Den 4 februari 2021 publicerades en intressant intervju med talaren för Ukrainas Cyberallians (UCA) Andrij Baranovitj på webbplatsen DOU. Vi publicerar denna intervju för läsarna på webbplatsen för det internationella informationskollektivet InformNapalm, som på ett visst historiskt stadium också spelade en viktig roll för att förena olika grupper av ukrainska hacktivister till ett effektivt UCA-team.
Flera publikationer på vår webbplats kom ut tack vare samarbetet mellan InformNapalms OSINT-utredare och UCA-hacktivister och andra separata grupper av ukrainska IT-specialister. För exakt 4 år sedan, i början av februari 2017, släpptes också vår korta dokumentär “Cyberkrig – En översikt över framgångsrika UCA-operationer 2016”, vilken kan tjäna som komplement till denna intervju.
Om Ukrainas Cyberallians
Ukrainas Cyberallians är en grupp ukrainska hacktivister som uppstod 2016 efter sammanslagningen av flera hackargrupper. Enligt pressekreteraren för Ukrainas Cyberallians Andrij Baranovitj var deras huvudsakliga mål att få information om Ryssland och dess deltagande i kriget. Senare lanserade Ukrainas Cyberallians också flashmoben #FuckResponsibleDisclosure i syfte att bedöma säkerheten för Ukrainas statliga resurser. I en intervju med DOU berättade Andrij Baranovitj om UCA:s verksamhet, individuella åtgärder, cyberkrig och SBU-eftersökningar av organisationens medlemmar. Han delade också sin åsikt om Diya-applikationen, online-val och internetsäkerhet i Ukraina.
– Den första frågan är allmän. Vem är hackare?
Först och främst ser jag mig själv inte som en hackare utan som en specialist inom nätverk, programvara och säkerhet. Jag började med offentliga hackningsaktivistaktiviteter först efter krigets utbrott. Mina kollegor och jag bestämde oss för att detta var ett nytt sätt att tillämpa vår kunskap på.
När allt kommer omkring, om du vet hur du skyddar system, vet du hur du ska attackera dem. Det vill säga, till skillnad från svarta hackare som gör detta för pengar, och vita hackare som gör det bara av nyfikenhet, för att förstå hur tekniken fungerar, anser vi oss vara hacktivister, eftersom vi använder informationen vi hämtar för militära och politiska ändamål.
– Jag kommer att citera dina intervjuer så att du kan kommentera dem. I en intervju säger du att “På de svarta plattformarna undertrycker administrationen politik. Egenintresse ligger över de nationella”. Gäller detta för den ukrainska hackargemenskapen i allmänhet?
Citatet avser uteslutande svarta hackare som hackar för att tjäna pengar. Som informationssäkerhetsspecialist har jag också tillgång till privata hackerforum. Eftersom vi bland annat samlar in data om hur svarta hackare fungerar, observerar dem i deras naturliga livsmiljö, studerar deras regler, lär oss om nya saker. Och naturligtvis är politik inte välkommen där, för det skadar verksamheten kraftigt. Svarta hackare kan också ses som affärsmän, även om de är engagerade i olagliga aktiviteter. Därför försöker de att inte diskutera politik. Internetbrott har ingen nationalitet.
– Du har börjat prata om skapandet av Ukrainas Cyberallians. Kan du berätta mer detaljerat hur den bildades?
Först hade vi en separat grupp som hette RUH8. Mina kollegor och jag genomförde flera åtgärder, inklusive hackning av den ryska statsduman, federationsrådet och de regionala myndigheterna i Astrakhan och Orenburg. Vårt samarbete med andra hackargrupper förbättrades tack vare InformNapalms webbplats, där vi alla lämnade information för bearbetning och publicering. Så i juni 2016 bildades Ukrainas Cyberallians i sin helhet av grupperna RUH8, FalconsFlame, Trinity och CyberHunta. Alla hade olika färdigheter, olika specialiseringar och tack vare det kompletterade vi varandra. På det sättet fortsatte vi att arbeta fram till 2019, och sedan i februari 2020 kom cyberpolisen och Ukrainas säkerhetstjänst till oss med helt löjliga anklagelser.
– Vi kommer tillbaka till detta ämne. Först vill jag veta om organisationen i allmänhet. Hur många medlemmar finns det? Vem är de, bor de i Ukraina, eller finns det utlänningar som också deltar i aktiviteterna?
För närvarande existerar praktiskt taget inte Ukrainas Cyberallians som ett brett kollektiv. För ett år sedan registrerade mina kollegor och jag vår organisation officiellt hos justitieministeriet, så nu finns det en icke-statlig organisation som heter Ukrainas Cyberallians. Vi planerade att arbeta med säkerhet, inklusive ukrainska system, eftersom krig inte bara består av attacker utan också av försvar. Dessa frågor diskuterades med representanter för myndigheterna, inklusive i Ukrainas nationella säkerhetsråd hösten 2019. Men då slutade någon att tycka om det hela. Så nu har vi en icke-statlig organisation, som består av tre grundare.
– Hur var situationen fram till förra året?
Jag kommer inte att nämna det exakta antalet deltagare, men det var inte så många, plus minus 10 personer. Vi accepterade inte och accepterar inget utländskt bistånd. Jag ville aldrig ta reda på vem de andra medlemmarna var. Vissa känner jag mer, andra mindre. Dessa är främst tekniska specialister. I allmänhet ställs sådana frågor vanligtvis inte. Ju mindre du vet, desto bättre sover du.
Teamet inkluderade specialister från Ukraina. Och våra mål var uteslutande i Ryssland och i de territorier som Ryssland ockuperade. Vi har alltid upprepat att vårt mål uteslutande var att få information om Ryssland, dess deltagande i kriget och det militära och politiska ledarskapet. Inget annat har någonsin intresserat oss.
Vi är helt enkelt inte uppmärksamma på hot
– Du är pressekreterare för Ukrainas Cyberallians. Blev du vald eller ville du själv kommunicera med pressen på uppdrag av Ukrainas Cyberallians?
Jag har alltid förstått att om vi vill att vår information ska aktuella händelser, måste vi prata om dem i detalj, kommunicera med människor. Allt började med att tidningen Fokus bad om en intervju. Och jag övertygade mina kollegor att intervjun borde ges så att människor förstod vem vi är, vad vi gör, så att de inte såg oss som ett hot och inte förväxlade oss med svarta hackare.
– Kommunicerar du ofta med journalister?
Tillräckligt ofta. Jag ger kommentarer till många media som säkerhetsexpert eller skriver kolumner om aktuella händelser.
– Vilka kommunikationsmedel använder du vanligtvis för att rapportera resultatet av dina handlingar?
Medan vi fokuserade på vårt huvudprojekt riktat mot Ryssland var vår plattform InformNapalm. Vi bearbetade information med dem. Dessutom skrev vi artiklar där vi lade upp länkar till material så att alla kunde ladda ner dem och verifiera innehållet i våra publikationer.
– I olika intervjuer har du upprepade gånger betonat att du agerar inom ramen för gällande lagstiftning. Och ändå är ordet “hackare” för många associerat med begreppet “brottsling”. Hur fungerar detta i Ukrainas Cyberallians?
Naturligtvis bryter vi mot lagarna i Ryssland. Flera dussin utredningar har inletts mot oss av alla brottsbekämpande organ som polisen, FSB och utredningskommittén. Vi skäms absolut inte för detta och är inte rädda, eftersom det inte finns något samarbete inom brottsbekämpning mellan Ukraina och Ryssland. I de ockuperade områdena har Ukraina dragit sig tillbaka från sina skyldigheter att upprätthålla lag och ordning. Och Ryssland kan inte gå till Interpol, för dessa åtgärder har en politisk komponent.
I Ukraina bryter vi naturligtvis inte mot lagen. Även när vi lanserade kampanjen #FuckResponsibleDisclosure, vars syfte var att visa att ukrainska system var mycket utsatta för attacker från både Ryssland och kriminella hackare, använde vi icke-invasiva medel. Om vi hittar information som tillhör Ukraina i det offentliga området, så har detta inget att göra med hackning. Det kan vara där på grund av vårdslöshet. Således visar vi att vem som helst, bokstavligen, som använder Google, kan hitta hemliga dokument relaterade till vår armé, brottsbekämpning och så vidare.
– Du sa att du under åren av UCA:s existens har fått ständigt hot. Från vem och vilka typer av hot?
Naturligtvis gillar de vi hackar oss inte så mycket. Låt oss ta till exempel situationen med den ryska propagandisten Prokhanov. Jag tog över hans Facebook-sida, liksom hans utgåvor “The Day and Tomorrow”, och skrev några roliga texter å hans vägnar. Sedan, i nyhetsprogrammet Vesti, visade han mycket upprördhet över detta. Sedan kom hans son Andrei Fefelov med tomma hot. Vi tar också hela tiden emot alla slags otäcka saker från de ockuperade områdena. Vi tänker bara inte hoten.
Cyberkrig och Ukrainas Cyberallians
– Vilka av dina handlingar anser du vara mest framgångsrika?
Det är svårt att välja en specifik sak. Ibland kunde vi hitta information, till exempel från ryska federala säkerhetstjänsten, om säkerheten för kritisk infrastruktur. Därför var det inte lätt att hitta sådan information. De flesta omnämnandena i pressen fick vi genom aktionen SurkovLeaks. Det var när vi fick tillgång till inboxarna på kontoret som tillhör Vladislav Surkov, assistenten till Rysslands president. Spänningen steg eftersom åtgärden sammanföll med valet av USA:s president. Rykten uppstod omedelbart att det kan vara USA:s hämnd mot Ryssland för DNC-hackningen. Dessa rykten förnekades naturligtvis av den amerikanska underrättelsetjänsten, men sådan timing väckte stor uppmärksamhet.
Det finns operationer som är tekniskt mer intressanta.
– Programmerare kommer att läsa oss, så de är mest intresserade av den tekniska delen.
Ur teknisk synvinkel var regionen Orenburg ett intressant fall. Vi använde redan publicerade programbuggar. Det var “Heartbleed”, en minnesläcka. Vi skannade ett stort antal ryska webbplatser, bland vilka vi hittade en mindre webbplats som ligger i Orenburgs regionala myndighets datacenter, och dess serverminnesläckage gav oss åtkomst. Men länge kunde ingenting göras där, för de har både en IT-avdelning och en informationssäkerhetsavdelning med strikt kontroll från FSB. Men vid ett tillfälle gjorde systemadministratören ett misstag. Han monterade en nätverksdelning på en offentlig webbserver. Tillräckligt med information läckte därifrån för att ge oss tillgång till hela systemet och få fotfäste. Sedan övervakade vi alla delar av den regionala administrationen inklusive FSB.
Vi var även tvungna att avvisa några vilsna hackare som hade gått in i samma system för att inte förlora åtkomst till det. Och tillgången bibehölls under mycket lång tid, ungefär ett och ett halvt år. Under denna tid pumpades allt som kunde pumpas ut därifrån. Detta visar hur även mindre och kortvariga fel leder till långsiktiga konsekvenser. Och om en APT-grupp (avancerat beständigt hot) redan har gått in i systemet och etablerat sig i det, kommer dessa hackare att vara svåra att hitta, de kommer att få information i flera år. Ett liknande fall, den mest berömda historien, är leveranskedjeangreppet på SolarWinds, när ryska hackare distribuerade en bakdörr genom nätverksövervakningsprogram och behöll denna åtkomst i flera månader. De upptäcktes nästan av misstag.
– Vad är syftet med dina handlingar? Vad vill du uppnå?
Faktum är att ryska hackare känner sig hemma i ukrainska system. Informationssäkerhetsläget i vår offentliga sektor är skrämmande. Så det allra första budskapet som vi vill förmedla är att vad du än kan göra mot oss kan vi göra mot dig. Vi har tillräckligt många kompetenta specialister för detta. Det andra målet är att få information direkt om vem som fattar beslut. Särskilt i militära frågor, hur beslut fattas, vad de tänker i Rysslands presidentadministration, vad är deras ställning när det förhandlingarna i Minsk. Jag menar inte vad de säger offentligt, utan vad de diskuterar med varandra. Jag tror att detta är värdefull information som det skulle vara svårt eller mycket dyrt att få på något annat sätt.
– I en av intervjuerna nämnde du också att cyberkrig är det billigaste kriget. Men hur effektivt är det? Tror du att det kan lösa problemet med klassiskt krig?
Om vi inte pratar om kriget som helhet utan bara om dess del, till exempel om cyberspionage, är det mycket billigare än traditionellt spionage. En vanlig idé i all litteratur om detta ämne har blivit ett uttryck som redan känns utgånget, att nu cyber är det femte slagfältet, tillsammans med land, hav, luft och rymd. Naturligtvis vinns inte krig med hjälp av en dator ännu, vi är inte så långt i framtiden. Men detta är en viktig komponent som kompletterar andra militära grenar. Det finns inga officiella läror om detta i Ukraina. Området förbättras inte vare sig när det gäller försvar eller angrepp. Det finns naturligtvis många statliga cybercentra, inklusive cybercentret för säkerhetstjänsten i Ukraina, cybercentret för statens specialkommunikationstjänst, cybercentret för försvarsministeriet, men hittills har ingen betydande framgång setts från deras sida.
– Du har vissa principer. Du sa till exempel att du inte stör Rysslands kritiska infrastruktur, “för det skulle i grunden vara en internationell terroristhandling”. Vilka andra liknande principer har Ukrainas Cyberallians?
När vi aktivt samlade in information om Ryssland var vi främst intresserade av militära och politiska mål. Till exempel lyckades vi 2015 få tillgång till information från hundra tusen ryska mobiltelefoner. Vi försökte bläddra igenom arkiven, till exempel för SMS-korrespondens, men hittade inget som förtjänar uppmärksamhet. Därför var det ingen mening att slösa tid på vanliga medborgare, särskilt eftersom vårt team inte är så stort.
I Ryssland är säkerheten något bättre än i Ukraina. Mer pengar, fler specialister, men ändå kan jag inte säga att det är så bra. Naturligtvis kan vi också komma in i Rysslands infrastruktur, hacka något där, orsaka allvarliga skador, men jag tror att det fortfarande är tillrådligt att avstå från sådana handlingar och inte glida in i terrorism.
År 2015 störde Ryssland verksamheten i ukrainska kraftsystem i Kyiv och Karpaterna. Detta är ett exempel på internationell terrorism och jag blev mycket förvånad över den ukrainska regeringens milda reaktion på dessa händelser. I utlandet diskuteras attacker mot våra kraftverk mycket mer än i Ukraina. Av någon anledning sa vårt utrikesministerium inte att Ryssland i grunden gick över till terroristmetoder, vilket skulle vara ett ytterligare steg mot att Ryssland skulle betraktas som en skurkstat, som Iran eller Nordkorea. Undersökningen genomfördes inte ordentligt. Det är inte klart hur de kom in i kraftverkssystemet, vad de försökte uppnå, om det var en testkörning, en olycka eller om det kommer att bli en systematisk aktivitet från deras sida.
Ukrainas Cyberallians och #FuckResponsibleDisclosure
– Hur bytte du från det första projektet riktat utåt till ett inhemskt för att skydda ukrainska statliga strukturer?
Allt detta skedde parallellt. När lagen om grunden för att säkerställa cybersäkerheten i Ukraina antogs uppstod många diskussioner på Facebook. Många regeringstjänstemän sade: “Ser du! Och du sa att ingenting förändras. Titta på den underbara lagen vi har antagit. Nu äntligen kommer allt att vara okej”. Målet med kampanjen #FuckResponsibleDisclosure var att visa att inga lagar i sig fixar något eller påverkar något. För att illustrera denna punkt pekade vi på flera utsatta statliga informationssystem. Och sedan gjorde vi sökandet efter dessa sårbarheter till ett dedikerat projekt.
Som sagt var det aldrig något dataintrång. Som jämförelse kan vi nämna en situation där vi till exempel går på gatan runt huset och märker att det finns en nyckel under en matta. Eller en plånbok på vägen. Du går upp och pekar på föremålet: “Du har en nyckel under mattan”, eller “din plånbok föll ut”. Men varken nyckeln eller plånboken lyfts eller används. Samma sak med en sårbarhet. Vi hittade det, vi vet hur det kan användas, vad det kan leda till. Vi visar bara att det finns en lucka här.
– Hur utvärderar du expertisen hos IT-specialister som arbetar för statliga strukturer?
I Ukraina finns det cirka hundra tusen olika organisationer och statliga företag. Den offentliga sektorn är enorm. På vissa ställen finns det anständiga specialister som tillämpar sin kunskap ordentligt. Men det är väldigt få av dem. Det är absolut omöjligt att förse varje institution med minst en systemadministratör. Det finns cirka 200 tusen IT-specialister i hela Ukraina. Så även om de alla gick till jobbet i den offentliga sektorn, skulle det fortfarande inte finnas tillräckligt många människor.
När vi lanserade #FuckResponsibleDisclosure för tre år sedan, inom ett par månader, hittade vi hål i åtminstone hälften av ministerierna, presidentens administration, många grenar av regeringen, inklusive datorberedskapen vid statens särskilda kommunikationstjänst. De lämnade ett helt enkelt lösenordet en av brevlådorna på sin webbplats. Och till exempel lämnade Akademin för inrikesministeriet en öppen, lösenordsfri delad enhet på Internet med databasen över all personal, både de som studerar och de som är utbildade. Det var detsamma med polisen i Kyiv.
Naturligtvis stör vi inte där. Och om det finns någon information som kan hjälpa en skadlig hackare att bända upp det här hålet öppet och bryta in, publicerar vi det inte. Även om det enda som ofta påverkar tjänstemän är när vi skämmer dem offentligt. På detta sätt har de flesta ofrivilliga säkerhetshålen täppts till. Många har försökt agera på ett annat sätt och direkt varnat administratörer och ledning om befintliga hål. Till exempel skickade Zjenja Dokukin (grundare av Ukrainas Cybertrupper) ut flera hundra likartade varningar. I 99% av fallen svarade tjänstemännen inte på varningarna.
Målet med kampanjen #FuckResponsibleDisclosure var inte att täppa igen alla säkerhetshål, eftersom det inte är bara möjligt genom frivilliga insatser. Syftet var att visa att informationssäkerhetsläget i Ukraina är i ett otillfredsställande, otillräckligt tillstånd. Inga enskilda lagar eller förordningar från ministerrådet kan leda till systemförändringar. Det är nödvändigt att ompröva själva metoden, annars kommer hackarna att fortsätta. Vi kommer alla ihåg NotPetya, som orsakade skador uppgående till 10 miljarder dollar i skada. Koden orsakade många läckor från inrikesministeriet, SBU, hackning av stora företag som Antonov, de tidigare nämnda blackouterna i Kyiv och Karpaterna. Om inget görs för att uppmärksamma problemen kan konsekvenserna bli katastrofala.
– När du rapporterade säkerhetsluckor, kollade du efter en tid för att se om du hade övertygat de ansvariga?
Det varierade. Låt mig ge dig ett exempel. Det fanns offentligt tillgänglig vattenförsörjningsutrustning, inklusive fjärrkontroll av mekanik, någon form av spjäll, pluggar… Jag kan inte tillräckligt mycket om vattenförsörjning, men jag förstår att detta var en direkt möjlighet att komma åt utrustning, inloggningar, lösenord på distans och göra något. Vi larmade tjänstemän från Ukrainas säkerhetstjänst som vi kände. När allt kommer omkring var detta ett omedelbart hot. Som ett resultat av en attack kunde flera områden lämnas utan vatten. SBU försökte fixa detta, data försvann från öppen åtkomst, men vattenverket visade sig ha en så listig ledning att den lyckades skicka SBU år fanders med sina krav.
– Det är vanligt i vårt land idag att mer skrivs om negativa saker. Jag undrar om det någonsin har hänt att du har upptäckt välskyddade system eller mött ett adekvat svar från tjänstemän?
Ja, inte så ofta, men vi har mött lugn professionell reaktion från tjänstemän, när de snabbt fixade sårbarheter, skrev om det, tackade offentligt. De handlade som de borde ha gjort. Ändå vill jag notera att om tjänstemän reagerar, kan detta inte jämföras med hur företag, särskilt stora, reagerar.
När exempelvis informationen från en mobiloperatör blev allmänt tillgänglig var svarstiden på säkerhetsincidensen 30 sekunder. Det vill säga vi publicerade omslaget till dokumentet (det fanns inget hemligt i själva omslaget), och en halv minut senare skrev en säkerhetsingenjör till oss och bad artigt om alla detaljer. Inom 24 timmar genomförde de sin egen interna utredning, hittade orsaken till läckan och eliminerade den. Det var detsamma när spår efter ett dataintrång i den amerikanska kongressen hittades offentligt. Några okända hackare kröp in där, och en av våra volontärer hittade en mellanliggande server genom vilken informationen laddades ner. Återigen, bokstavligen några timmar senare, frågade amerikanerna redan om det här var all information eller om det fanns något annat som vi inte ville prata om offentligt.
Och i vårt land händer det tyvärr ofta att när vi upptäcker en sårbarhet, kommer organisationens chef eller pressekreterare och börjar hävda att detta inte är en sårbarhet. Att allt detta är oviktigt och lämnades av föregångarna. De börjar hota med att anmäla oss till polisen och Ukrainas säkerhetstjänst, visa all slags motstånd och gå igenom alla faser från förnekelse till acceptans. Av någon anledning är de säkra på att detta medvetet planerades mot dem personligen för att förnedra dem och undergräva dem.
Eftersökning och domstolar
– Hur interagerade Ukrainas Cyberallians med statliga myndigheter initialt?
Vi vidarebefordrade den information som vi ansåg vara viktig för militären eller specialtjänsterna. Det var inte någon form av formell interaktion, bara kommunikation genom välbekanta officerare som man kan lita på. För att hitta säkerhetsluckor i den offentliga sektorn dokumenterades huvuddelen av informationen med en beskrivning av sårbarheten och vad som kunde göras för att förbättra situationen.
Det diskuterades hur den statliga metoden för informationssäkerhet kan reformeras och kombineras med digitaliseringsplanerna för vice premiärministern Mykhailo Fedorov. Han talade också vid detta möte och pratade om sina planer. Efter det höll vi flera möten med tjänstemän och lyssnade på vad de sa. Vi bildade en liten grupp, diskuterade allt med varandra, inte bara inom Ukrainas Cyberallians utan också med många kända IT-specialister. Vi diskuterade en vision om hur det befintliga systemet kan ändras. Och det var det. Vi satt och pratade, sedan åkte vi hem.
– Och innan det, privat, kontaktade statliga myndigheter dig i några specifika frågor?
Nej, det gjorde de inte.
– Efter anklagelsen i februari 2020 och efterföljande rättsliga förfaranden har du nu avslutat ditt samarbete med myndigheterna? Berätta om kronologin för händelserna.
Låt oss börja med att ledningen av IT-enheter i både SBU och polisen förändrades hösten 2019 i Ukraina. Nya människor började arbeta och av någon anledning började dessa händelser utvecklas. I oktober 2019 laddade en okänd person upp en stötande bild av Greta Thunberg till en elektronisk display på Odesas flygplats. Alla skrattade och ryckte på axlarna. “Tja, det är precis vad som händer.” Några veckor före denna incident varnade en av våra volontärer, Andrij Perevezij, om att det fanns en säkerhetslucka i flygplatsens system.
Och i februari 2020 stormade SBU och polisen mitt hus tillsammans med den kraftigt beväpnade KORD-specialenheten med skyddsutrustning och ytterligare magasin för sina gevär. Kommer de att börja ett litet krig i mitt kök eller något, tänkte jag. Enligt myndigheterna hade vi tre, Andriy Perevezij och Alex Galusjtjenko (han arbetar nu på IT-avdelningen i säkerhetsrådet) gått sig in i systemet på Odesas internationella flygplats. Det här är naturligtvis helt löjliga anklagelser och naturligtvis ett konstigt fall.
Vi förblev inte tysta och anordnade en presskonferens nästa dag där vi meddelade att detta var ett politiskt tryck. Två domstolsförhandlingar ägde rum sedan på den konfiskerade egendomen. Vid den första rättegången motbevisade vårt försvar åklagarens ståndpunkt helt, men under en paus mellan två rättegångar samma dag gick domaren på sjukfrånvaro. Jag tror att de brottsbekämpande myndigheterna pressade honom att inte fatta ett rättvist beslut. Sedan ersattes domaren och den nya arresterade vår egendom som konfiskerades under processen. Det var datorer och hårddiskar.
Elva månader har gått sedan dess, utan framsteg. Vi har inte ens status. Vi är inte vittnen, inte anklagade, vi har inte fått någon officiell ersättning. Polisen undersöker nu ärendet och försöker förmodligen vinna tid. Personligen hoppas jag att vi med hjälp av våra underbara advokater inte bara kan uppnå rättvisa i domstol utan också straffa de ansvariga.
– I en intervju sa du att du ser situationen med Odesas flygplats som en ursäkt för att “göra husrannsakan, konfiskera utrustning och upptäcka något”. Vad tror du att de ville hitta?
Jag vet inte, kanske finns det material som de kan använda för att sätta press på oss eller tvinga oss att göra något. Men jag tror inte det eftersom allt blev offentligt omedelbart. Inga avtal kan göras under sådana förhållanden. Jag är helt övertygad om att om det inte fanns en flygplats i Odesa, skulle de ha använt en annan ursäkt för att genomföra razzian på samma sätt.
– Har du försökt undersöka situationen med flygplatsen själv?
Jag gjorde mig bekant med de tekniska detaljerna i filen. Jag tror att det inte blir lätt att hitta den verkliga gärningsmannen. Det är bäst att genomföra en säkerhetsrevision och skydda flygplatsens system. Det drivs av ett privat företag i Odesa, och jag tror att de kan göra det.
– Vid den ovannämnda konferensen avslöjade flera UCA-deltagare sin identitet, även om de tidigare hade varit anonyma. Ångrar du detta beslut? Hur har det påverkat dig?
Det gjorde det enklare. Dessutom var vår anonymitet symbolisk. Det var mer som en del av bilden, masker och balaklavor fick uppmärksamhet. Naturligtvis tror jag att både SBU och inrikesministeriet har vetat våra namn under lång tid. I praktiken var det ingen mening att fortsätta spela anonymt. Så vi gick till presskonferensen under våra riktiga namn: Jag, Artyom Karpinskij, Andrij Perevezij och Olexander Galusjtjenko. Vi hade också en jurist med oss för att ge juridiska kommentarer.
– Bör ukrainska hacktivister enligt din åsikt ha immunitet, dvs skydd mot straffrättsligt åtal? Eller kommer det att leda till underkastelse?
Först och främst tror jag att ingen ska ha immunitet mot straffrättsligt åtal. Att vara en “trevlig kille” är inte ett försvar. Men vårt system för brottsbekämpning är helt korrupt och förstört och jag ser det som ett problem. Om vi inte bryter mot ukrainska lagar förstår jag inte vilka frågor de kan ställa vare sig vi är hackare, bagare eller något annat.
– Vid samma presskonferens sa att om Ukrainas Cyberallians alltid hade kontaktat internationella institutioner direkt, skulle Ukraina för länge sedan ha förlorat viseringsfri inresa till Europa. Vad menade du exakt?
Så vitt jag kan minnas sa Andrij Perevezij detta. Som jag förstår det menade han att kärnkraftverk och flygplatser är en del av den kritiska infrastrukturen och Ukraina har vissa internationella skyldigheter när det gäller säkerheten för dessa anläggningar. För om ett civilt flygplan kraschar eller en olycka inträffar i ett kärnkraftverk är det inte bara Ukraina som påverkas. Om de internationella organisationer som är involverade i kontrollen av kärnenergi och flygsäkerhet (IAEA och ICAO) finge reda på hur låg skyddsnivån för dessa kritiska anläggningar är, skulle de ha många frågor till den ukrainska regeringen.
– I ett av dina inlägg skrev du att till skillnad från internet är mobilkommunikation i Ukraina inte säker. Berätta för oss om det.
Jag är faktiskt förvånad över att detta är något nytt. Ukrainas säkerhetstjänst har haft direkt tillgång till operatörernas telefonnät sedan början av 2000-talet, då telekommunikationslagen antogs. Detta är nödvändigt för “icke-offentliga utredningsaktiviteter” eller helt enkelt för att avlyssna. Brottsbekämpande myndigheter får upp till flera tusen order varje år för att genomföra juridisk avlyssning. Och eftersom de har direkt tillgång till operatörens system finns det naturligtvis mycket utrymme för missbruk. Det finns en svart marknad för tjänster där du kan köpa information från statliga arkiv eller olagligt låta avlyssna andra för en mycket rimlig summa pengar.
Och när det gäller aktuella händelser. Parlamentet har nu godkänt den nya telekommunikationslagen nr 3014 för andra gången. När lagen först diskuterades i Verkhovna Rada blockerade president Zelenskij lagförslaget. Verkhovna Rada gjorde några ändringar och lade fram lagförslaget för signatur. Och det är inte klart om presidenten kommer att underteckna eller avvisa förslaget. Med en del av formuleringen där kan bestämmelserna om avlyssning av telefonsamtal nu tolkas på ett sådant sätt att Internetleverantörer tvingas ge säkerhetstjänsten SBU tillgång till sina nät i Ukraina. Detta kommer naturligtvis att vara extremt betungande och opraktiskt, vilket är synd.
Ingen bestrider principen att brottsbekämpande myndigheter ska ha ett lagligt sätt att få information om abonnenter från operatörer och internetleverantörer. Jag anser dock att det är logiskt att de får en arresteringsorder och gör den tillgänglig för operatören som utan tvekan skulle registrera den information som krävs. Om brottsbekämpande myndigheter har tillgång till enheter kommer de också att använda dem för personliga ändamål. Och det är korruption och en allvarlig kränkning av människors ekonomiska och medborgerliga rättigheter.
Om applikationen Diya och internetsäkerhet
– Du nämnde också nyligen bonusförfarandet för att upptäcka sårbarheter i Diya-applikationen. Deltog du i det? Hur säker tror du att den här applikationen är?
Jag följer noga massdigitaliseringsprojektet. Och jag tycker att detta är tankeslös digitalisering om de digitaliserar processer som inte alls behövs. Antag att jag behöver ett tillstånd från staten. Jag bryr mig inte om i vilken form tillståndet kommer. Jag vill inte ens att tillstånd ska existera. Eller låt oss ta det första de gjorde i Diya-applikationen. De lade till krav på ukrainska pass där. Jag förstår inte riktigt varför? Enligt min mening är det mycket lättare med avskaffade ID-kontroller när man säljer tågbiljetter än att hålla på med pass via telefon. Enligt konstitutionen vill jag bara ha fri rörlighet och rörelse utan pass. Jag tror att många av idéerna i denna applikation antingen är meningslösa eller kan orsaka extremt negativa konsekvenser.
Vi vet att data från registren regelbundet läcks ut och förfalskas och innehåller ett stort antal fel. Och snarare än att minska mängden information som samlas in om alla medborgare, bör myndigheterna snarare se till att informationen skyddas på ett adekvat sätt. Istället försöker ministeriet för digital transformation integrera all information i ett stort system. Detta innebär att fler kommer att ha tillgång till olika register, med fler läckor och risker.
När det gäller kritiken om förekomsten av vissa sårbarheter är svaren från ministeriet för digital transformation helt otillräckliga. Många journalister har officiellt begärt få åtminstone lite information om portalen och applikationen, inklusive ett intyg om överensstämmelse med datasäkerhet. Som svar gjorde ministeriet medvetet korrupta filer tillgängliga som inte kunde öppnas. När de besvarar frågor försäkrar de dig att “allt är bra, vi har utfört revisioner. Vi har tillstånd. Men vi kommer inte att visa dem, du måste lita på vårt ord”. Jag tror att informationssäkerhet inte är ett område där man kan lita på ord från en tjänsteman.
Bug bounty-program
Felsökningslojalitetsprogrammet som tillkännagavs i december är en kampanj för att förbättra ministeriets image. Personligen har jag inte deltagit i någon av dessa aktiviteter. Flera ukrainska företag och offentliga institutioner kontaktade dock ministeriet för digital transformation och ville delta men nekades.
Detta indikerar att myndigheterna försöker göra allt i tysthet. De försöker bygga upp sitt rykte genom att använda alla slags verktyg med så få deltagare som möjligt. Om du redan är helt säker på att du har gjort allt du kan för att säkerställa säkerheten, varför då erbjuda någon en bonus för att leta efter buggar? Inga oberoende deltagare var dock inblandad. Endast ett fåtal estniska ideella organisationer deltog. Det fanns dock ingen oberoende granskning, resultaten publicerades inte, men av någon anledning kördes ett bug bounty-program.
– Ditt citat “Allt kan hackas, det är en fråga om tid och ansträngning”. Behöver du ens applikationer som Diya med detta i åtanke?
Det faktum att nästan vad som helst kan hackas betyder inte att ingenting behöver göras. Jag ber inte alla att återvända till stenåldern, ge upp sina telefoner och datorer och börja skriva på papper. Detta är opraktiskt, inaktuellt, det finns inget behov av att överge den tekniska utvecklingen. Alla uppgifter måste dock utföras korrekt. Vad är målet med Diya-applikationen? Ett mål som regelbundet visas i uttalanden från ledningen för ministeriet för digital transformation och Zelenskij själv är att appen i framtiden kommer att möjliggöra val i digital form.
Men jag tror, och det är inte bara min åsikt, utan i stort sett alla internationella val och experter på informationssäkerhet, att det för närvarande inte finns någon teknik som gör det möjligt att hålla val online och övertyga alla om att valet är rättvist. Detta beror på att syftet med valet inte är att bestämma vinnaren utan att övertyga förloraren om att ingen har fuskat. När det gäller digitala val är det inte möjligt, åtminstone för tillfället. Numera finns det inget annat land än Estland där onlineval hålls. Och även i det lilla Estland finns det många missnöjda människor som vill gå tillbaka till ett säkrare off-linesystem.
Om ministeriet för digital omvandling vill förbättra något, lönar det sig att först och främst ta itu med tjänstemännens ansvar när det gäller att skriva in felaktig information i register. Du vill antagligen använda ett körkort i Diya-applikationen. Men om ett foto, körkort eller annat nonsens saknas måste du i princip få nya dokument. Jag tror att användbar digitalisering består i att tvinga tjänstemän som har angett felaktig information att korrigera sina misstag, så att du inte behöver springa runt och göra allt själv. Eftersom systemet fungerar pålitligt off-line kan det automatiseras. Men om vi automatiserar kaos och bedrägerier får vi automatiskt kaos och digitalt bedrägeri.
– I en av dina intervjuer sa du att inkompetens och oansvar är två skäl som gör det möjligt för ryska hackare att attackera vår regerings- och affärsstruktur. Hur ser du lösningen på dessa problem? Och är det möjligt att helt lösa dem om, enligt dina egna ord, allt kan hackas?
Du kan hacka vem som helst, men att hacka vissa saker är lätt och andra saker är svårare. Och intrånget i sig spelar ingen roll, utan hur människor reagerar på hackningen och hur de försöker mildra skadan.
Tjänstemän måste förstå att de är ansvariga för den information vi har anförtrott dem eftersom den är värdefull. Vi kan till och med bestämma det exakta priset på den svarta marknaden. Så det är en värdefull egendom som behöver skyddas precis som fysiska föremål. Ingen är för närvarande ansvarig för integritet och skydd av information.
Det finns också en annan sida av myntet. En person kan bara hållas ansvarig för vad han vet. Naturligtvis, om det inte finns någon riktig systemadministratör i en statlig organisation, utan bara en dåligt betald anställd som byter bläckpatroner i skrivare, så kan han naturligtvis inte vara ansvarig för någonting. Och om en organisation inte kan underhålla sitt eget informationssystem, måste den återvända till papper, kassaskåp och säkerhetsvakter vid ingången. Som ansvarig lär du dig antingen hur du underhåller informationssystemet och tar ansvar för dess säkerhet, inklusive straffrättsligt ansvar, uppsägningar, böter, eller så säger du nej till ansvaret.
– I början av intervjun sa du att tre medlemmar av organisationen för närvarande är aktiva. Vad gör Ukrainas Cyberallians idag?
Just nu är vi främst intresserade av vår egen verksamhet. Även om vi naturligtvis deltar i alla slags diskussioner, inklusive lagändringar. Vi kör dock för närvarande inga systemprojekt. Med det sagt vill vi först få rätt i domstolen och sedan bestämma vad vi ska göra.
– Har du några specifika planer eller idéer?
Det finns många idéer om vad som kan göras på både defensiv och offensiv sida. Det är upp till en “viss offentlig organisation” att föreslå sådana projekt. Men vi håller dem på is eftersom vi först måste ta itu med domstolen.
Läs även
- Ukrainas underrättelsetjänst avslöjar ett nätverk av FSB-agenter som planerar sabotage och kidnappning
- Sjömän från robotkryssaren Moskva belönas för aggressionen mot Ukraina
- Ryska sjömän från kryssaren Yamal får utmärkelser för krigsbrott på Krim och Syrien
Distribution och eftertryck med hänvisning till källan välkomnas! Creative Commons – Attribution 4.0 International – CC BY 4.0. Följ oss på Facebook och Twitter. Läs mer om hur Du stödjer InformNapalm.