ВЗЛОМ

Sovershenno Sekretno - Ukraina - - КИБЕРПРОСТРАНСТВО -

Sean Brian Townsend – независимый ис­сле­до­ва­тель в об­ла­сти ин­фор­ма­ци­он­ной и ком­пью­тер­ной без­опас­но­сти, участ­ник и спи­кер укра­ин­ско­го ки­бе­ра­льян­са – рас­ска­зы­ва­ет об ито­гах флеш­мо­ба #Fuckresponsibledisclosure. Ма­те­ри­а­лы не мо­де­ри­ру­ют­ся ре­дак­ци­ей Informnapalm и пред­став­ля­ют лич­ную по­зи­цию ав­то­ров пуб­ли­ка­ций.

СЛОЖНО ЛИ ВЗЛОМАТЬ УКРА­И­НУ? КАК UCA ТЕСТИРОВАЛИ ГОСУДАРСТВЕННЫЕ IT‑СИ­СТЕ­МЫ

Ки­бер­без­опас­ность ста­ла в Укра­ине не ме­нее мод­ной те­мой, чем борь­ба с кор­руп­ци­ей. Укра­ин­ский ки­бе­ра­льянс и неза­ви­си­мые ис­сле­до­ва­те­ли несколь­ко недель ис­ка­ли уяз­ви­мые си­сте­мы в го­су­дар­ствен­ном сек­то­ре. Мож­но ли взломать сайт при по­мо­щи Google? Су­ще­ству­ют ли рус­ские ха­ке­ры, или это фан­та­сти­ка? Как чи­нов­ни­ки ре­а­ги­ру­ют на со­об­ще­ния об уяз­ви­мо­стях? Чем за­ни­ма­ют­ся пра­во­охра­ни­тель­ные ор­га­ны?

У ме­ня для вас две но­во­сти, хо­ро­шая и пло­хая. Хо­ро­шая со­сто­ит в том, что бла­го­да­ря уси­ли­ям аль­ян­са и доб­ро­воль­цев мно­же­ство дыр в без­опас­но­сти го­су­дар­ствен­ных си­стем бы­ло за­кры­то. В том чис­ле на объ­ек­тах кри­ти­че­ской ин­фра­струк­ту­ры и в во­ен­ной сфе­ре. Пло­хая же за­клю­ча­ет­ся да­же не в том, что уяз­ви­мы­ми ока­за­лись по­ли­ция, во­ен­ко­мат, во­до­ка­нал, а в том, что, несмот­ря на чет­вер­тый год вой­ны и на то, что Укра­и­на ста­ла жерт­вой со­тен це­ле­на­прав­лен­ных и раз­ру­ши­тель­ных ки­бе­р­атак, на­ша стра­на по-преж­не­му не за­щи­ще­на в ки­бер­про­стран­стве.

Мы по­сто­ян­но стал­ки­ва­ем­ся с рус­ски­ми ха­ке­ра­ми и него­тов­но­стью го­су­дар­ствен­ных ор­га­нов к ата­кам. Так, в де­каб­ре 2016 го­да, чи­тая взло­ман­ную пе­ре­пис­ку про­рос­сий­ских ха­ке­ров, мы вы­яс­ни­ли, что пол­но­стью ском­про­ме­ти­ро­ван поч­то­вый сер­вер МВД Укра­и­ны, о чем мы немед­лен­но со­об­щи­ли в МВД, ки­бер­по­ли­цию и СБУ. Так как мы са­ми за­ни­ма­ем­ся тем же са­мым в Рос­сии и на ок­ку­пи­ро­ван­ных тер­ри­то­ри­ях, взло­мом нас не уди­вить. Мы не сви­де­те­ли «ки­бе­ра­по­ка­лип­си­са» и зна­ем, что при до­ста­точ­ном ко­ли­че­стве де­нег, вре­ме­ни и ка­пель­ке уда­чи мож­но взломать все что угод­но.

Уди­ви­ло от­сут­ствие ре­ак­ции. В МВД, ви­ди­мо, ре­ши­ли, что это слу­чай­ное сов­па­де­ние и боль­ше по­доб­ные ата­ки не по­вто­рят­ся. С по­доб­ной ре­ак­ци­ей мы столк­нем­ся еще неод­но­крат­но, и она – худ­шая из всех воз­мож­ных. Да­же для то­го, что­бы по­ка­зать уяз­ви­мость, нам ча­сто при­хо­дит­ся по­ка­зы­вать об­раз­цы внут­рен­них до­ку­мен­тов, по­то­му что чи­нов­ни­ки пы­та­ют­ся от­ри­цать фак­ты несанк­ци­о­ни­ро­ван­но­го до­сту­па к их си­сте­мам. В слу­чае с поч­то­вым сер­ве­ром под­твер­жде­ние в СБУ нам лю­без­но до­был жур­на­лист из­да­ния Internetua.

Пер­вей­шая от­маз­ка – что это не «сек­рет­ные до­ку­мен­ты». А нас ин­те­ре­су­ют не сек­ре­ты и да­же не воз­мож­ность сыг­рать нок­тюрн за­движ­ка­ми во­до­ка­на­лов в Ров­но и Ки­ро­во­гра­де. Нас ин­те­ре­су­ет толь­ко воз­мож­ность или невоз­мож­ность по­лу­чить до­ступ извне к то­му, что ле­жит внут­ри. Я уже рас­ска­зы­вал ис­то­рию о том, как мы взло­ма­ли Орен­бург­скую об­ласть. Все на­ча­лось с утеч­ки па­ро­ля от рай­он­ной ве­те­ри­нар­ной кли­ни­ки и за­кон­чи­лось пол­ным взло­мом об­ласт­но­го ЦОД – всех сай­тов, всей по­чты, все­го до­ку­мен­то­обо­ро­та, вклю­чая ве­дом­ствен­ную связь, пра­ви­тель­ствен­ных те­ле­грамм и да­же стой­ки ФСБ. Пле­вать на ста­тус до­ку­мен­тов. Имея да­же ма­лень­кую ще­лоч­ку, мож­но прой­ти во внут­рен­нюю сеть и до­брать­ся до бо­лее зна­чи­мых ре­сур­сов.

Тем не ме­нее это ока­за­лось очень сложно объ­яс­нить пред­ста­ви­те­лям ГП «Энер­го­атом» и Хер­сон­ско­го об­ласт­но­го со­ве­та, ко­то­рые оста­ви­ли несколь­ко сво­их ре­сур­сов в от­кры­том до­сту­пе в Се­ти. Не по­тре­бо­ва­лось ни­че­го ло­мать, ока­за­лось до­ста­точ­но най­ти ма­ши­ну с дис­ком об­ще­го поль­зо­ва­ния. В «Энер­го­ато­ме» та­ких ма­шин бы­ло че­ты­ре. Я по­ни­маю бес­по­кой­ство пресс-служ­бы на­ших укра­ин­ских атом­щи­ков: да­же на­мек на то, что по се­тям атом­ных элек­тро­стан­ций мо­гут ла­зить ха­ке­ры, мо­жет вы­звать па­ни­ку. Но факт оста­ет­ся фак­том: не важ­но, был это кон­трак­тор, под­раз­де­ле­ние, под­ряд­чик, не важ­но, сек­рет­ные до­ку­мен­ты или нет, не важ­но, пе­ре­ме­ща­ют­ся до­ку­мен­ты внут­ри ор­га­ни­за­ции по ло­каль­ной се­ти или на флеш­ке у нера­ди­во­го со­труд­ни­ка. Утеч­ка есть утеч­ка.

Мы не ис­поль­зо­ва­ли ни один из ха­кер­ских ме­то­дов. Толь­ко по­иск, ино­гда да­же про­сто по­иск в «Гуг­ле». Имея до­ступ в ло­каль­ную сеть (че­рез флеш­ку или пря­мой, а од­на из то­чек от­кры­ва­ла пря­мой путь в ло­кал­ку), ра­но или позд­но, но мы смог­ли бы до­брать­ся до всей се­ти це­ли­ком и пол­но­стью. Та­ким же об­ра­зом мы уже по­лу­чи­ли до­ступ к тех­но­ло­ги­че­ской си­сте­ме од­ной из элек­тро­стан­ций в Рос­сии. Та­ким же об­ра­зом рус­ским ха­ке­рам нена­дол­го уда­лось от­клю­чить При­кар­патьоб­л­энер­го и ПС «Се­вер­ная» в 2015 и 2016 го­дах. Пробле­ма в том, что си­сте­мы Ро­вен­ско­го и Ки­ро­во­град­ско­го во­до­ка­на­лов не при­шлось ло­мать. Они ле­жа­ли в от­кры­том до­сту­пе – со спис­ка­ми по­тре­би­те­лей, спис­ка­ми Ip-ад­ре­сов, ло­ги­на­ми и па­ро­ля­ми, Vpn-клю­ча­ми и всем необ­хо­ди­мым для то­го, что­бы устро­ить неболь­шой тер­ро­ри­сти­че­ский акт.

Мо­гу вас немно­го успо­ко­ить: эти­ми слу­ча­я­ми немед­лен­но за­ин­те­ре­со­ва­лось СБУ. А вот Ки­е­вэнер­го­ре­монт и Го­су­дар­ствен­ная служ­ба фи­нан­со­во­го мо­ни­то­рин­га счи­та­ют, что у них все в по­ряд­ке. Спи­сок ре­сур­сов, ко­то­рые мы на­шли в от­кры­том до­сту­пе, и об­на­ру­жен­ные сле­ды дру­гих ха­ке­ров про­сто удру­ча­ют. Ака­де­мия МВД (до­ступ к па­ро­лям от сай­та, внут­рен­ней се­ти, сле­ды мно­го­крат­ных взло­мов, база дан­ных офи­це­ров), сер­вер пресс-служ­бы На­ци­о­наль­ной по­ли­ции в Ки­ев­ской об­ла­сти (до­ку­мен­ты, ло­ги­ны и па­ро­ли, до­ступ к внут­рен­ней се­ти), Ки­ро­во­град­ский во­до­ка­нал (до­ступ к кри­ти­че­ской ин­фра­струк­ту­ре), «Энер­го­атом», Ки­е­вэнер­го­ре­монт, су­деб­ная власть Укра­и­ны, НАЗК, де­кла­ра­ции МВД (вклю­чая спе­ци­аль­ные под­раз­де­ле­ния), Ки­ро­во­град­ский центр за­ня­то­сти, Ни­ко­поль­ский пен­си­он­ный фонд…

Мно­гие про­сто не в со­сто­я­нии по­нять, что лю­бая ин­фор­ма­ция име­ет цен­ность. Ль­вов­ский во­ен­ко­мат вы­ло­жил спи­сок из пят­на­дца­ти ты­сяч че­ло­век, ко­то­рые, по мне­нию во­ен­ко­ма­та, «укло­ня­ют­ся от при­зы­ва» (то есть во­ен­ко­мат их про­сто не на­шел по ме­сту ре­ги­стра­ции). Са­ми вы­ло­жи­ли. Не на от­кры­тый да­же диск или FTP, а в «Фейс­бук». То есть по­ни­ма­ние о том, что это пер­со­наль­ные дан­ные, охра­ня­е­мые за­ко­ном, на­прочь от­сут­ству­ет. А мы на­шли об­ласт­ной во­ен­ко­мат За­кар­пат­ской об­ла­сти: ба­зы дан­ных при­зыв­ни­ков, при­ка­зы, пе­ре­пис­ка с об­ласт­ной ад­ми­ни­стра­ци­ей и Ми­ни­стер­ством обо­ро­ны, пла­ны, спис­ки, кто в ка­кой ча­сти слу­жит – од­ним сло­вом, все! Тут уже пах­нет не про­сто «Ой, из­ви­ни­те!», а во­ен­ной про­ку­ра­ту­рой, по­то­му что это ин­фор­ма­ция с огра­ни­чен­ным до­сту­пом, а не ка­кие-то «пер­со­наль­ные дан­ные».

То есть рус­ским ха­ке­рам не при­шлось бы да­же ни­че­го ло­мать. При­хо­ди и бе­ри. Сле­ду­ю­щие два при­ме­ра – Чер­ни­гов­ская и До­нец­кая ОДА. В Чер­ни­го­ве бы­ли от­кры­ты дис­ки. По­сле на­ше­го по­ста дис­ки за­кры­ли, но один из на­ших во­лон­те­ров тут же на­шел уяз­ви­мость на сай­те, ко­то­рая поз­во­ля­ла его пол­но­стью взломать и по­лу­чить до­ступ к яко­бы за­кры­тым дис­кам. По пра­ви­лам пуб­лич­ные сер­ви­сы долж­ны быть пол­но­стью от­де­ле­ны от ло­каль­ной се­ти. Но пра­ви­ла ведь не для чи­нов­ни­ков, вер­но? С До­нец­кой ад­ми­ни­стра­ци­ей все бы­ло еще ин­те­рес­нее. Тот же во­лон­тер

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.