Apie Ukrainos haktyvistus, kibernetinį karą ir pažeidžiamumą viešajame sektoriuje. Pokalbis su Ukrai

2021 m. Vasario 4 d. DOU svetainėje buvo paskelbtas įdomus interviu su Ukrainian Cyber Alliance (toliau tekste UCA) spaudos atstovu Andrejumi Baranovičiumi. Skelbiame šį interviu tarptautinės savanorių bendruomenės InformNapalm svetainės skaitytojams. InformNapalm tam tikrame istoriniame etape taip pat atliko svarbų vaidmenį sujungiant skirtingas Ukrainos haktivistų grupes į vieną veiksmingą UCA komandą. Mūsų svetainėje galite rasti daug straipsnių, pasirodžiusių bendradarbiaujant InformNapalm OSINT tyrėjams su haktivistais iš UCA ir kitomis atskiromis Ukrainos IT specialistų grupėmis. Lygiai prieš 4 metus, 2017 m. vasario pradžioje, taip pat buvo išleistas mūsų trumpas dokumentinis filmas „CYBERWAR: 2016 m. sėkmingų UCA operacijų apžvalga“, kuris bus įdomus papildant šį interviu.

UCA yra ukrainiečių haktivistų bendruomenė, atsiradusi 2016 m., susijungus kelioms hakerių grupėms. Pasak UCA spaudos sekretoriaus Andrejaus Baranovičiaus, jų pagrindinis tikslas buvo gauti informacijos apie Rusiją ir jos dalyvavimą kare. Vėliau UCA taip pat paleido „flash mob“ #FuckResponsibleDisclosure, kuris turėjo įvertinti Ukrainos valstybės resursų apsaugos lygį. Interviu su DOU Andrejus Baranovičius kalbėjo apie UCA veiklą, individualius veiksmus, kibernetinį karą ir SBU (Ukrainos saugumo tarnybos) atliktas kratas pas UCA narius. Jis taip pat pasidalijo savo nuomone apie „Dija“ programą, internetinius rinkimus ir interneto saugumą Ukrainoje.



Apie UCA


– Pirmasis klausimas yra bendrinis. Kas yra hakeriai?


Visų pirma, aš save identifikuoju ne kaip hakerį, bet kaip tinklų, programavimo, saugumo specialistą. Į viešą haktivistinę veiklą atėjau tik prasidėjus karui. Su kolegomis nusprendėme, kad žinias galime panaudoti tokiu būdu. Galų gale, jei jūs žinote, kaip apsaugoti sistemas, tada jūs žinote, kaip jas atakuoti. Tai yra, skirtingai nuo juodųjų įsilaužėlių, kurie tai daro siekdami užsidirbti pinigų, ir skirtingai nuo baltųjų įsilaužėlių, kurie tai daro tik dėl susidomėjimo, kad suprasti, kaip veikia technologijos, mes laikome save haktivistais, nes mes naudojame informaciją kariniais ir politiniais tikslais.


– Aš pacituosiu jūsų interviu citatas, kad galėtumėte pakomentuoti. Viename iš straipsnių sakote: „juodosiose platformose administracija spaudžia politiką – cecho interesai yra aukščiau nacionalinių“. Ar tai apskritai apie Ukrainos hakerių bendruomenę?


Citata susijusi tik su juodaisiais hakeriais , kurie įsilaužia norėdami užsidirbti pinigų. Kaip informacijos saugumo specialistas, aš taip pat turiu prieigą prie uždarų hakerių forumų. Nes mes, be kita ko, užsiimame duomenų apie tai, kaip veikia juodieji hakeriai, stebime juos natūralioje buveinėje, tyrinėjame jų veiklą, kas naujo … Ir, žinoma, politika ten nėra sveikintina, nes tai labai kenkia verslui. Juk juoduosius hakerius galima vadinti ir verslininkais, nors jie užsiima neteisėta veikla. Todėl jie stengiasi neaptarti politikos. Elektroniniai nusikaltimai neturi tautybės.


– Jūs jau pradėjote kalbėti apie UCA sukūrimą. Papasakok mums išsamiau, kaip jis susiformavo?


Iš pradžių turėjome atskirą grupę, vadinamą RUH8. Su kolegomis vykdėme keletą veiksmų, įskaitant įsilaužimą į Rusijos Federacijos Valstybės Dūmą, Federacijos tarybą ir regionines vyriausybes Astrachanėje ir Orenburge. Mūsų bendradarbiavimas su kitomis įsilaužėlių grupėmis pagerėjo InformNapalm svetainės dėka, kuriai visi pateikdavome informaciją analizuoti ir skelbti. Taigi 2016 m. birželio mėn. UCA buvo visiškai suformuotas iš grupių RUH8, FalconsFlame, Trinity ir CyberHunta. Visi turėjo skirtingus įgūdžius, skirtingas specializacijas, kurių dėka mes vienas kitą papildėme. Taip ir dirbome iki 2019 m., kol 2020 m. vasario mėn. kibernetinė policija ir Ukrainos saugumo tarnyba pateikė mums visiškai juokingus kaltinimus …


– Grįšime prie šios temos. Pirma, aš noriu sužinoti apie organizaciją apskritai. Kiek narių yra? Kas jie, gyvena Ukrainoje, ar yra užsieniečių, kurie taip pat nori dalyvauti jūsų akcijose?


Šiuo metu UCA kaip plati bendruomenė praktiškai neegzistuoja. Prieš metus su kolegomis oficialiai įregistravome savo organizaciją Teisingumo ministerijoje, todėl dabar veikia nevyriausybinė organizacija „Ukrainos kiberaljansas“. Planavome užsiimti saugumu, tame tarpe Ukrainos sistemų, nes karas susideda ne tik iš puolimo, bet ir gynybos. 2019 m. rudenį šie klausimai buvo aptarti su valdžios atstovais, įskaitant Nacionalinio saugumo ir gynybos taryba. Bet tada kažkam visa tai nustojo patikti… Taigi dabar mes turime nevyriausybinę organizaciją, kurią sudaro trys steigėjai.


– O kaip buvo iki praėjusių metų?


Tikslaus nuolatinių dalyvių skaičiaus neįvardinsiu, bet jų nebuvo labai daug: plius minus 10 žmonių. Mes nepriėmėme ir nepriimame jokios užsienio pagalbos. Niekada nesiruošiau išsiaiškinti, kas yra kiti nariai. Kai kuriuos aš žinau daugiau, kitus mažiau. Tai daugiausia techniniai specialistai. Paprastai tokių klausimų neužduodama: kuo mažiau žinai, tuo geriau miegi.


Komandoje dalyvavo specialistai iš Ukrainos. Mūsų tikslai buvo išimtinai Rusijos Federacijoje ir Rusijos okupuotose teritorijose. Mes visada kartojome ir kartosime, kad mūsų tikslas buvo išimtinai gauti informaciją apie Rusiją, jos dalyvavimą kare, karinius ir politinius lyderius, daugiau niekas mūsų niekada nedomino.


„Mes tiesiog nekreipiame dėmesio į grėsmes“


– Esate UCA spaudos sekretorius. Ar buvote pasirinktas, ar pats norėjote bendrauti su spauda UCA vardu?


Aš visada supratau: jei norime, kad mūsų informacija darytų įtaką įvykiams, turime apie tai išsamiai kalbėti, bendrauti su žmonėmis… Viskas prasidėjo nuo to, kad žurnalas „Focus“ paprašė mūsų interviu. Aš įtikinau savo kolegas, kad tai turėtume padaryti, kad žmonės gerai suprastų, kas mes esame, ką darome, kad nematytų mūsų kaip grėsmės ir nepainiotų su juodaisiais hakeriais.


– Ar dažnai bendraujate su žurnalistais?


Pakankamai dažnai. Daugeliui leidinių aš teikiu komentarus kaip saugumo ekspertas arba skelbiu apžvalgas apie dabartinius įvykius.


– Kokias komunikacijos priemones dažniausiai naudojate pranešdami apie savo veiksmų rezultatus?


Kol dalyvavome pagrindiniame projekte, nukreiptame prieš Rusiją, mūsų platforma buvo „InformNapalm“. Su jais apdorojome informaciją, rašėme straipsnius, kur talpinome nuorodas į medžiagą, kad visi galėtų ją atsisiųsti, patikrinti ir įsitikinti, kad mes nieko neapgauname ir kad viskas yra taip, kaip sakome mūsų publikacijose.


– Skirtinguose interviu ne kartą pabrėžėte, kad veikiate pagal galiojančius teisės aktus. Ir vis dėlto žodis „hakeris“ daugeliui siejamas su „už įstatymo ribų“ sąvoka. Kaip tai įgyvendinama kiberaljanse?


Natūralu, kad mes pažeidžiame įstatymus Rusijos Federacijoje. Ten kelias dešimtis bylų prieš mus pradėjo visos teisėsaugos institucijos: policija, FSB ir tyrimo komitetas. Mes to visiškai nesigėdijame ir nebijome, nes teisėsaugos srityje Ukraina ir Rusija nebendradarbiauja. Okupuotose teritorijose Ukraina atsisakė įsipareigojimų palaikyti tvarką ir teisėtumą. Rusijos Federacija negali kreiptis į Interpolą, nes visi šie veiksmai turi politinį komponentą.


Ukrainoje mes natūraliai nepažeidžiame įstatymų. Net kai pradėjome kampaniją #FuckResponsibleDisclosure, kurios tikslas buvo parodyti, kad Ukrainos sistemos yra labai pažeidžiamos tiek Rusijos, tiek nusikalstamų įsilaužėlių atakų, mes panaudojome neinvazines priemones. Jei mes randame  informaciją, priklausančią Ukrainai, viešoje erdvėje, tai neturi nieko bendro su įsilaužimu – tai dėl aplaidumo. Mes parodome, kad kiekvienas, tiesiogine to žodžio prasme naudodamas Google, gali rasti slaptų dokumentų, susijusių su mūsų kariuomene, specialiosiomis tarnybomis ir pan.


– Sakėte, kad per UCA gyvavimo metus nuolat sulaukiate grasinimų. Iš ko, kokio pobūdžio?


Natūralu, kad tiems, pas ką įsilaužiame, tai labai nepatinka. Tarkime, situacija su Rusijos propagandistu Prochanovu. Aš perėmiau jo Facebook puslapį, taip pat jo leidinius „Diena“  ir „Rytoj“ ir jo vardu parašiau keletą juokingų tekstų. Po to laidos „Vesti“ eteryje jis dėl to labai piktinosi, o jo sūnus Andrejus Fefelovas svaidėsi tuščiais grasinimais. Iš okupuotų teritorijų taip pat nuolat siunčiamos visokios šlykštynės. Mes tiesiog nekreipiame dėmesio į grasinimus.



Kibernetinis karas


– Kurią iš savo akcijų laikote sėkmingiausia?


Čia sunku išskirti vieną akciją. Kartais pavykdavo gauti informaciją, pavyzdžiui, iš Rusijos Federacijos federalinės saugumo tarnybos – tai yra buvusios KGB dalis, kuri, be kita ko, užsiima ypatingos svarbios infrastruktūros saugumu. Todėl rasti tokią informaciją nebuvo lengva. Daugiausia dėmesio  spaudoje sulaukė akcija „SurkovLeaks“, kai mes gavome prieigą prie Rusijos prezidento padėjėjo Vladislavo Surkovo biuro pašto dėžučių. Ažiotažas kilo todėl, kad akcija sutapo su JAV prezidento rinkimais. Iškart pasirodė gandai, kad tai gali būti JAV kerštas Rusijai už įsilaužimą DNC (Democratic National Committee). Šiuos gandus, žinoma, paneigė JAV žvalgybos bendruomenė, tačiau tai pritraukė daug dėmesio šiai temai. Yra akcijų, kurios yra techniškai įdomesnės.


– Programuotojai mus skaitys, todėl juos domina būtent techninė pusė …


Techniniu požiūriu įdomus atvejis yra Orenburgo regionas. Mes panaudojome jau paskelbtus eksploitus. Tai buvo Heartbleed, atminties nutekėjimas. Mes nuskenavome daugybę Rusijos svetainių, įskaitant vieną iš mažų svetainių, esančių Orenburgo regiono vyriausybės duomenų centre, tai yra, prieiga tekėjo iš serverio atminties. Bet ilgą laiką ten nieko nebuvo galima padaryti, nes jie turi ir IT skyrių, ir informacijos saugumo skyrių, griežtai kontroliuojamus FSB. Tačiau vienu momentu sistemos administratorius padarė klaidą: jis prijungė tinklo saugyklą prie viešojo interneto serverio, ir iš ten jau pradėjo tekėti pakankamai informacijos, kad galėtumėte pasiekti visą sistemą ir joje įsitvirtinti, stebėdami visus šios regioninės vyriausybės padalinius, įskaitant FSB.


Mes net turėjome išvaryti kelis klajojančius hakerius, kurie buvo patekę į tą pačią sistemą, kad neprarastume prieigos prie jos. O prieiga buvo palaikoma labai ilgai – apie pusantrų metų. Per šį laiką iš ten buvo išpumpuota viskas, ką galima išpumpuoti. Tai rodo, kaip net mažos ir trumpalaikės klaidos sukelia ilgalaikius padarinius. Ir jei APT-grupė (advanced persistent threat) jau pateko į sistemą ir joje įsitvirtino, tada tokius įsilaužėlius sunku rasti, jie gaus informaciją ištisus metus. Panašus atvejis, labiausiai pagarsėjusi naujausia istorija, yra „supply chain“ ataka prieš „SolarWinds“, kai Rusijos įsilaužėliai prasiskverbė per tinklo stebėjimo programinę įrangą ir palaikė šią prieigą mėnesiais. Jie buvo atrasti beveik atsitiktinai.


– Koks jūsų akcijų tikslas? Ko norite pasiekti?


Faktas yra tas, kad rusų hakeriai į Ukrainos sistemas lenda lyg būtų pas save namuose. Informacijos saugumo būklė mūsų viešajame sektoriuje yra siaubinga. Taigi pati pirmoji žinia, kurią norėtume perduoti, yra tai, kad viską, ką galite padaryti mums, mes galime padaryti ir jums. Tam turime pakankamai kompetentingų specialistų. Antrasis tikslas yra tiesiogiai gauti informacijos apie tai, kas priima sprendimus, ypač kariuomenėje, kaip jie priimami, ką jie galvoja Rusijos Federacijos prezidento administracijoje, kokia yra jų pozicija derybose Minske, o ne tai, ką jie sako viešai, bet apie tai ką jie šnekasi tarpusavyje. Manau, kad tai yra vertinga informacija, kurią būtų sunku ar labai brangu gauti kitu būdu.


– Viename savo interviu taip pat sakėte, kad kibernetinis karas yra pigiausias. Bet kiek jis yra veiksmingas? Ar manote, kad jis gali išspręsti problemą su realiu karu?


Jei kalbėsime ne apie karą kaip visumą, o tik apie dalį, tarkime, apie kibernetinį šnipinėjimą, tada jis yra daug pigesnis nei tradicinis šnipinėjimas. Tai, kad dabar kibernetinė erdvė yra penktoji karo sritis kartu su žeme, jūra, oru ir kosmosu. Natūralu, kad karai dar nėra laimėti kompiuterio pagalba – mes dar ne taip daug pasiekę. Bet tai yra svarbus komponentas, papildantis kitų tipų karo rūšis. Oficialių doktrinų apie tai Ukrainoje nėra. Sritis nesivysto: nei gynybos, nei puolimo prasme. Žinoma, yra daugybė valstybinių kibernetinių centrų, įskaitant Ukrainos saugumo tarnybos kibernetinį centrą, Valstybinės specialiosios komunikacijos tarnybos kibernetinį centrą, Gynybos ministerijos kibernetinį centrą, tačiau kol kas nematyti didelio progreso.


– Jūs turite tam tikrus principus. Pavyzdžiui, jūs sakėte, kad neliečiate kritinės Rusijos infrastruktūros, „nes tai iš tikrųjų yra tarptautinio terorizmo aktas“. Kokius dar panašius principus turi UCA?


Kai aktyviai rinkome informaciją apie Rusiją, mus pirmiausia domino kariniai ir politiniai tikslai. Pavyzdžiui, 2015 m. mums pavyko gauti prieigą prie informacijos iš šimto tūkstančių rusiškų mobiliųjų telefonų. Bandėme peržvelgti archyvus, pavyzdžiui, SMS susirašinėjimų, tačiau neradome nieko, kas nusipelnė dėmesio. Todėl nebuvo prasmės gaišti laiko, juolab kad mūsų komanda nėra labai didelė.


Rusijoje kibernetinis saugumas yra šiek tiek geresnis nei Ukrainoje. Daugiau pinigų, daugiau specialistų, bet vis tiek nėra labai gerai. Natūralu, kad galėtume patekti į Rusijos infrastruktūrą, ten ką nors nulaužti, padaryti rimtą žalą, tačiau manau, kad vis tiek patartina susilaikyti nuo tokių veiksmų ir nelinkti į terorizmą.


2015 m. Rusija įsikišo į Ukrainos elektros sistemos darbą Kijeve ir Karpatų regione. Tai yra tarptautinio terorizmo atvejis, ir mane labai nustebino švelni Ukrainos vyriausybės reakcija į šiuos įvykius. Užsienyje išpuoliai prieš mūsų elektrines aptariami daug dažniau nei Ukrainoje. Kažkodėl mūsų užsienio reikalų ministerija nepasakė, kad Rusija iš tikrųjų perėjo prie teroristinių metodų, o tai būtų papildoma priemonė spaudimui Rusijos Federacijai, kad jie pagaliau taptų atstumtąja valstybe, kaip, pavyzdžiui, Iranas ar Šiaurės Korėja. Tyrimas nebuvo atliktas tinkamai. Neaišku, kaip jie pateko į elektrinių sistemą, ko bandė pasiekti, ar tai buvo bandymas, ar atsitiktinumas, ar sisteminga jų veikla.

#FuckResponsibleDisclosure


– Kaip perėjote nuo pirmo projekto, nukreipto į išorę, prie vidinio, kad apsaugotumėte Ukrainos valstybines struktūras?


Viskas vyko lygiagrečiai. Priėmus įstatymą „Dėl Ukrainos kibernetinio saugumo užtikrinimo pagrindų“, Facebook tinkle kilo daugybė diskusijų. Daugelis vyriausybės pareigūnų pareiškė: „Matote! Ir jūs sakėte, kad niekas nesikeičia. Pažvelk, kokį nuostabų įstatymą mes priėmėme. Pagaliau viskas bus gerai “.


Kampanijos #FuckResponsibleDisclosure tikslas buvo parodyti, kad jokie įstatymai patys savaime nieko nepataiso, nieko neįtakoja. Šios tezės iliustracijai, mes atkreipėme dėmesį į kelias pažeidžiamas vyriausybės informacines sistemas. Ir tada tai pradėjome daryti sistemingai.


Kaip sakiau, įsilaužimų nebuvo. Čia galime palyginti su situaciją, kai, pavyzdžiui, einate gatve pro namus ir pastebite, kad po vienu kilimėliu yra raktas. Arba piniginė ant kelio. Ateini ir parodai: pas jus po  kilimėliu raktas, tavo piniginė iškrito. Bet jūs nepaimate rakto ar piniginės ir jų nenaudojate. Taip yra ir su pažeidžiamumu. Mes jį radome, mes žinome, kaip jis gali būti panaudojamas, ką jis gali sukelti. Bet mes to nenaudojame, mes tik parodome: jūs čia turite skylę.


– Kaip vertinate kibernetinių specialistų, dirbančių valstybinėse įstaigose, lygį?


Ukrainoje yra apie 100 tūkstančių visų rūšių įstaigų, komunalinių paslaugų, valstybinių įmonių … Viešasis sektorius yra didžiulis. Kažkur dirba verti specialistai, kurie savo žinias taiko pagal paskirtį. Bet jų yra labai nedaug. Visiškai neįmanoma kiekvienai įstaigai suteikti bent sistemos administratorių. Viso IT specialistų Ukrainoje yra apie 200 tūkst. Taigi, net jei jie visi eitų dirbti į viešąjį sektorių, žmonių vis tiek būtų nepakankamai.


Prieš trejus metus paleidę programą „#FuckResponsibleDisclosure“, per porą mėnesių radome skylių mažiausiai pusėje ministerijų, prezidento administracije, daugelyje vyriausybės šakų, įskaitant Valstybinės specialiosios komunikacijos tarnybos greitojo reagavimo į kompiuterinius incidentus komandą. Jie paprasčiausiai paliko atvirą slaptažodį vienoje iš savo interneto pašto dėžučių. O, pavyzdžiui, Vidaus reikalų ministerijos akademija internete paliko atvirą, be slaptažodžių diską, kuriame yra viso personalo duomenų bazė: tiek mokančiųjų, tiek mokomųjų. Tas pats buvo ir su Kijevo policija …

Natūralu, kad mes ten nesikišame. Ir jei yra kokia nors informacija, kuri gali padėti piktybiniam įsilaužėliui rasti šią skylę ir įsilaužti, tada mes paskelbiame. Nors dažnai valdininkus paveikia vienintelis dalykas – pradėti viešai juos gėdinti. Tik viešumo baimė, pašiepimas verčia juos ką nors daryti. Taip buvo uždarytos pačios juodžiausios skylės. Daugelis bandė elgtis kitaip, tiesiogiai įspėdami administratorius, vadovybę apie esamas skyles. Ta pats Ženya Dokukin (Ukrainos kibernetinių pajėgų iniciatyvos įkūrėjas – red.) išsiuntė kelis šimtus tokių žinučių. 99 procentais atvejų pareigūnai nereaguoja į tokius įspėjimus.

Tai yra, kampanijos „#FuckResponsibleDisclosure“ tikslas nebuvo užtaisyti visas skyles – to padaryti negalima savanorių pastangomis, bet parodyti, kad informacijos saugumas Ukrainoje yra nepatenkinamas, neadekvatus. Jokie atskiri įstatymai ar ministrų kabineto potvarkiai nesukelia sisteminių pokyčių. Būtina iš naujo apsvarstyti patį požiūrį, kitaip įsilaužimai tęsis. Visi prisimename „NePetia“, padariusią 10 milijardų dolerių žalą, daugybę nutekėjimų iš Vidaus reikalų ministerijos, Ukrainos saugumo tarnybos, įsilaužimus į tokias dideles įmones kaip Antonovas, minėtus elektros tiekimo nutraukimus Kijeve ir Karpatų regione … Jei nepradėsime į tai kreipti dėmesio, pasekmės bus katastrofiškos …


– Ar po to, kai pranešėte apie keletą skylių, laikui bėgant patikrinote, ar jie jūsų klausė, ar ne?


Skirtingai. Pateiksiu jums pavyzdį. Buvo viešai prieinama vandens tiekimo sistema, įskaitant nuotolinį mechanikos valdymą, kažkokius sklendes, kištukus … Aš nepakankamai suprantu apie vandens komunalines paslaugas, bet suprantu, kad tai tiesioginė prieiga prie įrangos, prisijungimų, slaptažodžių, kad jūs galite juos įvesti nuotoliniu būdu ir ką nors padaryti. Įspėjome pažįstamus Ukrainos saugumo tarnybos pareigūnus. Juk tai yra tiesioginė grėsmė: dėl išpuolio keletas regionų gali likti be vandens. SBU bandė kažkaip paveikti, duomenys iš atviros prieigos dingo, tačiau vandens tiekimo paslaugų vadovybė pasirodė esą tokia gudri, kad jai pavyko pasiųsti Saugumo tarnybą su jų reikalavimais kažkur toliau.


– Dabar mums įprasta daug rašyti apie negatyvą. Įdomu, ar kada nors atsitiko taip, kad atradote gerai apsaugotas sistemas ar sulaukėte tinkamo pareigūnų atsakymo?


Taip, nelabai dažnai, bet mes susidūrėme su ramia profesionalia pareigūnų reakcija, kai jie greitai pašalino pažeidžiamumą, parašė apie tai ir viešai padėkojo. Tai yra, jie elgėsi taip, kaip privalėjo. Vis dėlto norėčiau pažymėti, kad pareigūnai reaguoja, kur kas blogiau nei, kaip reaguoja verslas, ypač didelis.

Pavyzdžiui, kai vieno mobiliojo ryšio operatoriaus informacija buvo viešai prieinama, reagavimo į saugumo incidentą laikas buvo 30 sekundžių. Tai yra, mes paskelbėme dokumento viršelį (pačiame viršelyje nebuvo nieko slapto), o po pusės minutės apsaugos inžinierius mums parašė ir mandagiai paklausė visų detalių. Per 24 valandas jie atliko savo vidaus tyrimą, nustatė nutekėjimo priežastį ir ją pašalino. Lygiai taip pat buvo, kai viešoje erdvėje buvo rasti JAV Kongreso Atstovų rūmų įsilaužimo pėdsakai. Kai kurie nežinomi įsilaužėliai įlindo ten, o vienas iš mūsų savanorių rado tarpinį serverį, per kurį buvo pumpuojama informacija. Po kelių valandų, amerikiečiai jau klausė, ar visa tai informacija, ar yra kažkas kita, apie ką mes nenorėjome viešai kalbėti.


Mūsų šalyje, deja, dažnai nutinka taip, kad atradus skylę ateina organizacijos vadovas ar spaudos sekretorius ir pradeda įrodinėti, kad tai nėra pažeidžiamumas. Kad visa tai nesvarbu, tai paliko pirmtakai … Jie pradeda grasinti pareiškimais policijai ir Ukrainos saugumo tarnybai, visais įmanomais būdais priešintis ir praeina visas fazes nuo neigimo iki priėmimo. Kažkodėl jie yra tikri, kad tai buvo suplanuota specialiai prieš juos, siekiant juos sumenkinti ir pakenkti.



Kratos ir teismai


– Kaip UCA iš pradžių bendravo su vyriausybinėmis agentūromis?


Mes perdavėme informaciją, kurią laikėme svarbia ir kuri gali būti panaudota karinėms ar specialiosioms tarnyboms. Tai nebuvo kažkokia formali sąveika, tiesiog bendravimas per pažįstamus pareigūnus, kuriais galima pasitikėti. Atradus skylių viešajame sektoriuje, didžioji dalis informacijos buvo paskelbta aprašant pažeidžiamumus ir tai, ką būtų galima padaryti, kad padėtis pagerėtų.


2019 m. rudenį UCA buvo pakviesta į Nacionalinio saugumo ir gynybos tarybą. Buvo diskutuojama, kaip reformuoti valstybės požiūrį į informacijos saugumą, kaip jį derinti su ministro pirmininko pavaduotojo Michailo Fiodorovo skaitmeninimo planais. Šiame susitikime jis taip pat kalbėjo apie savo planus. Po to surengėme kelis susitikimus su pareigūnais, išklausėme, ką jie sako, sudarė nedidelę grupę, viską aptarėme tarpusavyje (ne tik UCA viduje, bet ir dalyvaujant daugeliui žinomų IT specialistų), sukūrėme viziją kaip būtų galima pakeisti esamą sistemą … Ir viskas. Pasėdėjome ir pakalbėjome – ir išsiskirstėme, niekas nepasikeitė.


– O prieš tai privačiai valstybinės organizacijos kreipėsi į jus bet kokiais konkrečiais klausimais?


Ne, jie to nedarė.


– Dabar jūs nutraukėte bendradarbiavimą su vyriausybinėmis organizacijomis po 2020 m. vasario mėnesio kratos ir vėlesnių teismų. Papasakokite mums įvykių chronologiją.


Pradėkime nuo to, kad 2019 m. rudenį Ukrainoje pasikeitė kibernetinių padalinių vadovybė tiek SBU, tiek policijoje. Ten atsirado naujų žmonių, ir kažkodėl būtent tada minėti įvykiai ėmė klostytis. Kaip viskas prasidėjo? 2019 m. spalio mėn. Odesos oro uoste kažkoks nežinomas juokdarys švieslentėje parodė įžeidžiantį Gretos Thunberg vaizdą. Visi iš to juokėsi, gūžčiojo pečiais: – Na, būna. Likus kelioms savaitėms iki šio įvykio, vienas iš mūsų savanorių Andrejus Perevezijus įspėjo, kad sistemoje yra skylių.


2020 m. vasario mėn. SBU ir policija įsiveržė į mano namus kartu su gerai ginkluotu KORD daliniu su papildomom dėtuvėm automatams. Nežinau, jie, matyt, norėjo surengti mažą karą mano virtuvėje? Leidime ieškoti buvo nurodyta, kad aš, Andrejus Perevezijus ir Saša Galuščenko (jis dabar dirba Nacionalinio saugumo ir gynybos tarybos kibernetiniame centre), mes trys, įsibrovėme į Odesos tarptautinio oro uosto švieslentę. Tai yra, visiškai juokingi kaltinimai, žinoma, byla yra sufabrikuota.

Netylėjome ir kitą dieną surengėme spaudos konferenciją, kurioje paskelbėme, kad tai politinis spaudimas. Po to vyko du teismo posėdžiai dėl areštuoto turto. Pirmajame teismo posėdyje mūsų gynyba sutriuškino prokuratūros poziciją, tačiau per vieną dieną tarp dviejų teismo posėdžių pertraukos teisėjas gavo nedarbingumą. Manau, kad teisėsaugos institucijos darė jam spaudimą nepriimti teisingo sprendimo. Po to teisėjas buvo pakeistas, o jis jau areštavo mūsų kratų metu paimtą turtą – kompiuterius, diskus.


Nuo to laiko praėjo 11 mėnesių. Byla visiškai nevyksta, mes net neturime jokio statuso: mes nesame liudininkai, nesame kaltinami, mums oficialiai nėra pareikšti jokie įtarimai. Dabar policija sprendžia šią bylą. Jie tiesiog žaidžia laiką, tikėdamiesi … Aš nežinau, ko jie tikisi. Aš asmeniškai tikiuosi, kad padedami nuostabių gynėjų, teisme pasieksime ne tik teisingumą, bet ir atsakingų asmenų bausmę.


– Viename interviu sakėte, kad situaciją su Odesos oro uostu vertinate kaip pasiteisinimą „atvykti pas mus su kratomis, paimti įrangą ir pabandyti ten ką nors rasti“. Kaip manote, ką rasti?


Nežinau, galbūt kokią nors kompromituojančią medžiagą, kuria būtų galima spausti, priversti ką nors daryti ar pateikti nepadorų pasiūlymą. Bet taip nebuvo, nes viskas iškart pateko į viešumą. Tokiomis sąlygomis negali būti jokių susitarimų. Esu visiškai įsitikinęs, jei nebūtų buvę Odesos oro uosto, jie būtų panaudoję bet kokį kitą pretekstą atvykti su kratomis.


– Ar bandėte pats atlikti situacijos su oro uostu tyrimą?


Byloje susipažinau su techninėmis detalėmis. Manau, kad nelengva bus surasti tikrą įsilaužėlį. Geriausia padaryti saugumo auditą ir apsaugoti oro uosto sistemą. Jai vadovauja privati ​​Odesos įmonė, ir aš manau, kad jie tai gali padaryti.


– Minėtoje konferencijoje keli UCA dalyviai atskleidė savo tapatybę, nors prieš tai jie buvo laikomi inkognito. Ar gailiesi dėl šio sprendimo? Kaip tai jus ypač paveikė?


Tai tapo lengviau. Be to, mūsų anonimiškumas buvo sąlyginis. Tai veikiau įvaizdžio dalis: dėmesį patraukia kaukės, balaklavos. Žinoma, manau, kad tiek SBU, tiek Vidaus reikalų ministerija jau seniai žinojo mūsų vardus. Praktine prasme nebebuvo prasmės tęsti anonimiškumo žaidimą. Todėl į spaudos konferenciją eidavome tikraisiais vardais: aš, Artiomas Karpinskis, Andrejus Perevezijus ir Aleksandras Galuščenka. Su savimi taip pat turėjome advokatūros atstovą, kuris pateikė teisinius komentarus.


– Ar, jūsų nuomone, Ukrainos haktivistai turėtų turėti imunitetą, tai yra, apsaugą nuo baudžiamojo persekiojimo? Ar tai privers paklusti?


Visų pirma, manau, kad niekas neturi turėti imuniteto nuo baudžiamojo persekiojimo. „Geras vaikinas“ nėra apsauga. Bet mūsų teisėsaugos sistema yra visiškai korumpuota ir sugriuvusi – aš tai matau kaip problemą. Tai yra, jei mes nepažeidžiame Ukrainos įstatymų, tada aš nesuprantu, kokie klausimai mums gali kilti, ar mes esame įsilaužėliai, ar kepėjai, ar kažkas kitas.


UCA spaudos konferencija


Apie programą „Dija“ ir interneto saugumą


– Toje pačioje spaudos konferencijoje pasigirdo frazė, kad jei UCA visada kreiptųsi tiesiogiai į tarptautines institucijas, tai Ukraina jau senai nebeturėtų bevizio režimo. Ką būtent turėjote omenyje?


Kiek pamenu, tai pasakė Andrejus Perevezijus. Kaip suprantu, jis norėjo pasakyti, kad tos pačios atominės elektrinės ir oro uostai yra ypatingos svarbos infrastruktūros dalis, o Ukraina turi tam tikrus tarptautinius įsipareigojimus dėl šių objektų saugos lygio. Nes jei nukris civilinis lėktuvas, neduok Dieve, ar įvyktų avarija atominėje elektrinėje, tada nukentės ne tik Ukraina. Taigi, jei tarptautinės organizacijos kurios užsiima branduolinės energijos ir skrydžių saugos kontrole (TATENA ir ICAO), sužinotų, koks žemas šių svarbių objektų apsaugos lygis, tada jiems kiltų daug klausimų Ukrainos vyriausybei.


– Viename iš savo pranešimų sakėte, kad mobilusis ryšys Ukrainoje nėra saugus, skirtingai nei internetas. Papasakok apie tai.


Aš iš tikrųjų stebiuosi, kad tai kažkam paslaptis. Nuo 2000-ųjų pradžios, kai buvo priimtas telekomunikacijų įstatymas, Ukrainos saugumo tarnyba turėjo tiesioginę prieigą prie operatorių telefonų tinklų. Tai reikalinga norint vykdyti „негласні розшукові дії“ arba, paprasčiau tariant, pasiklausyti. Teisėsaugos institucijos per metus gauna iki kelių tūkstančių orderių, kad galėtų vykdyti teisėtą pasiklausymą. Bet, žinoma, kadangi jie turi tiesioginę prieigą prie operatorių įrangos, tai atveria didžiulę piktnaudžiavimo galimybę. Yra juodoji paslaugų rinka, kur už svarius pinigus jie parduos jums visą informaciją iš valstybinių registrų, pradės neteisėta telefonų pokalbių pasiklausymą.


O štai kas nutiko neseniai … Dabar parlamentas jau antrą kartą priiminėja naują telekomunikacijų įstatymą Nr. 3014. Pirmą kartą jis buvo priimtas Radoje, tačiau Zelenskis jo nepasirašė. Tada buvo padaryti tam tikri pakeitimai, kurie vėl buvo pateikti pasirašyti. Nežinia, ar prezidentas pasirašys, ar atmes. Yra tokių formuluočių, kad dabar tas nuostatas, susijusias su telefoninių pokalbių pasiklausymu, galima aiškinti taip, kad interneto tiekėjai būtų priversti suteikti prieigą prie savo tinklų Ukrainos saugumo tarnybai, o tai, be abejo, sukels itin nemalonių padarinių. Tai jau visiška ir galutinė betvarkė.

Niekas neginčija fakto, kad teisėsaugos institucijos turėtų turėti teisinę galimybę gauti informacijos apie abonentus iš telefono operatorių ir interneto tiekėjų. Bet, manau, būtų logiška, kad jie gautų orderį, pateiktų jį operatoriui, o jis savarankiškai įrašytų reikiamą informaciją. Jei teisėsaugos institucijos turi prieigą prie įrangos, jos gali naudotis, be kita ko, savanaudiškiems asmeniniams tikslams. Tai yra korupcija ir didžiulis nuostolis ekonomikai ir piliečių teisėms.


– Jūs taip pat neseniai komentavote testavimą, „Dija“ programos pažeidžiamumui nustatyti. Ar jūs jame dalyvavote? Kaip manote, ar ši programa yra saugi?


Aš atidžiai stebiu masinio skaitmeninimo projektą. Ir aš manau, kad tai yra neapgalvota skaitmenizacija, kai jie skaitmenina tuos procesus, kurie visai nereikalingi. Tarkime, man reikalinga iš valstybės pažyma. Man nesvarbu, kokios ji bus formos, aš noriu, kad iš vis nebūtų pažymų. Arba paimkime pirmą dalyką, kurį padarė „Dija“ programoje – ten pridėjo Ukrainos piliečio pasą. Aš nelabai suprantu kodėl. Mano nuomone, daug lengviau atšaukti pasų patikrinimus parduodant traukinio bilietus, nei įkelti pasą į telefoną. Aš tik noriu, kad pagal Konstituciją būtų judėjimo laisvė ir galėčiau vaikščioti be paso. Manau, kad daugelis šios programos idėjų yra arba beprasmės, arba tos, kurios gali sukelti itin neigiamų pasekmių.


Mes žinome, kad registrų duomenys reguliariai nuteka, yra reguliariai klastojami, kad šiuose registruose yra daug klaidų. Užuot sumažinusi tos informacijos kiekį, kurį renka valstybė apie savo piliečius, užuot užtikrinusi tinkamą šios informacijos apsaugą, Skaitmeninės transformacijos ministerija bando ją sujungti į milžinišką sistemą. Tai reiškia, kad daugiau žmonių turės prieigą prie skirtingų registrų, atsiras daugiau nutekėjimų ir rizikos.


Kalbant apie tam tikrus pažeidžiamumus, Skaitmeninės transformacijos ministerija į kritiką reaguoja visiškai neadekvačiai. Daugelis žurnalistų oficialiais prašymais bandė gauti bent šiek tiek informacijos apie portalą ir programą, įskaitant saugumo pažymėjimą. Atsakydama į tai ministerija pateikė tyčia sugadintus failus, kurių negalima atidaryti. Visais klausimais jie tikina: „Mums sekasi gerai, atlikome auditus. Mes turime sertifikatus. Tik mes jų neparodysime, reikia patikėti mūsų žodiu“. Manau, kad informacijos saugumas nėra ta sritis, kurioje galima pasikliauti pareigūno žodžiais.


Saugumo testavimo programa, apie kurią jie paskelbė gruodį, yra PR žingsnis, siekiant šiek tiek pagerinti jų reputaciją: „Taigi mes kreipėmės į įsilaužėlius iš viso pasaulio, jie viską patikrino ir beveik nieko nerado, tai yra, programa yra patikimai apsaugota“. Asmeniškai mes visame tame nedalyvavome. Tačiau kelios Ukrainos įmonės ir institucijos (valstybinės ir privačios) kreipėsi į Skaitmeninės transformacijos ministeriją: „Leiskite ir mums dalyvauti testavime“, o ministro atsakymas buvo visiškai keistas – jis visiems atsakė neigiamai.


Tai rodo, kad jie stengiasi viską tyliai nuošalėje padaryti ir taip sustiprinti savo reputaciją, todėl visaip kaišo lazdas į ratus, ribodami testavimo dalyvių skaičių. Be to, testavimas vyksta tada, kai žmonės jau visiškai įsitikinę, kad padarė viską, kas įmanoma, kad užtikrintų saugumą. Bet prieš tai nepriklausomų auditorių nebuvo. Dalyvavo tik kažkokia Estijos ne pelno organizacija. Tai yra, nepriklausomo audito nebuvo, rezultatai nebuvo paskelbti, tačiau kažkodėl vykdoma saugumo testavimo programa.


– Jūsų citata: „Viską galima nulaužti – tai laiko ir pastangų klausimas“. Ar šiuo atveju išvis reikia tokių programų kaip „Dija“?


Tai, kad galima nulaužti beveik viską, dar nereiškia, kad nieko nereikia daryti. Aš neraginu visų grįžti į akmens amžių, atsisakyti telefono ir kompiuterio ir vėl naudoti popierių. Tai nepatogu, pasenę, nereikia atsisakyti technologinės pažangos. Bet visos užduotys turi būti įgyvendintos teisingai. Koks yra „Dija“ programos tikslas? Vienas iš tų, kuris periodiškai iškyla Skaitmeninės transformacijos ministerijos vadovybės ir paties pono Zelenskio pareiškimuose – ateityje tai leis surengti rinkimus skaitmenine forma.


Bet aš tikiu, kad tai ne tik mano, bet ir praktiškai visų tarptautinių rinkimų ir informacijos saugumo ekspertų nuomonė, kad šiuo metu nėra technologijos, kuri leistų surengti rinkimus internetu ir įtikinti visus, kad jie buvo teisingi. Nes rinkimų užduotis yra ne nustatyti nugalėtoją, o įtikinti pralaimėtoją, kad niekas neapgavo. Skaitmeninių rinkimų atveju tai bent jau kol kas neįmanoma. Šiais laikais, išskyrus Estiją, nėra internetinių rinkimų. Net ir mažutėje Estijoje yra daug nepatenkintų žmonių, norinčių grįžti į saugesnį tradicinį balsavimą.


Jei Skaitmeninės transformacijos ministerija nori ką nors patobulinti, tuomet pirmiausia vertėtų spręsti pareigūnų atsakomybę už netikslios informacijos įrašymą į registrus. Tarkime, kad „Dija“ programoje norėjote naudoti vairuotojo pažymėjimą. Gali būti, kad nėra nuotraukos, techninio patikrinimo talono ar gali būti prirašyta nesąmonių. Ir tada jūs turite eiti į Administracinių paslaugų centrą ir praktiškai iš naujo forminti vairuotojo pažymėjimą. Manau, kad būtų naudinga daryti skaitmenizaciją, priverčiant pareigūnus, kurie įvedė netikslius duomenis, ištaisyti savo klaidas, kad ne jūs bėgiotumėt, bet jie tai padarytų patys. Sistemai pradėjus normaliai veikti neprisijungus, ją galima automatizuoti. Jei automatizuojame netvarką ir sukčiavimą, tai gauname automatizuotą netvarką ir skaitmeninį sukčiavimą.


– Viename savo interviu sakėte, kad nekompetencija ir neatsakingumas yra dvi priežastys, leidžiančios Rusijos įsilaužėliams atakuoti mūsų valstybės ir verslo struktūras. Kaip, jūsų manymu, šios problemos turi būti išspręstos? Ir ar įmanoma tai visiškai išspręsti, jei, pagal jūsų paties žodžius, galima bet ką nulaužti?


Nulaužti galima į visus, tačiau kažką nulaužti yra lengva, o kažką – sunku. Svarbu net ne įsilaužimo faktas, o tai, kaip žmonės į tai reaguoja ir kaip bando sumažinti padarytą žalą.


Pareigūnai turi suprasti, kad jie yra atsakingi už informaciją, kurią mes jiems patikėjome, nes ji yra vertinga. Mes netgi galime sužinoti konkrečias kainas juodojoje rinkoje. Taigi tai yra vertinga nuosavybė, kurią reikia saugoti kaip ir fizinį turtą. Tuo tarpu už jų saugojimą ir saugumą ir niekas nėra atsakingas.

Yra ir kita medalio pusė – žmogus gali būti laikomas atsakingu tik už tai, ką žino. Jei valstybinėje organizacijoje nėra sistemos administratoriaus, o tik mažai apmokamas darbuotojas, kuris valdo ir keičia spausdintuvuose esančias kasetes, tada, žinoma, jis negali būti už nieką atsakingas. Bet jei valstybinė institucija negali išlaikyti savo informacinės sistemos, leiskite jai grįžti prie popieriaus, seifų ir apsaugos darbuotojų prie įėjimo. Tai yra, arba jūs išmoksite prižiūrėti savo informacines sistemas ir atsakyti už jų saugumą iki baudžiamosios atsakomybės, atleidimo iš darbo, baudų, papeikimų, arba paprasčiausiai neturėtumėte jų turėti.


– Pokalbio pradžioje sakėte, kad šiuo metu yra trys aktyvūs organizacijos nariai. Ką UCA veikia šiuo metu?


Šiuo metu mes daugiausia užsiimame savo verslu. Nors, žinoma, dalyvaujame visokiose diskusijose, įskaitant ir pokyčius įstatymų leidybos srityje. Bet šiuo metu neatliekame jokių sisteminių projektų. Tai yra, mes pirmiausia norime pasiekti teisingumą teisme, o tada spręsime, ką daryti toliau.


– Ar turite kokių nors konkrečių planų, idėjų?


Yra daugybė idėjų: ką būtų galima padaryti tiek gynybai, tiek puolimui. Būtent viešosios organizacijos užduotis yra sugalvoti tokius projektus. Bet jie ilgam atidėti. Pirmiausia išsiaiškinkime su teismu.




InformNapalm_logo_07.png

Partneris Lietuvoje