20 лютого український благодійний фонд «Повернись живим» оголосив збір на «кібернаступ ЗСУ». Українські хактивісти в ряді телеграм-каналів вже розкритикували кампанію. Редактор AIN.UA розповідає, що сталося.

Що за збір

В описі збору уточнюється, що мета кампанії – зібрати 50 млн грн на технічне забезпечення наступальних операцій кіберсил української армії. Що саме планують закуповувати, не розголошують з міркувань безпеки. Але результатом кампанії мають стати «обвалені комунікаційні канали ворога, уповільнена логістика російської армії, а також ідентифікація цілей та їх локацій, куди потім прилетить цілком невіртуальна відплата від ЗСУ», говориться в описі збору.

На момент публікації зібрано понад 1 млн грн із заявлених 50 млн. Приймаються донати як в національній, так і в іноземних валютах – доларах та євро.

Як зазначається на сторінці збору, «Кіберсилами» в «Повернись живим» називають військовослужбовців Збройних сил України, які вже виконують бойові завдання у віртуальному просторі. Ці завдання секретні, тому про них стане відомо лише по закінченню війни. І хоча таке обгрунтування має сенс, на сторінці збору досить небагато інформації для розуміння, на що саме потрібно 50 млн грн.

Але опис кампанії вже викликав обурення у спільноті професійних кіберспеціалістів.

Чому збір критикують

В першу чергу, кіберфахівці та хактивісти дивуються наявності в Україні кібервійська при ЗСУ. Не варто називати кіберопераціями DDoS-атаки, якими займається зокрема «IT-армія». Кібероперації – це зовсім інший рівень як підготовки спеціалістів так і вартості інструментарію. Відповідно, незрозуміло, що це за підрозділ, про який говорять у фонді, і на що він планує освоїти 50 млн грн.

«У складі ЗСУ немає кібервійськ, і природно, війська, яких немає, не можуть влаштувати «кібернаступ». Якщо гроші збираються на щось корисне, то варто було б чіткіше формулювати цілі проекту. Сайт містить 0 (нуль) інформації. Так, і саме формулювання «кібернаступ» звучить по-аматорськи», – прокоментував AIN.UA засновник «Українського кіберальянсу», відомий як Шон Таунсенд.

У розгорнутому коментарі AIN.UA кіберспеціаліст, СЕО HackControl та засновник порталу HackYourMom Микита Книш докладно розповів, що саме викликало питання у хактивістів.

«Перш за все, я хочу зазначити, що фонд «Повернись живим» зробив дуже багато для країни. Я б не хотів, щоб ми підривали довіру до волонтерського руху через невеличкий семантичний (я це багато разів підкреслюю) факап.

В описі збору сказано про кібервійсько, але в Україні на офіційному не засекреченому рівні не існує такої структури. Є лише розпорядження президента від 2021 року, де, відповідно до рішення РНБО він наказує Кабінету міністрів прорахувати ресурси, які необхідні для створення кібервійська. Вони повинні були створити структуру при ЗСУ, яка мала б займатися реальними кіберопераціями (а не атаками, бо це формулювання дуж розпливчасте), але «віз і нині там» – в реальності нічого так і не було створено.

Ми можемо лише здогадуватися, що в якихось спецслужбах – СБУ, ГУР, НАБУ – з високою долею вірогідності є якісь кіберфахівці, які десь щось роблять. Але єдиної структури при Міністерстві оборони, яка зветься кіберармією або кіберсилами, у нас немає.

Навіть якщо при ЗСУ були б якісь волонтери, які називають себе «кібервійськом», на мою думку, дуже погана ідея фінансувати їх через волонтерів. Уявіть, є високоякісний спеціаліст з великою кількістю сертифікатів, таких як CISSP + CEH + cPEN (Certified Information Systems Security Professional, Certified Ethical Hacker, Certified Penetration Testing Professional – такі сертифікати дуже дорогі, бо навчальні програми багато коштують) з середньоринковою зарплатню десь $5000-7000 на місяць. Ми запрошуємо його очолити нашу кіберармію і підписуємо контракт на три місяці. Але якщо ми фінансуватимемо це через волонтерські збори, то чи можемо ми назвати це «армією» чи взагалі якоюсь сталою структурою? Звісно ні! Структура, існування якої залежить від того, чи виділить пан з фонду гроші чи ні – не буде сталою та ефективною.

Більше того, якби волонтерські фонди почали фінансувати підрозділ при Міністерстві оборони, який займається кібератаками – це був би дуже небезпечний шлях. Хто платить – той замовляє музику. Я поясню.

Припустимо, існує якась група волонтерів, яка сидить в окремому підрозділі при ЗСУ і зве себе «кіберармією», і, наприклад, обробляє інформацію з мавіків, осінтить чи щось там збирають – їм потрібні дорогі відеокарти для обробки цих зображень. Фонд виділив трохи грошей на закупку цього обладнання, тому що Міноборони не закупає зараз ноутбуки, бо патрони потрібні більше. Якщо це так – це нормальна історія, так і треба писати: «Ми купили ноутбуки структурі ЗСУ, щоб люди могли працювати не на застарілому лайні».

А там що написано? Про якусь кібернаступальну операцію. І тут виникає питання: якщо ми наступаємо – то, значить, у нас є кіберзброя? Існує Pegasus, NSO Group, які створюють спеціальний софт, який, наприклад, дозволяє дистанційно зламувати телефони. Такий софт коштує мільйони. Тобто всі ті 50 млн грн, які збирає «Повернись живим», вистачить максимум на одну програмку. Але!

Такий софт можуть легально купувати та використовувати лише субʼєкти оперативних слідчих дій: Кіберполіція, НАБУ, ГУР, СБУ, Нацпол та інші структури. А тепер уявіть, що ліцензія на такий софт закупається через фонд: що заважає власнику цього фонду використовувати його у власних інтересах? Або ту «бойову одиницю», яка у цього фонду на зарплаті?

Щоб такого не було, є стаття 359 Кримінального кодексу України про незаконні придбання, збут або використання спеціальних технічних засобів отримання інформації. І це карається увʼязненням до 4 років. Ніхто не може завозити хакерський софт в Україну без ліцензії. І ще є стаття 361-1 ККУ про виготовлення або збут шкідливого програмного забезпечення, яка також карається кримінальною відповідальністю. Тобто якщо фонд збирається закупати кіберзброю, про це краще не писати, бо за це можна сісти – по факту це порушення ККУ.

Тому, при всій повазі до дуже крутого – топового! – фонду «Повернись живим», вони зробили помилку. Бо дезінформували українське суспільство, що у нас існує кібервійсько, яке де-факто не існує. Кіберармія – це не група «IT-army of Ukraine» на 200 000 підписників, які шось DDoSять. Професійні хакери називають таке «клуб школярів». Коли script kiddy (на сленгу хакерів, це людина, яка використовує хакерський софт, не розуміючи, як він працює) каже, що він купив щось для кібернаступальних операцій – у професіоналів це викликає посмішку.

І коли нам кажуть, що для того, щоб створити кіберармію, треба закупити трохи софту чи ноутбуків, чи серверів – це звичайне на***во (обман – ред.). На мою думку, волонтерів ввели в оману. Прийшов генерал, розказав, що створює якийсь кібер-шмібер і на це потрібно 50 лямів. І це викликало обурення професійних хакерів.

Насправді, для того, щоб створити кіберармію – треба просто навчити людей. Ми будемо навчати людей на базі КПІ – я особисто буду кожного тижня виділяти один день, щоб викладати безкоштовно для всіх, охочих лупашитись на кібервійні. Ми збираємо базу знань на сайті, щоб виховувати компетентних спеціалістів. А якщо закупити макбуки сотні некомпетентних людей, вони хакерами не стануть».

Що кажуть в «Повернись живим»

AIN.UA звернувся до фонду з проханням відповісти на зауваження кібербез-комʼюніті. «Повернись живим» надав розширений коментар, у якому розкрив більше інформації про збір та його мету. Наводимо його повністю, без змін та скорочень.

«Фонд компетентної допомоги армії «Повернись живим» у кожній закупівлі та у кожному проєкті допомоги Силам оборони України співпрацює з офіційними представниками і верифікованими запитами. Обмеження в можливості озвучувати деталі щодо суб’єкту чи самих закупівель жодним чином не впливає на цей процес і взаємодія є офіційною та верифікованою.

Щодо існування військових кіберів в Україні, то відповідно до указу Президента про створення кібервійськ, їх формування розпочалось зі створення нової військової частини Збройних Сил. Вона перебуває в підпорядкуванні одного з управлінь Генерального Штабу ЗС України і для забезпечення потреб її військовослужбовців реалізується цей проєкт. 

В подальшому формування кібервійськ буде закріплено окремим законом, який знаходиться в розробці.

Формулювання, використані у комунікації проєкту, погоджені з військовою частиною, для потреб якої був організований збір. Вся інформація про проєкт з нашого боку та з боку партнерів верифікується з військовими та виходить лише з їхнього дозволу.  

До «Повернись живим» письмово звернувся командир частини із запитом про допомогу для розбудови інфраструктури та збільшення спроможностей кіберборотьби, а саме закупівлі системного, мережевого та іншого обладнання для облаштування дата-центру. З огляду на специфіку завдань частини, розголошення інших деталей ставить під ризик їх виконання із можливим розкриттям інструментів, тактик, технік і процедур. Щойно це буде можливим, ми відкриємо деталі закупівель і, впевнені, що у майбутньому зможемо значно більше розповісти про цей збір, а також почути пряму мову військових, безпосередньо залучених до кіберборотьби.

Всі закупівлі в рамках проєкту відбуваються офіційно, з публічних рахунків Фонду «Повернись живим», а придбані технічні засоби будуть офіційно передані військовій частині актами «прийому-передачі» та поставлені на баланс її юридичної особи.  

Як і перед початком будь-якого збору, команда «Повернись живим» провела серію зустрічей із командуванням цієї військової частини. Наші фахівці оцінили важливість та потенційну користь обладнання, що має закуповуватись, в тому числі, з огляду і на продемонстровані торішні результати роботи частини. 

Крім того, це не перша допомога, яку ми надаємо цій військовій частині Збройних Сил. У 2022 році коштом благодійників «Повернись живим» її військовослужбовці отримали ноутбуки та модулі памʼяті до них загальною вартістю 8 мільйонів 797 тисяч 550 гривень. 

Зі свого боку ми готові усіляко сприяти діалогу між зазначеними представниками кіберсек-комʼюніті та представниками кібервійськ ЗСУ для посилення боротьби України у кіберпросторі. Ми переконані, що під час війни будь-які зауваження та навіть критика мають бути трансформовані у рішення для посилення країни у боротьбі із ворогом. Будемо раді, якщо цей діалог сприятиме посиленню української армії ще потужнішими кіберспеціалістами: як у складі ЗСУ, так і у форматі долучених експертів».

Згодом керівник «Повернись живим» зауважив у твіттері, що стався провал по комунікації кампанії, який і викликав питання у спільноти.

Чому це важливо

Фонд «Повернись живим» має бездоганну репутацію і допомагає ЗСУ з початку війни у 2014 році. Це одна з найзаслуженіших організацій, що працюють на перемогу. Звісно, безпека – понад усе, і дотримуватись її важливо, ворог не повинен дізнатися про плани ЗСУ.

У цьому конкретному випадку комунікація фонду вийшла недостатньо обгрунтованою, це викликало чимало питань. Мета матеріалу — пояснити, які питання виникли і представити відповіді представників фонду, які можливі для розголошення, аби уникнути непорозумінь.

У редакції AIN.UA немає сумніву, що команда «Повернись живим» працює на перемогу, закликаємо системно підтримувати цей та інші фонди.