
4 лютого 2021 року на сайті DOU вийшло цікаве інтерв’ю зі спікером Ukrainian Cyber Alliance (UCA) Андрієм Барановичем. Публікуємо це інтерв’ю також для читачів сайту міжнародної волонтерської спільноти InformNapalm, яка на певному етапі також зіграла важливу роль в об’єднанні різних груп українських хактивістів в ефективну команду UCA. На нашому сайті ви можете знайти безліч публікацій, які вийшли завдяки співпраці OSINT-розслідувачів InformNapalm з хактивістами Ukrainian Cyber Alliance та іншими групами українських IT-фахівців. Рівно 4 роки тому, на початку лютого 2017 року, також вийшов наш короткометражний документальний фільм “CYBERWAR: огляд успішних операцій UCA в 2016 році”, який стане цікавим доповненням цього інтерв’ю.
«Український кіберальянс» (УКА) — спільнота українських хактивістів, що виникла в 2016 році після об’єднання кількох хакерських груп. За словами прес-секретаря Ukrainian Cyber Alliance Андрія Барановича, їхньою головною метою було отримання інформації про Росію та її участь у війні. Пізніше УКА також запустив флешмоб #FuckResponsibleDisclosure, в рамках якого хактивісти оцінювали рівень захищеності державних ресурсів України. В інтерв’ю DOU Андрій Баранович розповів про діяльність УКА, його окремі акції, кібервійну і обшуки у членів організації. Також він поділився своєю думкою про програму «Дія», онлайн-вибори і безпеку інтернету в Україні.
Про Ukrainian Cyber Alliance
– Перше питання – загальне. Хто такі хакери?
– Себе я насамперед ідентифікую не як хакера, а як фахівця з мереж, програмування, безпеки. До публічної хактивістської діяльності я прийшов тільки після початку війни. Ми з колегами вирішили, що можемо використовувати свої знання і таким чином. Адже якщо ви вмієте захищати системи, то знаєте і як нападати на них. Тобто на відміну від чорних хакерів, які займаються цим заради заробітку, і на відміну від білих хакерів, які цим займаються просто з цікавості, щоб розібратися, як працюють технології, ми відносимо себе до хактивістів, бо використовуємо отриману інформацію у військових і політичних цілях.
– Я буду наводити цитати з ваших інтерв’ю, щоб ви їх прокоментували. В одній зі статей ви кажете: «На “чорних” майданчиках політику тисне адміністрація – цехові інтереси вище національних». Це про співтовариство українських хакерів в принципі?
– Цитата стосується виключно чорних хакерів, які хакерством заробляють гроші. Як у фахівця з інформаційної безпеки у мене є доступ і до закритих хакерських форумів. Тому що ми займаємося, серед іншого, збиранням даних про те, як діють чорні хакери, спостерігаємо їх “в природному середовищі”, вивчаємо їхні порядки, новини… І, природно, там політика не вітається, тому що це сильно шкодить бізнесу. Адже чорних хакерів теж можна назвати бізнесменами, хоча вони займаються незаконною діяльністю. Тому вони намагаються політику не обговорювати. У кіберзлочинності немає національності.
– Ви вже почали говорити про створення «Українського кіберальянсу». Розкажіть докладніше, як він формувався.
– Спочатку у нас була окрема група під назвою RUH8. Ми з колегами провели декілька акцій, в тому числі ламали Державну думу Російської Федерації, Раде Федерації і регіональні уряди в Астрахані і в Оренбурзі. Наша співпраця з іншими хакерськими групами налагодилася завдяки сайту InformNapalm, куди всі ми передавали інформацію для обробки та публікацій. В червні 2016 року «Український кіберальянс» сформувався вже в повному складі з груп RUH8, FalconsFlame, Trinity і «КіберХунта». У всіх були різні навички, різні спеціалізації, завдяки чому ми один одного доповнювали. І так працювали до 2019 року, поки в лютому 2020-го до нас не заявилася кіберполіція і Служба безпеки України з абсолютно безглуздими звинуваченнями…
– Ми ще повернемося до цієї теми. Спочатку хочу дізнатися в цілому про організацію. Скільки в ній членів? Хто вони, живуть в Україні або є й іноземці, які теж хочуть взяти участь у ваших акціях?
– Сьогодні УКА як широка спільнота практично не існує. Рік тому ми з колегами офіційно зареєстрували в Мін’юсті нашу організацію, тому тепер існує ГО «Український кіберальянс». Ми планували займатися безпекою, в тому числі українських систем, тому що війна складається не тільки з атаки, але й з оборони. Ці питання обговорювалися з представниками влади, в тому числі в Раді національної безпеки і оборони восени 2019 року. Але потім комусь це все перестало подобатися… Так що зараз у нас є ГО, яка складається з трьох засновників.
– А як справи йшли до минулого року?
– Я не буду називати точну кількість постійних учасників, але їх було не дуже багато – плюс-мінус 10 осіб. Жодну іноземну допомогу ми не приймали і не приймаємо. Я ніколи не ставив собі за мету з’ясовувати, хто наші інші учасники. Про когось з них я знаю більше, про когось – менше. В основному це фахівці-технарі. Такі питання, взагалі-то, і не прийнято ставити: менше знаєш – краще спиш.
До нашого складу входили фахівці з України. А наші цілі знаходилися виключно в Російській Федерації та на окупованих Росією територіях. Ми завжди повторювали і повторюємо, що нашою метою було виключно отримувати інформацію про Росію, її участь у війні, про її військове і політичне керівництво, ніщо інше нас ніколи не цікавило.
«Ми просто не звертаємо уваги на погрози»
– Ви – прес-секретар «Українського кіберальянса». Вас вибрали або ви самі захотіли спілкуватися з пресою від імені УКА?
– Я завжди розумів: якщо ми хочемо домогтися, щоб наша інформація впливала на події, що відбуваються, треба про це докладно розповідати, спілкуватися з людьми… Все почалося з того, що нас попросив про інтерв’ю журнал «Фокус». І я переконав колег в тому, що його треба дати, щоб люди добре розуміли, хто ми такі, чим займаємося, щоб не бачили в нас загрози і не плутали з чорними хакерами.
– Часто спілкуєтеся з журналістами?
– Доволі часто. Багатьом виданням даю коментарі як експерт з безпеки або розміщую колонки з приводу поточних подій.
– Через які засоби комунікації ви зазвичай повідомляєте про результати своїх акцій?
– Поки ми займалися основним проектом, спрямованим проти Росії, нашим майданчиком був «ІнформНапалм». Ми разом з ними обробляли інформацію, писали статті, де розміщували посилання на матеріали, щоб кожен міг їх скачати, перевірити і переконатися, що ми нікого не обманюємо і що все так і є, як ми розповідаємо в публікаціях.
– В різних інтерв’ю ви не раз акцентували увагу на тому, що дієте в рамках чинного законодавства. І все-таки слово «хакер» у багатьох асоціюється з поняттям «поза законом». Як це реалізується в «Кіберальянсі»?
– Звісно, ми порушуємо закони Російської Федерації. Там проти нас порушено декілька десятків справ усіма правоохоронними органами: і поліцією, і ФСБ, і Слідчим комітетом. Ми цього зовсім не соромимося і не боїмося, тому що між Україною і Росією немає співпраці в правоохоронній сфері. На окупованих територіях Україна відступила від своїх зобов’язань щодо підтримки порядку і законності. А до “Інтерполу” Російська Федерація звернутися не може, тому що всі ці акції мають політичну складову.
В Україні ми, звісно, закон не порушуємо. Навіть коли почали акцію #FuckResponsibleDisclosure, метою якої було показати, що українські системи дуже вразливі до атак і з боку Росії, і з боку кримінальних хакерів. Для цієї акції ми використовували неінвазивні засоби. Якщо ми знаходимо якусь інформацію, що належить Україні, просто у відкритому доступі, то це нічого спільного зі зламом не має – ця інформація там опинилася через недбальство. Таким чином ми демонструємо, що будь-хто, буквально користуючись Google, може знайти секретні документи, що мають відношення до нашої армії, спецслужб тощо.
– Ви говорили, що за роки існування УКА вам постійно надходять погрози. Від кого і якого характеру?
– Цілком природно, що тим, кого ми зламуємо, це дуже не подобається. Припустимо, ситуація з російським пропагандистом Прохановим. Я захопив його сторінку в “Фейсбуці”, а заодно його видання «День» і «Завтра» і написав від його імені декілька смішних текстів. Потім в прямому ефірі програми «Вести» він сильно обурювався цим, а його син Андрій Фефелов сипав порожніми погрозами. З окупованих територій теж постійно надсилають всілякі гидоти. Ми просто не звертаємо уваги на загрози.
Кібервійна
– Яку зі своїх акцій вважаєте найуспішнішою?
– Складно виділити щось одне. Іноді виходило знайти інформацію, наприклад, з Федеральної служби охорони РФ – це частина колишнього КДБ, яка в тому числі займається безпекою критичної інфраструктури. Тому знайти таку інформацію було нелегко. Найбільше згадок в пресі зібрала акція SurkovLeaks, коли ми отримали доступ до поштових скриньок приймальні апарату помічника президента РФ Владислава Суркова. Ажіотаж піднявся, тому що акція співпала у часі з виборами президента Сполучених Штатів. Одразу ж з’явилися чутки, що це може бути помстою США Росії за злам DNC. Ці чутки, природно, були спростовані розвідтовариством Штатів, але тема викликала багато уваги. Хоча є акції, цікавіші в технічному плані.
– Нас будуть читати програмісти, тому їм якраз цікава технічна частина…
– З технічної точки зору цікавий випадок – Оренбурзька область. Ми використали вже опубліковані експлойти. Це був Heartbleed, витік пам’яті. Ми просканували велику кількість російських сайтів, в тому числі знайшли дрібний сайт, розміщений в ЦОДі уряду Оренбурзької області, тобто до нього був доступ з пам’яті сервера. Там ми довго нічого не могли зробити, тому що у них є і IT-відділ, і відділ інформаційної безпеки з жорстким контролем з боку ФСБ. Однак одного разу системний адміністратор допустив помилку – примонтував мережеве сховище до публічного веб-сервера, і звідти вже потікло достатньо інформації, щоб отримати доступ до всієї системи і закріпитися там, спостерігаючи за всіма частинами цього обласного уряду, включаючи ФСБ.
Щоб не втратити доступ до системи, довелося навіть прогнати декількох залітних хакерів, які полізли сюди ж. І доступ зберігався дуже довго – близько півтора року. За цей час звідти було викачано все, що можна викачати. Це показує, що навіть невеликі і короткочасні помилки ведуть до довготривалих наслідків. І якщо APT-група (advanced persistent threat) вже зайшла в систему і там закріпилася, то таких хакерів важко виявити, вони можуть діставати інформацію мало не роками. Схожий випадок, найгучніша недавня історія – це supply chain атака на SolarWinds, коли російські хакери теж поширили бекдор через ПО для моніторингу мережі та підтримували цей доступ місяцями. Виявили їх майже випадково.
– Яка мета ваших акцій? Чого ви хочете досягти?
– Справа в тому, що російські хакери лазять в українських системах як у себе вдома. Стан інформаційної безпеки в нашому державному секторі жахливий. Так що найперший меседж, який ми хотіли б передати, – все, що ви можете зробити нам, ми можемо зробити вам. У нас вистачить грамотних фахівців для цього. Друга мета – безпосередньо отримати відомості про те, хто приймає рішення, особливо військові, як вони приймаються, що думають в адміністрації президента РФ, яка їхня позиція на переговорах в Мінську – не те, про що вони розповідають публічно, а що обговорюють між собою. Я вважаю, що це важлива інформація, яку складно або дуже дорого було б отримати іншим шляхом.
– В одному з інтерв’ю ви також говорили, що кібервійна – найдешевша. Але наскільки вона ефективна? Ви думаєте, вона може вирішити проблему з реальною війною?
– Якщо говорити не про війну в цілому, а лише про частину, припустимо, про кібершпіонаж, то він на порядок дешевше, ніж традиційне шпигунство. Загальним місцем у всій літературі з цієї теми став вираз, що вже навіть набив оскому. Про те, що тепер кібер є п’ятим напрямком ведення бойових дій на тому ж рівні, що й суша, море, повітря, космос. Звісно, за допомогою комп’ютера війну поки не виграти – ми ще не так далеко в майбутньому. Але це важлива складова, яка доповнює інші роди військ. В Україні щодо цього офіційно не існує жодних доктрин. Сфера не розвивається: ані в плані захисту, ані в плані атаки. Є, звичайно, численні державні кіберцентри, в тому числі кіберцентр СБУ, кіберцентр Держспецзв’язку, кіберцентр МО, але поки що значних успіхів з їх боку не видно.
– У вас є певні принципи. Наприклад, ви казали, що не чіпаєте критичну інфраструктуру Росії, «бо це, по суті справи, акт міжнародного тероризму». Які ще подібні принципи є в УКА?
– Коли ми активно займалися збором інформації про Росію, нас в першу чергу цікавили військові і політичні цілі. Наприклад, в 2015 році нам вдалося отримати доступ до інформації зі ста тисяч російських мобільних телефонів. Ми спробували переглянути архіви, припустимо, по смс, листуванню, але не знайшли нічого, що заслуговувало б уваги. Тому не було сенсу втрачати час на звичайних громадян, тим більше що колектив у нас не дуже великий.
В Росії з безпекою трохи краще, ніж в Україні. Більше грошей, більше фахівців, але все одно не можна сказати, що дуже добре. Звісно, ми могли б дістатися і до російської інфраструктури, що-небудь там зламати, завдати значної шкоди, але я вважаю, що від таких дій бажано утримуватися і не скочуватися до тероризму.
У 2015 році Росія втрутилася в роботу української енергосистеми в Києві і Прикарпатті. Це і є акт міжнародного тероризму, і я був дуже здивований м’якою реакцією українського уряду на ці події. За кордоном атаки на наші електростанції обговорюють набагато частіше, ніж в Україні. Наше Міністерство закордонних справ теж чомусь не заявило, що Росія, по суті, перейшла до терористичних методів, що було б додатковим засобом тиску на РФ, щоб вони стали нарешті країною-ізгоєм, як Іран або Північна Корея. Розслідування не було проведено належним чином. Незрозуміло, як росіяни потрапили в систему електростанцій, чого намагалися добитися, це була проба пера, випадковість або стане систематичною діяльністю з їхнього боку.
#FuckResponsibleDisclosure
– Як ви перейшли від першого проекту, спрямованого назовні, до внутрішнього, із захисту українських держструктур?
– Це відбувалося паралельно. Коли приймався закон «Про основні засади забезпечення кібербезпеки України», у “Фейсбуці” виникли численні обговорення. Багато представників влади заявляли: «Ось бачите! А ви говорили, що нічого не змінюється. Подивіться, який чудовий закон ми прийняли. Ось тепер нарешті все буде в порядку». Метою акції #FuckResponsibleDisclosure було показати, що жодні закони самі по собі нічого не виправляють, ні на що не впливають. Щоб проілюструвати цю тезу, ми вказали на кілька вразливих державних інформаційних систем. А потім поставили пошук вразливостей на потік.
Як я вже говорив, ніяких зламів не було. Це можна порівняти з ситуацією, коли, припустимо, ви йдете по вулиці повз будинки і помічаєте, що під одним килимком лежить ключ. Або на дорозі – гаманець. Ви підходите і показуєте: у вас ключ під килимком, а тут випав гаманець. Але ані ключ, ані гаманець ви не піднімаєте і ними не користуєтеся. Так само і з вразливістю. Ми знайшли її, знаємо, як її можна використати, до чого це може привести. Але ми нею не користуємося, тільки показуємо: у вас тут діра.
– Як ви оцінюєте фаховий рівень кіберспеціалістів, що працюють в держструктурах?
В Україні існує близько 100 тисяч всіляких установ, комунальних, державних підприємств… Держсектор величезний. Десь працюють гідні фахівці, які застосовують свої знання за призначенням. Але їх дуже мало. Абсолютно неможливо забезпечити кожну установу хоча б системним адміністратором. Всього в Україні близько 200 тисяч айтішників. Якщо б навіть всі вони відправилися працювати в держсектор, людей все одно було б мало.
Коли три роки тому ми запустили #FuckResponsibleDisclosure, то протягом пари місяців знайшли дірки як мінімум в половині міністерств, адміністрації президента, багатьох гілках влади, включаючи команду швидкого реагування на комп’ютерні інциденти при Держспецзв’язку. Вони просто на своєму сайті забули у відкритому вигляді пароль від однієї з поштових скриньок. А, припустимо, академія МВС залишила в інтернеті відкритий безпарольний диск з базою даних всього особового складу: і тих, хто навчає, і тих, хто навчається. Те ж саме було з київською поліцією…
Звісно, ми туди не втручаємося. І якщо якась інформація допоможе зловмисному зламщику дотиснути цю діру і вломитися, то ми її не публікуємо. Хоча часто єдине, що діє на чиновників, це почати соромити їх публічно. Тільки страх розголосу, глузування змушують їх щось робити. Найбільш кричущі діри таким чином були закриті. Дуже багато хто намагався діяти іншим шляхом, попереджаючи про існуючі вразливості безпосередньо адміністраторів, керівництво. Той же Женя Докукін (засновник ініціативи «Українські кібервойска». – Ред.) послав кілька сотень таких повідомлень. У 99 відсотках випадків чиновники на такі попередження не реагують.
Тобто метою акції #FuckResponsibleDisclosure було не позакривати всі діри – це неможливо зробити силами волонтерів, – а показати, що інформаційна безпека в Україні знаходиться в незадовільному, неадекватному стані. Ніякі окремі закони або постанови Кабміну не призводять до системних змін. Необхідно переглянути сам підхід, інакше злами триватимуть. Всі ми пам’ятаємо «НєПєтю», який завдав шкоди до 10 мільярдів доларів, численні витоки з МВС, СБУ, злами великих підприємств, таких як «Антонов», згадані блекаути в Києві і Прикарпатті… Якщо не почати приділяти цьому увагу, наслідки будуть катастрофічними.
– Після того, як ви повідомляли про якісь діри, ви контролювали через час, чи прислухалися до вас?
– По-різному. Наведу приклад. У відкритому доступі знайшлося обладнання водоканалу, в тому числі віддалене керування механікою, якимись там заслінками, заглушками… Я недостатньо розбираюся у водоканалах, але розумію, що це безпосередній доступ до обладнання, логіни, паролі, щоб туди можна було зайти віддалено і щось зробити. Ми попередили знайомих офіцерів Служби безпеки України. Адже це безпосередня загроза: внаслідок атаки декілька областей можуть залишитися без води. СБУ спробувала якось вплинути, дані з відкритого доступу зникли, але керівництво водоканалу виявилося настільки хитрим, що примудрилося послати Службу з її вимогами куди подалі.
– У нас зараз прийнято писати більше про негативне. Цікаво, чи бувало таке, що ви виявляли добре захищені системи або зустрічали адекватну реакцію чиновників?
– Так, не дуже часто, але ми зустрічали спокійну професійну реакцію з боку чиновників, коли вони швидко виправляли вразливості, писали про це, публічно дякували. Тобто поводилися так, як і мали б поводитися. І все-таки хотів би зазначити: реакцію чиновників не можна порівняти з реакцією бізнеса, особливо великого.
Наприклад, коли у відкритому доступі виявилася інформація одного мобільного оператора, то час реакції на інцидент безпеки склав 30 секунд. Тобто ми опублікували обкладинку документа (в самій обкладинці не було нічого секретного), а вже через півхвилини інженер безпеки написав нам і ввічливо розпитав про всі деталі. Протягом доби вони провели власне внутрішнє розслідування, знайшли причину витоку і ліквідували її. Так само було, коли у відкритому доступі знайшлися сліди зламу палати представників конгресу США. Там полазили якісь невідомі хакери, а один з наших волонтерів знайшов проміжний сервер, через який скачували інформацію. Знов-таки буквально через кілька годин американці вже запитували, чи це вся інформація чи є ще щось, про що ми не хочемо розповідати публічно.
А у нас, на жаль, часто буває так, що після виявлення діри приходить керівник або прес-секретар організації і починає доводити, що це не вразливість. Що це все неважливо, це залишилося від попередників… Починають погрожувати заявами в поліцію і СБУ, опиратися і проходити всі фази від заперечення до прийняття. Чомусь вони впевнені, що це сплановані спеціально проти них дії, щоб їх очорнити і підсидіти.
Обшук і суди
– Як відбувалася взаємодія «Кіберальянса» з держструктурами?
– Інформацію, яку ми вважали важливою, якою хтось мог скористатися, ми передавали військовим або спецслужбам. Це не була якась формальна взаємодія, просто зв’язок через знайомих офіцерів, яким можна довіряти. Щодо пошуку дірок в держсекторі велику частину інформації ми публікували з описом вразливостей і поясненнями, що можна було б зробити, щоб поліпшити ситуацію.
Восени 2019 року «Кіберальянс» запросили до Ради національної безпеки і оборони. Там було обговорення про те, як реформувати державний підхід до інформаційної безпеки, як поєднати його з планами віце-прем’єра Михайла Федорова щодо діджіталізаціі. Він теж виступав на цій нараді, розповідав про свої плани. Потім ми провели кілька зустрічей з чиновниками, послухали, про що вони говорять, сформували невелику групу, обговорили все між собою (не тільки в рамках УКА, а за участю багатьох відомих айтішників), виробили бачення, як можна було б змінити існуючу систему… І на цьому все закінчилося. Посиділи, поговорили – і розійшлися. Нічого не змінилося.
– А до цього в приватному порядку до вас зверталися держструктури з якихось конкретних питань?
– Ні, не зверталися.
– Після обшуку в лютому 2020 року і подальших судів ви припинили співпрацю з держструктурами. Розкажіть про хронологію подій.
– Почнемо з того, що восени 2019 року в Україні змінилося керівництво кіберпідрозділів в СБУ і в поліції. Туди прийшли нові люди, і чомусь саме тоді почали розгортатися згадані події. З чого все почалося? У жовтні 2019 року в Одеському аеропорту якийсь невідомий жартівник вивів на електронне табло образливу картинку з Гретою Тунберг. Всі над цим посміялися, знизали плечима: «Ну, буває». Причому за декілька тижнів до цього випадку один з наших волонтерів, Андрій Перевезій, попереджав, що там в системі є дірки.
А в лютому 2020 року до мене додому вривається СБУ і поліція разом з важкоозброєним підрозділом КОРД в броні, з додатковими ріжками до автоматів. Я не знаю, вони, мабуть, зібралися невеличку війну у мене на кухні влаштувати? У дозволі на обшук було написано, що нібито я, Андрій Перевезій і Саша Галущенко (він зараз працює в кіберцентрі при РНБО) втрьох зламали табло в міжнародному аеропорту Одеси. Тобто абсолютно сміховинні звинувачення. Природно, адже справу сфабриковано.
Ми не стали мовчати і наступного дня провели прес-конференцію, де заявили про політичний тиск. Потім було два судових засідання щодо арешту вилученого майна. На першому судовому засіданні наш захист розніс позицію прокуратури в пух і прах, але в перерві між двома судовими засіданнями протягом одного дня суддя пішов на лікарняний. Я вважаю, що це правоохоронні органи тиснули на нього, щоб він не прийняв справедливе рішення. Після цього суддю замінили, і той вже наклав арешт на наше майно, вилучене під час обшуків, – комп’ютери, диски.
З того часу пройшло 11 місяців. Справа абсолютно ніяк не просувається, у нас немає навіть статусу: ми не свідки, не обвинувачені, нам не пред’явлені офіційно ніякі підозри. Зараз цією справою займається поліція. Вони просто тягнуть час, сподіваючись… Я не знаю, на що вони сподіваються. Я особисто сподіваюся, що за допомогою наших чудових захисників ми доб’ємося не тільки справедливості в суді, але й покарання винних.
– В одному інтерв’ю ви сказали, що вважаєте ситуацію з Одеським аеропортом приводом «зайти до нас з обшуками, вилучити техніку і спробувати щось там знайти». Ваші припущення, що саме знайти?
– Я не знаю, може, якийсь компромат, щоб чинити тиск, примусити до чогось або зробити якусь непристойну пропозицію. Але до цього не дійшло, бо все відразу перейшло в публічну площину. Ніяких домовленостей в таких умовах не може бути. Я абсолютно переконаний в тому, що не було б Одеського аеропорту, вони використали б будь-який інший привід, щоб точно так же прийти з обшуками.
– А ви не намагалися провести власне розслідування ситуації з аеропортом?
– В матеріалах справи я ознайомився з технічними деталями. Думаю, що знайти реального зламщика буде нелегко. Найкраще, що можна зробити, провести аудит безпеки і захистити систему аеропорту. Ним керує приватна одеська компанія, і я думаю, що їм це цілком під силу.
– На згаданій конференції кілька учасників УКА розкрили свою особистість, хоча до цього зберігали інкогніто. Чи не шкодуєте про це рішення? Як це вплинуло, зокрема, на вас?
– Стало простіше. Тим більше що наша анонімність була умовною. Це скоріше частина образу: маски, балаклави привертають увагу. Звичайно ж, думаю, і СБУ, і МВС доволі давно знали наші імена. У практичному сенсі підтримувати далі гру в анонімність не мало ніякого сенсу. Тому ми пішли на прес-конференцію під справжніми іменами: я, Артем Карпінський, Андрій Перевезій і Олександр Галущенко. З нами також був представник адвокатського об’єднання, який давав юридичний коментар.
– Як ви вважаєте, чи повинен бути в українських хактивістів імунітет, тобто захист від кримінального переслідування? Або це призведе до втрати автономності?
– Перш за все я вважаю, що імунітету від кримінального переслідування не має бути у жодної людини. «Хороший хлопець» – не виправдання. Але наша правоохоронна система повністю корумпована і розвалена – в цьому я бачу проблему. Тобто якщо ми не порушуємо українських законів, то не розумію, які до нас можуть бути питання незалежно від того, хакери ми, пекарі чи ще хтось.
Прес-конференція «Українського кіберальянсу»
Про додаток «Дія» і безпеку інтернета
– На згаданій прес-конференції пролунала фраза, що якби УКА завжди звертався одразу до міжнародних інституцій, у України вже давно не було б безвізу. Що саме малося на увазі?
– Наскільки я пам’ятаю, це сказав Андрій Перевезій. Як я розумію, він мав на увазі те, що ті ж атомні електростанції і аеропорти – частина критичної інфраструктури, і Україна має певні міжнародні зобов’язання щодо рівня безпеки цих об’єктів. Тому що якщо впаде, борони боже, цивільний літак або станеться аварія на атомній електростанції, постраждає не тільки Україна. І якщо б міжнародні організації, що займаються контролем атомної енергетики і безпекою польотів (IAEA і ICAO), дізналися, як погано захищені ці критичні об’єкти, у них виникло б чимало запитань до українського уряду.
– В одному зі своїх постів ви писали, що мобільний зв’язок в Україні небезпечний, на відміну від інтернету. Розкажіть і про це.
– Я насправді здивований, що це для когось є секретом. З початку 2000-х, коли був прийнятий Закон “Про телекомунікації”, у Служби безпеки України з’явився прямий доступ до телефонних мереж операторів. Це потрібно для того, щоб вести «негласні розшукові дії» або, кажучи простіше, прослуховування. Правоохоронні органи отримують на рік до декількох тисяч ордерів на законну прослушку. Але оскільки у них є прямий доступ до обладнання операторів, це відкриває величезний простір для зловживань. Існує чорний ринок послуг, де за цілком помірні гроші вам продадуть всю інформацію з державних реєстрів, в тому числі почнуть незаконно записувати телефонні дзвінки.
А що сталося нещодавно… Зараз вже вдруге парламент приймає новий закон, №3014, про телекомунікації. В перший раз він був прийнятий в Раді, але Зеленський його повернув. Туди внесли певні зміни і знову направили на підпис. І невідомо, чи підпише його президент. Там такі формулювання, що тепер положення щодо прослуховування телефонних переговорів можуть витлумачити так, щоб змусити і інтернет-провайдерів надати Службі безпеки України доступ до своїх мереж, що, природно, спричинить вкрай неприємні наслідки. Це вже повне і остаточне неподобство.
Ніхто не сперечається з тим, що у правоохоронців має бути законна можливість отримувати інформацію про абонентів у телефонних операторів і провайдерів інтернету. Але, вважаю, логічно було б, щоб вони отримували ордер, надавали його оператору, а той самостійно записував потрібну інформацію. Якщо ж у правоохоронних органів є доступ до обладнання, то вони будуть цим користуватися, в тому числі в особистих корисливих цілях. А це корупція і величезні втрати для економіки і для прав громадян.
– Ви також недавно коментували проведення багбаунті з метою виявлення вразливостей додатку «Дія». Ви брали участь в цьому? Взагалі наскільки безпечним ви вважаєте цей додаток?
– Я уважно стежу за проектом масової діджіталізаціі. І вважаю, що це бездумна цифровізация, коли оцифровують взагалі не потрібні процеси. Припустимо, мені від держави потрібна довідка. Мені неважливо, в якій вона буде формі, я хочу, щоб довідок не було взагалі. Або візьмемо перше, що зробили в додатку «Дія», – додали туди паспорт громадянина України. Я не дуже розумію навіщо. По-моєму, набагато простіше скасувати перевірку паспортів під час продажу квитків на потяги, ніж завантажувати паспорт в телефон. Я просто хочу згідно з Конституцією мати свободу пересування і ходити без паспорта. Багато ідей в цьому додатку вважаю або безглуздими, або такими, що можуть привести до вкрай негативних наслідків.
Ми знаємо, що дані з реєстрів регулярно витікають, регулярно підробляються, що в цих реєстрах величезна кількість помилок. І замість того, щоб скоротити кількість інформації, яку держава збирає про громадян, замість того, щоб забезпечити належний захист цієї інформації, Міністерство цифрової трансформації намагається об’єднати всі бази в гігантську систему. А це значить, що ще більше людей отримають доступ до різних реєстрів, буде ще більше витоків і ризиків.
Що до наявності якихось вразливостей, то тут Міністерство цифрової трансформації реагує на критику абсолютно неадекватно. Багато журналістів намагалися отримати через офіційні запити хоч якусь інформацію про портал та додаток, в тому числі про атестат КСЗІ. У відповідь міністерство надало навмисне зіпсовані файли, які неможливо відкрити. Вони лише запевняють: «У нас все добре, ми провели аудити. У нас є сертифікати. Тільки ми їх не покажемо, вам треба просто вірити нам на слово». Я вважаю, що інформаційна безпека – не та область, де можна покладатися на слова чиновника.
Багбаунті-програма, про яку вони оголосили в грудні, це PR-хід, щоб трохи поліпшити власну репутацію: «Ось ми звернулися до хакерів з усього світу, вони все перевірили і майже нічого не знайшли, тобто додаток надійно захищений». Особисто ми в цьому не брали участі. Однак декілька українських компаній і установ (державних і приватних) зверталися до Міністерства цифрової трансформації: «Давайте ми теж візьмемо участь у вашому багбаунті», і реакція з боку пана міністра була абсолютно дикою – він усім відмовив.
Це свідчить про те, що вони намагаються по-тихому провести все на стороні і таким чином зміцнити свою репутацію, тому всіляко встромляють палиці в колеса, обмежуючи кількість учасників. Тим більше, що багбаунті проводиться тоді, коли люди впевнені: ми зробили все можливе, щоб продукт був безпечним. Але тут не було незалежних аудиторів. Брала участь лише якась естонська неприбуткова організація. Тобто незалежного аудиту не було, результати не опубліковані, але чомусь проводиться багбаунті-програма.
– Ваша цитата: «Зламати можна все що завгодно – це питання часу і витрачених зусиль». В такому випадку чи взагалі потрібні такі додатки, як «Дія»?
– Те, що зламати можна практично все, не означає, що нічого не потрібно робити. Я не закликаю всіх повернутися в кам’яний вік, відмовитися від телефону і комп’ютера і знову використовувати папір. Це незручно, несучасно, навіщо відмовлятися від технологічного прогресу? Але будь-які завдання потрібно вирішувати правильно. Ось яка мета ставиться перед додатком «Дія»? Одна з тих, що періодично виринає в заявах керівництва Міністерства цифрової трансформації і самого пана Зеленського, – в перспективі це дозволить провести вибори в цифровому вигляді.
Але я вважаю, і це не лише моя думка, а практично всіх міжнародних експертів в області виборів і інформаційної безпеки, що сьогодні не існує технології, яка дозволила б провести вибори в онлайні і переконати всіх, що вони пройшли чесно. Тому що завдання виборів – не визначити переможця, а переконати того, хто програв, що шахрайства не було. У випадку з цифровими виборами це неможливо, принаймні зараз. У світі не існує жодної країни, крім Естонії, де б проводилися вибори онлайн. І навіть в самій невеликій Естонії багато незадоволених, які хочуть повернутися до більш безпечної офлайновой системи.
Якщо Міністерство цифрової трансформації хоче щось поліпшити, варто було б насамперед зайнятися відповідальністю чиновників за внесення недостовірної інформації до реєстрів. От, припустимо, ви захотіли скористатися водійським посвідченням в додатку «Дія». Там може зникнути фотографія, не виявитися техталона або бути написана будь-яка маячня. І вам доведеться йти в Центр адміністративних послуг і практично заново оформляти посвідчення водія. Я вважаю, що корисною цифровізацією було б змусити тих чиновників, які внесли недостовірні дані, виправити свою помилку, щоб не ви бігали, а вони робили це самостійно. Після того як система почне нормально працювати в офлайні, її можна автоматизувати. Але якщо ми автоматизуємо бардак і шахрайство, то отримаємо автоматизований бардак і цифрове шахрайство.
– В одному з інтерв’ю ви казали, що некомпетентність і безвідповідальність – дві причини, які дозволяють російським хакерам здійснювати атаки на наші державні і бізнес-структури. Як можна усунути ці проблеми? Чи можливо їх вирішити повністю, якщо, за вашими ж словами, зламати можна все що завгодно?
– Зламати можна всіх, але когось зламати легко, а когось – складно. І важливий навіть не сам факт зламу, а те, як люди на нього реагують, як намагаються знизити завдані збитки.
Чиновники мають зрозуміти, що несуть відповідальність за інформацію, яку ми їм довірили, адже вона є цінною. Ми можемо навіть дізнатися конкретні розцінки на чорному ринку. Так що інформація – це цінне майно, яке треба охороняти точно так, як і фізичні об’єкти. А поки ніхто за її збереження і захист не відповідає.
Є інша сторона медалі: людина може нести відповідальність тільки за те, в чому розбирається. Якщо в держорганізації немає системного адміністратора, а є лише низькооплачуваний співробітник, який бігає і замінює картриджі в принтерах, то звісно, що він ні за що відповідати не може. Але якщо державна установа не здатна підтримувати власну інформаційну систему, нехай повертається до паперу, сейфів і охоронців на вході. Тобто або ви навчитеся підтримувати свої інформаційні системи і нести відповідальність за їх захист аж до кримінальної, звільнень, штрафів, доган, або у вас цих систем просто не повинно бути.
– На початку інтерв’ю ви сказали, що на цей час залишилося три активних члена організації. Чим Ukrainian Cyber Alliance займається зараз?
– Зараз ми в основному займаємося власними справами. Хоча, звісно, беремо участь у всіляких обговореннях, в тому числі про зміни в законодавчій сфері. Але якихось системних проектів не ведемо. Для початку ми хочемо домогтися справедливості в суді, а потім визначимося, що робити далі.
– Є якісь конкретні плани, ідеї?
Ідей безліч: що можна було б зробити і для захисту, і для атаки. Це якраз завдання громадської організації – придумувати такі проекти. Але вони покладені в довгий ящик. Спочатку розберемося з судом.
Читайте також інші тематичні матеріали на InformNapalm
- Волонтери опублікували масштабну інтерактивну базу даних російської агресії
- Волонтери зібрали докази участі 35 військових підрозділів ЗС РФ у операції захоплення Криму
- SurkovLeaks (part 3): аналіз листування першого заступника Суркова Інала Ардзінби
- SurkovLeaks (part 2): хактивісти опублікували новий дамп пошти приймальні Суркова
- Злам фінансових систем ТО «ДНР». На рахунках фонду терориста Захарченка понад 100 млн рублів
- Кібервійна: огляд найуспішніших публічних операцій Українського Кіберальянсу в 2016 році
- FrolovLeaks VII: кошториси на шабаш «російської весни»
- Андрій Деркач та його плівки: про спецоперацію РФ із втручання у президентські вибори США
- За антиукраїнськими акціями в Польщі стоїть Кремль — аналіз викритого листування
- Начальник артилерії першого російського окупаційного корпусу під контролем UCA. Частина 1
- Начальник розвідки 2 АК ЗС РФ під контролем UCA. Part 5: ПСНР-8
- UCA: «Як ми ловили російських пропагандистів у промислових масштабах»
- Начальник розвідки 2-го АК ЗС РФ під контролем UCA. Part 2: БЛА «Форпост»
- Хакери «спалили» спецпризначенця ФСВП Росії. Відео (18+)