Не латаете дыры — тогда мы идём в СМИ. Как «белые шляпы» строят кибербезопасность в Казахстане

1 комментарий
Не латаете дыры — тогда мы идём в СМИ. Как «белые шляпы» строят кибербезопасность в Казахстане

Четыре года назад группа энтузиастов из Казахстана основала первую в стране частную службу реагирования на киберинциденты. 30 «хакеров в белых шляпах» ищут уязвимости в государственных веб-ресурсах, проводят показательные «атаки», пишут письма в профильные министерства и ведомства, чтобы обратить внимание чиновников на дыры в информационной безопасности страны. Они не только «создают всем неудобства», но и «толкают в спину» страну: за два года Казахстан поднялся в Глобальном рейтинге киберготовности на 26 строчек: со 109 на 83 место (Беларусь в прошлом году заняла 39-е место). В следующем году, уверен директор Центра анализа и расследования кибератак Арман Абдрасилов, казахи могут оказаться в полусотне лидеров.

Рассказывая о ЦАРКА, Арман Абдрасилов подчёркивает, что это первый и пока единственный в Казахстане частный CERT (cлужба реагирования на киберинциденты, computer emergency response team).

— Мы занимаемся анализом и предотвращением кибератак, а также компьютерных преступлений, реагируем на инциденты и, безусловно, способствуем развитию института цифровой гигиены в Казахстане. Мы тесно сотрудничаем с государственными органами, нередко критикуем государственный CERT — РГП ГТС, просим их пересмотреть какие-то  подходы, а также отдать некоторые вещи «рынку».

ЦАРКА была создана почти одновременно с появлением сайта электронного правительства Казахстана: «белые хакеры» нашли несколько критических уязвимостей и написали письмо в Министерство информации и коммуникации, которое курировало запуск egov.kz.  

— В ответ пришло: «Спасибо за бдительность!». И уточнение, что есть профильный отдел, который занимается своей работой.

«Ударил по голове компьютером, душил кабелем от мыши»

И тем не менее, «прошло несколько месяцев, а бреши на сайте оставались незакрытыми, данные пользователей «гуляли в даркнете». Переписка в течение нескольких месяцев с министерствами и ведомствами, и даже с администрацией президента, — результатов не дала. В итоге «этичные хакеры» махнули рукой на чиновников и просто опубликовали данные об утечках в Facebook.

— И результат впечатлил: «дыра», сквозь которую просачивались данные пользователей, была закрыта всего за 30 минут.

Специалисты ЦАРКА и в последующем не раз прибегали к этому методу решения проблем: если владелец ресурса, которому сообщалось о проблеме, не решал её — кейс расходился по СМИ.

Так «белые хакеры» показали всем, что «взломать» домен gov.kz и получить доступ к управлению сайтами государственных органов — дело 10 минут. Нашли и продемонстрировали «бреши» на сайтах Министерства обороны, мэрии Астаны и сотовых операторов.

«Уголовный кодекс работает на хакеров, а не экспертов по кибербезопасности»

Арман Абдрасилов отмечает, что «официально в Казахстане нет киберпреступлений».

— Из-за низкой квалификации МВД в области расследования киберпреступлений возник серьёзный кризис доверия: жертвы атак не пишут заявлений.

В прошлом году РГП ГТС зафиксировало около 100 тысяч инцидентов, из которых в МВД было передано только несколько дел, остальное — в стол. МВД такие преступления не нужны, так как это стопроцентные «висяки», которые портят без того плохую статистику раскрываемости, и поэтому даже не включаются в официальную статистику.

По данным прокуратуры, в год в Казахстане регистрируется всего около 100 заявлений в сфере информатизации, большая часть из которых — из разряда: «ударил по голове компьютером» или «душил кабелем от мыши». Но, вращаясь в этой среде, мы знаем, что в банках периодически происходят инциденты, — просто их руководство никуда не передаёт информацию о них.

Арман Абдрасилов приводит данные от Group-IB: по их информации, в Казахстане около 60 тысяч заражённых смартфонов, а компьютеров и других устройств — в несколько раз больше.

— Пользователи, естественно, даже не знают об этом. А если «нет тела — нет и дела», как любят говорить в полиции: к сожалению, для начала процессуальных действий нужно заявление от пострадавшего.

По словам Армана, не так давно специалисты ЦАРКА обнаружили в Казахстане более тысячи заражённых маршрутизаторов MikroTik. Они передали передали информацию с их ip-адресами в РГП ГТС.

— Пришёл ответ, что только 10 из этих устройств принадлежат государственным органам. Оставшиеся 990 — то есть 99% «не представляют для нас интереса». Национальный CERT дал нам понять, что это не входит в задачи госслужбы реагирования на инциденты, — и пусть сами пользователи решают свои проблемы.

«Когда становится понятно, что хакер — гражданин другой страны, расследование захлёбывается в бюрократических процедурах»

Специалисты ЦАРКА обратились в Генеральную прокуратуру за разъяснениями, в чью зону ответственности должен входить контроль за остальными заражёнными маршрутизаторами MikroTik. Так по мнению Армана Абдрасилова, эту работу мог бы взять на себя оператор — отслеживать и отключать абонентов от сети до устранения проблем. Однако нужно, чтобы это вменили в обязанность операторам.

— Это «неудобный» для всех прецедент, но с его помощью мы создаём правоприменительную практику: ведь именно так в последующем будут решаться остальные подобные вопросы.

Директор ЦАРКА надеется, что этот случай также позволит со временем прописать в уголовном кодексе возможность возбуждать дело и начинать процессуальные действия по заявлению третьей стороны или даже анонимному сообщению.

— Сейчас, если мы сообщаем об уязвимости, то у МВД возникают вопросы к нам самим о том, как мы об этом узнали. Они даже могут вменить нам статью за неправомерный доступ: в данном случае уголовный кодекс работает на хакеров, а не экспертов по кибербезопасности.  

«У хакеров есть своя «карма»

— Как вы отвечаете на вопрос, каким образом узнаёте об угрозах и атаках?

— Какие-то вещи находим в даркнете: люди делятся информацией на хакерских форумах, а также продают за деньги. Кроме того мы обязательно отслеживаем все публикации об уязвимостях — и сканируем сети по свежим сигнатурам.

— Как часто специалистов ЦАРКА нанимают для расследования киберпреступлений в Казахстане?

— Крайне редко: дело в том, что в обычных компаниях мало кто понимает, что дальше делать с результатами такого расследования: сделать выводы из своих ошибок, закрыть «бреши» и попытаться не наступить на те же грабли снова. Как правило, все банки проводят расследования собственными силами. У них в штате есть специалисты с соответствующей квалификацией. К нам время от времени обращаются финтех-компании.

— Бывали ли случаи, когда вам так и не удавалось понять, откуда возникла проблема?

— Да, хакеры нередко неплохо заметают «следы», применяют ТОРы, используют зарубежные сервера. В таком случае всегда возникает вопрос честного взаимодействия с соответствующими иностранными службами.

— Расскажите, что происходит, когда вы находите источник атаки: заводится ли дело, передаётся ли в суд?

— Нет, у нас такого опыта не было. Когда становится понятно, что хакер — гражданин другой страны, расследование захлёбывается в бюрократических процедурах, и дело буксует. Обычно расследование показывает, каким путём проникли в сеть злоумышленники, и как были украдены те или иные данные. Имея логи и журнал событий, мы можем воспроизвести все действия злоумышленников, и закрыть линию атаки, но узнать, куда ведут «следы», — лишь в редких случаях.

— Вы с кем-нибудь кооперируетесь в борьбе за кибербезопасность?

— В основном мы всё делаем своими силами. И я объясню почему: мы занимаем очень активную гражданскую позицию — всё время пытаемся предавать огласке проблемные вопросы, выносим их на публику, и мы боимся, если мы объединимся с какими-то компаниями, нас обвинят в лоббировании их интересов.

По теме
Все материалы по теме

— За счёт чего существует ЦАРКА?

— Мы оказываем услуги: проводим аудит информационных ресурсов и инфраструктуры компаний, чтобы выявить и предотвратить потенциальные угрозы и снизить риски для бизнес-процессов. Также у нас есть подразделение, которое разрабатывает наше собственное ПО для мониторинга безопасности сайтов.

Мы приняли для себя стратегию с убыточностью на несколько лет, в течение которых будем развиваться, наращивать «мускулы» — и в то же время помогать «созреть» рынку. Это не совсем стандартный путь, но мы видим потенциал, и бьём и бьём в одну точку — со временем мы создадим новую отрасль.

— Когда вы планируете выйти на самоокупаемость?

— У нас есть запас «прочности» ещё на год, а дальше команда должна зарабатывать, — мы же не можем вечно работать себе в убыток.  

За сертифицированными экспертами ЦАРКА наблюдают, в том числе иностранные компании: за несколько лет работы стоимость нашей команды возросла многократно. И если мы не сможем работать в Казахстане, будем рассматривать вариант с релокейтом — нам поступали выгодные предложения, в том числе из Беларуси.

— Расскажите о своей команде: есть ли среди ваших экспертов хакеры в прошлом?

— Нет, мы не доверяем и не хотим иметь ничего с ними общего, по большому счёту, — это обычные преступники. Мы из тех, кто называет себя «белыми шляпами», — хакеры-исследователи: они сообщают разработчикам об обнаруженных уязвимостях, публикуют статьи в средствах массовой информации, и тем самым продвигают индустрию кибербезопасности.

— Как вы проверяете «скелеты» в шкафу своих сотрудников?

— А мир не так так велик, как кажется. Специалисты по кибербезопасности знают друг друга напрямую или как минимум заочно. У хакеров есть своя «карма», определённое место в рейтингах на специализированных форумах — и это сложно скрыть.

— В этом году Казахстан занял 83 место из 165 в глобальном рейтинге кибербезопасности. В этом есть и заслуга специалистов ЦАРКА?

— Есть, и мы надеемся, что с следующем году Казахстан попадёт в ТОП-50 или даже ТОП-30 стран — мы очень много сделали для этого. В частности мы отстояли перед чиновниками необходимость принимать всерьёз и сам рейтинг, и требования, которые выдвигает Международный союз электросвязи.

Постепенно совместными усилиями мы закрываем пункты из списка Международного союза электросвязи, выполняем их условия, и страна поднимается выше и выше в рейтинге: ещё два года назад она не входила и в первую сотню.


Руководитель минского офиса российской частной компании по расследованию киберпреступлений Group-IB Александр Сушко:

— Насколько мне известно, частных служб реагирования на киберинциденты, подобных ЦАРКА, в Беларуси нет. В настоящее время частный бизнес в нашей стране в основном зарабатывает деньги, и не думает о том, чтобы обеспечивать информационную безопасность страны — госпрорталов, госорганов, граждан. По моему убеждению, такие организации могут рождаться лишь внутри страны. И поэтому релокейт ЦАРКА или полный перенос их технологий сюда вряд ли возможен: казахские специалисты знают свои особенности, а в Беларуси нужны те, кто знал бы местные особенности.


Выражаем благодарность Human Constanta и hoster.by, организаторам публичной лекции, преивента к Форуму по управлению интернетом, за помощь в подготовке материала.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Читайте также

hoster.by пытался взломать dev.by
hoster.by пытался взломать dev.by

hoster.by пытался взломать dev.by

Разработчики сайта были к этому готовы: hoster.by тестировал нас на проникновение, три дня искал уязвимости в системе безопасности. Теперь рассказывает, что удалось и как не попасть под хакерскую атаку.
13 комментариев
Троян атакует компьютеры белорусских госструктур
Троян атакует компьютеры белорусских госструктур

Троян атакует компьютеры белорусских госструктур

1 комментарий
Чем опасна удалёнка? 6 советов, как защитить себя и коллег
Чем опасна удалёнка? 6 советов, как защитить себя и коллег

Чем опасна удалёнка? 6 советов, как защитить себя и коллег

Планы обеспечения непрерывности бизнеса и восстановления после сбоев разрабатываются для тех случаев, когда организации необходимо быстро приостановить процесс нормальной работы из офиса в случае возникновения факторов, которые могут сделать небезопасным перемещение сотрудников к месту работы — отключение электричества, распространение болезней или стихийное бедствие. Такой план должен включать в себя возможность быстрого перевода сотрудников на удаленный формат работы.
«13 тыс. атак». Как Group-IB будет бороться с киберпреступностью в 2020
«13 тыс. атак». Как Group-IB будет бороться с киберпреступностью в 2020

«13 тыс. атак». Как Group-IB будет бороться с киберпреступностью в 2020

1 комментарий

Обсуждение

1

Не знаю как там в Казахстане, но зачем в Беларуси вообще рисковать и искать уязвимости в сервисах белорусских компаний, особенно с государственной формой собственности. Это риск что все обернут против тебя, скажут вообще зачем ты туда полез, тебя никто не просил и тп и тд.
Про выплату bug bounty речи и не идет. Это должно идти от самих компаний в первую очередь, они должны думать об этом. Да и что говорить, даже софт который разрабатывается в Беларуси только единицы имеют такие программы выплат за найденные уязвимости, и то, это ПО не для Беларуси, например Fitbit, Mapbox. Даже у Viber нету своей программы выплаты за найденные уязвимости, как они вообще могут упоминать слово secure в описании своего мессенджера?
И странно, к чему эта статья, отношения к Беларуси 0.
Напишите лучше хотя бы например про тот же Fitbit, Mapbox что они получают от того, что имеют публичные программы выплат за найденные уязвимости.

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже