Подверженные взлому

О хакерах в Украине знают не по-наслышке. Все чаще в СМИ появляется информация о дерзких взломах того или иного сайта. Наиболее уязвимыми оказались украинские госучреждения и организации. Тому примером — недавний взлом сайта Минэкономики

Случай, произошедший в конце августа этого года, когда от рук хакеров пострадал официальный сайт Министерства экономики Украины ( www.me.gov.ua), стал довольно резонансным. "Доброжелатели" оставили сообщение на главной странице сайта. В нем назвавшиеся Savvy Crew требовали остановить насилие в Кашмире и Палестине. Очевидно, хакеры не преследовали цель насолить украинскому министерству. Скорее всего сайт пострадал только из-за наличия в его адресе элемента "gov" (англ. government — правительство) — таким образом хакеры намеревались привлечь внимание правительственных организаций к актуальной для них проблеме.
В момент взлома системный администратор Министерства экономики Сергей Дворник, по его словам, как раз находился в отпуске. Оставалось два дня до выхода на работу. Из дому с утра, как обычно, проверил почту
(с серверов регулярно приходят автоматически создаваемые отчеты об их работе). "Один из отчетов мне показался сомнительным, — вспоминает Сергей. — Дабы избежать ажиотажа в начале недели, решил выехать и узнать, в чем состоит проблема, на месте. Приехав, обнаружил взлом, устранил последствия, закрыл всевозможный доступ к записи на сайт".

С 1997 по 1999 годы потери мировых компаний от хакерских атак составили около 120 млн. долл. ежегодно. В прошлом году эта цифра

Так совпало, что день взлома был последним днем выставки, в которой участвовало Минэкономики. В служебных целях на сервере был открыт доступ для удаленного доступа из выставочного центра. Взломщик попал пальцем в небо, попытавшись взломать сайт, и воспользовался этим аккаунтом (имя пользователя и права на чтение и запись).
"Причина взлома, на мой взгляд, проста: на сервере установлена специфическая малораспространенная операционная система, к которой взломщик(и), возможно, относились ревностно, — предположил Сергей. — Если задаться целью, можно взломать любой сервер (сайт) — это лишь вопрос времени. Взять хотя бы такие крупные серверы, как www.yahoo.com, www.hotmail.com — они предоставляют бесплатные почтовые услуги и имеют многомиллионный бюджет, а их время от времени "ломают".
Чтобы избежать повторного взлома, администратор Минэкономики предпринимает меры и по сегодняшний день.
Это первый получивший огласку случай взлома официального сайта украинского госоргана. Может, были и другие, но история, как и многие состоящие на госслужбе системные администраторы, об этом умалчивают. Набившее оскомину в политическом бомонде универсальное слово "прозрачность" на сферу информационной и компьютерной безопасности не распространилось.
Вспоминаю, как пришлось недавно связываться с отделом компьютерных сетей и телекоммуникаций Верховной Рады — с одного телефона переадресовывали на другой. И в этой цепочке на пути к цели попался чиновник, который вначале заявил, что "интервью наши уже давали" (правда, другому изданию), продиктовал-таки нужный телефон и имя и тут же стал заметать следы: "Только я вам его не давал". Конспиратор… Он и так остался для меня анонимом, поскольку даже не потрудился представиться в начале разговора. А напоследок "философски" обобщил: "Вы знаете, отчего у нас все беды? У нас все непрофессионалы".
Информацию иногда приходится выуживать клещами. Комментарии — брать у "источников, близких к…" и "пожелавших остаться неизвестными". А то и вовсе догадываться и интерпретировать самостоятельно.

По горячим следам

Другое дело, частные структуры. Они не считают за грех поделиться печальным опытом. Ведь, обосновываясь в онлайне — создавая сайт, магазин или веб-страничку, любая компания не может на 100% обезопасить себя от внешних атак. По большому счету, все вышедшие в WWW потенциально подвержены взлому.
Закалку на прочность прошла и разработавшая сайт "Инвестгазеты" компания ITD. Возможно, это простое совпадение, но, как и в случае с администратором из Минэкономики, взлом сервера пришелся на нерядовую дату — компания отмечала день рождения своего директора.
Хакер нашел в операционной системе ошибку и "проломился" на сервер ITD. Взломщик получил права администратора, закачал на сервер исполняемый файл и запустил программу, которая сканировала Сеть на наличие компьютеров со схожей проблемой и пыталась заразить их собой.
Вскоре взлом обнаружили, и первым делом было принято решение отсоединить сервер от Интернета. Около полутора часов компьютер чистили. Спасибо хакеру, который вместе с вредоносной программой закачал еще и файл с описанием, как избавиться от нее. Позже на сайте http://astalavista.box.sk, посвященном безопасности систем, было найдено более детальное описание этого "червя". Так как в ITD быстро отреагировали на случившееся, хакер не успел замести следы и в журнале событий остался адрес его компьютера. Он находился в Индонезии, и, по всей видимости, мог быть предназначен для общего пользования.

Их сайты тоже пострадали:

Всемирный экономический форум в Давосе

ЦРУ

ФБР

Пентагон

Спайс Герлз

Моторола

Гринпис

Ассошиэйтед пресс

Нью-Йорк Таймс

Интел

Компак

Альта-Виста

Плейбой

Комменатарий

Комментарий

Системный администратор Министерства экономики Сергей Дворник:
— В среднем на сервер министерства осуществляется одна атака в два дня, хотя для взломщиков он не представляет большого интереса, поскольку информация, находящаяся на сервере, предназначена только для открытого доступа.

Практические советы

Распространенные приемы взлома

- Подбор паролей доступа в систему.

- Поиск дыр в операционных системах, серверных программах.

- Через ошибки, содержащиеся в веб-скриптах.

- С помощью DOS-атак.

Подбор паролей — самое простое, что можно выдумать. Дыр в программах тоже предостаточно. Например, такой распространенной ошибкой, как переполнение буфера ввода, до сих пор страдает сервер iPlanet Messaging Server. Популярность бесплатных скриптов для организации чатов и гостевых книг порождает третью проблему. По Интернету гуляют тысячи подобных программ, и мало какая из них достаточно жестко проверялась на предмет безопасности. А DOS-атаками сегодня балуются все кому не лень. От них страдают как малоизвестные сайты, так и такие гиганты, как AOL.com, Microsoft.com.

Как снизить риск

Необходимо соблюдать определенные меры безопасности: пароли должны быть достаточно сложными, чтобы их было непросто угадать подбором; хранить пароли и другую конфиденциальную информацию нужно в недоступном для посторонних месте.

В организациях системный администратор должен регулярно следить за обновлениями
к операционным системам на специализированных сайтах, за новостями, интерактивно общаться с коллегами на посвященных безопасности программного обеспечения конференциях или по ICQ. Не помешает подписаться на рассылки компаний, производящих ПО.

Не лишним будет использование программно-аппаратных комплексов технической защиты (сетевых фильтров).

В серьезных организациях администратор может автоматически уведомляться сервером о нестандартных ситуациях на пейджер или по SMS.

На сайтах по безопасности можно найти программы, тестирующие систему на наличие проблемных мест. Это те же программы для взлома (exploit), но объединенные в пакеты. Они поочередно исполняются и сообщают результат.

Проанализируйте, какие сервисы сервер должен предоставлять, а какие можно отключить. Чем меньше потенциальных источников проблем, тем меньше вероятность возникновения этих проблем.

Пригласите хакера, который бы протестировал вашу систему.

Если существует острая необходимость, следует обратиться к услугам сертифицированных специалистов.

Радикальное средство — зарыть сервер глубоко под землю и навсегда отказаться от Интернета :)))