Битва на два фронти. Велике інтерв'ю із засновниками Українського кіберальянсу

3 березня 2020, 09:03
НВ Преміум

Обшуки за участі КОРДу та СБУ примусили Український кіберальянс призупинити співпрацю з держструктурами і розкрити особистості двох найвідоміших членів УКА, які переховуються під ніками Шон Таунсенд і Jeff.

Журналіст НВ Бізнес поспілкувався зі спікером Українського кіберальянсу Андрієм Барановичем (відомий як Шон Таунсенд) і лідером громадської організації Український кіберальянс Тімом (Артемом) Карпинським (відомий як Jeff) — про тиск силовиків і про те, чому білим хакерам довелося розкрити свої справжні імена.

Відео дня

Контекст. Що відомо про Український кіберальянс.

Український кіберальянс — спільнота українських кіберактівістів, до якої увійшли організації RUH8, FalconsFlame, Trinity і КіберХунта (завершила діяльність у лютому 2020 року). На рахунку організації понад два десятки акцій проти держави-агресора: злом пошти приймальні кремлівського «куратора України» Владислава Суркова, зломи Першого каналу, сайту Anna News, зломи Кирила Фролова, Інституту країн СНД, Міністерства оборони РФ, «військової комендатури» так званої «ДНР», «Міністерства вугілля і енергетики ДНР», листувань Олексія Мозгового (керівник бандформування «Призрак» т.зв. «ЛНР»), Арсенія Павлова («Моторолла») та інших.

Також активісти УКА ініціювали флешмоби #FRD і #паровозикоблачко, спрямовані на публічне розкриття інформації про вразливості українських державних інформаційних ресурсів і комерційного сектору України.

Хто під масками

— Ви публічно розкрили себе на прес-конференції, але для багатьох більше говорять ваші нікнейми, ніж реальні імена. Хто такі Андрій Баранович і Тім Карпинський?

Андрій Баранович (АБ):


Ми близько 20 років займаємося різними аспектами інформаційної безпеки.

Тім Карпинський (ТК)

Ми є незалежними експертами в галузі кібербезпеки. Наша спеціалізація — offensive security. Ми проводимо тести на проникнення і прогнозуємо операції, під час яких, припустимо, можливий злом нашого клієнта (як він міг би проходити і на що необхідно звернути увагу).

Також ми є одними із засновників Української групи інформаційної безпеки, входимо в команду організаторів кількох конференцій з кібербезпеки — я один із засновників та організаторів UISGCon (одна з найстаріших профільних конференцій у країні — авт.) І наразі ми входимо до групи організаторів NoNameCon (найбільша практична конференція з кібербезпеки в Україні — авт.).

Андрей Баранович и Тим Карпинский на пресс-конференции по поводу обысков у членов УКА (Фото: Наталья Чиж)

Андрей Баранович и Тим Карпинский на пресс-конференции по поводу обысков у членов УКА / Фото: Наталья Чиж

— Як давно з’явилися Шон Таунсенд і Джеф?

ТК: «Багато місяців минулого з того часу…». Вони «народилися» десь у 2014—2015 році.

АБ: Але все почалося до того, як з’явилися якісь нікнейми і публічні заяви. Уже в березні 2014 року з’явилося розуміння того, що у нас є певні можливості, і ми їх можемо використовувати в інтересах національної безпеки України. Тоді ж думаю, це не секрет) до нас почали звертатися з СБУ — їх цікавила наша думка про те, хто такі, наприклад, КіберБеркут, хто за ними стоїть…

ТК: Треба розуміти, що на 2014−2015 рік у тій же Службі безпеки України вже не кажу про поліцію) компетенція в проведенні кібероперацій, кібервійни і кіберрозвідки була, приблизно, нуль цілих, нуль десятих. До нас зверталися за консультаціями, тому що у нас вже був якийсь рівень компетенції — ми тривалий час в цьому бізнесі, займалися відповідним консультуванням.

Нашу першу операцію ми провели перед Великоднем 2014 року, у березні. Це був колабораціоніст, ім'я його називати не буду.

АБ: Додам тільки, що проти нього було порушено кримінальну справу за статтею «зрада батьківщини», він у подальшому обіймав керівні посади у невизнаній так званій «Луганській Народній Республіці»…

Пізніше, приблизно за рік після першої операції, ми зрозуміли, що для того, щоб домогтися якогось значного ефекту, вплинути на події, потрібно створити об'єднання. Так з’явилася група RUH8 (Баранович і Карпинський були учасниками цієї групи — авт.), стали з’являтися інші аналогічні групи, які в березні 2016 року об'єдналися для спільних дій та обміну інформацією в Український кіберальянс. Днями УКА як об'єднанню виповнюється чотири роки.

Інформація, зокрема, передавалася до правоохоронних органів. Насамперед — до Служби безпеки України: у департаменти контррозвідки (ДКР СБУ), контррозвідувального захисту інтересів держави у сфері інформаційної безпеки (ДКІБ СБУ)…

ТК: Загалом кажучи, немає в Україні жодного правоохоронного органу, з яким ми не працювали, який би не консультували.

Тим Карпинский (в центре) и тогда ещё руководитель Департамента киберполиции Сергей Демедюк (справа) и теперь уже экс-руководитель ДКИБ СБУ Николай Кулешов (слева) на конференции NoNameCon (Фото: Владимир Кондрашов)

Тим Карпинский (в центре) и тогда ещё руководитель Департамента киберполиции Сергей Демедюк (справа) и теперь уже экс-руководитель ДКИБ СБУ Николай Кулешов (слева) на конференции NoNameCon / Фото: Владимир Кондрашов

АБ: Отримана від нас інформація ними використовувалася. Іноді цьому є навіть документальні підтвердження. Наприклад, листи від прокуратури АР Крим про порушення кримінальної справи про незаконне постачання всеможливої сировини в окупований Крим через порти півострова.

Тобто, відбувалося якесь неформальне спілкування із владою, яким усі сторони були задоволені. Ми — тим, що інформація використовується, вони — отриманими матеріалами для роботи, які вже потім перевірялися своїми способами і використовувалися на благо нашої країни.

Заразом ми також займалися питаннями інформаційної безпеки державного сектору. Тому що відповідальність за те, що відбувається в комерційному секторі, несуть власники і керівники бізнесу, а державний сектор — наша спільна відповідальність. У державних інформаційних ресурсах обробляються величезні обсяги інформації і дуже часто ці сайти, ці системи, не захищені. При цьому, жодних «хакерських прийомів» ми не можемо використовувати, оскільки чудово знаємо, де проходить межа між видимою вразливістю і втручанням у роботу автоматизованих систем. Якщо ми бачили, що у якійсь організації буквально «ключ від дверей лежить під килимком», ми їх попереджали.

ТК: Іноді ключ від цих дверей лежав безпосередньо на килимку, а іноді — був встромлений у двері…

АБ: Ми їх про це попереджали. Але з’ясувалася одна неприємна річ: не тільки ми, а й інші дослідники безпеки надсилали розпорядникам цих об'єктів описи вразливостей або якихось вже здійснених зломів кримінальними елементами, ворожими хакерами, але все це ігнорувалося роками. Писати кудись у службу реагування на надзвичайні комп’ютерні інциденти (CERT-UA при Держспецзв’язку), кіберполіції або СБУ з цих питань було практично марно.

Доходило до смішного — я передаю інформацію, що елемент критичної інфраструктури знаходиться у відкритому доступі, а мені передають, що туди приходили співробітники СБУ з перевіркою, а їм сказали «ми нічого не можемо зробити, це не важливо, нас це не стосується». Тобто, держсектор навіть між собою не може ніяк домовиться. Навіть коли йдеться про критичну інфраструктуру — водоканал або електростанцію.

Тому ми обрали іншу стратегію. Ми стали повідомляти про вразливість публічно, але так, щоб не нашкодити тим же установам і підприємствам — затираючи інформацію, яка могла б допомогти зловмисникам скористатися вразливістю. Тобто, ми показували, що існує можливість злому, але ніколи нічого не зламували.

— Як реагували на такі повідомлення?

АБ: Хтось говорив спасибі, комусь — дуже не подобалося. Іноді виникали скандали.

Один з перших таких — скандал з Херсонською облрадою восени 2017 року. Нами була виявлена уразливість, але вони, не розібравшись, відразу написали заяву до кіберполіції. Пізніше спікеру облради пояснили, що ніякого злочину тут немає, що це просто вразливість, і в будь-який момент там можуть з’явиться не дружні українські фахівці, а російські хакери, і винести звідти всю інформацію, зруйнувати систему або зробити ще гірше. Після цього вони вибачилися, сказали «спасибі» за нашу роботу, і забрали заяву з поліції.

Переконати тоді Херсонську облраду допомогла Катя Ганзюк, за що ми їй дуже вдячні… Її, на жаль, більше немає з нами, а її вбивство досі не розслідувано до кінця.

Так і тривало: якщо вразливість критична, ми завжди намагалися повідомити СБУ, щоб вони вжили необхідних легальних заходів, щоб уразливості закрити. Іноді публікували відразу інформацію про вразливість у відкритому доступі, але так, щоб нікому не нашкодити, а просто присоромити розпорядників цих систем, щоб вони закривали дірки самостійно.

Двома цими напрямками — пошуком і аналізом інформації про Російську Федерацію, яка веде з нами війну шість років поспіль, і захистом вітчизняних систем — ми і займаємося.

— Як оформлювалася співпраця?

ТК: Офіційно жодних паперів про співпрацю підписано не було і бути не могло. Ті, контакти, які були у нас з правоохоронними органами, здійснювалися або через особисті знайомства, або, знову-таки, на «опосередкованих особистих контактах».

У нас були особисті контакти в багатьох департаментах, наприклад — у Департаменті кіберполіції, з яким ми дуже добре і тісно працювали в плані розкриття кіберзлочинів.

— Навколо УКА ходили чутки, що кіберальянс — мало не офіційний підрозділ СБУ…

ТК: Ми ніколи не перебували на держслужбі і вже тим паче ніколи не підписували жодних контрактів про проходження служби в рамках СБУ, кіберполіції або інших органів.

АБ: Ми не військові. Погонів ніколи не носили. Ми цивільні особи.

— Чому Шон Таунсенд і Джефрі?

ТК: В той час ніхто не замислювався, що ми цим будемо займатися настільки серйозно. Те, що перше спало на думку — те і спало.

АБ: До цього у мене у Facebook перший аккаунт називався Рос Хейтфілд, але адміністрація соцмережі його забанила за використання неіснуючого імені. Було одне неіснуюче ім'я — стало інше…

— Ви активно співпрацювали з правоохоронцями, але, тим не менш, за нашими даними, до Шона Таунсенда в 2018 вже «приходили в гості» силовики. Як так?

ТК: Це була абсолютно незрозуміла ситуація, яка вирішилася позитивно: правоохоронці прийшли до висновку, що сталася жахлива помилка. Коріння цієї помилки росте, чомусь, в Одесі.

АБ: Я можу трохи розповісти детальніше. В ході пошуку вразливостей в інформаційних ресурсах, знаходилися, зокрема, справжні зломи, здійснені ворогами. Таке було з Донецькою ОДА (Системами Донецької обласної військово-цивільної адміністрації — авт.): Туди «залізли» хакери з Самари. Ми виявили, що вони проникли у внутрішню мережу, вкрали паролі системних адміністраторів з Краматорська. Нами негайно було повідомлено СБУ, Держспецзв’язок та сама обласна адміністрація, завдяки чому сайт вдалося вимкнути до того, як з військово-цивільної адміністрації все «потекло» до Росії.

Показати ще новини
Радіо НВ
X