Сложно ли взломать Украину? Как мы тестировали государственные IT-системы

Сложно ли взломать Украину? Как мы тестировали государственные IT-системы

Кибербезопасность стала в Украине не менее модной темой, чем борьба с коррупцией. «Украинский киберальянс» и независимые исследователи несколько недель искали уязвимые системы в государственном секторе. Можно ли «взломать» сайт при помощи Google? Бывают ли российские хакеры или это фантастика? Как чиновники реагируют на сообщение об уязвимостях? Чем занимаются правоохранительные органы? О результатах акции #FuckResponsibleDisclosure рассказывает Шон Таунсенд, участник и спикер UCA.

У меня для вас две новости, хорошая и плохая. Хорошая состоит в том, что благодаря усилиям Альянса и добровольцев множество дыр в безопасности государственных систем было закрыто, в том числе на объектах критической инфраструктуры и в военной сфере. Плохая же заключается даже не в том, что уязвимыми оказались полиция, военкомат, водоканал, а в том, что несмотря на то, что четвёртый год идёт война, и то, что Украина стала жертвой сотен целенаправленных и разрушительных кибератак, наша страна по-прежнему не защищена в «киберпространстве».

Мы постоянно сталкиваемся с российскими хакерами и неготовностью государственных органов к атакам. Так, в декабре 2016 года, читая взломанную переписку пророссийских хакеров, мы выяснили, что полностью скомпрометирован почтовый сервер МВД Украины, о чём немедленно сообщили в МВД, Киберполицию и СБУ. Так как мы сами занимаемся тем же самым в России и на оккупированных территориях, взломом нас не удивить. Мы не свидетели «Киберапокалипсиса», и знаем, что при достаточном количестве денег, времени и капельки удачи можно взломать всё что угодно.

Удивило отсутствие реакции. В МВД, видимо, решили, что это случайное совпадение и больше подобные атаки повториться не могут. С подобной реакцией мы столкнёмся ещё неоднократно, и она — худшая из всех возможных. Даже для того, чтобы показать уязвимость, нам часто приходится показывать образцы внутренних документов, потому что чиновники пытаются отрицать факты несанкционированного доступа к их системам. В случае с почтовым сервером подтверждение в СБУ нам любезно добыл журналист издания InternetUA.

Первейшая отмазка, что это — не «секретные документы». А нас интересуют не секреты и даже не возможность сыграть ноктюрн задвижками водоканалов в Ровно и Кировограде. Нас интересует только возможность или невозможность получить доступ извне к тому, что лежит внутри. Я уже рассказывал историю о том, как мы взломали Оренбургскую область. Всё началось с утечки пароля от районной ветеринарной клиники и закончилось полным взломом областного ЦОД — всех сайтов, всей почты, всего документооборота, включая ведомственную связь, правительственные телеграммы и даже стойки ФСБ. Плевать на статус документов. Имея даже маленькую щёлочку, можно пройти во внутреннюю сеть и добраться до более значимых ресурсов.

Тем не менее, это оказалось очень сложно объяснить представителям ГП «Энергоатом» и Херсонского областного совета, которые оставили несколько своих ресурсов в открытом доступе в сети. Не потребовалось ничего ломать, достаточно оказалось найти машину с диском общего пользования. В «Энергоатоме» таких машин было четыре. Я понимаю беспокойство пресс-службы наших украинских атомщиков, даже намёк на то, что по сетям атомных электростанций могут лазить хакеры, может вызвать панику. Но факт остаётся фактом — не важно, был ли это контрактор, подразделение, подрядчик, не важно, секретные документы или нет, не важно, перемещаются ли документы внутри организации по локальной сети или на флешке у нерадивого сотрудника. Утечка есть утечка.

Мы не использовали ни один из «хакерских методов». Только поиск, иногда даже просто поиск в Google. Имея доступ в локальную сеть (через флешку ли или прямой, а одна из точек открывала прямой путь в локалку), рано или поздно, но мы могли бы добраться до всей сети целиком и полностью. Таким же образом мы уже получили доступ к технологической системе одной из электростанций в России. Таким же образом российским хакерам ненадолго удалось отключить «Прикарпатьеоблэнерго» и ПС «Северная» в 2015 и 2016 годах. Проблема в том, что системы Ровенского и Кировоградского водоканалов не пришлось ломать. Они лежали в открытом доступе, со списками потребителей, списками IP-адресов, логинами и паролями, VPN-ключами и всем необходимым для того, чтобы устроить небольшой террористический акт.

Могу вас немного успокоить — этими случаями немедленно заинтересовалась СБУ. А вот «Киевэнергоремонт» и Государственная служба финансового мониторинга считают, что у них всё в порядке. Список ресурсов, которые мы нашли в открытом доступе или обнаружили следы других хакеров, просто удручает. Академия МВД (доступ к паролям от сайта, внутренней сети, следы многократных взломов, база данных офицеров), сервер пресс-службы Национальной полиции в Киевской области (документы, логины и пароли, доступ к внутренней сети), Кировоградский водоканал (доступ к критической инфраструктуре), «Энергоатом», «Киевэнергоремонт», Судебная власть Украины, НАЗК, декларации МВД (включая специальные подразделения), Кировоградский центр занятости, Никопольский пенсионный фонд…

Многие просто не в состоянии понять, что любая информация имеет ценность. Львовский военкомат выложил список из пятнадцати тысяч человек, которые, по мнению военкомата, «уклоняются от призыва» (то есть военкомат их просто не нашёл по месту регистрации). Сами выложили. Не на открытый даже диск или FTP, а в Facebook. То есть понимание о том, что это персональные данные, охраняемые законом, напрочь отсутствует. А мы нашли областной военкомат Закарпатской области — базы данных призывников, приказы, переписка с областной администрацией и Министерством обороны, планы, списки, кто в какой части служит, одним словом — всё! Тут уже пахнет не просто «Ой, извините!», а военной прокуратурой, потому что это информация с ограниченным доступом, а не какие-то «персональные данные».

То есть российским хакерам не пришлось бы даже ничего ломать. Приходи и бери. Следующие два примера — Черниговская ОГА и Донецкая ОВГА. В Чернигове были открыты диски. После нашего поста диски закрыли, но один из наших волонтёров тут же нашел уязвимость на сайте, которая давала возможность его полностью взломать и получить доступ к якобы закрытым дискам. По правилам, публичные сервисы должны быть полностью отделены от локальной сети. Но правила ведь не для чиновников, верно? С Донецкой администрацией всё было ещё интереснее. Тот же волонтёр нашёл там беспарольную программу удалённого управления (веб-шелл WSO2), который установили другие хакеры.

При этом они не только взломали сайт, но также получили на сервере права администратора, украли у настоящих администраторов все их пароли и полезли дальше в локальную сеть. Напомню, что это не просто ОГА, а военно-гражданская администрация в зоне АТО. А хакеры ходили туда из Самары (если кто-то забыл, то это такой город в Российской Федерации, с которой у нас, на секундочку, идёт война). Даже после сообщения о взломе сайт простоял в таком виде ещё неделю. Потом то ли администраторы решили прикинуться ветошью, то ли хакеры увидели наше сообщение и зачистили сервер, так или иначе, но его переустановили. Пресс-служба ОГА говорит о «временных технических неполадках». Когда в зоне АТО российские хакеры лазят в сети областной администрации — это, ребята, не «неполадки», а шпионаж со стороны страны-агрессора.

Даже если сервер переустановили сисадмины ОГА, этого совершенно недостаточно — российские могли закрепиться на других машинах в сети. Закрыть доступ и даже переустановить скомпрометированную систему — только начало. Теперь уже нужно всю сеть проверять. Если вы забыли, то я вам напомню о том, как страдали ANNA News и народная милиция «ЛНР». Сисадмин приходил, обновлял софт до последних версий, пытался защитить взломанный и восстановленный сервер, а потом снова приходили мы, пользуясь хитро упрятанными закладками, и взламывали всё заново. После четвёртого взлома НМ «ЛНР» выключили свой сайт и больше его не включали. Всю ценную информацию о боевиках мы украли ещё год назад и отдали «Миротворцу».

Куда уехал CERT?

И как на это реагирует государство? Почти никак. Да, дыры закрываются, в некоторых случаях СБУ проводит расследования или профилактическую работу. Киберполиция, по заявлению киевской полиции, им даже помогла переустановить и «защитить» компьютеры — видимо, ни одного человека, способного настроить Windows так, чтобы не вывалить всё в интернет, в полиции не нашлось. Но в целом силовики занимаются своей работой — раскрывают и предотвращают преступления. А кто у нас занимается безопасностью? Никто. По идее, о произошедших инцидентах должна была отчитаться в первую очередь сама организация, потом сообщить в Госспецсвязь, а та, в свою очередь, должна были рассказать все истории, которые рассказываю вам я, и выработать рекомендации. Я не знаю, чем там занимаются в ГСССЗИ (укр. ДССЗЗІ), но ничего сделано не было. Ни по одному из перечисленных инцидентов и атак.

Более того, CERT-UA при Госспецсвязи стал одной из первых жертв нашего флешмоба. И бездействуют они не только в этом случае, но и во всех прочих. О российских хакерах у нас любят поговорить все, о том, какая это страшная угроза, о грядущем киберапокалипсисе, о необходимости наращивать темпы развития повышения информационной безопасности. И подобные лингвистические фокусы из лексикона стрелочников. Только вот после десятков кибератак на Украину нет ни одного вменяемого отчёта об инциденте. Да, можно выписать из Америки профессиональных экспертов и Cisco Talos почитает логи и напишет отчёт c техническими подробностями о NotPetya, можно так же перевести отчёты Microsoft и ESET, но кто устроил атаку? С какой целью? Что нужно сделать, чтобы этого не произошло в будущем? Почему это стало возможным? Тишина.

От того, что будет проведён бумажный аудит (как это предполагается в законе 2126а, об основах кибербезопасности), у вас будет бумажная же безопасность. Для того, чтобы стало возможным частно-государственное партнёрство, нужен партнёр, а он отсутствует. Мы сообщаем о дыре размером в вагон, а в ответ слышим всё те же байки: ничего не было, было, но не у нас, а у нашего подразделения, ну, у нас, но это не привело к плохим последствиям, привело к плохим последствиям, а мы просто отморозимся или солжём в пресс-релизе. Какие ещё последствия вам нужны? После Медка и всего прочего? За безопасность в Украине отвечают вроде бы все, и вроде бы никто.

МЧС выкладывает в открытый доступ схемы прокладки кабелей ведомственной связи. У нас что, никогда коммуникационные колодцы не поджигают? (В Киеве горят и довольно регулярно). «Киевстар» выкладывает проекты сети мобильной связи (нужно отдать им должное: время реакции службы безопасности «Киевстар» на пост в Facebook составило меньше двух минут, — до таких показателей государственному сектору расти и расти, среднее время реакции — сутки и больше). Министерство здравоохранения — дыра в сайте. Один раз CERT всё-таки провёл мониторинг уязвимости государственных сайтов (или, может, их кто-то из активистов доконал — и они опубликовали предупреждение), так вот, в этом списке сайт НИЭКЦ (криминалистического центра, который делает экспертизу по уголовным делам) был отмечен, как взломанный. Он и стоял в подобном виде год, пока мы не рассказали об этом по телевизору. Тут уж представитель НИЭКЦ пришла ко мне в личку и заверила, что они очень внимательно относятся к безопасности. Мило поговорили. Спасибо!

В личке представители всех организаций милые и пушистые, и иногда даже в комментариях выражают благодарность за найденные уязвимости. Чёрт возьми, заместитель головы херсонского областного совета даже пост в Facebook написала. И что я вам скажу в ответ? Благодарности — это, конечно, приятно, закрытые уязвимости — это не только приятно, но и полезно, причём для всех, но по большому счёту нам нужны не ваши благодарности, а нужно, чтобы вы качественно делали свою работу. К примеру, когда мы взломали Астраханскую область, спикер областной думы орала по НТВ: «Уволим всех!». Так что начинать исправлять ошибки нужно уже сейчас, не дожидаясь «последствий». И сделать это без публичного обсуждения невозможно. Ваши сайты забиты «новостями» о проведённых вами конференциях, встречах, законодательных инициативах и прочей лабудой, которую решительно невозможно читать, только не о том, что вами была допущена ошибка и как вы её исправили. Не нужно притворяться неуязвимыми, ломают всех, но работа над ошибками показывает, что вам не наплевать, что в вашей организации есть прогресс. И служит предупреждением для всех остальных. Иначе не изменится ничего.

Что делать? О наказании невиновных и награждении непричастных

Никакие волонтёры, хакеры, модные специалисты, повышенные зарплаты, строгие наказания сами по себе не помогают. Попались «Запорожсталь», сеть супермаркетов, киевское коммунальное предприятие выложило онлайн свою бухгалтерию и какой-то ключ в папке «BANK», видимо, от расчётного счёта. О том, что основой для информационной атаки на «Энергоатом» со стороны «Киберберкута» послужили документы, украденные россиянами в Министерстве экологии, мы почему-то узнаём через Facebook, и только потому, что «Энергоатом» хотел отмазаться от этой утечки. Почему молчит само Министерство экологии? Или вы думаете, что там нет ничего интересного? Могу вас заверить, что чтение отчётов Балансной комиссии о состоянии ядерных объектов оказалось настолько интересным, что когда я об этом упомянул в комментарии, пресс-служба атомщиков чуть ли не подпрыгнула, если бы это было возможно на Facebook. (Кстати, с ядерной безопасностью у нас всё хорошо, незначительные инциденты бывают, но без последствий).

В «украинском сегменте» сети Интернет можно просто тралить полезную информацию. Попался нотариус вместе со всеми своими ключами, которые открывают доступ в реестры. В августе что-то случилось с сайтом Службы внешней разведки, который крутится на WordPress (Google всё помнит). Служба такси выкладывает онлайн логи поездок. Бесконечные отписки, отмазки, перекладывание ответственности и извинения в Facebook — не защищают. Десяток «киберцентров» (у нас всюду киберцентр, скоро при ЖЭКах открывать начнут) занимаются бесконечным разглагольствованием и переливанием из пустого в порожнее, а ещё чаще — из бюджета в неизвестном направлении. Разрабатываются тонны инструкций и правил поведения на случай подводного боя с инопланетянами, в то время как российские хакеры преспокойно шарят в украинских сетях — и в гражданских, и в военных, и в сетях критической инфраструктуры.

Так что же делать с кибербезопасностью? Упрощать, а не усложнять законы и инструкции. Упразднять бесполезные учреждения. Закрывать бесполезные веб-сайты, на которые никто не ходит — проще сделать справочник районных администраций, чем поддерживать сотни мусорных сайтов. Увольнять бесполезных людей, которые не только не справляются со своей работой, а практически занимаются саботажем. Начинать с самых простых элементарных вещей. Убираем из сети открытые SMB-диски и FTP-сервера, отделяем публичные сервисы от внутренней сети, устанавливаем нормальные пароли и двухфакторную аутентификацию, не кликаем по случайным ссылкам. И самое главное, если что-то случается, то об этом нужно честно рассказать, уведомить ту же Госспецсвязь, постараться выяснить, что именно произошло, как и кому это выгодно. Пытаясь скрыть правду, вы вредите и себе, и нашей стране. В случае полномасштабной спланированной кибератаки отмазки, бумажки и административный пинг-понг не помогут. Мы, конечно, не умрём, но считать придётся на счётах и при свечах. И не думайте, что все вокруг идиоты, а у вас самые грамотные администраторы, прекрасные полисы и всё замечательно, потому что взломать можно каждого — это вопрос времени, денег и мотивации.