Все очень плохо: Как украинские хакеры безопасность госструктур проверяли

08:52, 22.11.2017

Поделиться:

1611   0

Все очень плохо: Как украинские хакеры безопасность госструктур проверяли

Флешмоб F*ck responsible disclosure показал главное: кибербезопасность в Украине – пустой звук. По крайней мере, в государственных структурах.

Работа многих админов украинских госструктур в вопросе защиты данных и контроля серверов навскидку выглядит примерно так:

И это не голословное утверждение – это уже показано флешмобом Украинского киберальянса F*ck responsible disclosure. Его итог планируют опубликовать 1 декабря, пока же на протяжении нескольких месяцев украинские хактивисты публиковали информацию о "полевых испытаниях" защиты ряда государственных структур.

Коротко – ситуация катастрофическая. Детальнее – рассмотрим дальше.

"Я не люблю оказываться правым. Но люди всегда найдут, чем меня разочаровать"

Цитата из сериала "Мистер Робот"

Справка: Украинский киберальянс (UCA) – неформальное объединение хакерских групп, куда, в частности, входят Trinity, RUH8, Киберхунта, FalconsFlame. Известны многочисленными акциями по взлому систем в Российской Федерации и тех, которые находятся на оккупированных территориях.

Анализ прошел на фоне недавних вирусных эпидемий: NotPetya, WannaCry, BadRabbit, которые изрядно потрепали украинские компьютерные системы, показав множество уязвимостей.  

В итоге государство разразилось несколькими важно звучащими изменениями в законодательстве. Например, были приняты основные принципы кибербезопасности, а ранее, еще до атак вирусов, была принята доктрина информационной безопасности.

Кроме того, появились несколько законопроектов, расширяющих полномочия силовиков в вопросе информационной безопасности, однако они были отклонены. В общем, бурная деятельность была серьезно обозначена.

Какой результат? А вот он:

 "Украинский Киберальянс и специалисты-волонтеры нашли множество уязвимостей государственных ресурсов. Информацию можно не только взломать, но и просто прийти и взять. Без пароля, регистрации и СМС", - пишет Таунсенд.

"Только так можно защитить себя, не показывать свой исходный код, отгородиться, создать лабиринт, в котором меня никто не найдет"

Цитата из сериала "Мистер Робот"

Как объясняет Таунсенд, начиная флешмоб, хакеры сознательно пошли на нарушение одной важной этической нормы, которая называется responsible disclosure (ответственное разглашение).

В этот раз было решено не придерживаться правила "сначала сообщить о найденной "дырке" владельцу ПО, а потом информировать общественность", а сразу распространять информацию о проблемах в безопасности.

Почему? Потому что, по его словам, несмотря на неоднократные сообщения об уязвимостях, никакой публичной реакции на это не было.

"Государственные чиновники не устают напоминать всем о том, что мы несём коллективную ответственность за нашу страну. Но требуя ответственности от граждан, какую ответственность несёт сам чиновник? Никакой", - подчеркивает спикер UCA.

Кто попался?

В первую очередь, CERT (Команда быстрого реагирования на инциденты при Госспецсвязи).

В CERT ошибку признали, уточнив, правда, что почта, пароль к которой был в открытом доступе, "используется для тестирования и не содержит никакой важной информации".

Еще одна находка касалась киевской полиции. Хакеры сообщили об обнаружении сетевого диска в открытом доступе, где "150 гигабайт информации областной полиции. Вместе с паролями, планами, протоколами, личными данными полицейских".

Особо был отмечен пароль от одного из аккаунтов.

"P.S. Пароль от одного из аккаунтов "mvd123" (не от шары, шара беспарольная). Вы серьёзно? Господа полицейские, возвращайтесь к нам из вашей параллельной реальности, где нет войны".

Еще одна информация, а именно открытый FTP, касалась портала Судова влада України.

"На нем есть архив, в котором лежат корневые сертификаты и пароль для генерации ключей пользователей. И аналитические отчёты по судам", - сообщил Таунсенд.

У истории с Судовою владою даже было продолжение:

По Министерству внутренних дел во время флешмоба было озвучено такое:

"Похвальный шаг по очищению власти от людей, которых не заботят свои собственные персональные данные, включая адреса, номера паспортов, ИНН и образцы подписи", - отметили в Киберальянсе.

Также была отмечена вниманием Государственная служба финансового мониторинга.

"Сайт может быть взломан в любой момент. А может быть уже? Ребята, мне на него дышать страшно, чтобы нечаянно не разломать его на куски", - пишет Таунсенд.

Отдельно стоит выделить историю с сайтом Херсонского областного совета:

"Они решили не мелочиться и расшарить в интернет общий диск. На запись. Без пароля. С незакрытой уязвимостью", - отмечают в Киберальянсе.

Кроме того, были найдены следы взлома сервера другими неизвестными хакерами.

Сам Херсонский облсовет разразился гневным ответом о том, что никаких взломов не было и "это провокация".

Однако позже советник главы Херсонского облсовета написала такое:

"Это урок не только для Херсонского областного совета, а для всех вас. Что мы теперь со всем этим счастьем будем делать? Пока вопрос открытый. Но, как говорит Жванецкий, самое время что-то менять в консерватории", - написала она.

Выводы

"В ходе акции #FuckResponsibleDisclosure мы обнаружили, что несмотря на то, что война идет уже четвертый год, никому нет дела до информационной безопасности. Все вокруг общее, а значит ничье. Никто не несет ответственность за ошибки в построении и сопровождении государственных информационных систем", - пишет спикер Украинского киберальянса.

На вопрос о реакции госслужащих он отвечает так: