Интервью с хакером: большие порталы может взломать даже школьник

Интервью с хакером: большие порталы может взломать даже школьник

В связи с участившимися в последнее время случаями хакерских атак на госпорталы и сайты крупных СМИ Digit.ru расспросил Сергея, известного в сети под ником Rebz, модератора форума Antichat, о том, кому и зачем нужны подобные атаки, насколько хорошо защищены такие ресурсы и что или кого можно назвать "слабым ИБ-звеном".

— Насколько сложно взломать госсайт или портал крупного СМИ? Много ли в них уязвимостей? Ответственно ли подходят их владельцы к защите?

— Взломать можно любой ресурс, вопрос лишь в мотивации взломщика и в том, сколько времени на это понадобится. Если взлом госсайта или крупного СМИ хорошо оплачен, то хакер может в течение довольно длительного периода изучать систему и в конце концов сделает свое дело. Госсайты вообще не имеют какой-либо нормальной защиты. За крупные СМИ не берусь говорить, но наверняка там тоже не сильно следят за безопасностью ресурса.

Под порталом обычно подразумевается довольно большой по инфраструктуре ресурс, где присутствуют разные блоки: новости, форум, галерея, опросы, дочерние проекты и так далее. Наверняка где-то на поддомене 3 уровня лежат старые проекты на необновляемых Opensource-движках, таких как Joomla, WordPress, Drupal и т.д. Есть куча разных сайтов с целыми базами данных публичных уязвимостей, пользователь вбивает нужную версию продукта и получает список уязвимостей под него. Все просто.

Большие порталы может взломать даже школьник, который знает, как запускать эксплойт. Конечно, получить доступ к поддомену крупного портала не значит взломать весь портал. Все зависит от грамотно настроенных прав доступа и от того, насколько хорошо администратор следит за сервером.

В большинстве случаев у владельцев крупных сайтов есть свои специалисты по защите от хакерских атак. Это могут быть эксперты в области информационной безопасности. Но чаще встречается ситуация, когда за безопасность ресурса отвечает системный администратор, у которого нет должных навыков защиты. Когда хакер пишет администратору о том, что нашел уязвимость, тот чаще всего его "отфутболивает", полагаясь "на авось": вдруг больше "дырок" не найдут или ничего уязвимость им не даст. Я знаю случаи, когда хакер после формальной отписки администратора связывался с владельцем ресурса, который затем делал выговор администратору за то, что он ничего не предпринимает и замалчивает факт взлома.

— Зачем обычно взламывают госсайты и порталы крупных СМИ? Какие цели преследуют? Как выбирают ресурсы? Есть ли свои подводные камни?

— Я думаю, что подобные ресурсы в большинстве случаев взламывают чисто из интереса. Если госсайт слабо посещаем, то с него нечего взять. Если же перед хакером стоит задача получить финансовую или иную выгоду, то в первую очередь в "списке" будет тот ресурс, у которого посещаемость больше. Это касается любого сайта, не только "госовского".

Если хакеру не удается напрямую взломать ресурс, он может пойти обходным путем. Например, поискать, какие еще сайты хостятся на одной площадке вместе с сайтом-жертвой. Кто-либо из "соседей" может быть защищен слабо. Тогда хакер пытается взломать его и получить доступ на сервер. А дальше — дело техники. Иногда бывает так, что слабо защищен сам хостер. При его взломе можно также получить доступ к сайту-жертве.

Если хакер полностью контролирует сайт, который взломал, он может совершить несколько действий: закрыть те уязвимости, через которые пролез сам (чтобы другой взломщик не проник таким же образом), изменить содержимое сайта, преследуя какие-то свои мотивы (заказные или личные), или повесить на сайт вредоносный код, который будет загружать посетителям ресурса вирус и т.д.

— С какими видами "головотяпства" можно столкнуться на госсайтах или порталах крупных СМИ?

— Пример из жизни — это взлом developer.apple.com, который широко освещался в СМИ. За несколько дней до этого в Apache Struts2 была обнаружена опасная уязвимость, которая позволяла выполнять произвольный код на удаленной машине. Уязвимость была опубликована на одном из китайских форумов и не была сразу же исправлена производителем. Не удивительно, что спустя какое-то время (а время шло на часы) был написан эксплойт, который автоматически эксплуатировал эту уязвимость. Сайт developer.apple.com подвергся именно такой успешной атаке.

Через неделю один исследователь (Алексей Синцов) проверил госсайты на эту уязвимость. Каково же было его разочарование, когда он констатировал, что наши крупные сайты, в том числе и сайт госзаказов, уязвимы.

Источник:
Digit.ru