Украинский хакер: Нельзя сказать, что столица абсолютно уязвима

В последнее время значительное внимание общественности уделяется различным проявлениям киберпреступности. Впрочем, кроме вирусов, парализовавших работу большинства онлайн-ресурсов нашего государства, не стоит забывать и о вражеских хакерах, проверяющих на прочность наши учреждения и ведомства.

Читайте также: День в истории: Киев пережил голодомор

Об этом мы решили пообщаться с наиболее подходящим кандидатом - хакером, выступающим под ником Sean Brian Townsend. Пресс-секретарь Украинского КиберАльянса с удовольствием ответил на поставленные вопросы и очертил ближайшие перспективы Киева в направлении борьбы с киберпреступниками.

- Как ты считаешь, сколько времени может понадобиться Киеву для защиты наиболее важных органов от хакерских атак?

- 100% защита невозможна, где-то безопасности уделяется больше внимания, где-то меньше. В среднем, в Киеве больше денег, а значит лучшие условия.

Но если для защиты от киберпреступников достаточно более-менее защитить важные учреждения, то для защиты от кибердиверсантов - а Украина ведёт войну - нужно защитить как можно большее количество учреждений. Киберпреступник не станет ломать сайт какого-нибудь коммунального предприятия - это не выгодно, а шпион или диверсант - будет, чтобы использовать его как отправную точку для следующих атак.

- Недавно ты публиковал обновления, суть которых состоит в базах данных, которые любой киберпреступник может получить на официальных сайтах государственных учреждений. Общую суть я понял, но хотел спросить: можешь объяснить "на пальцах" простому читателю, чем конкретно это грозит?

- Речь идёт не о киберпреступниках, а о любом человеке, потому что всё, что мы публикуем, лежит практически в открытом доступе или требует минимальных навыков работы с компьютером и сетью.

Недавно русские (скорее всего, это были именно они) опубликовали от имени "польских хакеров" данные бойцов и волонтёров АТО. Это вызвало крайнее недовольство в обществе. В ходе нашего флешмоба мы показали, что очень часто ничего не нужно ломать для того, чтобы получить ценную информацию.

Академия МВД оставила пароли от сайта (правда в зашифрованном виде) и списки 225 офицеров от лейтенантов до полковников. Просто в открытом доступе.

Точно так же могут утекать другие служебные документы.

Во многих случаях такие открытые ресурсы могут и были использованы для настоящих хакерских атак. Это ещё и возможность пролезть дальше, даже если на открытом компьютере нет ничего интересного. С него открывается доступ во внутреннюю сесть организации.

Часто информация представляет интерес сама по себе: Комунальна наукова-дослідна установа "Науково-дослідний інститут соціально-економічного розвитку міста" выложила в сеть всю свою бухгалтерию. "Киевэнергоремонт" - свой общий диск. Это позволяет ближе подобраться к электростанциям (в прошлом году хакерами была обесточена ПС "Северная"), не исключением оказалась и киевская полиция.

- Если государственный сектор успешно начнет диалог, готов ли сконцентрировать свое внимание исключительно на одном ведомстве, которое будет закреплено за тобой?

- Нет, у нас достаточно своей работы. Поступать на государственную службу мне не интересно. Мы не можем решить проблему собственными силами, но можем привлечь к ней внимание, что мы и делаем.

Мы не врачи, мы - боль.

Боль - защитная реакция организма. Мы не хотим никому навредить, но дать почувствовать, что так делать нельзя.

- Допустим, сейчас столица абсолютно уязвима. Чисто теоретически, ты рассматриваешь варианты трудоустройства на госслужбу, если тебя попросят исправить эти ошибки и обеспечить нормальную защиту ресурсов?

- Нельзя сказать, что столица "абсолютно уязвима". Но, в случае хорошо спланированной атаки, ущерб будет очень велик. Я удивлён тому, что даже после МЕДок и NotPetya защите по-прежнему не уделяется достаточно внимания.

Даже в теории я не рассматриваю поступление на государственную службу, меня тошнит даже от корпоративных стандартов, государственная служба вызывает хтонический ужас.

Хакеры или дорогостоящие эксперты на самом деле не нужны, достаточно соблюдать элементарные правила безопасности. То что мы нашли, мы нашли не при помощи высоких технологий, а зачастую, просто поиском в гугле.

- К тебе обращаются представители государственных учреждений? Интересует любая коммуникация, от просьб о помощи до угроз за публикацию подобных материалов (а вдруг).

- Я общался с представителями организаций, чьи уязвимости мы показали. Люди из Херсонского областного совета вначале написали заявление в полицию, но, когда они разобрались, что никто их на самом деле не ломал - поблагодарили.

До угроз пока не доходило.

- Недавно ты репостил запись Егора Папышева о сайте Белоцерковского отдела полиции, и найденных следах многократного взлома. Как ты считаешь, если ресурс подвергался регулярным атакам но практически не уделял этому внимания, можно ли назвать такое отношение халатностью?

- Я продолжаю настаивать на том, что это не просто халатность, которая должна повлечь за собой наказание по закону. В военное время подобная халатность - это саботаж.

- Скажи, если не секрет: украинские ресурсы защищены лучше или хуже российских?

- Если на то, чтобы взломать две областные администрации в России у нас ушло полгода, а чтобы не взломать даже, а найти три областные администрации в Украине - неделя, то как вы думаете?

При этом, в России взлом областного начальства приводил к немедленному скандалу, и спикеры этих организаций орали на ТВ, что это диверсия и что они уволят всех виновных. У нас прямо в данный момент в Черниговской ОДА - незакрытая дыра, а по серверу Донецкой ОДА прямо сейчас лазят русские хакеры.

Никому до этого нет дела.

Хотя часть организаций до того, надо отдать им должное, реагировала очень быстро.

- Каким ты видишь будущее флешмоба #FuckResponsibleDisclosure?

- Мы опубликуем остаток имеющихся у нас материалов и то, что присылают нам волонтеры. Подведём итоги, и на этом всё. Если кто-то захочет продолжить флешмоб - мы только за, копирайта на хештег быть не может.

- Скоро Новый год и прочие праздники. Обычно киберпреступники "отдыхают" в это время, или под носом у киевлян может произойти очередной громкий взлом?

- Взломы происходят постоянно. Праздники дают преступникам дополнительное время. На предыдущий Новый год был целый ряд очень громких взломов.

- Этот вопрос будет оформлен в стиле "правила жизни". У тебя есть неограниченное количество символов, попробуй сформулировать краткие советы по кибербезопасности простому сотруднику госучреждений. Так, чтобы дошло :)

- Не оставляйте открытые ресурсы и сервисы. Каждый дополнительно открытый порт - это возможность для хакера залезть внутрь, за всем не уследишь, и если что-то можно НЕ включать, не включайте. Везде должен работать принцип наименьших привилегий.

Если вашему сотруднику не нужен доступ к какому-то ресурсу, значит, доступа быть не должно.

Отделите локальную сеть от сетей общего пользования и публичных сервисов. Если с веб-сервера видна локальная сеть, то всё плохо. Если вам или кому-то из сотрудников нужно попасть во внутреннюю сеть, к примеру из дому, настройте VPN.

Разделите сеть на сегменты, бухгалтер не должен видеть компьютеры пресс-службы и наоборот. Используйте сильные пароли и двуфакторную аутентификацию, не храните пароли в открытом виде.

Следите за тем, что у вас происходит на компьютерах. Не кликайте на случайные ссылки и не открывайте подозрительные документы, сомневаетесь в том, что файл или ссылка действительно предназначены вам - хотя бы переспросите.

Своевременно обновляйте всё ПО, в первую очередь серверное. Изолируйте сомнительные программы в виртуальной машине. Расскажите вашим пользователям о типовых методах взлома, таких как drive by download, phishing, bruteforce и объясните, что в случае взлома организации достанется всем без исключения.

Всё, что я перечислил - это не какое-то тайное знание, а простейшие советы в стиле "если холодно - надевайте шапку" и "мойте руки перед едой".

- Какие города Украины могут похвастать более крутой киберзащитой, чем у Киева?

- Мы не проводили сравнительный анализ; мы нашли самых слабых, а тех, у кого всё в порядке мы и не искали. Но уязвимые организации нашлись во всех регионах, от далеких РГА до общегосударственных организаций. От малозначительных до очень важных. Так что какого-то общего принципа тут нет.

Понятно, что в столице и в важных учреждениях и с безопасностью получше. В случае чего, они реагируют быстрее. Но целью может стать каждый.