Все очень плохо: Как украинские хакеры безопасность госструктур проверяли

0

Флешмоб F*ck responsible disclosure показал главное: кибербезопасность в Украине – пустой звук. По крайней мере, в государственных структурах

Работа многих админов украинских госструктур в вопросе защиты данных и контроля серверов навскидку выглядит примерно так:

И это не голословное утверждение – это уже показано флешмобом Украинского киберальянса F*ck responsible disclosure. Его итог планируют опубликовать 1 декабря, пока же на протяжении нескольких месяцев украинские хактивисты публиковали информацию о “полевых испытаниях” защиты ряда государственных структур.

Коротко – ситуация катастрофическая. Детальнее – рассмотрим дальше.

“Я не люблю оказываться правым. Но люди всегда найдут, чем меня разочаровать”

Цитата из сериала “Мистер Робот”

Сначала о заявленной цели флешмоба. В статье для издания “Петр и Мазепа” спикер Украинского киберальянса Шон Таунсенд отметил, что хакеры “провели поверхностный анализ работы информационных систем нашего государства”.

Справка: Украинский киберальянс (UCA) – неформальное объединение хакерских групп, куда, в частности, входят Trinity, RUH8, Киберхунта, FalconsFlame. Известны многочисленными акциями по взлому систем в Российской Федерации и тех, которые находятся на оккупированных территориях.

Анализ прошел на фоне недавних вирусных эпидемий: NotPetyaWannaCryBadRabbit, которые изрядно потрепали украинские компьютерные системы, показав множество уязвимостей.

В итоге государство разразилось несколькими важно звучащими изменениями в законодательстве. Например, были приняты основные принципы кибербезопасности, а ранее, еще до атак вирусов, была принята доктрина информационной безопасности.

Кроме того, появились несколько законопроектов, расширяющих полномочия силовиков в вопросе информационной безопасности, однако они были отклонены. В общем, бурная деятельность была серьезно обозначена.

Какой результат? А вот он:

 “Украинский Киберальянс и специалисты-волонтеры нашли множество уязвимостей государственных ресурсов. Информацию можно не только взломать, но и просто прийти и взять. Без пароля, регистрации и СМС”, – пишет Таунсенд.

“Только так можно защитить себя, не показывать свой исходный код, отгородиться, создать лабиринт, в котором меня никто не найдет”

Цитата из сериала “Мистер Робот”

Facebook Sean Brian Townsand

Как объясняет Таунсенд, начиная флешмоб, хакеры сознательно пошли на нарушение одной важной этической нормы, которая называется responsible disclosure (ответственное разглашение).

В этот раз было решено не придерживаться правила “сначала сообщить о найденной “дырке” владельцу ПО, а потом информировать общественность”, а сразу распространять информацию о проблемах в безопасности.

Почему? Потому что, по его словам, несмотря на неоднократные сообщения об уязвимостях, никакой публичной реакции на это не было.

“Государственные чиновники не устают напоминать всем о том, что мы несём коллективную ответственность за нашу страну. Но требуя ответственности от граждан, какую ответственность несёт сам чиновник? Никакой”, – подчеркивает спикер UCA.

Кто попался?

В первую очередь, CERT (Команда быстрого реагирования на инциденты при Госспецсвязи).

В CERT ошибку признали, уточнив, правда, что почта, пароль к которой был в открытом доступе, “используется для тестирования и не содержит никакой важной информации”.

Еще одна находка касалась киевской полиции. Хакеры сообщили об обнаружении сетевого диска в открытом доступе, где “150 гигабайт информации областной полиции. Вместе с паролями, планами, протоколами, личными данными полицейских”.

Особо был отмечен пароль от одного из аккаунтов.

“P.S. Пароль от одного из аккаунтов “mvd123″ (не от шары, шара беспарольная). Вы серьёзно? Господа полицейские, возвращайтесь к нам из вашей параллельной реальности, где нет войны”.

Еще одна информация, а именно открытый FTP, касалась портала Судова влада України.

“На нем есть архив, в котором лежат корневые сертификаты и пароль для генерации ключей пользователей. И аналитические отчёты по судам”, – сообщил Таунсенд.

У истории с Судовою владою даже было продолжение:

По Министерству внутренних дел во время флешмоба было озвучено такое:

“Похвальный шаг по очищению власти от людей, которых не заботят свои собственные персональные данные, включая адреса, номера паспортов, ИНН и образцы подписи”, – отметили в Киберальянсе.

Также была отмечена вниманием Государственная служба финансового мониторинга.

“Сайт может быть взломан в любой момент. А может быть уже? Ребята, мне на него дышать страшно, чтобы нечаянно не разломать его на куски”, – пишет Таунсенд.

Отдельно стоит выделить историю с сайтом Херсонского областного совета:

“Они решили не мелочиться и расшарить в интернет общий диск. На запись. Без пароля. С незакрытой уязвимостью”, – отмечают в Киберальянсе.

Кроме того, были найдены следы взлома сервера другими неизвестными хакерами.

Сам Херсонский облсовет разразился гневным ответом о том, что никаких взломов не было и “это провокация”.

Однако позже советник главы Херсонского облсовета написала такое:

“Это урок не только для Херсонского областного совета, а для всех вас. Что мы теперь со всем этим счастьем будем делать? Пока вопрос открытый. Но, как говорит Жванецкий, самое время что-то менять в консерватории”, – написала она.

Выводы

“В ходе акции #FuckResponsibleDisclosure мы обнаружили, что несмотря на то, что война идет уже четвертый год, никому нет дела до информационной безопасности. Все вокруг общее, а значит ничье. Никто не несет ответственность за ошибки в построении и сопровождении государственных информационных систем”, – пишет спикер Украинского киберальянса.

На вопрос о реакции госслужащих он отвечает так:

скриншот

И это плохо.