Декабрь 19, 2019 Просмотры 61 просмотр

UZ-CERT: «ломают» или защищают?

За последнее время на нашем сайте был размещен ряд материалов по информационной безопасности. Актуальность темы подтверждает недавний инцидент с одним из сайтов Узнета, расследование котрого провела редакция сайта Security.uz

4 мая в редакцию Security.uz обратился администратор сайта Autocenter.uz Дмитрий Ли с просьбой посодействовать в решении проблемы с атакой на сайт, имевшей место дважды – 30 апреля и 1 мая.

К слову сказать, более подходящим местом для обращения по поводу взлома сайта является UZ-CERT или Служба реагирования на компьютерные инциденты, существующая с прошлой осени при Центре развития и внедрения компьютерных и информационных технологий UzInfoCom. Однако вся проблема в том, что администрация «Автоцентра» с самого начала стала подозревать во взломе именно UZ-CERT, чьи специалисты в последние месяцы проводят регулярные мероприятия по выявлению уязвимостей на сайтах и серверах Узнета. Так получилось, что проверка службой сервера, на котором размещен «Автоцентр», почти совпала по дате со взломом форума данного сайта.

«Вычислить» UZ-CERT администрации «Автоцентра» удалось благодаря тому, что в процессе работы сотрудники службы не используют proxy-сервера и не скрывают свой реальный IP-адрес. На форуме портала, а также Форуме Узнета и ряде блогов, включая Барбарис, «контору» UZ-CERT обвинили не только в самом взломе, но и в «неправомерных действиях», «занятии не своими функциями», «хулиганстве» и даже «создании ситуаций, чтобы потом самим на них реагировать».

Стоит отметить, что в обращении Дмитрия Ли к Security.uz не было никакого намека на UZ-CERT. По словам администратора портала, предоставившего нам подробную информацию о взломе, злоумышленник, внедрив вредоносный код, получил администраторский доступ к панели управления форумом портала «Автоцентр» и закачал хакерский скрипт на сервер. «При помощи скрипта он пытался управлять сервером, тем самым компрометируя работу хостин-провайдера. Он также изменил права доступа настоящих администраторов, чем парализовал работу сайта на 10 часов, изменил личные данные некоторых пользователей, изменил структуру форума и добавил страницы с нецензурными выражениями, оскорбляющими пользователей. После исправления администрацией всех последствий злоумышленник предпринял повторные попытки взлома сайта, в частности, использовал эксплойт для получения доступа к административной панели и пытался нарушить работоспособность форума, загрузив поддельный аватар».

В ответ на обвинения «Автоцентра» в тот же день, когда было опубликовано сообщение о взломе форума, т.е. 2 мая, здесь был опубликован ответ ведущего специалиста Группы анализа, консультаций и программно-технической поддержки UZ-CERT Дмитрия Палеева. По его словам, «сотрудниками UZ-CERT 1 мая проводился анализ уязвимостей форумов IPB, размещенных на сайтах Узнета. В процессе работы применялись несколько эксплойтов, в том числе использующий уязвимости форума и позволяющий получить доступ к командной строке. Форум www.autocenter.uz оказался подвержен некоторым уязвимостям».

Подчеркнув, что «работы UZ-CERT никоим образом не влияют на работоспособность, как вебсайтов, так и серверов в целом», сотрудник службы выразил готовность «по возможности помочь в устранении последствий и других найденных уязвимостей для предотвращения повторных взломов».

В самом UZ-CERT считают, что взлом форума «Автоцентра» – результат того, что его администрация не следит за уведомлениями об уязвимостях и своевременно не обновляет программное обеспечение на сайте. Для предотвращения подобных инцидентов специалисты рекомендуют регулярно знакомиться с информацией о новых уязвимостях из всевозможных рассылок и форумов по информационной безопасности. О многих уязвимостях, в частности, сообщает наш электронный журнал в разделе «Багтрек».

Как рассказал в беседе с Security.uz Дмитрий Палеев, об инциденте с взломом форума сотрудникам службы стало известно лишь после публикации на форуме «Автоцентра». «Мы проводили проверку форума только 1 мая, и служба не имеет никакого отношения к взлому от 29 апреля».

На обвинения администраторов форума Палеев ответил: «Наши проверки не могут нарушать работоспособности форума и не нарушали ее. Проверки серверов и вебсайтов на уязвимость никоим образом не отражаются на их работоспособности. Изначально все уязвимости тестируются на локальных серверах, то есть мы устанавливаем версии ПО, которые собираемся тестировать на наш внутренний сервер, и проверяем работу эксплойтов».

«Неким злоумышленником был получен доступ в административную панель управления форумом. Доступ можно получить, только зная пароль администратора, а он, возможно, был получен благодаря удачному использованию уязвимости типа SQL injection, которой подвержена данная версия форума, – отметил Палеев. – При удачном использовании злоумышленником уязвимости на форуме он может получить доступ к сайтам других клиентов, расположенных на этом же сервере, включая сайты государственных органов». Как пояснил представитель UZ-CERT, специалистами службы проводится постоянный мониторинг серверов на необходимый уровень информационной безопасности, в котором обязательным критерием является защищенность всех сайтов, находящихся по соседству с сайтами государственных органов.

На утверждение о том, что «сайт встал почти на 10 часов» Палеев ответил: «Мы считаем, что весь сайт не мог «встать» на такой срок по той причине, что злоумышленником был получен доступ только к управлению форумом. Восстановить административные привилегии на форуме можно за считанные минуты».

По поводу обвинений в запоздалой реакции на взлом он сказал: «Помимо анализа форума «Автоцентра», специалистами UZ-CERT было проверено множество других сайтов, потенциально содержащих аналогичную уязвимость. Оповещения получили владельцы серверов, и вся работа в основном проходит именно с администраторами серверов, а не расположенных на них сайтов».

При написании данной статьи автор уточнил у администратора «Автоцентра» Дмитрия Ли, подозревают ли они до сих пор UZ-CERT, на что был получен отрицательный ответ. «Во взломе UZ-CERT мы не подозреваем, просто возмущены такими неожиданными проверками, можно было бы и предупредить», – сказал он.

Дмитрий Ли также сообщил, что «попытки взлома форума продолжаются – на этой неделе опять были созданы темы «justxpl». Автор лазит через прокси. Пока от данных методов взлома мы защищены».

Добавим, что мониторинг серверов на необходимый уровень информационной безопасности UZ-CERT осуществляет в соответствии с программой мер, утвержденной распоряжением Кабинета Министров №478-ф от 24 октября 2005 года. В процессе работы применяются различные способы поиска уязвимостей: сканирование IP-адресов и вебсайтов на наличие уязвимостей в скриптах и ПО на серверах, использование эксплойтов для выявления уязвимостей, использование скриптов удаленного администрирования для оценки состояния защищенности серверов и сайтов и перебор паролей к сервисам и сайтам для выявления наличия простых паролей. Информация, ставшая доступной для специалистов службы UZ-CERT не распространяется и не используется в личных целях.

Как сообщили Security.uz в UZ-CERT, в ближайшее время ожидается утверждение специального соглашения, которое будет подписываться с провайдерами о проверках их серверов на наличие уязвимостей.

Источник Security.uz


Просмотры 61 просмотр

Статистика просмотров страницы:

  • за текущий месяц (Март 2024) - 3;
  • за прошлый месяц (Февраль 2024) - 5;
  • за последние 3 месяца (Декабрь 2023 - Февраль 2024) - 6;
  • за последний год (Март 2023 - Февраль 2024) - 23;

Отзывы

Админ
Отлично!
Март 28 Админ

Статьи и обзоры Все статьи

GT & Industrial Systems, LP, действующая в Узбекистане через зарегистрированное ...
В начале 2000-х мир киберспорта переживал свою золотую эпоху, а ...
Бухгалтерская программа 1C способствует успешному развитию бизнеса в условиях современной ...
Автоматизация бизнес-процессов и повышение эффективности компании с помощью программы 1С.