Aktivister har samlat resultaten från en flashmobb som identifierar säkerhetsbrister Ukrainas statliga IT-system. Sean Brian Townsend, en oberoende forskare inom informations- och datasäkerhet, medlem och språkrör för Ukrainas Cyberallians, talar om resultaten från flashmobben #FuckResponsibleDisclosure. Materialet är varken modererat eller redigerat av InformNapalm och representerar helt och hållet författarens personliga ståndpunkt.

Hur svårt är det att kapa Ukraina och hur har den ukrainska cyberalliansen testat statliga IT-system? Cybersäkerhet har blivit mindre populär i Ukraina än kampen mot korruption. Ukrainas cyberallians och oberoende forskare har letat efter sårbara system inom den offentliga sektorn i flera veckor. Är det möjligt att “hacka” en webbplats med hjälp av Google? Finns det ryska hackare eller är det bara fantasier? Hur svarar tjänstemän på sårbarhetsrapporter? Vad gör de brottsbekämpande myndigheterna?

Är det svårt att kapa Ukraina? Hur UCA har testat statliga IT-system

Jag har två nyheter, en bra och en dålig. Den goda nyheten är att på grund av insatser från den ukrainska cyberalliansen och volontärer har många säkerhetsbrister i statliga IT-system åtgärdats. Inklusive inom kritisk infrastruktur och militär. Den dåliga är att vårt lands IT-system är fortfarande inte skyddat. De mest utsatta organisationerna är polisen, försvarskommissionen, vattenverk. Och detta trots att ett krig pågår för fjärde året i följd. Ukraina har blivit utsatt för hundratals riktade och skadliga cyberattacker.

Vi konfronteras ständigt med ryska hackare och myndigheter som blir offer för cyberattacker. I december 2016, efter att ha läst hackad korrespondens som tillhör pro-ryska hackare, fann vi att postservrarna som tillhör det ukrainska inrikesdepartementet hade äventyrats. Vi informerade omedelbart inrikesdepartementet, cyberpolisen och SBU-säkerhetstjänsten. Eftersom vi är engagerade i detsamma i Ryssland och i de ockuperade områdena, är detta inte förvånande för oss. Vi är inte vittnen till en cyberapokalyps och vi vet att med tillräckligt med pengar, tid och lite tur är det möjligt att genomföra dataintrång.

Bristen på reaktion förvånande

Inrikesministeriet ansåg klart att detta var en slump och att fler sådana attacker inte kan hända igen. Sådana reaktioner konfronteras vi med ofta, och de är värst av de bedrövligaste. För att visa sårbarheter måste vi ofta visa hackade interna dokument, eftersom tjänstemän försöker förneka obehörig tillgång till sina system. Vid en e-postserver kunde vi få en bekräftelse av underrättelsetjänsten SBU tack vare en journalist på InternetUA.

Den första ursäkten var att detta inte är ett “hemligt dokument”. Ukrainas Cyberallians är inte intresserade av några hemligheter, inte heller att spela en kvällssång på ventilerna i vattenverket i Rivne eller Kirovograd. Vi är bara intresserade av möjligheten, eller inte, att få tillgång till vad som finns där inne, från utsidan.

Jag har tidigare berättat om en historia om hur vi hackade Länsstyrelsen i Orenburg, Ryssland. Det hela började med en lösenordsläcka från distriktets veterinärklinik och slutade i ett fullständigt dataintrång in det regionala datacentret. Detta inkluderade alla avdelningar, alla e-postmeddelanden, allt pappersarbete, inklusive organisationens kommunikationer, statliga telegram och även FSB-skivan. Jag bryr mig inte om status för dokumenten. Med lite ansträngning kan du gå vidare till det interna nätverket och få mer betydande resurser.

Ändå var det mycket svårt att förklara för det ukrainska statliga företaget EnergoAtom och Khersons regionala råd, som hade lämnat några av sina resurser offentligt på webben. Det var inte nödvändigt att hacka, utan bara hitta enheten med den offentliga disken. Det fanns fyra sådana dataenheter på EnergoAtom. Jag kan förstå bekymren för presstjänsten vid de ukrainska kärnkraftverken. Bara en ledtråd om att en hackare kan krypa omkring i nätverket skapar oro och panik. Men faktum kvarstår. Det spelar ingen roll om det gäller ett företag, en avdelning inom ett företag, om dokumenten är hemliga eller inte. Inte heller spelar det någon roll om dokumenten flyttas inom organisationen i ett lokalt nätverk eller på en flash-enhet tack vare en oaktsam anställd. Ett läckage är ett läckage!

I det här fallet använde vi ingen “hacknings-metod” eftersom det ibland är tillräckligt att göra en Google-sökning. När vi hade tillgång till det lokala nätverket via USB, eller direkt, öppnades en direktanslutning till LAN. Då kunde vi få tillgång till alla nätverk. På samma sätt har vi redan tillgång till det tekniska systemet på ett ryskt kraftverk.

En läcka är en läcka

På samma sätt lyckades ryska hackare tillfälligt stänga av de ukrainska el-leverantörerna PrikarpatOblenergo och Severnaya 2015 och 2016. Problemet är att det inte behövdes några dataintrång för att komma åt Rivne och Kirovograd vattenkraft. De var offentligt tillgängliga, med konsumentlistor, IP-adresser, användarnamn och lösenord, VPN-nycklar och allt som behövs för att planera ett litet terrordåd.

Jag kan dock lugna samtliga lite. Dessa fall intresserade snabbt den ukrainska säkerhetstjänsten SBU. Men KievEnergoremont och Statens Finanskommission anser att allt är okej. Listan över resurser som vi har hittat online eller vad andra hackare kan ha hittat är deprimerande. Här finns bl.a. Polisakademin med tillgång till lösenord, intranät, spår av flera hackningar, tjänstemän. Den Nationella Presstjänsten, dess server i Kiev-regionen med dokument, användarnamn och lösenord, plus tillgång till det interna nätverket. Kirovograd Vodokanal med tillgång till kritisk infrastruktur. EnergoAtom, KievEnergoremont, Ukrainas Kriminaltekniska Laboratorium, Inrikesministeriet inklusive specialenheterna, Kirovograds Arbetsförmedling och Nikopol Pensionsfond m.fl.

Många kan helt enkelt inte förstå att all information kan ha ett värde. Militärrekryteringskontoret i Lviv hade lagt upp en lista med över femton tusen personer. Enligt rekryteringskontoret ansågs de vara värnpliktsvägrare eftersom de inte hade nåtts på den folkbokförda adressen. Kontoret lade upp informationen själva, inte på en öppen disk eller FTP, utan på Facebook. Det innebär att förståelsen för lagen om skyddade personuppgifter är helt frånvarande.

Dessutom hittade vi ett regionalt rekryteringskontor i trans-Karpaterna med databaser som innehöll rekryter, order, korrespondens med den regionala förvaltningen och försvarsministeriet, planer, listor, vem i vilken del som tjänstgör. Med andra ord hittade vi allt! Detta kan förmodligen vara ett fall för den militära åklagarmyndigheten (istället för “åh, ursäkta!”) eftersom det här är känslig information, inte bara någon form av “personuppgifter”.

Det betyder att ryska hackare inte ens skulle behöva göra något annat än bara komma och få. Följande två exempel är Chernihiv och Donetsk Länsstyrelse. I Chernihiv var disken öppen. Efter våra inlägg stängdes de, men en av våra volontärer fann omedelbart en sårbarhet på webbplatsen, vilket gjorde det möjligt att hacka och få tillgång till antagligen stängda diskar. Enligt reglerna måste offentliga webbtjänster vara helt separerade från det lokala nätverket. Men tydligen gäller dessa regler inte för tjänstemän. Med Donetsk-administrationen var allting ännu mer intressant. Samma volontär hittade en WSO2 kontrollmanager (webbskydd) som installerats av andra hackare.

Med andra ord, inte bara sajten var hackad. Hackarna hade också fått administratörsbehörigheter på servern, stal alla lösenord och kröp längre in i det lokala nätverket. Låt mig påminna om att detta inte bara är en länsstyrelse, utan en myndighet för samhällsskydd och beredskap som ligger i ATO-zonen. Hackade sig in gjorde också Samara-hackare, och om någon har glömt, är det en stad i Ryssland, som i detta ögonblick för ett krig mot oss. Även efter att anmälan om dataöverträdelsen hade gjorts lämnades webbplatsen kvar i en vecka. Därefter bestämde administratörerna att “ta ut tummen ur örat”, eller kanske hackarna såg vårt meddelande och rensade servern på något sätt, men allting installerades igen. Länsstyrelsens presstjänst talade om “tillfälliga tekniska störningar”. När ryska hackare i ATO-området kryper runt i Länsstyrelsens nätverk är det inte fråga om någon “tillfällig teknisk störning”. Det är en fråga om spionage från ett inkräktarland.

Även om systemadministratörerna har installerat servern igen, räcker det inte. Ryssarna kan få fotfäste i andra enheter på nätverket. Att stänga åtkomsten och till och med ominstallera det komprometterade systemet är bara en början. Nu måste hela nätverket ses över. För de som har glömt, kommer jag att påminna om hur abchaziska ANNA News och Folkmilisen i Pseudo-republiken Luhansk påverkades när systemadministratörer skulle uppdatera programvaran till de senaste versionerna efter vårt dataintrång. De försökte skydda de hackade återställda servrarna och sedan kom vi tillbaka med hjälp av smarta dolda bokmärken och hackade dem igen. Efter den fjärde hackningen stängde Folkmilisen webbplatsen och sedan dess är den nere. Terroristernas värdefulla information blev stulen för ett år sedan och har överlämnats till Myrotvoretscentret.

Vart CERT tog vägen

Och hur har staten svarat på det här? Nästan inte alls. Ja, säkerhetsluckorna är stängda, i vissa fall utför säkerhetstjänsten (SBU) utredningar eller förebyggande arbete. Cyberpolisen, enligt Kiev polisen, erhöll till och med hjälp att återinstallera och “skydda” datorer. Tydligen fann polisen ingen som kunde konfigurera Windows för att inte dumpa allt via Internet. Men i allmänhet är polisen engagerad i sitt arbete när de avslöjar och förebygger brott. Men vem är engagerad i vår säkerhet? Inte någon. Enligt reglerna för de händelser som hade inträffat skulle organisationen själv rapportera detta internt, därefter till Kommunikationsstyrelsen. De skulle ha berättat allt och göra rekommendationer. Jag vet inte vad de gör där, men ingenting har gjorts. Inga av de ovannämnda incidenterna och attackerna har inrapporterats.

Därför blev CERT-UA och Statens Kommunikationsstyrelse ett av de första offren för vår flashmobb. Och de är inaktiva inte bara i det här fallet, men också i alla andra. Alla gillar att prata om ryska hackare, vilka fruktansvärda hot de är, om den kommande cyberapokalypsen och behovet av att öka utvecklingen av informationssäkerhet. Samma språkliga knep från syndabockar. Efter tiotals cyberattacker mot Ukraina finns det ingen enda rapport om händelserna. Ja, vi kan skriva till professionella experter från Amerika och Cisco Talos som läser loggar och skriver rapporter med tekniska detaljer om utpressningsprogrammet, NotPetya. Vi kan också översätta rapporter från Microsoft och ESET, men vem arrangerade attackerna? Till vilket syfte. Vad behöver göras för att förhindra att detta händer i framtiden? Hur var de möjliga att genomföra? Tystnad.

När en granskning sker skriftligen på papper, enligt vad som avses i lag 2126a om säkerhet på Internet, tillhandahålls dokumenterat skydd. För att möjliggöra ett privat / offentligt partnerskap behövs en partner, men det finns ingen. Vi rapporterar ett säkerhetsgap som är stort som ett hus och får samma svar: Inget har hänt, inte med oss, på vår underavdelning, allting är bra med oss, inga dåliga konsekvenser, dåliga konsekvenser, vi tar det förnuftigt och gör ett pressmeddelande. Vilka andra konsekvenser behövs efter detta och allt annat? Alla samtidigt, och ingen verkar ansvara för Ukrainas säkerhet.

Nödsituationsministeriet har öppet åtkomstsystem för avdelningen för kabelhanteringssystemet. Händer det aldrig att kommunikationsbrunnar bränns? Det brinner ganska regelbundet i Kiev. Mobiloperatör Kyivstar lägger ut sitt mobila nätverk, men till sin stora fördel är säkerhetsavdelningens svarstid för Facebook mindre än två minuter. För att uppnå sådana indikatorer måste den offentliga sektorn växa och växa, eftersom den genomsnittliga svarstiden är en dag och mer.

Hälsovårdsministeriets har också haft en säkerhetslucka på sin webbplats. En gång i tiden gjorde CERT en säkerhetskontroll av offentliga platser. Och så på listan, webbplatsen NIEKTS (rättsmedicinska laboratoriet) som har markerats hackad. Sidan var i detta tillstånd i ett år tills vi berättade det på TV. Vid denna tidpunkt kom en representant till mig och personligen försäkrade mig om att de var mycket försiktiga med säkerheten. Det låter bra, om inget annat.

I sina svarsbrev är representanter för alla organisationer vänliga och artiga, och ibland även i deras kommentarer där de uttrycker tacksamhet för de identifierade sårbarheterna. Biträdande chef för Länsstyrelsen i Kherson skrev även ett inlägg på Facebook. Och vad säger jag till gengäld? Tack, det är trevligt att vi att vi täppt säkerhetshålet, inte bara trevligt utan också bra. Men i grund och botten behöver vi inte ditt tack och du måste kvalitativt göra sitt jobb.

Till exempel, när vi hackade Astrakhan-regionen, skrek Länsstyrelsens presstalesman i NTV: “Vi ska avskeda alla”! Nu måste vi börja korrigera fel, inte vänta på “konsekvenser”. Och det här är omöjligt att göra utan offentlig diskussion. Våra webbplatser är fyllda med “nyheter” om konferenser, möten, lagstiftningsinitiativ och annan smörja, men inget om våra misstag och hur vi fixar dem. Vi behöver inte låtsas vara osårbara, alla kan hackas. Men genom att arbeta på misstaget visar vi att vi bryr oss om framsteg i vår organisation. Och fungerar som varning för alla andra. Annars kommer inget att förändras.

Om straff av oskyldiga och belöning för icke-involverade

Inga frivilliga, hackare, modespecialister, löneökningar och strikta påföljder i sig hjälper inte. Många har drabbats, Zaporizhstal stålverk, en livsmedelskedja, ett kommunalt företag i Kiev lade upp viktiga lösenord i en BANK-mapp tillsammans med sina räkningar. Grunden för informationsattackerna mot EnergoAtom som utfördes av CyberBerkut-gruppen var stulna dokument från det ryska miljödepartementet, något vi hittade via Facebook. Och detta för att EnergoAtom försökte dölja händelsen.Varför håller det ryska miljöministeriet tyst? Många tror förmodligen att det inte finns något intressant där. Jag kan försäkra alla om att läsningen av rapporterna från kommissionen för kärntekniska anläggningar var så intressant att när jag nämnde det i kommentarer hoppade kärnindustrins presstjänst nästan högt upp i taket (om det nu hade varit möjligt på Facebook). Förresten är vår kärnsäkerhet säker, mindre händelser inträffar men utan konsekvenser.

I det ukrainska segmentet på Internet är det enkelt att hämta användbar information. En notarius publicus trampade i klaveret med alla lösenord som öppnar åtkomst till registret. I augusti 2017 hände något med webbplatsen som hör till de externa underrättelsetjänsterna som använder WordPress (Google kommer ihåg allt). Taxitjänsten laddar upp online-jourlistor. Ändlösa avregistreringar, ursäkter bl.a. på Facebook, att lägga ansvaret på andra skyddar inte.

Dussintals “cyber-centra” är engagerade i ett oändligt tjatter, medan mer från budgeten går i okänd riktning. Det skrivs tonvis med instruktioner och regler i händelse av en undervattensstrid med utomjordingar, medan ryska hackare tyst kan kravla omkring i ukrainska nätverk, både civila och militära, och i kritiska infrastrukturnätverk. Så hur ska datasäkerhet hanteras? Förenkla, komplicera inte lagar och förordningar, avskaffa värdelösa institutioner, stäng oanvändbara platser som ingen besöker. Det är lättare att göra en katalog över distriktsförvaltningar än att ha hundratals skräpssidor. Avskeda värdelösa anställda som misslyckas inte bara med att utföra sitt arbete, utan praktiskt taget är engagerade i sabotage.

Att börja med det mest elementära

Vi tar bort öppna SMB och FTP-servrar från nätverk, separerar offentliga tjänster från interna nätverk, med vanliga lösenord och tvåfaktorsautentisering. Vi klickar inte på slumpmässiga länkar. Och viktigast av allt, om något händer, så är följande ärligt sagt, informera Statens Kommunikationsstyrelse. Försök att ta reda på exakt vad som hände, hur och vem kan dra nytta av händelsen. Försöker du gömma sanningen skadar du dig själv och vårt land. I händelse av en fullskalig cyberattack kommer ursäkter, pappersarbete och administrativ pingpong inte att hjälpa. Självklart kommer vi inte att dö, men vi måste räkna med att få läsa våra räkningar under ett ljus. Och tro inte att alla runt om är idioter. Du har de mest kompetenta administratörer, utmärkta policyer och allt är bra. När allt kommer omkring kan alla bli offer för dataintrång. Det handlar bara om tid, pengar och motivation.