Спешу сообщить друзья что стал вновь сотрудничать с нашим местным и все еще ведущим ИТ/high-tech журналом Infocity.
Thursday, July 5, 2012
Wednesday, May 30, 2012
Из народного творчества - поэтому переводить не буду )
Не смотря на наличие в достаточной степени информативного сайта - все равно пишут абсолютно однообразные письма, да еще и не представляясь при этом - вот один такой (еще не самый худший образчик) я и выложу (ответы отмечены синим цветом).
Thursday, April 26, 2012
Некоторые особенности при построении распределленных СХД на основе модульного шасси Cisco MDS 9000.
Сейчас по прошествию 5 месяцев изучения мануалов и тыкания в темноте можно с уверенностью сказать что мы немного умеем настраивать такие бандуры как эти IBM Storwize - Cisco MDS 9xxxx- SVC. Для тех из Вас кто впервые столкнется с этими железками (да и нам что бы помнить) будет крайне полезно знать такие простые, но прописные истины как нижеследующие:
1. Важно уделять внимание правильному именованию портов, зон и зонсетов, каналов - они должны быть последовательными и нумерованы в соответствии с именем свича. Не ленитесь делать дескрипшн портов - потом очень поможет. Кое-чему может научить эта ссылка www.fcoe.ru/russian/hardware/215
2. Выберите и последовательно придерживайтесь какому-то одному способу формирования связок устройств - или через связку зона - wwn (далее как 2.1) или domain - port id (далее как 2.2).
3. В случае 2.1 (как было у нас) на обоих оптосвичах (если у Вас конечно структура независимого доступа к СХД) как вариант должна быть общая default zone (zone name $default zone$ vsan 1) смотрящая в VSAN (effective zone cfg согласно BROCADE) с одинаковыми id (у нас это всан 1). Через нее добавляя wwn устройств которые мы хотим видеть через оба свича в связочные зоны 1го vsan они будут обнаружены и задействованы. Это процесс не затрагивает разбивку на дополнительные зоны и всаны.
4. Для совместимости с не Cisco устройствами (а таких SAN сетей думаю 99%) важно не забыть включить функцию привязки портов NPIV - conf t - enable npiv.
5. Опять таки для совместимости выгодно дефолтный для свича vsan сажать в режим совместимости оптических портов (так называемый interop 1)
MDS_5# config t
MDS_5 (config)# vsan database
MDS_5 (config-vsan-db)# vsan 113 interop 3
Подробнее тут - http://www.cisco.com/en/US/docs/storage/san_switches/mds9000/interoperability/guide/ICG_im3.html
Ну пока вроде все, будет что вкусного добавим.
1. Важно уделять внимание правильному именованию портов, зон и зонсетов, каналов - они должны быть последовательными и нумерованы в соответствии с именем свича. Не ленитесь делать дескрипшн портов - потом очень поможет. Кое-чему может научить эта ссылка www.fcoe.ru/russian/hardware/215
2. Выберите и последовательно придерживайтесь какому-то одному способу формирования связок устройств - или через связку зона - wwn (далее как 2.1) или domain - port id (далее как 2.2).
3. В случае 2.1 (как было у нас) на обоих оптосвичах (если у Вас конечно структура независимого доступа к СХД) как вариант должна быть общая default zone (zone name $default zone$ vsan 1) смотрящая в VSAN (effective zone cfg согласно BROCADE) с одинаковыми id (у нас это всан 1). Через нее добавляя wwn устройств которые мы хотим видеть через оба свича в связочные зоны 1го vsan они будут обнаружены и задействованы. Это процесс не затрагивает разбивку на дополнительные зоны и всаны.
4. Для совместимости с не Cisco устройствами (а таких SAN сетей думаю 99%) важно не забыть включить функцию привязки портов NPIV - conf t - enable npiv.
5. Опять таки для совместимости выгодно дефолтный для свича vsan сажать в режим совместимости оптических портов (так называемый interop 1)
MDS_5# config t
MDS_5 (config)# vsan database
MDS_5 (config-vsan-db)# vsan 113 interop 3
Подробнее тут - http://www.cisco.com/en/US/docs/storage/san_switches/mds9000/interoperability/guide/ICG_im3.html
Ну пока вроде все, будет что вкусного добавим.
Saturday, January 21, 2012
16/01/2012
Цепь событий произошедших в тот день навсегда разделил азнет от того детского состояния в котором он до этого пребывал. В тот день были “якобы” взломаны группа азербайджанских вебсайтов в основном представляющих собой органы государственной власти. Почему якобы? Давайте попробуем вместе разобраться, что же произошло в тот день. В своем предварительном анализе я буду опираться только на открытые СМИ, хотя я и не претендую на абсолютную достоверность представленной информации и законченность своих выводов – возможно, позже я еще раз вернусь к данной теме, имея гораздо более достоверные доказательства.
Предпосылки:
Согласно сообщению lent.az от 16 января примерно в полдень ряд госсайтов были подвержены хакерской атаке, интересно что затем именно данный сайт являющийся подразделением АПА, распространил текст сообщения от вероятных преступников назвавшими себя “azerian cyber army”. Согласно последовавшим затем обновлениям информации атаки якобы шли с иранских IP адресов, хотя общественности так и не были представлены логи атакуемых вебсайтов с целью доказать достоверность данной информации, однако цепь последующих событий, ответная атака азербайджанской хаккоманды (pirates-crew.org) и тотальное молчание в ответ, как иранских СМИ и так официальных лиц дают основания подозревать об участии последнего государства хотя бы на правах соучастника – почему именно соучастника, об этом чуть позже.
Сначала давайте разберемся как такое отсталое государство как Иран (каким я его запомнил на момент распада СССР) за какие-то 20 лет вдруг стало настолько технически продвинутым для осуществления такого рода атак. В этом нам поможет статья (1) одного российского ресурса, согласно утверждениям которой «…несмотря на всю враждебность Исламской республики по отношению к США и прочим «агрессорам», несмотря на все санкции, сотрудничество персидских ученых с коллегами из стран Запада существует. В соавторстве с иностранцами написано больше 15% научных статей иранцев, попавших в международные базы, причем чаще всего соавторы работают в США. Несмотря на значительную утечку мозгов, правительство продолжает спонсировать поездки ученых на конференции за границу», отсюда и основа их текущего превосходства. Кстати косвенное доказательство этому я наблюдал сам лично на единственной выставки ИТ достижений соседей в нашем старом экспоцентре. Я тогда очень сильно удивился тому, что львиная доля иранских интернет провайдеров сидят на оборудовании американской Sun Microsystems сотрудничество которой для враждебного по отношению к Америке государству как минимум странно.
Возможные причины атаки:
На протяжении последних 20 лет с момента восстановления Азербайджаном своей независимости наши соседи с плохо скрываемой завистью смотрели на любые наши успехи и достижения. Более того через свои СМИ нам неоднократно намекали что Иран вообще считает Азербайджан чуть ли не своей провинцией (именно об этом свидетельствует выбор целей для хакерских атак – т.е нам показали что не уважают наше правительство) и поэтому любые проявления нашей самостоятельности само собой понятно как их злят В этих условиях не будь наше правительство союзником США (именно их, а не России как многие тут думают), и не придерживаясь при этом военного нейтралитета, мы бы живо повторили судьбу Кувейта.
Между тем следует отметить абсолютную беспомощность нашего правительства по отношению к враждебным действиям соседей, в частности на любые логически последовательные «многоходовки» соседей, наши власти отвечают запретительными мерами которые больше приводят к обострению локальной обстановки чем к ее разряжению. Речь понятное дело идет о запрете на покрытие головы в вУЗах страны, разгон демонстраций протеста наших верующих и т.д. Последней каплей переполнившей чашу по моему субъективному мнению стал запрет на преподавание религиозных дисциплин учителям духовных семинарий «медресе» именно последователям джафаритского мазхаба - Ислама шиитского толка (а именно тем из них кто окончил курсы в Куме (Иран) и Дамаске (Сирия)). Данный запрет вступил в силу примерно месяц назад, но осуществляться стал ровно за неделю до атак (шаг довольно не однозначный, т.к. по моему мнению, он приведет к усилению суннитского фактора в нашей стране, а последние далеко не те «ребята», с которыми можно «общаться» путем взлома вебсайтов). Само собой, что иранское духовенство мгновенно теряет платформу для формирования сочувствующих ему масс азербайджанского народа и таким образом пыталось предупредить наше правительство о возможных последствиях (2).
Характер атак:
Несмотря на то что, отечественных специалисты по ИТ безопасности неоднократно информировали общественность через форумы и свои блоги (3) о потенциальной уязвимости большинства отечественных вебсайтов выполненных буквально на «коленке» и использованием шаблонных систем управления вебконтентом, данные предупреждения не были услышаны что и привело в итоге к столь печальным последствиям – однако я считаю что данный «ледяной душ» пошел на пользу всем локальным игрокам – т.к. открыл им глаза на суровую действительность.
Сами атаки не были полноценным взломом, а являлись (классифицируя по последствиям) как deface – то есть обезображивание лицевой странички сайта (4) с целью привлечения внимания. В качестве метода атаки на мой взгляд был использован банальный php include - то есть поиск и применение уязвимости в коде сайта. Причем для атаки сначала был взломан израильский онлайн магазин (5) где были размещены графические изображения и вебстранички, например по след ссылкам (6, 7), а уже потом эти ссылки были внедрены в код наших вебсайтов. Этими действиями атакующие намеревались сбить с толку уже наших спецов и потянуть время для блокирования ответных действий, т.к. Израиль считается союзным государством, а возможно это просто у «их» хакеров чувство юмора такое .
Самое что интересное даже учитывая такую банальность атаки, у нас не нашлось, сколько-нибудь толковых спецов которые хотя бы на уровне файрвола вебхостинга блокировали бы как весь сегмент иранских IP адресов, так и тот злосчастный израильский вебсайт. Все это свидетельствует что знаменитый февральский указ если не ошибаюсь 2006 года Президента АР о формировании подразделения «защищенного интернета» на базе ХДМХ не более чем набор буковок на бумаге – к сожалению .
Теперь к моменту почему Иран больше соучастник чем организатор. Дело в том что если проанализировать предыдущие атаки иранских хакеров например (8) можно заметить что в их среде не принято публиковать политические памфлеты или шаржи на глав государств. Более того тотальная осведомленность атакующих о локальных событиях и абсолютно грамматически правильный азербайджанский текст свидельствует, о том что без «местных кадров» не обошлось. Возможно даже атака изначальна шла с территории Азербайджана через ВПН канал на иранский терминал, а уже оттуда на наши сайты что бы засветить айпишники иранцев. Вот тут как раз очень пригодился бы сплошной лог всего азербайджанского веб-трафика, но примитивизм организации нашего правительственного веб-хостинга заставляет усомниться в существовании подобного у нас решения.
Возникает и следующий вопрос – как такое вообще могло произойти? Можно ли было это предотвратить? Как не странно - то да. И вот почему. Еще 17 числа когда пираты заявили о своих действиях, я побродив по их сайту нашел ссылку на новость о взломе ресурса ЙАП еще до 16 числа, к сожалению потом как я не пытался найти эту новость не получилось, там вообще удален весь архив новостей до http://pirates-crew.org/xeberler17 (вообще уже 1000 раз себя ругал, за свою неразумную расточительность – несколько лет назад читал один любопытный англоязычный документ, где говорилось о неудачных попытках нашего правительства применить 1ю версию российского специализированного ПО СОРМ, о попытке присобачить Norton Antivirus к азербайджанскому вебтрафику и умудрился не сохранить столь уникальный документ для будущих поколений).
В любой нормальной стране взлом вебсайта правящей партии становится материалом передовицы ведущих газет, но т.к. мы живем в уникальной стране, не освещение данного события не смогло предупредить всех остальных
Или вот возьмем другой пример – еще в начале 2000 годов НАТО подготовило специалистов для отечественной группы CERT (подробнее (9)) – я имел честь общаться с одним из их группы Денисом Р., которая, к сожалению, из-за отсутствия интереса со стороны нашего правительства, а следовательно и финансирования, так никогда и не было суждено стать основой системы реагирования на атаки нашего сегмента интернета. А указанный мной специалист разделил судьбу сотен других отечественных спецов которые в погоне за куском хлеба были вынуждены мыкаться от одного проекта к другому.
Ответная реакция:
Не смотря на то что, ответная реакция отечественных хакеров не заставила себя долго ждать (10) возникает вопрос, а почему только на следующий день, ведь в составе нашей хак-группы судя по никам порядка десятка спецов. Ведь такому кол-ву ребят не составит труда распределить работу по разведке потенциально уязвимых вебсайтов, сформировать ударную группу и начать атаковать в тот же день что и враг. По крайней мере с армянскими вебсайтами так и поступали? К сожалению все вышеперечисленное заставляет полагать, что наша группа как будто бы ждала чьего то разрешения. Однако характер атак и выбор вебсайтов наводит на совершенно другие выводы.
Во-первых обвинения иранцам о том что мы не забыли трагедию 20 января, вызывает вопрос – а причем здесь иранцы, а это означает что группа была представлена сама себе – т.е. это самодеятельность.
Во-вторых набор атакованных вебсайтов – всего парочка правительственных, остальное частные ресурсы к тому же еще и размещенные в массе своей на американские и дубайских хостинг-площадках (?), т.е. иранцы при всем желании не смогли бы защитить на 100%, хотя нужно признать что в качестве способа атак наши использовали гораздо более продвинутые методы например sql injection т.е. могли вообще вывести атакуемый вебсайт из строя путем удаления все БД например, но не стали этого делать ограничившись тем же дефейсом.
Возможным объяснением этому может быть гораздо более лучшая защита со стороны иранцев чем мы могли полагать.
Последствия:
Данные события еще долго будут будоражить умы отечественных ИТ специалистов. Но несомненно что они уже сдвинули ситуацию с мертвой точки. Уже есть обращение Совет редакторов (СР) некоторых средств СМИ которые направили письмо министру национальной безопасности Эльдару Махмудову с призывом о создании механизмов защиты медиасайтов от внешнего вмешательства и хакерских атак. В частности, СР предложил создать на официальном сайте МНБ условия для электронного обращения в случае угроз, подготовить правила обращения, рекомендации по безопасности интернет-ресурсов. (11).
Из неофициальных источников как стало известно что руководство такие крупнейших гос компаний как например СОКАР вызвало к себе штат своих ИТ спецов и рекомендовали им пройти все необходимые курсы (за счет государства само собой) для формирования команды защиты как раз для таких случаев.
Неоднозначный след это оставило и в умах наших соотечественников – например (12).
Во всем цивилизованном мире атака пусть и на виртуальные сайты представляет собой враждебный акт (13) – учитывая наши небольшие размеры пусть и не такой масштабный как, например кибер противостояние Грузии с Россией в августе 2008, Китая с США, недавнее арабов с Израилем, но тем не менее если мы хотим защитить то что называется Азербайджанским государством нашему правительству стоит отнестись к этому со всей возможной серьезностью.
Извечное «что же делать»?
Данную статью я начинал писать как независимый эксперт (потому что от меня ничего не зависит ), но мне не хотелось бы, быть просто регистратором фактов, поэтому я бы хотел привести список возможных мер – быть может, кому-то от кого что-то там зависит этот поможет.
Уже понятно, что большинство стран создают свои кибер подразделения безопасности, т.к. это одно из вех любой формы будущих противостояний. Как государству окруженному враждебными режимами нам тоже стоит озаботиться подобным, и если элементарно не хватает опыта или знаний не зазорно взять чужой опыт за основу (14).
Далее по пунктам.
1) Необходимо воссоздать национальную CERT команду и финансировать ее со всей серьезностью. На ее основе создать курсы быстрого обучения отечественных спецов по ИТ безопасности;
2) Ввести системы логирования трафика всех нац провайдеров, и свести затем это все в единую базу для анализа и принятия, соответствующих мер (пусть и постфактум но хотя бы локальных злоумышленников отслеживать и арестовывать получится);
3) Создать сплошной «файрвол» по примеру Китая уже не получится, слишком мало времени до начала глобальной конфронтации, но мы можем успеть создать очаговую оборону, своеобразные «бронекапсулы» с разнесенным правительственным веб-хостингом, где фронт-энд находится за дмз, доступ к ресурсу минимализирован и все действия логируются как минимум 2 независимыми регистраторами логов. Учитывая что львиная часть вебсайтов написана с использованием скриптов php, то как минимум перевести компиляторы языка в режим safe mode, использовать такие приложения как mod_evasive и mod_security для вебсервера Апач.
4) Полный отказ от открытых CMS систем наподобие Joomla или DLE, движки должны писаться с 0 в рамках наиболее проверенных фреймворков.
Само собой данный список можно было бы еще продолжать но это тема уже другой статьи.
Как-то так.
1) http://slon.ru/future/iran_vybilsya_v_mirovye_lidery_po_tempam_razvitiya_nauki-731131.xhtml
2) http://new.zerkalo.az/media/pdf/2012-01-17.pdf
3) http://bozgurd.info/2012/01/05/%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC%D0%B0%D0%BD-%D0%B0%D1%80%D0%BC%D1%8F%D0%BD%D1%81%D0%BA%D0%B8%D0%B9-%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80-web-am/
4) http://www.disput.az/index.php?app=core&module=attach§ion=attach&attach_rel_module=post&attach_id=1757664
5) http://www.disput.az/index.php?showtopic=322520&pid=11040410&st=0&#entry11040410
6) http://www.logate.co.il/logateshop/test/din.html
7) http://www.logate.co.il/logateshop/test/plakat-foto-v.jpg
8) http://www.thetechherald.com/articles/Iranian-Cyber-Army-defaces-Voice-of-America-and-93-other-domains-%28Update%29/12865/
9) http://en.wikipedia.org/wiki/Computer_emergency_response_team#Other_countries
10) http://pirates-crew.org/xeberler29
11) http://www.zerkalo.az/2012-01-17/short-news/26388-internet-hacker
12) http://313news.net/forum/index.php?/topic/5275/
13) http://contact.az/docs/2012/Social/0116482ru.htm
14) http://www.cybersecurity.ru/crypto/141828.html
просто если кому интересно :)
http://who.is/whois/pirates-crew.org/
http://who.is/dns/pirates-crew.org/
http://who.is/nameserver/ns1.kral-host.com/
Предпосылки:
Согласно сообщению lent.az от 16 января примерно в полдень ряд госсайтов были подвержены хакерской атаке, интересно что затем именно данный сайт являющийся подразделением АПА, распространил текст сообщения от вероятных преступников назвавшими себя “azerian cyber army”. Согласно последовавшим затем обновлениям информации атаки якобы шли с иранских IP адресов, хотя общественности так и не были представлены логи атакуемых вебсайтов с целью доказать достоверность данной информации, однако цепь последующих событий, ответная атака азербайджанской хаккоманды (pirates-crew.org) и тотальное молчание в ответ, как иранских СМИ и так официальных лиц дают основания подозревать об участии последнего государства хотя бы на правах соучастника – почему именно соучастника, об этом чуть позже.
Сначала давайте разберемся как такое отсталое государство как Иран (каким я его запомнил на момент распада СССР) за какие-то 20 лет вдруг стало настолько технически продвинутым для осуществления такого рода атак. В этом нам поможет статья (1) одного российского ресурса, согласно утверждениям которой «…несмотря на всю враждебность Исламской республики по отношению к США и прочим «агрессорам», несмотря на все санкции, сотрудничество персидских ученых с коллегами из стран Запада существует. В соавторстве с иностранцами написано больше 15% научных статей иранцев, попавших в международные базы, причем чаще всего соавторы работают в США. Несмотря на значительную утечку мозгов, правительство продолжает спонсировать поездки ученых на конференции за границу», отсюда и основа их текущего превосходства. Кстати косвенное доказательство этому я наблюдал сам лично на единственной выставки ИТ достижений соседей в нашем старом экспоцентре. Я тогда очень сильно удивился тому, что львиная доля иранских интернет провайдеров сидят на оборудовании американской Sun Microsystems сотрудничество которой для враждебного по отношению к Америке государству как минимум странно.
Возможные причины атаки:
На протяжении последних 20 лет с момента восстановления Азербайджаном своей независимости наши соседи с плохо скрываемой завистью смотрели на любые наши успехи и достижения. Более того через свои СМИ нам неоднократно намекали что Иран вообще считает Азербайджан чуть ли не своей провинцией (именно об этом свидетельствует выбор целей для хакерских атак – т.е нам показали что не уважают наше правительство) и поэтому любые проявления нашей самостоятельности само собой понятно как их злят В этих условиях не будь наше правительство союзником США (именно их, а не России как многие тут думают), и не придерживаясь при этом военного нейтралитета, мы бы живо повторили судьбу Кувейта.
Между тем следует отметить абсолютную беспомощность нашего правительства по отношению к враждебным действиям соседей, в частности на любые логически последовательные «многоходовки» соседей, наши власти отвечают запретительными мерами которые больше приводят к обострению локальной обстановки чем к ее разряжению. Речь понятное дело идет о запрете на покрытие головы в вУЗах страны, разгон демонстраций протеста наших верующих и т.д. Последней каплей переполнившей чашу по моему субъективному мнению стал запрет на преподавание религиозных дисциплин учителям духовных семинарий «медресе» именно последователям джафаритского мазхаба - Ислама шиитского толка (а именно тем из них кто окончил курсы в Куме (Иран) и Дамаске (Сирия)). Данный запрет вступил в силу примерно месяц назад, но осуществляться стал ровно за неделю до атак (шаг довольно не однозначный, т.к. по моему мнению, он приведет к усилению суннитского фактора в нашей стране, а последние далеко не те «ребята», с которыми можно «общаться» путем взлома вебсайтов). Само собой, что иранское духовенство мгновенно теряет платформу для формирования сочувствующих ему масс азербайджанского народа и таким образом пыталось предупредить наше правительство о возможных последствиях (2).
Характер атак:
Несмотря на то что, отечественных специалисты по ИТ безопасности неоднократно информировали общественность через форумы и свои блоги (3) о потенциальной уязвимости большинства отечественных вебсайтов выполненных буквально на «коленке» и использованием шаблонных систем управления вебконтентом, данные предупреждения не были услышаны что и привело в итоге к столь печальным последствиям – однако я считаю что данный «ледяной душ» пошел на пользу всем локальным игрокам – т.к. открыл им глаза на суровую действительность.
Сами атаки не были полноценным взломом, а являлись (классифицируя по последствиям) как deface – то есть обезображивание лицевой странички сайта (4) с целью привлечения внимания. В качестве метода атаки на мой взгляд был использован банальный php include - то есть поиск и применение уязвимости в коде сайта. Причем для атаки сначала был взломан израильский онлайн магазин (5) где были размещены графические изображения и вебстранички, например по след ссылкам (6, 7), а уже потом эти ссылки были внедрены в код наших вебсайтов. Этими действиями атакующие намеревались сбить с толку уже наших спецов и потянуть время для блокирования ответных действий, т.к. Израиль считается союзным государством, а возможно это просто у «их» хакеров чувство юмора такое .
Самое что интересное даже учитывая такую банальность атаки, у нас не нашлось, сколько-нибудь толковых спецов которые хотя бы на уровне файрвола вебхостинга блокировали бы как весь сегмент иранских IP адресов, так и тот злосчастный израильский вебсайт. Все это свидетельствует что знаменитый февральский указ если не ошибаюсь 2006 года Президента АР о формировании подразделения «защищенного интернета» на базе ХДМХ не более чем набор буковок на бумаге – к сожалению .
Теперь к моменту почему Иран больше соучастник чем организатор. Дело в том что если проанализировать предыдущие атаки иранских хакеров например (8) можно заметить что в их среде не принято публиковать политические памфлеты или шаржи на глав государств. Более того тотальная осведомленность атакующих о локальных событиях и абсолютно грамматически правильный азербайджанский текст свидельствует, о том что без «местных кадров» не обошлось. Возможно даже атака изначальна шла с территории Азербайджана через ВПН канал на иранский терминал, а уже оттуда на наши сайты что бы засветить айпишники иранцев. Вот тут как раз очень пригодился бы сплошной лог всего азербайджанского веб-трафика, но примитивизм организации нашего правительственного веб-хостинга заставляет усомниться в существовании подобного у нас решения.
Возникает и следующий вопрос – как такое вообще могло произойти? Можно ли было это предотвратить? Как не странно - то да. И вот почему. Еще 17 числа когда пираты заявили о своих действиях, я побродив по их сайту нашел ссылку на новость о взломе ресурса ЙАП еще до 16 числа, к сожалению потом как я не пытался найти эту новость не получилось, там вообще удален весь архив новостей до http://pirates-crew.org/xeberler17 (вообще уже 1000 раз себя ругал, за свою неразумную расточительность – несколько лет назад читал один любопытный англоязычный документ, где говорилось о неудачных попытках нашего правительства применить 1ю версию российского специализированного ПО СОРМ, о попытке присобачить Norton Antivirus к азербайджанскому вебтрафику и умудрился не сохранить столь уникальный документ для будущих поколений).
В любой нормальной стране взлом вебсайта правящей партии становится материалом передовицы ведущих газет, но т.к. мы живем в уникальной стране, не освещение данного события не смогло предупредить всех остальных
Или вот возьмем другой пример – еще в начале 2000 годов НАТО подготовило специалистов для отечественной группы CERT (подробнее (9)) – я имел честь общаться с одним из их группы Денисом Р., которая, к сожалению, из-за отсутствия интереса со стороны нашего правительства, а следовательно и финансирования, так никогда и не было суждено стать основой системы реагирования на атаки нашего сегмента интернета. А указанный мной специалист разделил судьбу сотен других отечественных спецов которые в погоне за куском хлеба были вынуждены мыкаться от одного проекта к другому.
Ответная реакция:
Не смотря на то что, ответная реакция отечественных хакеров не заставила себя долго ждать (10) возникает вопрос, а почему только на следующий день, ведь в составе нашей хак-группы судя по никам порядка десятка спецов. Ведь такому кол-ву ребят не составит труда распределить работу по разведке потенциально уязвимых вебсайтов, сформировать ударную группу и начать атаковать в тот же день что и враг. По крайней мере с армянскими вебсайтами так и поступали? К сожалению все вышеперечисленное заставляет полагать, что наша группа как будто бы ждала чьего то разрешения. Однако характер атак и выбор вебсайтов наводит на совершенно другие выводы.
Во-первых обвинения иранцам о том что мы не забыли трагедию 20 января, вызывает вопрос – а причем здесь иранцы, а это означает что группа была представлена сама себе – т.е. это самодеятельность.
Во-вторых набор атакованных вебсайтов – всего парочка правительственных, остальное частные ресурсы к тому же еще и размещенные в массе своей на американские и дубайских хостинг-площадках (?), т.е. иранцы при всем желании не смогли бы защитить на 100%, хотя нужно признать что в качестве способа атак наши использовали гораздо более продвинутые методы например sql injection т.е. могли вообще вывести атакуемый вебсайт из строя путем удаления все БД например, но не стали этого делать ограничившись тем же дефейсом.
Возможным объяснением этому может быть гораздо более лучшая защита со стороны иранцев чем мы могли полагать.
Последствия:
Данные события еще долго будут будоражить умы отечественных ИТ специалистов. Но несомненно что они уже сдвинули ситуацию с мертвой точки. Уже есть обращение Совет редакторов (СР) некоторых средств СМИ которые направили письмо министру национальной безопасности Эльдару Махмудову с призывом о создании механизмов защиты медиасайтов от внешнего вмешательства и хакерских атак. В частности, СР предложил создать на официальном сайте МНБ условия для электронного обращения в случае угроз, подготовить правила обращения, рекомендации по безопасности интернет-ресурсов. (11).
Из неофициальных источников как стало известно что руководство такие крупнейших гос компаний как например СОКАР вызвало к себе штат своих ИТ спецов и рекомендовали им пройти все необходимые курсы (за счет государства само собой) для формирования команды защиты как раз для таких случаев.
Неоднозначный след это оставило и в умах наших соотечественников – например (12).
Во всем цивилизованном мире атака пусть и на виртуальные сайты представляет собой враждебный акт (13) – учитывая наши небольшие размеры пусть и не такой масштабный как, например кибер противостояние Грузии с Россией в августе 2008, Китая с США, недавнее арабов с Израилем, но тем не менее если мы хотим защитить то что называется Азербайджанским государством нашему правительству стоит отнестись к этому со всей возможной серьезностью.
Извечное «что же делать»?
Данную статью я начинал писать как независимый эксперт (потому что от меня ничего не зависит ), но мне не хотелось бы, быть просто регистратором фактов, поэтому я бы хотел привести список возможных мер – быть может, кому-то от кого что-то там зависит этот поможет.
Уже понятно, что большинство стран создают свои кибер подразделения безопасности, т.к. это одно из вех любой формы будущих противостояний. Как государству окруженному враждебными режимами нам тоже стоит озаботиться подобным, и если элементарно не хватает опыта или знаний не зазорно взять чужой опыт за основу (14).
Далее по пунктам.
1) Необходимо воссоздать национальную CERT команду и финансировать ее со всей серьезностью. На ее основе создать курсы быстрого обучения отечественных спецов по ИТ безопасности;
2) Ввести системы логирования трафика всех нац провайдеров, и свести затем это все в единую базу для анализа и принятия, соответствующих мер (пусть и постфактум но хотя бы локальных злоумышленников отслеживать и арестовывать получится);
3) Создать сплошной «файрвол» по примеру Китая уже не получится, слишком мало времени до начала глобальной конфронтации, но мы можем успеть создать очаговую оборону, своеобразные «бронекапсулы» с разнесенным правительственным веб-хостингом, где фронт-энд находится за дмз, доступ к ресурсу минимализирован и все действия логируются как минимум 2 независимыми регистраторами логов. Учитывая что львиная часть вебсайтов написана с использованием скриптов php, то как минимум перевести компиляторы языка в режим safe mode, использовать такие приложения как mod_evasive и mod_security для вебсервера Апач.
4) Полный отказ от открытых CMS систем наподобие Joomla или DLE, движки должны писаться с 0 в рамках наиболее проверенных фреймворков.
Само собой данный список можно было бы еще продолжать но это тема уже другой статьи.
Как-то так.
1) http://slon.ru/future/iran_vybilsya_v_mirovye_lidery_po_tempam_razvitiya_nauki-731131.xhtml
2) http://new.zerkalo.az/media/pdf/2012-01-17.pdf
3) http://bozgurd.info/2012/01/05/%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC%D0%B0%D0%BD-%D0%B0%D1%80%D0%BC%D1%8F%D0%BD%D1%81%D0%BA%D0%B8%D0%B9-%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80-web-am/
4) http://www.disput.az/index.php?app=core&module=attach§ion=attach&attach_rel_module=post&attach_id=1757664
5) http://www.disput.az/index.php?showtopic=322520&pid=11040410&st=0&#entry11040410
6) http://www.logate.co.il/logateshop/test/din.html
7) http://www.logate.co.il/logateshop/test/plakat-foto-v.jpg
8) http://www.thetechherald.com/articles/Iranian-Cyber-Army-defaces-Voice-of-America-and-93-other-domains-%28Update%29/12865/
9) http://en.wikipedia.org/wiki/Computer_emergency_response_team#Other_countries
10) http://pirates-crew.org/xeberler29
11) http://www.zerkalo.az/2012-01-17/short-news/26388-internet-hacker
12) http://313news.net/forum/index.php?/topic/5275/
13) http://contact.az/docs/2012/Social/0116482ru.htm
14) http://www.cybersecurity.ru/crypto/141828.html
просто если кому интересно :)
http://who.is/whois/pirates-crew.org/
http://who.is/dns/pirates-crew.org/
http://who.is/nameserver/ns1.kral-host.com/
Subscribe to:
Posts (Atom)