Seimo tinkle – įsilaužimo pėdsakai: į ekspertų pranešimus nereaguota pusantrų metų

Kibernetinio saugumo ekspertas, projekto esec.lt atstovas Darius Povilaitis 15min redakciją informavo aptikęs įsilaužimo į Lietuvos Respublikos Seimo tinkle esančias svetaines pėdsakų. Jis neatmeta tikimybės, kad šios institucijos problemos kibernetinio saugumo srityje neapsiriboja vien išoriškai matomais požymiais – jos gali būti kur kas gilesnės.
Taip turėtų atrodyti Seimo nario Artūro Skardžiaus svetainė
Taip turėtų atrodyti Seimo nario Artūro Skardžiaus svetainė

D.Povilaitis pademonstravo, kaip pirmą kartą bandant prisijungti prie Seimo nario Artūro Skardžiaus interneto svetainės vartotojai būna nukreipiami į „Olybet“ interneto lošimų svetainę, prieš tai trumpam užsukant į „Cobalten.com“ svetainę. Prie tos pačios svetainės jungiantis antrą kartą, ji iš pažiūros veikia korektiškai. Po redakcijos kreipimosi į Nacionainį kibernetinio saugumo centrą A.Skardžiaus svetainė tapo nebeprieinama internetu.

Pirmieji pakeitimai šioje svetainėje veikiausiai padaryti bent prieš porą metų, tačiau svetainės turinio modifikavimai buvo vykdomi itin aktyviai ir iki šių dienų.

Įsilaužimų medžiotojas išsiaiškino, kad pakeitimai šioje svetainėje veikiausiai padaryti bent prieš porą metų, tačiau svetainės turinio modifikavimai buvo vykdomi itin aktyviai ir iki šių dienų – straipsnio rašymo metu paskutiniai įrašai, kurių šioje svetainėje būti veikiausiai neturėjo, publikuoti 2018 m. liepos 20 dieną, nauja informacija į „nekategorizuotų“ naujienų skiltį įkeliama beveik kiekvieną dieną, kartais – ir ne po kartą.

Pagal svetainės IP adresą nustatyta, kad ši svetainė priklauso Seimo tinklui. Tam pačiam tinklui priklauso ir dar viena tikriausiai ne pagal pradinį sumanymą veikianti svetainė: www3.lrs.lt, kuri nukreipė į informaciją apie kompiuterinį žaidimą.

Nors nepaneigiamų įrodymų tam ir neturi, D.Povilaitis dalijosi įtarimais, jog išoriškai matomi nekorektiški svetainių veikimo požymiai tėra ledkalnio viršūnė: jeigu į Seimo tinklą programišiai prasiskverbė prieš kelerius metus, galėjo būti pridaryta ir žalos, kurios niekaip negalima būtų priskirti skaitmeniniam chuliganizmui. „Svetainė yra Seimui priklausančiame tinkle, ir iš jos su labai didele tikimybe galima užvaldyti kitas Seimo sistemas bei resursus bei gauti prieigą prie praktiškai bet kokios informacijos. Saugumo testuotojai žino – tai labai pavojinga situacija, kuri įsilaužėliui leidžia skverbtis gilyn į tinklą“, – savo tinklaraščio įraše apie šį incidentą rašė ekspertas.

15min redakcija susisiekė ir apie skaitmeninį incidentą informavo Krašto apsaugos ministerijai pavaldų Nacionalinį kibernetinio saugumo centrą (NKSC). Po šios institucijos informavimo A.Skardžiaus interneto puslapis tapo nebeprieinamu.

Nepriklausoma ekspertė: žala galėjo būti tikrai didelė

Etinio hakinimo ir internetinių pažeidžiamumų mokymų organizatoriai „Cyber Security Academy“ (CSA) mano, jog atrasti saugumo pažeidimai Seimo tinkle iš tiesų gali būti kur kas gilesnių problemų ženklas.

Negalima atmesti tikimybės, jog įsilaužėliai galėjo gauti prieigą ir prie kitų tarnybinių stočių ar net darbuotojų kompiuterių.

„Padaryta žala gali būti tikrai didelė. Atliktas tyrimas atskleidžia ne tik tai, jog yra saugumo spragų, bet ir kad jomis įsilaužėliai naudojasi nuo 2016-ųjų metų. Tokia situacija parodo, kad interneto aplikacijų saugumo spragos yra realios ir keliančios pavojų, tačiau gali būti įvairių priežasčių, tokių kaip kompetencijos trūkumas arba nepakankamas dėmesys detalėms, tokias spragas pastebėti ar tinkamai įvertinti jų grėsmę“, – 15min rašė CSA kibernetinių saugumo mokymų projekto vadovė Monika Žemgulytė.

„Įprastai nusikaltėliai patekę į vidinį organizacijos tinklą labai greitai pasidaro atsarginę prieigą (angl. backdoors) prie tų pačių sistemų, jeigu būtų aptiktas pirminis jų įsiskverbimo taškas – šiuo atveju spraga interneto svetainėje. Nusikaltėliai įdiegia papildomas aplikacijas į darbinius kompiuterius, serverius, pakeičia jų konfigūraciją, kad keliais mygtukų paspaudimais galėtų greitai ir bet kada gauti prieigą prie vidinio organizacijos tinklo“, – aiškino ekspertė.

Žinant, kad prie Seimo informacinių sistemų internetu jungiasi ir kitos valstybinės institucijos, negalima atmesti tikimybės, jog įsilaužėliai galėjo gauti prieigą ir prie kitų tarnybinių stočių ar net darbuotojų kompiuterių – rinktų jų prisijungimo prie darbinių sistemų, elektroninio pašto dėžučių slaptažodžius, stebėti visus kompiuteriu atliekamus veiksmus (skaitant klavišų paspaudimus), klausytis per kompiuterio mikrofonus, stebėti per vaizdo kameras.

Reikės ilgai ir brangiai tikrinti, kokia yra tikroji padaryta žala – tam reikės ir techninių, ir finansinių išteklių.

Anot ekspertės, didžiulėje Seimo informacinių sistemų infrastruktūroje dar reikės ilgai ir brangiai tikrinti, kokia yra tikroji padaryta žala – tam reikės ir techninių, ir finansinių išteklių. Reikės išsiaiškinti, kokios dar sistemos galėjo būti užkrėstos, kiek giliai prasiskverbta į vidinius Seimo tinklus, ar buvo užkrėsti darbuotojų kompiuteriai.

„Po to turėtų būti vykdomas sistemų atnaujinimas, perkonfigūravimas, perrašymas, kad visos galimos nusikaltėlių atliktos konfigūracijos būtų atstatytos. Galiausiai turi būti padarytos išvados per kokias saugumo spragas buvo įsilaužta, ar buvo naudojami įrankiai tokioms saugumo spragoms pastebėti ir kodėl nebuvo aptiktas toks įsilaužimas“, – rašė M. Žemgulytė.

Kibernetinio saugumo centras dramos nemato

NKSC specialistai informavo, kad apie įsilaužimą į svetainę skardzius.lt jiems yra žinoma ne trumpiau nei nuo 2017 m. vasario mėnesio: anksčiau dabartines NKSC funkcijas vykdęs Ryšių reguliavimo tarnybos CERT-LT padalinys apie svetainėje skardzius.lt paskelbtus įrašus tuo metu informavo už Seimo tinklo priežiūrą atsakingus asmenis, tačiau iš Seimo pusės nebuvo imtasi jokių veiksmų – nei įrašų pašalinimo, nei informacinių sistemų saugumą užtikrinančių naujinių įdiegimo. Po redakcijos kreipimosi NKSC incidentą registravo Incidentų valdymo sistemoje ir apie jį informavo Kibernetinio saugumo incidentų tyrimų (KSIT) tinkle Seimo registruotus asmenis, iš kurių laukiamas minimų incidentų vertinimas ir detali informacija.

Įsilaužimas yra tipinis ir niekuo nesiskiria nuo kitų įsilaužimų, kai, pasinaudojant esamomis spragomis svetainėje, į ją patalpinamas žalingas programinis kodas ar iškreipiama svetainėje skelbiama informacija/turinys.

NKSC vertinimu, šis įsilaužimas yra tipinis ir niekuo nesiskiria nuo kitų įsilaužimų, kai, pasinaudojant esamomis spragomis svetainėje, į ją patalpinamas žalingas programinis kodas ar iškreipiama svetainėje skelbiama informacija/turinys. Aptiktas žalingas programinis kodas yra dažnai pasitaikantis ir jau anksčiau buvo fiksuotas šimtuose kitų Lietuvoje registruotų svetainių. Atkreipiamas dėmesys į tai, kad incidentas nėra išskirtinis ar nukreiptas prieš nurodytą asmenį, nes toks žalingas programinis kodas ar užvaldymai automatiškai įdedami visoms pažeidžiamoms svetainėms.

Tačiau tenka konstatuoti faktą, kad asmenys, atsakingi už Seimo informacinių sistemų saugumą, nesiėmė priemonių, kurios apsaugotų nuo automatizuotų įsilaužimų į svetaines, kurie vykdomi išnaudojant viešai žinomas saugumo spragas, kurioms dažniausiai jau būna sukurti ir spragas šalinantys programiniai naujiniai. NKSC daro išvadą, kad dėl programavimo klaidų, neteisingos architektūros arba naudojamos pasenusios programinės įrangos yra tikimybė, kad ir kitos Seimui priklausančios svetainės gali būti pažeidžiamos.

Pagal Lietuvoje galiojančius įstatymus, NKSC šio incidento valdymą galėtų perimti tik tuo atveju, jeigu už sistemas atsakinga institucija (t. y., Seimas) neturėtų pakankamų pajėgumų incidentą suvaldyti savarankiškai. Esant poreikiui, NKSC atliks visų Seimui priklausančių svetainių pažeidžiamumų skenavimą ir teiks pagalbą bei konsultacijas šalinant incidentą.

Seimas: A.Skardžiaus svetainė mūsų, bet ne mūsų

Seimo kanceliarija, paklausta, kodėl nebuvo reaguota į CERT-LT pranešimą apie įvykdytą įsilaužimą į skardzius.lt svetainę, atsakė, jog šioji svetainė, nors ir naudoja Seimo kanceliarijos techninę infrastruktūrą (aparatinę ir programinę įrangą), nėra Seimo kanceliarijos valdomų ir tvarkomų informacinių sistemų dalis. O įsilaužimas į skardzius.lt svetainę, esą, „nesudarė galimybės įsilaužti į Seimo kanceliarijos valdomas ir tvarkomas informacines sistemas“ bei kėlė grėsmę tik patiems svetainės lankytojams.

Artūras Skardžius nieko nežinojo

Seimo narys Artūras Skardžius 15min sakė, kad apie įsilaužimą į svetainę nieko nežinojo nei 2017 m. vasarį, nei iki tol, nei po to – ir apskritai jis šia svetaine nesinaudoja (nors turinio atnaujinimai anglų kalba bent jau iki 2018 m. liepos 20 d. šioje svetainėje buvo neteisėtai talpinami nuo kelių kartų per savaitę iki kelių kartų per dieną).

Liepos 25 dieną svetainės skiltis, kurioje buvo galima rasti šiuos programišių įkeliamus atnaujinimus, nebebuvo prieinama.

„Kodėl čia jums parūpo? Ką jus čia užsiiminėjate ne savo darbu?“, – perklausė Seimo narys, nesupratęs, kodėl žurnalistai domisi ne tik jo žemės nuomos, bet ir interneto svetainės klausimais. Išaiškinus, kad skambinantis žurnalistas yra ne iš žurnalistinių tyrimų, kuris atskleidė A.Skardžiaus ryšius su energetikos įmonėmis, o iš Mokslo ir IT naujienų skyriaus, politikas bendravo draugiškiau.

„Į tą svetainę pas mane ten nuolat įsilaužinėja po to, kai pradėjau vadovauti Seimo Specialiajai tyrimų komisijai. Buvo tiek atakų – ir į Seimo, ir į šitą svetainę – kad aš jau net nekreipiu dėmesio į tą psichologinį terorizmą“, – sakė A.Skardžius.

Politikas nesugebėjo atsakyti, kas rūpinasi jo interneto svetainės saugumu ir turinio atnaujinimu. „Apsaugosim. Aš ja nesinaudoju“, – pažadėjo A.Skardžius.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Pasisemti ilgaamžiškumo – į SPA VILNIUS
Akiratyje – žiniasklaida: ką veiks žurnalistai, kai tekstus rašys „Chat GPT“?
Reklama
Išmanesnis apšvietimas namuose su JUNG DALI-2
Reklama
„Assorti“ asortimento vadovė G.Azguridienė: ieškantiems, kuo nustebinti Kalėdoms, turime ir dovanų, ir idėjų