Точка зрения / сентябрь 2013

Сергей (Rebz), модератор форума Antichat

digit.ru
02.09.2013

В связи с участившимися в последнее время случаями хакерских атак на госпорталы и сайты крупных СМИ Digit.ru расспросил Сергея, известного в сети под ником Rebz, модератора форума Antichat, о том, кому и зачем нужны подобные атаки, насколько хорошо защищены такие ресурсы и что или кого можно назвать "слабым ИБ-звеном".

— Насколько сложно взломать госсайт или портал крупного СМИ? Много ли в них уязвимостей? Ответственно ли подходят их владельцы к защите?

— Взломать можно любой ресурс, вопрос лишь в мотивации взломщика и в том, сколько времени на это понадобится. Если взлом госсайта или крупного СМИ хорошо оплачен, то хакер может в течение довольно длительного периода изучать систему и в конце концов сделает свое дело. Госсайты вообще не имеют какой-либо нормальной защиты. За крупные СМИ не берусь говорить, но наверняка там тоже не сильно следят за безопасностью ресурса.

Под порталом обычно подразумевается довольно большой по инфраструктуре ресурс, где присутствуют разные блоки: новости, форум, галерея, опросы, дочерние проекты и так далее. Наверняка где-то на поддомене 3 уровня лежат старые проекты на необновляемых Opensource-движках, таких как Joomla, WordPress, Drupal и т.д. Есть куча разных сайтов с целыми базами данных публичных уязвимостей, пользователь вбивает нужную версию продукта и получает список уязвимостей под него. Все просто.

Большие порталы может взломать даже школьник, который знает, как запускать эксплойт. Конечно, получить доступ к поддомену крупного портала не значит взломать весь портал. Все зависит от грамотно настроенных прав доступа и от того, насколько хорошо администратор следит за сервером.

В большинстве случаев у владельцев крупных сайтов есть свои специалисты по защите от хакерских атак. Это могут быть эксперты в области информационной безопасности. Но чаще встречается ситуация, когда за безопасность ресурса отвечает системный администратор, у которого нет должных навыков защиты. Когда хакер пишет администратору о том, что нашел уязвимость, тот чаще всего его "отфутболивает", полагаясь "на авось": вдруг больше "дырок" не найдут или ничего уязвимость им не даст. Я знаю случаи, когда хакер после формальной отписки администратора связывался с владельцем ресурса, который затем делал выговор администратору за то, что он ничего не предпринимает и замалчивает факт взлома.

— Зачем обычно взламывают госсайты и порталы крупных СМИ? Какие цели преследуют? Как выбирают ресурсы? Есть ли свои подводные камни?

— Я думаю, что подобные ресурсы в большинстве случаев взламывают чисто из интереса. Если госсайт слабо посещаем, то с него нечего взять. Если же перед хакером стоит задача получить финансовую или иную выгоду, то в первую очередь в "списке" будет тот ресурс, у которого посещаемость больше. Это касается любого сайта, не только "госовского".

Если хакеру не удается напрямую взломать ресурс, он может пойти обходным путем. Например, поискать, какие еще сайты хостятся на одной площадке вместе с сайтом-жертвой. Кто-либо из "соседей" может быть защищен слабо. Тогда хакер пытается взломать его и получить доступ на сервер. А дальше — дело техники. Иногда бывает так, что слабо защищен сам хостер. При его взломе можно также получить доступ к сайту-жертве.

Если хакер полностью контролирует сайт, который взломал, он может совершить несколько действий: закрыть те уязвимости, через которые пролез сам (чтобы другой взломщик не проник таким же образом), изменить содержимое сайта, преследуя какие-то свои мотивы (заказные или личные), или повесить на сайт вредоносный код, который будет загружать посетителям ресурса вирус и т.д.

— С какими видами "головотяпства" можно столкнуться на госсайтах или порталах крупных СМИ?

— Пример из жизни — это взлом developer.apple.com, который широко освещался в СМИ. За несколько дней до этого в Apache Struts2 была обнаружена опасная уязвимость, которая позволяла выполнять произвольный код на удаленной машине. Уязвимость была опубликована на одном из китайских форумов и не была сразу же исправлена производителем. Не удивительно, что спустя какое-то время (а время шло на часы) был написан эксплойт, который автоматически эксплуатировал эту уязвимость. Сайт developer.apple.com подвергся именно такой успешной атаке.

Через неделю один исследователь (Алексей Синцов) проверил госсайты на эту уязвимость. Каково же было его разочарование, когда он констатировал, что наши крупные сайты, в том числе и сайт госзаказов, уязвимы.

— В чем особенности хакерских атак на госсайты или порталы крупных СМИ?

— Атаки совершаются не только на веб-сайты, но также и на людей. Как известно, человек является слабым звеном в безопасности.

Чтобы взломать аккаунт Twitter крупного новостного агентства, надо сделать несколько шагов. Первый — найти редактора, который пишет от лица информационного агентства твиты, а сделать это несложно. Сейчас люди оставляют о себе много информации в социальных сетях. Где-то было отмечено, что достаточно найти профили хотя бы двух сотрудников, чтобы через них можно было вытащить практически весь персонал компании. Это действительно работает.

Второй шаг — атаковать жертву. Здесь в ход может пойти социальная инженерия или фишинговые письма.

Социальная инженерия — это, упрощенно, когда жертва сама отдает пароль злоумышленнику. Хакер может представиться сотрудником компании жертвы, написать письмо или позвонить, описать какую-то форс-мажорную ситуацию, когда "срочно и немедленно" требуется пароль от аккаунта. Жертва сама сообщает пароль, думая, что имеет дело с сотрудником компании. Самый яркий персонаж, который использовал социальную инженерию для взлома корпоративных сетей, — небезызвестный Кевин Митник.

Фишинговые письма — трюк, на который попадаются многие. К разряду фишинга можно отнести письмо якобы от Twitter, в котором говорится, что с аккаунта пользователя ведется хакерская атака и ему нужно срочно пройти по ссылке для подтверждения личности, иначе аккаунт будет заблокирован. По ссылке находится не оригинальный Twitter, а его подделка в интернете. Когда жертва ведется, заходит по ссылке, авторизуется в "псевдо-твиттере", конфиденциальные данные логин-пароль уходят злоумышленнику. В целом для проведения этой атаки злоумышленнику не нужны серьезные технические знания — больше психология.

— Насколько сложно найти хакера после взлома и привлечь его к ответственности?

— Надо оценивать масштаб бедствий. Чем больше урон, тем выше шанс, что хакера вообще будут искать и в конечном итоге поймают.

Анонимность хакера в его собственных руках. Если это профессионал, то найти его, а тем более привлечь к ответственности будет практически невозможно. Сажают тех, кто не соблюдает элементарных правил анонимности. Профессионалу известно, что не все страны сотрудничают между собой в плане обмена информацией между правоохранительными органами. Нередко по этому критерию отбираются прокси/VPN той страны, с которой вышеуказанных договоренностей нет, — а это очень усложняет дальнейший поиск взломщика со стороны правоохранителей. И, конечно же, следы заметаются использованием специальных VPN-сервисов, которые не ведут логи.

Широкой практики и высококвалифицированной экспертизы у органов правопорядка нет, поэтому киберпреступления не имеют большой раскрываемости, а зачастую компании сами не обращаются к органам, понимая, что этим все равно ничего не добиться.