После Petya. С любого компьютера можно хакнуть пол-Украины

Вчера была печальная годовщина. Ровно два года назад, 27 июня, зловредный компьютерный вирус пронесся ураганом по Украине и другим странам и парализовал работу тысяч предприятий.

Как говорит эксперт по информационной безопасности Константин Корсун, вирус Not Petya, по оценкам правительства США, принес убытков на $10 млрд. По его словам, зловред зацепил так или иначе каждое четвертое предприятие в нашей стране.  

После такого урока, как рассчитывал эксперт, мы должны были бы пойти по пути Эстонии и стать одной из сильнейших стран Европы в плане киберзащиты. Но этого не произошло. 

Госспецсвязи, по его мнению, не справляется с организацией в Украине комплексной системы защиты информации (КСЗИ). Так как ее методы устаревшие. Сертификаты на защиту выдаются, но это не говорит о том, что системы нельзя взломать.  

Заключение о наличии КСЗИ имеют на руках электронные ресурсы госороганов и некоторые украинские провайдеры. Группа киберэкспертов, не используя специальных средств, а просто при помощи обычного компьютера, в течение месяца искали уязвимые места в киберобороне Украины. 

Как говорит киберэксперт Александр Галущенко, в итоге в открытом доступе удалось обнаружить дыры, которые несут серьезную угрозу для стабильности работы систем державы. 

По его словам, их исследование показало: объекты критической инфраструктуры в Украине не защищены. И если начнется массированная атака на них со стороны агрессора, последствия могут оказаться печальными. 

“Украина не готова на сегодняшний день к повторной атаке уровня NotPetya", – подчеркнул Андрей Перевезий. Только за последнюю неделю он узнал о пяти случаях шифрования данных вирусами в крупных компаниях страны. И алгоритм был точно такой же, что и у вируса в 2017 году. По его словам, только 7% бизнесменов сделали выводы после киберапокалипсиса двухгодичной давности и защитились. А у госструктур он изменений не видит вообще.  

Теперь кейсы. Андрей Перцюх, эксперт по кибербезопасности компании ИТ-Лаборатория, утверждает, что исследователи уязвимостей не использовали средств активного поиска. “Фактически мы не делали взломы – смотрели то, что открыто и доступно каждому. Часть данных до сих пор остается доступными в интернете", – говорит Перцюх.

Далее со слов эксперта. Полную пресс-конференцию можно посмотреть на YouTube.

1. Укрпошта

Очень много информации в открытом доступе у Укрпочты. Мы даже не могли обработать весь массив. Перед вами расшаренный диск с каталогами. По их названиям можно сделать вывод о содержании информации и ее степени критичности. Отчеты, информация о выдаче пенсий и т.п. 

2. Жилой комплекс Гелиос

Мы взяли этот пример как один из самых ярких. В ЖК Гелиос в открытом доступе лежит информация о системе управления разными автоматизированными системами здания. Можно даже немного поуправлять насосами, заглушками и всем остальным. [На фото ниже] – интерфейс управления, где можно включить и выключить разные насосы и системы циркуляции воздуха. 

Также есть логи работы системы – она полностью открыта, нет паролей. Любой может зайти, прочесть, поуправлять. 

3. Энергоатом

У нас в свое время был спор с представителями Энергоатома. В открытом доступе была и продолжает появляться информация касательно систем защиты атомных электростанций. Например, протокольные фото датчиков, по которым были вопросы насчет брака. Также информация, которая содержит технологические данные по энергоблокам. Там целая масса документов по их обслуживанию и т.д. 

Ниже – описание блока аварийного сохранения данных в случае внештатной аварийной ситуации. Если вы знаете, как эта информация сохраняется, можно просчитать создание внештатной аварийной ситуации без возможности ее фиксации. 

Безусловно, вся информация, которая касается критических структур, сначала передается в соответствующие органы, от которых, как мы считаем, будет наиболее оперативная реакция. 

Выше – элементы чертежа энергоблока, которые специалисты смогут разобрать и понять степень критичности этой информации в общем доступе. Эксперты, которым мы давали посмотреть эту информацию, спрашивали, имеют ли они вообще право на это смотреть. Поэтому мы замылили большую часть. 

Остальную информацию мы решили не озвучивать, как критическую. 

4. Укрзалізниця

Мое мнение – УЗ осталась на 20-30 лет позади от современности. Алгоритмы мы замылили, чтобы не компрометировать. Но алгоритм шифрования очень слабый. Данные доступны онлайн в расшаренном виде. В нижнем углу – информация с открытыми ключами доступа к частной сети УЗ. Благодаря им можно зайти из интернета в эту часть частной сети. 

Ниже – еще расшаренная информация. Касается Львовской, Одесской, Южно-Западной, Приднестровской, Донецкой ЖД, центра обслуживания. В этих папках – контрольная информация по сетям тоже доступна. 

Локальные адреса мы замылили. Но если у вас есть доступ к локальной сети через VPN, соответственно, вся эта локальная сеть есть в полном доступе, можно понять, где что находится. 

И полностью – какая аппаратная часть используется на УЗ:

Это средства инвентаризации, инвентарная ведомость сети, где каждый модем и роутер обозначен, какое у него маркирование, как с кем он соединен, какими пользователями он соединен и через какой узел идет обмен информацией. 

Что пугает больше всего – операционная система. Хочу обозначить – даже если вы пользуетесь самой популярной ОС, то держать ее 10 лет после окончания поддержки просто нелогично. Здесь операционные системы обозначены: XP, Windows 7. 

Не нужно искать много уязвимостей, чтобы обеспечить остановку систем УЗ. Вы знаете операционные системы, которые используются, имеете VPN-доступ и знаете архитектуру сети. Этого более чем достаточно большинству киберспециалистов. 

5. Центр надання адміністративних послуг (ЦНАП)

Информация доступна по протоколу нешифрованного доступа – http, не https. Мы находили очень много таких ресурсов, но взяли ЦНАП, потому что он физически касается каждого человека. Если вы используете услуги ЦНАП, вы можете быть поражены, или информация по вам может утечь именно через методы, которыми пользуются злоумышленники – например, ARP Spoofing, чтобы перехватить, какими данными вы авторизуетесь.

Если ваши данные не подвергаются сквозному шифрованию, они могут быть перехвачены. 

На единый портал административных услуг также можно добраться без шифрования. 

6. Полиция

Есть у нас большое подозрение, что это система полиции. Вход также доступен без шифрования. Насколько это прямо используется, не будем утверждать, но этот вариант доступен.

Все форматы, в которых есть нешифрованный доступ, можно сделать как напрямую, так и отослав кому-то линк непосредственно на эту систему, не через шифрованный канал. И, соответственно, записав трафик, когда тот, кто перейдет по этому линку, будет авторизоваться. Поэтому это важный момент. 

Когда система разрабатывается нелепо, используются такие элементы, в которых информация об авторизации сохраняется в джаваскрипте, который находится на стороне клиента. Это вообще вызывает шок. Также вызывает шок использование таких простых комбинаций логин “admin" – пароль “admin".

Здесь вы можете видеть и сессионный ключ, и авторизационные данные к какой-то системе, модулю этой организации. 

7. Пульт охраны

Информация в открытом доступе. Расшаренная папка, которая содержит данные, касающиеся каждого – неважно, есть у вас интернет, пользуетесь ли вы компьютером или мобильным телефоном.

Это данные пульта охраны. На него стекаются данные про коды доступа к вашему охраняемому объекту, контактные лица, телефоны, статус объекта. Также доступно программное средство управления пультом – на нем видно, какие сработки сигнализации происходят. В пункте “Адрес" видно, что это сборные данные какой-то большой компании или даже госструктуры, которая занимается охраной. Наверняка утверждать не буду.

Один из объектов под охраной – здание смотрового радиолокатора. Не могу утверждать, что это военный объект и функционирует ли он до сих пор, но важен сам факт, что объект находится под охраной и видно состояние этой охраны. 

Есть информация, по каким маршрутам будут подъезжать машины охраны в случае срабатывания сигнализации. 

8. Страховая компания

Одна из больших страховых компаний, которая, к ее чести, очень оперативно отреагировала на информацию об утечке информации. Мы ждем от нее какого-то отчета и уведомления своих клиентов, что произошла утечка информации об их персональных данных (паспортные данные, какие услуги были получены, автомобили и их номера и т.д.). Мы замазали эту информацию. Но здесь полностью вся информация, которая была взята у клиентов. Включая информацию по странам, в которые человек собирался поехать, если страховка делалась по международным туристическим перемещениям. 

Эта компания буквально мгновенно нашла и закрыла уязвимость. Ждем, что они поделятся, как они решили проблему, какие средства на будущее применят, чтобы предотвратить утечку.

Один из факторов создания системы киберзащиты – то, что все делятся тем, какие у них были проблемы, и способами их решения. Обратите внимание, у вас может быть такая же, отреагируйте.