проверка или атака?

Служба реагирования на компьютерные инциденты мониторит сайты Узнета с целью проверки на устойчивость от взлома. Однако такая проверка иногда похожа на хулиганскую атаку. Подробности разбираются здесь и здесь.
Хотелось бы услышать ответы от uz-cert.uz.

0 Comments

  1. плохо не то, что мониторят, а что не объясняют толком всем

    Ответить

  2. Служба UZ-CERT создана в структуре Центра развития и внедрения компьютерных и информационных технологий «Узинфоком» в соответствии с Постановлением Президента Республики Узбекистан №ПП-167 от 05.09.2005г. «О дополнительных мерах по обеспечению компьютерной безопасности национальных информационно-коммуникационных систем» и выполняет задачи по обеспечению информационной безопасности сайтов госорганов и серверов, на которых они размещены. Выполнение поставленных целей невозможно без проведения специальных мероприятий по выявлению уязвимостей на сайтах и серверах пользователей удалённо.
    В процессе выполнения данных мероприятий специалистами Службы применяются методики, позволяющие наиболее полно смоделировать действия потенциальных нарушителей, поэтому для достижения максимального эффекта владельцы проверяемых ресурсов о проводимых проверках заранее не предупреждаются. Однако адреса специально не скрываются, чтобы провайдер мог однозначно идентифицировать Службу UZ-CERT. При этом все проводимые работы и мероприятия предварительно тестируются на локальном сервере Службы и никоим образом не влияют на работоспособность, как веб-сайтов, так и серверов провайдеров в целом. Все действия направлены исключительно на поиск и выявление существующих уязвимостей, которые затем в установленном порядке сообщаются администрации проверенных серверов и веб-сайтов для устранения.
    На сервере хостинг-провайдера Billur.net размещены несколько сайтов госорганов. Это объясняет внимание Службы к серверам этой компании, и данные работы выполняются в соответствии с программой мер утверждённой распоряжением Кабинета Министров Республики Узбекистан №478-ф от 24.10.2005г.
    1 мая специалистами Службы на сайте http://www.autocenter.uz был обнаружен форум Invision Power Board, который теоретически содержит несколько потенциальных уязвимостей, обнаруженные несколькими днями ранее и к которым существует несколько публичных эксплоитов (программ/примеров, позволяющих эксплуатировать данные уязвимости):

    1. выполнение произвольных SQL команд в базе данных приложения;
    2. XSS — межсайтовый скриптинг;
    3. выполнение произвольных команд на сервере.

    Первые две уязвимости не являются критичными для сервера и могут быть использованы только для взлома самого форума и получения административных привилегий и доступа к учетным записям других пользователей. Третья уязвимость при успешном использовании может позволить злоумышленнику выполнить произвольные команды на сервере. Таким образом, взломщик теоретически может получить доступ ко всем остальным ресурсам сервера, включая сайты госорганов.
    Попытка использования специалистами Службы эксплоита на форуме http://www.autocenter.uz была успешной — на сервер был загружен скрипт удаленного администрирования. Никакого вреда, как форуму, так и самому сайту, ни эксплоитом, ни специалистами Службы нанесено не было. Скрипт удаленного администрирования никак не использовался. Факт загрузки скрипта на сервер говорит о наличии уязвимости и, соответственно, наличии опасности для всего сервера. Владельцы сервера, а именно компания Billur.net будет оповещена об этом в установленном порядке официальным письмом.
    Информация, ставшая доступной специалистам Службы в процессе выполнения своих служебных обязанностей не распространяется и не используется в личных целях. Конфиденциальность информации гарантируется и подтверждается установленными внутренними правилами Службы.

    С Уважением,
    Дмитрий Палеев
    Ведущий специалист группы анализа, консультаций и программно-технической поддержки
    Служба реагирования на компьютерные инциденты UZ-CERT

    Ответить

  3. Дмитрий, спасибо за ответ, я уважительно отношусь к деятелльности CERT и к Вам лично. Проблема в том, что Вы (представители ведомства) закрыты, не ведете популяризаторскую и пояснительную работу, в частности не ответили исчерпывающе в форуме, эти недомолвки порождает ненужные разговоры, бросающие тень на деятельность CERT. Хотелось бы чаще видеть ваших представителей в форумах, это создаст дружественное отношение и авторитет — для общей пользы.

    Ответить

  4. Dark Angel 09.05.2006 at 22:10

    Да он везде одно и тоже пишет! помоему он БОТ после атаки на наш сайт autocenter.uz он тоже самое написал!!!! ОН наверно глюк системы! и его ломанул его же эсплоит!

    Ответить

  5. Конечно гораздо логичнее было бы написать простым человеческим языком, а не переписывать постановления…

    Ответить

  6. Азамат Атаджанов 13.05.2006 at 00:09

    Евгений,

    Не думаю, что в ответе из Церта что-то непонятно или написано не по-человечески. Также не думаю, что они не дали полного ответа на поставленные вопросы. Из постановления в ответе процитировано лишь название постановления. А ответ в форуме был в тот же день, так что обвинять их в уклонении от ответа безосновательно. Или они должны были опускаться до уровня собеседников, называющих их ублюдками и пр.?

    Ответить

  7. Азамат,
    Очень многие уважаемые люди считают, что в форумах сидят одни болтуны и бездельники и не считают нужным опускаться до объяснений и общения в форумах. Если даже снисходят, то сразу получают «негативные» отзывы и утверждаются в своем неприятии такого общения.

    Есть и обратные примеры — директор Саркора Фархад постоянно терпеливо и тактично отвечает на вопросы, чем, во-первых, заслужил уважение личное, во-вторых, чувствительно добавил Саркору уважения и клиентов.

    Да, Дмитрий Палеев формально ответил, но мне показалось, что пострадавшие с Автоцентра не совсем удовлетворены ответом. Я ни к чему не призываю, просто если бы ваши люди сидели бы «внутри» а не «вне» общения, то завоевали бы уважение толковыми постами, никто бы не писал о них гадости, это было бы н пользу CERT и всему Узнету. Тем более, что деликатная деятельность такой службы подразумевает обязательно открытость, популяризацию и общение с сообществом. Хотя бы для подпитки идеями.

    Ответить

  8. Азамат 13.05.2006 at 17:04

    По-моему, проблема в изначально негативном отношении к Церт, которое сквозит почти во всех сообщениях, и абсолютная поддержка т.н. пострадавших. Не пытаюсь никого защищать, но всегда можно попытаться разобраться, прежде чем обвинять.

    Ответить

  9. Изначально ни к чему не бывает негативного отношения, но сейчас у человека, почитавшего форум, оно появится. Вы зря не хотите постоянно присутствовать в нем и нормально общаться, а любое негативное отношение можно переломить. Так мне неоднокртно удавалось повернуть обшее мнение на 180 градусов (например, когда все ругали Томас незаслуженно или критиковали Фестиваль напрасно и т.д.).
    Наличие активного человека во многом определяет отношение к организации — например, ВСС — с тех пор, как на форуме, в ЖЖ, на тусовках и т.д. появился Илья Рубинчик с толковыми сообщениями по делу, любые вопросы к ВСС тут же объясняются и превращаются в плюс, добавляя уважения провайдеру и студии.
    К сожалению, есть и обратные примеры, организации, не ответившие на критику автоматом получают негативное отношение форумчан и всех пользователей.
    Я так и не понял, что Вам мешает написать: «Я из ЦЕРТ — какие вопросы?, задавайте!». Если будет бестолковая критика — Вы их поставите на место (не руганью, а фактами) — они заткнутся надолго, адекватные люди Вас всегда поймут и поддержат. Если же вы (с компанией) считаете такое общение ниже своего достоинства, то не обижайтесь на негативное отношение масс.
    Кстати, примеры такого «появления» есть, например, когда Малинин устроил травлю Сучкова и все это поддержали, Сучков вышел в форум с шутками, своими аргументами, все сразу стали на его сторону, отношение переменилось.
    Как-то так 🙂

    Ответить

  10. Вам самим не смешно ???? читайте тут мой пост
    http://www.autocenter.uz/forum/index.php?showtopic=505&st=20

    Ответить

  11. Прочел — не смешно 🙂
    Дело (для меня) не в том — был ли взломан форум Автоцентра или нет, причастен СЕRТ или нет, и уж совсем не хочется на этом пиарить Автоцентр (тут Вы правы).
    Для меня важно, чтобы представители разных ведомств присутствовали в форуме не как внешние высокие гости а как равноправные участники обсуждений, это сняло бы все недомолвки, незаслуженные нарекания, позволило бы нормально обсуждать технические вопросы. Пример с Автоцентром еще раз наглядно подтвердил этот мой тезис

    Ответить

  12. Азамат 14.05.2006 at 10:08

    Евгений, я здесь выступаю как частное лицо и выражаю личное мнение. Я лично постоянно читаю все местные форумы и блоги, но пишу крайне редко, только когда что-то возмущает и реально есть что сказать. Я не пойму — разве ответ на пост спустя несколько часов, пусть и формальный, как вам кажется, но достаточно подробный, не является примером открытости? Не вижу смысла отвечать на каждую реплику, особенно, когда собеседник понятия не имеет о вежливости и упорно отказывается признавать свои ошибки.

    Ответить

  13. Конечно, имеете право на свою позицию, свой стиль общения, так же как Вы общаются большинтво узнетчиков. Но для придания уважительного отношения к Вашей деятельности, этого, наверное мало, нужно нечто бОльшее, пример с Фархадом и Ильей я приводил.
    С одной стороны «на каждый чих не наздравствуешься», но с другой стороны несколько удачных реплик — и Ваши нерадивые оппоненты извинятся или навегда потеряют уважение — все же на виду.

    Ответить

  14. А интересно вот что, СЕРТ по заказу проверяють серверов 🙂

    Ответить

  15. Хотите заказать проверку? попробуйте 🙂

    Ответить

  16. Забыл написать, если заказной проверка это платно наверно

    Ответить

  17. Все вопросы, касательно деятельности UZ-CERT, Вы можете задать по электронной почте.

    cert@uzinfocom.uz или d.paleev@uzinfocom.uz

    Ответить

  18. Ребята мои Вам соболезнования, Вам уважаемые явно заняться не чем как просто раздувать подобные Мелкие темы в Гигантских слонов.
    Да да да это я Вам займитесь делом и вообще, поработайте над вашей безопасностью ……. Да и вот, что еще Если лапа слона вырывается у вас из рук, то отпустите его.

    Ответить

  19. Евгений в одном безусловно прав! К сожалению все виды наших властей не любят давать интервью, комментировать что-либо даже по ТВ или радио. Традиционная боязнь того, что та или иная фраза не будет правильно понята начальством не дает свободы вызказываний и уж тем более не даст представителю власти выразить свое личное мнение по тому или иному поводу.
    Ведь сколько хороших мыслей и идей мог бы почерпнуть чиновник (в хорошем смысле этого слова) если бы он пользовался возможностью предоставляемой Интернетом.

    Ответить

  20. СЕРТу необходимо разработать и утвердить:
    1) стандарт по информационной безопасности сайта — требования по ИБ к сайтам гос.органов и серверов на которых они расположены — и здесь же указать что в целях безопасности возможна попытка обнаружения уязвимостей других сайтов хостящихся на этом же сервер.
    2) совместно с провайдерами Узнета соглашение о возможных проверках в рамках деятельности Службы.
    3) Типовые требования к ИБ сайта исходящие из пункта 1 и варианты как их достичь (какое ПО использовать, как конфигурировать и т.д.)
    4) Провести через УзАСИ в лицензионные соглашения провайдеров предупреждения о возможной проверке ИБ их ресурсов.

    А прыгать на Инфоком всегда легко. Лучше думаю подойти к ним и на месте нормально разобраться.

    Ответить

  21. Хорошие предложения! Но дело в том, что этой теме более 3 месяцев и сюда уже редко кто заглядывает. Z пока не хочу снова ее поднимать — предлагаю продолжить обсуждение в Неформальном форуме Узнета — все заинтересованные лица его читают http://forum.const.uz

    Ответить

  22. Здравствуйте SK.

    Был приятно удивлен тому, что есть люди, которые адекватно воспринимают ситуацию и реагируют на деятельность нашей Службы именно таким образом. Согласен с тем, что не всегда бывает возможным комментировать все высказывания в адрес Церта на форумах и блогах. Но это не означает, что представители Церта избегают общения с пользователями Узнета или уклоняются от ответов и комментариев.

    Все то, что вы перечислили во втором посте конечно же разрабатывается Службой и в ближайшее время мы к этому обязательно прийдем. Главное это то, чтобы было взаимопонимание. Необходимо понимать тот факт, что все чаще и чаще имеют место несанкционированные вторжения на сервера и веб-сайты, кража информации через интернет, порча и изменение информации на сайтах (дефейс), всевозможные взломы и деструктивные действия со стороны хакеров. Основной целью Церта как раз является предупреждение всех этих действий и своевременное информирование о возможных угрозах и уязвимостях в системах.

    С каждым днем начинают все больше и больше приходить благодарственных писем в наш адрес, к нам обращаются многие серьезные организации как государственного масштаба, так и частные лица с предложениями о сотрудничестве или с вопросами по обеспечения ИБ серверов, веб-сайтов и корпоративных сетей. Постепенно общественное мнение меняется в положительную сторону, но всегда найдутся те, кто будет недоволен любой работой Церта … от этого никуда не деться и просто нужно воспринимать как должное. Соответственно реагировать на негативные высказывания отдельных личностей и тем более обсуждать это в Интернете нецелесообразно. Время само все расставит по своим местам.

    Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *