Следите за новостями

Цифра дня

1400 жалоб поступило от граждан в МЦРИАП в связи с утечкой Zaimer.kz

Олжас Сатиев, ЦАРКА: более 90% казахстанских ресурсов подвержены уязвимостям

«Белые хакеры» рассказали о состоянии информационной безопасности в Казахстане.

10 февраля 2016 10:03, Наргиз Асланова, Profit.kz

В конце прошлого года в Казахстане прошел Межбанковский форум, в ходе которого о своем присутствии в республике рассказала команда так называемых «этичных хакеров» или «белых хакеров» — представителей Центра анализа и расследования кибератак. В сферу компетенций ОЮЛ «ЦАРКА» входят вопросы информационной безопасности, имитация атак с использованием методов хакеров с целью выявления уязвимостей в системах (т.н. пентесты) и многое другое. Участники команды проводят глубокий анализ кода компьютерных вирусов, участвуют в хакерских «слетах», занимаются компьютерной криминалистикой. По этим причинам они не афишируют свои имена и фамилии, предпочитая использовать никнеймы, которые, как утверждается, достаточно известны в определенных кругах. Так, например, среди членов команды: Slider, Nix, Nfmka, B4tr, Neo, Deter и др.

Мы решили расспросить представителей ЦАРКА об их деятельности, а также о ситуации с информационной безопасностью в Казахстане. С нами побеседовал Олжас Сатиев (Президент и один из сооснователей ОЮЛ «ЦАРКА») — именно он согласился себя «рассекретить» и поделиться с Profit.kz некоторыми любопытными подробностями.

Олжас Сатиев, ЦАРКА

— Олжас, расскажите, пожалуйста, о ЦАРКА и деятельности организации.

— Идея создания нашей организации витала в воздухе давно, ранее многие пытались создать что-то подобное. Однако были некоторые проблемы — отсутствие специалистов и бюджета, отсутствие соответствующего ресурса, который бы помогал и «двигал» команду. Мы смогли собрать команду, поскольку сами связаны со сферой инфобезопасности. Еще лет 10 назад я искал уязвимости на казахстанских и зарубежных порталах и публиковал их на форумах и различных ресурах по ИБ — когда-то это было просто хобби. Сейчас же мы увидели, что данная ниша свободна в Казахстане и что проблемы с инфобезопасностью очень большие. Мы вращаемся в этом кругу, общаемся с ребятами, которые сидят по ночам, проверяют ресурсы.

Мы можем смело утверждать, что достаточно хорошо знаем ситуацию с состоянием информационной безопасности открытых систем в Казахстане. Это довольно-таки печально: более 90% казахстанских ресурсов подвержены уязвимостям, потому что никто не учит разработчиков безопасно «кодить», не учит системных администраторов защищать свои системы. Либо эти программисты и администраторы, по каким-то причинам, не считают нужным уделять много внимания защите информации. По их мнению, да и не только их, хакеры для Казахстана — это нечто из сериалов или фильмов.

Сейчас мы работаем с генпрокуратурой, МВД, антивирусниками. Последние уже сообщают, что некоторые европейские хакерские группировки заинтересовались Казахстаном. Раньше у нас не был развит ИТ-рынок, соответственно, и взламывать было нечего. Сейчас идет бурный рост ИТ, внедрение технологий в госструктуры, а защита отстает, потому группировки и заинтересовались. Европа уже прошла этот путь, внедрила различные информационные системы, закрыла уязвимости. Там уже на взлом какой-то структуры потребуется больше средств, чем на взлом в Казахстане.

Мы собрали ребят из андеграунда, тех, кто сидит на закрытых форумах, ездит в Москву на PHDays и ZeroNights (это хакерские конференции, где участники обсуждают, в том числе, и способы взлома телефонов, серверов, банкоматов и т.д.). У нас такого пока не знают, либо имеют лишь общее представление. В общем, мы собрали команду и создали ОЮЛ «ЦАРКА». Почему именно объединение юридических лиц? Конечно, мы могли сделать ТОО и зарабатывать на этом деньги. Но объединение юридических лиц — это уже какая-то ассоциация, которая может предлагать свои решения в национальную палату, выступать, создавать открытую площадку для повышения знаний в области информационной безопасности. Мы начали проводить встречи с госорганами и писать письма.

— Работая в Казахстане и проверяя системы, вы уже наверняка можете обрисовать текущую ситуацию с информационной безопасностью в республике. Что наиболее заметно?

— Приведу пример. Как в Казахстане проверяются на безопасность информационные системы? Покупается автоматический сканер уязвимостей, который стоит как самолет, грубо говоря. Проверяющие подключаются к серверу и запускают софт, который выдает 200-300 страниц текста со списком потенциальных уязвимостей. Мы же пошли по другому пути. Автоматический поиск уязвимостей — это только 30% от всей работы. Все остальное должно делаться руками на базе какого-то наработанного опыта. После того, как мы подписываем соглашение с клиентами, и они дают нам добро, мы показываем всю ситуацию. Наши отчеты могут состоять всего из четырех-пяти страниц. Но в них мы показываем виды уязвимостей, которые нашли. Например: «Вот здесь на сервере можно запустить эксплойт для поднятия рут-прав, вот переписка вашего председателя». Тогда уже ИТ-директора понимают, в чем риски. У одного из клиентов, довольно крупной государственной организации, мы обнаружили, что у него с 2012 года «сидел» троян. Он ничего особенного не делал, а просто «сливал» информацию — переписку и прочее. А выявить такое практически невозможно — системные администраторы пока еще не в силах такое сделать. Конечно, есть уникальные кадры, но в большинстве случаев это так.

В наших университетах ничему подобному не обучают. В программе обучения стандартные вещи, типа настроек системы и прочего. За рубежом, например, в университетах есть целые лаборатории: студентам дается сервер с уязвимостью, который они должны взломать, проэксплуатировать уязвимость, установить эксплойт, провести атаку. В Казахстане подобного нет, и специалисты этого не знают. Когда мы встречаемся с той или иной компанией и показываем, как мы взломали их систему, администраторы даже понять не могут, как это случилось. А мы просто ввели пару строчек команд и получили рут-привилегии, полный доступ к серверу.

Также хочу заметить, что в основном в Казахстане проверки проводят зарубежные специалисты. У нас очень мало пентестеров. В случае проверки идет либо автоматическое сканирование, либо работа отдается на субподряд иностранцам (преимущественно россиянам). Так проверяются даже национальные компании. С точки зрения нацбезопасности неправильно, что казахстанские ресурсы проверяют не местные специалисты, а зарубежные. Непонятно, куда может эта информация утечь. Помимо прочего, они не заинтересованы в защите. Они могут каждый год показывать какие-то уязвимости, но они не заинтересованы в их исправлении.

— Они могут показывать еще и не все выявленные уязвимости?

— Да, возможно. Мы же показываем все уязвимости и даем рекомендации по их исправлению. Еще одна проблема, с которой мы столкнулись в Казахстане: если обнаруживается какая-то ошибка, в компании сразу спрашивают, сколько нужно денег. Например, мы приходим к клиенту и говорим, что у них из-за неправильной настройки серверов есть такая-то уязвимость, на что нам отвечают «Давайте купим решение и поставим». Такое решение может стоить и 20 миллионов. Мы же со своей стороны консультируем, поскольку заинтересованы не в том, чтобы продать решение, а в том, чтобы средствами, имеющимися у клиента в наличии, закрыть уязвимость. Реально можно сэкономить до 50 миллионов просто за счет использования того, что у клиента уже есть. В некоторых случаях уже имеющимися ресурсами можно закрыть ошибку, не нужно покупать для этого дополнительное решение, которое эту ошибку также исправляет. В этом плане специалисты по ИБ на рынке очень избалованы.

— По сути, у вас получилась команда легальных хакеров?

— Да, я говорил о хакерах, так как у нас это основное направление, и в основном мы двигаем его. Также у нас есть эксперты по системному администрированию. Есть «боевая» команда хакеров, есть команда, которая защищает нас самих, есть эксперты (со степенью PhD), например по криптографии. Есть те, кто занимается методологией и стандартизацией. То есть, мы не просто кучка ребят, которые занимаются взломом. У нас есть люди, которые занимаются построением защиты, построением архитектуры, написанием документов.

Мы столкнулись с тем, что в казахстанском законодательстве существуют пробелы с предъявлениями злоумышленникам. Например, мы нашли злоумышленника (адрес, телефон и т.д.), отработали совместно с РГП ГТС. Прошло уже несколько месяцев, и ничего не произошло, злоумышленника не привлекли. Это не проблема МВД, это проблема законодательства. По законодательству заявление должны подать сами жертвы, получатели писем, если бы у них реально украли деньги — тогда дело есть. А так — нет заявления, нет дела.

Отдельно хотелось бы отметить портал eGov. Нам известно большое количество уязвимостей этого ресурса и мы работаем над улучшением безопасности, сообщая о слабостях владельцу ресурса, и иногда в СМИ. В результате ошибки, которые не исправлялись годами, закрываются через несколько дней. Такая ситуация сложилась из-за того, что в Казахстане безопасность систем проверяет сам разработчик. Конечно, им не выгодно находить уязвимости. Поэтому и докладывается на всех уровнях, что система идеальная, нареканий нет, или есть, но мелкие, которые были исправлены.

Недавно в ходе одной из конференций мы показали уязвимость на портале eGov, что воспринялось владельцами портала в штыки: «Какое право вы имели нас проверять, на каком основании? Мы знаем об этой ошибке». Ошибка заключалась в том, что на портале eGov, если человек указал свой мобильный номер, можно вытащить данные (фамилию, имя, отчество) и сам этот номер. Это одна из многих уязвимостей, мы показали самую простую.

Примечание редакции: На тот момент, когда мы брали это интервью, уязвимость, о которой идет речь, еще не была устранена. Об исправлении ошибки в АО НИТ сообщили лишь в середине января.

— Но ведь злоумышленники, когда найдут уязвимости, не будут никого уведомлять, они ими просто воспользуются.

— Да, если ребята могут использовать такую уязвимость просто для того, чтобы, например, узнать номер телефона девушки, то злоумышленник за пять минут кодинга может вытащить всю базу с номерами ИИН, Ф.И.О. и номерами телефонов, и использовать это в каких-то своих целях. Государственные информационные системы получают данные пользователей, но распоряжаются ими по своему усмотрению, хотя фактически это собранные в одном месте персональные данные граждан Казахстана, и они обязаны к ним относиться со всей ответственностью. С личными данными пользователей нельзя обращаться безалаберно. Мы, на самом деле, стоим на охране интересов государства и граждан в данном конкретном случае. Но все это воспринимается в штыки.

Во всем мире утрата персональных данных граждан, приводит к большим скандалам и отставкам. В Казахстане этого не происходит, потому что разработчики сами проверяют, сами рапортуют, сами осваивают бюджетные средства.

Все это происходит в основном только в государственных органах. Финансовый сектор, наоборот, понимает, что хакеры не будут ни о чем уведомлять или спрашивать, — они просто украдут деньги. Поэтому сейчас нас поддерживает в основном финансовый сектор. Это основные наши клиенты.

— Госсектор начинает осознавать всю серьезность вопроса либо вы сталкиваетесь только с непониманием?

— При личной беседе да, понимание есть. Но официальный ответ всегда отличается от личной позиции. Официальной поддержки мы никакой не видим. Эта работа должна осуществляться за счет бюджетных средств, это системная работа. А фактически получается так, что работа осуществляется двумя бизнесменами за свои собственные деньги. На сегодняшний день мы потратили порядка 10-15 миллионов тенге только за 2015 год — на содержание команды и выявление этих уязвимостей, в том числе. Мы приходим, показываем, что это необходимо, делаем бесплатные пилотные проекты, но со стороны государства пока поддержки нет. Конечно, мы заключили меморандумы с ГТС, комитетом связи. Но это просто меморандумы о том, что они нас понимают и поддерживают, но, как таковой, поддержки нет. К примеру, тот же ГТС получает на эту работу большие деньги. А мы, два человека, за свои деньги делаем работу и показываем более высокую квалификацию, и все как будто не видят.

Казахстан поднимается в рейтингах, это очень здорово. Мы стремимся в 50 конкурентоспособных стран, одни из первых в СНГ внедрили электронное правительство. Но никто не хочет говорить о проблемах. Может быть, не стоило так торопиться? А если сейчас людям открыть глаза? «Да, это все удобно, но вы знаете, что ваши данные утекают, что ваши электронные ключи выдаются неправильно? Вам записывают электронные ключи, а их копии остаются на компьютере выдающего; пароль создают всем одинаковый». Мы показываем изнанку всего этого процесса. Это нелицеприятные вещи, которые надо чинить, но никто не хочет этим заниматься.

— Наверное, дело в том, что пока не случалось серьезных инцидентов, и мировые кибер-преступники еще не обратили внимания на эту незащищенность? Ведь стоит только произойти одному серьезному инциденту, чтобы выявилась вся эта ситуация с множеством уязвимостей.

— Возможно, даже какие-то инциденты случались, но они не являются достоянием общественности. Финансовый сектор, и тем более госсектор, не будут рассказывать о том, что у них произошла какая-то утечка. Еще один момент состоит в том, что мы не так интересны международным хакерским группам. Пока. Но мы уже сейчас видим какие-то угрозы со стороны террористических организаций. Конкретные шаги запросто могут быть предприняты в любой момент. Кстати, некоторые государственные органы мы предупреждали о том, что у них есть потенциальные уязвимости, а потом в новостях наблюдали, что данные сайты были взломаны и опубликован дефейс (тип атаки, при которой страница сайта заменяется на другую, при этом зачастую доступ к остальному сайту блокируется, или его содержимое удаляется). Проблема как раз в том, что у нас никто не рассчитывает репутационные риски. Для руководителей государственных организацией взлом сайта не кажется серьезной проблемой. Все списывается на «плохих мальчиков». А те хакеры, которые реально сливают информацию — про них и новостей-то не будет. Их не поймать. Они защищаются через Tor’ы, анонимайзеры, VPN, через 3-4 сервера. Их проблемно найти, и я не уверен, что наши органы обладают соответствующими компетенциями. Даже если вдруг их поймают, что-то доказать будет просто невозможно. Элементарно — в конфискованных компьютерах все будет зашифровано. Те хакеры, о поимке которых говорят в новостях, — по большому счету это не хакеры в понимании хакерского сообщества. Это просто «скрипткидди», как их называют, то есть, те, кто пользуется скачанными троянами. Например, те, кто купил за тысячу долларов модификацию банковского трояна Zeus и отправил его какому-нибудь бухгалтеру, который этот троян запустил. Обычно этих людей считают хакерами, хотя это совсем не так.

— На конференциях по безопасности говорят о «темном интернете» и больших бюджетах, которыми оперирует киберпреступность. Эти «специалисты» работают над повышением своих компетенций.

— Да, это так. За рубежом, в Китае и США, например, есть своя армия хакеров, которые работают на государственном уровне. Государства уже поняли, что нет нужды атаковать физически. Можно просто атаковать главного оператора, аналогичного, например, Казахтелекому, чтобы отрубить всю связь, сервера, телефонию, интернет и прочее — и государство «встанет». Многие страны это уже поняли. У Израиля, к примеру, есть своя «армия». У нас на защите государственных информационных ресурсов стоит ГТС (Государственная техническая служба).

— Если говорить вкратце — каково ваше мнение по ситуации в Казахстане?

— Когда мы запускали ЦАРКА, мой партнер сказал: «Представь себе самую худшую ситуацию по информбезопасности в Казахстане. У нас все еще хуже». Просто это не афишируется, а на самом деле все печально. Но самое печальное для нас то, что мы, с позиции своей компетенции в вопросах защиты информации, понимаем, что те организации, которые на государственном уровне ответственны и должны заниматься вопросами защиты инфокоммуникационной инфраструктуры Республики Казахстан, не имеют ни соответствующей компетенции, ни желания противостоять вполне реальным внешним угрозам информационной безопасности нашей страны.

Подписывайтесь на каналы Profit.kz в Facebook и Telegram.