Не латаете дыры — тогда мы идём в СМИ. Как «белые шляпы» строят кибербезопасность в Казахстане

5 октября 2018, 09:04

Четыре года назад группа энтузиастов из Казахстана основала первую в стране частную службу реагирования на киберинциденты. 30 «хакеров в белых шляпах» ищут уязвимости в государственных веб-ресурсах, проводят показательные «атаки», пишут письма в профильные министерства и ведомства, чтобы обратить внимание чиновников на дыры в информационной безопасности страны. Они не только «создают всем неудобства», но и «толкают в спину» страну: за два года Казахстан поднялся в Глобальном рейтинге киберготовности на 26 строчек: со 109 на 83 место (Беларусь в прошлом году заняла 39-е место). В следующем году, уверен директор Центра анализа и расследования кибератак Арман Абдрасилов, казахи могут оказаться в полусотне лидеров.

Рассказывая о ЦАРКА, Арман Абдрасилов подчёркивает, что это первый и пока единственный в Казахстане частный CERT (cлужба реагирования на киберинциденты, computer emergency response team).

— Мы занимаемся анализом и предотвращением кибератак, а также компьютерных преступлений, реагируем на инциденты и, безусловно, способствуем развитию института цифровой гигиены в Казахстане. Мы тесно сотрудничаем с государственными органами, нередко критикуем государственный CERT — РГП ГТС, просим их пересмотреть какие-то  подходы, а также отдать некоторые вещи «рынку».

ЦАРКА была создана почти одновременно с появлением сайта электронного правительства Казахстана: «белые хакеры» нашли несколько критических уязвимостей и написали письмо в Министерство информации и коммуникации, которое курировало запуск egov.kz.  

— В ответ пришло: «Спасибо за бдительность!». И уточнение, что есть профильный отдел, который занимается своей работой.

«Ударил по голове компьютером, душил кабелем от мыши»

И тем не менее, «прошло несколько месяцев, а бреши на сайте оставались незакрытыми, данные пользователей «гуляли в даркнете». Переписка в течение нескольких месяцев с министерствами и ведомствами, и даже с администрацией президента, — результатов не дала. В итоге «этичные хакеры» махнули рукой на чиновников и просто опубликовали данные об утечках в Facebook.

— И результат впечатлил: «дыра», сквозь которую просачивались данные пользователей, была закрыта всего за 30 минут.

Специалисты ЦАРКА и в последующем не раз прибегали к этому методу решения проблем: если владелец ресурса, которому сообщалось о проблеме, не решал её — кейс расходился по СМИ.

Так «белые хакеры» показали всем, что «взломать» домен gov.kz и получить доступ к управлению сайтами государственных органов — дело 10 минут. Нашли и продемонстрировали «бреши» на сайтах Министерства обороны, мэрии Астаны и сотовых операторов.

«Уголовный кодекс работает на хакеров, а не экспертов по кибербезопасности»

Арман Абдрасилов отмечает, что «официально в Казахстане нет киберпреступлений».

— Из-за низкой квалификации МВД в области расследования киберпреступлений возник серьёзный кризис доверия: жертвы атак не пишут заявлений.

В прошлом году РГП ГТС зафиксировало около 100 тысяч инцидентов, из которых в МВД было передано только несколько дел, остальное — в стол. МВД такие преступления не нужны, так как это стопроцентные «висяки», которые портят без того плохую статистику раскрываемости, и поэтому даже не включаются в официальную статистику.

По данным прокуратуры, в год в Казахстане регистрируется всего около 100 заявлений в сфере информатизации, большая часть из которых — из разряда: «ударил по голове компьютером» или «душил кабелем от мыши». Но, вращаясь в этой среде, мы знаем, что в банках периодически происходят инциденты, — просто их руководство никуда не передаёт информацию о них.

Арман Абдрасилов приводит данные от Group-IB: по их информации, в Казахстане около 60 тысяч заражённых смартфонов, а компьютеров и других устройств — в несколько раз больше.

— Пользователи, естественно, даже не знают об этом. А если «нет тела — нет и дела», как любят говорить в полиции: к сожалению, для начала процессуальных действий нужно заявление от пострадавшего.

По словам Армана, не так давно специалисты ЦАРКА обнаружили в Казахстане более тысячи заражённых маршрутизаторов MikroTik. Они передали передали информацию с их ip-адресами в РГП ГТС.

— Пришёл ответ, что только 10 из этих устройств принадлежат государственным органам. Оставшиеся 990 — то есть 99% «не представляют для нас интереса». Национальный CERT дал нам понять, что это не входит в задачи госслужбы реагирования на инциденты, — и пусть сами пользователи решают свои проблемы.

«Когда становится понятно, что хакер — гражданин другой страны, расследование захлёбывается в бюрократических процедурах»

Специалисты ЦАРКА обратились в Генеральную прокуратуру за разъяснениями, в чью зону ответственности должен входить контроль за остальными заражёнными маршрутизаторами MikroTik. Так по мнению Армана Абдрасилова, эту работу мог бы взять на себя оператор — отслеживать и отключать абонентов от сети до устранения проблем. Однако нужно, чтобы это вменили в обязанность операторам.

— Это «неудобный» для всех прецедент, но с его помощью мы создаём правоприменительную практику: ведь именно так в последующем будут решаться остальные подобные вопросы.

Директор ЦАРКА надеется, что этот случай также позволит со временем прописать в уголовном кодексе возможность возбуждать дело и начинать процессуальные действия по заявлению третьей стороны или даже анонимному сообщению.

— Сейчас, если мы сообщаем об уязвимости, то у МВД возникают вопросы к нам самим о том, как мы об этом узнали. Они даже могут вменить нам статью за неправомерный доступ: в данном случае уголовный кодекс работает на хакеров, а не экспертов по кибербезопасности.  

«У хакеров есть своя «карма»

— Как вы отвечаете на вопрос, каким образом узнаёте об угрозах и атаках?

— Какие-то вещи находим в даркнете: люди делятся информацией на хакерских форумах, а также продают за деньги. Кроме того мы обязательно отслеживаем все публикации об уязвимостях — и сканируем сети по свежим сигнатурам.

— Как часто специалистов ЦАРКА нанимают для расследования киберпреступлений в Казахстане?

— Крайне редко: дело в том, что в обычных компаниях мало кто понимает, что дальше делать с результатами такого расследования: сделать выводы из своих ошибок, закрыть «бреши» и попытаться не наступить на те же грабли снова. Как правило, все банки проводят расследования собственными силами. У них в штате есть специалисты с соответствующей квалификацией. К нам время от времени обращаются финтех-компании.

— Бывали ли случаи, когда вам так и не удавалось понять, откуда возникла проблема?

— Да, хакеры нередко неплохо заметают «следы», применяют ТОРы, используют зарубежные сервера. В таком случае всегда возникает вопрос честного взаимодействия с соответствующими иностранными службами.

— Расскажите, что происходит, когда вы находите источник атаки: заводится ли дело, передаётся ли в суд?

— Нет, у нас такого опыта не было. Когда становится понятно, что хакер — гражданин другой страны, расследование захлёбывается в бюрократических процедурах, и дело буксует. Обычно расследование показывает, каким путём проникли в сеть злоумышленники, и как были украдены те или иные данные. Имея логи и журнал событий, мы можем воспроизвести все действия злоумышленников, и закрыть линию атаки, но узнать, куда ведут «следы», — лишь в редких случаях.

— Вы с кем-нибудь кооперируетесь в борьбе за кибербезопасность?

— В основном мы всё делаем своими силами. И я объясню почему: мы занимаем очень активную гражданскую позицию — всё время пытаемся предавать огласке проблемные вопросы, выносим их на публику, и мы боимся, если мы объединимся с какими-то компаниями, нас обвинят в лоббировании их интересов.

По теме
Все материалы по теме

— За счёт чего существует ЦАРКА?

— Мы оказываем услуги: проводим аудит информационных ресурсов и инфраструктуры компаний, чтобы выявить и предотвратить потенциальные угрозы и снизить риски для бизнес-процессов. Также у нас есть подразделение, которое разрабатывает наше собственное ПО для мониторинга безопасности сайтов.

Мы приняли для себя стратегию с убыточностью на несколько лет, в течение которых будем развиваться, наращивать «мускулы» — и в то же время помогать «созреть» рынку. Это не совсем стандартный путь, но мы видим потенциал, и бьём и бьём в одну точку — со временем мы создадим новую отрасль.

— Когда вы планируете выйти на самоокупаемость?

— У нас есть запас «прочности» ещё на год, а дальше команда должна зарабатывать, — мы же не можем вечно работать себе в убыток.  

За сертифицированными экспертами ЦАРКА наблюдают, в том числе иностранные компании: за несколько лет работы стоимость нашей команды возросла многократно. И если мы не сможем работать в Казахстане, будем рассматривать вариант с релокейтом — нам поступали выгодные предложения, в том числе из Беларуси.

— Расскажите о своей команде: есть ли среди ваших экспертов хакеры в прошлом?

— Нет, мы не доверяем и не хотим иметь ничего с ними общего, по большому счёту, — это обычные преступники. Мы из тех, кто называет себя «белыми шляпами», — хакеры-исследователи: они сообщают разработчикам об обнаруженных уязвимостях, публикуют статьи в средствах массовой информации, и тем самым продвигают индустрию кибербезопасности.

— Как вы проверяете «скелеты» в шкафу своих сотрудников?

— А мир не так так велик, как кажется. Специалисты по кибербезопасности знают друг друга напрямую или как минимум заочно. У хакеров есть своя «карма», определённое место в рейтингах на специализированных форумах — и это сложно скрыть.

— В этом году Казахстан занял 83 место из 165 в глобальном рейтинге кибербезопасности. В этом есть и заслуга специалистов ЦАРКА?

— Есть, и мы надеемся, что с следующем году Казахстан попадёт в ТОП-50 или даже ТОП-30 стран — мы очень много сделали для этого. В частности мы отстояли перед чиновниками необходимость принимать всерьёз и сам рейтинг, и требования, которые выдвигает Международный союз электросвязи.

Постепенно совместными усилиями мы закрываем пункты из списка Международного союза электросвязи, выполняем их условия, и страна поднимается выше и выше в рейтинге: ещё два года назад она не входила и в первую сотню.


Руководитель минского офиса российской частной компании по расследованию киберпреступлений Group-IB Александр Сушко:

— Насколько мне известно, частных служб реагирования на киберинциденты, подобных ЦАРКА, в Беларуси нет. В настоящее время частный бизнес в нашей стране в основном зарабатывает деньги, и не думает о том, чтобы обеспечивать информационную безопасность страны — госпрорталов, госорганов, граждан. По моему убеждению, такие организации могут рождаться лишь внутри страны. И поэтому релокейт ЦАРКА или полный перенос их технологий сюда вряд ли возможен: казахские специалисты знают свои особенности, а в Беларуси нужны те, кто знал бы местные особенности.


Выражаем благодарность Human Constanta и hoster.by, организаторам публичной лекции, преивента к Форуму по управлению интернетом, за помощь в подготовке материала.

Обсуждение