Обыски у них произошли из-за взлома систем одесского аэропорта, который произошел в середине октября прошлого года. Тогда на табло аэропорта появилась фотография экоактивистки Греты Тунберг с нецензурной надписью. Хотя об уязвимостях в защите Киберальянс предупреждал примерно за две недели до этого инцидента. И активисты отвергают обвинения в причастности к этой истории.
Собственно, визиты силовиков заставили представителей Киберальянса пойти на беспрецедентный шаг: они открыли свои лица, настоящие имена и вышли на пресс-конференцию в Киеве. Где заявили, что отказываются от любого сотрудничества с государственными структурами до тех пор, пока они не извинятся за обыски и не признают непричастность Киберальянса к инциденту в аэропорту Одессы.
“Буквы” пообщались об обысках и президенте Владимире Зеленском, состоянии кибербезопасности в Украине и российском следе в хакерских атаках на государственные структуры с представителем Киберальянса Андреем Барановичем, более известным под псевдонимом Шон Таунсенд.
Чем вы занимались до Майдана и войны? Кем и где работали?
Я работал по нескольким компьютерным специальностям: программист, администратор на провайдерных узлах, информационная безопасность. А вообще я возился с компьютерами всю жизнь, начиная еще со школы.
В какой момент вы начали заниматься… киберволонтерством? Это можно так назвать?
С марта 2014 года. Тогда к нам с Артемом Карпинским после первых кибератак подошел знакомый с контрразведки за определенной консультацией. И мы поняли, что вполне можем использовать наши знания и опыт в этой сфере. Тогда же появилась первая добыча. Это был видный сепаратист из Луганска. Мы передали информацию о нем контрразведке – с тех пор он в розыске по ст. 111 Уголовного кодекса (государственная измена). Я хочу сразу отметить: силовики знали, кто мы такие и чем занимаемся. А вот россияне терялись в догадках. Однажды на LifeNews вообще вышел сюжет о том, что Служба безопасности Украины наняла себе “пятьдесят хакеров НАТО”.
Вообще, как возникла идея создания Альянса? В какой момент?
Еще до того, как появился Киберальянс, различные группы волонтеров работали отдельно. И в 2015 году мы поняли, что для того, чтобы организовывать и реализовывать информационные операции, нужна обратная связь, коммуникации. Таким образом возникла группа RUH8 (читается как RU HATE). И весной 2016 года, ровно 4 года назад, несколько таких волонтерских групп объединились в Альянс. Центром притяжения стал другой волонтерский проект – InformNapalm. Собственно, если информацию не использовать – то, считайте, ее не существует. Аналитики InformNapalm вместе с нами разбирали архивы полученной информации, писали аналитические статьи, чтобы наглядно показать: как Россия воюет против нашей страны. И, по возможности, мы пытались сорвать планы оккупантов.
Один из самых известных ваших успехов для общественности – это почта Суркова. Сколько заняло времени, чтобы получить к ней доступ? И все ли материалы оттуда вы уже проработали?
Времени не больше, чем для всех остальных полученных материалов. За теми почтовыми ящиками Киберхунта (одна из групп хакеров, которые публиковали переписку Суркова – ред.) наблюдала около полугода. У нас были другие взломы, которые порой были интересны технически. Однако с Сурковым был подходящий момент: как только стало известно, что россияне вмешивались в выборы президента США, прилетела “ответка” из Украины. И снова начали распространять слухи о “натовских хакерах”. Опять же – это была одна из немногих операций, на которую официальный Кремль не мог не отреагировать. До этого мы в RUH8 несколько раз ломали сайт Государственной Думы РФ, распространяли на нем “заявления” от имени разных депутатов. “Объявляли” Астраханскую Народную Республику. “Собирали” срочное совещание в Оренбурге по “ситуации в северном Казахстане”. Удивительно, но через неделю после этого в Актобе (город на севере Казахстана – ред.) произошел теракт, и совещание действительно собрали. С теми же участниками, которых “собирали” мы. А речь, которую я придумал губернатору Юрию Бергу, от его реальных речей и не отличить. Так что жизнь имитирует искусство. Надеюсь, и Астраханская Народная Республика появится.
Кроме борьбы с россиянами, вы занимались и работой в Украине. Это и FRD (FuckResponsibleDisclosure), и “паровозик-облачко”, правильно? Можете рассказать немного подробнее об этих проектах? Являются ли они традиционным взломом ресурсов?
Конечно, ни о каких взломах речи не может быть. Мы профессионалы в сфере кибербезопасности, мы придерживаемся украинских законов и этических норм, принятых в обществе. Мы лишь можем показать, что не стоит оставлять кошелек на столе и ключ от входной двери под ковриком. Но мы никогда не возьмем ни чужого кошелька, ни ключа. Оба флешмоба – известная практика, которая называется Full disclosure. В конце 90-х, когда компьютеры вошли в повседневную жизнь и от них стало многое зависеть, производители компьютерного железа и софта поняли, что информация о дырах в защите ощутимо влияет и на репутацию, и на прибыли. Поэтому они пытались повлиять на сообщество исследователей. В частности, подавали судебные иски против тех, кто находил эти дыры. Придумали такие понятия, как “этичный хакинг” и “ответственное разглашение”. То есть сложилась ситуация, что производитель, который отказывается отвечать за свои провалы, пытается заставить отвечать за них людей-исследователей. В ответ на такие инициативы информацию о дырах в защите начали публиковать без предупреждения.
Акцию #паровозикоблачко начал Андрей Перевезий, известный специалист по информационной безопасности. Он хотел показать бизнесу, что их системы, даже после атаки НеПети (название вируса, который использовали во время хакерской атаки 2017 года, в результате которого пострадал ряд крупных предприятий в частном и государственном секторе – ред.), до сих пор уязвимы. И реакция была вообще хорошая. Ведь бизнес знает о своих рисках. Поэтому на выявленные проблемы реагировали быстро, профессионально, дыры закрывали, компании говорили “Спасибо!”. В общем – все довольны.
Андрей Перевезий. Фото “Укринформа”
Несколько иначе получилось с FuckResponsibleDisclosure. Здесь само название намекает: к черту ваше “ответственное разглашение”. Так как ни на одно “ответственное разглашение” государственный сектор никогда не отвечал. Евгений Докукин (основатель организации “Украинские кибервойска” – ред.) годами писал об уязвимости государственных сайтов. И на его списки с трехзначными номерами никто не обращал внимания. В то же время осенью 2017 года чиновники поняли, что кибербезопасность – это тема горячая и модная. Приняли Закон “Об основах кибербезопасности”. И общий настрой был шапкозакидательский. Мол, “закон примем, доктрину о кибербезопасности напишем, денег возьмем у западных партнеров” и настроим киберцентров, как говорил робот Бендер из известного мультфильма, “с блэкджеком и шлюхами”.
На самом деле в ситуации с кибербезопасностью не изменилось, по большому счету, ничего. Ни после того, как россияне взломали Центризбирком (ЦИК). Ни после блэкаутов в Киеве и на Прикарпатье. Даже после десятимиллиардных убытков от российского НеПети, когда зависли банкоматы и половина страны панически искала резервные копии информации. Тогда мы решили показать наглядно, что у нас происходит. Первым невольным участником нашего флешмоба стал сайт CERT-UA. Это именно та организация, которая должна реагировать на компьютерные чрезвычайные события. За два с половиной года мы совместно с волонтерами указали на слабые места сотен организаций: это и министерства, и национальные агентства и областные администрации. Ибо только публичность и страх скандалов могут заставить чиновников обращать внимание на информационную безопасность.
Как реагировали представители госструктур на ваши публичные сообщения, что у них в системе защиты есть огромные дыры? Кто-то обращался к вам за советами? В общем – шел ли кто-то на конструктивный диалог?
Хочу отметить, что среди государственных организаций все же существуют такие, которые реагируют на наши сообщения спокойно и адекватно. Сразу вспоминается Госстат. Его руководитель ответил в официальном письме, что сообщил о проблемах в защите (как и предусмотрено законом) СБУ, CERT-UA, Государственную службу специальной связи и защиты информации (ГСССЗИ). И отметил, что выявленные недостатки исправлены и поблагодарил за помощь. Иногда представители различных служб благодарили нас в личных сообщениях. Но бывали ситуации, за которыми следил Константин Корсун (специалист по информационной безопасности, организатор ежегодной конференции по кибербезопасности UISGCON) и рассказывал обо всем этом на конференциях по безопасности в Украине и за рубежом. Ведь иногда поведение серьезных и ответственных лиц укладывалось в модель принятия Кюблер-Росс: отрицание, гнев, торг, депрессия, принятие. К пятой стадии доходили не все.
Например, так было с “Энергоатомом”. Были заявления типа: “Протекло не у нас, а у подрядчика”. Но разве не все равно, кого в результате будут взламывать: сам “Энергоатом” или смежную компанию? Затем нам угрожали заявлениями в киберполицию. В результате киберполиция и СБУ начали расследование в отношении работников “Энергоатома”. Потом говорили, что информация, которая открыто лежала в интернете, – это неважная информация. Действительно, если она неважная – почему бы ее не опубликовать? И наконец реакция, ради которой стоило работать. Пресс-служба “Энергоатома” сообщила, что, “используя полученную от активистов Киберальянса информацию, был найден и ликвидирован несанкционированный источник утечки информации”. Также на Запорожской АЭС создали спецкомиссию по расследованию инцидента. А с персоналом станции провели инструктаж. Собственно, речь о том, что Киберальянс не хочет никого подсидеть или как-то навредить. Мы хотим помочь защититься, особенно когда речь идет о критической инфраструктуре. Например, атомной электростанции.
Удавалось ли находить во время FDR следы россиян? Вообще, можно ли говорить о том, как часто россияне атакуют Украину именно в киберпространстве? И можно ли говорить, что здесь, как и на Донбассе, у нас с ними реальная война? Если да, в чем она проявляется?
Такое бывало. Яркий пример: как-то мы прочитали переписку одной российской группы и выяснили, что россияне полностью взломали почтовый сервер Министерства внутренних дел Украины. Мы сразу же сообщили об этом СБУ, кажется, это было в 06:00 утра. Рассказали им о ситуации и дали всю возможную информацию о российских хакерах. Уже в 08:00 утра сервер “погасили”, а киберполиция и СБУ приехали в полицию. Во время #FRD мы порой находили следы реальных хакеров. Например, такой случай был с сайтом Донецкой военно-гражданской администрации. Там лазили хакеры из Самары. Все пароли системных администраторов украли. Заместитель главы администрации сказал, что они обо всем в курсе и не отключают систему только потому, что “сидят в засаде”. Что, на мой взгляд, сомнительная тактика. Затем систему переустановило Государственное предприятие “Украинские специальные системы”. Вместе с дырой, через которую на сайт и залезли россияне.
Возникали ли у волонтеров Киберальянса проблемы с полицией или другими силовиками до случая с Одессой?
Было несколько таких случаев, когда на нас, не разобравшись, писали заявления в полицию. Так в свое время сделал Херсонский областной совет (их общий сетевой диск оказался без пароля в открытом доступе в Интернете). В ситуацию вмешалась Катя Гандзюк, и вместе мы смогли убедить представителя облсовета в том, что не хотим им зла. В результате заявление забрали. А потом поблагодарили публично за выявленную дыру в системе безопасности. Похожая история была с одесским Минюстом. Это был 2018-й, тогда пришлось убеждать киберполицию. Тогда все подозрения с нас сняли. И опять же: и СБУ, и киберполиция давно знают о нас и о том, чем мы занимаемся. В частности, о том, что наша цель – защитить нашу страну и усилить киберзащиту. В постах Андрея Перевезия (пост от 7 октября 2019 года, картинка с Гретой Тунберг на табло аэропорта появилась 16 октября) затэгали и киберполицию, и Службу безопасности. Вряд ли они не заметили этих тэгов. Мы заранее всех предупреждали о том, что в системах одесского аэропорта дыры.
Расскажите о том дне, когда к вам пришли с обысками. Кто пришел, чего хотели, чем мотивировали то, что нужно забирать роутеры. Как быстро удалось найти адвоката?
Утром мне постучали в дверь и представились “соседями”. Конечно, своих соседей я знаю. Но я понимал, что надо двери открывать сразу. Как только это сделал – меня схватил вооруженный спецназовец. Не знаю, может, они ожидали, что я буду в них флешками бросаться. За ним зашли представители киберполиции Одессы, киберполиции Киева, представитель СБУ Одессы. Мне вручили постановление о “Грете Тунберг и одесском аэропорте”. Хотя к этому эпизоду мы не имеем никакого отношения. Я сразу позвонил руководству партии “Демократична Сокира”, в которой я советник по кибербезопасности. И они договорились с адвокатским объединением Barristers о моей защите. Адвокат Вадим Колокольников, который сейчас представляет мои интересы в суде, приехал очень быстро. Во время обыска у меня сложилось впечатление, что ни глобальное потепление с Гретой Тунберг, ни одесский аэропорт правоохранителей не интересуют. Но почему-то интересуют мои переписки.
Табло одесского аэропорта
Как потом выяснилось из материалов прокуратуры, расследования инцидента с “Гретой” особо и не было. Но СБУ очень внимательно читала мой Facebook и нашла там много оскорбительных сообщений о президенте Владимире Зеленском. Учитывая то, что это был октябрь, был скандал по Трампу и Зеленскому, были массовые митинги в День защитника Украины (СБУ почему-то считает, что они направлены “против президента”), – то такое количество сообщений не удивительно. И я от своих слов не отказываюсь: Facebook – мое личное пространство, где я пишу то, что думаю. Если вдруг Владимир Александрович обижается – пусть подает иск о защите деловой репутации. Спецназ полиции и Служба безопасности в такой ситуации, на мой взгляд, – это уже слишком.
Относительно адвоката. Часть активистов возмущена тем, что вас защищает адвокат объединения, которое представляет в судах интересы неоднозначных персонажей. Например, Владислава Мангера, которого подозревают в убийстве Екатерины Гандзюк. Прокомментируйте, пожалуйста.
Действительно, на пресс-конференции в “Интерфаксе” юридическую позицию представлял Андрей Левковец, партнер адвокатского объединения Barristers. Я считаю неправильным переносить обвинения с полиции, которая не может довести расследование убийства Кати, на адвокатов. Адвокат должен быть у каждого, независимо от того – виновен человек или нет. Адвокаты, как и врачи, должны помогать всем. Мои интересы представляет Вадим Колокольников. И я доволен его работой. Вместе с Катей мы убеждали облсовет Херсона в том, что не стоит разбрасывать свои документы по всему Интернету. Очень жаль, что ее с нами сейчас нет. А ее убийцы до сих пор не получили заслуженное наказание.
С момента обысков прошло больше недели. Скажите, у вас появился какой-то процессуальный статус? Вы свидетель, подозреваемый?
Нет. Сразу после обыска полиция попрощалась и уехала обратно в Одессу. Подозрений я не получил. В этот понедельник начался суд, во время которого должны были решить вопрос об аресте изъятого у нас имущества. Но во время перерыва между заседаниями судья Корой внезапно ушел на больничный. И мы желаем его чести как можно скорее выздороветь. Теперь будет новый суд и новый судья. Но мы не планируем сдаваться. Например, относительно меня: прокуратура показывает мою фотографию, на которой изображен экран компьютера, который завис (а не взломан хакерами). И по их мнению, это фото сделано в аэропорту “Борисполь”. На самом деле фото сделано в аэропорту Софии. Думаю, за четыре месяца следствия можно было бы это выяснить. Если, конечно, это хотя бы кого-то интересовало. А какое отношение фото из аэропорта Софии имеет к “Борисполю”, а “Борисполь” – к аэропорту в Одессе, и при чем здесь президент Зеленский – думаю, это мы выясним на следующем заседании.
Почему активисты Киберальянса решили снять балаклавы и перестать быть анонимными? Не боитесь ли вы за себя или свои семьи? Ведь за эти годы работы вы могли нажить врагов, в том числе и в РФ. Не усложнит ли это вашу жизнь?
Мы докатились до того момента, когда приходится опасаться не только врагов, но и правоохранителей собственной страны, которой мы пытались помогать. Поэтому теперь мы будем выступать открыто. И в первую очередь мы хотим справедливости в отношении нашей организации. А что касается россиян… мы всегда имели дела с сильным противником. Поэтому бояться – как минимум, глупо.
В общем, насколько все плохо в Украине с кибербезопасностью? И в чем причина: в администраторах, в тех, кто разрабатывает программы и сайты, в персонале, который работает с этими программами и сайтами?
В Украине есть и специалисты, и оборудование, и даже деньги. Основная проблема, на мой взгляд, – это некомпетентность управленцев и безответственность. Недавно Министерство цифровой трансформации отчиталось, что часть информации из реестра водительских прав не соответствует действительности, и теперь люди бегают и меняют удостоверения. Возникает один простой вопрос: кто в ответе за то, что в реестр вносились недостоверные данные? Может, стоит наказать тех работников, которые вносили эту информацию, и поднять бумажную документацию? И вот такая ситуация во многих сферах. Так что никакой кибербезопасности (по крайней мере в государственном секторе) в Украине не существует. И, конечно, этим пользуются и преступники, и Россия: они просто ходят в государственных системах, как у себя дома.
Сейчас Альянс прекратил всю свою деятельность? Даже разведывательную по сепаратистам и россиянам?
Мы продолжаем следить за наиболее интересными источниками, но пока абсурдное, сфабрикованное дело против наших активистов не будет остановлено и перед нами не извинятся – ни о каком сотрудничество с государственными структурами не может быть и речи.
Последний вопрос. Если мне не изменяет память, уже при Зеленском вас приглашали в СНБО говорить о кибербезопасности. Та встреча принесла какие-то результаты?
Какое-то медленное движение уже началось. И СНБО, и Госспецсвязь, и другие субъекты кибербезопасности, думаю, начали осознавать масштабы задач, которые нужно реализовать в этой сфере. Но до реальных результатов еще очень далеко.
