2013-03-31

Об IT-безопасности

Ага! Только что написал 12-ый пост в этот блог. В планах было рассказать интересную историю, недавно случившуюся на работе. Так пусть она будет постом под номером 13!

Сразу скажу, что никто особо не пострадал, хотя, могли и посадить злоумышленников.



Периодически нам на поддержку приходят сайты и мы их размещаем на своем хостиге. Раньше мы их не проверяли на вирусы, но последние события заставили пересмотреть наше отношение к приходящим проектам и нашим сотрудникам. Большинство вирусов работают незаметно и втихую продают ссылки или перенаправляют на фишинговые ресурсы. Были у нас такие прецеденты - то сотрудник недобросовестный попадется, то вирус на сайте. Все это пресекалось, как только замечали. Первые извлекаемые уроки:
1) нельзя никому доверять и предоставлять доступ только по мере необходимости и почаще менять пароли;
2) нужно проверять приходящие на поддержку сайты на наличие вирусов.

Проверить сайт на битриксе не очень сложно - есть специальные скрипты, сложнее дело обстоит с человеческими ресурсами.

Предыдущая история, не такая интересная, но все же, она была и не упомянуть ее здесь я не могу

Давно у нас недолго работал один сотрудник. После его ухода мы обнаружили на одном из серверов словарь для брутфорса (словарь для подбора паролей) и вирусы на сайтах. Разобрались и в очередной раз сменили доступы.

Собственно, сама история

Однажды, в субботу мне позвонил взволнованный зам. директора и сообщил, что на сайте одного из клиентов обнаружился вирус (при заходе на сайт с мобильного устройства было перенеправление на фишинговый сайт). Дело в том, что на этом сайте уже была подобная проблема - исправляется она легко - нужно просто отредактировать .htaccess. В прошлый раз мы подумали на компьютеры сотрудников и сразу сменили доступы и проверили все компьютеры на вирусы. История, спустя несколько месяцев, повторилась и я стал искать глубже. Взял скрипты для поиска уязвимостей и их помощью обнаружил веб-шелл (скрипт позволяющий в обход авторизации управлять сайтом), который сразу же обезвредил. Веб-шелл оказался старым и был на сайте еще до размещения на нашем хостинге.
Итак, надо сканировать приходящие проекты!
И тут же совершенно случайно мой взгяд упал на файл, именованный ником нашего бывшего сотрудника, где в коде было реализовано создание пользователя с административными правами системы в обход авторизации, другими словами "черный ход".
Выражаясь языком закона, действия обоих персонажей попадают под Статью 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ).
Сначала, хотел поставить ловушку в файл, чтобы отследить заходы, но все таки решил, что файл оставлен на всякий случай и не используется и не успел принести вред.
Но этим история еще не заканчивается, далее самое интересное... Я был возмущен и начал копать глубже. Просканировал все наши сайты и нашел аналогичную лазейку еще на одном проекте, в котором участвовал этот разработчик. Итак, я знал где он работал после нас и решил проверить сайт конкурентов-сайтостроителей...
Вуаля!!! Доступ с логином и паролем подошел к админке их сайта!!! Ха-ха!!! Я был зол и хотел даже зайти под анонимным прокси и похулиганить %-) но остановился, ибо уважаю закон. Далее я проверил все сайты из их портфолио и доступ подошел еще к трем проектам и еще на трех сайтах был обнаружен этот вредоносный скрипт, но пароль к ним не подошел. Есть где разгуляться фантазии, имея доступы к сайтам, но я опять удержался от соблазна похулиганить %-) .
Подумал, а что было бы если другой разработчик на своем сайте нашел этот "черный ход" и потом "прогулялся" по нашим сайтам?..
Этот "черный ход", может, и был оставлен на всякий случай, но угроза от него всегда была реальной.
Наш менеджер связался с владельцами инфицированных сайтов и предупредил об уязвимости, надеюсь, закроют.

Многие несерьезно относятся к хранению доступов, а зря. Например, попади вот так доступ к сайту одной организации к их конкурентам, так  конкуренты могут поменять на сайте жертвы телефоны и адреса и еще перенаправлять себе заказы, а жертвы этого и не заметят, никто же не проверяет свои контакты каждый день, к тому де они примелькались и их изменение не бросается в глаза.

Все хорошо, что хорошо кончается и мы извлекаем из происходящих событий полезные уроки.