CERT-LT primena: programišių bandymai užvaldyti interneto svetaines vyksta nuolat
Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys CERT-LT ragina interneto svetaines valdančias įmones ir organizacijas nepamiršti nuolat rūpintis jų saugumu.
Keli metai iš eilės CERT-LT ištiria vis daugiau incidentų susijusių su tinklalapių užvaldymu. 2015 m. CERT-LT ištyrė 6 975 informacinių sistemų (daugiausia – tinklalapių) užvaldymo atvejus (2014 m. užvaldymų buvo 4 853, t.y. užvaldymo atvejų skaičius per metus išaugo 44 proc.). Pagal turimus duomenis, kasdien būna užvaldomi nuo 7-8 iki 35-40 tinklalapių, kurių prieglobos paslauga teikiama Lietuvos teritorijoje. Per šiuos metus jau ištirta 612 užvaldymo atveju (168 -tinklalapių).
Tinklalapių užvaldymo atvejai būna:
1) „slapti“, kai programišiams paranku, kad svetainės valdytojas kuo ilgiau nežinotų apie užvaldymo faktą, o svetainės resursai naudojami kenkimo veiklai (įskaitant kitų užvaldymų vykdymą), 1 pavyzdys;
2) „vieši“, kai pagrindiniame svetainės puslapyje patalpinamas programišiaus ar programišių grupuotės logotipas ir pranešimas (angl. defacement), 2 pavyzdys.
Atliktų tyrimų duomenys rodo, kad dauguma aptiktų užvaldymo atvejų atliekami automatizuotomis priemonėmis, pasitelkiant botų tinklus, įterpiant kenkimo kodą į prastai apsaugotas interneto svetaines, dažniausiai išnaudojant pasenusių turinio valdymo sistemų saugumo spragas.
Interneto svetainių užvaldymas dažniausiai vyksta pagal tokį arba panašų scenarijų:
1) automatinėmis priemonėmis skenuojami tinklalapiai;
2) fiksuojami tinklalapiai, kurie turi saugumo spragų arba nesaugią turinio valdymo sistemą (TVS);
3) automatizuotu arba rankiniu būdu (dažniausiai automatizuotu) bandoma užvaldyti pasirinktą tinklalapį, įterpiant į jį kenkimo kodą arba pakeičiant pagrindinį svetainės puslapį.
Todėl įmonėms, kuriančioms svetaines, ir svetainių valdytojams CERT-LT rekomenduoja:
1) Nenaudoti nereikalingų TVS papildinių (angl. extentions, plugins), kadangi nemažai tinklalapių būna užvaldyti dėl nesaugių papildinių.
2) Nuolat atnaujinti tiek TVS, tiek naudojamus TVS papildinius.
3) Reguliariai keisti TVS administratoriaus slaptažodį, kuris turi būti pakankamai sudėtingas. Taip pat riboti prieigą prie administravimo aplinkos pagal IP adresus.
4) Esant galimybei naudoti svetainės ugniasienę.
Susidūrus su incidentu, prašome nedelsiant pranešti CERT-LT, užpildant specialią formą adresu https://www.nksc.lt/pranesti.html, rašant el. pašto adresu cert[a]cert.lt, arba skambinant telefonu +370 5 210 5679.
Naudinga informacija apie saugumą internete skelbiama svetainėse www.nksc.lt ir www.esaugumas.lt. Be to, CERT-LT skelbia įspėjimus apie kibernetinius incidentus bei trumpas kibernetinio saugumo naujienas socialiniame tinkle „Twitter“ (https://twitter.com/cert_lt).
Užvaldytų tinklalapių pavyzdžiai:
1 pav. Angler kenkimo kodu užvaldytos svetainės html kodas.
2 pav. „Defacement“ tinklalapis ir jo html kodas.