Maža to – šis medicinos centras linkęs ignoruoti kibernetinio saugumo ekspertų, pirštu badančių į įsilaužimo požymius, rekomendacijas: dar praėjusių metų rudenį jie buvo informuoti, kad į viešąją svetainės snipiskiumc.lt dalį įvykdytas įsilaužimas ir prikurta kelios dešimtys reklaminių polapių, vedančių lankytojus į neaiškios reputacijos interneto erdves, kur reklamuojami vaistai ir galimai vykdoma kita, lankytojams nepastebima neteisėta veikla.
Šiemet tas pats kibernetinio saugumo ekspertas Darius Šveikauskas vėl patikrino Šnipiškių medicinos centro svetainės sveikatą, o padėtis buvo dar blogesnė: įtartino pobūdžio polapių jau buvo ne kelios dešimtys, bet keli šimtai. Bandai į sveikatos centro svetainę patekti per paieškos variklį – gali rasti ne tik oficialią svetainę, bet ir daugybę pasiūlymų įsigyti erekcijos disfunkcijai šalinti skirtų preparatų.
Kibernetinio saugumo ekspertas tvirtina, kad tamsiajame internete pardavinėjami svetainių, kurios yra pažeidžiamos vienokiai ar kitokiai atakai, sąrašai.
Kažkiek guodžia tai, kad Šnipiškių medicinos centro svetainė yra tarsi dviveidė, ji veikia dviem skirtingais režimais: viena – viešoji – svetainės dalis, veikianti per HTTP protokolą, yra skirta tik informacijai apie gydymo įstaigą teikti. Kita svetainės dalis, veikianti per HTTPS protokolą, yra skirta pacientų registracijai ir operuoja asmeniniais pacientų duomenimis. Įsilaužta į pirmąją svetainės dalį, o antroji galimai yra saugi.
Tačiau D.Šveikauskas, atradęs daugybės svetainių kibernetinio saugumo pažeidimų ir informuojantis svetainių šeimininkus apie jų skaitmeninio turto problemas bei kuriantis specializuotą turinio valdymo sistemos „WordPress“ saugumo paslaugų svetainę „ThreatPress“, nurodo, kad piktybiniai programišiai nesunkiai galėtų sukurti lygiai taip pat atrodantį iš pažiūros saugų pacientų registracijos puslapį, kuriame, tarkime, iš pacientų prašytų registracijos mokesčių, išankstinių apmokėjimų už gydymo paslaugas ar mažų mažiausiai vogtų jų asmeninę informaciją, kuria pasinaudojant vėliau galėtų būti vykdoma kita nusikalstama veika.
Pažeidžiamumai išnaudojami automatiškai
Kibernetinio saugumo ekspertas tvirtina, kad tamsiajame internete pardavinėjami svetainių, kurios yra pažeidžiamos vienokiai ar kitokiai atakai, sąrašai. Šiuose sąrašuose gali būti dešimtys, šimtai ir net tūkstančiai svetainių, kurias galima automatizuotai užtvindyti arba reklaminiais polapiais, arba nukreipti į kitas svetaines, kuriose būtų bandoma lankytojų įrenginius užkrėsti kokia nors piktybine programa – tai jau priklauso nuo šių sąrašų pirkėjų fantazijos ir piktavališkumo.
Dėl tokių plačių galimybių – įskaitant ir galimybę tiesiogiai apgauti pacientus bei sukūrus patikimai atrodančią interneto formą išvilioti iš jų pinigus „už registraciją“ arba „už paslaugas“ – D.Šveikauskas mano, kad net ir viešojoje Šnipiškių medicinos centro svetainės dalyje lankytis nėra saugu: svetainė yra pažeista ir akivaizdu, kad jos tikslas – ne dėl tikrųjų jos šeimininkų noro, bet dėl jų aplaidaus požiūrio – nėra sveikatos priežiūra.
Patekimas į tokius parduodamus aukų sąrašus priklauso nuo svetainės administratorių išprusimo ir požiūrio rimtumo: svarbiausias reikalavimas, užtikrinantis svetainių saugumą, yra operatyvus visų naudojamų skaitmeninių įrankių saugumo naujinių įdiegimas vos jiems pasirodžius.
„Daug kam koją dažniausiai pakiša vėlavimas atsinaujinti programinę įrangą. Mechanizmas labai paprastas. Tarkime, svetainė naudoja tam tikrą turinio valdymo sistemą, kažkiek įskiepių jos funkcionalumui praplėsti ir kokį nors šabloną gražesniam vaizdui padaryti. Visi išvardinti komponentai gali būti pažeidžiami ir jei yra surandamas pažeidimas apie jį (geriausiu atveju) pirmas sužino pažeidžiamos programinės įrangos gamintojas, o pagal pranešimą daro atitinkamas korekcijas. Po korekcijų atlikimo yra išplatinama nauja pataisyta versija. Daug kas neafišuoja saugumo spragų taisymo iš karto, kol nėra garantuoti, jog didžioji dalis vartotojų jau atsinaujino tą programinę įrangą į saugią versiją. Bet yra veikėjų, kurie tikrina versijų skirtumus ir dar prieš pažeidžiamumo paviešinimą gali išsiaiškinti, kokia tai spraga ir ją pabandyti išnaudoti pasitelkę pasirašytas automatinio laužimosi sistemas“, – apie programišių darbo metodus pasakojo kibernetinio saugumo ekspertas.
„Surasti svetaines su specifiniais įskiepiais, šablonais ar net turinio valdymo sistemos versija irgi yra itin paprasta. Tai galima padaryti naudojantis „Google“ arba specializuotomis paieškos sistemomis, kurios paiešką orientuoja į svetainės programinį kodą, o ne į turinį, kaip tai mums yra įprasta „Google“ paieškos atveju. Bet ir pats „Google“ turi galimybę duoti daugiau informacijos, nei reikėtų paprastam vartotojui, tai yra taip vadinamas „Google Dorking“, kai yra išnaudojami papildomi paieškos parametrai („Google Advanced Search“), – 15min aiškino D.Šveikauskas.
Reikėtų paminėti, kad kol toks svetimų svetainių išnaudojimas piktybiniais tikslais yra vykdomas automatizuotai, tol grėsmė pačios svetainės savininkams ir svetainės lankytojams nėra itin didelė, o tikimybė patekti į tikrą žalą padaryti galinčias pinkles yra santykinai maža.
Kibernetinio saugumo ekspertas tvirtina, kad pirmas veiksmas, kurį turėtų atlikti infekuotos svetainės šeimininkas – tai ją išjungti.
Kur kas blogiau būtų, jei tokia svetainė – jau įtraukta į programišiams žinomų pažeidžiamų ir pažeistų svetainių sąrašą – patrauktų asmeninį kibernetinių nusikaltėlių dėmesį. Mat skersai ir išilgai suvarpyti susijusias skaitmenines sistemas nėra neįmanoma užduotis – per keletą metų geriau pasikausčiusios programišių grupuotės gali visiškai perimti net ir, atrodytų, pačių slapčiausių, geriausiai apsaugotų svetainių, serverių, skaitmeninių sistemų valdymą.
Pavyzdžiui, konkrečiai Šnipiškių medicinos centro atveju labai panašu, kad įmonės pašto serveris yra tas pats, kaip ir viešosios svetainės. Tokiu atveju programišiams, galimai turintiems prieigą prie darbuotojų elektroninių laiškų, tereikėtų vidury nakties, kai IT saugumą užtikrinantis personalas miega, pateikti prašymą atkurti pamirštus prisijungimo prie serverio su privačiais duomenimis kodus. Nors tai – tik vienas iš kelių dešimčių būdų prasiskverbti gilyn į jau pažeistą įmonės skaitmeninę infrastruktūrą.
D.Šveikauskas pademonstravo, kaip galima būtų sužinoti, ar jūsų svetaine nebuvo kaip nors pasinaudota. Paprasčiausioje „Google“ paieškoje prieš dominančios svetainės pavadinimą įrašykite „site:“ ir gausite sąrašą visų puslapių, esančių toje svetainėje. Jeigu peržiūrėję tą sąrašą rasite, tarkime, turinio ta kalba, kurios svetainėje būti neturėtų, ar tokio turinio, kuris nėra susijęs su svetainės kryptimi, gali būti, kad tinklalapis tapo programišių auka.
Svetainės – kaip staklės: neišjungęs neišvalysi
Kibernetinio saugumo ekspertas tvirtina, kad pirmas veiksmas, kurį turėtų atlikti infekuotos svetainės šeimininkas – tai ją išjungti.
„Stabdydami svetainę apsaugome vartotojus nuo galimų problemų. Veikiančios svetainės valymas yra sunkiai suvokiamas dalykas nes kenkėjiška programinė įranga gali turėti išliekamumo užtikrinimo mechanizmą. Jūs ištrinate vieną kenkėjišką failą, o kitas kenkėjiškas failas, nuolat tikrinantis kitų failų būklę, aptikęs trūkumą daro dar vieną papildomą kopiją į kitą direktoriją. Ir taip gali tęstis be galo.
Valymas irgi yra specifinis procesas, dauguma kompanijų, kurias esu informavęs apie įsilaužimą, pareiškia, kad turi savo IT darbuotojus arba kompaniją, kuri gamino jiems svetainę, ir valymu užsiims su jų pagalba.
Dažnu atveju tai baigiasi pakartotiniu įsilaužimu, nes visų pirma valant reikia ne tik panaikinti padarinius, bet ir išsiaiškinti bei panaikinti priežastį, dėl ko tai nutiko. Be to, dažnai į užkratą žiūrima nerimtai, surandami keli failai, kurie dalyvavo nepageidaujamo turinio generavime, bet pamirštama apie failus, kurie skirti užtikrinti prieigai (vadinamieji „backdoors“).
Dažnai užmirštama pakeisti absoliučiai visus slaptažodžius, susijusius su svetaine ir serveriu, ir tai gali baigtis pasikartojančia ataka.
Svetainių valymui naudojami specialūs įrankiai, kurių pagalba galime identifikuoti visus užkrato failus, šios įrangos esmė yra užkrato programinių kodų biblioteka „Malware signatures“. Pagal atskirus kenkėjiškos programinės įrangos kodo gabaliukus galima identifikuoti užkratą, bet kartais tenka ir peržiūrinėti bylas rankiniu arba pusiau automatiniu būdu. Svarbu yra nenuvertinti įsilaužėlių, nes jie mąsto kitaip nei įprasti programuotojai, jie nesilaiko programavimo standartų ar taisyklių, todėl tikėtis galima visko, net pačių keisčiausių ir sunkiai suprantamų sprendimų“, – infekuotų svetainių valymo procesą nusakė D.Šveikauskas.
Interneto valytojams darbo – per akis
Jis neslėpė, kad ir pats teikia tokiu būdu infekuotų svetainių valymo paslaugas. „Vieną iš sudėtingesnių valymų dariau prieš savaitę, paskyra su 11 svetainių, buvo dirbama praktiškai dvi paras be sustojimo, dviese, kad išvalius atgal visą tą kalną failų sukeltume, slaptažodžius pakeistume ir taip toliau“, – sakė IT saugumo ekspertas.
Saugumo ekspertas pripažino, kad neretai sulaukia kaltinimų, jog čia jis pats svetaines užkrečia ir vėliau siūlo jų valymo paslaugas, o kartais net sulaukia grasinimų, kad dėl siūlymų padėti bus kreiptasi į pareigūnus. Tačiau D.Šveikauskas tikina, jog internete užkrėstų svetainių kiekis yra toks didelis, jog nėra jokios prasmės rizikuoti savo reputacija, o darbo ir taip per akis.
Štai vien atlikus tokią paiešką pagal raktinius žodžius „hacked by general“ rasite daugiau nei 75 000 rezultatų. Pačiu optimistiškiausiu atveju galima būtų atmesti pusę šių rezultatų kaip besikartojančius ar kaip aptarinėjančius įsilaužėlio darbą. Lieka daugiau nei 30 tūkst. svetainių, kurių įsilaužėlis paliko identišką parašą – savotišką įsilaužėlio grafitį (arba užrašą „Čia buvo Vasia“). D.Šveikausko teigimu, iš viso pasaulyje šiuo momentu galima būtų suskaičiuoti apie 2 milijonus užkrėstų svetainių.
Kibernetinio saugumo ignoravimas gali vėjais paleisti daugelį metų darbo
„Tai yra ne tik reputacijos klausimas, bet ir didelis laiko bei kitų resursų švaistymas. Pastaruosius dešimt metų visi buvo taip susikoncentravę į SEO optimizaciją, kad pamiršo apie kitus dalykus kaip šiuo atveju saugumą. Visas SEO specialistų darytas įdirbis gali būti sugriautas per vieną ataką, kai su jūsų interneto svetaine susieti „Google“ ar kitos paieškos rezultatai bus užteršti nepageidaujamų puslapių rezultatais, kaip šiuo atveju – farmacijos produktų reklamos rezultatais“, – tikino D.Šveikauskas.
„Itin greitai tų indeksuotų rezultatų neišvalysi, tai nėra valandos ar paros klausimas, be to gali būti papildomų neigiamų pasekmių, kaip „Google“ reklaminių kampanijų blokavimas, mat „Google“, identifikavę svetainę kaip kenkėjišką ar nulaužtą, sustabdo reklamų pirkimą ir pardavimą, jei esate reklamos skydelių rodytojas“, – papildomą įsilaužimo žalą svetainių savininkams nurodė ekspertas.
„Šnipiškių medicinos centras“ nelinkęs nei bendrauti, nei susitvarkyti
Rengiant šią publikaciją buvo nusiųstas elektroninis laiškas su patikslinančiais klausimais apie kibernetinio saugumo situaciją ir „Šnipiškių medicinos centro“ administracijai.
Susisiekus telefonu gautas patvirtinimas, kad laišką vadovai gavo ir su teisininkais svarsto, kaip į klausimus atsakyti, tačiau per daugiau nei savaitę nuo laiško išsiuntimo savo atsakymų pateikti nesugebėjo, tačiau įstaigos vadovas telefonu tikino, jog asmeniniai pacientų duomenys yra absoliučiai saugūs, nes yra kitoje tarnybinėje stotyje, nei svetainė, į kurią buvo įsilaužta.
Kita vertus, net ir praėjus savaitei po to, kai įmonės vadovas sužinojo, jog medicinos centro svetainės kibernetinio saugumo problemomis susidomėjo ir žiniasklaida, panašu, jokių veiksmų imtis neketina arba veiksmai, kurių imtasi, nebuvo efektyvūs: „Google“ paieška pagal paieškos terminą „site: snipiskiumc.lt“ vis dar rodo pasiūlymus įsigyti neaiškios kilmės vaistų.