Дырявые сайты – чем обернется взлом ProZorro и Центризбиркома

В ночь с 20 на 21 августа хакеры из волонтерской организации «Киберальянс» взломали сайт Центральной избирательной комиссии и сообщили об этом у себя в Facebook, опубликовав в подтверждение скрин взлома, повідомляє UBR.

Впрочем, как рассказывают сами волонтеры-хакеры, побудило их к этому отнюдь не желание похулиганить, а стремление найти уязвимость государственных сайтов, которые в условиях гибридной войны подвергаются кибератакам извне. ЦИК в качестве цели была выбрана неслучайно – на носу президентские выборы. А в 2014-м сайт комиссии уже ломали - тогда лидером гонки был назван второстепенный кандидат.

Дырявые сайты

Хакеры без труда обнаружили слабое место у сайта ЦИК – он подвержен межсайтовому скриптингу типа XSS. Web-страница ведомства была взломана, доказательства опубликованы. Но результаты этой кампании оказались весьма неожиданными.

В ответ на это ЦИК у себя на странице в Facebook заявила, что взлома как такового не было, а реестр избирателей под надежной защитой, поскольку вообще никак не связан с интернет. Хотя чиновник Госреестра ЦИК Александр Стельмах признал, что указанная уязвимость действительно существует. Но никаких реальных угроз она не несет. В подтверждение своих слов он сам взломал сайт, но не ЦИК, а ProZorro. С тем, чтобы доказать «бессмысленность такого вмешательства».

Данное заявление, вероятно, должно было успокоить людей, но вышло наоборот. Дело в том, что ранее СМИ уже сообщали, что дельцы предлагают участникам торгов купить информацию о ставках их конкурентов в ходе проведения аукционов. Эти данные в теории не должны быть известны никому заранее.

ProZorro под угрозой

В ProZorro факт наличия уязвимости признали. Но сообщили, что никаких последствий она иметь не может, а техническая служба уже работает над исправлением.

«Межсайтовый скриптинг действительно потенциально опасен, но только при наличии функции «персональный кабинет» и необходимости авторизации пользователей. У нас этого нет», - прокомментировала пресс-секретарь ProZorro Анна Базыма. На сайте организации сообщается, что обнаруженная уязвимость будет исправлена до конца текущего месяца.

Специалисты по кибербезопасности, однако, отмечают, что проблемы могут быть серьезнее, чем рассказывают официальные лица.

«Благодаря этой проблеме в код сайта можно внести изменения и встроить ссылку на сайте тех же ЦИК или ProZorro. Вы откроете эту ссылку и заразите свой компьютер. Вторая угроза заключается в том, что, если эта страница открыта у администратора сайта, а скрипт должен украсть его учетные данные, то они попадут в руки злоумышленников. О проблеме в ProZorro мы говорили еще два года назад, а воз и ныне там», - прокомментировал UBR.ua директор Лаборатории компьютерной криминалистики CyberLab Сергей Прокопенко.

Эксперты утверждают, что злоумышленники при подобной уязвимости могут совершать следующие действия:

1. Взломать учетные записи администратора или чиновника АМКУ, который мониторит тендеры, и получить доступ к закрытым данным по предложениям конкурентов и таким образом нечестно выиграть тендер на электронных торгах.
2. Изменить данные, которые будут видны участнику торгов. Если, к примеру, указана сумма тендера 1 млн. грн., то участники увидят на сайте сумму 1 грн. При этом в базе данных цифра не изменится, поменяется лишь ее отображение.
3. Создавать конкретному пользователю технические сложности в пользовании сайтом, он не сможет загрузить на торги нужную информацию.
4. Загружать вирусы на сайт и использовать его как площадку-разносчик вирусов, ведь государственным сайтам люди доверяют больше. Так уже было с нашумевшим вирусом Petya.A и другими.

Что делать?

Скандал с ЦИК и ProZorro вскрыл куда более серьезную проблему. Дело в том, что XSS-скриптинг довольно простенькое оружие, доступное даже студенту. Если государственные сайты, которые должны бы усиленно защищаться, имеют подобные уязвимости, возникает вопрос: насколько эффективна система кибербезопасности в стране?

«Если такие детские ошибки допускаются в софте, который проходит проверку и получает одобрение Госспецсвязи, то о чем мы вообще говорим?!» - удивляется Прокопенко.

В то же время глава Интернет-ассоциации Украины Александр Федиенко полагает, что проблема связана с низкой культурой профилактики киберугроз на местах.

«Госспецсвязи работает над усилением безопасности, у государства есть стратегия по защите собственных информационных ресурсов. Проблема на местах. У нас все говорят о кибербезопасности, но культуры профилактики угроз на местах нет», - прокомментировал он.

Проблемы бывают и в передовых странах, важно только оперативно устранять проблемы. «Поведение команды ProZorro показывает ее прогрессивность. Они увидели проблему и начали устранять ее без нервной реакции», - добавил он.

Эксперты предлагают искать решение проблемы с уязвимостью информационных ресурсов государства в опыте передовых стран. Там публикуется исходный код государственных сайтов, его изучают и проверяют эксперты и хакеры. На основе этого кода создаются сайты всех государственных структур. Это и дешевле, и эффективнее.

«Должен быть единый исходный код. У нас каждая организация заказывает сайты у знакомых, у племянников руководителя, и каждый строит что-то свое, причем каждый ресурс строится с нуля. На это уходит много денег, но никто не может гарантировать безопасность», - резюмирует Прокопенко.