Главная Лента Новостей Контакты Реклама Rss Лента

Все очень плохо: Как украинские хакеры безопасность госструктур проверяли

21 ноября 2017 г.   20:02    категория: Аналитика , Технологии

317

Работа многих админов украинских госструктур в вопросе защиты данных и контроля серверов навскидку выглядит примерно так:

И это не голословное утверждение – это уже показано флешмобом Украинского киберальянса F*ck responsible disclosure. Его итог планируют опубликовать 1 декабря, пока же на протяжении нескольких месяцев украинские хактивисты публиковали информацию о «полевых испытаниях» защиты ряда государственных структур.

Коротко – ситуация катастрофическая. Детальнее – рассмотрим дальше.

«Я не люблю оказываться правым. Но люди всегда найдут, чем меня разочаровать»

Цитата из сериала «Мистер Робот»

скриншот

Сначала о заявленной цели флешмоба. В статье для издания «Петр и Мазепа» спикер Украинского киберальянса Шон Таунсенд отметил, что хакеры «провели поверхностный анализ работы информационных систем нашего государства«.

Справка: Украинский киберальянс (UCA) – неформальное объединение хакерских групп, куда, в частности, входят Trinity, RUH8, Киберхунта, FalconsFlame. Известны многочисленными акциями по взлому систем в Российской Федерации и тех, которые находятся на оккупированных территориях.

Анализ прошел на фоне недавних вирусных эпидемий: NotPetya, WannaCry, BadRabbit, которые изрядно потрепали украинские компьютерные системы, показав множество уязвимостей.

В итоге государство разразилось несколькими важно звучащими изменениями в законодательстве. Например, были приняты основные принципы кибербезопасности, а ранее, еще до атак вирусов, была принята доктрина информационной безопасности.

Кроме того, появились несколько законопроектов, расширяющих полномочия силовиков в вопросе информационной безопасности, однако они были отклонены. В общем, бурная деятельность была серьезно обозначена.

Какой результат? А вот он:

«Украинский Киберальянс и специалисты-волонтеры нашли множество уязвимостей государственных ресурсов. Информацию можно не только взломать, но и просто прийти и взять. Без пароля, регистрации и СМС», — пишет Таунсенд.

«Только так можно защитить себя, не показывать свой исходный код, отгородиться, создать лабиринт, в котором меня никто не найдет»

Цитата из сериала «Мистер Робот»

Это интересно:  В Украине запустят производство солнечных модулей

Facebook Sean Brian Townsand

Как объясняет Таунсенд, начиная флешмоб, хакеры сознательно пошли на нарушение одной важной этической нормы, которая называется responsible disclosure (ответственное разглашение).

В этот раз было решено не придерживаться правила «сначала сообщить о найденной «дырке» владельцу ПО, а потом информировать общественность», а сразу распространять информацию о проблемах в безопасности.

Почему? Потому что, по его словам, несмотря на неоднократные сообщения об уязвимостях, никакой публичной реакции на это не было.

«Государственные чиновники не устают напоминать всем о том, что мы несём коллективную ответственность за нашу страну. Но требуя ответственности от граждан, какую ответственность несёт сам чиновникНикакой», — подчеркивает спикер UCA.

Кто попался?

В первую очередь, CERT (Команда быстрого реагирования на инциденты при Госспецсвязи).

В CERT ошибку признали, уточнив, правда, что почта, пароль к которой был в открытом доступе, «используется для тестирования и не содержит никакой важной информации«.

Еще одна находка касалась киевской полиции. Хакеры сообщили об обнаружении сетевого диска в открытом доступе, где «150 гигабайт информации областной полиции. Вместе с паролями, планами, протоколами, личными данными полицейских».

Особо был отмечен пароль от одного из аккаунтов.

«P.S. Пароль от одного из аккаунтов «mvd123» (не от шары, шара беспарольная). Вы серьёзно? Господа полицейские, возвращайтесь к нам из вашей параллельной реальности, где нет войны».

Еще одна информация, а именно открытый FTP, касалась портала Судова влада України.

«На нем есть архив, в котором лежат корневые сертификаты и пароль для генерации ключей пользователей. И аналитические отчёты по судам«, — сообщил Таунсенд.

Это интересно:  Опубликован перечень сайтов, которые СБУ рекомендует блокировать

У истории с Судовою владою даже было продолжение:

По Министерству внутренних дел во время флешмоба было озвучено такое:

«Похвальный шаг по очищению власти от людей, которых не заботят свои собственные персональные данные, включая адреса, номера паспортов, ИНН и образцы подписи», — отметили в Киберальянсе.

Также была отмечена вниманием Государственная служба финансового мониторинга.

«Сайт может быть взломан в любой момент. А может быть уже? Ребята, мне на него дышать страшно, чтобы нечаянно не разломать его на куски», — пишет Таунсенд.

Отдельно стоит выделить историю с сайтом Херсонского областного совета:

«Они решили не мелочиться и расшарить в интернет общий диск. На запись. Без пароля. С незакрытой уязвимостью», — отмечают в Киберальянсе.

Кроме того, были найдены следы взлома сервера другими неизвестными хакерами.

Сам Херсонский облсовет разразился гневным ответом о том, что никаких взломов не было и «это провокация».

Однако позже советник главы Херсонского облсовета написала такое:

«Это урок не только для Херсонского областного совета, а для всех вас. Что мы теперь со всем этим счастьем будем делать? Пока вопрос открытый. Но, как говорит Жванецкий, самое время что-то менять в консерватории«, — написала она.

Выводы

«В ходе акции #FuckResponsibleDisclosure мы обнаружили, что несмотря на то, что война идет уже четвертый год, никому нет дела до информационной безопасности. Все вокруг общее, а значит ничье. Никто не несет ответственность за ошибки в построении и сопровождении государственных информационных систем», — пишет спикер Украинского киберальянса.

На вопрос о реакции госслужащих он отвечает так:

 И это плохо. 
112.ua


Загрузка...















Загрузка...

...

Аналитика

...


Новости



Наука


Новости Здоровья


Шоу-биз

Технологии

Курьезы


Видеоновости


Фоторепортаж


...