Τετάρτη 2 Ιανουαρίου 2013

Κυβερνοεπίθεση στο Εθνικό Τυπογραφείο από τους HighTech Brazil HackTeam

Λίγες ώρες μετά το ξεκίνημα του 2013, η πρώτη επίθεση δεν άργησε να έρθει και το January-effect επιβεβαιώθηκε με το χειρότερο τρόπο: Βραζιλιάνοι (!)  hackers προχώρησαν σε κυβερνοεπίθεση και αλλοίωση ιστοσελίδας εναντίον του Ελληνικού Εθνικού Τυπογραφείου. Συγκεκριμένα η συντακτική ομάδα του SecNews εντόπισε αναφορές σε ιστοσελίδες του εξωτερικού σχετικά με επίθεση…
Βραζιλιάνων hackers σε Ελληνικές κυβερνητικές ιστοσελίδες, μεταξύ των οποίων και της ιστοσελίδας του Εθνικού Τυπογραφείου.

Το Εθνικό Τυπογραφείο είναι τεχνική παραγωγική μονάδα γραφικών τεχνών και η γενική του αρμοδιότητα συνίσταται στην έκδοση και κυκλοφορία της Εφημερίδας της Κυβερνήσεως καθώς και στην κάλυψη των εκτυπωτικών αναγκών των Δημοσίων Υπηρεσιών.

Οι Βραζιλιάνοι hackers  με τα ψευδώνυμα “o\One – CrazyDuck – Otrasher – L34NDR0” που ανήκουν στην γνωστή ομάδα “HighTech Brazil HackTeam” προχώρησαν σε αλλοίωση της κεντρικής ιστοσελίδας του Εθνικού Τυπογραφείου όπως είναι εμφανές παρακάτω:
Οι hackers στο μήνυμά τους δεν ξεκαθαρίζουν τους λόγους της επίθεσης ή τι δεδομένα άντλησαν από την ιστοσελίδα ή τις υποδομές του Εθνικού Τυπογραφείου.

Η ομάδα HighTech Brazil είναι μια σχετικά νέα αλλά εξαιρετικά δραστηριοποιούμενη τον τελευταίο καιρό ομάδα, με πολλαπλά και εντυπωσιακά επιτυχή χτυπήματα στο ενεργητικό της. Η ομάδα έχει πραγματοποιήσει επιθέσεις εναντίον κυβερνητικών ιστοσελίδων (και όχι μόνο) σε όλο τον κόσμο (ακόμα και σε στόχους υψηλού ρίσκου και σημαντικότητας όπως η Interpol). Πιθανολογούμε λοιπόν οτι η εξαιρετικά ενεργητική ομάδα έστρεψε τα “ηλεκτρονικά” πυρά της εναντίον Ελληνικών στόχων για λόγους που παραμένουν αδιευκρίνιστοι μέχρι αυτή την στιγμή.

Από την φύση της επίθεσης, θεωρούμε οτι η επίθεση πραγματοποιήθηκε με χρήση κάποιας αδυναμίας του εξυπηρετητή ιστοσελίδων που επέτρεψε ανάρτηση αλλοιωμένου περιεχομένου. Η επίθεση πιθανόν να είναι σε προκαταρκτικό στάδιο, κάτι το οποίο σημαίνει οτι οι αρμόδιοι διαχειριστές θα πρέπει να δράσουν ΑΜΕΣΑ ωστε να περιορίσουν στο μέγιστο βαθμό την έκθεση των δεδομένων του Ε.Τ στους επιτιθέμενους. Ένα παράδοξο γεγονός που διαπιστώσαμε ως προς τα τεχνικά στοιχεία της επίθεσης είναι ότι έχει αλλοιωθεί η κεντρική ιστοσελίδα (πιθανόν λόγω κάποιας αδυναμίας του λογισμικού του εξυπηρετητή όπως αναφέραμε) ΑΛΛΑ οι εσωτερικές ιστοσελίδες παραμένουν προσβάσιμες και ΜΗ ΑΛΛΟΙΩΜΕΝΕΣ (δείτε για παράδειγμα [εδώ] και [εδώ]. Το γεγόνος αυτό επιτρέπει τον μη άμεσο εντοπισμό της επίθεσης από επισκέπτες της ιστοσελίδας κυρίως για όσους διαθέτουν bookmarks συνδέσμων πρός το Εθνικό Τυπογραφείο.

Τα πληροφοριακά συστήματα του Εθνικού Τυπογραφείου (συμπεριλαμβανομένης και της ιστοσελίδας) είναι εντός του δικτύου Syzefxis, που εξυπηρετεί το σύνολο σχεδόν του Δημοσίου τομέα  δομημένο θεωρητικά σύμφωνα με όλες τις σύγχρονες προδιαγραφές ασφάλειας. Πως όμως είναι δυνατόν hackers με απλές μεθόδους (όπως διαπιστώνουν ειδικοί που επικοινώνησαν μαζί μας μετά την δημοσιοποίηση του περιστατικού) να αλλοιώνουν ιστοσελίδες που βρίσκονται εντός αυτού και μάλιστα υψηλής επισκεψιμότητας καθημερινά από χιλιάδες ανυποψίαστους πολίτες?

Άραγε τι θα γίνει σε περίπτωση χρήσης της ιστοσελίδας από κακόβουλους hackers για διασπορά κακόβουλου λογισμικού ή παράνομου υλικού μέσω κυβερνητικών δικτύων ή φορέων?

Πιθανολογούμε ότι το Syzefxis ώς πάροχος ΔΕΝ ΦΕΡΕΙ ουσιαστικά την ευθύνη διαχείρισης των εξυπηρετητών του εκάστοτε φορέα αλλά παρέχει απλά το μέσο πρόσβασης. Θα πρέπει να ληφθεί συνολική μέριμνα ώστε να διασφαλιστούν τουλάχιστον οι φορείς που διαχειρίζονται ευαίσθητα προσωπικά δεδομένα, αντλώντας τεχνογνωσία από τα στελέχη διαχείρισης του Syzefxis που είναι κατάλληλα εκπαιδευμένα και επιφορτισμένα με τα θέματα ασφάλειας.

Πολλές φορές στο παρελθόν από την ιστοσελίδα μας έχουμε θίξει τους κινδύνους που εγείρει μια αλλοιώση ιστοσελίδας (που δεν είναι μόνο η αθώα τύπου-graffiti αλλαγή περιεχομένου ή φωτογραφιών). Έχουμε αναφέρει κατα καιρούς πιθανούς κινδύνους που ελλοχεύουν από αλλοιώσεις ιστοσελίδων κυρίως για να ευαισθητοποιήσουμε τόσο τους κυβερνητικούς φορείς και υπηρεσίες όσο και τους υπεύθυνους ιστοσελίδων οργανισμών και ιδιωτικών επιχειρήσεων. Φαίνεται ότι όμως απευθυνόμαστε εις ώτα μη ακουόντων…

Κατά την συγγραφή του άρθρου διαπιστώσαμε οτι η ιστοσελίδα δεν έχει επανέλθει (ομολογουμένως εδώ και …. πολλές ώρες) σε κατάσταση ορθής λειτουργίας και παραμένει αλλοιωμένη μέχρι αυτή την στιγμή. Ιδιαίτερη εντύπωση αλλά και ανησυχία προκαλεί το γεγονός  οτι δεν έχει γίνει αντιληπτό μέχρι αυτή την στιγμή (τόσο από τους διαχειριστές της ιστοσελίδας et.gr όσο και από τους υπεύθυνους ασφάλειας του Syzefxis που είναι επιφορτισμένοι με την γενικότερη στραγητική ασφάλειας των φορέων και υπηρεσίων)! Πόσο  μάλιστα όταν είναι γνωστό ότι η ιστοσελίδα του Εθνικού Τυπογραφείου αποτελεί μια από τις ιστοσελίδες με την υψηλότερη επισκεψιμότητα στην Ελληνική επικράτεια από δημόσιους φορείς, οργανισμούς κοινής ωφέλειας, νομικές υπηρεσίες αλλα και μεγάλο αριθμό ιδιωτικών επιχειρήσεων!

Οι αρμόδιοι διαχειριστές των πληροφοριακών συστημάτων του Εθνικού Τυπογραφείου, θα πρέπει να θέσουν ΑΜΕΣΑ εκτός λειτουργίας τον/τούς συγκεκριμένους εξυπηρετητές και να προβούν σε ενδελεχή ανάλυση ώστε να διαπιστώσουν αν έχει χρησιμοποιηθεί ως ενδιάμεσος σταθμός για διενέργεια επιθέσεων ή διάπραξης κυβερνοεγκλημάτων είτε προς το υπόλοιπο δίκτυο του Syzefxis είτε προς άλλους στόχους. Επίσης θα πρέπει να διερευνηθεί αν και κατα πόσο υπήρχαν ευαίσθητα ή προσωπικά δεδομένα στον εξυπηρετητή που δέχθηκε την κυβερνοεπίθεση των Βραζιλιάνων hackers.

Το SecNews παραμένει στην διάθεση των αρμοδίων του Εθνικού Τυπογραφείου σε περίπτωση που επιθυμούν δημοσιοποίηση δελτίου τύπου αναφορικά με το συμβάν της κυβερνοεπίθεσης, κάτι που θεωρούμε ότι είναι άκρως απαραίτητο τουλάχιστον για να αποσαφηνιστεί αν πραγματοποιήθηκε διαρροή δεδομένων πολιτών ή επιχειρήσεων.

Από secnews

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.