Хакеры нашли уязвимости в половине министерств и администрации президента Украины: главное из интервью основателя Украинского Киберальянса

Сооснователь Украинского Киберальянса Андрей Баранович заявил, что информационная безопасность Украины находится в неудовлетворительном состоянии, хакеры нашли множество уязвимостей и брешей в системах госорганов, в том числе МВД, полиции и администрации президента, а диджитализация от Минцифры только усиливает риски утечек.

Хактивист в интервью DOU.ua также обвинил СБУ в фальсификации дела против УКА ради принуждения к сотрудничеству, поведал, как правоохранители продают на черном рынке конфиденциальную информацию украинцев, а также рассказал, в чем проблема приложения «Дія» и его безопасности. Все интервью за минуту.

Участники Украинского киберальянса считают себя хактивистами, а не «белыми» или «черными» хакерами. «В отличие от чёрных хакеров, которые занимаются этим ради заработка, и в отличие от белых, которые этим занимаются из интереса, мы относим себя к хактивистам, так как полученную информацию используем в военных и политических целях».

Самые успешные акции Украинского киберальянса: 1) получение данных из Федеральной службы охраны РФ 2) SurkovLeaks - доступ к почтовым ящикам помощника президента РФ и куратора ОРДЛО Владислава Суркова. 3) получение доступа на полтора года к системе правительства в Оренбургской области из-за ошибки системного администратора.  Цели акций Украинского киберальянса: показать, что украинские хакеры могут достойно ответить российским взломщикам, а также собрать данные о решениях и реальной позиции РФ по Донбассу. «Нашей целью было исключительно получать информацию о России, её участии в войне, военном и политическом руководстве, ничто другое  нас никогда не интересовало».

В России на Украинский киберальянс  открыто несколько десятков дел полицией, ФСБ, следственным комитетом.  РФ не может подать на украинских хактивистов в Интерпол, так как их акции имеют политическую составляющую.  УКА постоянно получает угрозы от тех, кого они взламывают.  «Мы просто не обращаем внимание на угрозы».

В РФ кибербезопасность находится на лучшем уровне, чем в Украине. «Больше денег, больше специалистов, но не сказать, чтобы очень хорошо». Украинский киберальянс мог бы взломать критическую инфраструктуру РФ, но «от таких действий желательно воздерживаться и не скатываться к тероризму».

Украина не отреагировала на акт кибертерроризма со стороны РФ в 2015 году -  россияне вмешались в работу энергосистемы в Киеве и Прикарпатье. Мы так и не провели тщательное расследование этой кибератаки. «Если бы международные организации по контролю над атомной энергетикой и безопасностью полетов (IAEA и ICAO), узнали, насколько низкий уровень защищенности критических объектов, у них возникло бы немало вопросов к Украине».  

Кибербезопасность Украины находится в очень плохом состоянии. «Российские хакеры лазят в украинских системах, как у себя дома. Состояние информационной безопасности в нашем госсекторе — ужасающее».

Акция #FuckResponsibleDisclosure показала уязвимости государственных систем перед кибератаками из РФ и криминальных хакеров. Украинский киберальянс при этом не использовал взлом и не нарушал законы. За три месяца УКА нашел «дыры как минимум в половине министерств, администрации президента, многих ветвях власти, включая команду быстрого реагирования на компьютерные инциденты при Госспецсвязи».

Бизнес и западные чиновники намного оперативнее реагируют на информацию об уязвимостях, чем украинские госструктуры. Например, украинский мобильный оператор связался с УКА через 30 секунд после публикации данных об утечке. А когда была утечка из палаты представителей США и УКА нашел сервер, через который скачивали взломанную информацию, Штаты связались спустя несколько часов. Тем временем укранские госслужащие реагируют на данные об уязвимости неадекватно. «Руководитель или пресс-секретарь организации начинает доказывать, что это не уязвимость. Что это всё неважно, это осталось от предшественников... Начинают угрожать заявлениями в полицию и СБУ».

Мобильная связь в Украине не безопасна, так как СБУ и правоохранители имеют к ней прямой доступ согласно закону о телекомуникациях. И эта информация попадает на черный рынок. «У них есть прямой доступ к оборудованию операторов, это открывает огромный простор для злоупотреблений. Существует чёрный рынок услуг, где вам продадут всю информацию из государственных реестров, в том числе начнут незаконно записывать телефонные звонки». Новый закон о телекоммуникациях № 3014 хочет дать доступ СБУ и правоохранителям еще и к интернету.  «Если  у правоохранительных органов есть доступ к оборудованию, то они будут этим пользоваться, в том числе в корыстных личных целях»

Диджитализация и программа «Дія», которую запустило Минцифры дает больше возможностей для утечек и киберрисков и лишь усложняет взаимодействие граждан с госорганами. «Данные из реестров текут регулярно, подделываются регулярно, в этих реестрах много ошибок», а Минцифры вместо сокращения количества информации, которую собирает государство и обеспечения ее защиты пытается объединить все в одну систему. «Больше людей получат доступ к разным реестрам, будет больше утечек, рисков». «Министерство цифровой трансформации реагирует на критикуабсолютно неадекватно» и не дает подтвержение безопасности «Дії», предлагая верить на слово.

«Багбаунти-программа «Дії» - это PR-ход, чтобы улучшить свою репутацию». Минцифры отказало многим компаниям в поиске уязвимостей в приложении. «Они пытаются по-тихому провести все на стороне, вставляют палки в колёса, ограничивая количество участников». Кроме того, нет смысла делать багбаунти без независимого аудита, который так и не провели в «Дія»

Выборы в цифровом виде, которые обещают Зеленский и Минцифры, не возможны сейчас момент технологически. «Нет технологии, которая позволила бы провести выборы в онлайне и убедить всех, что они прошли честно».

СБУ и полиция фальсифицировали обвинения против Украинского киберальянса по взлому табло Одесского аэропорта, чтоб найти «какой-то компромат, оказать давление, принудить к чему-то или сделать какое-нибудь неприличное предложение». Но этого не случилось, так как хактивисты вывели дело на публику. «Не было бы Одесского аэропорта, они использовали бы любой другой предлог». Сейчас дело стоит на месте уже 11 месяцев. «У нас нет никакого статуса: мы — не свидетели, не обвиняемые, нам не предъявлены официально никакие подозрения». Найти реального взломщика будет трудно, однако частная компания-управитель может провести аудит безопасности и защитить систему от дальнейших взломов.