Сложно ли взломать Украину? Как мы тестировали государственные IT-системы - InformNapalm Blog
Кибербезопасность стала в Украине не менее модной темой, чем борьба с коррупцией. Украинский Киберальянс и независимые исследователи несколько недель искали уязвимые системы в государственном секторе. Можно ли “взломать” сайт при помощи Google? Бывают ли русские хакеры или это фантастика? Как чиновники реагируют на сообщение об уязвимостях? Чем занимаются правоохранительные органы? О результатах акции #FuckResponsibleDisclosure рассказывает Шон Таунсенд, участник и спикер UCA.
У меня для вас две новости, хорошая и плохая. Хорошая состоит в том, что благодаря усилиям Альянса и добровольцев множество дыр в безопасности государственных систем было закрыто. В том числе на объектах критической инфраструктуры и в военной сфере. Плохая же заключается даже не в том, что уязвимыми оказались полиция, военкомат, водоканал, а в том, что несмотря на то, что четвертый год идёт война и то, что Украина стала жертвой сотен целенаправленных и разрушительных кибер-атак, наша страна по-прежнему не защищена в “кибер-пространстве”.
Мы постоянно сталкиваемся с русскими хакерами и неготовностью государственных органов к атакам. Так в декабре 2016 года, читая взломанную переписку пророссийских хакеров мы выяснили, что полностью скомпрометирован почтовый сервер МВД Украины, о чем мы немедленно сообщили в МВД, Киберполицию и СБУ. Так как мы сами занимаемся тем же самым в России и на оккупированных территориях, взломом нас не удивить. Мы не свидетели “кибер-апокалипсиса”, и знаем что при достаточном количестве денег, времени и капельки удачи можно взломать всё что угодно.
Удивило отсутствие реакции. В МВД видимо решили, что это случайное совпадение и больше подобные атаки повториться не могут. С подобной реакцией мы столкнёмся еще неоднократно, и она – худшая из всех возможных. Даже для того, чтобы показать уязвимость нам часто приходится показывать образцы внутренних документов, потому что чиновники пытаются отрицать факты несанкционированного доступа к их системам. В случае с почтовым сервером, подтверждение в СБУ нам любезно добыл журналист издания InternetUA.
Первейшая отмазка, что это – не “секретные документы”. А нас интересуют не секреты и даже не возможность сыграть ноктюрн задвижками водоканалов в Ровно и Кировограде. Нас интересует только возможность или невозможность получить доступ извне к тому, что лежит внутри. Я уже рассказывал историю о том, как мы взломали Оренбургскую область. Всё началось с утечки пароля от районной ветеринарной клиники и закончилось полным взломом областного ЦОД – всех сайтов, всей почты, всего документооборота, включая ведомственную связь, правительственных телеграмм и даже стойки ФСБ. Плевать на статус документов. Имея даже маленькую щелочку можно пройти во внутреннюю сеть и добраться до более значимых ресурсов.
Тем не менее это оказалось очень сложно объяснить представителям ГП ЭнергоАтом и Херсонского областного совета, которые оставили несколько своих ресурсов в открытом доступе в Сети. Не потребовалось ничего ломать, достаточно оказалось найти машину с диском общего пользования. В ЭнергоАтоме таких машин было четыре. Я понимаю беспокойство пресс-службы наших украинских атомщиков, даже намёк на то, что по сетям атомных электростанций могут лазить хакеры может вызвать панику. Но факт остаётся фактом – не важно был ли это контрактор, подразделение, подрядчик, не важно секретные документы или нет, не важно перемещаются ли документы внутри организации по локальной сети или на флешке у нерадивого сотрудника. Утечка – есть утечка.
Мы не использовали ни один из “хакерских методов”. Только поиск, иногда даже просто поиск в Гугле. Имея доступ в локальную сеть (через флешку ли или прямой, а одна из точек открывала прямой путь в локалку) рано или поздно, но мы могли бы добраться до всей сети целиком и полностью. Таким же образом мы уже получили доступ к технологической системе одной из электростанций в России. Таким же образом русским хакерам ненадолго удалось отключить Прикарпатьоблэнерго и ПС Северная в 2015 и 2016 году. Проблема в том, что системы Ровенского и Кировоградского водоканалов не пришлось ломать. Они лежали в открытом доступе, со списками потребителей, списками IP-адресов, логинами и паролями, VPN-ключами и всем необходимым для того, чтобы устроить небольшой террористический акт.
Могу вас немного успокоить – этими случаями немедленно заинтересовалось СБУ. А вот Киевэнергоремонт и Государственная служба финансового мониторинга считают, что у них всё в порядке. Список ресурсов, которые мы нашли в открытом доступе или обнаружили следы других хакеров просто удручает. Академия МВД (доступ к паролям от сайта, внутренней сети, следы многократных взломов, база данных офицеров), сервер пресс-службы Национальной полиции в Киевской области (документы, логины и пароли, доступ к внутренней сети), Кировоградский водоканал (доступ к критической инфраструктуре), Энергоатом, Киевэнергоремонт, Судебная власть Украины, НАЗК, декларации МВД (включая специальные подразделения), Кировоградский центр занятости, Никопольский пенсионный фонд…
Многие просто не в состоянии понять, что любая информация имеет ценность. Львовский военкомат выложил список из пятнадцати тысяч человек, которые по мнению военкомата “уклоняются от призыва” (то есть военкомат их просто не нашел по месту регистрации). Сами выложили. Не на открытый даже диск или FTP, а в Фейсбук. То есть понимание о том, что это персональные данные, охраняемые законом напрочь отсутствует. А мы нашли областной военкомат Закарпатской области – базы данных призывников, приказы, переписка с областной администрацией и Министерством Обороны, планы, списки, кто в какой части служит, одним словом всё! Тут уже пахнет не просто “Ой, Извините!”, а военной прокуратурой, потому что это информация с ограниченным доступом, а не какие-то “персональные данные”.
То есть русским хакерам не прищлось бы даже ничего ломать. Приходи и бери. Следующие два примера Черниговская и Донецкая ОДА. В Чернигове были открыты диски. После нашего поста диски закрыли, но один из наших волонтеров тут же нашел уязвимость на сайте, которая позволяла его полностью взломать и получить доступ к якобы закрытым дискам. По правилам публичные сервисы должны быть полностью отделены от локальной сети. Но правила ведь не для чиновников, верно? С Донецкой администрацией всё было еще интереснее. Тот же волонтер нашел там беспарольную программу удаленного управления (веб-шелл WSO2), который установили другие хакеры.
При этом они не только взломали сайт, но так же получили на сервере права администратора, украли у настоящих администраторов все их пароли и полезли дальше в локальную сеть. Напомню, что это не просто ОДА, а военно-гражданскаяадминистрация в зоне АТО. А хакеры ходили туда из Самары (если кто-то забыл, то это такой город в Российской Федерации, с которой у нас, на секундочку, идёт война). Даже после сообщения о взломе сайт простоял в таком виде еще неделю. Потом то ли администраторы решили прикинуться ветошью, то ли хакеры увидели наше сообщение и зачистили сервер, так или иначе, но его переустановили. Пресс-служба ОДА говорит о “временных технических неполадках”. Когда в зоне АТО русские хакеры лазят в сети областной администрации – это, ребята, не “неполадки”, а шпионаж со стороны страны-агрессора.
Даже если сервер переустановили сисадмины ОДА этого совершенно недостаточно, русские могли закрепиться на других машинах в сети. Закрыть доступ и даже переустановить скомпрометированную систему – только начало. Теперь уже нужно всю сеть проверять. Если вы забыли, то я вам напомню о том, как страдали ANNA News и Народная Милиция “ЛНР”. Сисадмин приходил обновлял софт до последних версий, пытался защитить взломанный и восстановленный сервер, а потом снова приходили мы, пользуясь хитро упрятанными закладками и взламывали всё заново. После четвертого взлома НМ “ЛНР” выключили свой сайт и больше его не включали. Всю ценную информацию о боевиках мы украли еще год назад и отдали Миротворцу.
Куда уехал CERT?
И как на это реагирует государство? Почти никак. Да, дыры закрываются, в некоторых случаях СБУ проводит расследования или профилактическую работу. Киберполиция, по заявлению киевской полиции, им даже помогла переустановить и “защитить” компьютеры – видимо ни одного человека способного настроить Windows так, чтобы не вывалить всё в Интернет в полиции не нашлось. Но в целом силовики занимаются своей работой – раскрывают и предотвращают преступления. А кто у нас занимается безопасностью? Никто. По идее о произошедших инцидентах должна была отчитаться в первую очередь сама организация, потом сообщить в Гос. спец. связь, а они в свою очередь должны были рассказать все истории, которые рассказываю вам я и выработать рекомендации. Я не знаю, чем там занимаются в ДССЗЗІ, но ничего сделано не было. Ни по одному из перечисленных инцидентов и атак.
Более того CERT-UA при гос. спец. связи стал одной из первых жертв нашего флешмоба. И бездействуют они не только в этом случае, но и во всех прочих. О русских хакерах у нас любят поговорить все, о том какая это страшная угроза, о грядущем кибер-апокалипсисе, о необходимости наращивать темпы развития повышения информационной безопасности. И подобные лингвистические фокусы из лексикона стрелочников. Только вот после десятков кибер-атак на Украину нет ни одного вменяемого отчета об инциденте. Да, можно выписать из Америки профессиональных экспертов и Cisco Talos почитает логи и напишет отчет c техническими подробностями о NotPetya, можно так же перевести отчеты Microsoft и ESET, но кто устроил атаку? С какой целью? Что нужно сделать, чтобы этого не произошло в будущем? Почему это стало возможным? Тишина.
От того, что будет проведён бумажный аудит (как это предполагается в законе 2126а, об основах кибербезопасности) у вас будет бумажная же безопасность. Для того, чтобы стало возможным частно-государственное партнёрство – нужен партнёр, а он отсутствует. Мы сообщаем о дыре размером в вагон, а в ответ слышим всё те же байки – ничего не было, было но не у нас, а у нашего подразделения, ну, у нас, но это не привело к плохим последствиям, привело к плохим последствиям, а мы просто отморозимся или солжем в пресс-релизе. Какие ещё последствия вам нужны? После Медка и всего прочего? За безопасность в Украине отвечают вроде бы все, и вроде бы никто.
МЧС выкладывает в открытый доступ схемы прокладки кабелей ведомственной связи. У нас что никогда коммуникационные колодцы не поджигают? (В Киеве горят и довольно регулярно). Киевстар выкладывает проекты сети мобильной связи (нужно отдать им должное: время реакции Службы Безопасности Киевстар на пост в Фейсбуке составило меньше двух минут, до таких показателей государственному сектору расти и расти, среднее время реакции сутки и больше). Министерство Здравоохранения – дыра в сайте. Один раз CERT всё-таки провёл мониторинг уязвимости государственных сайтов (или может их кто-то из активистов доконал и они опубликовали предупреждение), так вот в этом списке сайт НИЭКЦ (криминалистического центра, который делает экспертизу по уголовным делам) был отмечен, как взломаный. Он и стоял в подобном виде год, пока мы не рассказали об этом по телевизору. Тут уж представитель НИЭКЦ пришла ко мне в личку и заверила, что они очень внимательно относятся к безопасности. Мило поговорили. Спасибо.
В личке представители всех организаций милые и пушистые, и иногда даже в комментариях выражают благодарность за найденные уязвимости. Черт возьми, заместитель головы херсонского областного совета даже пост в Фейсбуке написала. И что я вам скажу в ответ? Благодарности – это конечно приятно, закрытые уязвимости, это не только приятно, но и полезно, причём для всех, но по большому счёту нам нужны не ваши благодарности, а нужно, чтобы вы качественно делали свою работу. К примеру, когда мы взломали Астраханскую область, спикер областной думы орала в НТВ: “Уволим всех!” Так что начинать исправлять ошибки нужно уже сейчас, не дожидаясь “последсвий”. И сделать это без публичного обсуждения невозможно. Ваши сайты забиты “новостями” о проведенных вами конференциях, встречах, законодательных инициативах и прочей лабудой, которую решительно невозможно читать, только не о том, что вами была допущена ошибка и как вы её исправили. Не нужно притворяться неуязвимыми, ломают всех, но работа над ошибками показывает, что вам не наплевать, что в вашей организации есть прогресс. И служит предупреждением для всех остальных. Иначе не изменится ничего.
Что делать? О наказании невиновных и награждении непричастных
Никакие волонтёры, хакеры, модные специалисты, повышенные зарплаты, строгие наказания сами по себе не помогают. Попалась Запорожсталь, сеть супермаркетов, киевское коммунальное предприятие выложило онлайн свою бухгалтерию и какой-то ключ в папке “BANK”, видимо от расчетного счета. О том, что основой для информационной атаки на Энергоатом со стороны Киберберкута послужили документы украденные русскими в Министерстве Экологии мы почему-то узнаём на Фейсбуке, и только потому, что Энергоатом хотел отмазаться от этой утечки. Почему молчит само Министерство Экологии? Или вы думаете, что там нет ничего интересного. Могу вас заверить, что чтение отчетов Балансной Комиссии о состоянии ядерных объектов оказалось настолько интересным, что когда я об этом упомянул в комментарии, пресс-служба атомщиков чуть ли не подпрыгнула, если бы это было возможно на Фейсбуке. (Кстати, с ядерной безопасностью у нас всё хорошо, незначительные инциденты бывают, но без последствий).
В “украинском сегменте” сети Интернет можно просто тралить полезную информацию. Попался нотариус вместе со всеми своими ключами, которые открывают доступ в реестры. В августе что-то случилось с сайтом Службы Внешней Разведки, который крутится на WordPress (гугл всё помнит). Служба такси выкладывает онлайн логи поездок. Бесконечные отписки, отмазки, переваливание ответственности и извинения в Фейсбуке – не защищают. Десяток “кибер-центров” (у нас всюду киберцентр, скоро при ЖЭКах открывать начнут) занимаются бесконечным разлагольствованием и переливанием из пустого в порожнее, а еще чаще из бюджета в неизвестном направлении. Разрабатываются тонны инструкций и правил поведения на случай подводного боя с инопланетянами, в то время как русские хакеры преспокойно шарят в украинских сетях – и в гражданских, и в военных, и в сетях критической инфраструктуры.
Так что же делать с кибербезопасностью? Упрощать, а не усложнять законы и инструкции. Упразднять бесполезные учреждения. Закрывать бесполезные веб-сайты, на которые никто не ходит – проще сделать справочник районных администраций, чем поддерживать сотни мусорных сайтов. Увольнять бесполезных людей, которые не только не справляются со своей работой, а практически занимаются саботажем. Начинать с самых простых элементарных вещей. Убираем из сети открытые SMB-диски и FTP-сервера, отделяем публичные сервисы от внутренней сети, устанавливаем нормальные пароли и двуфакторную аутентификацию, не кликаем по случайным ссылкам. И самое главное, если что-то случается, то об этом нужно честно рассказать, уведомить ту же гос. спец. связь, постараться выяснить, что именно произошло, как, и кому это выгодно. Пытаясь скрыть правду вы вредите и себе и нашей стране. В случае полномасштабной спланированной кибер-атаки отмазки, бумажки и административный пинг-понг не поможет. Мы конечно не умрём, но считать придётся на счётах и при свечах. И не думайте, что все вокруг идиоты, а у вас самые грамотные администраторы, прекрасные полиси и всё замечательно, потому что взломать можно каждого – это вопрос времени, денег и мотивации.
Немає коментарів:
Дописати коментар