Украинские хакеры проверили, как защищены сайты госучреждений. Спойлер - никак

В октябре издание Wall Street Journal опубликовало расследование, которое больше напоминает остросюжетный боевик. Израильские хакеры взломали сервера российской компании “Лаборатория Касперского”, чтобы обнаружить там похищенные инструменты хакеров из Агентства национальной безопасности США (АНБ).

Круговоротом хакерских операций в геополитическом масштабе, как и хакерами на государственной службе, уже никого не удивишь. Помимо скрытых войн спецагентств, проводятся и массовые публичные акции.

Например, в 2017 году случилось несколько массовых кибератак. В мае вирус WannaCry заразил около 300 тысяч компьютеров по всему миру. На смену ему пришел вирус NotPetya, который активизировался в конце июня. И хотя вирус также атаковал компьютеры по всему миру, основные 80% атак, по данным международного разработчика антивирусного обеспечения — компании ESET, пришлись на украинского пользователя.

В октябре появился вирус BadRabbit, атака которого прошла менее “успешно”, судя по количеству зараженных компьютеров. Вирус удалось вовремя остановить.

После атаки NotPetya, Служба безопасности Украины официально заявила о причастности российских хакеров к последним кибератакам. По мнению СБУ, целью атаки хакеров было не вымогательство денежных средств за дешифровку зараженных данных, а дестабилизация ситуации в стране.

Не случайна и символичность акции — кибератака прошла перед Днем Конституции Украины. Американские спецслужбы также не лучшего мнения о хакерах России. Хакерские группировки Fancy Bears, The Shadow Brokers, ART28 уже давно фигурируют в отчетах Федерального бюро расследований США (ФБР), как хакеры, работающие на российское правительство, вмешались в ход президентских выборов США.

Невидимый фронт

Несмотря на то что Россия подозревается в кибератаках по всему миру, а также ведет боевые действия против граждан Украины уже 4 года, государственные чиновники не беспокоятся о своей безопасности в сети и делятся конфиденциальными данными.

Хакеры взломали официвльный Twitter-аккаунт полиции, и написали, что у них "лапки"

Хактивисты Украинского Киберальянса, которые известны своими кибероперациями против российских политиков и военных, решили проверить, усилили ли защиту украинские государственные департаменты.

Никаких взломов и подборов паролей не потребовалось, тем более, что Киберальянс не проводит кибератаки на территории Украины. Как оказалось, многие госучреждения даже не позаботились о том, чтобы спрятать или “запаролить” данные на своих серверах.

“За последний месяц Украинский Киберальянс и несколько независимых хакеров, выявили полностью открытые ресурсы МВД, Национальной полиции, Херсонского областного совета, НАПК, так же нашлись следы взломов НДЕКЦ МВС и многих других учреждений”, - рассказал для Еспресо.tv хактивист Украинского Киберальянса Шон Таунсенд.

Кто попался

В рамках акции #FuckResponsibleDisclosure, хактивисты обнаружили открытые сервера Главного управления Национальной полиции в Киевской области и НАПК, где в открытом доступе были выложены около 150 гигабайт отсканированных деклараций сотрудников. Декларации содержали в себе ИНН, адреса, паспорта, контактные данные сотрудников и пароли, которые не отличались сложностью. Например, один из паролей от аккаунтов был “mvd123”.

Скриншот доступа к данным МВД. Сейчас доступ закрыт

Или сайт Судебной власти Украины, который хранил в открытом доступе сертификаты и пароли для генерации ключей пользователей, а также аналитические отчеты по судам. Однако после публикации хактивистов, сайт Судебной власти закрыл доступ к своим данным в течение часа.

Или сайт государственной службы финансового мониторинга Украины, который настолько устарел, что хактивисты не исключают возможности его скомпрометирования до их осмотра.

Работники Херсонской областной рады открыли доступ к незапароленному общему диску. На устройстве хранились документы, билеты для авиаперелетов и аудиозаписей заседаний. Также хактивисты обнаружили вирус SambaCry, который работает по аналогии с другими вирусами-вымогателями.

Вирус еще не успел активироваться. Это значит, что сайт областного совета был взломан полгода назад, однако никто этого не обнаружил.

Не все  департаменты “обрадовались” обнаруженным недочетам. Например, НАПК официально отрицало утечку данных с сайта. В ответ на официальный запрос от интернет-ресурса Цензор.НЕТ, НАПК ответило, что все эти данные не являются утечкой, а лежат в открытом доступе на сайте департамента.

По словам агентства, документы не содержат никаких личных данных (телефон, адрес, паспорт) декларантов. Однако доступ к серверу они перекрыли.

“В Украине ничего не нужно ломать, всё заботливо упаковано на вынос. А ведь мы предупреждали”, - пишет хактивист Шон Таунсенд у себя на Facebook-странице.

Ну и что, что взломано?

“Ну и что, что сайт экспертов-криминалистов, которые готовят заключения по всем уголовным делам, был взломан? Ну и что, что в свободном доступе лежат списки офицеров МВД до полковников включительно, с домашними адресами и телефонами? Ну и что, что лежат декларации с незатертыми персональными данными? Ничего, что скомпрометированы ключи АЦСК (ключи шифрования. - Ред.)?

Ничего, что можно просматривать документы областного совета? Ничего, что киевское коммунальное предприятие выкладывает всю свою бухгалтерию онлайн вместе с ключом от банковского счета?” - удивляется Шон Таунсенд.

Виртуальная опасность не так пугает. В отличие от боевых действий, здесь нет смертоносных патронов. Однако подобная открытость может привести к терактам или атаке жизнеобеспечивающих инфраструктур страны.

Хактивист вспоминает, что ровно год назад таким же образом был получен доступ к  водоканалу Ривне. Информация о водоканале не была получена при помощи взлома, а лежала в открытом доступе. Кто-то из сотрудников решил поработать из дому, поэтому доступ к серверу и водоканалу был открыт. Или случай с отключением электричества в городах из-за хакерских атак. 

Для человека, немного разбирающегося в программировании, не составит труда найти эту открытую информацию. Или специально программе-боту, который мониторит сеть в поисках таких вот “дырок”. Шон признается, что если бы они решились использовать инструменты взлома на территории Украины, то результаты были бы еще хуже.

В ноябре Twitter-аккаунт якобы хакерской группы из Польши — Anonymous Poland, владелец которого подозревается в связях с российскими хакерами АРТ28 (они же Fancy Bears), опубликовал подборку личных данных участников и волонтеров АТО.

Департамент Киберполиции Украины нашел компьютер, с которого произошла утечка. Однако есть вероятность, что данные точно также находились в открытом доступе, а злоумышленникам лишь осталось их собрать.

Не везде стоит искать “русский след”. Некоторые сайты можно взломать при помощи специального бота. Или, как в случае перечисленных выше департаментов, получить данные с самого сайта.

Стадия отрицания киберугрозы

Шон Таунсенд признался, что Киберальянс уже не раз пытался рассказать о плачевном состоянии кибер- и информационной безопасности Украины. Обычно, когда хактивисты обнаруживают “дырку” в киберзащите госдепартаментов и сообщают о ней, то чиновники в лучшем случае по-тихому ее “латают”. В худшем случае, начинают отрицать наличие проблемы или обвинять волонтеров во взломе.

В то время, как уже пора усиливать свою кибербезопасность и отражать атаки, чиновники находятся на стадии отрицания, несмотря на принимаемы информационные доктрины и законы о кибербезопасности.

“То, что доступ снаружи закрыт, ничего не меняет, потому что во многих случаях мы находили на этих ресурсах следы других хакеров, которые рамками закона не ограничены. Многие системы могут находиться под контролем врага прямо сейчас”, - говорит Шон.

Чиновники призывают сообщать о выявленных фактах нарушения в сети Киберполиции. Однако хактивист считает, что ответственность за кибер и информационную безопасность должна быть обоюдной, то есть и со стороны государства.

Например, в ходе осмотра, хакеры Киберальянса выяснили, что пока в октябре Госспецсвязь проводила киберучения,  их сайт “лежал”. Также по ошибке на сайте команды быстрого реагирования на киберугрозы CERT-UA был выложен пароль от одного из их почтовых аккаунтов. Реакция на инцидент последовала лишь через трое суток. В этот раз хактивисты решили не сообщать об инцидентах, а сразу обнародовать их.

Данные, при просмотре кода страницы CERT.UA

“Это не учебная тревога. И не взлом. Хотя Херсонский областной совет считает иначе и вместо благодарности, написали на нас заявление в полицию. Когда их полгода ломали все кому не лень им было все-равно. А как только об этом стало известно, они попытались переложить вину за собственную безответственность на волонтёров”, - рассказал Шон.

Что делать

Не все чиновники понимаю что такое сеть и зачем нужно защищаться. Уже была принята Информационная доктрина, а в октябре закон “Про основні засади забезпечення кібербезпеки України”, действие которого начнется 9 мая 2018 года. Однако хактивист обращает внимание на то, что согласно этому закону, кибербезопасность должны обеспечивать все, а значит, по его мнению, никто, ведь никаких конкретных действий и наказаний закон не предусматривает.

“Если уволить девять из десяти госчиновников, которые не справляются со своими обязанностями, то у оставшегося повысится и зарплата, и ответственность за те данные, которые мы доверяем государству. Пока эти данные ничьи и не стоят ничего, пока за их сохранность никто не отвечает (а закон 2126а не предусматривает никакой ответственности за киберинциденты), ничего не изменится”, - говорит Шон.