Оборонные ведомства открыты для атак, хотя их проблемы легко устранимы
18 июля компания Sunbelt Software обнаружила существование SQL-команды, которую можно включить в URL сайта, принадлежащего департаменту военного министерства одной из европейских стран. С помощью такой команды любой посетитель этого сайта может передавать прямые запросы к центральной базе данных и без всякого пароля извлекать оттуда любую информацию.
По определению президента компании Sunbelt Алекса Экелберри, это свойство URL демонстрировало пример “детской” ошибки безопасности, из-за которой все, кто попадал на сайт, могли воспользоваться командным кодом и получить доступ к основной базе данных. Иными словами, здесь имела место опасная уязвимость, которая должна была быть закрыта составлением и соблюдением самых простых правил безопасности, не говоря уже о том, что с ней должна была справиться политика безопасности оборонного учреждения. Sunbelt предупредила об угрозе специалистов безопасности страны. Те заверили компанию, что известят оборонное ведомство.
И чем кончилось эта история? Увы, ничем. Через полтора месяца Sunbelt проверила тот же сайт и убедилась, что он остался в прежнем состоянии и все так же может выдавать информацию базы данных военных любому посетителю, умеющему сконструировать SQL-запрос. Причем потенциальному злоумышленнику не составит никакого труда узнать тип работающих СУБД и ОС, чтобы далее использовать точный класс известных уязвимостей и связанных с ними методов атаки.
Sunbelt вновь направила сигнал тревоги специалистам по безопасности и получила от них те же самые заверения.
Этот случай, увы, вовсе не аномалия. Как показала недавняя атака на один из сегментов сети Пентагона (якобы осуществленная китайской народно-освободительной армией), хроническая уязвимость оборонных учреждений ставит под удар правительства и народы целых стран. Еще хуже, что в большинстве случаев это следствие элементарной халатности — плохой политики безопасности и не обновляемой защиты систем; здесь не нужно ничего сверхсовременного, требуется только обыкновенное внимание.
Пентагон отмолчался на просьбы проинформировать, какие уязвимости позволили проникнуть в его сеть. Точно так же проявляют молчание консульство США в вышеупомянутой европейской стране и оборонное учреждение, являющееся хозяином уязвимого сайта. Однако обнаружение конкретных уязвимостей подобных сайтов особых трудностей не представляет. По совету Экелберри мы ввели на странице Google условие поиска “sex porn site:.gov”. По данным на 6 сентября восемь из первой десятки выведенных результатов оказались порнографическими сайтами, так или иначе связанными с Web-серверами правительства.
На первый взгляд переадресация на порносайты не такая серьезная вещь, как случай с оборонной организацией, чью базу данных можно выставить на публичное обозрение нажатием нескольких клавиш. Однако эти ресурсы не всегда безобидны, многие из них служат источником троянских программ. И раз государственные серверы нагло используются для переадресации на сайты с порнографией и шпионским ПО, это отражает тот факт, что правительство США подобно военному ведомству европейской страны с “беззащитной” базой данных имеет прорехи в сетевой безопасности.
Это лишний раз подтвердилось в начале сентября, когда на официальном сайте Ливерморской национальной лаборатории обнаружился факт хостинга несанкционированной рекламы и блогов. По информации газеты Washington Post от 25 августа, к блогам были присоединены ссылки на “нелегальные сайты, где свободно предлагаются всевозможные лекарства, отпускаемые только по рецептам, от болеутоляющих средств до стимуляторов потенции”.
Экелберри также отмечает, что по данным на конец августа ряд правительственных сайтов пересылал посетителей на порностраницы, вынуждавшие к просмотру секс-ролика с предварительной загрузкой фальшивого кодека (программы для кодирования и декодирования потока цифровых данных), в действительности являвшегося вредоносным ПО.
“Людям свойственно идти по пути наименьшего сопротивления”.Грег Красс, вице-президент по управлению продуктами Sunbelt
По словам Экелберри, все это происходит по самой банальной причине: люди не заботятся об обновлении безопасности систем.
Так, Грег Красс, вице-президент по управлению продуктами Sunbelt, изменил оператор в URL упоминавшегося сайта, чтобы включить столбцы схемы представления информации в расчете, что это откроет структуру базы данных. Он получил два сообщения об ошибках, из которых явствовало, что оборонный департамент использовал Access в качестве центральной СУБД. По словам Красса, Access не основана на SQL, однако столь же проста для манипулирования.
Политика безопасности, которая могла бы конкретно помочь сайту европейской оборонной организации и его аналогам, состоит в том, чтобы пользователи SQL располагали минимально возможным уровнем прав, говорит Красс. При этом было бы неплохо перевести все права ввода информации на специальную учетную запись. Однако разработчики вместо этого идут по пути наименьшего сопротивления.