Украину по-прежнему легко хакнуть, для этого хватает даже Google

С помощью Гугла можно хакнуть даже сайт полиции, увы.

Украинский Киберальянс и его оруженосцы несколько недель искали уязвимые системы в госсекторе. О результатах исследования рапортовал Шон Таунсенд, участник и спикер UCA.

Есть две новости — хорошая и плохая
Хорошая в том, что благодаря усилиям Альянса и добровольцев множество дыр в безопасности госсистем было закрыто. В том числе на объектах критической инфраструктуры и в военной сфере. Плохая же заключается даже не в том, что удалось взломать полицию, военкомат, водоканал, а в том, что несмотря на то, что четвертый год идёт война и то, что Украина стала жертвой сотен разрушительных кибер-атак, наша страна по-прежнему не защищена в кибер-пространстве.

Мы постоянно сталкиваемся с русскими хакерами и неготовностью госорганов к их атакам. В декабре 2016 года, читая взломанную переписку пророссийских хакеров, мы выяснили, что полностью скомпрометирован почтовый сервер МВД Украины, о чем мы сразу сообщили в МВД, Киберполицию и СБУ. И дело здесь не в самом факте взлома — ведь при наличии бабла, времени и удачи можно взломать всё что угодно.

Удивило отсутствие реакции
Господа полицейские видимо посчитали, что это случайное совпадение и больше подобные атаки повториться не могут. С подобным пофигизмом (или тупостью) мы столкнёмся еще неоднократно, и она – худшая из всех возможных. Причем для того, чтобы показать уязвимость, нам часто приходится показывать чиновникам внутренние документы, иначе они как нашкодившие коты пытаются очевидное.

Первейшая отмазка, что это – не «секретные документы»

А нас интересуют не секреты и даже не возможность сыграть ноктюрн задвижками водоканалов в Ровно и Кропивницком. Нас интересует в принципе возможность или невозможность получить доступ извне к тому, что лежит внутри.

Тем не менее до боссов ГП «ЭнергоАтом» и Херсонского областного совета, которые оставили несколько своих ресурсов в открытом доступе в интернетах, этот посыл никак не доходил. В их случае даже не потребовалось ничего ломать, оказалось достаточным найти комп с диском общего пользования — в «ЭнергоАтоме» таких было четыре. Я понимаю беспокойство пресс-службы наших украинских атомщиков — даже намёк на возможность хакерской атаки на атомную станцию может вызвать в обществе панику. Но факт остаётся фактом – не важно секретные документы или нет, не важно хранятся ли они на локальном компе или у халатного сотрудника на флешке, утечка – есть утечка.

Мы не пользовались ни одним «хакерским методом»
Только поиск, иногда даже просто в Гугле. Имея доступ в локальную сеть (например через флешку), рано или поздно, но мы могли бы добраться до всей сети целиком и полностью. Таким же образом русским хакерам ненадолго удалось отключить Прикарпатьоблэнерго и ПС Северная в 2015 и 2016 году. Проблема в том, что системы Ровенского и Кропивницкого водоканалов не пришлось ломать. Они лежали в открытом доступе, со списками потребителей, IP-адресами, логинами и паролями, VPN-ключами и всем необходимым для того, чтобы устроить небольшой терракт.

Но по крайней мере этими случаями взлома сразу заинтересовалось СБУ. А вот Киевэнергоремонт и госслужба финансового мониторинга считают, что у них всё в ажуре. Список ресурсов, которые мы нашли в открытом доступе или обнаружили следы других хакеров просто удручает: Академия МВД (доступ к паролям от сайта, внутренней сети, следы многократных взломов, база данных офицеров), сервер пресс-службы Национальной полиции в Киевской области (документы, логины и пароли, доступ к внутренней сети), Кропивницкий водоканал (доступ к критической инфраструктуре), Энергоатом, Киевэнергоремонт, Судебная власть Украины, НАЗК, декларации МВД (включая специальные подразделения), Кропивницкий центр занятости, Никопольский пенсионный фонд.

Многие банально не понимают, что любая информация имеет ценность. Львовский военкомат выложил список из пятнадцати тысяч человек, которые по мнению военкомата «уклоняются от слузбы» (по факту военкомат их просто не нашел по месту прописки). Сами выложили. Даже не на открытый диск или FTP, а в Фейсбучек. То есть понимание о том, что это персональные данные, охраняемые законом — напрочь отсутствует.

Мы «зашли» в областной военкомат Закарпатской области – базы данных призывников, приказы, переписка с областной администрацией и Министерством Обороны, планы, списки, кто в какой части служит, одним словом всё! Тут уже пахнет не простым «Упс, извините», а военной прокуратурой, потому что это инфа с ограниченным доступом, а не какие-то «персональные данные».

Как волонтеры смогли найти уязвимость военкоматов.

Русским хакерам не прищлось бы даже ничего ломать. Приходи и бери. Следующие два примера — Черниговская и Донецкая ОДА. В Чернигове были открыты диски. После нашего поста диски закрыли, но один из наших волонтеров тут же нашел уязвимость на сайте, которая позволяла его взломать и получить доступ к якобы закрытым дискам. По правилам публичные сервисы должны быть полностью отделены от локалки. Но правила ведь не для чиновников, верно? С Донецкой администрацией всё было еще интереснее. Тот же волонтер нашел там беспарольную программу удаленного управления (веб-шелл WSO2), который установили другие хакеры.

При этом они не только взломали сайт, но так же и получили на сервере права админа, украли у настоящих админов все их пароли и полезли дальше в локалку. И это не просто ОДА, а военно-гражданская администрация в зоне АТО. А хакеры ходили туда из Самары. Даже после сообщения о взломе сайт простоял в таком виде еще неделю. Потом то ли админы решили прикинуться ветошью, то ли хакеры увидели наше сообщение и зачистили сервер, но так или иначе его переустановили. Пресс-служба ОДА тогда лепетала о «временных технических неполадках», хотя по факту это был шпионаж со стороны страны-агрессора.

Куда девался CERT?
И как на это реагирует государство? Почти никак. Да, дыры закрываются, в некоторых случаях СБУ проводит расследования или профилактическую работу. И хотя в целом силовики выполняют свою работу – раскрывают и предотвращают преступления, однако кибербезопасностью у нас никто толком не занимается. Более того — CERT-UA стал одной из первых жертв нашего флешмоба. И бездействуют они не только в этом случае, но и в принципе всегда. Мы сообщаем о дыре размером с вагон, а в ответ слышим всё те же отмазки – «ничего не было», «было, но не у нас, а у нашего подразделения» или «это не привело к серьезным последствиям».

Никакие волонтёры, хакеры, модные специалисты, заоблачные зарплаты, строгие наказания сами по себе не помогают. Попалась Запорожсталь, сеть супермаркетов, киевское коммунальное предприятие выложило онлайн свою бухгалтерию и какой-то ключ в папке «BANK», видимо от расчетного счета. О том, что основой для информационной атаки на Энергоатом со стороны Киберберкута послужили документы украденные русскими в Министерстве Экологии мы почему-то узнаём в Фейсбуке, и то — лишь потому, что Энергоатом хотел отмазаться от этой утечки. Почему молчит само Министерство Экологии? Или вы думаете, что там нет ничего интересного. Могу вас заверить, что чтение отчетов Балансной Комиссии о состоянии ядерных объектов оказалось настолько интересным, что когда я об этом упомянул в комментарии, пресс-служба атомщиков чуть ли не обделалась от удивления (кстати, с ядерной безопасностью у нас всё хорошо, мелкие инциденты бывают, но без последствий).

Так что же делать с кибербезопасностью?
Упрощать, а не усложнять законы и инструкции. Упразднять бесполезные учреждения. Закрывать бесполезные веб-сайты, на которые никто не ходит – проще сделать справочник районных администраций, чем поддерживать сотни мусорных сайтов. Увольнять бесполезных людей, которые не только не справляются со своей работой, но и практически занимаются саботажем. Начинать нужно с самых простых элементарных вещей. Убираем из сети открытые SMB-диски и FTP-сервера, отделяем публичные сервисы от внутренней сети, устанавливаем нормальные пароли и двуфакторную аутентификацию, не кликаем по случайным ссылкам. И самое главное, если что-то случается, то об этом нужно честно рассказать, уведомить ту же гос. спец. связь, постараться выяснить, что именно произошло. Пытаясь скрыть правду, вы вредите и себе и нашей стране.

В случае полномасштабной спланированной кибер-атаки не помогут отмазки, бумажки и административный пинг-понг. Мы конечно не умрём, но вычисления придётся производить на счётах и при свечах как в каменном веке. И не думайте, что все вокруг идиоты, а у вас самые грамотные админы, прекрасные полиси и всё замечательно, потому что взломать можно каждого – это вопрос времени, денег и мотивации.

Источник: Informnapalm.org

  • SS

    Угу, студенты за 150 баксов/мес тут же бросились закрывать все дыры.