За последнее время на нашем сайте был размещен ряд материалов по информационной безопасности. Актуальность темы подтверждает недавний инцидент с одним из сайтов Узнета, расследование котрого провела редакция сайта
4 мая в редакцию
К слову сказать, более подходящим местом для обращения по поводу взлома сайта является
«Вычислить» UZ-CERT администрации «Автоцентра» удалось благодаря тому, что в процессе работы сотрудники службы не используют proxy-сервера и не скрывают свой реальный IP-адрес. На
Стоит отметить, что в обращении Дмитрия Ли к Security.uz не было никакого намека на UZ-CERT. По словам администратора портала, предоставившего нам подробную информацию о взломе, злоумышленник, внедрив вредоносный код, получил администраторский доступ к панели управления форумом портала «Автоцентр» и закачал хакерский скрипт на сервер. «При помощи скрипта он пытался управлять сервером, тем самым компрометируя работу хостин-провайдера. Он также изменил права доступа настоящих администраторов, чем парализовал работу сайта на 10 часов, изменил личные данные некоторых пользователей, изменил структуру форума и добавил страницы с нецензурными выражениями, оскорбляющими пользователей. После исправления администрацией всех последствий злоумышленник предпринял повторные попытки взлома сайта, в частности, использовал эксплойт для получения доступа к административной панели и пытался нарушить работоспособность форума, загрузив поддельный аватар».
В ответ на обвинения «Автоцентра» в тот же день, когда было опубликовано сообщение о взломе форума, т.е. 2 мая, здесь был опубликован ответ ведущего специалиста Группы анализа, консультаций и программно-технической поддержки UZ-CERT Дмитрия Палеева. По его словам, «сотрудниками UZ-CERT 1 мая проводился анализ уязвимостей форумов IPB, размещенных на сайтах Узнета. В процессе работы применялись несколько эксплойтов, в том числе использующий уязвимости форума и позволяющий получить доступ к командной строке. Форум www.autocenter.uz оказался подвержен некоторым уязвимостям».
Подчеркнув, что «работы UZ-CERT никоим образом не влияют на работоспособность, как вебсайтов, так и серверов в целом», сотрудник службы выразил готовность «по возможности помочь в устранении последствий и других найденных уязвимостей для предотвращения повторных взломов».
В самом UZ-CERT считают, что взлом форума «Автоцентра» – результат того, что его администрация не следит за уведомлениями об уязвимостях и своевременно не обновляет программное обеспечение на сайте. Для предотвращения подобных инцидентов специалисты рекомендуют регулярно знакомиться с информацией о новых уязвимостях из всевозможных рассылок и форумов по информационной безопасности. О многих уязвимостях, в частности, сообщает наш электронный журнал в разделе
Как рассказал в беседе с Security.uz Дмитрий Палеев, об инциденте с взломом форума сотрудникам службы стало известно лишь после публикации на форуме «Автоцентра». «Мы проводили проверку форума только 1 мая, и служба не имеет никакого отношения к взлому от 29 апреля».
На обвинения администраторов форума Палеев ответил: «Наши проверки не могут нарушать работоспособности форума и не нарушали ее. Проверки серверов и вебсайтов на уязвимость никоим образом не отражаются на их работоспособности. Изначально все уязвимости тестируются на локальных серверах, то есть мы устанавливаем версии ПО, которые собираемся тестировать на наш внутренний сервер, и проверяем работу эксплойтов».
«Неким злоумышленником был получен доступ в административную панель управления форумом. Доступ можно получить, только зная пароль администратора, а он, возможно, был получен благодаря удачному использованию уязвимости типа SQL injection, которой подвержена данная версия форума, – отметил Палеев. – При удачном использовании злоумышленником уязвимости на форуме он может получить доступ к сайтам других клиентов, расположенных на этом же сервере, включая сайты государственных органов».
Как пояснил представитель UZ-CERT, специалистами службы проводится постоянный мониторинг серверов на необходимый уровень информационной безопасности, в котором обязательным критерием является защищенность всех сайтов, находящихся по соседству с сайтами государственных органов.
На утверждение о том, что «сайт встал почти на 10 часов» Палеев ответил: «Мы считаем, что весь сайт не мог «встать» на такой срок по той причине, что злоумышленником был получен доступ только к управлению форумом. Восстановить административные привилегии на форуме можно за считанные минуты».
По поводу обвинений в запоздалой реакции на взлом он сказал: «Помимо анализа форума «Автоцентра», специалистами UZ-CERT было проверено множество других сайтов, потенциально содержащих аналогичную уязвимость. Оповещения получили владельцы серверов, и вся работа в основном проходит именно с администраторами серверов, а не расположенных на них сайтов».
При написании данной статьи автор уточнил у администратора «Автоцентра» Дмитрия Ли, подозревают ли они до сих пор UZ-CERT, на что был получен отрицательный ответ. «Во взломе UZ-CERT мы не подозреваем, просто возмущены такими неожиданными проверками, можно было бы и предупредить», – сказал он.
Дмитрий Ли также сообщил, что «попытки взлома форума продолжаются – на этой неделе опять были созданы темы «justxpl». Автор лазит через прокси. Пока от данных методов взлома мы защищены».
Добавим, что мониторинг серверов на необходимый уровень информационной безопасности UZ-CERT осуществляет в соответствии с программой мер, утвержденной распоряжением Кабинета Министров №478-ф от 24 октября 2005 года. В процессе работы применяются различные способы поиска уязвимостей: сканирование IP-адресов и вебсайтов на наличие уязвимостей в скриптах и ПО на серверах, использование эксплойтов для выявления уязвимостей, использование скриптов удаленного администрирования для оценки состояния защищенности серверов и сайтов и перебор паролей к сервисам и сайтам для выявления наличия простых паролей. Информация, ставшая доступной для специалистов службы UZ-CERT не распространяется и не используется в личных целях.
Как сообщили
Источник
Статистика просмотров страницы:
- за текущий месяц (Март 2024) - 3;
- за прошлый месяц (Февраль 2024) - 5;
- за последние 3 месяца (Декабрь 2023 - Февраль 2024) - 6;
- за последний год (Март 2023 - Февраль 2024) - 23;