Sean Brian Townsend — незалежний дослідник в галузі інформаційної та комп’ютерної безпеки, учасник і спікер Українського Кіберальянсу — розповідає про підсумки флешмобу #FuckResponsibleDisclosure. Матеріали в спецрубриках  [думка / opinion] і [громадянське суспільство / civil society] не модеруються редакцією InformNapalm і представляють особисту позицію авторів публікацій.

Чи складно зламати Україну? Як UCA тестував державні IT-системи

Кібербезпека стала в Україні не менш модною темою, ніж боротьба з корупцією. Український Кіберальянс і незалежні дослідники кілька тижнів шукали вразливі системи в державному секторі. Чи можна «зламати» сайт з допомогою Google? Існують російські хакери чи це фантастика? Як чиновники реагують на повідомлення про вразливості? Чим займаються правоохоронні органи? 

У мене для вас дві новини – хороша і погана. Хороша, що завдяки зусиллям Альянсу і добровольців масу дір у безпеці державних систем було закрито. Зокрема, на об’єктах критичної інфраструктури та у військовій галузі. Погана навіть не в тому, що вразливими виявились поліція, військкомат, водоканал, а в тому, що не зважаючи на те, що четвертий рік йде війна і те, що Україна стала жертвою сотень цілеспрямованих і руйнівних кібератак, наша країна як і раніше не захищена в «кібер-просторі».

Ми постійно зіштовхуємося з російськими хакерами і неготовністю державних органів до атак. Так, у грудні 2016 року, читаючи зламане листування проросійських хакерів, ми з’ясували, що повністю скомпрометований поштовий сервер МВС України, про що ми негайно повідомили в МВС, Кіберполіцію і СБУ. Оскільки ми самі займаємося тим самим в Росії і на окупованих територіях, зламом нас не здивуєш. Ми не свідки «кібер-апокаліпсису» і знаємо, що маючи достатню кількість грошей, часу і краплинку удачі, можна зламати що завгодно.

Здивувала відсутність реакції. В МВС, мабуть, вирішили, що це випадковий збіг і більше такі атаки повторитися не зможуть. З такою реакцією ми зіштовхнемося ще не раз, і вона — найгірша з усіх можливих. Навіть для того, щоб показати вразливість, нам часто доводиться показувати зразки внутрішніх документів, бо чиновники намагаються заперечувати факти несанкціонованого доступу до їхніх систем. У випадку з поштовим сервером, підтвердження в СБУ нам люб’язно роздобув журналіст видання InternetUA.

Найперша “відмазка”, що це — не «секретні документи». А нас цікавлять не секрети і навіть не можливість зіграти ноктюрн засувками водоканалів у Рівному чи Кропивницькому. Нас цікавить тільки можливість чи неможливість отримати доступ ззовні до того, що лежить всередині. Я вже розповідав історію про те, як ми зламали Оренбурзьку область. Все почалося з витоку пароля від районної ветеринарної клініки і закінчилося повним зламом обласного ЦОД — всіх сайтів, усієї пошти, всього документообігу, включно з відомчим зв’язком, урядовими телеграмами і навіть стійкою ФСБ. Плювати на статус документів. Маючи навіть маленьку щілинку, можна пройти у внутрішню мережу і добратися до важливіших ресурсів.

Та виявилося, що це дуже важко пояснити представникам ДП Енергоатом і Херсонської обласної ради, які залишили кілька своїх ресурсів у відкритому доступі в мережі. Не потрібно нічого ламати, виявилося, що достатньо знайти машину з диском загального користування. В Енергоатомі таких машин було чотири. Я розумію стурбованість прес-служби наших українських атомників, навіть натяк на те, що в мережах атомних електростанцій можуть лазити хакери, може спричинити паніку. Але факт залишається фактом — не важливо, був це контрактор, підрозділ, підрядник, не важливо, секретні документи чи ні, не важливо, переміщуються документи всередині організації локальною мережею чи на флешці у недбалого співробітника. Витік — це витік.

Ми не використали жодного з «хакерських методів». Тільки пошук, іноді навіть просто пошук у Ґуґлі. Маючи доступ у локальну мережу (через флешку і/або прямий, а одна з точок відкривала прямий шлях в локалку) рано чи пізно, але ми могли б добратися до всієї мережі цілком і повністю. Таким способом ми вже отримали доступ до технологічної системи однієї з електростанцій в Росії. Таким же способом російським хакерам ненадовго вдалося відключити “Прикарпаттяобленерго” і ПС “Північна” в 2015 і 2016 році. Проблема в тому, що системи Рівненського та Кропивницького водоканалів не довелося ламати. Вони лежали у відкритому доступі, зі списками споживачів, списками IP-адрес, логінами і паролями, VPN-ключами та всім необхідним для того, щоб влаштувати невеликий терористичний акт.

Можу вас трохи заспокоїти — цими випадками негайно зацікавилось СБУ. А от Київенергоремонт і Державна служба фінансового моніторингу вважають, що у них все гаразд. Список ресурсів, які ми знайшли у відкритому доступі чи виявили сліди інших хакерів, просто пригнічує. Академія МВС (доступ до паролів сайту, внутрішньої мережі, сліди багаторазових зламів, база даних офіцерів), сервер прес-служби Національної поліції в Київській області (документи, логіни й паролі, доступ до внутрішньої мережі), водоканал Кропивницького (доступ до критичної інфраструктури), Енергоатом, Київенергоремонт, Судова влада України, НАЗК, декларації МВС (включно зі спеціальними підрозділами), Центр зайнятості Кропивницького, Нікопольський пенсійний фонд…

Багато хто просто не в змозі зрозуміти, що будь-яка інформація має цінність. Львівський військкомат виклав список п’ятнадцяти тисяч осіб, які, на думку військкомату, «ухиляються від призову» (тобто, військкомат їх просто не знайшов за місцем реєстрації). Самі виклали. Не на відкритий навіть диск чи FTP, а у Фейсбук. Тобто розуміння того, що це персональні дані, які охороняються законом, немає зовсім. А ми знайшли обласний військкомат Закарпатської області — бази даних призовників, накази, листування з обласною адміністрацією та Міністерством оборони, плани, списки, хто в якій частині служить, одним словом – все! Тут уже пахне не просто «Ой, вибачте!», а військовою прокуратурою, бо це інформація з обмеженим доступом, а не якісь «персональні дані».

Тобто, російським хакерам не довелося б навіть ламати. Приходь і бери. Наступні два приклади – Чернігівська та Донецька ОДА. У Чернігові були відкриті диски. Після нашого допису диски закрили, але один з наших волонтерів відразу ж знайшов вразливість на сайті, яка давала змогу його повністю зламати і отримати доступ до начебто закритих дисків. За правилами публічні сервіси мають бути повністю відділені від локальної мережі. Але ж правила не для чиновників, так? З Донецькою адміністрацією все було ще цікавіше. Той самий волонтер знайшов там безпарольну програму віддаленого керування (веб-шелл WSO2), яку встановили інші хакери.

Водночас вони не тільки зламали сайт, але також отримали на сервері права адміністратора, вкрали у справжніх адміністраторів всі їхні паролі і полізли далі в локальну мережу. Нагадаю, що це не просто ОДА, а військово-цивільна адміністрація в зоні АТО. А хакери ходили туди із Самари (якщо хтось забув, то це місто таке в Російській Федерації, з якою у нас, на секундочку, йде війна). Навіть після повідомлення про злам сайт простояв у такому вигляді ще тиждень. Потім чи то адміністратори вирішили удати, що нічого не сталося, чи то хакери побачили наше повідомлення і зачистили сервер, так чи інакше, але його перевстановили. Прес-служба ОДА говорить про «тимчасові технічні несправності». Коли в зоні АТО російські хакери лазять в мережі обласної адміністрації — це, хлопці, не «несправності», а шпіонаж з боку країни-агресора.

Навіть якщо сервер перевстановили сисадміни ОДА, цього абсолютно недостатньо, росіяни могли закріпитися на інших машинах в мережі. Закрити доступ і навіть перевстановити скомпрометовану систему — тільки початок. Тепер вже треба всю мережу перевіряти. Якщо ви забули, то я вам нагадаю, як страждали ANNA News і «народна міліція «ЛНР». Сисадмін приходив оновлювати софт до останніх версій, намагався захистити зламаний і відновлений сервер, а потім знову приходили ми, користуючись хитро захованими закладками, і ламали все знову. Після четвертого зламу «НМ «ЛНР» виключила свій сайт і більше його не включала. Всю цінну інформацію про бойовиків ми вкрали ще рік тому і віддали Миротворцю.

Куди поїхав CERT?

І як на це реагує держава? Майже ніяк. Так, діри закриваються, у деяких випадках СБУ проводить розслідування чи профілактичну роботу. Кіберполіція, по заяві київської поліції, допомогла їм навіть перевстановити і «захистити» комп’ютери — мабуть, жодної людини, здатної налаштувати Windows так, щоб не вивалить все в інтернет, у поліції не знайшлося. Та загалом силовики займаються своєю роботою — розкривають і запобігають злочинам. А хто у нас займається безпекою? Ніхто. По ідеї, про інциденти, які сталися, мала відзвітуватися передусім сама організація, потім повідомити в Держспецзв’язок, а вони своєю чергою повинні були розповісти всі історії, які розповідаю вам я, і напрацювати рекомендації. Я не знаю, чим там займаються в dsszzi, але нічого не було зроблено. По жодному з названих інцидентів і атак.

Понад це, CERT-UA при Держспецзв’язку став однією з перших жертв нашого флешмобу. І бездіють вони не тільки в цьому випадку, а й у всіх інших. Про російських хакерів у нас люблять поговорити всі, про те, яка це страшна загроза, про прийдешній кібер-апокаліпсис, про потребу нарощувати темпи розвитку підвищення інформаційної безпеки. І подібні лінгвістичні фокуси з лексикону стрілочників. От тільки після десятків кібер-атак на Україну нема жодного притомного звіту про інцидент. Так, можна виписати з Америки професійних експертів і Cisco Talos почитає логи і напише звіт з технічними подробицями про NotPetya, можна також перекласти звіти Microsoft і ESET, але хто влаштував атаку? З якою метою? Що треба зробити, щоб цього не відбувалося в майбутньому? Чому це стало можливим? Тиша.

Від того, що буде проведено паперовий аудит (як це передбачено в Законі 2126а про основи кібербезпеки), у вас буде паперова безпека. Для того, щоб стало можливим приватно-державне партнерство — потрібен партнер, а його немає. Ми повідомляємо про діру розміром з вагон, а у відповідь чуємо ті самі байки — нічого не було, було, але не в нас, а в нашого підрозділу, ну, у нас, але це не спричинило поганих наслідків, спричинило погані наслідки, а ми просто відморозимось або збрешемо в прес-релізі. Які ще наслідки вам потрібні? Після “Медка” і всього іншого? За безпеку в Україні відповідають начебто всі і начебто ніхто.

МНС викладає у відкритий доступ схеми прокладання кабелів відомчого зв’язку. У нас що ніколи комунікаційні колодязі не підпалюють? (У Києві горять, і доволі регулярно). Київстар викладає проекти мережі мобільного зв’язку (слід зазначити: час реакції Служби безпеки Київстар на допис у Фейсбуці – менше двох хвилин, до таких показників державному сектору рости і рости, середній час реакції – доба і більше). Міністерство охорони здоров’я — діра в сайті. Один раз CERT все-таки провів моніторинг вразливості державних сайтів (чи може їх хтось з активістів доконав і вони опублікували попередження), так от в цьому списку сайт НДЕКЦ (криміналістичного центру, який робить експертизу по кримінальних справах) був позначений як зламаний. Він і стояв у такому вигляді рік, поки ми не розповіли про це по телевізору. Тут вже представник НДЕКЦ прийшла до мене в приватку і запевнила, що вони дуже уважно ставляться до безпеки. Мило поговорили. Спасибі.

У приватці представники всіх організацій милі і пухнасті, іноді навіть в коментарях висловлюють вдячність за знайдені вразливості. Чорт забирай, заступник голови Херсонської обласної ради навіть допис у Фейсбуці написала. І що я вам скажу у відповідь? Вдячність — це, звісно, приємно, закриті вразливості – це не тільки приємно, але й корисно, та ще й для всіх, але, правду кажучи, нам потрібна не ваша вдячність, а потрібно, щоб ви якісно виконували свою роботу. Наприклад, коли ми зламали Астраханську область, спікер обласної думи верещала на НТВ: «Звільнимо всіх!» Тож починати виправляти помилки треба вже зараз, не чекаючи «наслідків». І зробити це без публічного обговорення неможливо. Ваші сайти забиті «новинами» про проведені вами конференції, зустрічі, законодавчі ініціативи та іншим непотребом, який зовсім неможливо читати, тільки не про те, що ви припустилися помилки і як ви її виправили. Не треба удавати невразливих, ламають усіх, але робота над помилками показує, що вам не плювати, що у вашій організації є прогрес. І це слугує попередженням для інших. Інакше не зміниться нічого.

Що робити? Про покарання невинуватих і нагородження непричетних

Жодні волонтери, хакери, модні спеціалісти, підвищені зарплати, суворі покарання самі по собі не допомагають. Попалась Запоріжсталь, мережа супермаркетів, київське комунальне підприємство виклало онлайн свою бухгалтерію і якийсь ключ в теці «BANK», очевидно, від розрахункового рахунку. Про те, що основою для інформаційної атаки на Енергоатом з боку Кіберберкуту стали документи, викрадені росіянами в Міністерстві екології, ми чомусь дізнаємося на Фейсбуці, і тільки тому, що Енергоатом хотів “відмазатися” від цього витоку. Чому мовчить саме Міністерство екології? Чи ви думаєте, що там немає нічого цікавого? Можу вас запевнити, що читання звітів Балансної комісії про стан ядерних об’єктів виявилося таким цікавим, що коли я про це згадав у коментарі, прес-служба атомників ледь не підскочила, якби це було можливо на Фецсбуці. (До речі, з ядерною безпекою у нас все добре, незначні інциденти бувають, але без наслідків).

В «українському сегменті» мережі інтернет можна просто тралити корисну інформацію. Попався нотаріус разом з усіма своїми ключами, які відкривають доступ у реєстри. У серпні щось сталося з сайтом Служби зовнішньої розвідки, який крутиться на WordPress (ґуґл все пам’ятає). Служба таксі викладає онлайн логи поїздок. Безкінечні відписки, відмазки, перекладання відповідальності та вибачення у Фейсбуці — не захищають. Десяток «кібер-центрів» (у нас всюди кіберцентр, скоро при ЖЕКах відкривати почнуть) займаються безкінечною балаканиною і переливанням з пустого в порожнє, а ще частіше з бюджету в невідомому напрямку.  Розробляються тонни інструкцій і правил на випадок підводного бою з інопланетянами, в той час як російські хакери преспокійно шарять в українських мережах — і в цивільних, і у військових, і в мережах критичної інфраструктури.

То що ж робити з кібербезпекою? Спрощувати, а не ускладнювати закони та інструкції. Ліквідовувати непотрібні заклади. Закривати непотрібні веб-сайти, на які ніхто не ходить – простіше зробити довідник районних адміністрацій, ніж підтримувати сотні сміттєвих сайтів. Звільняти непотрібних людей, які не тільки не справляються зі своєю роботою, а практично займаються саботажем. Починати з найпростіших елементарних речей. Прибираємо з мережі відкриті SMB-диски і FTP-сервери, відділяємо публічні сервіси від внутрішньої мережі, встановлюємо нормальні паролі і двофакторну аутентифікацію, не клікаємо на випадкові посилання. І найголовніше: якщо щось сталося, то про це треба чесно розповісти Держспецзв’язку, постаратися з’ясувати, що саме сталося, як, і кому це вигідно. Намагаючись приховати правду, ви шкодите і собі і нашій країні. У випадку повномасштабної спланованої кібер-атаки відмазки, папірці й адміністративний пінг-понг не допоможуть. Ми, звісно, не помремо, але рахувати доведеться на рахівницях і при свічках. І не думайте, що всі навколо ідіоти, а у вас найграмотніші адміністратори, прекрасні полісі і все чудово, бо зламати можна кожного — це питання часу, грошей і мотивації.