Редакция Kloop.kg и шведские цифровые криминалисты нашли доказательства того, что один из правительственных серверов Кыргызстана содержал негосударственный сайт, созданный для влияния на избирателей во время президентских выборов.
Кратко: о чем расследование?
• Целый месяц на одном из важнейших серверов правительства Кыргызстана содержался негосударственный сайт samara.kg. Этот сервер принадлежит Государственной регистрационной службе, и через него можно получить доступ к личным данным всех граждан Кыргызстана: номерам паспортов, ИНН и биометрическим данным.
• Власти отрицают, что samara.kg содержалась на правительственном сервере, но все цифровые следы показывают, что они либо говорят неправду, либо сами не знают, что творится на их серверах.
• Анонимный активист взломал этот сайт за полтора дня до выборов президента Кыргызстана и передал информацию о нем журналистам. Он утверждает, что samara.kg представляла собой систему управления агитационной кампанией провластного кандидата Сооронбая Жээнбекова.
• Редакция получила свидетельства нескольких агитаторов из штаба кандидата Сооронбая Жээнбекова, которые подтвердили, что использовали «Самару» для учёта избирателей и контроля за голосами.
• Доступ к правительственному серверу с такими данными может серьезно облегчить ход агитационной кампании любого из кандидатов в президенты и ставит под угрозу безопасность личных данных граждан Кыргызстана.
• Сооронбай Жээнбеков выиграл президентские выборы, набрав более 54% голосов. Всего 4% отделило его от перспективы второго тура.
Часть 1. Как поломали «Самару»
Когда в сентябре 2017 года в Кыргызстане началась агитация перед президентскими выборами, с малоизвестным сайтом samara.kg случились кардинальные изменения.
Из страницы агентства недвижимости он превратился в систему менеджмента с личными данными граждан Кыргызстана.
Ключевое изменение произошло 13 сентября, на четвертые сутки предвыборной агитации — в этот день домен samara.kg направили с хостинговой площадки частной компании «Hoster.kg» на сервер с ip-адресом 212.112.124.142.
Этот сервер принадлежит Государственной регистрационной службе (ГРС) — ведомству, которое обрабатывает персональные данные всех жителей Кыргызстана.
Его используют для целого ряда государственных проектов, и в числе них — программа электронного правительства «Таза Коом», любимое детище президента Алмазбека Атамбаева и премьер-министра Сапара Исакова.
Месяц спустя, чуть более чем за сутки до выборов, активист под псевдонимом suppermario12 взломал сайт samara.kg и разослал письма о деятельности «Самары» нескольким новостным изданиям, включая Kloop.kg.
По сведениям активиста, «Самара» представляла собой систему менеджмента агитационной кампании с использованием административного ресурса — на сайте собирали данные избирателей и отмечали тех, кто будет голосовать за кандидата от президентской партии социал-демократов Сооронбая Жээнбекова.
В письме анонимный активист признался во взломе сайта и написал, что на нём хранились данные 2 млн избирателей. В качестве ответственного за создание этой системы suppermario12 назвал бывшего министра экономического регулирования Учкунбека Ташбаева, на которого был зарегистрирован этот домен.
«Данный господин (Ташбаев — прим. редакции) от имени государства курирует процесс подкупа голосов избирателей. Сегодня, 15 октября, в день выборов, на данном сайте домена, конечно же, вся информация уже изменена, и если его посетить сейчас, то вы увидите, что данный сайт предоставляет сервис по чистке ковров», — написал он тогда в своём письме средствам массовой информации.
В доказательство своих слов suppermario12 опубликовал видео, в котором объяснил принцип работы системы:
Несмотря на то, что suppermario12 выложил это видео в открытый доступ, оно не привлекло внимания средств массовой информации и рядовых пользователей — никто даже не оставил под ним комментариев, а ролик не набрал и тысячи просмотров.
Но в этом видеоролике было немало любопытного. Например, из него следовало, что одна из страниц сайта samara.kg представляла собой таблицу со столбцами «Цепочка», «ПИН», «Фамилия», «Имя», «Отчество», «Номер паспорта», «Телефон», «УИК», «Статус» и «Действия», которые были заполнены соответствующими данными.
В столбце «Цепочка» были указаны имена ответственных за работу над каждым избирателем, в «Статусе» был указано «одобрен» избиратель или нет, в «Действиях» — функция редактирования данных об избирателе.
В видеоролике также видно, что избирателей в этой системе делили на «поцелованных» и «непоцелованных». Suppermario12 считает, что таким образом помечали купленных или запуганных избирателей.
На видео можно заметить URL-адреса страниц (журналисты убедились в их достоверности), которые оформлены в соответствии с их предназначением:
• samara.kg/ivm/view/voter/controlAgitator.xhtml (избиратель/контрольАгитатор);
• samara.kg/ivm/view/voter/voterList.xhtml (избиратель/избирательСписок);
• samara.kg/ivm/view/voter/voterVisitor.xhtml (избиратель/избирательПосетитель).
Часть 2. Как была найдена связь с правительством
Сразу после письма от suppermario12, редакция Kloop.kg начала проверять его информацию на достоверность и связываться с теми, кого он назвал причастными к этой системе — это, как минимум, 47 человек, телефоны предоставил сам анонимный активист.
С помощью цифровых криминалистов из шведского фонда Qurium, которые предоставляют услуги по безопасному хостингу, журналисты издания нашли доказательства того, что сайт samara.kg действительно находился на сервере ГРС в период с 13 сентября по 13 октября.
Смотрите отчет Qurium по ссылке.
Основные доказательства — в истории настроек домена «Самары», который можно посмотреть при помощи сервиса Farsight DNSDB Service.
Эта история показывает, что на протяжении месяца домен samara.kg был направлен на правительственный сервер. Интервью с пользователями, снимки экрана, сохраненные в Гугле страницы доказывают, что сайт всё это время функционировал.
Qurium – шведская команда IT-специалистов, которая занимается цифровой защитой независимых СМИ в более 20 странах.
Например, они доказали, что DDoS-атаки на независимые азербайджанские СМИ были связаны с местной правительственной инфраструктурой.
Службы слежения за DNS (Farsight DNSDB service) зафиксировали изменения DNS-записей на NS-серверах hoster.kg — A-record домена samara.kg была изменена на IP-адрес правительственного сервера 212.112.124.142. При этом, сами данные WHOIS остались неизменными в регистраторе кыргызских доменов «Азия Инфо».
Редакция Kloop.kg собрала свидетельства — кэшированные версии сайта, наблюдения пользователей и журналистов — о том, что сайт samara.kg продолжал работать после этих изменений, хотя отображал совершенно другой контент. Это говорит о том, что изменения для работы с доменом samara.kg были произведены на стороне правительственного сервера 212.112.124.142.
После того, как suppermario12 взломал сайт в ночь на 14 октября, он получил контроль над доменом samara.kg и перенаправил его на собственный сервер — таким образом, в течение примерно следующих 10 часов люди, заходившие на этот сайт, видели тот самый объясняющий видеоролик от анонимного активиста.
Владельцы системы заметили вмешательство в работу “Самары”, и поздно вечером 14 октября они перенаправили на тот же правительственный сервер другой частный домен, mls.kg.
В день выборов, 15 октября, именно mls.kg выполнял функции «Самары» по учёту избирателей, поэтому план suppermario12 по ликвидации системы не удался.
После выборов оба домена — и samara.kg, и mls.kg — вернулись на свои сервера и стали снова выглядеть невинно. Только samara.kg превратилась в сайт сервиса по чистке ковров, a mls.kg стала агентством недвижимости.
Сами владельцы «Самары» называли свою систему IVM — это название было на обоих сайтах samara.kg и mls.kg, когда они находились на правительственном сервере.
«Основываясь на всех этих фактах, мы нашли достаточно доказательств того, что система IVM может существовать и работала по [правительственному] адресу 212.112.124.142, и что видео, опубликованное suppermario12, должно стать причиной более глубокого расследования», — написали цифровые криминалисты из Qurium в своём отчете.
Часть 3. Как заявления властей не сходятся с фактами
Председатель ГРС Дастан Догоев категорически опроверг связь его ведомства с «Самарой». По его словам, сайты samara.kg и mls.kg не могли размещаться на правительственном сервере, а саму систему ГРС «никогда еще не взламывали».
«Ни samara.kg, ни mls.kg никакого отношения к системе ГРС не имеют и не могут иметь. Я вам это ответственно заявляю. Какие-либо третьи лица или стороны никакого физического или удаленного доступа к нашему серверу не имеют», — сказал он.
По словам Догоева, он лично курирует все проекты в системе ГРС, поэтому он бы знал о существовании этих сайтов на правительственном сервере, если бы над ними работала его служба.
Но согласно тем данным, которые нашли журналисты Kloop.kg и исследователи из Qurium, Догоев либо говорит неправду, либо всё-таки не знает, что происходит с серверами его ведомства.
В любом случае то, что сказал председатель ГРС журналисту, не сходится с фактами.
Догоев при этом не стал отрицать, что знал о существовании этих сайтов до встречи с корреспондентом Kloop.kg, потому что посмотрел видео, опубликованное suppermario12 в интернете. Однако ГРС не стала проводить служебное расследование, потому что, по словам Догоева, «не нашла никаких оснований для этого».
«Эти данные не могли быть взяты у нас. Я этот вопрос лично контролирую и могу ответственно заверить, что у нас не было утечки или взлома. Поэтому мы не инициировали какое-либо внутреннее расследование», — сказал Догоев.
Председатель ГРС считает, что «Самара» получала данные людей из открытых источников и от самих избирателей. По словам Догоева, его служба хранит данные на 19 отдельных базах, прямой доступ к которым не имеет никто.
«Ни одна наша система, ни один публичный ресурс напрямую доступ к базе не имеет и не может иметь с точки зрения безопасности», — уверяет он.
Технический директор Qurium Торд Люндстрём считает странным, что ГРС не начала служебное расследование после публикации объясняющего видео от suppermario12.
«Неважно, какие механизмы защиты данных у них (ГРС) есть в текущих приложениях. Если создается новое приложение и подключается к той же базе, то оно может с легкостью обойти любые ограничения по частоте доступа к базе», — говорит Люндстрём.
Отвечая на вопросы журналистов, Догоев так и не объяснил, каким образом samara.kg на протяжении месяца функционировала с DNS, направленным на правительственный сервер.
Часть 4. Как Ташбаев «ничего не знает»
Бывший министр экономического развития и экс-глава госагентства по геологии Учкунбек Ташбаев подтвердил журналисту Kloop.kg, что домен samara.kg зарегистрирован на его имя.
Он уверяет, что ничего не знает об использовании домена samara.kg в системе менеджмента избирательной кампании провластного кандидата, и что он вообще не занимался агитацией. По словам бывшего чиновника, он не сдавал свой домен в аренду, и, кроме него, доступ к нему имеют еще несколько его сотрудников.
«Ничего такого у меня не располагалось. Вообще, по-моему, это богом забытый сайт, на который заходили три человека», — говорит он.
Ташбаев также сказал, что ничего не знает о связи его домена с правительственным сервером — он назвал эту информацию «бредом» и добавил, что не имеет никакой связи с ГРС.
«Меня туда на пушечный выстрел не подпустят. Вы мою биографию почитайте», — сказал он.
Вероятно, Ташбаев имел в виду то, что в 2012 году его приговорили к пяти годам лишения свободы в колонии-поселении по обвинениям в злоупотреблении должностным положением в бытность главой госагентства по геологии.
По словам бывшего чиновника, он использует домен samara.kg для своего «стартапа» — чистки ковров. Он называет свой бизнес «неудачным», потому что, по его словам, за все время к нему обратились всего несколько человек.
Ташбаев сказал, что сейчас администрированием сайта samara.kg никто не занимается, и он не помнит, кто занимался его разработкой.
Часть 5. Как администратор сайта запутался в своих показаниях
Журналисты издания нашли администратора сайта samara.kg — им оказался коллега Ташбаева, 20-летний сотрудник строительной компании «Ихлас» Денис Поважный.
Разговаривая с журналистами, Поважный рассказал много чего такого, что никем больше не подтвердилось, из чего возникают большие сомнения в достоверности его слов.
Например, размещение домена samara.kg на правительственном сервере он объяснил «взломом» интернет-провайдера «АзияИнфо», у которого был куплен домен.
«Они просто перенаправляли [домен samara.kg] на другие серваки. Мы им звонили, они обратно возвращали, потом, через энный промежуток времени, они снова перенаправляли DNS […] Поначалу даже перенаправлял на российские какие-то серваки, я помню, я айпишники смотрел. Потом на наш какой-то местный, потом был момент, что он вообще был недоступен. Потом был момент, что в течение четырех часов Порнхаб открывался. То есть, они меняли, как хотели», — так Поважный описал этот «взлом» журналисту Kloop.kg.
Эти слова не подтверждаются службами отслеживания DNS-серверов — перенаправлений на Порнхаб, о которых говорит Поважный, зафиксировано, например, не было.
Директор компании «АзияИнфо» Александр Самойленко сказал, что никакого взлома осенью 2017 года у них не было. «Нас никто не взламывал. Что у этого товарища творилось на сайтах, я, честно говоря, затрудняюсь комментировать», — говорит он.
Поважный сделал ещё несколько спорных заявлений. Например, он утверждает, что хозяин сайта samara.kg написал заявление в милицию на компанию «АзияИнфо», но в Министерстве внутренних дел журналисту Kloop.kg сказали, что никаких заявлений они не получали.
Поважный также сказал, что ему звонили «из госорганов», задавали вопросы и просили не покидать страну до окончания «расследования». Госкомитет национальной безопасности и МВД отрицают существование какого-либо расследования.
Наконец, Поважный заявил, что samara.kg с начала лета 2017 года была сайтом сервиса чистки ковров, но и эти его слова не сходятся с фактами — эксперты из Qurium выяснили по цифровым следам, что до середины сентября сайт samara.kg рассказывал об агентстве недвижимости, связанном со строительной фирмой «Ихлас».
Часть 6. Как работали кураторы
Редакция смогла связаться с suppermario12 в день выборов, 15 октября.
В коротком письме он сказал, что смог скачать из «Самары» данные только одного избирательного участка — УИК №1260.
Он добавил, что не смог скачать данные обо всех 2 млн людях из этой базы, потому что «чуток оплошал» и «не знал о подводных камнях».
«В этом замешаны серьезные люди, и я как бы их взломал, так что [общение] только через эту почту», — написал активист, после чего перестал отвечать на письма журналистов.
Однако suppermario12 успел передать в распоряжение редакции Kloop.kg таблицу с подробными данными более 600 избирателей по УИК №1260 — в основном, это оказались преподаватели Кыргызского государственного технического университета (КГТУ), а также студенты этого же вуза, приехавшие в Бишкек на обучение из других регионов. При этом, неизвестно, кто из этих 600 избирателей был «поцелован», а кто нет.
Студент КГТУ по имени Талант сказал журналисту, что не знает, каким образом его данные попали в таблицу. По его словам, он заполнял такие подробные сведения о себе только когда сдавал через свой вуз форму №2 — заявление, которое должны заполнять все, кто планировал голосовать не по месту прописки.
Талант сказал, что преподаватели не заставляли, но «намекали на то, что студенты должны голосовать за провластного кандидата Жээнбекова. Он также добавил, что вместе с этим в вузе вели агитацию и другие кандидаты.
В день выборов журналисты Kloop.kg под видом «кураторов» обзвонили некоторых студентов из списка от suppermario12 и спросили, проголосовали ли они так, «как договаривались».
Часть студентов ответила положительно и сказала, что проголосовала «за номер девять», то есть за Жээнбекова. Остальные студенты ответили, что тоже проголосовали, «как договаривались», но за других кандидатов.
Журналистам также удалось подробно поговорить с несколькими агитаторами штаба Жээнбекова, которые пользовались «Самарой».
Они подтвердили существование системы, но, опасаясь за свою безопасность, пожелали остаться неизвестными.
По их словам, каждый агитатор имел собственную учетную запись в системе «Самара» и добавлял туда паспортные данные избирателей, которые они собирали вручную. Собранные данные затем проверяли в штабе кандидата на достоверность.
Проверка данных на достоверность могла быть существенно облегчена тем, что «Самара» находилась на правительственном сервере с доступом к данным всех граждан Кыргызстана.
«[Операторы штаба] берут, проверяют сначала, подходят ли они [собранные паспорта избирателей], есть ли у них биометрика. Если биометрика есть, если адрес и городская прописка позволяют, то они принимают этот паспорт, проверяют, вбивают в свою «Самару». У которых нет биометрики, или по городской прописке не проходят, они просто возвращают паспорт, и он [избиратель] не подходит», — сказал агитатор журналисту.
Слова агитатора подтверждает видео, опубликованное изданием «Чындык» за несколько дней выборов — на нём операторы штаба Жээнбекова обсуждают оплату агитатору и спрашивают, добавил ли он привлеченных избирателей в «Самару».
— У вас сколько [данных избирателей]? — спрашивает сотрудница штаба.
— У меня пока пять, — отвечает девушка на видео.
— Вы добавили в «Самару»?
— Нет, мне просто доступ еще не дали.
Часть 7. Как СДПК ничего не слышала
Сотрудники предвыборного штаба пропрезидентской Социал-демократической партии Кыргызстана (СДПК) не смогли дать комментарии по поводу использования «Самары». Они объяснили это тем, что выборы закончились, и штаб распустили — теперь нет никого, кто имел бы право давать комментарии.
Бывший сотрудник пиар-отдела штаба Нурия Ташболотова отказалась разговаривать с журналистом. «Комментарии мы не можем давать, работа уже закончилась», — сказала она.
Другие сотрудники штаба также отказывались разговаривать, потому что уже не работают над предвыборной кампанией.
Член СДПК Беназир Нурланова пообещала узнать в штабе, сможет ли кто-нибудь поговорить о том, как проходила агитация, но в итоге никто не захотел разговаривать с журналистом.
«Я попробовала, нашим отправила, но никто не ответил. Вообще никто не отвечает», — сказала Нурланова.
Пресс-секретарь Сооронбая Жээнбекова Толгонай Стамалиева в разговоре с журналистом Kloop.kg сказала, что ничего не знает о «Самаре».
«Какой kg? Извините, что это? Давайте я уточню, я не в курсе, я была в отъезде», — ответила она журналисту на вопрос о «Самаре».
В следующем разговоре Стамалиева сказала, что пыталась получить ответ от тех, кто занимался работой с журналистами и партнерами штаба, но на тот момент ей никто не ответил.
Руководитель штаба Фарид Ниязов не ответил на звонки журналиста, но отреагировал на сообщение в мессенджере — Ниязов написал «Что это за сайт?» и больше не выходил на связь.
Бывший сотрудник штаба Жээнбекова в Кочкорском районе Бакыт Бейшенбеков сказал, что в работе они не использовали никакой сайт и про «Самару» он не слышал. Он добавил, что в их районе проблемы с интернетом, поэтому их штаб не мог использовать сайт, а вносил данные избирателей в документ на компьютере.
«Мы не можем использовать такую систему потому, что в селах многие люди не умеют пользоваться интернетом и можно сказать, что здесь отсутствует интернет», — сказал он.
В центральный штаб Бейшенбеков отправлял только количество согласившихся проголосовать за Жээнбекова людей, а данные избирателей, по его словам, оставались в их региональном штабе.
Резюме от авторов расследования. Как это всё могло повлиять на выборы?
Многочисленные наблюдатели на прошедших выборах президента Кыргызстана заявили об использовании административного ресурса. Что это значит? Это значит государство вероятно подыгрывало одному из кандидатов, что у него появились такие возможности, которых не было у его конкурентов.
За кандидата, выгодного правительству, агитировали (причем не всегда законными способами) люди этому правительству подконтрольные: преподаватели вузов, учителя, врачи, другие бюджетники.
Казалось бы, как замечательно, не надо находить армию агитаторов — десятки тысяч людей уже в твоем распоряжении. Они же зависят от тебя, а значит, не подведут.
Правильно? Вовсе нет. Давайте посмотрим на ситуацию глазами кандидата, пользующегося административным ресурсом.
Как заставить десятки тысяч людей, пользуясь их зависимостью, делать то, что ты хочешь? Задача не такая простая.
Проблема в том, что условный проректор по хозяйственной части условного вуза должен как-то убедить студентов этого вуза проголосовать за нужного кандидата.
Ещё ему нужно убедить приезжих студентов зарегистрироваться на участке, который находится на территории вуза, потом ему нужно убедить или запугать голосовать так, как надо, потом ему же нужно проконтролировать явку на выборы.
Сколько всего может пойти не так в этом сложном процессе!
Например, проректор может просто забить на поручение, может поговорить с недостаточным количеством студентов, студенты могут не зарегистрироваться на участке или не прийти на выборы, и так далее.
Поэтому у нашего условного проректора должен быть проверяющий, который выполнит обзвон случайной выборки студентов и проверит, что проректор действительно поговорил с ними.
Также у проверяющего должно быть максимальное количество персональных данных о каждом студенте, чтобы быть уверенным, что проректор просто не выдумал несуществующих людей и чтобы проверить факт регистрации на нужном участке.
Еще, в идеале, у проверяющего должны быть фотографии и биометрическое описание запуганных избирателей, чтобы проверить факт явки на участок.
Если мы масштабируем всё это в пределах всей страны, получается сложная логистическая задача: сотни условных проректоров-кураторов, сотни проверяющих, десятки тысяч запуганных студентов и бюджетников.
Чтобы справиться со всем этим, нужна система, работающая в интернете, через которую кураторы смогут отчитываться об агитации, запугивании и подкупе; а проверяющие — о результатах проверок, регистрации и явке.
Для максимальной эффективности эта система должна иметь доступ к обширным базам данных, содержащим информацию об избирателях, желательно с фотографиями и биометрическими данными.
Похожа ли «Самара» на такую систему? Да, очень. Можем ли мы утверждать, что «Самара» использовалась эффективно и помогла выиграть Жээнбекову? Пока нет.
Но, как минимум, мы точно знаем, что она существовала и целый месяц содержалась на правительственном сервере.
А ещё мы знаем, что власти Кыргызстана почему-то всё это отрицают и не признают.