Pull to refresh

Что случилось с сайтом фонда «Сколково» вкратце

Information Security *
image

Все началось с поста хабраюзера oyaso, в котором он сравнил сумму денег заложенную на разработку сайта фонда инноваций «Сколково» и результатом полученным в виде сайта i-gorod.com

Информация ниже рекомендуется к прочтению журналистам, помощникам всяческих руководителей разных рангов и тем кто ленился читать интересные комментарии к исходному посту.


За считанные часы тема привлекла огромное внимание как хабросообщества, так и интернета в целом. Очень быстро выяснилось, что:
  • Сайт был собран наспех на системе управления контентом UMI, к которой куплен дешевый шаблон без выкупа авторских прав (т.е. он повторно может быть использован любым желающим).
  • Сайт был размещен на старой версии серверного ПО без обновлений, уязвимого к атакам и запущен на web-сервере Apache не приспособленном к высоким нагрузкам.

Это привело к ожидаемому результату, который называется "Хабраэффект". Это когда переходы читателей habrahabr.ru по интересной ссылке приводят к перегрузке и падению упоминаемого сервера.

Однако, хабраэффект был только началом. Пытливые исследователи нашли дыры в сайте, через которые были получены исходные коды, а так же пароли к административной панели и базе данных. Осторожнее, не умрите от смеха! Пароль к админке: 1

В сети стали появляться как грибы клоны сайта i-gorod.com с правками остроумными и не очень, а исходные коды доступны всем желающим.

http://j-gorod.com/
http://www.skolkoffo.ru/
http://www-i-gorod-com.dyndns.org:8000/

Другое открытие заключалось в том, что корпоративная почта сайта была размещена на gmail.com. Да, на том самом вражеском gmail, который недавно хотел запретить один высокопоставленный сотрудник ФСБ. Мне нравится gmail тем, что 50 почтовых аккаунтов там можно завести абсолютно бесплатно. Видимо тем же он понравился фонду «Сколково».

Очень быстро был найден предполагаемый исполнитель сайта, им оказался так же хабраюзер. Мир тесен, увы. Бедняге мгновенно накидали минусов в карму. Я считаю что не совсем справедливо, может быть он поработал на ту сумму, которую заплатили?

Запахло жареным!


В результате, администраторы сайта стали предпринимать действия по спасению ситуации — сменили пароли, переставили систему, начали устанавливать frontend сервер. Однако, кроме этой безусловно нужной работы, было размещено официальное объявление, в котором говорится:
Официальный сайт Фонда "Сколково" в настоящее время подвержен массированной DDOS-атаке, в связи с чем к нему затруднён доступ пользователей.
И вот СМИ понесли весть о таинственных врагах инноваций.

Оперативно появился человек, представляющий фонд «Сколково», попросил писать вопросы и предложения и обещал дать ответы на вопросы. Я написал ему письмо, предупредил об этом посте и хотел задать и обсудить вопросы. Увы, мое обращение осталось без ответа. Надеюсь что он был занят срочным делом по восстановлению сайта и сможет ответить позже. Вопросы выкладываю тут.
  1. Когда был сделан сайт i-gorod, сколько времени было потрачено на его разработку и какую сумму заплатили непосредственному разработчику?
  2. Как потрачены выделенные из бюджета 3 млн рублей на создание сайта?
  3. Какие параметры хостинга были до падения и сейчас? Планировали ли высокую посещаемость проекта или он был сделан для галочки?
  4. Какие выводы сделаны по итогам ситуации?
  5. Вы по прежнему считаете хабра-сообщество злыми хакерами, которые DDOS-ят сайт? Если да, то планируете ли подавать заявление в полицию, а если нет, то будет ли вывешен пресс-релиз с признанием ошибки?
  6. Вы готовы отблагодарить хабраюзера, который сделал вам отличную рекламу и провел шикарное нагрузочное тестирование?

В завершение хотел бы отдельно упомянуть инициативу хабрасообщества по созданию социально значимых проектов общественными силами.

Люди хотят прикладывать свои силы и менять общество к лучшему, а не тянуть деньги. Интересно, найдется ли им место в текущих модернизационных программах?

И последняя просьба. Народ, не стоит под раздачу определять сайт www.skolkovo.ru Он хоть созвучен по имени и так же «страшно далек от народа», но к нашей теме все же отношения не имеет.

Данный пост будет апдейтится в случае получения информации от представителей фонда «Сколково», либо в случае появления животрепещущих вопросов от народа, которые будут выбраны традиционным плюсованием комментариев.


Update1. К сожалению по состоянию на 18:00 13 апреля мы не увидели никакой информации от администрации фонда «Сколково». Поэтому пытаемся разобраться самостоятельно. Ссылка на шаблон для CMS Joomla на котором запущен сайт. Стоимость от 65$

store.templatemonster.com/joomla-templates/28038.html

Меня лично впечатлили зеленые поля и ветряные мельницы.

Update2. Читаем ответы: habrahabr.ru/blogs/internet/117452
Tags: сколковохабраэффектроспилмодернизция
Hubs: Information Security
Total votes 391: ↑368 and ↓23 +345
Comments 272
Comments Comments 272

Top of the last 24 hours