CENTER VLADE ZA INFORMATIKO


Obvestilo za uporabnike HKOM		Nazaj

Obvestilo

Dne 10.avgusta 2004, ob 11:13 je prišlo do zlorabe zunanjega vladnega spletnega strežnika, kjer je bila spremenjena uvodna stran, ki navaja povezave na spletišča javne uprave in obvešča uporabnike o pomembnih dogodkih. Posledica zlorabe je bila objava napadalčevega napisa "ziGGy 0wn$ ur gov.b0x", ki je bil viden na našem naslovu 20 minut.

Incident je bil sprožen z IP številke 195.138.99.180, povezane z domeno riscom.md, registrirane v Moldaviji, kar pa ne pomeni, da je tudi napadalec, ki je izkoristil pomanjkljivost v programski kodi spletišča http://www.gov.si/svrp-pp, iz Moldavije. Naš opozorilni sistem vsakih 15 minut preverja konsistentnost spletišč in nepredvidene spremembe takoj sporoči spletnim administratorjem. Zloraba je nastala v obdobju med dvema preverjanjema, s čimer smo bili seznanjeni še pred avtomatskim opozorilom našega sistema.

Ker je strežnik www.gov.si zelo na udaru, so vzpostavljeni postopki na tak način, da se vsebina lahko hitro obnovi. Tako je bilo tudi v tem primeru v nekaj minutah po prejetem sporočilu o spremembi vzpostavljeno prejšnje stanje.

Takoj po odkritju so bili nadaljnji napadi blokirani, hkrati pa je bila narejena analiza dogodka in tudi simuliran napadalčev poseg. Skupaj s programerji programske kode, ki je bila izhodišče za nedovoljen poseg, je bila napaka odpravljena. Gre za novo spletišče, ki se je vzpostavilo 7.julija letos. Z izvajalcem tega spletišča smo bili v kontaktih od petka, 6. 8., in skušali zmanjšati varnostna tveganja, vendar smo spregledali varnostno pomanjkljivost v programski kodi, ki krmili meni spletišča svrp-pp. To pomanjkljivost pa je izkoristil napadalec in uspel s svojo programsko kodo spremeniti stran. Vsa spletišča tečejo v posebnem okolju, ki je varnostno ločeno od samega jedra strežnika, tako da zlorabe v tem delu ne morejo prizadeti varnosti samega strežnika. Dogodek tudi po naši podrobni analizi ni varnostno ogrozil jedra strežnika.

Na Centru Vlade za informatiko skrbimo za spletišča vladnih ustanov in državnih institucij že deset let in smo tak incident tokrat prvič doživeli. Incident smo prijavili pristojni instituciji za prijavo tovrstnih zlorab SI-CERT. Ker ni prišlo do materialnih ali finančnih posledic, se za prijavo Policiji še nismo odločili.

Ljubljana, 11. avgust 2004

URL: http://www.gov.si/cvi/slo/obvestilo040811.html