F*ck responsible disclosure. Привет от очень злых хакеров

Мы провели поверхностный анализ работы информационных систем нашего государства. И он показал: даже после разрушительных эпидемий сетевых вымогателей WannaCry, NotPetya и BadRabbit кибербезопасность в Украине не более чем пустой звук. Украинский Киберальянс и специалисты-волонтёры нашли множество уязвимостей государственных ресурсов. Информацию можно не только взломать, но и просто прийти и взять. Без пароля, регистрации и СМС.

После того как Украина подверглась целому ряду кибератак, молодая техническая дисциплина — кибербезопасность — стала модной темой. Были приняты доктрины информационной и кибербезопасности, а заодно и нашумевший указ президента №133, которым вводились не только экономические санкции, но и блокировки ресурсов в Сети. Всё ради кибербезопасности. Затем в июле были предложены законопроекты 6676 и 6688, расширяющие полномочия силовых ведомств, но они были отклонены парламентом. Осенью наконец-то был принят закон 2126а «Про основні засади забезпечення кібербезпеки України». Согласно этому закону кибербезопасность государственных ресурсов должны обеспечивать примерно все. А значит никто. Первый же вопрос «а что будет, если не справятся?» повисает в воздухе.

В каждой отрасли есть свои этические нормы. Информационная безопасность — не исключение. По традиции, если вы нашли ошибку или дыру в безопасности, нужно сообщить о ней владельцу ПО или ресурса, а уже после этого публиковать. Такой подход называется ответственное разглашение (responsible disclosure). Государственные чиновники не устают напоминать всем о том, что мы несём коллективную ответственность за нашу страну. Но требуя ответственности от граждан, какую ответственность несёт сам чиновник? Никакой. В таких условиях о доверии и ответственности не может быть и речи.

Неравнодушные граждане и раньше сообщали об уязвимости государственных компьютерных систем, но никому не было до этого дела. К примеру, зимой нами была выявлена атака на почтовый сервер МВД. Потекла вся почта этого министерства. После того как я спустя полгода рассказал эту историю, журналисты написали запросы в МВД и СБУ. МВД ответило, что у них всё в порядке и всё под контролем, и только ДКИБ СБУ подтвердили, что взлом российскими хакерами почты МВД действительно состоялся, и что по факту возбуждены уголовные дела по статьям 361 (взлом) и 367 (служебная халатность). Публичной реакции не было.

А публичность — необходимое условие информационной безопасности. Это возможность научиться на чужих ошибках и исправить свои, пока в вашу сеть не залезли враги. Но гораздо проще рапортовать об успехах и сваливать ответственность друг на друга, на общество, на российских хакеров. Когда в сети прошел слух (к счастью, ложный), что взломана база биометрических паспортов, Государственная миграционная служба вместо того чтобы убедить всех в том, что это деза, назвала паникёров «троллями ФСБ» и списала всё на происки Кремля. А когда в украинских сетях орудуют настоящие агенты ФСБ и вражеские хакеры, никому до этого нет дела.

Украинский Киберальянс не занимается безопасностью. Мы ходим в контратаки. Нам удалось взломать, и неоднократно, сайт Государственной думы РФ, Совет Федерации, Министерство обороны, Федеральную службу охраны, агентов ФСБ — настоящих, а не выдуманных, депутатов и чиновников, включая советников президента РФ Глазьева и Суркова, деятелей Русской православной церкви. Практически все «министерства» непризнанных республик взламывались нами многократно, а рядовых сепаратистов мы выявили столько, что сбились со счёта. После принятия закона мы решили проверить, действительно ли чиновников беспокоит информационная безопасность?

В своей деятельности мы полностью придерживаемся законов Украины. Мы не пользуемся хакерскими методами, которые мы используем против врага. Как говорит наша полиция, все данные получены «путём поиска в сети Интернет». Реальное положение вещей нас просто шокировало. Наиболее распространённой ошибкой оказались не слабые пароли или антивирусная защита — их мы не проверяли — а то, что важная информация лежит онлайн на FTP или общем сетевом диске без пароля. И тогда мы поняли, что единственный способ что-то изменить заключается в том, чтобы публично пристыдить государственные организации и показать их халатность во всей красе.

В течение месяца мы и работающие с нами волонтёры нашли открытые всему миру ресурсы Национальной академии внутренних дел, вместе с паролями от сайта и списком офицеров до полковников включительно. Пароль от учётной записи почты Команды быстрого реагирования на инциденты при Госспецсвязи (CERT-UA). Сайт CERT-UA при этом лежал, а когда поднялся, на нём тоже были найдены множественные уязвимости. Сервер Государственной службы финансового мониторинга не обновлялся десять лет и может быть взломан прямо сейчас. Национальное агентство по противодействию коррупции выложило сканированные оригиналы деклараций в открытый доступ. Судебная власть Украины выложила отчёты судов. Херсонский областной совет открыл доступ к общему сетевому диску — ключи АЦСК, тысячи документов, вплоть до аудиозаписей заседаний. Одно из киевских коммунальных предприятий выложило онлайн ключ от банковского счёта и базу данных бухгалтерии. МВД — 15 гигабайт отсканированных деклараций.

Министерство юстиции, ахметовский SCM, НДЭКЦ (криминалистический центр, который готовит экспертизу по уголовным делам), экспертный центр при Министерстве здравоохранения — список можно продолжать бесконечно. Везде не нужно ничего ломать — заходи и бери. Всё заботливо разложено по папочкам и приготовлено на вынос. В нескольких случаях нам удалось обнаружить следы взлома настоящими хакерами. Если мы прошлись исключительно по открытым ресурсам, то кто-то до нас, например, те самые российские хакеры взламывали сети полностью. Чаще всего вместо благодарности мы получали в ответ исключительно угрозы, и приходилось ещё тратить время на то, чтобы объяснить людям, что мы не пытаемся подвести их под монастырь, а спасаем от куда более крупных неприятностей.

В ходе акции #FuckResponsibleDisclosure мы обнаружили, что несмотря на то, что война идёт уже четвертый год, никому нет дела до информационной безопасности. Всё вокруг общее, а значит ничьё. Никто не несет ответственность за ошибки в построении и сопровождении государственных информационных систем. Последней каплей стал общий диск киевской областной полиции. Личные данные сотрудников полиции, внутренние распоряжения, списки паролей от официальных аккаунтов (mvd123 — очень хороший пароль!) Чтобы всё стало совсем понятно, все ссылки на картинки на официальном сайте областной полиции ведут в домашний каталог пользователя на виндовой машине, открытый всем на чтение и на запись.

Не требуйте «ответственности» (в вашем понимании этого слова) от нас. Мы работаем каждый день и тратим много сил, чтобы защищать нашу страну. Теперь мы требуем ответственности от государственных чиновников. За то, что данные, которые принадлежат нам, и которые мы вам доверили, вы сложили в мешок и кинули на дороге. Поэтому #FuckResponsibleDisclosure. Ответственность появится не тогда, когда повысятся зарплаты, а когда нерадивый системный администратор сядет по статьям 363 (нарушение правил работы с ЭВМ) и 367 (служебная халатность).

Информационная безопасность — это не хакеры в масках, не пятидесятидюймовые мониторы, многопроцессорные чемоданчики и дорогостоящий софт. Безопасность начинается с соблюдения элементарных правил и личной ответственности. Не справляется сотрудник — увольте его и отдайте эту часть работы на аутсорс. Увольте девять из десяти бесполезных людей, которые занимаются вредительством, и оставшемуся одному можно будет увеличить зарплату в десять раз, и нагрузить осмысленной простой работой, а не попыткой угодить тому или иному ведомству и соблюсти безумные инструкции. Управлять и контролировать можно только то, что у вас есть. А кибербезопасности в Украине нет, и никакой закон, деньги, иностранные эксперты с космическими зарплатами и волонтёры сами по себе не могут этого исправить.

Служебная халатность во время войны называется иначе: саботаж.

UPD. Все совершают ошибки и хакеры - не исключение. Мы не можем подтвердить наш поспешный вывод, о том что сертификаты найденные нами на открытых FTP Судова влада України и сервер видеоконференций несут риски безопасности. Мы благодарны техническим специалистам этой организации за проявленный интерес и конструктивную позицию, и приносим наши искренние извинения. Все остальные находки и выводы остаются без изменений.