Кибератака на госсайты Узбекистана: как это произошло, кто виноват, что делать

20 ноября некоторые сайты государственных органов Узбекистана подверглись кибератаке и взлому. Почему это случилось и как обезопасить госсайты в дальнейшем, объясняет Алишер Эльмурадов.

fb атака

Что всё-таки произошло?

Конечно, никакой целенаправленной атаки на госсайты Узбекистана не было. Такого рода дефейсы происходят в абсолютно автоматическом режиме. Хакеры-школьники (на этот раз из Бангладеш) написали скрипт, который использует уязвимости в популярных движках и плагинах, сканирует Интернет и внедряет вредоносный код в найденные уязвимые сайты.

Как правило, к таким движкам относятся WordPress, Joomla, визуальный редактор TinyMCE, различные бесплатные яваскриптовые примочки. Найдя дыру на запись файлов, скрипт получает доступ к корневому каталогу, проходится по папкам и файлам типа index.php, main.php, header.php и внедряет гордую надпись «Взломано Васей из 7 «А» средней школы города Читтагонга, что в Бангладеш». Если загуглить фразу «Hacked By Skidie KhaN : : : TeaM Cyber CommandOs», то в результатах поиска обнаружим сотни заброшенных сайтов, владельцы которых не стали заморачиваться и убирать надпись.

Конечно, коллегам из «Узинфоком», которым пришлось разгребать последствия массового заражения, можно только посочувствовать. Мы в «Смартлабе» пару раз сталкивались с такими массовыми заражениями всего сервера — занятие не из приятных. Но никакой вины на «Узинфокоме» нет. «Узинфокому» в этом случае не повезло предоставлять услуги хостинга (на что указывает одинаковый IP всех зараженных сайтов). А что там крутится внутри и насколько безопасно всё написано, дата-центр физически отслеживать не может и не обязан.

 

Почему так произошло?

Потому что на одном из сайтов на хостинге стояла какая-то древняя библиотека, плагин или дырявый движок. Вообще зоопарк госсайтов поражает своим разнообразием фауны и образцами достижений сайтостроительной отрасли начала нулевых. Если сайт Минюста еще написан на кошерном «Битриксе», то стек технологий, использованных для разработки сайтов хокимията города Ташкента или ДТМ, трудно определить даже бывалым г**нокодерам (программистам, создающим нерациональные и/или неоправданно сложные решения — Прим. ред.).

 

Кто виноват?

Как ни странно, никто. Разработчики разработали безопасный на момент сдачи сайт, «Узинфоком» предоставил услуги хостинга, а то, что плагин или движок со временем устареют и уязвимость станет достоянием начинающих хакеров из дружеских развивающихся стран, предсказать никто не мог. Услуги технической поддержки на постоянной платной основе у нас пока отсутствуют как вид. Как правило, всё ограничивается бюджетом на разработку сайта, а дальше доказать кому-то, что нужно периодически обновлять всё это дело (читай — платить), объяснить практически невозможно.

 

И как теперь всё исправить?

Удаление зараженного кода — это абсолютно временная мера. По-хорошему нужно обновить потенциально уязвимые компоненты движков, чтобы залатать дыры и не допустить повторения инцидента. К сожалению, это невозможно. Во-первых, кто это будет делать? Тогдашние разработчики закончили институт и устроились на нормальную работу, а кроме них никто не знает, как там всё внутри устроено. Во-вторых, обновление отдельного компонента не гарантирует, а с вероятностью в 99%, наоборот, приведет к неработоспособности всего сайта из-за несовместимости с текущей версией. Конечно, можно заморочиться и позакрывать права на чтение и привязать доступ по FTP к конкретным MAC-адресам. Но, опять-таки, при таком разнообразии движков это неизвестно к чему приведет. Да и не спасет в 100% случаях. Таким образом, сайты продолжают оставаться уязвимыми. До следующего раза.

 

Что делать-то?

Разработать (или купить готовую) единую SaaS-платформу и разместить на ней все государственные сайты. Что это даст:

— БЕЗОПАСНОСТЬ. Поддерживать и обновлять компоненты единой платформы намного проще и технологически понятнее, чем латать дыры в десятках разных бесплатных, платных и самописных системах.

— Единую концепцию дизайна. Сейчас на некоторые сайты (тот же хокимият города Ташкента или ДТМ) без кровавых слез не взглянешь. Тут интересен пример Великобритании или Австралии, где все государственные сайты имеют единый интерфейс, но со своей структурой и разделами.

— Единые национальные адреса. Сейчас все дают адреса своим сайтам кто во что горазд: mvd.uz, minjust.uz, mudofaa.uz, edu.uz и так далее. Русский, английский, узбекский, аббревиатуры — всё смешалось. Логичным было бы видеть такие адреса: talim.gov.uz, adliya.gov.uz, iiv.gov.uz, soglik.gov.uz.

По типам сайтов можно разделить на сайты министерств, сайты хокимиятов, сайты комитетов и агентств и выработать для них удобную структуру.

Для наполнения контентом создать единый центр, куда все пресс-службы будут высылать свои материалы для публикации на единой платформе. Или предоставлять самостоятельный усеченный доступ на публикацию.

Преимущества такого решения:

1. Безопасность, еще раз.

2. Хокимияты, министерства избавятся от головной боли по разработке и поддержке своих сайтов. Те же деньги пусть лучше платят на развитие и постоянное обновление платформы.

3. Единый стандартизированный порядок и структуру сайтов.

4. Максимальное и действительное соблюдение требований ПКМ №355 (Постановление Кабинета министров «О мерах по внедрению системы оценки состояния развития информационно-коммуникационных технологий в Республике Узбекистан»).

У меня всё, спасибо за внимание. Всем патчей по безопасности за счет заведения.

Источник: Facebook

 

Похожие материалы
Популярное