Предположение эксперта: взломать сайт «Зенита» могли при помощи «Троянского коня»
Программист из Москвы Евгений Гаврилин проанализировал, каким образом злоумышленник Никита Волгин мог взломать сайт «Зенита»
- Точные причины, по которым данная атака оказалась успешной, на данный момент неизвестны. Вероятно, они будут озвучены по результатам разбирательств. Мы же попробуем разобраться, используя собранную ранее информацию.
В случае с «Зенитом» произошла утечка конфиденциальных данных (логина и пароля для доступа к настройкам DNS (Domain Name Service) сервера, принадлежащего компании-хостеру). DNS-сервер играет роль хранилища адресов в сети интернет – он сопоставляет доменное имя (в данном случае - www.fc-zenit.ru) с конкретным физическим веб-сервером (по сути – компьютером), на котором расположен сайт. В данной ситуации был подменен адрес веб-сервера с оригинального, арендуемого ФК «Зенит» у ЗАО «Мастерхост», на адрес веб-сервера злоумышленника. Для изменения этого адреса в большинстве случаев необходимо знать всего лишь логин и пароль, которые и были украдены.
Причины для данной утечки могут быть следующими:
- получение данных инсайдерским путем через компанию-хостера: «свой» человек в компании допускает в контакт со злоумышленником. Но, на мой взгляд, этот сценарий развития событий, учитывая надежность компании, наименее вероятный;
- получение данных инсайдерским путём через ФК «Зенит». Также маловероятно…
- получение данных путём простым перебором пары логин/пароль. Данная ситуация маловероятна: такого вида атака должна пресекаться компанией-хостером ввиду того, что происходит огромное количество неудачных попыток войти в панель управления. Такая нездоровая активность не может оставаться незамеченной и должна пресекаться автоматическими средствами у серьезного хостинг-провайдера, каковым и является ЗАО «Мастерхост»;
- получение данных путём кражи с помощью вредоносной программы типа «троянский конь». Данная программа могла быть установлена на компьютере сотрудника ФК «Зенит», имеющем доступ к панели управления данными DNS-сервера. Возможностей для установки данной программы на компьютер жертвы существует масса, но почти все они могут быть пресечены с помощью соблюдения базовых правил по соблюдению безопасности при работе в сети интернет. К сожалению, большинство пользователей данные правила игнорируют, и данный вариант развития событий мне кажется наиболее вероятным.
Теоретически, данному виду атаки может быть подвергнут любой сайт в сети интернет, в том числе и сайты ведущих футбольных клубов страны. В качестве мер по обеспечению безопасности могу порекомендовать следующее:
- доверять разработку и администрирование сайта серьезным, проверенным людям или компаниям;
- не хранить в открытом виде (в текстовых документах) секретные данные, необходимые для доступа к настройкам и файлам, относящимся к сайту. Не сохранять данные доступа на компьютере, используемом для доступа к административным разделам сайта и учетной записи компании-хостера;
- не передавать данные доступа третьим лицам;
- устанавливать на компьютерах, с которых осуществляется управление сайтом, свежее и проверенное антивирусное и защитное программное обеспечение.
Указанные выше меры помогут значительно снизить вероятность успешной атаки, однако не дают стопроцентной гарантии. Если кто-то сильно захочет взломать сайт и этот кто-то имеет достаточные материальные ресурсы, то шансы на то, что атака будет успешной, являются очень высокими. Важной мерой со стороны атакуемого сайта в данном случае является наличие специалиста, способного вовремя обнаружить атаку и принять соответствующие меры. Однако, даже такой специалист не сможет гарантировать безопасность в случаях с «засланными казачками». В ситуации с сайтом ФК «Зенит» очень удивляют сроки, которые потребовались для исправления ситуации. В большинстве случаев при успешных атаках на сайты известных и серьезных организаций на исправление ситуации уходит несколько часов.