Мысли
Украинский киберальянс: сейчас нам приходится опасаться не только врагов из РФ, но и украинских правоохранителей
Евгений Чайка
25 февраля силовики пришли с обысками к волонтерам из Украинского киберальянса, которые с 2014 года занимаются противодействием российской агрессии в киберпространстве. Именно они ответственны за взлом почты бывшего советника Владимира Путина Владислава Суркова, более известный как Surkovleaks. Эти же активисты годами занимаются поиском доказательств российского присутствия на Донбассе. Кроме того, несколько лет они ищут уязвимости для хакерских атак в государственном секторе. Впоследствии об этих проблемах они начали сообщать публично под хэштегом FuckResponsibleDisclosure, чтобы, по их словам, заставить государство реагировать на киберугрозы.
Вторник, 10 марта 2020, 08:02

Обыски у них произошли из-за взлома систем одесского аэропорта, который произошел в середине октября прошлого года. Тогда на табло аэропорта появилась фотография экоактивистки Греты Тунберг с нецензурной надписью. Хотя об уязвимостях в защите Киберальянс предупреждал примерно за две недели до этого инцидента. И активисты отвергают обвинения в причастности к этой истории.

Собственно, визиты силовиков заставили представителей Киберальянса пойти на беспрецедентный шаг: они открыли свои лица, настоящие имена и вышли на пресс-конференцию в Киеве. Где заявили, что отказываются от любого сотрудничества с государственными структурами до тех пор, пока они не извинятся за обыски и не признают непричастность Киберальянса к инциденту в аэропорту Одессы.

“Буквы” пообщались об обысках и президенте Владимире Зеленском, состоянии кибербезопасности в Украине и российском следе в хакерских атаках на государственные структуры с представителем Киберальянса Андреем Барановичем, более известным под псевдонимом Шон Таунсенд.

Чем вы занимались до Майдана и войны? Кем и где работали?

Я работал по нескольким компьютерным специальностям: программист, администратор на провайдерных узлах, информационная безопасность. А вообще я возился с компьютерами всю жизнь, начиная еще со школы.

В какой момент вы начали заниматься… киберволонтерством? Это можно так назвать?

С марта 2014 года. Тогда к нам с Артемом Карпинским после первых кибератак подошел знакомый с контрразведки за определенной консультацией. И мы поняли, что вполне можем использовать наши знания и опыт в этой сфере. Тогда же появилась первая добыча. Это был видный сепаратист из Луганска. Мы передали информацию о нем контрразведке – с тех пор он в розыске по ст. 111 Уголовного кодекса (государственная измена). Я хочу сразу отметить: силовики знали, кто мы такие и чем занимаемся. А вот россияне терялись в догадках. Однажды на LifeNews вообще вышел сюжет о том, что Служба безопасности Украины наняла себе “пятьдесят хакеров НАТО”.

Вообще, как возникла идея создания Альянса? В какой момент?

Еще до того, как появился Киберальянс, различные группы волонтеров работали отдельно. И в 2015 году мы поняли, что для того, чтобы организовывать и реализовывать информационные операции, нужна обратная связь, коммуникации. Таким образом возникла группа RUH8 (читается как RU HATE). И весной 2016 года, ровно 4 года назад, несколько таких волонтерских групп объединились в Альянс. Центром притяжения стал другой волонтерский проект – InformNapalm. Собственно, если информацию не использовать – то, считайте, ее не существует. Аналитики InformNapalm вместе с нами разбирали архивы полученной информации, писали аналитические статьи, чтобы наглядно показать: как Россия воюет против нашей страны. И, по возможности, мы пытались сорвать планы оккупантов.

Один из самых известных ваших успехов для общественности – это почта Суркова. Сколько заняло времени, чтобы получить к ней доступ? И все ли материалы оттуда вы уже проработали?

Времени не больше, чем для всех остальных полученных материалов. За теми почтовыми ящиками Киберхунта (одна из групп хакеров, которые публиковали переписку Суркова – ред.) наблюдала около полугода. У нас были другие взломы, которые порой были интересны технически. Однако с Сурковым был подходящий момент: как только стало известно, что россияне вмешивались в выборы президента США, прилетела “ответка” из Украины. И снова начали распространять слухи о “натовских хакерах”. Опять же – это была одна из немногих операций, на которую официальный Кремль не мог не отреагировать. До этого мы в RUH8 несколько раз ломали сайт Государственной Думы РФ, распространяли на нем “заявления” от имени разных депутатов. “Объявляли” Астраханскую Народную Республику. “Собирали” срочное совещание в Оренбурге по “ситуации в северном Казахстане”. Удивительно, но через неделю после этого в Актобе (город на севере Казахстана – ред.) произошел теракт, и совещание действительно собрали. С теми же участниками, которых “собирали” мы. А речь, которую я придумал губернатору Юрию Бергу, от его реальных речей и не отличить. Так что жизнь имитирует искусство. Надеюсь, и Астраханская Народная Республика появится.

Кроме борьбы с россиянами, вы занимались и работой в Украине. Это и FRD (FuckResponsibleDisclosure), и “паровозик-облачко”, правильно? Можете рассказать немного подробнее об этих проектах? Являются ли они традиционным взломом ресурсов?

Конечно, ни о каких взломах речи не может быть. Мы профессионалы в сфере кибербезопасности, мы придерживаемся украинских законов и этических норм, принятых в обществе. Мы лишь можем показать, что не стоит оставлять кошелек на столе и ключ от входной двери под ковриком. Но мы никогда не возьмем ни чужого кошелька, ни ключа. Оба флешмоба – известная практика, которая называется Full disclosure. В конце 90-х, когда компьютеры вошли в повседневную жизнь и от них стало многое зависеть, производители компьютерного железа и софта поняли, что информация о дырах в защите ощутимо влияет и на репутацию, и на прибыли. Поэтому они пытались повлиять на сообщество исследователей. В частности, подавали судебные иски против тех, кто находил эти дыры. Придумали такие понятия, как “этичный хакинг” и “ответственное разглашение”. То есть сложилась ситуация, что производитель, который отказывается отвечать за свои провалы, пытается заставить отвечать за них людей-исследователей. В ответ на такие инициативы информацию о дырах в защите начали публиковать без предупреждения.

Акцию #паровозикоблачко начал Андрей Перевезий, известный специалист по информационной безопасности. Он хотел показать бизнесу, что их системы, даже после атаки НеПети (название вируса, который использовали во время хакерской атаки 2017 года, в результате которого пострадал ряд крупных предприятий в частном и государственном секторе – ред.), до сих пор уязвимы. И реакция была вообще хорошая. Ведь бизнес знает о своих рисках. Поэтому на выявленные проблемы реагировали быстро, профессионально, дыры закрывали, компании говорили “Спасибо!”. В общем – все довольны.

Андрей Перевезий. Фото “Укринформа”

Несколько иначе получилось с FuckResponsibleDisclosure. Здесь само название намекает: к черту ваше “ответственное разглашение”. Так как ни на одно “ответственное разглашение” государственный сектор никогда не отвечал. Евгений Докукин (основатель организации “Украинские кибервойска” – ред.) годами писал об уязвимости государственных сайтов. И на его списки с трехзначными номерами никто не обращал внимания. В то же время осенью 2017 года чиновники поняли, что кибербезопасность – это тема горячая и модная. Приняли Закон “Об основах кибербезопасности”. И общий настрой был шапкозакидательский. Мол, “закон примем, доктрину о кибербезопасности напишем, денег возьмем у западных партнеров” и настроим киберцентров, как говорил робот Бендер из известного мультфильма, “с блэкджеком и шлюхами”.

На самом деле в ситуации с кибербезопасностью не изменилось, по большому счету, ничего. Ни после того, как россияне взломали Центризбирком (ЦИК). Ни после блэкаутов в Киеве и на Прикарпатье. Даже после десятимиллиардных убытков от российского НеПети, когда зависли банкоматы и половина страны панически искала резервные копии информации. Тогда мы решили показать наглядно, что у нас происходит. Первым невольным участником нашего флешмоба стал сайт CERT-UA. Это именно та организация, которая должна реагировать на компьютерные чрезвычайные события. За два с половиной года мы совместно с волонтерами указали на слабые места сотен организаций: это и министерства, и национальные агентства и областные администрации. Ибо только публичность и страх скандалов могут заставить чиновников обращать внимание на информационную безопасность.

Как реагировали представители госструктур на ваши публичные сообщения, что у них в системе защиты есть огромные дыры? Кто-то обращался к вам за советами? В общем – шел ли кто-то на конструктивный диалог?

Хочу отметить, что среди государственных организаций все же существуют такие, которые реагируют на наши сообщения спокойно и адекватно. Сразу вспоминается Госстат. Его руководитель ответил в официальном письме, что сообщил о проблемах в защите (как и предусмотрено законом) СБУ, CERT-UA, Государственную службу специальной связи и защиты информации (ГСССЗИ). И отметил, что выявленные недостатки исправлены и поблагодарил за помощь. Иногда представители различных служб благодарили нас в личных сообщениях. Но бывали ситуации, за которыми следил Константин Корсун (специалист по информационной безопасности, организатор ежегодной конференции по кибербезопасности UISGCON) и рассказывал обо всем этом на конференциях по безопасности в Украине и за рубежом. Ведь иногда поведение серьезных и ответственных лиц укладывалось в модель принятия Кюблер-Росс: отрицание, гнев, торг, депрессия, принятие. К пятой стадии доходили не все.

Например, так было с “Энергоатомом”. Были заявления типа: “Протекло не у нас, а у подрядчика”. Но разве не все равно, кого в результате будут взламывать: сам “Энергоатом” или смежную компанию? Затем нам угрожали заявлениями в киберполицию. В результате киберполиция и СБУ начали расследование в отношении работников “Энергоатома”. Потом говорили, что информация, которая открыто лежала в интернете, – это неважная информация. Действительно, если она неважная – почему бы ее не опубликовать? И наконец реакция, ради которой стоило работать. Пресс-служба “Энергоатома” сообщила, что, “используя полученную от активистов Киберальянса информацию, был найден и ликвидирован несанкционированный источник утечки информации”. Также на Запорожской АЭС создали спецкомиссию по расследованию инцидента. А с персоналом станции провели инструктаж. Собственно, речь о том, что Киберальянс не хочет никого подсидеть или как-то навредить. Мы хотим помочь защититься, особенно когда речь идет о критической инфраструктуре. Например, атомной электростанции.

Удавалось ли находить во время FDR следы россиян? Вообще, можно ли говорить о том, как часто россияне атакуют Украину именно в киберпространстве? И можно ли говорить, что здесь, как и на Донбассе, у нас с ними реальная война? Если да, в чем она проявляется?

Такое бывало. Яркий пример: как-то мы прочитали переписку одной российской группы и выяснили, что россияне полностью взломали почтовый сервер Министерства внутренних дел Украины. Мы сразу же сообщили об этом СБУ, кажется, это было в 06:00 утра. Рассказали им о ситуации и дали всю возможную информацию о российских хакерах. Уже в 08:00 утра сервер “погасили”, а киберполиция и СБУ приехали в полицию. Во время #FRD мы порой находили следы реальных хакеров. Например, такой случай был с сайтом Донецкой военно-гражданской администрации. Там лазили хакеры из Самары. Все пароли системных администраторов украли. Заместитель главы администрации сказал, что они обо всем в курсе и не отключают систему только потому, что “сидят в засаде”. Что, на мой взгляд, сомнительная тактика. Затем систему переустановило Государственное предприятие “Украинские специальные системы”. Вместе с дырой, через которую на сайт и залезли россияне.

Возникали ли у волонтеров Киберальянса проблемы с полицией или другими силовиками до случая с Одессой?

Было несколько таких случаев, когда на нас, не разобравшись, писали заявления в полицию. Так в свое время сделал Херсонский областной совет (их общий сетевой диск оказался без пароля в открытом доступе в Интернете). В ситуацию вмешалась Катя Гандзюк, и вместе мы смогли убедить представителя облсовета в том, что не хотим им зла. В результате заявление забрали. А потом поблагодарили публично за выявленную дыру в системе безопасности. Похожая история была с одесским Минюстом. Это был 2018-й, тогда пришлось убеждать киберполицию. Тогда все подозрения с нас сняли. И опять же: и СБУ, и киберполиция давно знают о нас и о том, чем мы занимаемся. В частности, о том, что наша цель – защитить нашу страну и усилить киберзащиту. В постах Андрея Перевезия (пост от 7 октября 2019 года, картинка с Гретой Тунберг на табло аэропорта появилась 16 октября) затэгали ​​и киберполицию, и Службу безопасности. Вряд ли они не заметили этих тэгов. Мы заранее всех предупреждали о том, что в системах одесского аэропорта дыры.

Расскажите о том дне, когда к вам пришли с обысками. Кто пришел, чего хотели, чем мотивировали то, что нужно забирать роутеры. Как быстро удалось найти адвоката?

Утром мне постучали в дверь и представились “соседями”. Конечно, своих соседей я знаю. Но я понимал, что надо двери открывать сразу. Как только это сделал – меня схватил вооруженный спецназовец. Не знаю, может, они ожидали, что я буду в них флешками бросаться. За ним зашли представители киберполиции Одессы, киберполиции Киева, представитель СБУ Одессы. Мне вручили постановление о “Грете Тунберг и одесском аэропорте”. Хотя к этому эпизоду мы не имеем никакого отношения. Я сразу позвонил руководству партии “Демократична Сокира”, в которой я советник по кибербезопасности. И они договорились с адвокатским объединением Barristers о моей защите. Адвокат Вадим Колокольников, который сейчас представляет мои интересы в суде, приехал очень быстро. Во время обыска у меня сложилось впечатление, что ни глобальное потепление с Гретой Тунберг, ни одесский аэропорт правоохранителей не интересуют. Но почему-то интересуют мои переписки.

Табло одесского аэропорта

Как потом выяснилось из материалов прокуратуры, расследования инцидента с “Гретой” особо и не было. Но СБУ очень внимательно читала мой Facebook и нашла там много оскорбительных сообщений о президенте Владимире Зеленском. Учитывая то, что это был октябрь, был скандал по Трампу и Зеленскому, были массовые митинги в День защитника Украины (СБУ почему-то считает, что они направлены “против президента”), – то такое количество сообщений не удивительно. И я от своих слов не отказываюсь: Facebook – мое личное пространство, где я пишу то, что думаю. Если вдруг Владимир Александрович обижается – пусть подает иск о защите деловой репутации. Спецназ полиции и Служба безопасности в такой ситуации, на мой взгляд, – это уже слишком.

Относительно адвоката. Часть активистов возмущена тем, что вас защищает адвокат объединения, которое представляет в судах интересы неоднозначных персонажей. Например, Владислава Мангера, которого подозревают в убийстве Екатерины Гандзюк. Прокомментируйте, пожалуйста.

Действительно, на пресс-конференции в “Интерфаксе” юридическую позицию представлял Андрей Левковец, партнер адвокатского объединения Barristers. Я считаю неправильным переносить обвинения с полиции, которая не может довести расследование убийства Кати, на адвокатов. Адвокат должен быть у каждого, независимо от того – виновен человек или нет. Адвокаты, как и врачи, должны помогать всем. Мои интересы представляет Вадим Колокольников. И я доволен его работой. Вместе с Катей мы убеждали облсовет Херсона в том, что не стоит разбрасывать свои документы по всему Интернету. Очень жаль, что ее с нами сейчас нет. А ее убийцы до сих пор не получили заслуженное наказание.

С момента обысков прошло больше недели. Скажите, у вас появился какой-то процессуальный статус? Вы свидетель, подозреваемый?

Нет. Сразу после обыска полиция попрощалась и уехала обратно в Одессу. Подозрений я не получил. В этот понедельник начался суд, во время которого должны были решить вопрос об аресте изъятого у нас имущества. Но во время перерыва между заседаниями судья Корой внезапно ушел на больничный. И мы желаем его чести как можно скорее выздороветь. Теперь будет новый суд и новый судья. Но мы не планируем сдаваться. Например, относительно меня: прокуратура показывает мою фотографию, на которой изображен экран компьютера, который завис (а не взломан хакерами). И по их мнению, это фото сделано в аэропорту “Борисполь”. На самом деле фото сделано в аэропорту Софии. Думаю, за четыре месяца следствия можно было бы это выяснить. Если, конечно, это хотя бы кого-то интересовало. А какое отношение фото из аэропорта Софии имеет к “Борисполю”, а “Борисполь” – к аэропорту в Одессе, и при чем здесь президент Зеленский – думаю, это мы выясним на следующем заседании.

Почему активисты Киберальянса решили снять балаклавы и перестать быть анонимными? Не боитесь ли вы за себя или свои семьи? Ведь за эти годы работы вы могли нажить врагов, в том числе и в РФ. Не усложнит ли это вашу жизнь?

Мы докатились до того момента, когда приходится опасаться не только врагов, но и правоохранителей собственной страны, которой мы пытались помогать. Поэтому теперь мы будем выступать открыто. И в первую очередь мы хотим справедливости в отношении нашей организации. А что касается россиян… мы всегда имели дела с сильным противником. Поэтому бояться – как минимум, глупо.

В общем, насколько все плохо в Украине с кибербезопасностью? И в чем причина: в администраторах, в тех, кто разрабатывает программы и сайты, в персонале, который работает с этими программами и сайтами?

В Украине есть и специалисты, и оборудование, и даже деньги. Основная проблема, на мой взгляд, – это некомпетентность управленцев и безответственность. Недавно Министерство цифровой трансформации отчиталось, что часть информации из реестра водительских прав не соответствует действительности, и теперь люди бегают и меняют удостоверения. Возникает один простой вопрос: кто в ответе за то, что в реестр вносились недостоверные данные? Может, стоит наказать тех работников, которые вносили эту информацию, и поднять бумажную документацию? И вот такая ситуация во многих сферах. Так что никакой кибербезопасности (по крайней мере в государственном секторе) в Украине не существует. И, конечно, этим пользуются и преступники, и Россия: они просто ходят в государственных системах, как у себя дома.

Сейчас Альянс прекратил всю свою деятельность? Даже разведывательную по сепаратистам и россиянам?

Мы продолжаем следить за наиболее интересными источниками, но пока абсурдное, сфабрикованное дело против наших активистов не будет остановлено ​​и перед нами не извинятся – ни  о каком сотрудничество с государственными структурами не может быть и речи.

Последний вопрос. Если мне не изменяет память, уже при Зеленском вас приглашали в СНБО говорить о кибербезопасности. Та встреча принесла какие-то результаты?

Какое-то медленное движение уже началось. И СНБО, и Госспецсвязь, и другие субъекты кибербезопасности, думаю, начали осознавать масштабы задач, которые нужно реализовать в этой сфере. Но до реальных результатов еще очень далеко.

Теги: кибератаки, МВС України, СБУ

Межа у YouTube

Подписаться