MY.UAСтатьи
Сложно ли взломать Украину? Как мы тестировали государственные IT-системы
Сложно ли взломать Украину? Как мы тестировали государственные IT-системы

Сложно ли взломать Украину? Как мы тестировали государственные IT-системы

Шон Таунсенд
12:00 07.12.2017

Сложно ли взломать Украину? Как мы тестировали государственные IT-системы

Почувствуют себя немного хакером. Как #InformNapalm тестировал украинские IT-системы
Источник

Кибербезопасность стала в Украине не менее модной темой, чем борьба с коррупцией. «Украинский киберальянс» и независимые исследователи несколько недель искали уязвимые системы в государственном секторе. Можно ли «взломать» сайт при помощи Google? Бывают ли российские хакеры или это фантастика? Как чиновники реагируют на сообщение об уязвимостях? Чем занимаются правоохранительные органы? О результатах акции #FuckResponsibleDisclosure рассказывает Шон Таунсенд, участник и спикер UCA.

У меня для вас две новости, хорошая и плохая. Хорошая состоит в том, что благодаря усилиям Альянса и добровольцев множество дыр в безопасности государственных систем было закрыто, в том числе на объектах критической инфраструктуры и в военной сфере. Плохая же заключается даже не в том, что уязвимыми оказались полиция, военкомат, водоканал, а в том, что несмотря на то, что четвёртый год идёт война, и то, что Украина стала жертвой сотен целенаправленных и разрушительных кибератак, наша страна по-прежнему не защищена в «киберпространстве».

Мы постоянно сталкиваемся с российскими хакерами и неготовностью государственных органов к атакам. Так, в декабре 2016 года, читая взломанную переписку пророссийских хакеров, мы выяснили, что полностью скомпрометирован почтовый сервер МВД Украины, о чём немедленно сообщили в МВД, Киберполицию и СБУ. Так как мы сами занимаемся тем же самым в России и на оккупированных территориях, взломом нас не удивить. Мы не свидетели «Киберапокалипсиса», и знаем, что при достаточном количестве денег, времени и капельки удачи можно взломать всё что угодно.

Удивило отсутствие реакции. В МВД, видимо, решили, что это случайное совпадение и больше подобные атаки повториться не могут. С подобной реакцией мы столкнёмся ещё неоднократно, и она — худшая из всех возможных. Даже для того, чтобы показать уязвимость, нам часто приходится показывать образцы внутренних документов, потому что чиновники пытаются отрицать факты несанкционированного доступа к их системам. В случае с почтовым сервером подтверждение в СБУ нам любезно добыл журналист издания InternetUA.

Первейшая отмазка, что это — не «секретные документы». А нас интересуют не секреты и даже не возможность сыграть ноктюрн задвижками водоканалов в Ровно и Кировограде. Нас интересует только возможность или невозможность получить доступ извне к тому, что лежит внутри. Я уже рассказывал историю о том, как мы взломали Оренбургскую область. Всё началось с утечки пароля от районной ветеринарной клиники и закончилось полным взломом областного ЦОД — всех сайтов, всей почты, всего документооборота, включая ведомственную связь, правительственные телеграммы и даже стойки ФСБ. Плевать на статус документов. Имея даже маленькую щёлочку, можно пройти во внутреннюю сеть и добраться до более значимых ресурсов.

Тем не менее, это оказалось очень сложно объяснить представителям ГП «Энергоатом» и Херсонского областного совета, которые оставили несколько своих ресурсов в открытом доступе в сети. Не потребовалось ничего ломать, достаточно оказалось найти машину с диском общего пользования. В «Энергоатоме» таких машин было четыре. Я понимаю беспокойство пресс-службы наших украинских атомщиков, даже намёк на то, что по сетям атомных электростанций могут лазить хакеры, может вызвать панику. Но факт остаётся фактом — не важно, был ли это контрактор, подразделение, подрядчик, не важно, секретные документы или нет, не важно, перемещаются ли документы внутри организации по локальной сети или на флешке у нерадивого сотрудника. Утечка есть утечка.

Мы не использовали ни один из «хакерских методов». Только поиск, иногда даже просто поиск в Google. Имея доступ в локальную сеть (через флешку ли или прямой, а одна из точек открывала прямой путь в локалку), рано или поздно, но мы могли бы добраться до всей сети целиком и полностью. Таким же образом мы уже получили доступ к технологической системе одной из электростанций в России. Таким же образом российским хакерам ненадолго удалось отключить «Прикарпатьеоблэнерго» и ПС «Северная» в 2015 и 2016 годах. Проблема в том, что системы Ровенского и Кировоградского водоканалов не пришлось ломать. Они лежали в открытом доступе, со списками потребителей, списками IP-адресов, логинами и паролями, VPN-ключами и всем необходимым для того, чтобы устроить небольшой террористический акт.

Могу вас немного успокоить — этими случаями немедленно заинтересовалась СБУ. А вот «Киевэнергоремонт» и Государственная служба финансового мониторинга считают, что у них всё в порядке. Список ресурсов, которые мы нашли в открытом доступе или обнаружили следы других хакеров, просто удручает. Академия МВД (доступ к паролям от сайта, внутренней сети, следы многократных взломов, база данных офицеров), сервер пресс-службы Национальной полиции в Киевской области (документы, логины и пароли, доступ к внутренней сети), Кировоградский водоканал (доступ к критической инфраструктуре), «Энергоатом», «Киевэнергоремонт», Судебная власть Украины, НАЗК, декларации МВД (включая специальные подразделения), Кировоградский центр занятости, Никопольский пенсионный фонд…

Многие просто не в состоянии понять, что любая информация имеет ценность. Львовский военкомат выложил список из пятнадцати тысяч человек, которые, по мнению военкомата, «уклоняются от призыва» (то есть военкомат их просто не нашёл по месту регистрации). Сами выложили. Не на открытый даже диск или FTP, а в Facebook. То есть понимание о том, что это персональные данные, охраняемые законом, напрочь отсутствует. А мы нашли областной военкомат Закарпатской области — базы данных призывников, приказы, переписка с областной администрацией и Министерством обороны, планы, списки, кто в какой части служит, одним словом — всё! Тут уже пахнет не просто «Ой, извините!», а военной прокуратурой, потому что это информация с ограниченным доступом, а не какие-то «персональные данные».

То есть российским хакерам не пришлось бы даже ничего ломать. Приходи и бери. Следующие два примера — Черниговская ОГА и Донецкая ОВГА. В Чернигове были открыты диски. После нашего поста диски закрыли, но один из наших волонтёров тут же нашел уязвимость на сайте, которая давала возможность его полностью взломать и получить доступ к якобы закрытым дискам. По правилам, публичные сервисы должны быть полностью отделены от локальной сети. Но правила ведь не для чиновников, верно? С Донецкой администрацией всё было ещё интереснее. Тот же волонтёр нашёл там беспарольную программу удалённого управления (веб-шелл WSO2), который установили другие хакеры.

При этом они не только взломали сайт, но также получили на сервере права администратора, украли у настоящих администраторов все их пароли и полезли дальше в локальную сеть. Напомню, что это не просто ОГА, а военно-гражданская администрация в зоне АТО. А хакеры ходили туда из Самары (если кто-то забыл, то это такой город в Российской Федерации, с которой у нас, на секундочку, идёт война). Даже после сообщения о взломе сайт простоял в таком виде ещё неделю. Потом то ли администраторы решили прикинуться ветошью, то ли хакеры увидели наше сообщение и зачистили сервер, так или иначе, но его переустановили. Пресс-служба ОГА говорит о «временных технических неполадках». Когда в зоне АТО российские хакеры лазят в сети областной администрации — это, ребята, не «неполадки», а шпионаж со стороны страны-агрессора.

Даже если сервер переустановили сисадмины ОГА, этого совершенно недостаточно — российские могли закрепиться на других машинах в сети. Закрыть доступ и даже переустановить скомпрометированную систему — только начало. Теперь уже нужно всю сеть проверять. Если вы забыли, то я вам напомню о том, как страдали ANNA News и народная милиция «ЛНР». Сисадмин приходил, обновлял софт до последних версий, пытался защитить взломанный и восстановленный сервер, а потом снова приходили мы, пользуясь хитро упрятанными закладками, и взламывали всё заново. После четвёртого взлома НМ «ЛНР» выключили свой сайт и больше его не включали. Всю ценную информацию о боевиках мы украли ещё год назад и отдали «Миротворцу».

Куда уехал CERT?

И как на это реагирует государство? Почти никак. Да, дыры закрываются, в некоторых случаях СБУ проводит расследования или профилактическую работу. Киберполиция, по заявлению киевской полиции, им даже помогла переустановить и «защитить» компьютеры — видимо, ни одного человека, способного настроить Windows так, чтобы не вывалить всё в интернет, в полиции не нашлось. Но в целом силовики занимаются своей работой — раскрывают и предотвращают преступления. А кто у нас занимается безопасностью? Никто. По идее, о произошедших инцидентах должна была отчитаться в первую очередь сама организация, потом сообщить в Госспецсвязь, а та, в свою очередь, должна были рассказать все истории, которые рассказываю вам я, и выработать рекомендации. Я не знаю, чем там занимаются в ГСССЗИ (укр. ДССЗЗІ), но ничего сделано не было. Ни по одному из перечисленных инцидентов и атак.

Более того, CERT-UA при Госспецсвязи стал одной из первых жертв нашего флешмоба. И бездействуют они не только в этом случае, но и во всех прочих. О российских хакерах у нас любят поговорить все, о том, какая это страшная угроза, о грядущем киберапокалипсисе, о необходимости наращивать темпы развития повышения информационной безопасности. И подобные лингвистические фокусы из лексикона стрелочников. Только вот после десятков кибератак на Украину нет ни одного вменяемого отчёта об инциденте. Да, можно выписать из Америки профессиональных экспертов и Cisco Talos почитает логи и напишет отчёт c техническими подробностями о NotPetya, можно так же перевести отчёты Microsoft и ESET, но кто устроил атаку? С какой целью? Что нужно сделать, чтобы этого не произошло в будущем? Почему это стало возможным? Тишина.

От того, что будет проведён бумажный аудит (как это предполагается в законе 2126а, об основах кибербезопасности), у вас будет бумажная же безопасность. Для того, чтобы стало возможным частно-государственное партнёрство, нужен партнёр, а он отсутствует. Мы сообщаем о дыре размером в вагон, а в ответ слышим всё те же байки: ничего не было, было, но не у нас, а у нашего подразделения, ну, у нас, но это не привело к плохим последствиям, привело к плохим последствиям, а мы просто отморозимся или солжём в пресс-релизе. Какие ещё последствия вам нужны? После Медка и всего прочего? За безопасность в Украине отвечают вроде бы все, и вроде бы никто.

МЧС выкладывает в открытый доступ схемы прокладки кабелей ведомственной связи. У нас что, никогда коммуникационные колодцы не поджигают? (В Киеве горят и довольно регулярно). «Киевстар» выкладывает проекты сети мобильной связи (нужно отдать им должное: время реакции службы безопасности «Киевстар» на пост в Facebook составило меньше двух минут, — до таких показателей государственному сектору расти и расти, среднее время реакции — сутки и больше). Министерство здравоохранения — дыра в сайте. Один раз CERT всё-таки провёл мониторинг уязвимости государственных сайтов (или, может, их кто-то из активистов доконал — и они опубликовали предупреждение), так вот, в этом списке сайт НИЭКЦ (криминалистического центра, который делает экспертизу по уголовным делам) был отмечен, как взломанный. Он и стоял в подобном виде год, пока мы не рассказали об этом по телевизору. Тут уж представитель НИЭКЦ пришла ко мне в личку и заверила, что они очень внимательно относятся к безопасности. Мило поговорили. Спасибо!

В личке представители всех организаций милые и пушистые, и иногда даже в комментариях выражают благодарность за найденные уязвимости. Чёрт возьми, заместитель головы херсонского областного совета даже пост в Facebook написала. И что я вам скажу в ответ? Благодарности — это, конечно, приятно, закрытые уязвимости — это не только приятно, но и полезно, причём для всех, но по большому счёту нам нужны не ваши благодарности, а нужно, чтобы вы качественно делали свою работу. К примеру, когда мы взломали Астраханскую область, спикер областной думы орала по НТВ: «Уволим всех!». Так что начинать исправлять ошибки нужно уже сейчас, не дожидаясь «последствий». И сделать это без публичного обсуждения невозможно. Ваши сайты забиты «новостями» о проведённых вами конференциях, встречах, законодательных инициативах и прочей лабудой, которую решительно невозможно читать, только не о том, что вами была допущена ошибка и как вы её исправили. Не нужно притворяться неуязвимыми, ломают всех, но работа над ошибками показывает, что вам не наплевать, что в вашей организации есть прогресс. И служит предупреждением для всех остальных. Иначе не изменится ничего.

Что делать? О наказании невиновных и награждении непричастных

Никакие волонтёры, хакеры, модные специалисты, повышенные зарплаты, строгие наказания сами по себе не помогают. Попались «Запорожсталь», сеть супермаркетов, киевское коммунальное предприятие выложило онлайн свою бухгалтерию и какой-то ключ в папке «BANK», видимо, от расчётного счёта. О том, что основой для информационной атаки на «Энергоатом» со стороны «Киберберкута» послужили документы, украденные россиянами в Министерстве экологии, мы почему-то узнаём через Facebook, и только потому, что «Энергоатом» хотел отмазаться от этой утечки. Почему молчит само Министерство экологии? Или вы думаете, что там нет ничего интересного? Могу вас заверить, что чтение отчётов Балансной комиссии о состоянии ядерных объектов оказалось настолько интересным, что когда я об этом упомянул в комментарии, пресс-служба атомщиков чуть ли не подпрыгнула, если бы это было возможно на Facebook. (Кстати, с ядерной безопасностью у нас всё хорошо, незначительные инциденты бывают, но без последствий).

В «украинском сегменте» сети Интернет можно просто тралить полезную информацию. Попался нотариус вместе со всеми своими ключами, которые открывают доступ в реестры. В августе что-то случилось с сайтом Службы внешней разведки, который крутится на WordPress (Google всё помнит). Служба такси выкладывает онлайн логи поездок. Бесконечные отписки, отмазки, перекладывание ответственности и извинения в Facebook — не защищают. Десяток «киберцентров» (у нас всюду киберцентр, скоро при ЖЭКах открывать начнут) занимаются бесконечным разглагольствованием и переливанием из пустого в порожнее, а ещё чаще — из бюджета в неизвестном направлении. Разрабатываются тонны инструкций и правил поведения на случай подводного боя с инопланетянами, в то время как российские хакеры преспокойно шарят в украинских сетях — и в гражданских, и в военных, и в сетях критической инфраструктуры.

Так что же делать с кибербезопасностью? Упрощать, а не усложнять законы и инструкции. Упразднять бесполезные учреждения. Закрывать бесполезные веб-сайты, на которые никто не ходит — проще сделать справочник районных администраций, чем поддерживать сотни мусорных сайтов. Увольнять бесполезных людей, которые не только не справляются со своей работой, а практически занимаются саботажем. Начинать с самых простых элементарных вещей. Убираем из сети открытые SMB-диски и FTP-сервера, отделяем публичные сервисы от внутренней сети, устанавливаем нормальные пароли и двухфакторную аутентификацию, не кликаем по случайным ссылкам. И самое главное, если что-то случается, то об этом нужно честно рассказать, уведомить ту же Госспецсвязь, постараться выяснить, что именно произошло, как и кому это выгодно. Пытаясь скрыть правду, вы вредите и себе, и нашей стране. В случае полномасштабной спланированной кибератаки отмазки, бумажки и административный пинг-понг не помогут. Мы, конечно, не умрём, но считать придётся на счётах и при свечах. И не думайте, что все вокруг идиоты, а у вас самые грамотные администраторы, прекрасные полисы и всё замечательно, потому что взломать можно каждого — это вопрос времени, денег и мотивации.

поддержать проект

Поделиться
Поделиться сюжетом
Источник материала
Дженніфер Лопес з'явилась у напівпрозорій сукні в Парижі
Elle
2026-07-13T17:00:33Z
Принцеса Шарлотта повторила один із найстильніших образів Кейт Міддлтон на Вімблдоні
Elle
2026-07-13T15:33:33Z
Співачка Тейлор Свіфт і зірка американського футболу Тревіс Келсі зіграли весілля в Нью-Йорку
Ukraine Art News
2026-07-09T07:48:52Z
Гаррі Стайлз потрапив до Книги рекордів Гіннеса після 12 аншлагових концертів на «Вемблі»
Elle
2026-07-06T16:09:37Z
Найгучніше весілля року: як Тейлор Свіфт і Тревіс Келсі перетворили Madison Square Garden на казковий сад
Elle
2026-07-05T18:39:39Z
Фото дня: син Гвінет Пелтроу та Кріса Мартіна дебютує в новій рекламній кампанії Burberry
Elle
2026-07-03T10:39:30Z
Енн Гетевей демонструє, як носити червоний колір під час вагітності — два нестандартні образи на літо-2026
Elle
2026-07-02T18:30:41Z
Помер соліст Village People і співавтор легендарного хіта Y.M.C.A. Віктор Вілліс
Ukraine Art News
2026-07-02T09:45:32Z
Фото дня: Кейт Міддлтон зійшла на три головні вершини Великої Британії за 24 години
Elle
2026-06-30T13:27:32Z
Тихий кутюр Fendi від Марії Грації К'юрі: вона робить те, що вміє найкраще
Elle
2026-07-13T18:48:31Z
20 найкрасивіших суконь гостей Тижня високої моди, які нас вразили
Elle
2026-07-13T18:15:33Z
Терапевтичний сад на ВДНГ потрапив у шортлист європейської архітектурної премії
Хмарочос
2026-07-13T15:45:41Z
Казка для нареченої: найкрасивіші весільні сукні на Тижні високої моди в Парижі
Elle
2026-07-12T19:42:32Z
Заступниця міністра пішла у відстаку: чому в Еквадорі виник скандал через проєкт Національного музею?
Хмарочос
2026-07-12T07:09:38Z
У Львові обрали найкращий проєкт кварталу соціального житла
Хмарочос
2026-07-11T08:27:48Z
В Колумбії сторорили культурий ценр для переселенців. Проєкт можна копіювати без авторських прав
Хмарочос
2026-07-11T07:06:40Z
Спідниця bubble знову повертається до трендів: Демі Мур і Таллула Вілліс показали, як носити головний силует сезону
Elle
2026-07-10T19:51:36Z
Подорож у минуле: історія культової Balenciaga City Bag, наново переосмисленої П’єрпаоло Піччолі
Elle
2026-07-10T13:51:30Z
Українське кіно на шляху до рівноправного партнерства: підсумки панелі на фестивалі у Карлових Варах
Cineast
2026-07-13T14:45:40Z
Артем Рижиков став лауреатом премії «Відкриття року» X Національної кінопремії «Золота Дзиґа»
Cineast
2026-07-13T13:09:35Z
Дивимося перший трейлер документального фільму «Кузьма: Страшно веселий»
Elle
2026-07-13T11:51:41Z
100 років української анімації: LINOLEUM та Довженко-Центр розпочинають розробку стратегії святкування
Cineast
2026-07-13T11:03:37Z
Фільми та серіали з Сідні Свіні: від романтики до темного трилеру
oKino
2026-07-13T09:46:15Z
Які українські фільми покажуть на кінофестивалі в Локарно-2026 та що про них відомо
Elle
2026-07-11T12:39:29Z
Дебютна режисерська робота Павла Шпегуна «Тиша» увійшла до конкурсної програми 83-го Венеційського міжнародного кінофестивалю
Cineast
2026-07-10T15:48:37Z
Українсько-німецька драма «Я рідко прокидаюсь мріючи» змагатиметься за «Золотого леопарда» в Локарно
Cineast
2026-07-10T14:33:33Z
Найгірший результат за всю історію кіноадаптацій Disney: що не так з художнім фільмом «Ваяна»
Elle
2026-07-10T12:45:31Z
Нафтова криза і дитяча смертність – як Утрехт став містом велосипедів?
Хмарочос
2026-07-13T14:09:39Z
Гора сміття біля Джакарти: один із найбільших полігонів світу годує 10 тисяч мешканців
Хмарочос
2026-07-13T10:54:40Z
Назвали найбільші міста планети: хто очолив рейтинг
Хмарочос
2026-07-12T09:51:40Z
Перед театром Volksbühne у Берліні відкриють міську купальню з безкоштовним входом
Хмарочос
2026-07-12T09:15:41Z
У Мексиці відкрили лінійний парк уздовж історичної залізниці
Хмарочос
2026-07-11T10:12:37Z
У Португалії звели приватний панельний будинок із лушпинням
Хмарочос
2026-07-10T15:54:43Z
У Бельгію старовинну фабрику перетворили на готель із глиняними ваннами
Хмарочос
2026-07-10T11:12:47Z
Від Чукутихи до Франкового каменя: у Верховині створюють інтерактивний маршрут "Мандрівка плаями Гуцульської столиці"
Ukraine Art News
2026-07-09T07:49:01Z
Як виглядав Луцьк понад 100 років тому: десятки архівних фото "ожили" завдяки ШІ
Ukraine Art News
2026-07-09T07:48:55Z
Який громадський транспорт купляли столичні посадовці в останні 4 роки?
Хмарочос
2026-07-13T13:36:44Z
Фарадж здає мандат. Чи врятують нові вибори лідера британських правопопулістів
Европейская правда
2026-07-13T13:21:08Z
Манікюр на літо-2026 для чудового настрою попри все: 10 модних ідей
Elle
2026-07-13T12:42:31Z
Гороскоп на молодик у Раку 14 липня для всіх знаків Зодіаку
Elle
2026-07-13T11:33:34Z
ПРОСТІР ДОСЛІДЖЕННЯ у «Бабиному Яру»: що варто знати про проєкт, присвячений архівам, пам'яті та родинній історії
Elle
2026-07-13T11:00:31Z
На Осокорках збудували «магазин-укриття» на 400 людей без укриття
Хмарочос
2026-07-13T08:39:39Z
Суд зобов’язав компанію мільйонера звільнити пляж «Золотий берег» в Одесі
Хмарочос
2026-07-13T07:57:41Z
4 експерти дискутують, хто оплатить капремонт 180 тисяч старих будинків України — і чи є відповідь?
Хмарочос
2026-07-13T06:21:40Z
Цирк у дворі й майданчик на 1500 м²: у Синергія Сіті відкрили новий простір для дітей
Хмарочос
2026-07-13T06:09:49Z
У США будують вертипорти для аеротаксі: коли сервіс працювати?
Хмарочос
2026-07-11T11:21:43Z
Індія запускає перший водневий потяг: коли він вирушить у рейс
Хмарочос
2026-07-11T10:45:40Z
Європарламент заборонив сканувати переписки у месенджерах
Хмарочос
2026-07-10T09:24:39Z
Як вибрати планшет Samsung для щоденних завдань
Cineast
2026-07-08T08:51:39Z
Viber Dating дарує знижку на триденний абонемент Atlas Festival
Хмарочос
2026-07-08T08:36:47Z
У центрі Львова заборонили кидати самокати будь-де
Хмарочос
2026-07-01T07:42:40Z
З липня Україна переходить на новий тип бензину. Що це означає
Хмарочос
2026-07-01T06:48:41Z
Продажі в магазинах Prostor зросли уп’ятеро завдяки фейку про закриття
Хмарочос
2026-06-30T15:42:38Z
Кращі моделі жіночих годинників Garmin
Gloss
2026-06-23T13:51:36Z
Модні булочки з лохиною та маскарпоне: простий літній рецепт
Elle
2026-07-13T14:18:30Z
10 продуктів, які варто вживати після тренувань, щоб отримати тіло своєї мрії та позбутися м’язових спазмів
Elle
2026-06-18T12:12:45Z
Білковий сніданок для швидкого схуднення: поради та рецепти від фітнес-експертки
Elle
2026-04-23T14:57:30Z
Корисний протеїновий перекус від знаменитої фітнес-тренерки, який забезпечить відчуття ситості надовго
Elle
2026-04-16T16:18:28Z
5 корисних перекусів на всі випадки життя
Elle
2026-04-07T16:21:30Z
Свята без алкоголю: 6 ідей zero-коктейлів
Elle
2025-12-30T13:48:17Z
Імбирне печиво як в Нью-Йорку: елементарний рецепт з продуктів, які є на кожній кухні
Elle
2025-12-09T16:15:46Z
Кава з сіллю: наважтеся спробувати! Навіщо додають сіль у каву, як це впливає на смак та у яких країнах це традиція
Photo Lviv
2025-11-30T06:12:14Z
Мигдальний тарт зі сливами: покроковий рецепт найніжнішого осіннього десерту
Elle
2025-11-18T18:30:23Z