Українські хакери перевірили, як захищені сайти держустанов. Спойлер - ніяк

У жовтні видання The Wall Street Journal опублікувало розслідування, яке більше нагадує гостросюжетний бойовик. Ізраїльські хакери зламали сервери російської компанії "Лабораторія Касперського", щоб виявити там викрадені інструменти хакерів з Агентства національної безпеки США (АНБ).

Кругообігом хакерських операцій в геополітичному масштабі, як і хакерами на службі державі, вже нікого не здивуєш. Крім прихованих воєн спецагентств, проводяться і масові публічні акції.

Наприклад, у 2017 році сталося кілька масових кібератак. У травні вірус WannaCry заразив близько 300 тисяч комп'ютерів по всьому світу. На зміну йому прийшов вірус NotPetya, який активізувався в кінці червня. І хоча вірус також атакував комп'ютери по всьому світу, основні 80% атак, за даними міжнародного розробника антивірусного забезпечення - компанії ESET, припали на українського користувача.

Читайте також: Поплачемо? Як вірус-вимагач шантажує весь світ і як вберегти себе

У жовтні з'явився вірус BadRabbit, атака якого пройшла менш "успішно", судячи з кількості заражених комп'ютерів. Вірус вдалося вчасно зупинити.

Після атаки NotPetya СБУ офіційно заявила про причетність російських хакерів до останніх кібератак. На думку СБУ, метою атаки хакерів було не вимагання грошей за дешифрування заражених даних, а дестабілізація ситуації в Україні.

Не випадкова і символічність акції - кібератака пройшла перед Днем Конституції України. Американські спецслужби не кращої думки про хакерів Росії. Хакерські угрупування Fancy Bears, The Shadow Brokers, ART28 вже давно фігурують у звітах ФБР як хакери, які працюють на російський уряд, та втрутилися в хід президентських виборів США.

Невидимий фронт

Незважаючи на те що Росія підозрюється в кібератаках по всьому світу, а також веде бойові дії проти громадян України вже 4 роки, державні чиновники не турбуються про свою безпеку в мережі і діляться конфіденційними даними.

Хакери зламали офіційний Twitter-аккаунт поліції і написали, що у них "лапки"

Хактивісти Українського Кіберальянсу, які відомі кіберопераціями проти російських політиків і військових, вирішили перевірити, чи посилили захист українські держустанови.

Ніяких зламів і підборів паролів не треба було, тим більше, що Кіберальянс не проводить кібератаки на території України.

Як виявилося, багато держустанов навіть не подбали про те, щоб заховати чи "запаролити" дані на своїх серверах.

"За останній місяць Український Кіберальянс і кілька незалежних хакерів виявили повністю відкриті ресурси МВС, Національної поліції, Херсонської обласної ради, НАЗК. Також знайшлися сліди зломів експертної служби МВС і багатьох інших установ", - розповів для Еспресо.TV хактивіст Українського Кіберальянсу Шон Таунсенд .

Хто попався

У рамках акції #FuckResponsibleDisclosure, хактивісти виявили відкриті сервери Головного управління Нацполіції в Київській області і НАЗК, де у відкритому доступі було викладено близько 150 гігабайт відсканованих декларацій співробітників. Декларації містили в собі ІПН, адреси, паспорти, контактні дані співробітників і паролі, які не відрізнялися складністю. Наприклад, один з паролів від акаунтів був "mvd123".

Скріншот доступу до даних МВС. Зараз доступ закритий

Або сайт Судової влади України, який зберігав у відкритому доступі сертифікати і паролі для генерації ключів користувачів, а також аналітичні звіти по судах. Однак після публікації хактивістом сайт Судової влади закрив доступ до своїх даних протягом години.

Або сайт державної служби фінансового моніторингу України, який настільки застарів, що хактивісти не виключають можливості його скомпроментування до їх огляду.

Працівники Херсонської обласної ради відкрили доступ до незапароленного спільного диска. На пристрої зберігалися документи, квитки для авіаперельотів і аудіозаписи засідань. Також хактивісти виявили вірус SambaCry, який працює за аналогією з іншими вірусами-вимагачами. Вірус ще не встиг активуватися. Це означає, що сайт обласної ради був зламаний півроку назад, проте ніхто цього не виявив.

Не всі департаменти "зраділи" виявленим недоліків. Наприклад, НАЗК офіційно заперечувало витік даних з сайту. У відповідь на офіційний запит від інтернет-ресурсу Цензор.НЕТ, НАЗК відповіло, що всі ці дані не є витоком, а лежать у відкритому доступі на сайті департаменту. За словами агентства, документи не містять ніяких особистих даних (телефон, адреса, паспорт) декларантів. Однак доступ до сервера вони перекрили.

"В Україні нічого не потрібно ламати, все дбайливо упаковано для виносу. Але ж ми попереджали", - пише хактивіст Шон Таунсенд у себе на Facebook-сторінці.

Ну і що, що зламано

"Ну і що, що сайт експертів-криміналістів, які готують висновки щодо всіх кримінальних справ, було зламано? Ну і що, що у вільному доступі лежать списки офіцерів МВС до полковників включно, з домашніми адресами і телефонами? Ну і що, що лежать декларації з незатертими персональними даними?

Нічого, що скомпрометовані ключі АЦСК (ключі шифрування. - Ред.)? Нічого, що можна переглядати документи обласної ради? Нічого, що київське комунальне підприємство викладає всю свою бухгалтерію онлайн разом з ключем від банківського рахунку?" - дивується Шон Таунсенд.

Віртуальна небезпека не так лякає. На відміну від бойових дій, тут немає смертоносних набоїв. Однак подібна відкритість може привести до терактів або атаки на життєзабезпечуючі інфраструктури країни.

Читайте також: Як врятуватися від хакерів. 8 порад від Українського кіберальянсу

Хактивіст згадує, що рік тому таким же чином було отримано доступ до водоканалу Рівного. Інформація про водоканал не була одержана за допомогою злому, а лежала в відкритому доступі. Хтось із співробітників вирішив попрацювати з дому, тому доступ до сервера і водоканалу був відкритий. Або інший приклад - випадки з відключенням електрики в містах через хакерські атаки.

Для людини, що трохи розбирається в програмуванні, не важко буде знайти цю відкриту інформацію. Або спеціальній програмі-боту, який моніторить мережу в пошуках таких ось "дірок". Шон зізнається, що якби вони зважилися використовувати інструменти злому на території України, то результати були б ще гіршими.

У листопаді Twitter-аккаунт нібито хакерської групи з Польщі - Anonymous Poland, власник якого підозрюється в зв'язках з російськими хакерами АРТ28 (вони ж Fancy Bears), опублікував підбірку особистих даних учасників та волонтерів АТО. Департамент кіберполіції України знайшов комп'ютер, з якого стався витік. Однак є ймовірність, що дані так само перебували у відкритому доступі, а зловмисникам лише залишилося їх зібрати.

Не скрізь варто шукати "російський слід". Деякі сайти можна зламати за допомогою спеціального робота. Або як у випадку перерахованих вище департаментів, отримати дані з самого сайту.

Стадія заперечення кіберзагрози

Шон Таунсенд зізнався, що Кіберальянс вже не раз намагався розповісти про жалюгідний стан кібер- і інформаційної безпеки України. Зазвичай, коли хактивісти виявляють "дірку" в кіберзахисті держдепартаментів і повідомляють про неї, то чиновники в кращому випадку по-тихому її "латають". У гіршому випадку, починають заперечувати наявність проблеми або звинувачувати волонтерів у зламі.

У той час, коли вже пора посилювати свою кібербезпеку і відбивати атаки, чиновники перебувають на стадії заперечення, незважаючи на прийняті інформаційні доктрини і закони про кібербезпеку.

"Те, що доступ зовні закритий, нічого не змінює, тому що в багатьох випадках ми знаходили на цих ресурсах сліди інших хакерів, які рамками закону не обмежені. Багато систем можуть перебувати під контролем ворога прямо зараз", - говорить Шон.

Чиновники закликають повідомляти про виявлені факти порушення в мережі кіберполіції. Однак хактивіст вважає, що відповідальність за кібер- та інформаційну безпеку має бути обопільною, тобто і з боку держави.

Наприклад, у ході огляду хакери Кіберальянсу з'ясували, що доки в жовтні Держспецзв'язку проводила кібернавчання, їхній сайт "лежав". Також помилково на сайті команди швидкого реагування на кіберзагрози CERT-UA було викладено пароль від одного з їхніх поштових акаунтів. Реакція на інцидент пішла лише через три доби. Цього разу хактивісти вирішили не повідомляти про інциденти, а відразу оприлюднити їх.

Дані при перегляді коду сторінки CERT.UA

"Це не навчальна тривога. І не злом. Хоча Херсонська обласна рада вважає інакше і замість подяки написали на нас заяву в поліцію. Коли їх півроку ламали всі кому не лінь, їм було все-одно. А як тільки про це стало відомо, вони спробували перекласти провину за власну безвідповідальність на волонтерів", - розповів Шон.

Не всі чиновники розуміють, що таке мережа і навіщо потрібно захищатися. Уже була ухвалена Інформаційна доктрина, а в жовтні закон "Про основні засади забезпечення кібербезпекі України", дія якого розпочнеться 9 травня 2018 року. Однак хактівіст звертає увагу на те, що, згідно з цим законом, кібербезпеку повинні забезпечувати всі, а значить ніхто, адже ніяких конкретних дій і покарань закон не передбачає.

"Доки державні дані нічиї і не варті нічого, доки за їх збереження ніхто не відповідає (а закон 2126а не передбачає ніякої відповідальності за кіберінциденти), нічого не зміниться", - каже Шон.