Sajber Bezbednost

Kako je izvršen hakerski napad na sajt Grada Beograda

 

Proteklog vikenda kome je bila potrebna neka informacija sa zvaničnog sajta Grada Beograda mogao je da primeti da mu non-stop iskaču novi prozori sa dva nova sajta. Tačnije, sajt grada Beograda je bio hakovan.

Nadležnima je, preko zvaničnog Tviter naloga grada, obraćena pažnja na to još u ranim časovima prvog dana vikenda. Međutim, oni su mislili da im je to neka vrsta reklame pa su ovako i odgovorili.

twitter

Dobro, možda ta osoba koja održava Tviter nalog grada i ne zna previše o hakovanju, ali opet na dobronamernu kritiku ne mora da se odgovara cinično.
Pre svega što sajt grada nije privatno vlasništvo, već u vlasništvu svih građana grada Beograda, pa se s toga očekuje i odgovorno ponašanje.

Uglavnom, napad na sajt se nije desio pre jednog dana kako su oni objavili, već u prošli petak.
S obzirom da smo istražili malo slučaj ovog napada, nije u redu da opet objavljuju na svom nalogu da je samo jedan dan bio hakovan sajt.
Pre svega zato što hosting podrška gde se nalazi sajt ne radi preko vikenda!
Malo kasnije ćemo više o tome.

Kako je izvršen hakerski napad na sajt Grada Beograda

S obzirom da smo uradili digitalnu forenziku sajta, dok su još neki spavali tokom vikenda, pogotovu ljudi sa održavanja hostinga, dobili smo sledeće rezultate.

Sajt je hakovan javascript kodom, odnosno zaražen je sa Malware zlonamernim softverom, tako da je urađena redirekcija na druga dva sajta.
Jedan je informativnog karaktera, a drugi prodaja nekretnina.

Kako je izvršen hakerski napad na sajt Grada Beograda

Ovo je slika, skeniranog sajta grada Beograda.
Ovde vidimo koliko se zlonamerni softver proširio na serveru, odnosno koji su sve fajlovi bili na udaru.
Verovatno se mnogi sada pitaju, pa šta ima veze, nije to ništa opasno, samo redirekcija na druge sajtove.
Da, ako se gleda tako, nije ništa opasno, ali ako se postave stvari drugačije onda to i ne izgleda baš tako bezazleno.

Kakav je server i hosting sajta ?

Veb portal, odnosno sajt grada, mora pre svega da ima obezbeđen hosting na najvišem sigurnosnom nivou.
To znači da kompanija koja pruža uslugu hostinga, mora da ima bezbedne servere i tehničku podršku 24 sata dnevno, 365 dana u godini!

Zašto mora da ima?
Prvo i pre svega, zato što se na tim serverima nalaze razna dokumenta, razne email adrese i drugi podaci korisnika.
Ono što smo mi videli da je slučaj sa jednom od najpoznatijih hosting kompanija kod nas, jeste da su im serveri bušni kao švajcarski sir, a o bezbednosti i da ne pričamo.
Nećemo ih spominjati ovde, ali vrlo lako možete da saznate gde je hostovan sajt grada Beograda.

U ovom slučaju sajt grada Beograda apsolutno nije bio obezbeđen na serverima, s obzirom na to da smo videli sve portove koji su im bili otvoreni, kao i fajlove koji su vrlo lako mogli biti zaraženi, odnosno obrisani potpuno.

Dakle, za ovaj slučaj odgovornost snosi hosting kompanija, kao i njena tehnička podrška, odnosno svi oni koji su radili na održavanju ovog sajta.
Ne možemo da tvrdimo da je bilo propusta u kodiranju sajta, s obzirom da je urađen u php i javascript jeziku uz potrebu jQuery biblioteka i dodataka.

Sajber bezbednost institucija

Važna institucija kao što je grad Beograd, mora da ima u svom sektoru obučene ljude koji će znati šta se dešava u određenom momentu na serverima, kao i na samom sajtu.
S obzirom na to da se na serveru nalaze probne verzije sajta i testovi i wap-ovi, mislimo da je vreme da neko zavrne dobro rukave i da im sredi sve nedostatke.

Ovo je potrebno uraditi iz razloga što nije nužno da je napad direktno urađen kroz „rupe“ na serveru (u ovom slučaju jeste) ili na samom sajtu u skripatama, već može biti i kroz zaostale fajlove koji stoje potpuno nezaštićeno na serveru.

Dakle, ovaj napad je bilo plaćen, s obzirom na linkove koje smo videli gde nas vode. Radi se o dve vrlo jake firme u našem komšiluku, jedna od njih se bavi nekretninama za rusko-crnogorsko tržište.
Nećemo spominjati ko je u pitanju, jer ne radimo besplatne reklame.

Pričinjena šteta od ove vrste hakovanja ?

Da vidimo šta je problem zapravo sa ovom vrstom hakovanja.
Onog momenta kada kliknete na sajtove zaražene Melverom, stavljate u rizik da zarazite i vlastitu mrežu ili računar.

Ono što je glavno u ovoj priči, a što verovantno većini onih koji će tražiti opravdanje izgleda bezazleno, jeste šta ako je neko od nas kliknuo na sajt grada i umesto informacije dobio zaražen računar pun važnih podataka?

Šta ako je kroz „backdoor“ napad, prikupljenja količina raznih podataka sa sajta ili razvaljena baza podataka, kao i sve šifre i pristupi sajtu ?

Šta ako je jedan jedini klik prouzorkovao da moj ili vaš računar bude zaražen Melverom i da ne mogu da ga očistim?

Šta ako bi se desilo da je u ovom slučaju je napravljen drugi hakerski napad, pa da je redirekcija urađena na sajt na kojem biste probali da se registrujete i logujete, a on vam pokupi podatke ? Klasičan Fišing (Phishing)

Šta ako je redirekcija urađena na sajt neke terorističke organizacije, pa onda iskoriste brojeve pregleda u svoje svrhe, kao i podatke o poseticoma sajta ?

Na ova pitanja sigurno niko od onih koji su trebali da održavaju sajt nemaju, jer da imaju, ne bi odgovorili onako kao na prikazanoj gore slici.

Srećom, gore naverene stvari nisu u pitanju u ovom slučaju, već se ovde se radi o napadu koji je proziveo sledeće.

Tim koji je odradio ovaj napad dobio je besplatnu reklamu, odnosno dobio je hiljade klikova samo na osnovu vaših poseta sajta Beograda.

Sada ta ista ekipa, može taj isti sajt da proda za ko zna koliko hiljada evra ili dolara, jer su nakucali posete da nam se zavrti u glavama.

Kakva je skripta korišćena u hakerskom napadu ?

Kao što smo već u nekim ranijim našim objavama pisali o tome kakvi sve hakerski napadi postoje, ovde smo spomenuli da je hakovanje izvedeno javascriptom. Odnosno, zlonamerim javascript softverom (malicious software) i dobili smo Malware

scripta

On se obično dobro kotira kada su slabo obezbeđeni serveri i greške u kodu pri izradi sajta.
Tako da, ako haker želi da odradi napad sa zlonamernim softverom, a u ovom slučaju javascriptom, prvo skenira server.
Kada to završi, kreće sa pregledom otvorenih portova s kojih može napad da izvrši.
Zatim skenira sve foldere i fajlove koji postoje na hostingu.
U ovom slučaju je verovatno bio napadnut svima poznat fajl (htacces ili index page) (programeri znaju) s obzirom da se sama skripta nalazila na index stranici.

Uglavnom, ljudi iz hostinga mogu videti sve promene koje su nastale, i to posetom error log. fajlu.

error_log(message,type,destination,headers);

Ovde vidimo kako je izgledala jedna od dve skripte.

funkcija

Onaj ko je imao nameru ovog napada, tačno je znao kako da pozove funkciju koja bi uradila redirekciju na manje sumnjiv sajt, a da pritom žrtva (odnosno svi mi) ne primeti da svakim klikom otvara iznova novi sajt.

Testiranje na Windows i Linux sistemu

Problematika ovog napada je u tome što većina korisnika Interneta koristi Windows operativne sisteme, na svu sreću mi koristimo Linux, ali u ovom slučaju smo uradili testove i videli zapravo koliku štetu je ovo moglo da nanese.

Naime, ukoliko ste korisnik Windows-a, vi ste jednom samo mogli da kliknete na sajt, odnosno na bilo koji deo menija i skripta bi već bila keširana u vašem računaru.
Svaki sledeći put vi ne biste videli otvoren novi prozor za redirekciju na drugi sajt, jer vam je već keširano sve.

Međutim, kada smo to isto uradili na Linuxu, svako otvaranje, odnosno svaki link koji je postojao u gornjem meniju je otvarao novu stranicu.
Dakle, svaki put kada smo kliknuli na bilo koji link mi smo videli novu stranicu.
To znači da je skripta dobro napravljena i da je prosto registorovala svaki naš klik, kao i onaj koji smo probali na Windows-u da uradimo.

Testiranjem smo i videli da se zapravo skripta ne vidi, a da nam pri svakom drugom otvaranju nekog sajta posle nekog vremena izađe novi sajt.
Sreća pa Linux registruje sve i teško ga je zaraziti, ali uvek treba biti oprezan, pa smo i mi tako bili oprezni.

Uglavnom, naš savet je ukoliko ste preko vikenda posećivali sajt Grada Beograda, prekontrolište vaš računar ili mobilni telefon, s obzirom da ova skripa koja je napravljena ima redirekciju i za mobilne telefone.
To možete videti na slici gore, ukoliko vam je telefon Andorid.

Zaključak

Naše institucije moraju da se pozabave sajber bezbednošću, jer digitalizacija je neminovna stvar koja će se desiti, a ukoliko se nastave ovakvi napadi, ko će štetu plaćati ?

Sajber bezbednost se ne tiče samo bezbednosti na Internetu, jer milioni naših podataka mogu doći u pogrešne ruke, a to niko od nas ne želi da se desi.

Iz ovog slučaja vidimo koliku ulogu igra hosting kompanija.
Važni subjekti ne smeju imati share hosting ( deljeni hosting ) već bezbedne servere koji imaju svoju tehničku podršku sve vreme.
Tehnička podrška koja zna da odgovori na izazove.

Koristite anitvirus programe
Pazite na koje ćete linkove da kliknete
Redovno ažurirajte softvere
Pravite backup-e svojih podataka
Redovno menjajte lozinke na svim nalozima
Pitajte za savet ljude koji imaju iskustva
Vodite računa kojim hosting kompanijama dajete novac i poverenje!

Budmo odgovorni i čuvajmo naše gradove i našu zemlju!

 

 

4 Komentari

  • Hvala Maki, znači nam podrška puno! E, sad za ovaj drugi deo odgovora….razumeli smo se dobro i drago nam je zbog toga!