Самарагейт, эпизод 2. Как создателям «Самары» не удалось замести все следы

Иллюстрация: Алина Печенкина для Kloop.kg

Журналисты Kloop.kg нашли ещё больше доказательств того, что частный сайт «Самара» содержался на сервере Государственной регистрационной службы Кыргызстана (ГРС). Вполне вероятно «Самару» создали для влияния на президентские выборы 2017 года, а новые данные подтверждают, что ГРС была причастна к её работе.

Предыстория (если вы с ней знакомы, то можете пропустить):

В середине октября 2017 года граждане Кыргызстана избрали нового президента, Сооронбая Жээнбекова, который победил с результатом в 54 процента голосов.

Через 11 дней после выборов, 26 октября, журналисты Kloop.kg выпустили расследование о системе «Самара» — частном сайте с базой данных избирателей, который в течение месяца перед выборами содержался на сервере ГРС.

Согласному тому материалу, «Самара» представляла собой систему управления агитацией Жээнбекова, кандидатуру которого активно продвигал завершивший своё правление президент Алмазбек Атамбаев.

Опрошенные журналистами агитаторы из штаба Жээнбекова рассказали, что в этой системе они отмечали тех избирателей, за данные которых им заплатили деньги.

И хотя масштабы последствий деятельности «Самары» установить крайне сложно, сам факт нахождения этого сайта на сервере ГРС может быть грубым нарушением законодательства.

Установить факт содержания «Самары» на серверах ГРС помогли цифровые криминалисты из шведской организации Qurium: они извлекли детальную историю настроек доменов samara.kg и mls.kg, которые использовались для системы и направлялись на IP-адрес сервера ГРС как минимум с 13 сентября до дня выборов.

Одного лишь этого доказательства было бы мало — любой человек может направить свой домен на ip-адрес правительственного сервера.

Но всё то время, когда домены «Самары» направлялись на сервера ГРС, этот сайт успешно функционировал, чего не могло бы случиться без настройки сервера людьми, имеющими соответствующий уровень доступа. Исследователи из Qurium смогли убедиться в этом после анализа кэшированных версий сайта, а также на основании наблюдений пользователей и журналистов.

Иллюстрация: Алина Печенкина для Kloop.kg

Власти Кыргызстана категорически отрицают, что «Самара» когда-либо находилась на правительственном сервере. После публикации материала на Kloop.kg, ГРС, которая занимается администрированием сервера, провела внутреннее расследование и заявила, что «не нашла следов взлома».

Однако собранные доказательства говорят о том, что ГРС либо говорит неправду и пытается скрыть существование «Самары», либо настолько некомпетентна, что не знает, что происходит с их серверами.

ГРС пообещала подать в суд на авторов расследования. Редакция Kloop.kg положительно встретила новость о судебном разбирательстве, в надежде получить от ГРС аргументированные опровержения, которые власти всё ещё не предоставили.

На своей прощальной пресс-конференции президент Атамбаев назвал расследование «провокацией» и сказал, что публикация может обернуться против редакции Kloop.kg. Однако он также заявил, что Госкомитет нацбезопасности (ГКНБ) проверяет информацию относительно «Самары».

ГКНБ вызвал на допрос одного из авторов расследования, Рината Тухватшина, только 14 декабря.

Тухватшин был приглашён в качестве свидетеля и в ходе трёхчасового разговора поделился с сотрудниками ГКНБ всеми данными, которые имеются у редакции Kloop.kg о работе «Самары».

На момент публикации второго эпизода расследования, ГРС так и не подала в суд на Kloop.kg, но совершила грандиозный переезд всех своих сервисов и деактивировала тот ip-адрес, на котором содержалась «Самара».

Самарагейт, эпизод 2

Содержание:

Глава I. Следы, оставленные в спешке

О чем эта глава: Создатели «Самары» оставили цифровые следы, которые прямо доказывают, что правительственный сервер ГРС настраивали под домен mls.kg (один из доменов для системы «Самара»).

Сервера ГРС содержат десятки сайтов. Многие из них соединяются с защищенными базами данных с персональными сведениями граждан Кыргызстана.

Со слов председателя ГРС Дастана Догоева, это сложнейшая система безопасности, в которой никто не имеет прямого доступа к базе.

«Ни одна наша система, ни один публичный ресурс напрямую доступ к базе не имеет и не может иметь с точки зрения безопасности», — говорит Догоев.

Значит, чтобы настроить сайт на правительственном сервере, надо пройти, как минимум, три этапа: настроить сам сервер, а также базы данных и систему защиты от неавторизованного доступа («файрвол»).

Настройка сайта на нескольких этапах означает и обратное — при его удалении из всей системы надо избавиться от цифровых следов и вернуть все настройки в первоначальное положение.

Но это не всегда может пройти гладко. Например, можно удалить сайт с сервера, но забыть перенастроить систему защиты. В этом случае сайт будет недоступен обычным пользователям, но система защиты будет выдавать специфическую ошибку, если запросить доступ к удаленному сайту.

Похоже, именно это и случилось, когда «Самару» удаляли с сервера ГРС — те, кто это делал, не стерли все свои следы. Насколько это возможно, они удалили данные о домене samara.kg, но забыли про настройки системы безопасности под резервный домен mls.kg.

Исследователи из Qurium обнаружили, что на протяжении трех дней — с 15 по 17 октября — сервер ГРС через 60 секунд после запроса к домену mls.kg выдавал ошибку 504.

17 октября

Это значит, что система безопасности по-прежнему была настроена под домен mls.kg — система принимала запрос и пыталась найти этот сайт, не находила его и отвечала ошибкой 504.

Запрос других доменов, на которые сервер не был настроен (например, google.com), возвращал ошибку 301, причем без интервала в 60 секунд.

Сервер ГРС стал выдавать ошибку 301 при запросе домена mls.kg только после 18 октября — это говорит о том, что кто-то изменил настройки сервера относительно домена mls.kg.

18 октября

Начальник информационных систем «Инфокома» Эрик Табалдиев уверяет, что настройки сервера относительно доменов никто не менял.

«У нас каждое действие сотрудника — кто заходил с какого аккаунта — все логируется, даже то, что сотрудник вносит какие-то изменения в какие-то конфигурационные файлы. Мы посмотрели, в этих числах сотрудники вообще не авторизовывались», — говорит он.

Табалдиев не уточнил, чем целый день занимались сотрудники, которые ни разу не авторизовывались в рабочий день — изменение номера ошибки произошло в среду.

Объяснение для специалистов (если вы не знаток, то можете пропустить):

Технология защиты серверов ГРС относится к категории Reverse Proxy. При обращении к сайту в системе правительственных серверов запрос проходит через специальный файрвол. Он перенаправляет запрос на веб-сервер и после получения ответа перенаправляет этот ответ пользователю от своего имени.

Чтобы сайт работал в системе ГРС, надо настроить: веб-сервер, сервер баз данных и Reverse Proxy. Чтобы удалить сайт без следов, надо стереть настройки на всех этапах, и, похоже, что кто-то в ГРС забыл вернуть настройки Reverse Proxy в изначальное положение.

Читайте в следующей главе о том, что «Самара» и несколько государственных сайтов имеют одинаковый код, написанный в приложении, которое обычно использует госпредприятие «Инфоком» при ГРС.