Responsible disclosure (дословно: ответственное раскрытие) — это принцип компьютерной безопасности, описывающий модель раскрытия уязвимостей, при которой администраторам дается время на ее исправление. Говоря простыми словами, IT-специалист обнаруживает дыру в безопасности компьютера или сайта, и вместо использования в своих интересах, рассказывает о ней владельцам ресурса, чтобы те устранили сбой.
Ukrainian Cyber Alliance — сообщество проукраинских киберактивистов из разных уголков мира, которые объединились для противостояния агрессии РФ. Они на протяжении длительного времени исповедовали responsible disclosure: обнаруживали бреши в безопасности серверов госучреждений Украины и сообщали о них чиновникам. Через несколько месяцев хактивисты пытались снова использовать ту же уязвимость, чтобы проверить, насколько надежно ее залатали, и часто понимали, что никто даже и не пытался ничего сделать. И в конце 2017 года активисты UCA устали быть добрыми и ответственными.
Проследить, кто первым опубликовал найденную уязвимость в соцсетях, сложно, но флагманом и рупором флешмоба #FuckResponsibleDisclosure стал аккаунт в Фейсбуке, который подписан как Sean Brian Townsend (Шон Таунсенд). С октября по декабрь 2017 года он несколько раз в неделю публиковал дыры в кибербезопасности госорганов. Часто после публичной порки чиновники оперативно устраняли проблемы — флешмоб сработал.
«Не дивуйтеся такій поведінці Українського кіберальянсу. Це олдскул-спосіб швидко навести лад на окремо взятій ділянці інтернету. Так, це змушує нервувати дуже багато людей, але місія хакерів саме в цьому і полягає. Щоб люди, від безпеки чиїх систем залежить безпека інших людей, а саме нас з вами, буквально нервували та намагалися захиститися якнайкраще. #Бережіться», — прокомментировал флешмоб один из хактивистов Владимир Стиран.
Одним из самых громких кейсов в рамках флешмоба стало обнаружение компьютера, принадлежащего Главному управлению Нацполиции в Киевской области, который пускал всех желающих в сетевой диск «obmen Marina», не спрашивая пароль. На диске находилось 150 гигабайт информации областной полиции Киева: пароли, планы, протоколы, личные данные полицейских. Учитывая важность информации, Ukrainian Cyber Alliancе опубликовал только скриншоты, не выкладывая данных.
Cайт Судебной власти Украины хранил в открытом доступе сертификаты и пароли для генерации ключей пользователей. После того, как этому посвятили очередной эпизод #FuckResponsibleDisclosure, портал закрыл доступ к своим данным в течение часа.
На сайте Херсонского областного совета хактивисты получили доступ к незапароленному общему диску, на котором были документы, авиабилеты и аудиозаписи заседаний. А еще — там был вирус SambaCry, который работает по тому же принципу, что и нашумевший Petya. Причем он жил в системе сайта областного совета минимум полгода, но никто не обратил на это внимания.
Херсонский облсовет в ответ выпустил заявление, в котором утверждал, что сайт никто не взламывал, данные и так были в открытом доступе. Наличие на диске вируса чиновники оставили без комментариев.
К стыду украинских специалистов, которые должны защищать нашу страну в киберпространстве, активисты UCA не используют каких-то сверхсложных механизмов взлома: большинство уязвимостей, которые они находят — достаточно простые и не требуют специальных технических навыков.
«В Україні нічого не потрібно ламати, все дбайливо упаковано для виносу. Але ж ми попереджали», — пишет на своей страничке Шон Танусенд.
ПІДПИШІТЬСЯ НА TELEGRAM-КАНАЛ НАКИПІЛО, щоб бути в курсі свіжих новин