"Крымский ботнет", или Кто заказал "Цензор.НЕТ"?

Автор: Ю.Зубченко

Во время Революции Достоинства многие украинские интернет-ресурсы, чаще всего информационные сайты, которые объективно освещали события на Майдане, подвергались массированным DDoS-атакам (атака на отказ в обслуживании, направленная на отключение ресурса). Спустя два года после Майдана ситуация в сфере информационной безопасности мало изменилась. Украинские интернет-издания, сайты органов государственной власти все так же остаются легкой добычей для хакеров. Обладая одной из самых прогрессивных IT-индустрий в мире, Украина так и не выработала политику информационной безопасности.

В чем причина такой пассивности правоохранительных органов, мы попытались разобраться в беседе с экспертом по кибербезопасности, основателем компании ProtectMaster Никитой Кнышем.



РОССИЯНЕ ПЛОТНО КОНТРОЛИРОВАЛИ ВСЕХ ПРОВАЙДЕРОВ НА ТЕРРИТОРИИ КРЫМА

- С самых первых дней Евромайдана стало понятно, что объективная, оперативная, правдивая ситуация с места событий - это главное оружие в борьбе с режимом Януковича. Это понимала и тогдашняя власть. Именно в то время волна DDoS атак прокатилась по многим информационным ресурсам, в том числе был атакован и "Цензор. НЕТ". Ваша команда проводила собственное расследование тех событий. Кто же был заказчиком этих атак?

- Сегодня мы с уверенностью можем сказать, что СБУ не была причастна к DDoS "Цензора" хотя бы потому, что ДКИБ (Департамент контрразведывательной защиты интересов государства в сфере информационной безопасности), а это именно то подразделение, где должны были бы работать грамотные специалисты в области ИБ, тогда был слишком молод - им было чуть больше года. Учитывая, что оформление на работу в СБУ занимает от полугода до 2 лет, это означает, что у работников СБУ просто не хватило бы времени, чтобы набрать высококвалифицированных специалистов по информационной безопасности (ИБ). К тому же заработная плата младшего лейтенанта в СБУ может варьироваться от 4000 до 6000 грн. - за такие деньги привлечь профессионалов по ИБ просто невозможно. МВД также не было причастно к DDoS атакам. В целом, уровень подготовки IT-сотрудников МВД еще ниже, чем в СБУ. Главная задача СБУ и спецальных подразделений милиции была в одном - не вмешиваться в эту кибервойну, объявленную проукраинским веб-ресурсам. Более того, украинские силовики стали пособниками в этой войне, когда изымали сервера Цензора.

- Если истоки организованного тогда кибертерроризма не в Украине, то заказчик - Кремль?

- Да, это так. Но организовать массированный DDoS из России - это было бы слишком рискованно для Кремля. Вычислить географические истоки кибертеррора не так сложно, и если бы это делали российские хакеры, то можно было обвинить Россию в кибертерроризме, что явно ненужно Кремлю. Поэтому, для DDoS украинских сайтов был использован Крым. Сначала злоумышленники пытались атаковать Цензор обычным типом атаки - HTTP-флуд - это когда кучи компьютеров без ведома пользователя запрашивают одну и ту же страницу по несколько раз в секунду только не через браузер, а скрыто. Боты были разбросаны по всему СНГ, заказ на подобную атаку мог сделать каждый, кто обладал 30-50$ на оплату услуг, начиная от школолохакеров с antichat.ru. Естественно, это не доставляло особых проблем "Цензору", и было "отбито" путём введения ряда JavaScript-проверок. Но дальше становилось интереснее. Злоумышленники стали более целенаправленно бить по "Цензору", начался прицельный огонь по наиболее "тяжелым", с точки зрения нагрузки, местам сайта, таким как поиск по сайту, форма добавления комментариев и т.д. С таким видом нагрузки специалисты "Цензора" тоже справились. Введя дополнительные меры фильтрации и подключив AntiDDoS-сервисы, "Цензор" снова вышел в онлайн. И тут началось самое интересное - "Цензор" начал DDoS-ить Крым. Буквально весь Крым внезапно стал одним большим ботнетом, который стал атаковать сервера "Цензора". Напомню, на тот момент Крым еще был в составе Украины. Специалисты компании ProtectMaster детально вникли в анализ логов и начали разбираться, как это так вышло, что весь Крым внезапно оказался переполнен зараженными машинам. После анализа логов и сетевого трафика мы смогли обнаружить спуфинг атаку, если быть точнее, то это был DNS-spoofing. Всё дело в том, что кто-то сменил всем жителям Крыма IP-адреса популярных сервисов статистики посещений сайта и ряда высоконагруженных ресурсов.

Суть новой атаки на "Цензор.НЕТ сводилась к тому", что кто-то на уровне провайдеров заменил адрес популярных сервисов статистики LiveInternet и Google Analytics, которые есть почти на каждом сайте, на адреса "Цензора". Это привело к тому, что когда пользователь из Крыма открывал любую страницу, которая имела код счетчика, он автоматически открывал еще и страницу "Цензора", и обновлял её десятки раз в минуту. Таким образом, весь трафик жителей Крыма лавиной обрушился на сервера "Цензора".

Стоит ли тут говорить, что без сговора с провайдерами и без контроля на уровне спецслужб или правоохранительных органов, такую атаку было бы очень сложно и практически невозможно провернуть. Так что уже на тот момент, судя по всему, россияне плотно контролировали всех провайдеров на территории Крыма.

- Никита, при высоком профессионализме вашей команды, вы не можете подменить правоохранительное органы. Новым правительством заявлены масштабные реформы всей правоохранительной системы. СБУ, МВД имеют широкие оперативно-следственные возможности. Сегодня проводятся расследования по фактам вмешательства в работу украинских интернет-ресурсов?

- К сожалению, мы можем констатировать, что правоохранители недостаточно эффективно расследовали факты "глушения" каналов ZELLO, по которым общался Евромайдан, нет времени заниматься выявлением и блокировкой российских ботов и троллей, это приходится делать нам в свободное время. Продуктивность работы силовиков отражает статистика количества запросов от правоохранительных органов на раскрытие личных данных пользователей Google и YouTube. Согласно статистическим данным, за весь 2014 год правоохранительные органы написали лишь 5 запросов в компанию Google, на 1 из которых получили ответ. Для сравнения, Германия сделала за этот же период 6452 запроса.

ОТ МЕМОРАНДУМА К КИБЕРОЛИМПИАДЕ

- Политика государства в сфере информационной безопасности и два года назад, и сейчас, даже несмотря на создание специального министерства, крайне неэффективна. Информационной безопасностью страны во многом занимаются волонтеры. Как команде ProtectMaster в Харькове удалось сформировать своеобразный информационный щит против российской пропагандисткой машины?

- Наша команда всегда считала, что пропаганда имеет огромную силу. То, что мы видим сегодня в украинском да и мировом информпространстве - это результат работы по искажению информации, событий подавляющим большинством российских СМИ. Факты подаются искаженно, с явной пророссийской позицией. Жители восточной Украины, прифронтовых регионов вводятся в заблуждение российской пропагандой. Члены нашей команды прожили большую часть своей жизни в Харькове. Мы всегда переживали за свой регион, так как Харьков всегда был и остается в зоне интересов Кремля. В Харькове всем было абсолютно все равно на то, что происходит в сфере СМИ, и в уши людям вливалась абсурдная информация о том, что без великой и могучей России мы не проживем. Все это в той или иной степени продолжается и сейчас. Чтобы как-то противостоять информационной российской агрессии мы начали с того, что объединили все проукраинские паблики в социальных сетях, потому что до этого они явно не взаимодействовали между собой. С инициативной группой волонтеров и не безразличных людей мы собрали администраторов всех пабликов нашей области и подписали меморандум о сотрудничестве. Это стало первым реальным шагом по распространению нормальной, объективной, проукраинской информации в социальных сетях.

- Первая олимпиада в Харькове по кибербезопасности, состоявшаяся в прошлом году, - это был второй шаг?

- Да, потому что мы понимали - Украине нужна профессиональная киберполиция. Мы организовали масштабную конференцию по кибербезопасности и хакерское соревнование. Во-первых, чтобы показать украинцам и всему миру, что мы сильны в области информационной безопасности, а во-вторых консолидировать общество в борьбе со внешним агрессором на всех уровнях. Так родился HackIT-2015 - первая всеукраинская олимпиада и форум по кибербезопасности. Мероприятие посетило более 500 человек, а в соревнованиях участвовало более 60 человек. Именно на нашем мероприятии была презентована реклама киберполиции. Откровенно говоря, презентация была очень слабой. Представитель киберполиции удосужился прочитать 3 строки с листика и не более того.

ЗА МВД РЕШАЕТ ОБСЕ

- После киберолимпиады в соцсетях появилась информация о том, что МВД предложило вам обучать киберполицейских? Как это было на самом деле?

- После HackIT на наших докладчиков и участников стали выходить представители МВД с предложениями обучать новую киберполицию. Нас порадовало внимание со стороны МВД, мы очень позитивно восприняли реформы новой полиции. Команде ProtectMaster - основному техническому организатору HackIT - действительно есть что рассказать и чему научить новых киберполицейских. Поэтому в тот же вечер, когда мы узнали, что нами интересуются люди, которые будут создавать киберполицию, мы сами связались с ними и предложили обсудить эту тему. Мы съездили в Харьковский национальный университет внутренних дел, на базе которого в дальнейшем проходило тестирование новых киберполицейских, но там мы получили весьма мотивированный отказ в сотрудничестве. Нам объяснили, что решает все ОБСЕ, а не они, ровно так же, как и решения о выделении средств и привлечении того или иного специалиста в качестве тренера (преподавателя).

На следующий день мы связались с Центральным управлением по борьбе с киберпреступностью в Киеве и попросили о встрече, на что, к нашему удивлению, они согласились. Приехав в Киев, команда ProtectMaster услышала от представителей МВД классическую историю о том, что "мы ничего не решаем" и нас снова направили в ОБСЕ. Даже тут мы не сдались и поехали в главный офис ОБСЕ в Киеве. Нас познакомили с Надеждой Хван (национальным специалистом проектов) и Татьяной Руденко (национальный менеджер проектов, координатор проектов ОБСЕ в Украине). По словам представителей МВД, эти люди занимались подготовкой проекта новой киберполиции и подбором тренеров для новых киберполицейских.

- В чем заключается ваша идея обучения киберполицейских? Что вы предложили ОБСЕ?

- Наша идея обучения обучением киберполицейских довольно проста, но, по нашему мнению, эффективна. Первое, это создание открытой платформы, где публикуется список тем, которые уже есть у сотрудников ОБСЕ, и по которым планируется обучать киберполицейских. Второй шаг - на открытой платформе регистрируются преподаватели и тренеры по хакингу и ИБ, выкладывая своё резюме и видение методики обучения по конкретной тематике. Третье, общественность выбирает лучших учителей, а комиссия экспертов выбирает лучших из лучших. Четвертое, преподаватели получают достойную зарплату. Источники финансирования - спонсорские средства, краудфандинг.

Но разговор не клеился. Во время презентации нас постоянно перебивали фразами "на это нет времени" или "паровоз уже разогнан" и так далее. Мы четко дали понять, что нам нужна максимум неделя, для запуска платформы, и конкурс можно провести за неделю при достойной огласке. Опыт в организации подобных вещей в кратчайшие сроки и за минимальные деньги у нас был с HackIT-2015. Пару нормальных статей на том же Хабрахабре привлекли бы огромное внимание и позволили бы собрать достойных учителей, кроме того, когда мы искали докладчиков для HackIT, мы в буквальном смысле перевернули всю Украину в поисках лучших. Не буду вдаваться в детали, но все наши аргументы были засыпаны огромной кучей негатива и дальнейший разговор потерял всякий смысл. Мы не стали объяснять людям, что обучить профессионала в сфере ИБ стоит значительно дороже, чем научить человека "крутить бомжей и одевать наручники" (при всём уважении к новой полиции). Этот проект оказался провальным для нас, в итоге мы потратили значительную сумму на разъезды, кучу нашего времени и времени наших сотрудников на подготовку материалов, при этом не получив ровным счетом никакого результата. Наверное, именно сотрудникам ОБСЕ, которые не имеют практического, да и вообще какого-либо опыта в сфере ИБ, виднее кто и как будет обучать новых киберполицейских.

- А члены вашей команды пытались сами пойти в киберполицию, стать ее частью? Быть может, изнутри удалось бы сделать этот орган более эффективным?

- Да, у нас были такие мысли. Более того, мы попробовали пройти тесты на спецагента. К слову, хакеры которые участвовали у нас на олимпиаде, смогли набрать максимум 70 баллов из 120. Один сотрудник ProtectMaster набрал 57 из 120, другой сотрудник ProtectMaster смог выжать 64 из 120. Честно говоря, мы были очень удивлены такими результатами, ведь наши сотрудники владеют высокопрофессиональными навыками в сфере информационной безопасности. Как позже оказалось, тесты составлялись вовсе не для специалистов в сфере ИБ. Хочу, чтобы вы поняли все верно - мы не пытаемся оправдать крайне низкий результат наших специалистов. Не хочу детально останавливаться на этом, ведь о психологических тестах и сайте, на котором всё отображалось "криво", в интернете много информации. У нас возникло такое впечатление, что добрая половина вопросов для профессионального теста составлялась по "университетскому" курсу, где компьютеры еще назывались "ЭВМами", а носителем информации была перфокарта. Тесты вызвали огромный шквал критики среди тех, кто их сдавал. Общим мнением стало то, что у обычного программиста было куда больше шансов пройти, чем у человека, имеющего практический опыт в информационной безопасности. Что же, видимо, 80% сотрудников МВД, которые, к слову остались после "самоочищения", куда более компетентны, чем мы. Весь этот процесс, к сожалению, вызывает у нас тревогу, ведь сегодня Украина крайне уязвима для кибертерроризма.

"НАМ УГРОЖАЛИ СОТРУДНИКИ МВД"

- Никита, начиная с прошлого года по Украине прокатилась волна проверок IT-компаний. Причем характер проверок один и тот же: устроить маски-шоу, вломиться в офис, испугать сотрудников. Насколько достоверна информация, что в ваш адрес также поступали угрозы?

- Это правда. Нам уже угрожали сотрудники МВД, причем не побоялись сделать этого прямо на HackIT. Потом еще и неоднократно связывались с нами, тонко намекнули, что у кого-то из сотрудников ProtectMaster дома может найтись граната, три патрона и флаг Новороссии. Видимо, силовики не удосужились выяснить то, что некоторые сотрудники компании являются участниками боевых действий, все патриоты Украины, а некоторые имеют за плечами опыт работы в СБУ. Кое в чем мы согласны с сотрудниками ОБСЕ, реформы идут, "паровоз разогнан" и его уже не остановить, но нам бы не хотелось, чтобы он превращался в "бронепоезд" с узколобыми людьми с 5-сантиметровой броней на лбу в роли "машинистов".

Искренне хочется верить, чтобы старые люди, которые только и знают старые схемы от прошлой власти, не встречались с новыми сотрудниками киберполиции и не передавали им свой бесценный опыт. Даже если кто-то скажет нам, что и среди старых есть хорошие специалисты, мы с уверенностью ответим: может и да, но это свидетели преступлений своих коллег, которые об этом молчали и покрывали их своим молчанием. Надеюсь, что возглавит киберполицию все же специалист с опытом сфере ИБ или из IT-бизнеса.

- Чем сейчас занимается ваша компания?

- Команда ProtectMaster продолжает работать над собственными проектам в банковской системе, корпоративном секторе, где уделяют большое значение информационной безопасности и не занимаются бутафорией.

Юрий Зубченко