Если говорить о событиях минувшей недели в сфере информбезопасности, то особого внимания здесь заслуживают разве что масштабные взломы баз данных Apple и eBay, а также «странная» кибервойна в Украине.

Пустые угрозы по-украински

За три дня до внеочередных выборов президента Украины фокус гражданского противостояния в этой стране неожиданно сместился в киберпространство. Группа хакеров, называющих себя «КиберБеркут», объявила на своем сайте не много ни мало – о полном уничтожении сетевой и компьютерной инфраструктуры Центральной Избирательной Комиссии Украины. Цитата: «Мы, «Киберберкут», в знак протеста против легитимизации преступлений киевской хунты полностью уничтожили сетевую и компьютерную инфраструктуру Центральной Избирательной Комиссии Украины. Мы с полной ответственностью утверждаем, что созданная под полным контролем США «Единая информационно-аналитическая система «Выборы» прекратила свое существование».

Чтобы подтвердить свою якобы победоносную операцию, хакеры обнародовали архивы переписки членов ЦИК Украины – их они получили в результате взлома системы. Как и техническую документацию системных администраторов ЦИК и окружных избирательных комиссий.

Более того, хакеры опубликовали также отчет о взломе и его подробную схему. «Взломали сеть ЦИК через 0-day уязвимость в Cisco ASA», пишут киберзлоумышленники на своем сайте. (Cisco ASA – это аппаратный межсетевой экран.) «Вся структура и назначение узлов сети очень подробно описана в ТЗ, которое удалось вытащить у сисадминов ЦИКа. Особая благодарность чудо-админам, хранящим данные по доступу к узлам сети в текстовых файлах на рабочем столе, за увлекательный квест», – пишут хакеры в отчете о взломе, прилагая к тексту скриншоты журнала подключений.

Впрочем, как вскоре выяснилось, болтали хакеры больше, чем весили. Как сообщил ресурс UNN.com.ua, 22 мая сайт ЦИК действительно не работал несколько часов. Но целью атаки в большей степени было получение и хищение информации, содержащейся на сервере комиссии, нежели срыв выборов, сообщил сайту информированный источник. Тогда же на сервере ЦИК в самом деле был обнаружен и ликвидирован вирус, который должен был уничтожить результаты президентских выборов 25 мая. Об этом сообщил глава СБУ Валентин Наливайченко на специальном брифинге. «Вчера была уничтожена инфицированная программа, которая незаконным образом была предыдущим руководством правительства предложена ЦИК. 25 мая этот вирус должен был уничтожить результаты выборов, – рассказал Наливайченко. – Этот вирус ликвидирован, программное обеспечение заменено, таким образом у нас сегодня есть уверенность, что сервер ЦИК защищен». Он добавил, что СБУ вместе с МВД осуществляет защиту бюллетеней и списков избирателей.

После не такого уж и большого перерыва сайт ЦИК Украины (www.cvk.gov.ua) заработал и с тех пор работает нормально. Выборы 25 мая прошли без каких-либо проблем в информационных системах ЦИКа.

Впрочем, история получила развитие уже непосредственно в день выборов. 1-й российский телеканал вечером воскресенья неожиданно заявил, что в президентских выборах в Украине с 37% полученных голосов побеждает ультраправый политик Дмитрий Ярош. Конечно, бред – в результате голосования Ярош получил что-то около 1%.

О том, что именно происходило в тот день, в Facebook рассказал украинский эксперт Анатолий Лемыш. Вот что он поведал: «Люди из бывшей редакции "Украинской технической газеты", с которой я сотрудничал, по старой памяти предложили сделать материал о взломе сайта избирательной системы. Об этом взломе официально сообщалось накануне. У меня уже были контакты. Я созвонился с теми, кто устранял взлом, и они поведали мне невероятную историю. Оказывается, в ПО украинской избирательной системы, ведающей подсчетом голосов, была внедрена закладка. В день выборов эта закладка должна была сработать, и выдать, что в ходе голосования побеждает Дмитрий Ярош. Была подготовлена фальшивая страница с сайта ЦВК (Центральной избирательной комиссии) с нужными цифрами. Этим фейком 1-й канал должен был громогласно возвестить на весь мир: дескать, в Украине в результате президентских выборов приходит к власти Ярош. Который фашист, националист и т.д. А значит, Украина – фашистское государство. … Однако системщики ЦВК успели обнаружить этот вирус и обезвредить. Они спланировали операцию по устранению закладки так, что она прошла буквально за 40 минут до выхода в эфир программы Первого канала. Поэтому ведущая канала Зейналова не знала о том, что вирус обезврежен, и выдала в эфир заведомую фальшивку. А на сайте ЦВК она так и не появилась».

Атака на eBay

Крупнейшая американская площадка для интернет-шоппинга eBay подверглась хакерской атаке – 21 мая компания eBay опубликовала официальное сообщение, подтверждающее факт атаки. Как заявили представители онлайн-аукциона, кибератака на базу данных eBay стала крупнейшей за всю историю существования компании. В результате злоумышленники получили доступ к зашифрованным паролям, адресам e-mail и физическим адресам, номерам телефонов и другой пользовательской информации. Однако, по заверениям руководства eBay, финансовые данные, в том числе о банковских картах, не пострадали от хакерской атаки. Информация финансового и платежного подразделения компании PayPal хранится отдельно, утверждают в компании.

Так или иначе, но еBay пришлось попросить своих пользователей сменить пароли к аккаунтам, особенно если они совпадают с паролями для входа на другие сайты. Большинству из них были разосланы соответствующие письма.

Для справки: площадка еBay насчитывает около 145 млн активных пользователей. Годовой оборот компании – $212 млрд. На eBay можно продавать и покупать самые разнообразные товары: электротехнику, гаджеты, бижутерию, одежду, мебель и произведения искусства. При этом eBay не является посредником между покупателями и продавцами, а только предоставляет интернет-площадку для продажи товаров.

В рамках своей политики открытости eBay опубликовал на сайте список часто задаваемых вопросов и ответов о взломе. На вопрос «Сколько аккаунтов затронул взлом?» eBay разместил следующий ответ: «Мы попросили всех пользователей eBay сменить пароль. Всем пользователям придет оповещение. По данным на конец первого квартала, у нас было 145 миллионов активных покупателей». Взлом базы данных, как теперь выясняется, случился еще в конце февраля – начале марта.

Сейчас администраторы eBay утверждают, что перекрыли пути неавторизованного доступа к системе, которые использовали злоумышленники, и предприняли дополнительные меры для усиления безопасности сайта. Мошеннических действий с использованием скомпрометированных данных также пока не зафиксировано. Компания также не зафиксировала попыток неавторизованного доступа к другим сайтам, работающим на платформе eBay Marketplaces, включая StubHub, eBay Classifieds, Tradera, GMarket, Auction, GumTree и GittiGidiyor.

Атака на Apple

22 мая по Сети разошлась информация о том, что хакеры AquaXetine из Нидерландов и MerrukTechnolog из Марокко успешно взломали систему активации мобильных устройств Apple. В частности, они нашли способ обхода Activation Lock – технологии, позволяющей дистанционно заблокировать доступ к утерянному или похищенному смартфону либо планшету. Предполагалось, что Activation Lock сделает кражу гаджета бессмысленной, но, как выяснилось, это совсем не так.

Технология Activation Lock работает только тогда, когда пользователь включил функцию «Найти iPhone» или «Найти iPad». Человек, нашедший устройство, или вор не смогут отключить ее, пока не введут пароль от учетной записи Apple ID владельца.

Но упомянутые хакеры создали сайт doulci.net, на котором тот, кто нашел или украл iPhone или iPad, может обойти защиту Activation Lock и продать устройство на вторичном рынке. Для обхода защиты была использована уязвимость, которую Apple устранила не во всех своих продуктах.

Чтобы взломать защиту, хакеры воспользовались атакой типа Man in the Middle, научившись перехватывать сигналы, идущие с мобильного устройства на серверы Apple iCloud и в обратном направлении. На изучение сигналов ушло почти пять месяцев. В результате хакеры научились подменять команды от серверов iCloud командами с ПК с установленным на них специальным программным обеспечением. iPhone полагает, что связывается с сервером, но на самом деле в этой роли выступает подставной ПК. Как пишут AquaXetine и MerrukTechnolog, используя свой метод они смогли разблокировать около 30 тыс. iPhone всего за несколько дней. По их словам, они еще в марте известили Apple о баге, но «яблочная компания» проигнорировала эту информацию.

Вероятнее всего, злоумышленники эксплуатируют ошибку в технологии шифрования SSL, полагает специалист по безопасности Марк Ломан. Эта уязвимость недавно была закрыта в iOS 7.0.6 и в iTunes для Mac (в обновлении OS X 10.9.2), но, по всей видимости, сохранилась в Windows-версии приложения iTunes, которое и используют хакеры. «Проблема заключается в верификации сертификата. Похоже, что Apple сознательно отказалась от этого важного шага для обеспечения безопасного соединения, – прокомментировал Ломан. – В прошлом месяце компания исправила это упущение в iOS, но забыла выпустить патч для iTunes».

Немного бреда

Как обычно, напоследок – немного тематического бреда. В США в федеральном суде города Талса, штат Оклахома, рассматривается интересное хакерское дело, в рамках которого признали себя виновными 27-летний Николас Найт и 20-летний Дэниел Крюгер, входившие в хакерскую группу Team Digi7al, ответственную за взлом двух десятков сайтов (включая правительственные). Теперь им грозит до пяти лет тюремного заключения и штраф в размере до $250 тысяч.

А в чем прикол? А прикол в том, что, как выяснило следствие, Николас Найт, являвшийся лидером хакерской группы, пытался взломать базу данных ВМС США во время своего дежурства на борту атомного авианосца «Гарри Трумэн», системным администратором которого он являлся. Прямо с борта авианосца Найт также писал твиты в официальный твиттер своей хакерской группы, благодаря чему и был вычислен.

Виктор ДЕМИДОВ