- Remigijus Jurgelaitis
- Teksto dydis:
- Spausdinti
Šalyje siaučia mirtinos ligos epidemija. Sprogo atominė elektrinė. „Vilniaus dienos“ žurnalistinis eksperimentas įrodė: tokiai atakai, kai platinama iškreipta informacija, prireiktų keliolikos minučių.
Kas pavojingesni: realūs ar kompiuterių įsilaužėliai? Italijos vyriausybė įsitikino, kad sunkiau apsaugoti bankų sąskaitose esančius pinigus nuo programišių. Ir jiems paskelbė didesnį karą nei Sicilijos mafijai. Estai po pernykščių išpuolių prieš šios šalies tarnybines stotis ir interneto savaites irgi suprato: jei informacijos amžiuje vyks pasaulinis karas, tai ne mūšio lauke, o nebent kibernetinėje erdvėje. O lietuviai? „Valdžia nesimoko iš svetimų klaidų“, – išdrožė į redakciją paskambinęs kompiuterių specialistas. Dar daugiau – jis juokingomis pavadino kai kurių politikų kalbas, kad valstybinių institucijų interneto svetainės saugios beveik šimtu procentų. „Užtektų keliolikos minučių, ir į prezidento ar Vyriausybės puslapius galėčiau įdėti bet kokią informaciją. Na, pavyzdžiui, kad Lietuva skelbia karą Baltarusijai, sprogo atominė elektrinė“, – rimtai dėstė specialistas, nors jo žodžiai atrodė prasilenkiantys su realybe.
Jo tikslas – ne sutepti šalies įvaizdį ar iškreipti interneto svetainėse esančią informaciją. Atvirkščiai – kompiuterių specialistas siekia atkreipti dėmesį, kad Lietuva nepasirengusi apsiginti net nuo paprasčiausių kibernetinių atakų. „Jei prasidėtų mūšis su priešiška valstybe, jis baigtųsi visiška Lietuvos kapituliacija“, – aiškino vyras.
„Šiuo metu atliekame eksperimentą. Tikriname interneto svetainių saugumą“, – blogų kėslų turintys interneto įsilaužėliai niekada neįspėja apie planuojamą ataką. Tačiau informavome visas valstybines institucijas, kad atliekame tyrimą. Prezidentūros, Vyriausybės, Savivaldybių asociacijos, Valstybinės duomenų apsaugos inspekcijos atstovai davė sutikimus.
Ar gavę informacijos jie galės užkirsti kelią rengiamoms atakoms? „Tikrame mūšyje, kai neturi ginklų, lieka bėgti. O jie neturi pabūklų, todėl nesugebės pasipriešinti tam, kas vyksta“, – specialistas atrodė pernelyg pasitikintis savo jėgomis.
Kai kompiuterio ekrane pasirodė naršyklė, kompiuterių specialistas pradėjo eksperimentą.
Pirmas eksperimentas
Tikslas. Patikrinti Valstybinės duomenų inspekcijos interneto svetainės saugumą (www.ada.lt).
Angų – štai ko pirmiausia ieško visi įsilaužėliai. Kokio nors langelio į svetimą interneto svetainę. Kas pradėtų prasibrauti pro apsaugos sienas, įveikti slaptažodžius ir kodus.
Kompiuterių specialistas aiškino kiekvieną veiksmą. Jo kompiuteryje įdiegta programa „Tor“, vadinasi, svetaines prižiūrintys vadinamieji kiberpolicininkai nesugebės susekti, kas atakuoja. „Jie matys savotišką grandinę į Švedijos, Olandijos, kitų šalių serverius“, – paaiškino programišius.
Iš pradžių kompiuterių specialistas, pasinaudodamas standartiniu operacinės sistemos įrankiu, išsiaiškino Valstybinės duomenų apsaugos inspekcijos (VDAI) IP adresą. Jis prieinamas kiekvienam vartotojui – 193.219.14.1.
Po kelių minučių pateko į valstybės įmonės „Infrastruktūra“ prižiūrimą serverį, kuriame yra penkiasdešimties vartotojų interneto svetainės. Daugiausia valstybinių institucijų: Vyriausybės, prezidento, Konkurencijos tarybos, savivaldybių ir t. t.
Kompiuterio ekrane pasirodė svetainės scenarijus (script – angl.). Čia įsilaužėliai paprastai ieško pažeidžiamų vietų.
Dar kelios minutės ir programišius pranešė: „Turiu.“ Scenarijuje jis rado interneto svetainės www.ada.lt panelės administratoriaus vartotojo vardą ir slaptažodį. Vadinasi, jis gali prisijungti prie svetainės ir keisti visą joje esančią informaciją. Tam prireikė maždaug 10 minučių.
„Svetainės administratorius turi daug teisių, todėl į portalą galiu įdėti bet kokią informaciją“, – aiškino kompiuterių specialistas ir sukūrė naują failą www.ada.lt svetainėje.
Po eksperimento imtos lopyti spragos. Pranešta, kad VDAI svetainė laikinai neveikia.
Antras eksperimentas
Tikslas. Patikrinti prezidento interneto svetainės saugumą (www.president.lt).
„Pasakysiu vienu žodžiu. Svetainė www.president.lt saugi, ir taškas“, –
ketvirtadienį dienraščiui pareiškė Prezidento kanceliarijos informacinių sistemų vyriausiasis specialistas Vaidotas Aleksa.
Tačiau tašką jis padėjo pernelyg anksti. Bent jau taip tvirtino įsilaužti į portalą bandęs programišius. „Serveryje radome spragų, todėl nebus sunku prasibrauti ir į kitas jame esančias svetaines. Tarp jų – ir prezidento“, – aiškino kompiuterių specialistas.
Žingsnis po žingsnio – tarsi keliu tikslo link ėjo programišius. Jis žinojo tikslią kryptį, todėl neabejojo, kad pasieks tikslą. „Yra daug spragų. Esant vienoje svetainėje nesunku perskaityti kitų serveryje esančių vartotojų informaciją“, –
spragas vardijo į kompiuterio ekraną įlindęs vyras.
Kai programavimo kalba įrašė komandą „vykdyti“, prezidento tinklalapyje atsirado naujas failas.
Kompiuterių specialistas turi ir daugiau teisių – jis gali skaityti visus svetainėje esančius failus.
Programišius paneigia politikų kalbas, kad po įvykių Estijoje sustiprintas svetainių saugumas. Pastarąjį kartą operacinė sistema atnaujinta 2004-aisiais.
Trečias eksperimentas
Tikslas. Patikrinti Vyriausybės tinklalapio saugumą (www.lrvk.lt).
„Kol kas neturime absoliučių teisių. Negalėtume išjungti serverio. Tačiau tai nėra mūsų tikslas“, –
kalbėjo vis gilyn besiskverbiantis programišius. Tikri įsilaužėliai siekia sutrikdyti serverio darbą.
Ar jį sunku pasiekti? „Prireiktų kelių valandų. Ir vienu metu visose svetainėse galėtume paskelbti šalyje chaosą sukelsiančią informaciją“, – bandydamas patekti į Vyriausybės puslapį aiškino programišius.
Po kelių minučių interneto svetainėje www.lrvk.lt sukūrė naują failą. Vyriausybės Administracijos departamento Informacijos technologijų skyriaus vedėjo Povilo Ramoškos patikinimai, kad pernai pastebėtos saugumo skylės buvo užlopytos, sudužo į šipulius.
„Spragų yra labai daug. Kategoriškai negaliu tvirtinti, bet atrodo, kad nebuvo imtasi jokių papildomų saugumo priemonių“, – reziumavo į pagrindinių šalies institucijų tinklalapius įsilaužęs kompiuterių specialistas. Tam prireikė mažiau nei valandos.
Ar valstybinių institucijų informacinių technologijų specialistai suseks įsilaužėlius? „Abejoju. Manau, kad mūsų naudotas būdas panašus į rusų“, – ramus jautėsi eksperimentą atlikęs programišius.
Vitalijus Moskvinas, „Infrastruktūros“ Technikos departamento vadovas
– Akivaizdu, kad valstybinių institucijų interneto svetainių apsauga yra prasta. Kodėl?
– Estijoje buvo vykdomos rimtos atakos. Prieš Lietuvos svetaines atliktus išpuolius pavadinčiau mėgėjiškais. Be to, Lietuvoje vyrauja požiūris, kad nereikia nieko daryti, neskiriama pakankamai investicijų. Susidaro įspūdis, kad nenorima užtikrinti svetainių saugumo.
– Kas konkrečiai teigė, kad nereikia imtis jokių priemonių?
– Didžiulę įtaką daro komerciniai duomenų perdavimo operatoriai. Prieš kelerius metus Vidaus reikalų ministeriją jie padavė į teismą, kai ši nusprendė sistemos operatoriumi skirti valstybinę įmonę „Infrastruktūra“.
– Atrodo, kad jie buvo teisūs. Jūs taip ir nesugebėjote užtikrinti prezidento ar Vyriausybės svetainių saugumo.
– Manote, kad viską galima padaryti per vieną dieną? Klientams turime suteikti galimybę į svetaines dėti naują informaciją. Tuo pačiu keliu pasinaudoja ir programišiai. Tai dar ne viskas. Reikėtų užtikrinti, kad saugios būtų sistemų administratorių darbo vietos. Į kai kurias įstaigas ateina pašaliniai ir naudojasi kompiuteriais.
– Sakote, kad neturite galimybių užtikrinti visišką valstybės institucijų interneto svetainių saugumą?
– Turime. Kas matė tai, ką padarėte. Jokios žalos nėra. Negalime viešai kalbėti apie saugumo dalykus. Niekas neskelbs, kas kada ir kaip padaryta.
– Kodėl serverio scenarijuje palikti vartotojų vardai ir slaptažodžiai?
– Ir tai paskelbsite viešai? Tos spragos buvo pašalintos per valandą.
Tomas Lažauninkas, UAB „Critical Security“ IT saugumo analitikas
– Kokių priemonių valstybinės institucijos turėtų imtis, kad užtikrintų interneto svetainių saugumą?
– Visų pirma politikai turėtų suprasti, kad egzistuoja tokios problemos, ir pradėti tuo rūpintis. Lietuvoje dirbantys specialistai aptinka spragas ir padeda jas pašalinti. Užtikrinti svetainių saugumą nesunku. Gerokai daugiau žinių ir laiko reikia spragoms rasti.
– Ar reikia didelių investicijų? Ar būtina diegti sudėtingas saugumo sistemas?
– Užlopyti didžiąją dalį spragų pajėgus kiekvienas svetainės administratorius. Tiesiog tam reikia skirti dėmesio. Bent minimalų saugumą įmanoma užtikrinti per dvi savaites.
– Kompiuterių specialistas per pusvalandį įsilaužė į prezidento, Vyriausybės, kitų valstybinių institucijų svetaines. Kodėl jam prireikė tiek mažai laiko?
– Kai kuriais kitais atvejais reikia atlikti detalias, ilgai trunkančias analizes. Jūsų minimi atvejai – pernelyg akivaizdžios programavimo klaidos. Tam užtenka kelių programų ir naršyklės.
NAUJAUSI KOMENTARAI
SUSIJĘ STRAIPSNIAI
-
Vilniuje populiarėja miesto daržininkystė2
Nuo balandžio 25 d., arba Šv. Morkaus dienos, lietuviai pradėdavo darbus daržuose ir pirmiausia sėdavo morkas. Miesto daržininkystė populiarėja ir Vilniuje. Pilaitėje miestiečiai jau penktą sezoną puoselėja „Idėjų lysvę“, Sapi...
-
Dėl šilumos tinklų rekonstrukcijos V. Šopeno gatvėje – eismo ribojimai1
Nuo balandžio 29 d. vidurnakčio. iki birželio 7 d. Vilniuje, V. Šopeno gatvės atkarpoje nuo Šv. Stepono g. iki Sodų g., bus ribojamas eismas. Eismo ribojimai įvedami dėl šilumos tiekimo tinklų rekonstrukcijos, kuriai atlikti būtin...
-
Vilniaus Konstitucijos prospekte bus renovuotas sovietmečiu statytas daugiabutis2
Vilniaus Konstitucijos prospekte už 3,8 mln. eurų bus renovuotas sovietmečiu statytas daugiabutis. ...
-
Apsišarvuokite kantrybe: paaiškino, kaip vyks eismas Vilniaus oro uoste1
Vilniaus oro uoste vyksta pokyčių – uždaromas išvykimo kelias, kuriuo buvo galima patogiai automobiliu pakilti iki pat išvykimo salės. Statant naują terminalą ir rekonstruojant visas prieigas, keičiasi eismas, tad keliautojams siūlo...
-
Vilniuje bus pagerbtos Černobylio atominės elektrinės avarijos aukos4
Vilniuje, Sapiegų parke, penktadienį bus pagerbtos Černobylio atominės elektrinės avarijos aukos. ...
-
Tuskulėnų memoriale bus pagerbtos Ruandos tutsių genocido aukos1
Diplomatinė bendruomenė ketvirtadienį Tuskulėnų dvaro memoriale Vilniuje organizuoja renginį, skirtą paminėti tutsių genocido Ruandoje 30-metį. ...
-
Pristatomi Mamuto parko projektiniai pasiūlymai: laukiama gyventojų nuomonės
Visuomenei pristatomi Šeškinės šlaitų geomorfologinio draustinio teritorijos su prieigomis tvarkymo projektiniai pasiūlymai. Vadinamasis Mamuto parkas ves paskutinio ledynmečio pėdsakais ir pasiūlys ramų poilsį gamtos apsuptyje. ...
-
VŠT iš „Veolios“ jau gavo 9,5 mln. eurų už taršos leidimus, likusių lėšų tikisi netrukus
Vilniaus miestas ir Vilniaus šilumos tinklai (VŠT) iš Prancūzijos energetikos grupės „Veolia“ jau atgavo dalį Stokholmo arbitražo pernai lapkritį priteistos sumos – 9,5 mln. eurų už įmonės 2002–2017 metais ...
-
G. Nausėda įvardijo, iš kur gauti pinigų gynybos reikmėms: mano nuomone, tai – geriausias kelias15
Prezidentas Gitanas Nausėda sako pritariantis, jog pelno mokestis gynybos reikmėms galėtų būti didinamas papildomais 2 procentiniais punktais. ...
-
Skelbiamas Respublikinės Vilniaus universitetinės ligoninės direktoriaus konkursas2
Sveikatos apsaugos ministerija (SAM) paskelbė konkursą Respublikinės Vilniaus universitetinės ligoninės (RVUL) direktoriaus pareigoms užimti. ...