#FuckResponsibleDisclosure – флешмоб IT-фахівців з Українського кіберальянсу, який змушує держструктури України працювати над безпекою власних інформаційних систем. Можливо, багатьом це не подобається, але флешмоб реально працює: адміни латають дірки в системах. Докладніше у статті спікера УКА Шона Таунсенда.
Це вам привіт від дуже злих хакерів. Все погано, кібербезпеки в нашій країні не було й немає. Як ми плануємо протистояти ворогу, теж не зрозуміло.
Ми провели поверхневий аналіз роботи інформаційних систем нашої держави. І він показав: навіть після руйнівних епідемій вимагачів WannaCry, NotPetya і BadRabbit кібербезпека в Україні не більше ніж порожній звук. Український кіберальянс і спеціалісти-волонтери знайшли масу вразливостей державних ресурсів. Інформацію можна не тільки зламати, а просто прийти і взяти. Без пароля, реєстрації та СМС.
Після того як Україна зазнала цілої низки кібератак, молода технічна дисципліна – кібербезпека – стала модною темою. Було прийнято доктрини інформаційної і кібербезпеки, а заодно й нашумілий указ президента №133, яким вводились не тільки економічні санкції, а й блокування ресурсів у мережі. Все заради кібербезпеки. Потім, у липні, були запропоновані законопроекти 6676 і 6688, які розширювали повноваження силових відомств, але парламент їх відхилив. Восени нарешті прийняли закон 2126а «Про основні засади забезпечення кібербезпеки України». Згідно із законом, кібербезпеку державних ресурсів повинні забезпечувати майже всі. А значить ніхто. Перше ж запитання: «А що буде, якщо не впораються?» – зависає в повітрі.
У кожній галузі є свої етичні норми. Інформаційна безпека – не виняток. За традицією, якщо ви знайшли помилку чи дірку в безпеці, треба повідомити про неї власнику ПЗ чи ресурсу, а вже після цього публікувати. Такий підхід називається відповідальне розголошення (responsible disclosure). Державні чиновники не втомлюються нагадувати всім про те, що відповідальність за нашу країну колективна. Та вимагаючи відповідальності від громадян, за що відповідає сам чиновник? Ні за що. За таких умов про довіру і відповідальність нема мови.
Небайдужі громадяни й раніше повідомляли про вразливість державних комп’ютерних систем, та нікому не було до цього діла. Наприклад, взимку ми виявили атаку на поштовий сервер МВС. Потекла вся пошта цього міністерства. Після того, як я через півроку розповів цю історію, журналісти написали запити в МВС та СБУ. МВС відповіло, що у них все гаразд і все під контролем, і тільки ДКІБ СБУ підтвердили, що російські хакери справді зламали пошту МВС, і що за фактом порушено кримінальні провадження по статті 361 (злам) і 367 (службова недбалість). Публічної реакції не було.
А публічність — необхідна умова інформаційної безпеки. Це можливість навчитися на чужих помилках і виправити свої, поки в вашу мережу не залізли вороги. Та значно простіше рапортувати про успіхи і звалювати відповідальність один на одного, на суспільство, на російських хакерів. Коли в мережі пройшла чутка (на щастя, неправдива), що зламали базу біометричних паспортів, Державна міграційна служба замість того, щоб переконати всіх, що це деза, назвала панікерів «тролями ФСБ» і списала все на каверзи Кремля. А коли в українських мережах орудують справжні агенти ФСБ і ворожі хакери, нікому до того нема діла.
Український кіберальянс не займається безпекою. Ми ходимо в контратаки. Нам вдалося зламати, і не раз, сайт Державної думи РФ, Раду Федерацій, Міністерство оборони, Федеральну службу охорони, агентів ФСБ — справжніх, а не вигаданих, депутатів і чиновників, радників президента РФ Глазьєва і Суркова включно, діячів Російської православної церкви. Практично всі «міністерства» невизнаних «республік» ми зламували багато разів, а рядових терористів ми виявили стільки, що збилися з ліку. Після прийняття закону ми вирішили перевірити: чи справді чиновників турбує інформаційна безпека?
У своїй діяльності ми дотримуємося законів України. Ми не користуємося хакерськими методами, які використовуємо проти ворога. Як говорить наша поліція, всі дані отримано «способом пошуку в мережі інтернет». Реальний стан речей нас просто шокував. Найпоширенішою помилкою виявилися не слабкі паролі чи антивірусний захист – їх ми не перевіряли – а те, що важлива інформація лежить онлайн на FTP чи загальному мережевому диску без пароля. І тоді ми зрозуміли, що єдиний спосіб щось змінити – це публічно присоромити державні організації і показати їхню недбалість у всій красі.
Протягом місяця ми і волонтери, які з нами працюють, знайшли відкриті для всього світу ресурси Національної академії внутрішніх справ разом з паролями від сайту і списком офіцерів до полковників включно. Пароль від облікового запису пошти Команди швидкого реагування на інциденти при Держспецзв’язку (CERT-UA). Сайт CERT-UA при цьому лежав, а коли піднявся, на ньому теж знайшли масу вразливостей. Сервер Державної служби фінансового моніторингу не оновлювався десять років і його можуть зламати прямо зараз. Національне агентство з протидії корупції виклало скановані оригінали декларацій у відкритий доступ. Судова влада України виклала звіти судів. Херсонська обласна рада відкрила доступ до загального мережевого диска — ключі АЦСК, тисячі документів, аж до аудіозаписів засідань. Одне з київських комунальних підприємств виклало онлайн ключ від банківського рахунку і базу даних бухгалтерії. МВС — 15 гігабайтів відсканованих декларацій.
Міністерство юстиції, ахметівський SCM, НДЕКЦ (криміналістичний центр, який готує експертизу по кримінальних справах), експертний центр при Міністерстві охорони здоров’я — список можна продовжувати безкінечно. Скрізь не треба нічого ламати – заходь і бери. Все дбайливо розкладено по теках і приготовлено на виніс. У кількох випадках нам вдалося виявити сліди зламу справжніми хакерами. Якщо ми пройшлись тільки по відкритих ресурсах, то хтось до нас, наприклад, ті самі російські хакери, зламували мережі повністю. Найчастіше замість вдячності ми отримували у відповідь погрози. І доводилося ще витрачати час, щоб пояснити людям, що ми не намагаємося підвести їх під монастир, а рятуємо від куди більших неприємностей.
У ході акції #FuckResponsibleDisclosure ми виявили, що попри те, що війна йде вже четвертий рік, нікому нема діла до інформаційної безпеки. Все спільне, а отже нічиє. Ніхто не відповідає за помилки в побудові і супроводі державних інформаційних систем. Останньою краплею став загальний диск київської обласної поліції. Особисті дані співробітників поліції, внутрішні розпорядження, списки паролів від офіційних акаунтів (mvd123 — дуже хороший пароль!). Щоб все було зрозуміло: всі посилання на картинки на офіційному сайті обласної поліції ведуть в домашній каталог користувача на віндовій машині, відкритий для всіх на читання і на запис.
Не вимагайте «відповідальності» (у вашому розумінні цього слова) від нас. Ми працюємо кожен день і витрачаємо багато сил, щоб захищати нашу країну. Тепер ми вимагаємо відповідальності від державних чиновників. За те, що дані, які належать нам і які ми вам довірили, ви склали в мішок і кинули на дорозі. Тому #FuckResponsibleDisclosure. Відповідальність з’явиться не тоді, коли підвищаться зарплати, а коли недбалий системний адміністратор сяде за статтею 363 (порушення правил роботи з ЕОМ) і 367 (службова недбалість).
Інформаційна безпека — це не хакери в масках, не п’ятдесятидюймові монітори, багатопроцесорні валізки і дорогий софт. Безпека починається з дотримання елементарних правил і особистої відповідальності. Не справляється співробітник — звільніть його і віддайте цю частину роботи на аутсорс. Звільніть дев’ять з десяти людей, від яких немає користі, які завдають шкоди, і одному, що залишився, можна буде збільшити зарплату в десять разів і навантажити осмисленою простою роботою, а не намаганнями догодити якомусь відомству і дотримуватися безумних інструкцій. Управляти й контролювати можна тільки те, що у вас є. А кібербезпеки в Україні немає, і жоден закон, гроші, закордонні експерти з космічними зарплатами і волонтери самі по собі не можуть цього виправити.
Службова недбалість під час війни називається по-іншому: саботаж.
UPD: Всі помиляються і хакери – не виняток. Ми не можемо підтвердити наш поспішний висновок про те, що сертифікати, знайдені нами на відкритих FTP Судова влада України, і сервер відеоконференцій несуть ризики для безпеки. Ми дякуємо технічним спеціалістам цієї організації за виявлений інтерес і конструктивну позицію, і щиро просимо вибачення. Всі інші знахідки і висновки залишаються без змін.
One Response to “#FuckResponsibleDisclosure – флешмоб IT-фахівців з UCA змушує українські держструктури дбати про інформаційну безпеку”
25.02.2018
Україна-2018: прогноз можливих викликів і здобутків для країни поточного року | Херсонський Вісник[…] Україна може знову стати жертвою кібератак. Нещодавно Український кіберальянс унаочнив слабкий рівень кібербезпеки в нашій країні, […]