Eesti veebiturvalisuse agentuur WebARX tuvastas oma logides, et ühel nähtavasti Indoneesiast pärit häkkeril oli õnnestunud leida turvaauk maksu- ja tolliameti veebilehel ning lisada sinna häkkimisele viitav fail.
Häkkerid testisid «kogemata» maksu- ja tolliameti veebilehe turvalisust (5)
«17. jaanuari lõunal kell 12 jõudis WebARX'i logidesse järjekordne .EE domeen, mis oli lisatud ühte populaarsesse küberintsidentide andmebaasi Defacer.id. Sarnaselt Zone-Hga on Defacer.id veebileht, mis hoiab endas andmebaasi veebilehtedest, millele on mõni kurikael ligi saanud, ning kuhu edevamad pätid oma n-ö saavutusi teistele uhkustamiseks üles panevad,» ütles WebARX-i tegevjuht Oliver Sild Postimehele.
Seekord ei olnud enam tegu mõne aegunud Wordpress'i ega Joomla platvormil loodud ettevõtte kodulehega, mis ei oleks just kõige erilisem nähtus. Sellel korral vaatas vastu hoopis maksu- ja tolliameti veebileht emta.ee, kuhu oli User98-nimeline küberpätt üles laadinud enda sõnumiga tekstifaili lak1998.txt.
Sõnumi sisuks lihtsalt: «Hacked By User98 x Sorry Admin, Where Is Your Security? Patch Your System Now !! User98 Was Here !!» ja lisaks hulganisti teiste küberpättide nimesid.
Ohtu ei olnud
Maksu ja tolliameti pressiesindaja Rainer Lauritsa sõnul on antud intsidendi ründeks või häkkimiseks nimetamine liialdus. «Piltlikult on tegemist sarnase olukorraga, kus mõne blogi või isegi uudisteportaali kommentaariumisse kirjutaks keegi, et antud lehekülg on häkitud.»
Tema sõnul on kodulehe haldaja võimaldanudki kasutajatel kommentaare kirjutada. Kasutades ettenähtud funktsionaalsust laeti ka üles tekstifail.
Samamoodi on emta.ee leheküljel võimalik ettenähtud kohtadesse kasutajatel tagasisidet jätta. «Sobimatud kirjed me eemaldame, nagu ka kõnesoleva postituse. Ohtu emta.ee lehele tegelikkuses ei olnud.»
Oliver Silla sõnul on tegu ühe liikmega arvatavasti Indoneesiast pärinevast rühmitusest N45HT, kellel on isegi enda Facebooki leht ning blogi. Kui Facebookis nende «klubi» seina vaadata, siis on näha, et seltskond tegeleb suuremas osas veebilehtede häkkimise ning massrünnakute korraldamisega.
Nad lekitavad andmebaaside sisu/kasutajanimesid, paigaldavad tagauksi ning muud pahavara. Lisaks sellele hoiavad nad oma Facebooki kontol ilusti ka ülevaadet, kui palju ning kelle veebilehti nad on rünnanud.
«Kui vaadata, mida User98 on Deface.id lehele veel postitanud, siis näeme, et maksu-ja tolliameti puhul oli tegu puhtalt juhusega. Samal päeval, 17. jaanuaril ründas User98 veel 72 veebilehte. Kõik veebilehed kasutasid Drupal sisuhaldussüsteemi ning kõigile nendele lehtedele oli täpselt samasse kataloogi laetud üles fail lak1998.txt ning seda täiesti identse sisuga,» ütles Oliver Sild.
Tema sõnul tehakse massrünnakuid tänapäeval praktiliselt automaatselt. Otsitakse välja populaarne tarkvara ning sellega seotud haavatavus. Kasutatakse otsingumootoreid, et tuvastada võimalikult palju veebilehti, mis kasutavad täpselt sama haavatavat tarkvara versiooni.
Peale seda on võimalik kogu see nimekiri panna varem valmis kirjutatud programmi, mis kõik need veebilehed ükshaaval läbi käib. Kui haavataval veebilehel puudub tulemüür ja kaitse, mis taolisi rünnakuid tuvastaks ning blokeeriks, siis ongi kuri karjas.
«Nagu näha, siis juhtub ka parimatel, aga maksu- ja tolliametil ilmselt vedas, et ründaja suure tõenäosusega ei olnud isegi mitte teadlik, mis veebilehele ta emta.ee näol sisse murdis. Samuti on tegu karmi näitega, et veebilehtede vastu toimuvate rünnakute eest ei ole mitte keegi kaitstud,» märkis Sild.
WebARX, kes eelnevalt kandis nime ESEC on aastal 2013 loodud Eesti iduettevõte, kelle tegevusalaks on veebiturvalisus ja -arendus.