Беззащитное Министерство Обороны

“УК” получила интересное письмо. Оказывается, взломать сайт “украинского Пентагона” и оставить на главной странице поздравление типа “Гриценко – не спи!”, для профессионала не так уж и сложно. Тем более, что администраторы сайта, уже не раз предупреждённые программистами Ukrainian PHP Group, даже и “в ус не дуют”. Зря, вообще-то…Дело в том, что на сайте Минобороны обнаружена SQL – уязвимость, суть которой заключается в том, что входящие данные или не проверяются совсем, или же эта проверка происходит неправильно.

Справка “УК”: SQL injection – распростаненная уязвимость, возникающая вследствие недостаточной проверки принятых от пользователя значений. Как правило, злоумышленники перед атакой определяют уязвимость сайта с помощью специальных запросов. Последствием выполнения такой атаки на уязвимом сайте, является вывод детального сообщения об ошибке, который в большинстве случаев позволяет получить информацию о используемых путях и технологиях, что в свою очередь облегчает получение доступа к закрытым областям сайта или выполнения на сервере произвольных команд операционной системы, с возможностью последующего захвата сервера.

Потому абсолютно возможен не только взлом самого сайта Минобороны, но и редактирование баз данных извне, и полное уничтожение всей базы.

Сообщает читатель “УК”: “В конце концов, можно было бы посмеяться над незадачливостью военных программистов, разработавших сайт украинского министерства обороны, которое вообще-то должно отвечать за безопасность Украины. Но ещё более непонятным выглядит тот факт, что на письма, посланные в адрес администрации сайта и Департамента специальных телекомуникационных систем и защиты информации Службы безопасности Украины (13-го июля и 5-го августа соответственно) нет никакой реакции.

Одной из главных причин возникновения таких уязвимостей является недостаточное знание безопасных методов программирования разработчиками web – приложений. В результате получается, что защита приложения не является основной целью разработки.

Разработчикам правительственных сайтов можно посоветовать только одно – как можно быстрее “залатать дырки”. Если же сайт “сломают”, то не надо будет сетовать на мировой сионизм или Усаму Бин Ладена. Вас же предупреждали.

Как учасник Ukrainian PHP Group уполномочен известить СМИ об опасности грозящей сайту Министерства обороны Украины, с целью обратить внимание на возможные последствия и предупредить их.

Имеются все необходимые доказательства уязвимостей (примеры експлоитов, информация о базе даных, снимки екрана, вышеуказанные письма администратору сайту и СБУ).

Прошу принять во внимание, что обрашение в Департамент специальных телекомуникационных систем и защиты информации Службы безопасности Украини не дало никаких результатов”.

Vedeney , Ukrainian PHP Group

От “УК”: На момент публикации уязвимость все еще не была устранена. Хотелось бы посоветовать ответственым лицам Министерства обороны Украины повнимательней относится к сигналам добропорядочных граждан, дабы не выставлять на посмешище не только себя, но и всю страну.

“УК”