казусът Касперски и кибершпионажът: как Русия отвори „кутията на Пандора“
— В едно от интервютата си казахте, че кибервойната е най-евтината. Но доколко е ефективна тя? Мислите ли, че тя може да реши проблема с реалната война?
Ако говорим не за войната като цяло, а само за част от нея, например за кибер шпионажа, то той е много по-евтин от традиционния шпионаж. Като цяло в литературата по темата навлезе израз, който дори вече е досаден. За това, че сега киберът е петата зона на водене на бойните действия, заедно със сушата, морето, въздуха и космоса. Естествено, войните все още не се печелят с помощта на компютър – още не сме толкова далеч в бъдещето. Но това е важен компонент, който допълва други родове войски. В Украйна официално няма никакви доктрини за това. Тази област не се развива: нито по отношение на отбраната, нито по отношение на атаката. Разбира се, съществуват многобройни държавни киберцентрове, включително киберцентърът на Службата за сигурност на Украйна, киберцентърът на Държавната специална комуникационна служба, киберцентърът на Министерството на отбраната, но засега не се виждат значими успех от тяхна страна.
— Вие имате определени принципи. Например казахте, че не се докосвате до критичната инфраструктура на Русия, „тъй като по същността си това е акт на международен тероризъм“. Какви други подобни принципи има УКА?
Когато се занимавахме активно със събиране на информация за Русия, ние се интересувахме предимно от военни и политически цели. Например през 2015 г. успяхме да получим достъп до информацията от сто хиляди руски мобилни телефона. Опитахме се да прегледаме архивите, например SMS, кореспонденция, но не намерихме нищо, което да заслужава внимание. Следователно нямаше смисъл да губим време за обикновени граждани, особено след като екипът ни не е много голям.
В Русия сигурността е малко по-добра от тази в Украйна. Повече пари, повече специалисти, но все пак не бих казал, че е много добре. Естествено, бихме могли да се доберем до руската инфраструктура, да хакнем нещо там, да нанесем сериозни щети, но мисля, че все пак е желателно да се въздържаме от подобни действия и да не се приближаваме до тероризма.
През 2015 г. Русия се намеси в работата на украинската енергийна система в Киев и Карпатския регион. Това е случай на международен тероризъм и аз бях много изненадан от меката реакция на украинското правителство на тези събития. Зад граница атаките срещу нашите електроцентрали се обсъждат много по-често, отколкото в Украйна. По някаква причина нашето Министерство на външните работи също не обяви, че Русия всъщност е преминала към терористични методи, което щеше да е допълнителен аргумент за натиск върху Руската Федерация, така че те най-накрая да се превърнат в отритната държава като Иран или Северна Корея. Разследването не беше проведено коректно. Не е ясно как те са попаднали в системата на електроцентралата, какво са се опитвали да постигнат, дали е било тест, случайност или това ще бъде системна дейност от тяхна страна.
Четете още: „Да се помиряваш с Русия е безполезно“. Украински хакери излизат на светло
#FuckResponsibleDisclosure
— Как преминахте от първия си, насочен навън проект, към вътрешен по защитата на украинските държавни структури?
Всичко се случваше паралелно. Когато беше приет законът „За основите на осигуряване на киберсигурността на Украйна“, във Facebook възникнаха множество дискусии. Много представители на властта заявяваха: „Виждате ли! А казвате, че нищо не се променя. Вижте какъв прекрасен закон сме приели. Сега най-накрая всичко ще се оправи“. Целта на кампанията #FuckResponsibleDisclosure беше да покаже, че никой закон сам по себе си не поправя нищо и не влияе върху нищо. За да илюстрираме това, ние посочихме няколко уязвими държавни информационни системи. И после поставихме търсенето на тези уязвимости в потока.
Както казах, нямаше взломове. Тук можете да направите сравнение със ситуация, в която, да речем, вървите по улицата край къщите и забелязвате, че под една от постелките пред вратите има ключ. Или портфейл на пътя. Приближавате се и показвате: имате ключ под постелката, а тука е паднал портфейлът ти. Но вие не вземате ключа или портфейла, нито ги използвате. Така беше и с уязвимостта. Ние я открихме, знаем как може да бъде използвана, до какво може да доведе. Но ние не сме се възползвали, само показваме: тука имате дупка.
— Как оценявате нивото на киберспециалистите, работещи в държавни структури?
В Украйна има около 100 хиляди всевъзможни учреждения, комунални предприятия, държавни предприятия … Държавният сектор е огромен. Някъде работят достойни специалисти, които прилагат знанията си по предназначение. Но те са много малко. Абсолютно невъзможно е да се осигури всяко учреждение поне със системен администратор. Всички ай ти специалисти в Украйна са около 200 хиляди. Дори всички те да отидат да работят в държавния сектор, пак няма да има достатъчно хора.
Когато преди три години стартирахме #FuckResponsibleDisclosure, в рамките на няколко месеца открихме дупки в поне половината от министерствата, в президентската администрация, в много клонове на властта, включително и при екипа за бързо реагиране на компютърни инциденти в Държавната специална комуникационна служба. Те просто бяха забравили в открит достъп паролата за една от пощенските кутии на сайта си. Например да допуснем, че Академията на Министерство на вътрешните работи остави отворен диск без парола в Интернет, където се намира базата данни на целия персонал: както тези, които преподават, така и тези, които се обучават. Същото беше и с Киевската полиция …
Естествено, ние там не се намесваме. И ако разполагаме с някаква информация, която може да помогне на злонамерен хакер да хване тази дупка и да проникне, то ние не я публикуваме. Масар че често единственото нещо, което влияе на чиновниците е да започнат да ги засрамват публично. Само страхът от публичност и подигравките ги карат да направят нещо. По този начин бяха затворени най-скандалните дупки. Много се опитваха да действат по различен начин, като предупреждават директно администраторите и ръководството за съществуващи дупки. Например Женя Докукин (основател на инициативата „Украински кибервойски“ – бел. ред.) изпрати няколкостотин такива съобщения. В 99 процента от случаите чиновниците не реагират на подобни предупреждения.
Тоест, целта на кампанията #FuckResponsibleDisclosure не беше да се затворят всички дупки – това не може да се направи с усилията на доброволците, а да се покаже, че информационната сигурност в Украйна е в незадоволително, неадекватно състояние. Никакви отделни закони или постановления на Кабинета на министрите не водят до системни промени. Необходимо е да се преразгледа самият подход, в противен случай хакванията ще продължат. Всички помним „NePetya“, която нанесе щети в размер на 10 милиарда долара, многобройни течове от Министерството на вътрешните работи, Службата за сигурност на Украйна, хакване на големи предприятия като „Антонов“, гореспоменатите затъмнения в Киев и Карпатския регион. .. Ако не се започне да се обръща внимание на това, последиците ще бъдат катастрофални.
— След като започнахте да съобщавате за наличието на дупки, вие проследихте ли във времето дали са ви послушали или не?
Различно. Позволете ми да ви дам пример. В публичен достъп беше намерено оборудване за водоснабдяването, включително дистанционно управление на механиката, някакви клапани, капаци … Не разбирам достатъчно от водоснабдяване, но разбрах, че това е директен достъп до оборудване, данни за вход, пароли, така че да се влезе там отдалечено и да се направи нещо. Предупредихме познати офицери от Службата за сигурност на Украйна. В крайна сметка това е непосредствена заплаха: в резултат на атака няколко области могат да останат без вода. СБУ се опита да повлияе по някакъв начин, данните изчезнаха от отворения достъп, но се оказа, че водоснабдяването има толкова хитро ръководство, че успя да изпрати и Службата по дяволите с техните искания.
— У нас сега пишем повече за негативното. Интересно ми е имали ли сте случай да откриете добре защитени системи или да сте срещнали адекватна реакция от чиновници?
Да, не много често, но сме срещали спокойна професионална реакция от страна на длъжностни лица, когато те бързо отстраняваха уязвимости, пишеха за това, и ни благодариха публично. Тоест постъпваха както трябва. И все пак искам да отбележа, че ако чиновниците реагират, това не може да се сравни с това как реагира бизнесът, особено големият.
Например, когато информацията на един мобилен оператор се оказа в публичен достъп, времето за реакция на инцидента в сигурността беше 30 секунди. Тоест, ние публикувахме корица на документ (в самата корица нямаше нищо тайно) и след половин минута инженерът по сигурността ни писа и учтиво разпита за всички подробности. В рамките на 24 часа те проведоха свое вътрешно разследване, откриха причината за теча и го отстраниха. Същото беше, когато в публичното пространство бяха открити следи от взлом на Камарата на представителите на Конгреса на САЩ. Някакви неизвестни хакери бяха влезли там, и един от нашите доброволци намери междинен сървър, чрез който изтегляха информация. Отново буквално след няколко часа американците вече питаха дали това е цялата информация или има още нещо, за което не искаме да говорим публично.
А у нас, за съжаление, често се случва, след като открием дупка, да дойде ръководителят или прес секретарят на организацията и да започне да доказва, че това всъщност не е уязвимост. Че всичко това е маловажно, останало е от предшествениците… Започват да ни заплашват със заявления пред полицията и СБУ, да се съпротивляват по всякакъв възможен начин и да преминават през всички фази от отричането до приемането. По някаква причина те са сигурни, че това е планирано специално срещу тях, за да ги очернят и подставят.
Обиските и съдилищата
— Как започна в началото взаимодействието на «Кибералианса» с държавните структури?
Ние предавахме на военните или специалните служби информацията, която смятахме за важна, която би могла да бъде използвана. Това не беше някакво формално взаимодействие, а просто комуникация чрез познати служители, на които може да се вярва. По отношение на откриването на дупки в държавния сектор, по-голямата част от информацията беше публикувана с описание на уязвимостта и какво може да се направи за подобряване на ситуацията.
През есента на 2019 г. „Кибералианс“ беше поканен в Съвета за национална сигурност и отбрана. Там имаше дискусия как да се реформира държавният подход към информационната сигурност, как да се съвмести с плановете на вицепремиера Михаил Федоров за дигитализация. Той също говори на тази среща, разказвайки за плановете си. След това проведохме няколко срещи с чиновници, изслушахме ги какво говорят, сформирахме малка група, обсъдихме всичко помежду си (не само в рамките на UCA, но и с участието на много известни IT специалисти), разработихме визия за това как съществуващата система може да бъде променена .. И с това всичко приключи. Поседяхме, поговорихме, и се разотидохме, нищо не се промени.
— А преди това, обръщали ли са се към вас държавни структури по някои конкретни въпроси?
Не, не са се обръщали.
— Вие прекратихте сътрудничеството си с държавни структури след обиските през февруари 2020 г. и последвалите съдилища. Разкажете хронологията на събитията.
Да започнем с факта, че през есента на 2019 г. в Украйна се смени ръководството на кибер подразделенията както в СБУ, така и в полицията. Там дойдоха нови хора и по някаква причина именно тогава започнаха да се разиграват споменатите събития. Как започна всичко? През октомври 2019 г. на летището в Одеса някакъв неизвестен шегаджия показа обидна картинка с Грета Тунберг на електронното табло. Всички се посмяха, свиха рамене: „Е, случва се“. При това няколко седмици преди този инцидент, един от нашите доброволци, Андрей Перевезий, предупреди, че има дупки в системата.
И през февруари 2020 г. в дома ми нахлуха СБУ и полицията, заедно с тежко въоръжено подразделение от КОРД в брони, и с допълнителни патронници за автоматите. Не зная, явно са се наканили да организират малка война в кухнята ми? В разрешението за обиск беше написано, че аз, Андрей Перевезий и Саша Галущенко (сега той работи в киберцентъра към Съвета за национална сигурност и отбрана), ние тримата, сме хакнали таблото на международното летище в Одеса. Тоест абсолютно нелепи обвинения, разбира се, делото е изфабрикувано.
Не си премълчахме, и на следващия ден организирахме пресконференция, на която обявихме, че това е политически натиск. След това имаше две съдебни заседания по ареста на иззетото имущество. На първото съдебно заседание нашата защита разби позицията на прокуратурата на пух и прах, но в промеждутъка между двете съдебни заседания в рамките на един ден съдията излезе в болничен. Мисля, че правоприлагащите органи са оказали натиск над него, за да не вземе справедливо решение. След това съдията беше сменен и новият наложи арест над нашето имущество, иззето по време на обиските – компютри, дискове.
Оттогава изминаха 11 месеца. Делото изобщо не се движи, ние дори нямаме статус: не сме свидетели, не сме обвиняеми, не ни се представят официално никакви подозрения. Сега полицията се занимава с този случай. Те просто печелят време, надявайки се … Не знам на какво се надяват. Аз лично се надявам, че с помощта на нашите забележителни адвокати ще постигнем не само справедливост в съда, но и наказание за виновните.
— В едно интервю казахте, че смятате ситуацията с летището в Одеса като повод „да дойдат при нас с обиски, да изземат техниката и да се опитат да намерят нещо там“. Вашите предположения, какво точно да намерят?
Не зная, може би търсят някакъв компромат, за да окажат натиск, да принудят някого да направи нещо или да направят някакво неприлично предложение. Но не се стигна до това, защото всичко веднага премина в публичното пространство. При такива условия не може да има никакви споразумения. Абсолютно съм убеден, че ако не беше Одеското летище, те щяха да използват някакъв друг предлог, за да дойдат по същия начин с обиски.
— А вие опитвали ли сте да проведете собствено разследване по ситуацията с летището?
В преписката по делото се запознах с техническите подробности. Мисля, че няма да е лесно да се намери истински крадецхакер. Най-доброто, което може да се направи, е да се направи одит на сигурността и да се защити системата на летището. То се управлява от частна одеска компания и аз мисля, че те могат да го направят.
— На споменатата пресконференция няколко участници в UCA разкриха самоличността си, въпреки че преди това пазеха анонимност. Съжалявате ли за това решение? Как това ви се отрази лично на вас?
Стана по-лесно. Освен това анонимността ни беше условна. Това беше по-скоро част от образа: маските, балаклавите привличат вниманието. Разбира се, мисля, че и СБУ, и МВР отдавна знаят имената ни. В практически план нямаше смисъл да се поддържа играта на анонимност повече. Затова отидохме на пресконференцията под истинските си имена: аз, Артьом Карпински, Андрей Перевезий и Александър Галущенко. С нас имаше и представител на адвокатската фирма, който даде правен коментар.
— Според вас трябва ли украинските хактивисти да имат имунитет, тоест защита от наказателно преследване? Или това ще доведе до подчинение?
Преди всичко аз мисля, че никой не трябва да има имунитет срещу наказателно преследване. „Добро момче“ не е защита. Но нашата правоприлагаща система е напълно корумпирана и срината – в това виждам проблема. Тоест, ако не нарушаваме украинските закони, тогава не разбирам какви въпроси може да има, дали сме хакери, хлебари или някой друг.
Пресконференцията на «Украински кибералианс»
Още по темата: Обиски в домовете на членове на Украински КиберАлианс. Пресконференция на активистите
За приложението „Дия“ и сигурността в интернет
— На същата пресконференция прозвуча фразата, че ако UCA винаги се беше обръщал към международни институции, то Украйна отдавна нямаше да има безвизов режим. Какво точно се има предвид?
Доколкото си спомням, това го каза Андрей Перевезий. Както разбирам, той е имал предвид, че тези атомни електроцентрали и летища са част от критичната инфраструктура, и Украйна има определени международни задължения относно нивото на безопасност на тези съоръжения. Защото ако, не дай Боже, падне цивилен самолет или се случи авария в атомна електроцентрала, тогава не само Украйна ще пострада. Така че, ако международните организации, които участват в контрола на ядрената енергия и безопасността на полетите (IAEA и ICAO), разберат колко ниско е нивото на защита на тези критични съоръжения, те ще имат много въпроси към украинското правителство.
— В един от постовете си казвате, че мобилните комуникации в Украйна не са безопасни, за разлика от интернет. Разкажете ни и за това.
Всъщност аз съм изненадан, че това е тайна за някого. От началото на 2000-те, когато беше приет законът за телекомуникациите, Службата за сигурност на Украйна има пряк достъп до телефонните мрежи на операторите. Това им е необходимо, за да провеждат „неогласени следствени действия“ или, просто казано, подслушване. Правоприлагащите органи получават до няколко хиляди разрешения годишно, за да провеждат законно подслушване. Но, разбира се, тъй като те имат пряк достъп до оборудването на операторите, това отваря огромни възможности за злоупотреби. Има черен пазар за услуги, където срещу съвсем разумни пари ще ви продадат цялата информация от държавните регистри, включително записани незаконни телефонни разговори.
И какво се случи наскоро … Вече за втори път парламентът приема новия закон No 3014 за телекомуникациите. Първият път беше приет в Радата, но Зеленски го върна. Направиха определени промени и отново го внесоха за подпис. Не е известно дали президентът ще го подпише или ще го върне. В него има такива формулировки, че разпоредбите, които се отнасят до подслушването на телефонни разговори, могат да бъдат изтълкувани по начин, който принуди и интернет доставчиците да предоставят достъп на Службата за сигурност на Украйна до техните мрежи, което, естествено, ще доведе до изключително неприятни последици. Това вече е пълно и окончателно безобразие.
Никой не оспорва факта, че правоприлагащите органи трябва да имат правна възможност да получават информация за абонатите от телефонните оператори и интернет доставчиците. Но мисля, че би било логично те да получат заповед, да я предоставят на оператора и той самостоятелно да записва необходимата информация. Ако правоприлагащите органи имат достъп до оборудването, те могат да го използват, включително за собствени лични цели. А това е корупция и огромна загуба за икономиката и за правата на гражданите.
— Наскоро коментирахте и провеждането на тестове на бъгове за откриване на уязвимости на приложението «Дія». Участвахте ли в това? Доколко смятате ли това приложение за безопасно?
Внимателно следя проекта за масова дигитализация. И мисля, че това е безмислена цифровизация, когато те цифровизират процеси, които изобщо не са необходими. Да кажем, че ми трябва удостоверение от държавата. За мен няма значение в каква форма ще бъде, аз искам изобщо да няма нужда от удостоверения. Или нека вземем първото, което направиха в приложението „Дия“ – добавиха там паспорт на гражданин на Украйна. Наистина не разбирам защо. Според мен е много по-лесно да отмените проверката на паспорт при продажбата на билети за влак, отколкото да качите паспорта си в телефона си. Просто искам, съгласно Конституцията, да имам свобода на придвижване и да се разхождам без паспорт. Считам, че много идеи в това приложение са безсмислени или такива, които могат да доведат до изключително негативни последици.
Знаем, че данните от регистрите изтичат редовно, фалшифицират се редовно, че в тези регистри има огромен брой грешки. И вместо да намали количеството информация, която държавата събира за своите граждани, вместо да гарантира необходимата защита на тази информация, Министерството на цифровата трансформация се опитва да я обедини в гигантска система. Това означава, че повече хора ще имат достъп до различни регистри, ще има повече течове и рискове.
Що се отнася до наличието на някои уязвимости, там Министерство на цифровата трансформация отговаря на критиките абсолютно неадекватно. Много журналисти се опитаха чрез официални искания да получат поне някаква информация за портала и приложението, включително и за сертификата на КСЗИ (комплексна система за защита на информацията). В отговор министерството предостави умишлено повредени файлове, които не могат да бъдат отворени. По всички въпроси те уверяват: „При нас всичко е добре, проведохме одити. Имаме сертификати. Само че ние няма да ги покажем, просто трябва да вярвате на думите ни“. Мисля, че информационната сигурност не е област, в която можете да разчитате на думата на чиновник.
Програмата за бъгове, за която те обявиха през декември, е PR ход, за да подобрят леко репутацията си: „Ето, обърнахме се към хакери от цял свят, те провериха всичко и не откриха почти нищо, тоест приложението е надеждно защитено“. Лично ние не участвахме в това. Няколко украински компании и учреждения (държавни и частни) се обърнаха към Министерството на цифровата трансформация: „Нека да вземем участие във вашия тест“, а реакцията от страна на господин министъра беше абсолютно дива – той отказа на всички.
Това показва, че те се опитват тихичко да проведат всичко встрани, и да укрепят репутацията си, така че те слагат прът в колелата по всеки възможен начин, ограничавайки броя на участниците. Освен това програма за бъгове се провежда, когато хората вече са напълно уверени, че са направили всичко възможно, за да гарантират безопасността. Преди това нямаше независими одитори. Участваше само някаква естонска организация с нестопанска цел. Тоест не е имало независим одит, резултатите не са публикувани, но по някаква причина се провежда програма за грешки.
— Ваш цитат: „Всичко може да бъде хакнато – въпрос е на време и усилия“. В такъв случай има ли изобщо нужда от приложения като „Дия“?
Фактът, че почти всичко може да бъде хакнато, не означава, че не трябва да се прави нищо. Аз не призовавам всички да се върнат в каменната ера, да се откажат от телефона и компютъра си и отново да използват хартия. Това е неудобно, остаряло, няма нужда да се отказвате от технологичния напредък. Но задачите трябва да се изпълняват правилно. Каква е целта на приложението „Дия“? Една от тези, който периодично се появяват в изявленията на ръководството на Министерството на цифровата трансформация и на самия г-н Зеленски – в бъдеще това ще позволи провеждането на електронни избори.
Но аз смятам, и това е не само моето мнение, а практически на всички международни експерти в областта на изборите и информационната сигурност, че в момента няма технология, която да позволи провеждането на избори онлайн и да убеди всички, че те са преминали честно. Защото задачата на изборите не е само да определят победителя, а и да убедят губещия, че никой не е мошеничествал. В случай на електронни избори, това не е възможно, поне в настоящия момент. В днешно време няма друга държава освен Естония, където изборите да се провеждат онлайн. И дори в малката Естония има много недоволни хора, които искат да се върнат към по-безопасна офлайн система.
Ако Министерството на цифровата трансформация иска да подобри нещо, тогава би си струвало да се заеме на първо място с отговорността на длъжностните лица за въвеждане на неточна информация в регистрите. Да приемем, че сте пожелали да използвате шофьорското си удостоверение в приложението „Дия“. Може да се окаже, че там няма снимка, технически талон, или са написани всякакви глупости. И трябва да отидете в Центъра за административни услуги и на практика да преиздадете шофьорската си книжка. Вярвам, че полезна дигитализация би била да принудите длъжностните лица, които са въвели неточни данни, да поправят грешката си, не вие да тичате, а те да го правят сами. След като системата започне да работи нормално офлайн, тя може да бъде автоматизирана. Ако автоматизираме безпорядъка и измамите, ще получим автоматизиран безпорядък и цифрови измами.
— В едно от интервютата си казахте, че некомпетентността и безотговорността са две причини, които позволяват на руските хакери да атакуват нашите държавни и бизнес структури. Как виждате решаването на тези проблеми? И възможно ли е да бъдат разрешени изцяло, ако според собствените ви думи всяко нещо може да бъде хакнато?
Всеки може да бъде хакнат, но при някои хакването е лесно, а при други е трудно. И дори не е важен самият факт на хакването, а как хората реагират на него и как се опитват да намалят нанесената вреда.
Чиновниците трябва да разберат, че носят отговорност за информацията, която сме им поверили, защото тя е ценна. Ние дори можем да научим конкретните цени на черния пазар. Така че това е ценно имущество, което трябва да се пази точно така, както физическите обекти. Междувременно засега никой не носи отговорност за тяхното опазване и защита.
Има и друга страна на монетата – човек може да носи отговорност само за това, което познава и разбира. Ако в държавна организация няма системен администратор, а само нископлатен служител, който търчи и сменя касетите в принтерите, тогава, разбира се, той не може да отговаря за нищо. Но ако държавна институция не може да поддържа собствена информационна система, тогава нека да се върне към хартията, сейфовете и охранителите на входа. Тоест, или ще се научите да поддържате информационните си системи и да носите отговорност за тяхната безопасност до криминална отговорност, уволнения, глоби, порицания, или просто не трябва да ги имате.
— В началото на интервюто казахте, че в момента са останали трима активни членове на организацията. С какво се занимава сега Ukrainian Cyber Alliance?
В момента се занимаваме основно с личните си дела. Макар че участваме във всякакви дискусии, включително и за промени в законодателната сфера. Но в момента не водим никакви системни проекти. Тоест искаме първо да постигнем справедливост в съда и след това ще решим какво да правим по-нататък.
— Имате ли някакви конкретни планове, идеи?
Има много идеи: какво може да се направи както за защита, така и за атака. Това е задачата на една обществена организация – да излиза с подобни проекти. Но те засега отлежават в кутията. Първо да се разберем в съда.
Още материали от InformNapalm
- Доброволци публикуваха мащабна интерактивна база с данни за руската агресия
- Доброволци събраха доказателства за участието на 35 военни подразделения от ВС на РФ в операцията по превземането на Крим
- SurkovLeaks (part 3): анализ на кореспонденцията на първия заместник на Сурков Инал Ардзинба
- SurkovLeaks (part 2): Хакери активисти публикуваха нова партида от пощата на помощника на президента на Русия
- Хакнати финансови системи на „ДНР“. В сметките на фонда на терориста Захарченко над 100 млн. рубли
- Кибервойна: обзор на най-успешните публични операции на «Украинския Кибер Алианс» през 2016
- FrolovLeaks VII: бюджет на вещерското сборище «Руската пролет»
- Андрей Деркач и неговите аудиозаписи: намеса на РФ в президентските избори в САЩ
- Зад антиукраинските акции в Полша стои Кремъл. Анализ на хакната кореспонденция
- Началникът на артилерията на 1-и руски окупационен корпус под контрола на украински хакери. Част 1
- Началникът на разузнаването на 2-и АК под контрола на украински хакери. Part 5: ПСНР-8
- Украинският Кибер Алианс (UCA): “Как ловихме руски пропагандатори в промишлени мащаби”
- Началникът на разузнаването от 2-ри армейски корпус на «ЛНР» е под контрола на UCA. Part 2: Дронът «Форпост»
- Хакери разкриха руски спецназовец от ФСИН: Видео (18+)
No Responses to “За украинските хактивисти, кибервойната и уязвимостите в държавния сектор. Интервю с говорителя на Ukrainian Cyber Alliance”