Ruský hacker nabúral vyše 60 amerických inštitúcií

Stále rovnaké chyby vedú ku krádežiam dát. Tentoraz na to doplatili desiatky štátnych a vzdelávacích inštitúcií.

Rasputin. Tak sa volá rusky hovoriaci hacker, ktorý prenikol do systémov desiatok amerických inštitúcií. Tvrdí to o ňom bezpečnostná firma Recorded Future, ktorá Rasputina sleduje od roku 2015. Z analýzy jeho aktivít vyplýva, že je pravdepodobne štátom podporovaný. V minulosti sa zrejme navyše na Blízky východ pokúšal predať informácie, ku ktorým sa dostal pri svojich útokoch.

Recorded Future sa podarilo identifikovať viac než 60 Rasputinových obetí. Patrili medzi ne aj britské univerzity Oxford a Cambridge, dvadsať amerických univerzít a mnoho vládnych agentúr. Útočník sa zmocnil informácií z rozličných úrovní vládnych systémov od lokálnych cez štátne až po federálne.

Pri svojich útokov Rasputin využíva prevažne SQL injection – bezpečnostná chyba založená na možnosti manipulovať s dátami v databáze bez toho, aby ste poznali prístupové údaje. Dochádza k tomu v prípadoch, keď systém umožňuje priamu komunikáciu medzi používateľom a databázami bez toho, aby bol vstup do nich overený a zabezpečený.

Nejde o žiadnu novinku. Tento nedostatok sužuje web už od čias, keď sa databázové systémy objavili na internete prvýkrát. Dnes existuje mnoho voľne dostupných nástrojov, ktoré dokážu vypátrať a zneužiť SQL injection. Všetky využívajú bezpečnostní experti, aby vedeli prípadné narušenia odstrániť. Nanešťastie, rovnaké nástroje môžu využiť aj kriminálnici.

V prípade Rasputina však s najväčšou pravdepodobnosťou ide o originálny program. V snahe predstihnúť konkurenciu sa finančne motivovaní páchatelia s pokročilými technickými znalosťami, medzi ktorých Rasputin patrí, spoliehajú na vlastne nástroje. Tie im môžu pomôcť objaviť ešte nezmapované slabiny.

Podľa Recorded Future si inštitúcie dobre uvedomujú existujúce riziká spojené s chybou SQL injection. Zároveň existujú techniky, ktoré pomerne účinne túto hrozbu odstraňujú. Problém je v tom, že inštitúcie neovládajú základné praktiky bezpečnostného kódovania. Odstránenia mnohých nedostatkov je navyše drahé.

Bezpečnostní experti takéto nedostatky tvrdo kritizujú. Institúcie a firmy navzdory viac než pätnástim rokom skúseností s nebezpečnými únikmi informácií robia len veľmi málo, aby zabránili ďalším krádežiam. Stále sa opakujúce chyby spojené s nedostatočným zabezpečením a zle naprogramovanými webmi stoja aj za prípadmi únikov dát z Yahoo! či LinkedIn.  

 

(PP)