Українські хакери перевірили, як захищені сайти держустанов. Спойлер - ніяк

Анастасія Пашинська
22 листопада, 2017 середа
13:43

Доки російськими хакерами лякають весь світ, українські держдепартаменти нехтують елементарними правилами кібербезпеки. Хто не пройшов перевірку, розповідає Український кіберальянс

У жовтні видання The Wall Street Journal опублікувало розслідування, яке більше нагадує гостросюжетний бойовик. Ізраїльські хакери зламали сервери російської компанії "Лабораторія Касперського", щоб виявити там викрадені інструменти хакерів з Агентства національної безпеки США (АНБ).

Кругообігом хакерських операцій в геополітичному масштабі, як і хакерами на службі державі, вже нікого не здивуєш. Крім прихованих воєн спецагентств, проводяться і масові публічні акції.

Наприклад, у 2017 році сталося кілька масових кібератак. У травні вірус WannaCry заразив близько 300 тисяч комп'ютерів по всьому світу. На зміну йому прийшов вірус NotPetya, який активізувався в кінці червня. І хоча вірус також атакував комп'ютери по всьому світу, основні 80% атак, за даними міжнародного розробника антивірусного забезпечення - компанії ESET, припали на українського користувача.

Читайте також: Поплачемо? Як вірус-вимагач шантажує весь світ і як вберегти себе

У жовтні з'явився вірус BadRabbit, атака якого пройшла менш "успішно", судячи з кількості заражених комп'ютерів. Вірус вдалося вчасно зупинити.

Після атаки NotPetya СБУ офіційно заявила про причетність російських хакерів до останніх кібератак. На думку СБУ, метою атаки хакерів було не вимагання грошей за дешифрування заражених даних, а дестабілізація ситуації в Україні.

Не випадкова і символічність акції - кібератака пройшла перед Днем Конституції України. Американські спецслужби не кращої думки про хакерів Росії. Хакерські угрупування Fancy Bears, The Shadow Brokers, ART28 вже давно фігурують у звітах ФБР як хакери, які працюють на російський уряд, та втрутилися в хід президентських виборів США.

Невидимий фронт

Незважаючи на те що Росія підозрюється в кібератаках по всьому світу, а також веде бойові дії проти громадян України вже 4 роки, державні чиновники не турбуються про свою безпеку в мережі і діляться конфіденційними даними.

null

Хакери зламали офіційний Twitter-аккаунт поліції і написали, що у них "лапки"

Хактивісти Українського Кіберальянсу, які відомі кіберопераціями проти російських політиків і військових, вирішили перевірити, чи посилили захист українські держустанови.

Ніяких зламів і підборів паролів не треба було, тим більше, що Кіберальянс не проводить кібератаки на території України.

Як виявилося, багато держустанов навіть не подбали про те, щоб заховати чи "запаролити" дані на своїх серверах.

"За останній місяць Український Кіберальянс і кілька незалежних хакерів виявили повністю відкриті ресурси МВС, Національної поліції, Херсонської обласної ради, НАЗК. Також знайшлися сліди зломів експертної служби МВС і багатьох інших установ", - розповів для Еспресо.TV хактивіст Українського Кіберальянсу Шон Таунсенд .

Хто попався

У рамках акції #FuckResponsibleDisclosure, хактивісти виявили відкриті сервери Головного управління Нацполіції в Київській області і НАЗК, де у відкритому доступі було викладено близько 150 гігабайт відсканованих декларацій співробітників. Декларації містили в собі ІПН, адреси, паспорти, контактні дані співробітників і паролі, які не відрізнялися складністю. Наприклад, один з паролів від акаунтів був "mvd123".

nullСкріншот доступу до даних МВС. Зараз доступ закритий

Або сайт Судової влади України, який зберігав у відкритому доступі сертифікати і паролі для генерації ключів користувачів, а також аналітичні звіти по судах. Однак після публікації хактивістом сайт Судової влади закрив доступ до своїх даних протягом години.

Або сайт державної служби фінансового моніторингу України, який настільки застарів, що хактивісти не виключають можливості його скомпроментування до їх огляду.

Працівники Херсонської обласної ради відкрили доступ до незапароленного спільного диска. На пристрої зберігалися документи, квитки для авіаперельотів і аудіозаписи засідань. Також хактивісти виявили вірус SambaCry, який працює за аналогією з іншими вірусами-вимагачами. Вірус ще не встиг активуватися. Це означає, що сайт обласної ради був зламаний півроку назад, проте ніхто цього не виявив.

Не всі департаменти "зраділи" виявленим недоліків. Наприклад, НАЗК офіційно заперечувало витік даних з сайту. У відповідь на офіційний запит від інтернет-ресурсу Цензор.НЕТ, НАЗК відповіло, що всі ці дані не є витоком, а лежать у відкритому доступі на сайті департаменту. За словами агентства, документи не містять ніяких особистих даних (телефон, адреса, паспорт) декларантів. Однак доступ до сервера вони перекрили.

"В Україні нічого не потрібно ламати, все дбайливо упаковано для виносу. Але ж ми попереджали", - пише хактивіст Шон Таунсенд у себе на Facebook-сторінці.

Ну і що, що зламано

"Ну і що, що сайт експертів-криміналістів, які готують висновки щодо всіх кримінальних справ, було зламано? Ну і що, що у вільному доступі лежать списки офіцерів МВС до полковників включно, з домашніми адресами і телефонами? Ну і що, що лежать декларації з незатертими персональними даними?

Нічого, що скомпрометовані ключі АЦСК (ключі шифрування. - Ред.)? Нічого, що можна переглядати документи обласної ради? Нічого, що київське комунальне підприємство викладає всю свою бухгалтерію онлайн разом з ключем від банківського рахунку?" - дивується Шон Таунсенд.

Віртуальна небезпека не так лякає. На відміну від бойових дій, тут немає смертоносних набоїв. Однак подібна відкритість може привести до терактів або атаки на життєзабезпечуючі інфраструктури країни.

Читайте також: Як врятуватися від хакерів. 8 порад від Українського кіберальянсу

Хактивіст згадує, що рік тому таким же чином було отримано доступ до водоканалу Рівного. Інформація про водоканал не була одержана за допомогою злому, а лежала в відкритому доступі. Хтось із співробітників вирішив попрацювати з дому, тому доступ до сервера і водоканалу був відкритий. Або інший приклад - випадки з відключенням електрики в містах через хакерські атаки.

Для людини, що трохи розбирається в програмуванні, не важко буде знайти цю відкриту інформацію. Або спеціальній програмі-боту, який моніторить мережу в пошуках таких ось "дірок". Шон зізнається, що якби вони зважилися використовувати інструменти злому на території України, то результати були б ще гіршими.

У листопаді Twitter-аккаунт нібито хакерської групи з Польщі - Anonymous Poland, власник якого підозрюється в зв'язках з російськими хакерами АРТ28 (вони ж Fancy Bears), опублікував підбірку особистих даних учасників та волонтерів АТО. Департамент кіберполіції України знайшов комп'ютер, з якого стався витік. Однак є ймовірність, що дані так само перебували у відкритому доступі, а зловмисникам лише залишилося їх зібрати.

Не скрізь варто шукати "російський слід". Деякі сайти можна зламати за допомогою спеціального робота. Або як у випадку перерахованих вище департаментів, отримати дані з самого сайту.

Стадія заперечення кіберзагрози

Шон Таунсенд зізнався, що Кіберальянс вже не раз намагався розповісти про жалюгідний стан кібер- і інформаційної безпеки України. Зазвичай, коли хактивісти виявляють "дірку" в кіберзахисті держдепартаментів і повідомляють про неї, то чиновники в кращому випадку по-тихому її "латають". У гіршому випадку, починають заперечувати наявність проблеми або звинувачувати волонтерів у зламі.

У той час, коли вже пора посилювати свою кібербезпеку і відбивати атаки, чиновники перебувають на стадії заперечення, незважаючи на прийняті інформаційні доктрини і закони про кібербезпеку.

"Те, що доступ зовні закритий, нічого не змінює, тому що в багатьох випадках ми знаходили на цих ресурсах сліди інших хакерів, які рамками закону не обмежені. Багато систем можуть перебувати під контролем ворога прямо зараз", - говорить Шон.

Чиновники закликають повідомляти про виявлені факти порушення в мережі кіберполіції. Однак хактивіст вважає, що відповідальність за кібер- та інформаційну безпеку має бути обопільною, тобто і з боку держави.

Наприклад, у ході огляду хакери Кіберальянсу з'ясували, що доки в жовтні Держспецзв'язку проводила кібернавчання, їхній сайт "лежав". Також помилково на сайті команди швидкого реагування на кіберзагрози CERT-UA було викладено пароль від одного з їхніх поштових акаунтів. Реакція на інцидент пішла лише через три доби. Цього разу хактивісти вирішили не повідомляти про інциденти, а відразу оприлюднити їх.

null

Дані при перегляді коду сторінки CERT.UA

"Це не навчальна тривога. І не злом. Хоча Херсонська обласна рада вважає інакше і замість подяки написали на нас заяву в поліцію. Коли їх півроку ламали всі кому не лінь, їм було все-одно. А як тільки про це стало відомо, вони спробували перекласти провину за власну безвідповідальність на волонтерів", - розповів Шон.

Не всі чиновники розуміють, що таке мережа і навіщо потрібно захищатися. Уже була ухвалена Інформаційна доктрина, а в жовтні закон "Про основні засади забезпечення кібербезпекі України", дія якого розпочнеться 9 травня 2018 року. Однак хактівіст звертає увагу на те, що, згідно з цим законом, кібербезпеку повинні забезпечувати всі, а значить ніхто, адже ніяких конкретних дій і покарань закон не передбачає.

"Доки державні дані нічиї і не варті нічого, доки за їх збереження ніхто не відповідає (а закон 2126а не передбачає ніякої відповідальності за кіберінциденти), нічого не зміниться", - каже Шон.

Теги:
Читайте також:
Київ
+2°C
  • Київ
  • Львів
  • Вінниця
  • Дніпро
  • Донецьк
  • Житомир
  • Запоріжжя
  • Івано-Франківськ
  • Кропивницкий
  • Луганськ
  • Луцьк
  • Миколаїв
  • Одеса
  • Полтава
  • Рівне
  • Суми
  • Сімферополь
  • Тернопіль
  • Ужгород
  • Харків
  • Херсон
  • Хмельницький
  • Черкаси
  • Чернівці
  • Чернигів
  • USD 38.66
    Купівля 38.66
    Продаж 39.17
  • EUR
    Купівля 42.06
    Продаж 42.88
  • Актуальне
  • Важливе
2024, вiвторок
19 березня
07:14
Збірна України
Євро-2024: лідер збірної України тренується окремо від команди перед вирішальною грою відбору
07:09
Ентоні Блінкен
Блінкен попередив про загрози, які штучний інтелект несе демократичним виборам у світі
06:46
Ілон Маск
Маск переконаний, що вживання ним кетаміну вигідне для інвесторів Tesla
06:27
Дональд Трамп
Трамп заявив, що євреї, які голосують за демократів, "ненавидять власну релігію та Ізраїль". У Білому домі відреагували
06:24
Бельгія
Мінні тральщики і 300 бронеавтомобілів: Бельгія готує пакет допомоги для України на €412 млн
05:59
Леонід Пасічник
Справу щодо очільника "ЛНР" Пасічника передано до суду: йому загрожує 10 років тюрми
05:46
Володимир Путін
У ISW пояснили, як Путін використає "рекордні" показники на "виборах" у війні проти України
05:34
розвідувальні безпілотники MQ-9A Reaper
Американський дрон Reaper здійснив аварійну посадку у Польщі
05:08
Петр Павел та Володимир Зеленський
Невдовзі Європа зможе виробляти необхідну кількість боєприпасів, зокрема й для України, - президент Чехії
04:40
Еммануель Макрон
Франція підтримала Польщу щодо обмеження експорту сільгосппродукції з України, - Politico
04:12
Дональд Трамп
Нездійсненна сума: Трамп шукає кошти для сплати $464 млн застави у справі про шахрайство
03:44
російська пропаганда
У Латвії заблокували низку сайтів з російською пропагандою
03:16
Росія може використати супутникові дані приватних компаній для ударів по Україні, - The Atlantic
02:48
Сі Цзіньпін і Еммануель Макрон
У травні лідер Китаю Сі Цзіньпін може відвідати Францію, - Politico
02:20
Літак Raynair
Гібридна війна РФ: на Балтиці понад 870 літаків мали проблеми з навігацією
01:52
Центробанк Росії
Євросоюз розробив механізм передачі Україні прибутків з заморожених активів РФ, - Bloomberg
01:24
поліція польщі
Міжнародний Комітет захисту журналістів заступився за українських розслідувачів, затриманих у Польщі під час роботи
00:56
SkyUp
Авіакомпанія SkyUp отримала сертифікат операційної безпеки IOSA
00:28
Мая Санду
Санду попросила парламент Молдови призначити референдум про вступ у ЄС
00:03
безпілотник
Асиметричні рішення для переваги над противником: Сирський назвав пріоритет у технологічному розвитку ЗСУ
2024, понедiлок
18 березня
23:40
Реджеп Ердоган та Путін
Ердоган привітав Путіна з "переобранням" і заявив про готовність до посередництва в переговорах із Україною
23:28
Зоран Міланович
У Хорватії суд заборонив антиукраїнському президенту Мілановичу йти на вибори до звільнення поточної посади
23:00
Олексій Навальний
"Відповідальні за вбивство Навального": Боррель оголосив про санкції проти 30 фізичних і юридичних осіб
22:33
метро "Лісова"
Метро Києва за керівництва Брагінського замовило ремонт на 1,58 млрд грн у родички його бізнес-партнера, - Bihus info
22:29
НАТО
Розміром з невелике місто: у Румунії почали будувати найбільшу в Європі базу НАТО
22:02
FPV-дрон
Розбирали знайдений FPV-дрон: на Херсонщині троє цивільних загинули від вибуху боєприпасу
21:58
Ексклюзив
Придністров'я
"Навіть тамтешні військові РФ": генерал Маломуж пояснив, чому контингент у Придністров'ї не прагне воювати проти України
21:35
Оновлено
путін
За версією російської ЦВК, Путін переобрався президентом РФ із понад 87% підтримки. Реакції світу
21:34
Ексклюзив
Українські фермери до кордону з Польщею привезли знищену російськими обстрілами й мінами сільгосптехніку
​Засіяти 12 млн гектарів: у Всеукраїнській аграрній раді назвали проблему українських виробників
21:09
Ще три сім’ї разом з дітьми виїхали з ТОТ: Україна надає всіляку допомогу
Обшуки, погрози, залякування: з ТОТ Запорізької та Донецької областей виїхали ще три родини з дітьми
21:00
Аналітика
Сергій Згурець, український журналіст, військовий експерт
Росіяни перекидають резерви на Авдіївський напрямок, щоб підтримати темпи наступу. Колонка Сергія Згурця
20:24
Ексклюзив
депортація дітей з окупованих теріторій в Росію
Викрадених дітей Росією більше, ніж відома кількість, - юристка Рашевська
20:18
Оновлено
Президент України Володимир Зеленський
Цьогоріч вийдемо на максимум оборонного виробництва за час незалежності, - Зеленський після Ставки
20:05
OPINION
Митрополит Епіфаній
Нинішній Великий піст — насамперед про стійкість
19:56
Кол-центр, що виманював кошти у громадян ЄС: СБУ з латвійськими правоохоронцями ліквідували міжнародну схему
19:51
Оновлено
Сенатор США Ліндсі Грем прибув до Києва: каже, що спікер Джонсон шукає спосіб просунути допомогу Україні
19:47
Ексклюзив
Сумщина
"Немає проїзних мостів": журналістка Яцина про евакуацію з прикордоння на Сумщині
19:44
Огляд
На фото: Порноакторка Юлія Сенюк (Джозефіна Джексон)
Захоплюватися не можна засуджувати: чому допомога військовим від української порноакторки Джозефіни Джексон викликала суперечки
19:26
військові, ЗСУ
На Новопавлівському напрямку росіяни за підтримки авіації 21 раз намагалися прорвати оборону ЗСУ, - Генштаб
19:26
Жіноча збірна України з фехтування на шаблях - бронзова призерка Кубка світу у Сінт-Нікласі (Бельгія)
Жіноча збірна України з фехтування здобула бронзу Кубка світу в Сінт-Нікласі
Більше новин