Šalyje siaučia mirtinos ligos epidemija. Sprogo atominė elektrinė. „Vilniaus dienos“ žurnalistinis eksperimentas įrodė: tokiai atakai, kai platinama iškreipta informacija, prireiktų keliolikos minučių.
Kas pavojingesni: realūs ar kompiuterių įsilaužėliai? Italijos vyriausybė įsitikino, kad sunkiau apsaugoti bankų sąskaitose esančius pinigus nuo programišių. Ir jiems paskelbė didesnį karą nei Sicilijos mafijai. Estai po pernykščių išpuolių prieš šios šalies tarnybines stotis ir interneto savaites irgi suprato: jei informacijos amžiuje vyks pasaulinis karas, tai ne mūšio lauke, o nebent kibernetinėje erdvėje. O lietuviai? „Valdžia nesimoko iš svetimų klaidų“, – išdrožė į redakciją paskambinęs kompiuterių specialistas. Dar daugiau – jis juokingomis pavadino kai kurių politikų kalbas, kad valstybinių institucijų interneto svetainės saugios beveik šimtu procentų. „Užtektų keliolikos minučių, ir į prezidento ar Vyriausybės puslapius galėčiau įdėti bet kokią informaciją. Na, pavyzdžiui, kad Lietuva skelbia karą Baltarusijai, sprogo atominė elektrinė“, – rimtai dėstė specialistas, nors jo žodžiai atrodė prasilenkiantys su realybe.
Tačiau tik tol, kol vyras ėmėsi darbo. „Nebus sunku, sugaišime ne ilgiau nei valandą“, – jis išsitraukė nešiojamąjį kompiuterį ir įjungė interneto ryšį. Jokių specialių prietaisų ar naujausių technologijų. „Į tas svetaines galėtų įsilaužti kiekvienas antro kurso informatikos studentas“, – aiškino specialistas.
Jo tikslas – ne sutepti šalies įvaizdį ar iškreipti interneto svetainėse esančią informaciją. Atvirkščiai – kompiuterių specialistas siekia atkreipti dėmesį, kad Lietuva nepasirengusi apsiginti net nuo paprasčiausių kibernetinių atakų. „Jei prasidėtų mūšis su priešiška valstybe, jis baigtųsi visiška Lietuvos kapituliacija“, – aiškino vyras.
„Šiuo metu atliekame eksperimentą. Tikriname interneto svetainių saugumą“, – blogų kėslų turintys interneto įsilaužėliai niekada neįspėja apie planuojamą ataką. Tačiau informavome visas valstybines institucijas, kad atliekame tyrimą. Prezidentūros, Vyriausybės, Savivaldybių asociacijos, Valstybinės duomenų apsaugos inspekcijos atstovai davė sutikimus.
Ar gavę informacijos jie galės užkirsti kelią rengiamoms atakoms? „Tikrame mūšyje, kai neturi ginklų, lieka bėgti. O jie neturi pabūklų, todėl nesugebės pasipriešinti tam, kas vyksta“, – specialistas atrodė pernelyg pasitikintis savo jėgomis.
Kai kompiuterio ekrane pasirodė naršyklė, kompiuterių specialistas pradėjo eksperimentą.
Pirmas eksperimentas
Tikslas. Patikrinti Valstybinės duomenų inspekcijos interneto svetainės saugumą (www.ada.lt).
Angų – štai ko pirmiausia ieško visi įsilaužėliai. Kokio nors langelio į svetimą interneto svetainę. Kas pradėtų prasibrauti pro apsaugos sienas, įveikti slaptažodžius ir kodus.
Kompiuterių specialistas aiškino kiekvieną veiksmą. Jo kompiuteryje įdiegta programa „Tor“, vadinasi, svetaines prižiūrintys vadinamieji kiberpolicininkai nesugebės susekti, kas atakuoja. „Jie matys savotišką grandinę į Švedijos, Olandijos, kitų šalių serverius“, – paaiškino programišius.
Iš pradžių kompiuterių specialistas, pasinaudodamas standartiniu operacinės sistemos įrankiu, išsiaiškino Valstybinės duomenų apsaugos inspekcijos (VDAI) IP adresą. Jis prieinamas kiekvienam vartotojui – 193.219.14.1.
Po kelių minučių pateko į valstybės įmonės „Infrastruktūra“ prižiūrimą serverį, kuriame yra penkiasdešimties vartotojų interneto svetainės. Daugiausia valstybinių institucijų: Vyriausybės, prezidento, Konkurencijos tarybos, savivaldybių ir t. t.
Kompiuterio ekrane pasirodė svetainės scenarijus (script – angl.). Čia įsilaužėliai paprastai ieško pažeidžiamų vietų.
Dar kelios minutės ir programišius pranešė: „Turiu.“ Scenarijuje jis rado interneto svetainės www.ada.lt panelės administratoriaus vartotojo vardą ir slaptažodį. Vadinasi, jis gali prisijungti prie svetainės ir keisti visą joje esančią informaciją. Tam prireikė maždaug 10 minučių.
„Svetainės administratorius turi daug teisių, todėl į portalą galiu įdėti bet kokią informaciją“, – aiškino kompiuterių specialistas ir sukūrė naują failą www.ada.lt svetainėje.
Po eksperimento imtos lopyti spragos. Pranešta, kad VDAI svetainė laikinai neveikia.
Antras eksperimentas
Tikslas. Patikrinti prezidento interneto svetainės saugumą (www.president.lt).
„Pasakysiu vienu žodžiu. Svetainė www.president.lt saugi, ir taškas“, – ketvirtadienį dienraščiui pareiškė Prezidento kanceliarijos informacinių sistemų vyriausiasis specialistas Vaidotas Aleksa.
Tačiau tašką jis padėjo pernelyg anksti. Bent jau taip tvirtino įsilaužti į portalą bandęs programišius. „Serveryje radome spragų, todėl nebus sunku prasibrauti ir į kitas jame esančias svetaines. Tarp jų – ir prezidento“, – aiškino kompiuterių specialistas.
Žingsnis po žingsnio – tarsi keliu tikslo link ėjo programišius. Jis žinojo tikslią kryptį, todėl neabejojo, kad pasieks tikslą. „Yra daug spragų. Esant vienoje svetainėje nesunku perskaityti kitų serveryje esančių vartotojų informaciją“, – spragas vardijo į kompiuterio ekraną įlindęs vyras.
Kai programavimo kalba įrašė komandą „vykdyti“, prezidento tinklalapyje atsirado naujas failas. Kompiuterių specialistas turi ir daugiau teisių – jis gali skaityti visus svetainėje esančius failus.
Programišius paneigia politikų kalbas, kad po įvykių Estijoje sustiprintas svetainių saugumas. Pastarąjį kartą operacinė sistema atnaujinta 2004-aisiais.
Trečias eksperimentas
Tikslas. Patikrinti Vyriausybės tinklalapio saugumą (www.lrvk.lt).
„Kol kas neturime absoliučių teisių. Negalėtume išjungti serverio. Tačiau tai nėra mūsų tikslas“, – kalbėjo vis gilyn besiskverbiantis programišius. Tikri įsilaužėliai siekia sutrikdyti serverio darbą.
Ar jį sunku pasiekti? „Prireiktų kelių valandų. Ir vienu metu visose svetainėse galėtume paskelbti šalyje chaosą sukelsiančią informaciją“, – bandydamas patekti į Vyriausybės puslapį aiškino programišius.
Po kelių minučių interneto svetainėje www.lrvk.lt sukūrė naują failą. Vyriausybės Administracijos departamento Informacijos technologijų skyriaus vedėjo Povilo Ramoškos patikinimai, kad pernai pastebėtos saugumo skylės buvo užlopytos, sudužo į šipulius.
„Spragų yra labai daug. Kategoriškai negaliu tvirtinti, bet atrodo, kad nebuvo imtasi jokių papildomų saugumo priemonių“, – reziumavo į pagrindinių šalies institucijų tinklalapius įsilaužęs kompiuterių specialistas. Tam prireikė mažiau nei valandos.
Ar valstybinių institucijų informacinių technologijų specialistai suseks įsilaužėlius? „Abejoju. Manau, kad mūsų naudotas būdas panašus į rusų“, – ramus jautėsi eksperimentą atlikęs programišius.
Vitalijus Moskvinas, „Infrastruktūros“ Technikos departamento vadovas
– Akivaizdu, kad valstybinių institucijų interneto svetainių apsauga yra prasta. Kodėl?
– Estijoje buvo vykdomos rimtos atakos. Prieš Lietuvos svetaines atliktus išpuolius pavadinčiau mėgėjiškais. Be to, Lietuvoje vyrauja požiūris, kad nereikia nieko daryti, neskiriama pakankamai investicijų. Susidaro įspūdis, kad nenorima užtikrinti svetainių saugumo.
– Kas konkrečiai teigė, kad nereikia imtis jokių priemonių?
– Didžiulę įtaką daro komerciniai duomenų perdavimo operatoriai. Prieš kelerius metus Vidaus reikalų ministeriją jie padavė į teismą, kai ši nusprendė sistemos operatoriumi skirti valstybinę įmonę „Infrastruktūra“.
– Atrodo, kad jie buvo teisūs. Jūs taip ir nesugebėjote užtikrinti prezidento ar Vyriausybės svetainių saugumo.
– Manote, kad viską galima padaryti per vieną dieną? Klientams turime suteikti galimybę į svetaines dėti naują informaciją. Tuo pačiu keliu pasinaudoja ir programišiai. Tai dar ne viskas. Reikėtų užtikrinti, kad saugios būtų sistemų administratorių darbo vietos. Į kai kurias įstaigas ateina pašaliniai ir naudojasi kompiuteriais.
– Sakote, kad neturite galimybių užtikrinti visišką valstybės institucijų interneto svetainių saugumą?
– Turime. Kas matė tai, ką padarėte. Jokios žalos nėra. Negalime viešai kalbėti apie saugumo dalykus. Niekas neskelbs, kas kada ir kaip padaryta.
– Kodėl serverio scenarijuje palikti vartotojų vardai ir slaptažodžiai?
– Ir tai paskelbsite viešai? Tos spragos buvo pašalintos per valandą.
Tomas Lažauninkas, UAB „Critical Security“ IT saugumo analitikas
– Kokių priemonių valstybinės institucijos turėtų imtis, kad užtikrintų interneto svetainių saugumą?
– Visų pirma politikai turėtų suprasti, kad egzistuoja tokios problemos, ir pradėti tuo rūpintis. Lietuvoje dirbantys specialistai aptinka spragas ir padeda jas pašalinti. Užtikrinti svetainių saugumą nesunku. Gerokai daugiau žinių ir laiko reikia spragoms rasti.
– Ar reikia didelių investicijų? Ar būtina diegti sudėtingas saugumo sistemas?
– Užlopyti didžiąją dalį spragų pajėgus kiekvienas svetainės administratorius. Tiesiog tam reikia skirti dėmesio. Bent minimalų saugumą įmanoma užtikrinti per dvi savaites.
– Kompiuterių specialistas per pusvalandį įsilaužė į prezidento, Vyriausybės, kitų valstybinių institucijų svetaines. Kodėl jam prireikė tiek mažai laiko?
– Kai kuriais kitais atvejais reikia atlikti detalias, ilgai trunkančias analizes. Jūsų minimi atvejai – pernelyg akivaizdžios programavimo klaidos. Tam užtenka kelių programų ir naršyklės.