Харків

Чому кіберполіція не зможе захистити Україну від хакерських атак

Жодна українська спецслужба також не зобов'язана захищати сторінки наших міністерств і політиків ані у Twitter, ані у Facebook

10 листопада 2016, 11:00

Чому кіберполіція не зможе захистити Україну від хакерських атак

Харьковчанин Никита Кныш более 10 лет работает в сфере информационной безопасности, специализируется на защите web-сервисов и киберраследованиях, является организатором форума Hackit Ukraine. Имеет опыт работы в СБУ.

В интервью Depo.Харьков руководитель компании ProtectMaster рассказал об уровне защиты государственных интернет-сервисов, мастерстве киберполицейских, а также о том, поможет ли введение электронного документооборота в борьбе с коррупцией.

- Сейчас одна из самых обсуждаемых тем в обществе - электронные декларации. Вы не рассматривали эту систему с точки зрения ее безопасности? Можно ли ее взломать, или, допустим, поменять там данные?

- Нет, мы не проверяли. Вмешательство в информационную систему без ведома ее владельца согласно разделу 16 Уголовного кодекса Украины является преступлением. Для сравнения, в США недавно приняли поправку в законодательство, в соответствии с которой любой исследователь может тестировать любой ресурс на предмет информационной безопасности при условии, что он передаст полученные данные тестирования правообладателю, и тогда это не считается преступлением.

В Украине законодательная база не позволяет ни свободным исследователям, ни коммерческим компаниям заниматься подобными вопросами, делать это имеют право только специальные органы, такие как Департамент технической защиты информации при Кабинете министров, Госслужба спецсвязи и защиты информации Украины - для государственных органов, или внутренние отделы безопасности, которые создаются на частных сайтах.

Не обязательно, как в США, разрешать всем тестировать сайты. Лучше перенимать другой опыт – нанимать хакеров и коммерческие секьюрити-компании, которые тестируют продукт и находят уязвимости в системе безопасности. У нас ни один государственный сайт никогда не нанимал людей для тестирования собственных сервисов, на это просто наплевать.

Чому кіберполіція не зможе захистити Україну від хакерських атак - фото 1

- И что с этим делать? Как изменить менталитет?

- Первые шаги уже делаются. Мне очень нравится система закупок Prozorro – все понятно и прозрачно. То же е-декларирование – шаг к выходу из тени. Да, шокирует, что у депутатов и чиновников хватит наличных денег, чтобы вернуть долг Украины МВФ, но позитивных революционных изменений не может быть без такого эпического разглашения информации.

Это шаг к прозрачности. Спасибо за то, что начали декларировать – нам показали верхушку айсберга. Люди могут сделать выводы о тех, за кого голосовали. Я считаю, это подтолкнет общество к улучшениям, в том числе в вопросах безопасности данных.

Сначала открыли Реестр недвижимого имущества, сейчас внедрили е-декларирование – это только начало. Следующий шаг - сравнить эти данные с банковскими выписками и списками покупок, для этого нужно дать правоохранительным органам законный доступ к банковской системе. И тогда будет понятно, кто сколько украл.

- Сейчас открыли данные о доходах политиков. Как думаете, не будет ли отката назад под прикрытием права на приватность?

- Так не должно быть. Приватность допустима для обычных людей. Если человек занимает государственную должность, он имеет право на приватность только в личной жизни, но не в том, что касается доходов. Когда я проходил службу в СБУ, выбора не было – надо было заполнять декларацию. Все должно быть прозрачно.

Можно не указывать, где именно хранятся деньги, это здраво. Если человек показывает, что у него три миллиона, то воры и мошенники начинают вычислять, где человек живет и как заполучить его деньги.

- Как вы сотрудничаете с киберполицейскими?

- Пригласили их на конференцию HackIT-Ukraine 2016, которую мы проводили в Харькове в октябре. Там они взаимодействовали с нашими спикерами и участниками - специалистами в области информационной безопасности.

В ходе конференции мы организовывали соревнование Capture the Flag ("Захват флага"): были созданы сервисы, очень похожие на настоящие, к примеру, на платежную систему. И в тестовой обстановке участники пытались взломать эти сервисы. Мы пригласили киберполицейских поучаствовать в этом соревновании, и в других практических заданиях – шифровании, дешифровании.

Диалог налажен, мои коллеги, которые интересуются вопросами информационной безопасности, начали передавать киберполицейским данные о том, как кого-то "кинули" в интернете. Уже есть взаимодействие на процессуальном уровне, реальные расследования.

- Как вы оцениваете уровень подготовки киберполицейских?

- Объективно оценить я не могу, потому что это закрытая информация. Но среди их преподавателей есть знакомые, они говорят, что уровень спецагентов высокий. Но таких всего 29 человек на всю Украину – это очень мало.

Опять же, у меня возникает вопрос, понимает ли человек, стоящий наверху, тот, кто спускает указания начальнику Департамента киберполиции, что это за орган и как его можно использовать.

В целом это очень нужный и полезный орган, и то, что его создали, говорит о позитивных сдвигах. Но остается очень много кумовства, на ключевые должности назначают знакомых и родственников, и это проблема.

Чому кіберполіція не зможе захистити Україну від хакерських атак - фото 2

-  Как вы оцениваете уровень кибербезопасности представительств украинских госструктур в Интернете? Как он изменился за последние три года?

- Никак не изменился. Некоторые думают, что если создали киберполицию, то теперь все будет хорошо. Но это структура принадлежит к МВД, и, соответственно, занимается только внутренними делами. Расследование кибератак на государственные структуры, например, на госбанки - это не ее компетенция.

Киберполицейские занимаются расследованием мошенничества, например, на досках интернет-объявлений, в банковской сфере – если у кого-то увели деньги со счета или обокрали банкомат.

Расследованием дел, касающихся национальной безопасности, занимается СБУ. Именно в ее компетенции защита объектов госинфраструктуры, госсайтов и чиновников. Но только при условии, что они будут пользоваться государственной почтой на домене gov.ua и выполнять другие требования госбезопасности.

Ни одна украинская служба не обязана защищать страницы наших министров и политиков ни в Twitter, ни в Facebook, так как соцсети не являются официальными источниками распространения информации.

Вспомним историю взлома штаба АТО в Facebook. Многие тогда возмущались, что страница плохо защищена. Но Facebook напрямую взломать никто не мог. Я думаю, просто кто-то по невнимательности открыл не ту ссылку, что привело к взлому. И за эту ошибку нельзя наказать, так как Facebook не является государственным ресурсом, который кто-то обязан защищать.

То же касается и всех страниц различных пресс-центров, расположенных в соцсетях и на сторонних серверах. Государство может только предписать рекомендации по ведению официальной страницы в соцсетях, например, использовать сложный пароль и двухфакторную авторизацию. Но спрашивать за их нарушение невозможно, так как Facebook не зарегистрирован на территории Украины и нет никаких официальных договоров о его сотрудничестве с государством Украина.

Журналисты часто говорят, что почта наших политиков не защищена. Но они пользуются почтой yandex и mail.ru, которую напрямую читают спецслужбы России. Я считаю, что если депутат ведет служебную переписку с ящика на mail.ru, его за это надо привлекать к ответственности за использование вражеских ресурсов, так как этим он подвергает страну опасности. Но по законодательству этого невозможно сделать.

- В США разгорелся скандал из-за того, что Хиллари Клинтон вела служебную переписку с личного почтового ящика. В Украине подобное сложно представить. Станет ли выходом, если на законодательном уровне обязать депутатов и чиновников использовать только служебные почтовые ящики?

- Безусловно, назрели законодательные изменения. Кроме того, нужно, чтобы госресурсы разрабатывал не друг депутата, который "пилит" тендерные деньги, выделенные на разработку государственного сайта или сервиса почтового обмена.

Также не стоит забывать, что украинские спецслужбы могут злоупотребить оказанным доверием и читать официальную переписку политиков и чиновников.

Разработкой ресурса должны заниматься профессионалы, затем нужно его тестировать, в том числе информационную безопасность, потом он должен получить международный сертификат и пройти международный аудит. Только после этого сервис можно запускать  для использования на государственном уровне и обязать чиновников пользоваться только им.

В США госпочта защищена лучше, чем частная, там используются более криптостойкие алгоритмы шифрования, лучшие способы авторизации. В наших суровых реалиях почта на Google защищена лучше, чем государственная, и чем любой украинский почтовый сервис. Поэтому на месте МВД я бы обязал использовать ящики на gmail с двухфакторным уровнем авторизации, а также использовать шифрование, которое не позволит компании Google и спецслужбам США читать письма.

- В октябре произошла крупная кибератака на США, много говорилось о том, что это дело рук российских хакеров. Как вы думаете, это может повлиять на отношения между государствами?

- Американцы очень осторожны в высказываниях по поводу причастности РФ. Они выразили "высокую степень уверенности", что к этой кибератаке причастны россияне. Формулировка именно такая, потому что в интернете есть базовые принципы анонимности, которые позволяют установить только ip-адрес, с которого шла атака.

Компания, которую атаковали - один из самых крупных в мире провайдеров сетевых сервисов Dyn (Dynamic Network Services, Inc). По ее информации, для атаки использовался так называемый ботнет или интернет вещей, участвовали десятки миллионов устройств по всему миру. Кто-то взломал камеры, чайники, холодильники и микроволновки, и они внезапно стали атаковать Dyn, которая выдает корневые DNS очень крупным сервисам в США. В результате стали недоступными такие сайты-гиганты, как Twitter, New York Times, eBay, Github, также крупнейший платежный сервис PayPal и огромный список других сайтов, вроде PlayStation Network с миллионными аудиториями.

Таким способом можно парализовать фондовые биржи в США, и неумение отбивать подобные атаки - огромный риск. Однако гораздо хуже, если цель атаки – похитить информацию.

Думаю, расследование привело американцев к русскоязычным хакерским группам. Однако невозможно утверждать со стопроцентной уверенностью, что это были именно россияне. США, безусловно, будут повышать свою защиту, увеличивать бюджеты – там понимают важность этой темы.

На мой взгляд, эта кибератака стала демонстрацией силы в ответ на новости, что Белый дом поручил ЦРУ подготовить кибератаки против России – якобы была утечка такой информации.

Боятся ли в США Россию в плане кибератак? Мне кажется, у американцев больше способов защиты, чем у россиян. Боятся ли в этом контексте украинцев? Думаю, тоже нет.

Бояться ли нам атак ЦРУ? У нас, кроме е-деклараций и Реестра недвижимого имущества практически ничего атаковать: нет ни баз данных, ни хранилищ медицинских документов, мы живем в каменном веке. Но плюсом является то, что ломать нечего – у нас все на  бумаге.

Чому кіберполіція не зможе захистити Україну від хакерських атак - фото 3

- Как вы думаете, такая крупная атака была организована частными лицами или все-таки не обошлось без поддержки государства?

- Используемый ботнет – взломанные чайники, холодильники, системы наблюдения и тому подобное, - относился к частному сектору. Примерно за месяц до атаки на сайт хакеров был выложен исходный код вируса (ботнета). Человек, который его разработал, написал, что взлом и перенастройка сети бытовых устройств приносили хорошие деньги, но сейчас это стало очень опасным, и он больше не хочет продолжать. Он использовал сеть устройств, чтобы по заказу "положить" сайт той или иной компании, оплату брал биткоинами. Потом ему это надоело, он, образно говоря, снял сливки и после этого выложил код.

Я думаю, хакеры и спецслужбы всего мира, которые увидели исходные коды, сразу же стали думать, как подчинить эту сеть устройств себе, начался "хакерский дерибан". И спустя месяц мы увидели, кто в нем победил.

- Как вы думаете, нужно ли Украине стремиться к тому, чтобы стать электронным государством, как Эстония, например?

- Да, безусловно. Сейчас Украина – рай для киберпреступников, законодательство практически не предусматривает наказания за них.

У нас есть очень мощные вузы – ХИРЭ, Киевский политех, которые выпускают специалистов мирового уровня. Если знания объединяются с постоянным желанием украинцев обогатиться, получаются гениальные киберпреступники.

Самая крупная в мире "черная" платежная система, оборот которой оценивают в 8 млрд дол., создана киевлянином и одесситом. Самый крупный трекер - сайт, с которого можно скачать нелицензионный контент, был создан харьковчанином - его недавно арестовали в Польше. Один из самых известных хакеров, который воровал деньги с кредитных карт, тоже украинец, ФБР доказала, что он украл около 22 млн дол. Один из всемирно известных хакеров, которым активно интересовалось ФБР, сегодня является народным депутатом Украины.

Представляете, что было бы, если бы разработки этих гениев-самоучек служили во благо государства?! Дайте им такой же доход, какой они получали в черной сфере, и ни один человек не будет заниматься хищениями, он направит свои знания на созидание. Дайте украинцам хорошую зарплату, такую как в США, и они не будут работать на аутсорс. У нас очень развит рынок аутсорса, очень многие крупные американские сервисы разработаны при участии украинцев. Они не хотят уезжать из Украины, им удобно жить здесь и получать американскую зарплату.

Думаю, многим рано или поздно надоест получать 3-4 тыс. дол. в месяц незаконным путем, наступит насыщение и хакеры захотят создать что-то полезное для города или страны. Эти люди способны созидать что-то хорошее.

Например, в ХИРЭ хотят уйти от бумажного документооборота, внедряют электронную систему.

Рынок предоставления электронных услуг огромен. Украинские компании, которые набили руку на американском рынке и знают, как выводить продукт на рынок, начнут выводить подобные продукты на внутренний рынок, и у нас появятся системы, такие как Prozorro, или, например, система централизованных закупок, основанная на технологиях блокчейн и биткоин.

Украина может достичь большего, чем Эстония или любая европейская страна, но каждый должен начать с себя. Каждый программист обязан что-то сделать для государства. Пусть это будет мелочь, какая-то программа, которая поможет, например, создать электронную очередь в поликлинику, или базу данных для учета пациентов. С миру по нитке – бедному свитер.

Чому кіберполіція не зможе захистити Україну від хакерських атак - фото 4

- Как вы думаете, являются ли безопасными интернет-выборы, как в США, не отбирают ли они право у человека быть уверенным в своем выборе?

- Я задумывался об этом, но так и не нашел однозначного ответа. Выражение "не важно как голосуют, важно, как считают" не теряет актуальности. В Штатах во время электронных голосований никто не может точно сказать – дошел ли его голос, не было ли обрывов связи, не использовалась ли накрутка. Для себя я так и не нашел ответа, что лучше – наше бумажное голосование, когда в урну могут подбросить заполненные бюллетени, или электронное, где теоретически одним нажатием кнопки можно прибавить тысячу голосов.

Наверное, лучшим вариантом будет комбинация: обязательно на каждом участке видеонаблюдение, бумажные бюллетени и электронный учет голосов. Для предотвращения фальсификаций я бы предложил использовать отпечатки пальцев. Избиратель прикладывает палец к электронной системе, которая моментально учитывает его голос, и к бумажному бюллетеню, чтобы было ясно, что человек действительно был на участке и за него не проголосовал кто-то другой.

Если у нас внедрят такую систему, это будет супердостижением, так как база биометрических данных может затем использоваться правоохранителями для расследования преступлений. И для профилактики пригодится – любой задумается, совершать ограбление, если будет знать, что его отпечатки пальцев есть в базе данных.

Більше про події у Харкові та області читайте на Depo.Харків

Loading...
Loading...