Кіберзахист вищого ґатунку: тисячі державних установ використовують піратські або ламані програми, що можуть містити у собі шкідливе програмне забезпечення

“Ламане”, “піратське” програмне забезпечення, зазвичай, можна знайти на спеціальних сайтах – найчастіше це бітторент-трекери – і завантажити собі на комп'ютер безкоштовно. Проте, “піратські” програми можуть містити у собі шкідливі компоненти, що були туди додані під час “зламу”.

Зазвичай у “ламаних” програмах можна зустріти “кейлогери” (програми, що шпигують за тим, що ви натискаєте на клавіатурі), або програми-шпигуни, що крадуть файли визначеного типу з комп’ютера користувача і надсилають на комп’ютер зловмисника, або навіть програми, що можуть отримати повний контроль над вашим комп’ютером.

Власне додавання таких шкідливих програм (malware) зазвичай і є головною мотивацією людей, що зламують комерційне програмне забезпечення і безкоштовно викладають його онлайн.

Тобто, співробітники СБУ написали рекомендації з протидії кібератакам на “ламаному” програмному забезпеченні, використання якого ставить під загрозу їх власні комп'ютерні системи. Ідея цього матеріалу виникла одразу після цієї історії.

Яким чином можна визначити, що файли зроблені у “піратській” програмі

Багато типів файлів, наприклад зображень, аудіо або відео, або як у цьому випадку, файл docx ( відомий як “док”-файл) створеному у пакеті MS Office, містять метадані – зазвичай невидимі записи про те, за яких умов, коли і чим було створено цей файл, який тип файлу тощо. Деякі метадані додаються автоматично, деякі з них можна змінювати вручну у самій програмі.

Наприклад людина що створює “док”, або “ексель”-файл, має можливість додати назву компанії. Однак більшість ніколи цього не робить. Поле може бути відсутнім, залиштися пустим, або там може бути назва, яку додає зламаний варіант програми (таким чином її модифікували хакери). У якості такого автографу може бути псевдо “автора” зламу, назва хакерського колективу, або інші назви, що слугують своєрідним підписом. У файлі від СБУ це поле містило назву “SPecialiST RePack” – автограф дуже відомого автора зламаних “офісних” пакетів, скоріше за все з Росії. Серед іншого, він має профіль на російському спеціалізованому сайті rutracker, що поширює піратський контент. Станом на 26 січня docx-файл з сторінки СБУ все ще містить у полі Company запис “SPecialiST RePack”.

Назар Токар, програміст та автор подкастів про технології, через гугл-пошук знайшов на сайтах декількох українських державних установ ознаки того, що їх документи створюються у “ламаних” варіантах Office, і значить захист комп'ютерних систем у цих організаціях може містити дірки, якими можуть користуватися зловмисники, у тому числі, із Росії. У список потрапили, крім СБУ, Кабмін та окремі міністерства, міські ради, НАБУ, Верховна Рада, консульство в Торонто, тощо

Наскільки погана ситуація із піратськими програмами в українських держорганах? Ми вирішили подивитися на це більш масштабно. Для цього, ми використали два сайти, куди держустанови масово викладають свої файли. Після завантаження таких файлів, ми визначали які метадані він містить.

Перевірка data.gov.ua - порталу відкритих даних

Ми завантажили усі доступні файли, їх виявилося 276225. Найчастіше, метадані містяться у файлах популярних офісних пакетів Microsoft Office. Ми виділили такі формати: .doc, .docx, .xls, .xlsx, .rtf, .pdf, .xml. - таких файлів на порталі було 203632.

Близько 17%(~35 тисяч) із них мали в метаданих тег Company. Серед них 6.6 тисяч мали ознаки того, що були створені на піратському програмному забезпеченні:

Перевірка rada.gov.ua (Верховна Рада України)

Ми викачали файли супровідних документів зі сторінок близько 6000 законопроєктів IX, поточного скликання. Це 37886 файлів. У 31045 з них – поле Company не заповнене або пусте.

Для решти, результати наступні:

Про яку кібербезпеку та захист від нападів російських хакерів може йтися, якщо тисячі службовців державних органів, навіть у таких критичних установах як СБУ та МВС, використовують на своїх комп’ютерах “ламане” програмне забезпечення, що може містити у собі все, що завгодно? І це при тому, що існують вільні альтернативи (Libre Office), які не набагато поступаються комерційним аналогам.

Про яку кібербезпеку та захист від нападів російських хакерів може йтися?

До слова, відповідальність за використання піратського ПО несуть керівники підприємств.

Методологія

Як ми визначали, що офісний документ створений у піратській версії програми: за допомогою наступних тегів Company. Назви із цього списку залишають після себе піратські збірки офісних програм Microsoft:

Дані з детальними результатами перевірки двох порталів дивіться у таблицях

абзац безпека війна кібербезпека