Хакеры из Челябинска взломали сайт одного из СМИ всего за минуту. Так программисты хотели привлечь внимание к проблеме информационной безопасности: 99 % сайтов, включая банки и госструктуры, хакнуть очень просто. «ФедералПресс» выяснил, насколько уязвимы южноуральцы и коммерческие компании в Сети. Подробности – в материале.
Сегодня мало кто всерьез задумывается об информационной безопасности: по словам программистов, 99 % сайтов хакнуть проще простого. «Взломать сайт банка проще, чем соцсети», – говорят хакеры компании «Ф-лаб».
Чтобы это доказать, в рамках подготовки к региональной IT-конференции Russian IT synergy хакеры (пентестеры – так они себя называют) компании «Ф-лаб» организовали мастер-класс, во время которого взломали сайт «Хорошие новости Челябинской области». Пентестеры фирмы относят себя к «белым» хакерам, которые помогают выявить слабые места в системах безопасности и принять меры по защите.
Все действия происходили с разрешения главного редактора. Программисты в присутствии журналистов всего за одну минуту получили доступ к серверу: паролям, логинам и другой закрытой информации. Зайти в админку быстро не удалось, однако пентестеры заверили, что это просто дело времени – получить доступ можно к любому сайту.
«Проблема в том, что никто не хочет тестировать свои сайты. Все чего-то боятся, – говорит Анна Шопен, представитель компании «Ф-лаб». – Непонятно, чем это вызвано. Либо это менталитет, либо так сложилось исторически. Когда ты приходишь и говоришь: вот ваш ресурс, базу данных уже слили несколько раз, есть вирусы, нам отвечают – нам неинтересно. При этом у крупных банков похищают данные пользователей, а это большой репутационный риск… И люди уходят из таких банков, потому что они оказались не защищены».
От так называемых черных хакеров могут пострадать не только крупные финансовые организации, но и любой другой бизнес. Например, интернет-магазин, который устроил распродажу в «черную пятницу», может «лечь» по вине атаки со стороны. «В головах собственников бизнеса это не перебороть. Должно что-то произойти масштабное, о чем будут рассказывать на всю страну, и то не факт, что это поможет обратить внимание на информационную безопасность», – говорит Шопен.
Под вопросом безопасность и госструктуры, отмечают «белые» хакеры. Далеко не во всех органах власти к IT-безопасности относятся так же строго, как, например, на атомных электростанциях. Так, по словам программистов, один из наиболее уязвимых сайтов в регионе – сайт Контрольно-счетной палаты Челябинской области. Незащищенность перед хакерами касается практически всех интернет-ресурсов.
«Мы не проверяли лично сайт госуслуг, но знаем, что московские коллеги делали это несколько месяцев назад. И все было грустно: персональная информация населения хранится в открытом доступе», – говорит Елена Фельдман, сотрудник «Ф-лаб» и преподаватель Челябинского государственного университета.
Не только личная информация человека может попасть в руки к злоумышленникам. Доступ к гостайне может получить практически любой, кто в этом действительно заинтересован, – достаточно найти того, кто обсуждает в личной переписке государственные дела. Вся переписка чиновников в любых соцсетях и мессенджерах – полностью на совести самих политиков, говорят хакеры. Впрочем, эта проблема не самая глобальная. Вопрос безопасности населения – вот что должно выйти на первый план.
«С 1 января 2020 года заработает постановление, по которому электросчетчики будут передавать показания удаленно на сервер, и эти счетчики должны иметь возможность физического отключения квартиры от электросети, – рассказывает Анна Шопен. – Если хакер получит доступ к системе управления счетчиками, то может произойти авария и мы можем остаться без электричества на неопределенный срок».
Такой случай в мировой практике уже есть. По словам Анны Шопен, полгода назад в Йоханнесбурге была проведена хакерская атака на электроподстанции, которые питают город. Жители оставались полностью без электричества около суток. «Все, что имеет мозг и какое-то управление, всегда можно взломать – вопрос человеческих и временных ресурсов», – делает вывод Шопен.
В ходе мастер-класса пентестеры рассказали и о личной информационной безопасности. Например, заклеивать веб-камеру пластырем – это не вполне паранойя, потому что хакеры действительно могут легко получить доступ к ней без ведома владельца.
«Все зависит от системы, которая у вас стоит. Если у вас, например, Windows 7, то, скорее всего, в компьютере будет критическая уязвимость, через которую я могу получить полный доступ к вашему компьютеру. Камера – это самое меньшее. Я могу создать другого пользователя, записать ваши нажатия на клавиатуру, могу установить и скачать файлы, будто сижу рядом с вами и двигаю вашей мышкой. Такая же проблема есть с Windows 8 и Windows 10, если они не обновлены», – говорит один из анонимных хакеров компании.
Один интересный факт: некоторые приложения на телефоне способны записывать разговоры людей и собирать информацию, передавая на сервер. При этом даже не обязательно, чтобы телефон был в это время подключен к интернету. Как рассказали пентестеры, Instagram в числе таких приложений – программа ищет информацию для того, чтобы показать рекламу, которая интересует пользователя.
Сами хакеры, кстати, относятся к этому совершенно спокойно, считая, что это неизбежность. Главное – соблюдать правила безопасности в Сети. «Лучше никуда не тыкать лишний раз. Как правило, большая часть хакерских атак начинается с безобидных писем с вирусами, – говорит хакер. – И пользоваться проверенными антивирусами – некоторые из них могут сработать».
Еще из рекомендаций: не оставлять свои персональные данные подозрительным компаниям и вовремя обновлять программное обеспечение.
Фото: ФедералПресс/Наталья Горюнова