«Цивільне населення завжди брало участь у війнах: хтось працює в тилу, хтось проводить диверсії». Учасник «Кіберальянсу» про хакерів на війні та сумнівні правила «Червоного хреста»

«Український кіберальянс» (УКА) — спільнота українських кіберактивістів, яка виникла після об’єднання кількох хакерських груп 2016 року. Її основною метою стала протидія російській агресії. Пізніше УКА також запустив флешмоб для оцінки захищеності державних ресурсів України.

У 2021 році прессекретар Ukrainian Cyber Alliance Андрій Баранович дав розлоге інтерв’ю DOU. Ми вирішили знову з ним поспілкуватися, щоб дізнатися про діяльність УКА в період повномасштабної війни. Андрій розповів, як змінилася кібервійна з моменту вторгнення, чому операції російських хакерів часто можна назвати неуспішними, які DDoS-атаки є дійсно корисними, а ще оцінив поточний рівень кіберзахищеності держструктур.

«Спочатку був лютий хаос: збиралися чати із сотнями людей, де було незрозуміло, хто до чого належить і за що відповідає»

— Ми з вами спілкувалися в лютому 2021-го. Тоді ви казали, що члени УКА поки що не ведуть системних проєктів і займаються власними справами. Чи сталося щось важливе для «Українського кіберальянсу» за рік до повномасштабного вторгнення?

Так, усе правильно. Ми займалися власними справами, хоча все одно мали пов’язані з росією проєкти, які нам не хотілося кидати. Тож ми шукали людей, яким можна було їх довірити. Так тривало рік.

Узагалі було зрозуміло, що повномасштабна війна почнеться. Але, як завжди, росіяни примудрилися обдурити і нас, і самих себе. 24 лютого 2022 року ми поговорили з військовими, спецслужбами — і вирішили, що в Києві від нас користі немає. Тому 26 лютого на якийсь час переїхали до Львова.

Уже там ми почали активніше організовуватися. До процесу долучилися і безпеківці, і айтівці, і державні служби, які миттю стали доступними: Міністерство оборони, НКЦК, СБУ. Абсолютно в усіх з’явилася спільна справа.

Спочатку був лютий хаос: збиралися чати із сотнями людей, де було незрозуміло, хто до чого належить і за що відповідає — усі під псевдонімами. Тому ми намагалися поступово навести лад у цій хакерській діяльності. Паралельно тривали обговорення з Міністерством оборони: «А чи не нам організувати кіберармію?». Проте ці розмови закінчилися, по суті, нічим.

Сформувалася ціла низка нових груп, які почали займатися тим, чим до цього займалися ми вже багато років. Через хаос було незрозуміло, хто що робить і як із ними зв’язатися. У Twitter є акаунт CyberKnow, який веде перелік хакерських груп з боку України та росії. На сьогодні він нарахував їх уже кілька сотень. Зокрема, на цю «галявину» кинулася величезна кількість школярів, які одразу ж оголошували в Telegram про те, що «створено нову могутню APT-групу» — після чого викладали базочку на 1000 записів або заявляли, що задедосили сайт сільради. Такий наплив «хакерів», звісно ж, страшенно заважав.

Спершу цю ситуацію активно обговорювали, зокрема в професійних колах полісімейкерів — в основному західних. Багато хто очікував «цифрового Перл-Гарбору». Але навіть дослідники, СТІ-аналітики звертали увагу зовсім не на те, що потрібно. Усі ці DDoS-и, ІТ-армія Федорова, російський KillNet настільки засмітили інформаційний простір, що навіть фахівцям було неймовірно складно розібратися. Хаос тривав до осені минулого року, а потім перша хвиля ажіотажу нарешті спала — і залишилися тільки групи, які мають намір працювати до останнього. Для них це не хобі, а постійна робота, яка вимагає ресурсу, щоденної витрати сил.

«Я не бачу жодного сенсу класти будь-який ресурс на дві-три години, навіть якщо це kremlin.ru»

— Ви вже частково розповіли про кіберопір українських волонтерів. Держспецзв’язку в березні минулого року давала таку оцінку: «Українська кіберармія нараховує 400 тисяч активістів», але потім заявила про зниження активності. На вашу думку, наскільки допоміг такий масштабний рух? Як оцінюєте поточну ситуацію? Чи варто агітувати більше людей доєднуватися до кіберопору?

Як фахівець з інформаційної безпеки скажу, що DDoS — це взагалі не подія. Так, від таких атак може бути користь (я до цього ще повернуся). Але загалом це не метод.

Наприклад, є невелике українське ЗМІ (називати конкретно не буду). У них один сервер, на якому крутиться сайт: вони існують тільки в онлайні. Хоча, звичайно, десь є і редакція — усе як годиться. Їх почав DDoS-ити російський KillNet, унаслідок чого сайт ліг на дві години. Вони покликали фахівців, доналаштували сервер — і відтоді він прекрасно працює, більше його задедосити не можна. Це приклад із нашого боку, але загалом я не бачу жодного сенсу класти будь-який ресурс на дві-три години, навіть якщо це kremlin.ru. Від цього немає довготривалої шкоди. У публічному секторі я не бачив ні з російського, ні з українського боку атаки, яка тривала б принаймні тиждень. Зазвичай це кілька годин. DDoS-ери просто показують, що можуть щось покласти.

Одного разу через таку DDoS-атаку ми втратили доступ до дуже великої мережі, де вже почали господарювати й вивантажувати дані. А тут на їхні зовнішні сайти почалася DDoS-атака, адміни стали «обгороджуватися» — і ми втратили доступ. Можливо, ще повернемося туди, але тоді нам це завадило.

Утім, іноді такі атаки можуть бути цілком доречними. Якщо вони відвертають від чогось увагу або, навпаки, запобігають події, на яку всі чекають. Так було з пітерським економічним форумом: усі ждали виступу путіна, але він затримався на годину чи дві через DDoS-атаку. Ще один приклад — нещодавня атака на систему бронювання авіаквитків: в аеропортах виник хаос, люди товпилися, не могли зареєструватися на рейс. Однак операцій, якими можна пишатися, мало.

Саме хакерів у нас небагато. На каналі може сидіти скільки завгодно людей, хоч мільйон — ідеться не про кількість, а про те, що вони вміють робити. Якщо лише натискати на кнопку F5, толку від цього мало. Мені прикро, що стільки людей витрачає час на дрібниці. Думаю, завдяки кращій організації та постановці цілей спільно ми могли б завдавати куди більшої шкоди.

Економічні санкції підривають можливості росії що-небудь виробляти, торгувати, а отже, й отримувати гроші, щоб вести цю війну. Так само можна сприймати злами як своєрідні санкції прямої дії, коли в людей не відібрали можливості щось заробити, а зруйнували засоби виробництва, керовані комп’ютерами. Так, мета — це завдавати прямої шкоди, і що більше, то краще. Або розвідка в тих місцях, де можна знайти що-небудь корисне — те, що могли б використовувати наші військові, спецслужби.

— Такий рух може бути кориснішим, якщо його краще організувати?

Так, люди мають старатися зробити щось більше замість того, щоб рутинно повторювати атаки, які ні на що не впливають. Хоча, звісно, не варто відкидати й те, що такі масові рухи також формують спільноту, з якої надалі можуть виокремлюватися більш професійні хакерські групи.

— На фейсбук-сторінці «Кіберальянсу» опубліковано допис від 2 березня 2022 року: «Власне, ми мали віру, що є свідомі громадяни в Республіці Білорусь». Наскільки потужною була підтримка міжнародної хактивістської спільноти на початку повномасштабної війни? І яка ситуація тепер?

Розраховувати доводиться в основному на власні сили. Звісно, є люди з-за кордону, з якими ми спілкуємося. З тими ж білоруськими кіберпартизанами: вони допомагали нам, а ми — їм. Іноді з’являються волонтери з інших країн, які пропонують допомогу. Проте часто виникає питання довіри: є дуже багато випадкових людей, які думають, що зайняті важливим проєктом, а насправді нічого не вміють і, попри свої добрі наміри, просто витрачають час.

Так, трапляються волонтери, які справді можуть допомогти. Таких багато в Україні й куди менше — за кордоном. Зрозуміло, що іноземців ця тема не може хвилювати постійно. Перші кілька місяців після вторгнення про Україну говорили безперервно, з ранку до вечора. Нині фокус уваги перемістився на інші теми — хакери з інших країн до чогось долучилися, а тепер займаються своїми справами. Це не їхня війна.

«Багато атак на рф лишаються непоміченими, зокрема тому, що адміністратори бояться розповідати про них навіть своєму керівництву»

— На момент повномасштабного вторгнення в УКА вже були напрацювання, досвід. Наскільки це допомогло в тодішньому хаосі?

Певна річ, досвід допомагає, адже дієш не з нуля. Ми точно усвідомлюємо, що можемо знайти, які ймовірні ефекти, як влаштована державна машина в російській федерації. Зокрема, з технічного погляду: у них є внутрішні, закриті мережі — ми знаємо, де потрібно шукати точки входу в них.

— До кіберопору доєдналося чимало людей — як ви вибирали свої цілі, на чому зосереджувалися?

За час повномасштабної війни з’явилися нові завдання. Наприклад, деконфліктинг, оскільки на деяких цілях можна було побачити п’ять-шість хакерських груп одночасно: кожен розставляв свої закладки, бекдори. Іноді траплялися дуже образливі ситуації. Припустімо, я сидів у якійсь системі адміністратором, чекав слушних умов, щоб узяти всю мережу під контроль. А тут вривається ІТ-армія, дефейсить сайт, після чого з’являється їхній адміністратор і все повністю зносить. У таку систему не завжди виходить повернутися. Тому я вважаю великим досягненням те, що УКА вже перезнайомився практично з усіма, зокрема із Cyber Anarchy Squad, UHG, DumpForums тощо. Тепер ми вже можемо акуратно обмінюватися інформацією, знаючи, що вона не витече, допомогти чимось, навіть віддати свій доступ, на який у нас немає часу. І для цього довелося добре попрацювати.

Що стосується цілей, ми, як і багато інших, почали з найпростішого — з елементарних методів зламу, які відтворюються без особливих зусиль. Нам відомі уразливі місця, які можна показати навіть людині з вулиці (якщо вона достатньо вмотивована й хоче цього навчитися) і сказати: «Роби раз, роби два, роби три» — і все поступово вийде. Ідеться не про геніального хакера, а просто про пентестера-початківця, який може виконувати завдання.

До речі, везіння теж не можна відкидати: іноді навіть у великих компаніях, ледь не з десятки наймасштабніших, знаходили елементарні прогалини в безпеці. З кібербезпекою в росії відбувається приблизно те саме, що і в Україні. Але якщо в нас періодично виникають скандали щодо цього, то росіяни абсолютно свято впевнені, що вони — «батьківщина геніальних програмістів, найкращих фахівців» і «друга країна у світі відразу після США». Звісно, це не так: рівень у них той самий, що і в Україні. А те, що вони не хочуть цього визнавати, тільки нам на руку: багато атак на рф минають непоміченими, зокрема й тому, що адміністратори бояться розповідати про них навіть своєму керівництву, не кажучи вже про НКЦКІ, мінцифру, ФСТЕК та інші відомства, які в росії відповідають за кібербезпеку.

«Усі цілі, включно з медициною, транспортом, комунікаціями, — найперші для хакерів»

— Коли ми спілкувалися минулого разу, ви говорили: «Наша ціль — виключно отримувати інформацію про росію, її участь у війні, про військове й політичне керівництво, ніщо інше нас ніколи не цікавило». Ця глобальна мета трансформувалася з початком повномасштабної війни? Якою вона є зараз?

Є одна серйозна відмінність до вторгнення і після вторгнення. До 2022 року ми вели більше активістської діяльності, тобто показували, що росіяни брешуть, росія — недоговороздатна, велика війна — неминуча, нічого просто так не закінчиться. Був внутрішній порядок денний, коли потрібно людям показувати, пояснювати й доводити. Тепер маємо справу з відкритим тероризмом, тож нам необов’язково щось публікувати. А що про це думають росіяни, нам загалом нецікаво. Тож якщо ми знаємо, що щось злито або зруйновано, тобто ми своїх цілей досягли, — просто рухаємося далі.

Інакше кажучи, тоді в нас стояв акцент на зборі розвідінформації, щоб було цілісне розуміння публічних і непублічних процесів, які відбуваються, — як це може вплинути на нашу країну. Тепер розвідінформація мене особисто цікавить у тому випадку, коли є actionable intelligence. Тобто така інформація, яка відкриває можливості тим, з ким ми працюємо спільно, дає переваги тут і зараз або нагоду завдати шкоди: що-небудь зламати, зіпсувати й зруйнувати. Власне, таке завдання теж стояло завжди. Коли я робив наш перший сайт 2015 року, ці цілі були сформульовані точно так само, тому що все населення росії, їхнє керівництво несе колективну відповідальність за розв’язану війну — і цієї відповідальності ніяк не вдасться уникнути.

— Раніше ви зазначали, що керуєтеся певними принципами, наприклад, не чіпаєте критичну інфраструктуру рф. Наскільки змінилися ваші принципи?

Власне таке питання виникло, коли Міжнародний Червоний Хрест опублікував так звані «8 правил ведення війни» саме для хактивістів. Вони закликають розділяти цивільні та військові цілі, дотримуватися гарантій для некомбатантів. Я до цього ставлюся трохи інакше.

Коли важливі військові об’єкти виводять з ладу й водночас гинуть люди — так буває на війні. У принципі, вивести з ладу можна і якийсь технологічний об’єкт, небезпечне виробництво — і при цьому загине багато людей, які у війні безпосередньо не беруть участі. Я досі вважаю, що такі дії неприпустимі, ніхто не хоче вбивати цивільних. Але якщо це не безглузда атака й руйнування об’єктів не пов’язане із безпосередньою загрозою для життя і здоров’я, на мою думку, всі цілі, включно з медициною, транспортом, комунікаціями, — найперші для хакерів. Так, якщо ми зайдемо в медичну систему, то отримаємо медкартки на десятки, сотні тисяч, а то й мільйони людей. За цими даними можна оцінити, як, припустімо, в росії відбувається мобілізація і ще багато чого корисного.

Тому в цьому плані я з Червоним Хрестом не згоден, ми не будемо дотримуватися нав’язуваних ними правил, а продовжимо атакувати всі цілі, включно з цивільною або критичною інфраструктурою. У сучасній війні це дуже тісно пов’язані речі. Наприклад, наша армія користується Starlink. Це яка інфраструктура — військова чи цивільна? У росії вони теж користуються можливостями своєї цивільної інфраструктури. Тож я вважаю це абсолютно вигаданою відмінністю. Цивільне населення завжди брало участь у війнах: хтось працює в тилу, хтось проводить диверсії. Такої можливості відійти вбік і сказати: «Не чіпайте мене, будь ласка, я — цивільний, я в цьому не беру участі» — не було ніде жодного разу в історії.

«Кожна окрема людина, як на конвеєрі, точно знає, що їй потрібно зробити»

— Скільки операцій УКА провів за цей час: це десятки, сотні, більше? Про які можете розповісти публічно?

Масштаби дуже зросли, тому що ми відстежуємо не десятки, не сотні, а тисячі цілей. І з них уже намагаємося вибирати пріоритетні, яким приділяємо більше уваги. Спершу ми щось показували, навіть зробили кілька дефейсів, хоча це вважається несерйозною атакою — просто хотіли підтвердити, що не сидимо склавши руки. Не так давно я писав про те, як взаємодіють хакерські групи. І для привернення уваги додав базу на мільйон осіб. До цього публічно розповідали про злами ФСВП — тюремного бюро росії та ОДКБ — військового блоку, який зараз після поразки Вірменії в Карабасі розвалюється. УКА прагнув показати рівень: ми можемо «зламати» міністерство, «вломитися» у в’язницю. Або цей військовий блок, який на папері нібито протистоїть НАТО, — усе звідти витягнути й розмістити такі повідомлення, які рф та інші країни з ОДКБ будуть змушені потім спростовувати. Звісно, їм це не додає ні довіри, ні стійкості.

— До речі, чи буває таке, що до вас звертаються з певними запитами? Чи здебільшого ви самі вибираєте цілі?

Певна річ, ми враховуємо пріоритетність, прислухаємося до поточних запитів. Іноді те, що потрібно, у нас уже є в готовому вигляді. Просто ми не знали, кому і навіщо воно може знадобитися.

— Чи були цікаві з технічної точки зору операції?

Так, цікаві технічні моменти виникають. Наприклад, щоб здійснити одну ідею, потрібно знайти складне рішення, писати додатковий софт, тестувати його — на це може піти кілька тижнів. Але найважливіше якраз полягає в тому, що ми почали досягати повторюваних результатів — це залежить не від уміння, удачі, а є просто технологією. Кожна окрема людина, як на конвеєрі, точно знає, що їй потрібно зробити.

Ще одне досягнення: нам вдалося значно зміститися від опортуністичних атак — коли зламується те, що можна, — до цільових, коли ми можемо зламати те, що хочеться (або, якщо не виходить із бажаною ціллю, зламуємо іншу з того самого сектору). Це — спрямовані атаки, коли ми знаємо, якого ефекту хочемо досягти.

Насправді я дуже задоволений, що за останні півтора року в України з’явилася така неофіційна кіберармія на додаток до офіційних структур. Люди показують результати. Навіть якщо судити за публічними витоками інформації, масштаби просто колосальні. Тільки те, що лежить на Telegram-каналах, — це мільярди записів. Практично будь-яка людина в росії (навіть та, що ніколи не користувалася комп’ютером) потрапляє в ці злиті бази даних. Є можливість знайти, відстежити будь-кого, зокрема співробітників російських спецслужб, армії — якраз те, що корисно знати. Такі витоки даних — тільки верхівка айсберга, тому що одночасно зливаються величезні масиви непублічної інформації, яка надходить безпосередньо нашій армії, спецслужбам. Про це зовсім необов’язково розповідати публічно. Руйнуються системи — це завдає значної шкоди. З усім своїм самолюбством росіяни змушені визнати, що це проблема. Вони змінюють своє національне законодавство, вводять перевірки, комісії, тимчасові штаби з кібербезпеки, намагаються навіть «відгородити» свій інтернет, забороняти VPN. Ясна річ, це ні на що не вплине.

В Україні з’явилася спільнота, яка точно знає, чого хоче. А ми хочемо перемоги у війні. Хакінг і злами — це нехай і не вирішальна, але частина спільних зусиль, яка дає цілком видимі результати.

— Про які саме видимі результати йдеться? Звісно, необов’язково говорити конкретно, можна загалом.

Ми всі читаємо новини. Періодично туди це потрапляє: десь щось зупинилося, зламалося, загорілося, не працює зв’язок або в телевізорі замість фільму з’явилося звернення Зеленського... Дещо я просто не можу розповідати. Ми працюємо з військовими та спецслужбами — це вже не зовсім наші секрети. Потрібен дозвіл на розголошення такої інформації. Або коли вони самі почнуть хвалитися, тоді ми, можливо, внесемо корективи, наскільки кожен результат — їхня власна заслуга.

«Іноді надходять „зловісні“ натяки з боку російських спецслужб, але поки вони там, а я тут, це виглядає смішно»

— Поговорімо про саму організацію. У лютому 2022-го виїхали всі члени УКА? Ви вже повернулися зі Львова?

Я давно в Києві. Ми всі пожили у Львові, а потім повернулися додому. Вирішили, що краще бути ближче до центру: в Києві багато людей, з якими потрібно підтримувати контакт, і так простіше спілкуватися. Хоча взагалі в нас розподілена команда, члени УКА з різних міст.

— Ви продовжуєте діяти як ГО?

Зараз ми менше діємо як формальна організація, а радше як такий собі гурток. Ми спілкуємося з безліччю інших груп, і чия назва при цьому стоятиме — не так уже й важливо. Лейбли потрібні тільки під час публічних акцій. Тоді вказуємо, від імені кого це відбувається.

Найголовніше, що вся ця спільнота перетворюється на одну гігантську групу зі спільними цілями й розумінням, чого потрібно досягти. А ще — прагненням до того, щоб уникати конфліктів, не заважати одне одному.

— У 2021 році ви розповідали, що в УКА на той момент було три активні члени. Чи збільшилася ваша кількість за останні півтора року?

Так, збільшилася. Звичайно, у нас з’явилися нові люди, які зацікавилися цією темою. Подробиць не наводитиму. Я — людина публічна, а ось наш operation security посилюється. Ми не хочемо, щоб у росії знали, скільки нас. Те, що ми хочемо розповісти, розповідаємо публічно, публікуємо пости, що «це зламав „Український кіберальянс“» і, припустимо, Cyber.Anarchy.Squad. Решта, зокрема обсяг команди, має залишатися таємницею.

— Ви говорили, що за роки існування «Кіберальянсу» вам постійно надходили погрози. Чи загострилася ситуація в період повномасштабної війни?

Прямих погроз було небагато. Іноді надходять «зловісні» натяки з боку російських спецслужб, вони думають, що це дуже страшно. Але поки вони там, а я тут, це виглядає смішно. У перші тижні після початку вторгнення вони намагалися погрожувати фахівцям з інформаційної безпеки — окрім хакерів, ще й аналітикам, які займаються безпекою, а не атакою. Вони дуже перебільшують свою зловісність. Імовірно, всередині росії вони і можуть когось налякати, але на такій відстані від лінії фронту це просто смішно.

— Наскільки вам і решті членів УКА вдається поєднувати свою діяльність з основною роботою?

Це вимагає дуже багато часу, але поки що все вдається. Тим паче на самому початку повномасштабної війни ми взялися впорядковувати свою діяльність, щоби перевести її на зовсім інший рівень. Так, рік тому ми влаштували невеликий краудфандинг, зібрали 10 тисяч доларів і купили сховище на 150 терабайтів, щоб було куди складати «здобич». Суттєва допомога від волонтерів у вигляді залізяк і грошей звільнила більше часу для зламувань.

Хоча, я вважаю, найважливіше — це не експлойти, сховища або дорогі комп’ютери, а просто вміння домовлятися, організовуватися й робити всі ці злами не чимось надзвичайним, а повністю повторюваною рутиною. Ми собі поставили саме таке завдання: щоб кожна людина, яка бере участь у діяльності УКА, знала, що вона робить день у день місяць за місяцем. Так це і відбувається, що, звичайно, дає свої результати.

— Сьогодні вам продовжують допомагати чи волонтерська підтримка зменшилася, як це помітно в багатьох інших сферах?

Ми намагаємося без потреби не смикати людей. На що витратити гроші в Україні, знайдеться і так: в армії величезна кількість потреб, які волонтери закривають, як можуть.

«росія спочатку ставила абсолютно нездійсненні цілі, які по суті є божевіллям»

— Ваша цитата з минулого інтерв’ю про кібервійну: «В Україні офіційно немає жодних доктрин. Сфера не розвивається: ні в плані захисту, ні в плані атаки. Є, звісно, численні державні кіберцентри, зокрема кіберцентр СБУ, кіберцентр Держспецзв’язку, кіберцентр МО, але поки що щось не видно значних успіхів з їхнього боку». Наскільки змінилася ця ситуація за півтора року в практичному та законодавчому планах?

У законодавчому плані — виключно в гірший бік. Якраз у лютому 2022 року планували зміни до Кримінального кодексу, щоб нормалізувати активність білих хакерів, які не завдають жодної шкоди, а лише намагаються підказати, де в системі є уразливі місця. Але замість очікуваної лібералізації ми навпаки отримали посилення відповідальності — мало не до 15 років. Цей момент провалили повністю. Тепер намагаються пропихати всілякі закони, але принципово, як мені здається, нічого не змінилося.

У практичному плані, потрібно визнати, є кількісні зміни: люди все-таки почали працювати, а не вдавати, що вони працюють. Я спілкуюся з хлопцями із CERT-UA, вони стараються і дуже багато роблять у напрямі протидії ворожим хакерам. І не тільки вони — інші організації теж.

На жаль, усі ці старання не дають системного результату. Наші західні партнери дивуються, що не сталося «цифрового Перл-Гарбору», якого всі очікували. Але так сталося не зовсім тому, що в нас настільки гарний захист або внесок цих самих західних партнерів такий вагомий (хоча він, безперечно, значний і без нього було б набагато складніше). Річ у тім, що росія від самого початку ставила абсолютно нездійсненні цілі, які по суті є божевіллям. Їхні атаки не досягають того результату, якого вони хочуть, просто тому, що його не можна досягти. Проте напади відбуваються постійно, а системної роботи з побудови саме кібербезпеки як системи (вибачте за солому солом’яну) не відбувається досі.

Перша атака, з якої можна відраховувати початок вторгнення, сталася 14 січня 2022-го. Потім були серйозні атаки на Міністерство внутрішніх справ, Міністерство закордонних справ тощо. І що найсумніше: росіяни примудрялися ці атаки повторити. Тобто вже відомо, що вони туди залізли, викладають якісь дампи пошти, документів, але однаково якось повертаються в ті ж самі місця. Виходить, наш державний апарат не готовий захищатися. Якщо якійсь установі пощастило мати грамотних адміністраторів, які знають, що робити, — вони цілком можуть відбитися. Але немає жодних готових механізмів, щоби вдалий досвід масштабувати на всю величезну державну машину.

— Чи можна говорити, що прогрес у нашому секторі держбезпеки все-таки є — і найперше завдяки тому, що співробітники стали працювати більше?

І в армії, і в держапараті великий приплив нових людей, які приходять зі своїми знаннями, методами й працюють, як я вже підкреслив, багато. Але сказати, що загалом безпековий стан покращився, не можна. Тільки точково. Російські спецслужби досі почуваються тут, як у себе вдома. Їх не варто недооцінювати, з технічної точки зору зламувати вони вміють. Те, що вони ставлять собі дивні завдання й мають зовсім інші показники успішності, — уже інше питання.

— А які саме показники успішності?

Візьмімо як приклад найпоказовішу атаку 14 січня 2022 року. Її метою було деморалізувати українську еліту — всіх людей, які готові чинити опір загарбникам, донести їм меседж, що «ми зараз прийдемо і всіх вас уб’ємо». Водночас росіяни спробували зробити це під чужим прапором, поставивши геомітки поруч із польським Генеральним штабом, а ще — видати атаку за комерційну, буцімто якийсь залітний хакер збирається цю інформацію продавати. Тобто накрутили стільки шарів брехні, що ніхто навіть не зрозумів, що вони хочуть сказати. В аналітиків пішло 7–10 днів тільки на те, щоб збагнути, у чому, власне, полягав початковий план.

З технічного погляду ця операція успішна: величезна кількість зламаних і знищених систем. Вони до цієї атаки готувалися мало не рік, при цьому ніхто їх не помічав. Але поставлених завдань вони не досягли. І, знову ж таки, це не тому, що ми так добре захистилися, просто їхню мету не можна було реалізувати.

«Навіщо вам штучний інтелект, якщо ви не можете по-людськи налаштувати домашній роутер»

— Ще до повномасштабної війни УКА запустив флешмоб #FuckResponsibleDisclosure для того, щоб оцінити рівень захищеності державних ресурсів. Чи продовжуєте ви вести внутрішній моніторинг? На це вистачає часу?

У наше поле зору потрапляють українські державні системи. Ми не розповідаємо про це публічно, нікого не соромимо, а переходимо до класичного responsible disclosure і передаємо всі необхідні деталі CERT-UA. Нещодавно знайшли уразливість у безпеці дуже великого магазину, CERT-UA з ними зідзвонилися і розповіли, як виправити недолік.

— Ви спеціально моніторите чи таке випадково потрапляє у ваше поле зору?

Іноді випадково, іноді ні. Серед іншого ми уважно читаємо, що відбувається з російського боку, чим вони займаються. Буває, що навіть виходить спрацювати на випередження і не дати їм залізти туди, куди вони хочуть. Але спеціально ми цим не займаємося. У країні є ціле держвідомство, яке відповідає за кібербезпеку, у них є якісь проєкти в цьому плані. Це їхня робота — нехай виконують.

— Ваші слова: «Некомпетентність і безвідповідальність — дві причини, які дозволяють російським хакерам атакувати наші держ- і бізнес-структури». Основні проблеми залишилися такими самими? Які ви бачите варіанти їх вирішення в поточних умовах?

Ті самі. Принципово нічого не змінилося. Тут не може бути простих і швидких рішень. Це повільна й нудна робота — починаючи від закупівлі техніки, ліцензій на ПЗ, яких не вистачає, мінімальних налаштувань, які хтось має зробити, базової підготовки системних адміністраторів, яких на цей момент може взагалі не бути. Тобто те, з чого починає будь-яка компанія, перейшовши певний поріг розвитку. Якщо у вас 10 співробітників, то вони можуть сісти навколо Wi-Fi-роутера й працювати. А якщо їх 100 або 1000, то процес потрібно організовувати. Але цим ніхто не хоче займатися. Тому що це немодно, важко, нудно.

— До речі, про моду. Останнім часом навпаки здається, що всі постійно говорять про кібербезпеку...

Здебільшого це візіонерські закиди на кшталт: «А пристосуймо штучний інтелект до кібербезпеки!». Навіщо вам штучний інтелект, якщо ви не можете по-людськи налаштувати домашній роутер? ШІ замість вас його не налаштує. Точно так само, як він не забороняє вам клікати, на що заманеться, коли приходить лист від невідомого контакту. Звісно, це тема модна, популярна, зокрема через свою незрозумілість. Але для того, щоб щось поміняти, потрібно довго й нудно працювати.

— Враховуючи колосальний досвід членів УКА, чи були пропозиції від армії або держсектору працювати в них офіційно?

Я не хочу займатися захистом. Мені подобається зламувати. Наступальна безпека завжди була моєю спеціальністю. Пентести мені подобаються більше, ніж комплаєнс або налаштування мереж. Тим паче талановитих людей у захисті в нас удосталь.

— Ви багато разів згадували про співпрацю з держструктурами та військовими. Наскільки зараз стало легше взаємодіяти, питання бюрократії відпало?

Думаю, що десь воно досі актуальне, але нас не стосується. Ми зацікавлені в тому, щоб те, що ми робимо, було використано. А просто набивати кількість цілей на лічильнику нікому не цікаво. За попередні роки ми назламували стільки, що можна хвалитися до самої старості.

Я вважаю, що наше хакерське ком’юніті робить вагомий внесок у війну величезними масивами розвідінформації, якою можуть користуватися і військові, і спецслужби. Ми завжди з ними спілкувалися, взаємодіяли. Але тепер це справді значно простіше.

«У кібервійні не завжди є зовнішні ефекти — з відеотрансляціями, блекаутами, але загалом збитки катастрофічні»

— Повернімося до початку розмови. Залишається чимала кількість людей, які хочуть долучитися до кіберопору. На вашу думку, які в них є варіанти ефективно допомагати?

Та ж армія та спецслужби відчувають величезну потребу у фахівцях. Необхідні системні адміністратори, програмісти, проджект-менеджери, тестувальники тощо. Практично для будь-якої IT-спеціальності знайдеться вакансія. Якщо людина готова застосовувати знання в такий спосіб, то для неї знайдеться заняття. Необов’язково йти в хакери. Їх узагалі скрізь небагато.

— А якщо мова про кілька вільних годин після роботи?

Нині в Україні розробляють доволі багато всіляких проєктів, пов’язаних із війною та армією: нові види оборонного й наступального озброєння, системи управління, системи зв’язку. Частина з них — вакансії на службі, частина — волонтерські проєкти. Якщо в людини є бажання чимось таким займатися, то нескладно знайти діло до душі.

Хакер — такий самий фахівець, як і всі інші. Коли, скажімо, молода людина після інституту приходить на першу в житті роботу, то минуть місяці або близько року, доки вона зможе на рівні джуніора виконувати обов’язки сумлінно та якісно. Минуть роки, перш ніж вона з джуна стане сеньйором. Зазвичай зламувачі мають кілька комп’ютерних спеціальностей. Я в минулому працював системним адміністратором, програмістом, безпеківцем. І за кожною з цих спеціальностей можу працювати й зараз. Хакінг — непросте заняття, потрібні таланти або тривала робота й навчання. Людина не може зайти з вулиці й сказати: «А тепер я стану девопсом!». Тут точно так само, такого не буває.

— Тобто ви не берете до себе стажерів, тих, хто приходить зі словами: «Ми дуже хочемо»?

Ні, ми готові допомагати, підказувати, чогось навчити, але тим, хто вже щось робить. Набирати людей і влаштовувати курси — на це в нас немає ні ресурсів, ні часу.

— Можливо, є інші проєкти, які плануєте та про які можете розповісти?

Поки що весь час, усі думки пов’язані з поточними цілями, з війною. Про довготривалі плани поміркуємо пізніше. Уже зараз у нас настільки багато проєктів, на які бракує часу, що з них доводиться вибирати найперспективніші.

— Чи є ще якісь ключові моменти за останні півтора року, про які ми не згадали?

Вражає те, наскільки повільно, неактивно й непрофесійно росія намагається протидіяти зламам. Наші фахівці звикли до того, що їх сварять, реагують на нові скандали, часто почуваються невпевнено. А в рф усі настільки самовдоволені, що навіть не усвідомлюють катастрофічного обсягу зламів, які вже відбулися. Тільки щодо персональних даних — вважайте, це повне скасування приватності, інформація є на кожного.

Буквально в лютому 2022-го наше ГУР змогло самостійно виявити кілька сотень співробітників ФСБ — ось наскільки ефективними можуть бути витоки з баз даних (не кажучи вже про серйозніші злами). Це вражає. Хоча в кібервійні не завжди є зовнішні ефекти — з відеотрансляціями, блекаутами, але загалом збитки катастрофічні. Російська федерація зазнає́ серйозної шкоди, і я цьому радий.

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU

👍ПодобаєтьсяСподобалось19
До обраногоВ обраному5
LinkedIn



5 коментарів

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.
В Україні офіційно немає жодних доктрин. Сфера не розвивається: ні в плані захисту, ні в плані атаки. Є, звісно, численні державні кіберцентри, зокрема кіберцентр СБУ, кіберцентр Держспецзв’язку, кіберцентр МО, але поки що щось не видно значних успіхів з їхнього боку". Наскільки змінилася ця ситуація за півтора року в практичному та законодавчому планах?
У законодавчому плані — виключно в гірший бік.

Роль кібербезпеки трохи перебільшена, — міністр Федоров

це вже трохи застаріла концепція. Зараз пан Федоров збирається будувати оборонні споруди, мабуть із тим же завзяттям і результатами з якими побудована кібербезпека.

Стіну на кордоні (мабуть вогняну)

Роль цементу у бетоні рохи перебільшена?

Тепер правильно так? :)

Дякую. Сподіваюсь, Шон коли-небудь напише книжку про оце все. Буду онукам читати)))

Підписатись на коментарі