Об украинских хактивистах, кибервойне и уязвимостях в госсекторе. Интервью с членом Ukrainian Cyber Alliance Андреем Барановичем
«Украинский киберальянс» (УКА) — сообщество украинских хактивистов, возникшее в 2016 году после объединения нескольких хакерских групп. По словам пресс-секретаря Ukrainian Cyber Alliance Андрея Барановича, их главной целью было получение информации о России и её участии в войне. Позже УКА также запустил флешмоб #FuckResponsibleDisclosure, который должен был оценить уровень защищенности государственных ресурсов Украины. В интервью DOU Андрей Баранович рассказал о деятельности УКА, отдельных акциях, кибервойне и обысках СБУ у членов организации. Также он поделился своим мнением о приложении «Дія», онлайн-выборах и безопасности интернета в Украине.
Об Ukrainian Cyber Alliance
— Первый вопрос — общий. Кто такие хакеры?
Себя я в первую очередь идентифицирую не как хакера, а как специалиста по сетям, программированию, безопасности. К публичной хактивистской деятельности я пришел только после начала войны. Мы с коллегами решили, что можем использовать знания и таким образом. Ведь если вы умеете защищать системы, то знаете и как нападать на них. То есть в отличие от чёрных хакеров, которые занимаются этим ради заработка, и в отличие от белых хакеров, которые этим занимаются просто из интереса, чтобы разобраться, как работают технологии, мы относим себя к хактивистам, так как полученную информацию используем в военных и политических целях.
— Я буду приводить цитаты из ваших интервью, чтобы вы их прокомментировали. В одной из статей вы говорите: «На „черных“ площадках политику давит администрация — цеховые интересы выше национальных». Это про сообщество украинских хакеров в принципе?
Цитата относится исключительно к чёрным хакерам, которые занимаются хакерством для зарабатывания денег. Как у специалиста по информационной безопасности у меня есть доступ и к закрытым хакерским форумам. Потому что мы занимаемся среди прочего сбором данных о том, как действуют чёрные хакеры, наблюдаем их в естественной среде обитания, изучаем их порядки, что есть новенького... И, естественно, там политика не приветствуется, потому что это сильно вредит бизнесу. Чёрных хакеров ведь тоже можно назвать бизнесменами, хотя они занимаются незаконной деятельностью. Поэтому они стараются политику не обсуждать. У киберпреступности нет национальности.
— Вы уже начали говорить про создание «Украинского киберальянса». Расскажите подробнее, как он формировался?
Сначала у нас была отдельная группа под названием RUH8. Мы с коллегами провели несколько акций, в том числе взломы Государственной думы Российской Федерации, Совета Федерации и региональных правительств в Астрахани и в Оренбурге. Наше сотрудничество с другими хакерскими группами наладилось благодаря сайту «ІнформНапалм», куда все мы передавали информацию для обработки и публикаций. Так, в июне 2016 года «Украинский киберальянс» сформировался уже в полном составе из групп RUH8, FalconsFlame, Trinity и «КіберХунта». У всех были разные навыки, разные специализации, благодаря чему мы друг друга взаимно дополняли. И так продолжали работать до 2019 года, пока в феврале
— Мы еще вернемся к этой теме. Сначала хочется узнать в целом об организации. Сколько в ней членов? Кто они, живут в Украине или есть и иностранцы, которые тоже хотят поучаствовать в ваших акциях?
В данный момент УКА как широкое сообщество практически не существует. Год назад мы с коллегами официально зарегистрировали в Минюсте нашу организацию, поэтому теперь есть ОО «Украинский киберальянс». Мы планировали заниматься безопасностью, в том числе украинских систем, потому что война состоит не только из атаки, но из обороны. Эти вопросы обсуждались с представителями власти, в том числе в Совете национальной безопасности и обороны осенью 2019 года. Но потом кому-то это всё перестало нравиться... Так что сейчас у нас есть ОО, которая состоит из трёх учредителей.
— А как дело обстояло до прошлого года?
Я не буду называть точное количество постоянных участников, но их было не очень много: плюс-минус 10 человек. Никакую иностранную помощь мы не принимали и не принимаем. Я никогда не ставил своей целью выяснять, кто такие остальные участники. О некоторых я знаю больше, о некоторых — меньше. В основном это специалисты-технари. Такие вопросы в общем-то и не принято задавать: меньше знаешь — крепче спишь.
В состав входили специалисты из Украины. А наши цели находились исключительно в Российской Федерации и на оккупированных Россией территориях. Мы всегда повторяли и повторяем, что нашей целью было исключительно получать информацию о России, её участии в войне, военном и политическом руководстве, ничто другое нас никогда не интересовало.
«Мы просто не обращаем внимание на угрозы»
— Вы — пресс-секретарь «Украинского киберальянса». Вас выбрали или вы сами захотели общаться с прессой от имени УКА?
Я всегда понимал: если мы хотим добиться, чтобы наша информация влияла на происходящие события, надо об этом подробно рассказывать, общаться с людьми... Всё началось с того, что у нас попросил интервью журнал «Фокус». И я убедил своих коллег в том, что его надо дать, чтобы люди хорошо понимали, кто мы такие, чем занимаемся, чтобы не видели в нас угрозы и не путали с чёрными хакерами.
— Часто общаетесь с журналистами?
Достаточно часто. Для многих изданий даю комментарии как эксперт в области безопасности или размещаю колонки по поводу текущих событий.
— Через какие средства коммуникации обычно сообщаете о результатах своих акций?
Пока мы занимались основным проектом, направленным против России, нашей площадкой был «ІнформНапалм». Мы с ними обрабатывали информацию, писали статьи, где размещали ссылки на материалы, чтобы каждый мог их скачать, проверить и убедиться, что мы никого не обманываем и что все так и есть, как мы рассказываем в публикациях.
— В разных интервью вы не раз акцентировали внимание на том, что действуете в рамках действующего законодательства. И все-таки слово «хакер» для многих ассоциируется с понятием «вне закона». Как это реализуется в «Киберальянсе»?
Естественно, мы нарушаем законы в Российской Федерации. Там возбуждено несколько десятков дел против нас всеми правоохранительными органами: и полицией, и ФСБ, и следственным комитетом. Мы этого абсолютно не стесняемся и не боимся, так как между Украиной и Россией сотрудничества в правоохранительной сфере нет. На оккупированных территориях Украина отступила от своих обязательств по поддержанию порядка и законности. А в Интерпол Российская Федерация обратиться не может, потому что у всех этих акций есть политическая составляющая.
В Украине мы, естественно, не нарушаем закон. Даже когда начали акцию #FuckResponsibleDisclosure, целью которой было показать, что украинские системы очень уязвимы к атакам и со стороны России, и со стороны криминальных хакеров, мы использовали неинвазивные средства. Если мы находим какую-то информацию, принадлежащую Украине, просто в открытом доступе, то это ничего общего со взломом не имеет — она там оказалась по халатности. Таким образом мы демонстрируем, что любой желающий, буквально пользуясь Google, может найти секретные документы, имеющие отношение к нашей армии, спецслужбам и так далее.
— Вы говорили, что за годы существования УКА вам постоянно поступают угрозы. От кого, какого характера?
Естественно тем, кого взламываем, это очень не нравится. Допустим, ситуация с российским пропагандистом Прохановым. Я захватил его страницу в фейсбуке, а заодно его издания «День» и «Завтра», и написал от его имени несколько смешных текстов. Потом в прямом эфире программы «Вести» он сильно негодовал об этом, а его сын Андрей Фефелов сыпал пустыми угрозами. Из оккупированных территорий тоже постоянно присылают всякие гадости. Мы просто не обращаем внимание на угрозы.
Кибервойна
— Какую из своих акций считаете самой успешной?
Тут сложно выделить что-то одно. Иногда получалось найти информацию, к примеру, из Федеральной службы охраны РФ — это часть бывшего КГБ, которая в том числе занимается безопасностью критической инфраструктуры. Поэтому найти такую информацию было нелегко. Больше всего упоминаний в прессе собрала акция SurkovLeaks, когда мы получили доступ к почтовым ящикам приемной аппарата помощника президента РФ Владислава Суркова. Ажиотаж случился, потому что акция совпала по времени с выборами президента Соединенных Штатов. Тут же появились слухи, что это возможно месть США России за взлом DNC. Эти слухи, естественно, были опровергнуты разведсообществом Штатов, но такой тайминг привлек к этой теме много внимания. Есть акции, которые интереснее в техническом плане.
— Нас будут читать программисты, поэтому им как раз интересна техническая часть...
С технической точки зрения интересный случай — Оренбургская область. Мы использовали уже опубликованные эксплойты. Это был Heartbleed, утечка памяти. Мы просканировали большое количество российских сайтов, в том числе нашелся один из мелких сайтов, размещенных в ЦОДе правительства Оренбургской области, то есть из памяти сервера к нему потёк доступ. Но долго там ничего не получалось сделать, потому что у них есть и IT-отдел, и отдел информационной безопасности с жестким контролем со стороны ФСБ. Однако в один момент системный администратор допустил ошибку: примонтировал сетевое хранилище к публичному веб-серверу, и оттуда уже потекло достаточно информации, чтобы получить доступ ко всей системе и закрепиться там, наблюдая за всеми частями этого областного правительства, включая ФСБ.
Пришлось даже прогнать нескольких залетных хакеров, которые полезли в эту же систему, чтобы не потерять к ней доступ. И доступ сохранялся очень долго — около полутора лет. За это время оттуда было выкачено всё, что можно выкачать. Это показывает, как даже небольшие и короткоживущие ошибки ведут к долговременным последствиям. И если APT-группа (advanced persistent threat) уже зашла в систему и закрепилась в ней, то таких хакеров тяжело обнаружить, они будут доставать информацию чуть ли не годами. Похожий случай, самая громкая недавняя история — это supply chain атака на SolarWinds, когда российские хакеры тоже распространили бэкдор через ПО для мониторинга сети и поддерживали этот доступ месяцами. Обнаружили их чуть ли не случайно.
— Какая цель ваших акций? Чего вы хотите добиться?
Дело в том, что российские хакеры лазят в украинских системах, как у себя дома. Состояние информационной безопасности в нашем госсекторе — ужасающее. Так что первейший же месседж, который хотели бы передать — всё, что вы можете сделать нам, мы можем сделать вам. У нас достаточно грамотных специалистов для этого. Вторая цель — непосредственно получение сведений о том, кто принимает решения, особенно военные, как они принимаются, что думают в администрации президента РФ, какова их позиция на переговорах в Минске — не то, что они говорят на публике, а то, что обговаривают между собой. Я считаю, что это ценная информация, которую сложно или очень дорого было бы получить каким-либо иным путем.
— В одном из интервью вы также говорили, что кибервойна — самая дешёвая. Но насколько она эффективна? Вы думаете, она может решить проблему с реальной войной?
Если говорить не о войне в целом, а только о части, допустим, о кибершпионаже, то он на порядок дешевле, чем шпионаж традиционный. Общим местом во всей литературе по этой теме стало выражение, которое уже даже набило оскомину. О том, что теперь кибер является пятой областью ведения боевых действий наравне с сушей, морем, воздухом, космосом. Естественно, с помощью компьютера войны пока не выигрываются — мы еще не настолько далеко в будущем. Но это важная составляющая, которая дополняет другие рода войск. В Украине в этом официально не существует никаких доктрин. Область не развивается: ни в плане защиты, ни в плане атаки. Есть, конечно, многочисленные государственные киберцентры, в том числе киберцентр СБУ, киберцентр Госспецсвязи, киберцентр МО, но пока что-то не видно значительных успехов с их стороны.
— У вас есть определенные принципы. Например, вы говорили, что не трогаете критическую инфраструктуру России «так как это, по сути дела, акт международного терроризма». Какие еще есть подобные принципы у УКА?
Когда мы активно занимались сбором информации о России, то нас в первую очередь интересовали военные и политические цели. Например, в 2015 году нам удалось получить доступ к информации со ста тысяч российских мобильных телефонов. Мы попытались просмотреть архивы, допустим, по смс, переписке, но не нашли ничего, что бы заслуживало внимания. Поэтому на обычных граждан не было смысла терять время, тем более, что коллектив у нас не очень большой.
В России с безопасностью чуть-чуть получше, чем в Украине. Больше денег, больше специалистов, но все-таки не сказать, чтобы очень хорошо. Естественно, мы могли бы добраться и до российской инфраструктуры, что-нибудь там взломать, нанести серьезный ущерб, но я считаю, что всё-таки от таких действий желательно воздерживаться и не скатываться к терроризму.
В 2015 году Россия вмешалась в работу украинской энергосистемы в Киеве и Прикарпатье. Это и есть дело международного терроризма, и я был очень удивлён мягкой реакцией украинского правительства на эти события. За рубежом атаки на наши электростанции обсуждают гораздо чаще, чем в Украине. Наше Министерство иностранных дел тоже почему-то не заявило, что Россия, по сути, перешла к террористическим методам, что было бы дополнительной мерой давления на РФ, чтобы они стали наконец-то страной-изгоем, как Иран или Северная Корея. Расследование не было проведено должным образом. Непонятно, как они попали в систему электростанций, чего пытались добиться, была ли это проба пера, случайность или это будет систематической деятельностью с их стороны.
#FuckResponsibleDisclosure
— Как вы перешли от первого проекта, направленного вовне, к внутреннему по защите украинских госструктур?
Это всё происходило параллельно. Когда принимался закон «Об основах обеспечения кибербезопасности Украины», в Facebook возникли многочисленные обсуждения. Многие представители власти заявляли: «Вот видите! А вы говорили, что ничего не меняется. Посмотрите, какой мы замечательный закон приняли. Вот теперь наконец-то всё будет в порядке». Целью акции #FuckResponsibleDisclosure было показать, что никакие законы сами по себе ничего не исправляют, ни на что не влияют. Для иллюстрации этого тезиса мы указали на несколько уязвимых государственных информационных систем. А потом поставили поиск этих уязвимостей на поток.
Как я уже говорил, никаких взломов не было. Тут можно привести сравнение с ситуацией, когда, допустим, вы идете по улице мимо домов и замечаете, что под одним ковриком лежит ключ. Или на дороге — бумажник. Вы подходите и показываете: у вас ключ под ковриком, а тут выпал бумажник. Но ни ключ, ни бумажник вы не поднимаете и ими не пользуетесь. Так же и с уязвимостью. Мы нашли ее, знаем, как она может быть использована, к чему это может привести. Но мы ей не пользуемся, только показываем: у вас тут дыра.
— Как вы оцениваете уровень киберспециалистов, работающих в госструктурах?
В Украине существует около 100 тысяч всевозможных учреждений, коммунальных предприятий, государственных предприятий... Госсектор огромен. Где-то работают достойные специалисты, которые применяют свои знания по назначению. Но их очень мало. Абсолютно невозможно снабдить каждое учреждение хотя бы системным администратором. Всех айтишников в Украине около 200 тысяч. Так что если бы даже они все отправились работать в госсектор, то людей все равно было бы мало.
Когда три года назад мы запустили #FuckResponsibleDisclosure, то в течение пары месяцев нашли дыры как минимум в половине министерств, администрации президента, многих ветвях власти, включая команду быстрого реагирования на компьютерные инциденты при Госспецсвязи. Они просто на своём сайте забыли в открытом виде пароль от одного из почтовых ящиков. А, допустим, академия МВД оставила открытый беспарольный диск в интернете, где лежит база данных всего личного состава: и тех, кто обучает, и тех, кто обучается. То же самое было с Киевской полицией...
Естественно, мы туда не вмешиваемся. И если есть какая-то информация, которая может помочь злонамеренному взломщику дожать эту дыру и вломиться, то мы ее не публикуем. Хотя часто единственное, что действует на чиновников, это начать стыдить их публично. Только боязнь огласки, насмешки заставляют их что-то делать. Самые вопиющие дыры таким образом были закрыты. Очень многие пытались действовать другим путем, предупреждая непосредственно администраторов, руководство о существующих дырах. Тот же Женя Докукин (основатель инициативы «Украинские кибервойска» — ред.) послал несколько сотен таких сообщений. В 99 процентах случаев чиновники на такие предупреждения не реагируют.
То есть целью акции #FuckResponsibleDisclosure было не позакрывать все дыры — это невозможно сделать с помощью усилий волонтеров, а показать, что информационная безопасность в Украине находится в неудовлетворительном, неадекватном состоянии. Никакие отдельные законы или постановления Кабмина не приводят к системным изменениям. Необходимо пересмотреть сам подход, иначе взломы будут продолжаться. Все мы помним «НеПетю», который нанес ущерб, достигающий 10 миллиардов долларов, многочисленные утечки из МВД, СБУ, взломы крупных предприятий таких, как «Антонов», упомянутые блэкауты в Киеве и Прикарпатье... Если не начать уделять этому внимание, последствия будут катастрофическими.
— После того, как вы сообщали о каких-то дырах, вы контролировали через время, прислушались к вам или нет?
По-разному. Приведу пример. В открытом доступе нашлось оборудование водоканала, в том числе удалённое управление механикой, какими-то там заслонками, заглушками... Я недостаточно разбираюсь в водоканалах, но понимаю, что это непосредственный доступ к оборудованию, логины, пароли, чтобы туда можно было зайти удалённо и что-то сделать. Мы предупредили знакомых офицеров Службы безопасности Украины. Ведь это непосредственная угроза: в результате атаки несколько областей могут остаться без воды. СБУ попытались как-то воздействовать, данные из открытого доступа пропали, но у водоканала оказалось настолько хитрое руководство, что оно умудрилось и Службу послать куда подальше с их требованиями.
— У нас сейчас принято писать больше о негативе. Интересно, бывало ли такое, что вы обнаруживали хорошо защищенные системы или встречали адекватную реакцию чиновников?
Да, не очень часто, но мы встречали спокойную профессиональную реакцию со стороны чиновников, когда они быстро исправляли уязвимости, писали об этом, публично благодарили. То есть поступали так, как и должны были поступать. И все-таки хотел бы отметить, что если чиновники и реагируют, то это не может сравниться с тем, как реагирует бизнес, в особенности крупный.
Например, когда в открытом доступе оказалась информация одного мобильного оператора, то время реакции на инцидент безопасности составило 30 секунд. То есть мы опубликовали обложку документа (в самой обложке не было ничего секретного), а уже через полминуты инженер безопасности написал нам и вежливо расспросил все детали. В течение суток они провели собственное внутреннее расследование, нашли причину утечки и ее ликвидировали. Точно так же было, когда в открытом доступе нашлись следы взлома палаты представителей конгресса США. Какие-то неизвестные хакеры там полазили, а один из наших волонтеров нашёл промежуточный сервер, через который скачивалась информация. Опять-таки буквально через несколько часов американцы уже спрашивали, вся ли это информация или есть что-то еще, о чём мы не хотим рассказывать публично.
А у нас, к сожалению, часто бывает так, что после обнаружения нами дыры приходит руководитель или пресс-секретарь организации и начинает доказывать, что это не уязвимость. Что это всё неважно, это осталось от предшественников... Начинают угрожать заявлениями в полицию и СБУ, всячески сопротивляться и проходить все фазы от отрицания до принятия. Почему-то они уверены, что это спланировано специально против них, чтобы их очернить и подсидеть.
Обыск и суды
— Как проходило изначально взаимодействие «Киберальянса» с госструктурами?
Ту информацию, которую мы считали важной, которой можно воспользоваться, мы передавали военным или спецслужбам. Это не было какое-то формальное взаимодействие, просто связь через знакомых офицеров, которым можно доверять. По части поиска дыр в госсекторе большая часть информации публиковалась с описанием уязвимостей и того, что можно было бы сделать, чтобы улучшить ситуацию.
Осенью 2019 года «Киберальянс» пригласили в Совет национальной безопасности и обороны. Там было обсуждение о том, как реформировать государственный подход к информационной безопасности, как его совместить с планами вице-премьера Михаила Фёдорова по диджитализации. Он тоже выступал на этом совещании, рассказывал о своих планах. После мы провели несколько встреч с чиновниками, послушали, что они говорят, сформировали небольшую группу, обсудили все между собой (не только в рамках УКА, но ещё с участием многих известных айтишников), выработали видение, как можно было бы изменить существующую систему... И на этом всё закончилось. Посидели, поговорили — и разошлись, ничего не поменялось.
— А до этого в частном порядке к вам обращались госструктуры по каким-то конкретным вопросам?
Нет, не обращались.
— Сейчас вы прекратили сотрудничество с госструктурами после обыска в феврале 2020 года и последующих судов. Расскажите хронологию событий.
Начнём с того, что осенью
А в феврале 2020 года ко мне домой вламывается СБУ и полиция вместе с тяжело вооружённым подразделением КОРД в броне, с дополнительными рожками к автоматам. Я не знаю, они, видимо, собрались небольшую войну у меня на кухне устроить? В разрешении на обыск было написано, что якобы я, Андрей Перевезий и Саша Галущенко (он сейчас работает в киберцентре при СНБО) втроем взломали табло в международном аэропорту Одессы. То есть абсолютно смехотворные обвинения, естественно, дело сфабриковано.
Мы не стали молчать и на следующий день организовали пресс-конференцию, на которой заявили о том, что это политическое давление. После было два судебных заседания по аресту изъятого имущества. На первом судебном заседании наша защита разнесла позицию прокуратуры в пух и прах, но в перерыве между двумя судебными заседаниями в течение одного дня судья пошёл на больничный. Я считаю, что правоохранительные органы оказали на него давление, чтобы он не принял справедливое решение. После этого судью заменили, и тот уже наложил арест на наше имущество, изъятое на обысках — компьютеры, диски.
С тех пор прошло 11 месяцев. Дело абсолютно никак не продвигается, у нас нет даже никакого статуса: мы — не свидетели, не обвиняемые, нам не предъявлены официально никакие подозрения. Сейчас этим делом занимается полиция. Они просто тянут время, надеясь... Я не знаю, на что они надеются. Я лично надеюсь, что с помощью наших замечательных защитников мы добьёмся не только справедливости в суде, но и наказания виновных.
— В одном интервью вы сказали, что считаете ситуацию с Одесским аэропортом предлогом «чтобы зайти к нам с обысками, изъять технику и попытаться что-то там найти». Ваши предположения, что именно найти?
Я не знаю, может, какой-то компромат, чтобы оказать давление, принудить к чему-то или сделать какое-нибудь неприличное предложение. Но до этого не дошло, потому что всё сразу перешло в публичную плоскость. Никаких договорённостей в таких условиях не может быть. Я абсолютно убежден в том, что не было бы Одесского аэропорта, они использовали бы любой другой предлог, чтобы точно так же прийти с обысками.
— А вы не пытались провести собственное расследование ситуации с аэропортом?
В материалах дела я ознакомился с техническими деталями. Думаю, что найти реального взломщика будет нелегко. Самое лучшее, что можно сделать — провести аудит безопасности и защитить систему аэропорта. Им управляет частная одесская компания, и я думаю, что им это вполне по силам.
— На упомянутой конференции несколько участников УКА раскрыли свои личности, хотя до этого хранили инкогнито. Не жалеете об этом решении? Как это повлияло на вас в частности?
Стало проще. Тем более наша анонимность была условной. Это скорее часть образа: маски, балаклавы привлекают внимание. Конечно же, думаю, и СБУ, и МВД достаточно давно знали наши имена. В практическом смысле поддерживать дальше игру в анонимность не имело никакого смысла. Поэтому мы пошли на пресс-конференцию под настоящими именами: я, Артём Карпинский, Андрей Перевезий и Александр Галущенко. С нами также был представитель адвокатского объединения, который давал юридический комментарий.
— Как вы считаете, должен ли быть у украинских хактивистов иммунитет, то есть защита от уголовного преследования? Или это приведет к подчинению?
Прежде всего я считаю, что иммунитета от уголовного преследования не должно быть ни у кого-то. «Хороший парень» — не защита. Но наша правоохранительная система полностью коррумпирована и развалена — в этом я вижу проблему. То есть если мы не нарушаем украинских законов, то не понимаю, какие к нам могут быть вопросы, являемся ли мы хакерами, хлебопеками или кем-то еще.
Пресс-конференция «Украинского киберальянса»
Про приложение «Дія» и безопасность интернета
— На той же пресс-конференции прозвучала фраза, что если бы УКА всегда обращался сразу в международные институты, то у Украины уже давно не было бы безвиза. Что именно имелось в виду?
Насколько я помню, это сказал Андрей Перевезий. Как я понимаю, он подразумевал то, что те же атомные электростанции и аэропорты — часть критической инфраструктуры и у Украины есть определенные международные обязательства по уровню безопасности этих объектов. Потому что если упадёт, не дай бог, гражданский самолет или произойдет авария на атомной электростанции, то пострадает не только Украина. Так что если бы международные организации, которые занимаются контролем над атомной энергетикой и безопасностью полетов (IAEA и ICAO), узнали, насколько низкий уровень защищенности этих критических объектов, то у них возникло бы немало вопросов к украинскому правительству.
— В одном из своих постов вы говорили, что мобильная связь в Украине не безопасная, в отличие от интернета. Расскажите и об этом.
Я на самом деле удивлён, что это для кого-то секрет. С начала
А что произошло недавно... Сейчас уже второй раз парламент принимает новый закон № 3014 о телекоммуникациях. В первый раз он был принят в Раде, но завернут Зеленским. Туда внесли определенные изменения и снова подали на подпись. И неизвестно, подпишет ли его президент или же завернет. Там есть такие формулировки, что теперь те положения, которые касаются прослушки телефонных переговоров, могут истолковать так, чтобы заставить и интернет-провайдеров обеспечить доступ Службы безопасности Украины к своим сетям, что, естественно, повлечет крайне неприятные последствия. Это уже полное и окончательное безобразие.
Никто не спорит с тем, что у правоохранителей должна быть законная возможность получать информацию об абонентах у телефонных операторов и провайдеров интернета. Но, считаю, логично было бы, чтобы они получали ордер, предоставляли его оператору, а тот самостоятельно записывал нужную информацию. Если же у правоохранительных органов есть доступ к оборудованию, то они будут этим пользоваться, в том числе в корыстных личных целях. А это коррупция и огромная потеря для экономики и для прав граждан.
— Вы также недавно комментировали проведение багбаунти с целью выявления уязвимостей приложения «Дія». Вы участвовали в этом? Насколько вообще считаете это приложение безопасным?
Я внимательно слежу за проектом массовой диджитализации. И считаю, что это бездумная цифровизация, когда оцифровывают те процессы, которые вообще не нужны. Допустим, мне от государства нужна справка. Мне неважно, в какой она будет форме, я хочу, чтобы справок не было вообще. Или возьмем первое, что сделали в приложении «Дія» — добавили туда паспорт гражданина Украины. Я не очень понимаю зачем. По-моему, гораздо проще отменить проверку паспортов при продаже билетов на поезда, чем загружать паспорт в телефон. Я просто хочу, согласно Конституции, иметь свободу передвижения и ходить без паспорта. Многие идеи в этом приложении считаю или бессмысленными, или такими, которые могут привести к крайне негативным последствиям.
Мы знаем, что данные из реестров текут регулярно, подделываются регулярно, что в этих реестрах огромное количество ошибок. И вместо того, чтобы сократить количество информации, которую собирает государство о гражданах, вместо того, чтобы обеспечить надлежащую защиту этой информации, Министерство цифровой трансформации пытается объединить ее в гигантскую систему. А это значит, что больше людей получат доступ к разным реестрам, будет больше утечек, рисков.
Что касается наличия каких-то уязвимостей, то тут Министерство цифровой трансформации реагирует на критику абсолютно неадекватно. Многие журналисты пытались через официальные запросы получить хоть какую-то информацию о портале и приложении, в том числе аттестат КСЗИ. В ответ министерство предоставило нарочно испорченные файлы, которые невозможно открыть. По всем вопросам они уверяют: «У нас всё хорошо, мы провели аудиты. У нас есть сертификаты. Только мы их не покажем, вам надо просто верить нам на слово». Я считаю, что информационная безопасность — не та область, где можно полагаться на слова чиновника.
Багбаунти-программа, о которой они объявили в декабре, это PR-ход, чтобы немного улучшить свою репутацию: «Вот мы обратились к хакерам со всего мира, они всё проверили и почти ничего не нашли, то есть приложение надежно защищено». Лично мы в этом всём не участвовали. Однако несколько украинских компаний и учреждений (государственных и частных) обращались в Министерство цифровой трансформации: «Давайте мы тоже поучаствуем в вашем багбаунти», и реакция со стороны господина министра была абсолютно дикая — он всем отказал.
Это свидетельствует о том, что они пытаются по-тихому провести все на стороне и таким образом укрепить свою репутацию, поэтому всячески вставляют палки в колёса, ограничивая количество участников. Тем более, что багбаунти проводится тогда, когда люди уже полностью уверены в том, что они сделали всё возможное, чтобы обеспечить безопасность. Но до этого не было независимых аудиторов. Участвовала только какая-то эстонская неприбыльная организация. То есть независимого аудита не было, результаты не опубликованы, но почему-то проводится багбаунти-программа.
— Ваша цитата: «Взломать можно все что угодно — это вопрос времени и затраченных усилий». В таком случае вообще нужны ли подобные приложения, как «Дія»?
То, что взломать можно практически всё, не значит, что ничего не нужно делать. Я не призываю всех возвращаться в каменный век, отказаться от телефона и компьютера и опять использовать бумагу. Это неудобно, несовременно, незачем отказываться от технологического прогресса. Но любые задачи нужно реализовывать правильно. Вот какая ставится цель перед приложением «Дія»? Одна из тех, которая периодически возникает в заявлениях руководства Министерства цифровой трансформации и самого господина Зеленского, — в перспективе это позволит провести выборы в цифровом виде.
Но я считаю, и это не только мое мнение, а практически всех международных экспертов в области выборов и информационной безопасности, что на данный момент не существует технологии, которая позволила бы провести выборы в онлайне и убедить всех, что они прошли честно. Потому что задача выборов — не определить победителя, а убедить проигравшего в том, что никто не мошенничал. В случае с цифровыми выборами это невозможно, по крайней мере в данный момент. Сейчас не существует ни одной страны, кроме Эстонии, где бы проводились выборы онлайн. И даже в самой небольшой Эстонии есть много недовольных, которые хотят вернуться к более безопасной офлайновой системе.
Если Министерству цифровой трансформации хочется что-нибудь улучшить, то стоило бы заняться в первую очередь ответственностью чиновников за внесение недостоверной информации в реестры. Вот, допустим, вы захотели воспользоваться водительским удостоверением в приложении «Дія». Там может не оказаться фотографии, техталона или быть написан абсолютно любой бред. И вам придётся идти в Центр административных услуг и практически заново оформлять водительское удостоверение. Я считаю, что полезной цифровизацией было бы заставить тех чиновников, которые внесли недостоверные данные, исправить свою ошибку, чтобы не вы бегали, а они делали это самостоятельно. После того как система начнет работать нормально в офлайне, её можно автоматизировать. Если мы автоматизируем бардак и мошенничество, то получим автоматизированный бардак и цифровое мошенничество.
— В одном из интервью вы говорили, что некомпетентность и безответственность — две причины, которые позволяют совершать атаки российским хакерам на наши гос- и бизнес-структуры. Как вы видите устранение этих проблем? И возможно ли их решить полностью, если, по вашим же словам, взломать можно все что угодно?
Взломать можно всех, но кого-то взломать — легко, а кого-то — сложно. И важен даже не сам факт взлома, а то, как люди на него реагируют и как пытаются снизить нанесенный ущерб.
Чиновники должны понять, что несут ответственность за информацию, которую мы им доверили, ведь она представляет ценность. Мы можем даже узнать конкретные расценки на черном рынке. Так что это ценное имущество, которое необходимо охранять точно так, как и физические объекты. А пока никто не отвечает за их сохранность и защиту.
Есть другая сторона медали — человек может нести ответственность только за то, в чём он разбирается. Если в госорганизации нет системного администратора, а есть только низкооплачиваемый сотрудник, который бегает и картриджи в принтерах меняет, то, понятное дело, он ни за что отвечать не может. Но если государственное учреждение не может поддерживать собственную информационную систему, то пусть возвращается к бумаге, сейфам и охранникам на входе. То есть либо вы научитесь поддерживать свои информационные системы и нести ответственность за их сохранность вплоть до уголовной, увольнений, штрафов, выговоров, либо у вас их просто не должно быть.
— В начале интервью вы сказали, что на данный момент осталось три активно действующих члена организации. Чем Ukrainian Cyber Alliance занимается сейчас?
В данный момент мы в основном занимаемся своими собственными делами. Хотя, естественно, принимаем участие во всевозможных обсуждениях, в том числе об изменениях в законодательной сфере. Но каких-то системных проектов сейчас не ведем. То есть мы хотим для начала добиться справедливости в суде, а потом определимся, что делать дальше.
— Есть какие конкретные планы, идеи?
Идей множество: что можно было бы сделать и для защиты, и для атаки. Это как раз задача общественной организации придумывать такие проекты. Но они лежат в долгом ящике. Сначала разберемся с судом.