«Ростелеком-Солар»: 90% IT-систем российских госструктур могут взломать киберхулиганы

    image

    Компания «Ростелеком-Солар» проанализировала данные о 40 госорганизациях, а также федеральных и региональных органах власти. Выяснилось, что 90% этих ресурсов смогут взломать не только продвинутые хакеры, но и обычные киберхулиганы с низким уровнем квалификации.

    Самым простым способом заражения систем остается фишинговая рассылка. Так, в 70% госорганизаций по-прежнему нет специализированных средств для фильтрации входящей почты, а иногда и базовых инструментов вроде антиспама и антивируса. В связи с этим хакерам даже не нужно маскировать вредонос, а достаточно просто отправить файл. При этом соответствующее ПО распространяется бесплатно в даркнете.

    Некоторые госструктуры, как выяснилось, используют системы с устаревшим кодом и протоколами шифрования. Они могут опираться на версии ОС, которые лишились поддержки более пяти лет назад.

    Требование к госструктурам доступа со стороны клиентов ведет к тому, что такие системы часто связаны между разными ведомствами. При этом более 50% организаций используют незащищенное соединение (http), и передаваемые данные не шифруются.

    Более 70% организаций оказались подвержены обычным уязвимостям, которые могут использоваться для входа в инфраструктуру. Это SQL-инъекции (позволяют взломать базу данных сайта и внести изменения в скрипт) и XSS (межсайтовый скриптинг).

    Также более 60% организаций имеют уязвимости различных компонентов, в том числе серверов Apache, решений для запуска веб-приложений Apache Tomcat, систем управления сайтом WordPress, языка программирования PHP. У некоторых встречаются уязвимости самой операционной системы, в частности, Shellshock.

    Уязвимости вызывает отсутствие обновлений серверов и рабочих станций в изолированных сегментах сети. Даже в кредитно-финансовой сфере такие обновления устанавливаются, в среднем, 42 дня. В госсекторе из-за наличия закрытых и изолированных сегментов без подключения к глобальной сети необходим ручной или полуручной процесс по обновлению, но он отсутствует в 96% организаций.

    Неправильная конфигурация служб обновления более 90% рабочих станций и серверов в госсекторе дает ошибки в реализации протокола удалённого рабочего стола, а более 70% — ошибки в реализации протокола удалённого доступа к сетевым ресурсам.

    Профессиональные киберпреступники для получения длительного контроля над инфраструктурой используют в первую очередь уязвимости процессов. При этом в 90% госорганизаций есть от 3 до 10 точек связанности публичного и закрытого сегментов. Это происходит из-за того, что при внедрении новой информационной системы редко проводится анализ состояния текущей инфраструктуры. Лишние точки входа в систему могут возникнуть через VPN из соседнего федерального органа исполнительной власти. В 80% случаев происходит «склеивание» различных сегментов сети для обеспечения работоспособности новой системы, и доступ к слабо защищенному элементу дает ключ к критическим информационным активам.

    Иногда хакеры проникают в инфраструктуру через слабозащищенного контрагента. В некоторых случаях сотрудники подрядных компаний выступают админами с высоким уровнем прав и привилегий, и их учетки остаются активными даже после завершения контракта.

    Отчет показывает, что более 90% рабочих станций и серверов уязвимы перед BlueKeep и DejaBlue, которые позволяют мгновенно распространить вируса-червя или шифровальщика через ошибки в реализации протокола удаленного рабочего стола RDP.

    Более 70% рабочих станций и серверов уязвимы перед EternalBlue, который эксплуатирует ошибки Windows-реализации протокола SMB для удаленного доступа к файлам и другим сетевым ресурсам.

    В каждой организации обнаружено минимум пять рабочих станций, которые уязвимы перед MS08-067. Ошибка позволяет удаленно выполнить произвольный код в контексте службы «Server», и она была устранена в обновлениях более 12 лет назад. 55% госорганизаций оказались поражены червем Conficker, эксплуатирующим уязвимость MS08-067, признаки Wannaсry были обнаружены у 60% организаций. 85% IT-систем госструктур заражены вирусами DbgBot, Mirai, Monero Mine, а 90% имеют признаки вредоносного ПО, переносимого через внешние носители.

    Более раннее исследование специалистов Общественного движения «Информация для всех» показало, что сайты российских федеральных органов власти слабо защищаются от XSS-уязвимостей: 59% из них передают данные о посетителях ресурсам, которые контролируются иностранными организациями.
    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 11

      +3
      Так, в 70% госорганизаций по-прежнему нет специализированных средств для фильтрации входящей почты, а иногда и базовых инструментов вроде антиспама и антивируса.

      Правильно, ведь кажде неотфильтрованная рассылка = взлом
      При этом более 50% организаций используют незащищенное соединение (http), и передаваемые данные не шифруются.

      Взлом удаленного сервера через устаревший http?

      Более 70% организаций оказались подвержены обычным уязвимостям, которые могут использоваться для входа в инфраструктуру. Это SQL-инъекции (позволяют взломать базу данных сайта и внести изменения в скрипт) и XSS (межсайтовый скриптинг).

      Берешь две уязвимости разных весовых категорий и распространенности и объединяешь в одну цифру, получаешь угрожающие 70%. В источнике подробностей не обнаружил, но интересно распределение.

      Собственно, там в источнике «отчет» — такой же набор инфы как и в пресс-релизе, без каких-либо подробностей относительно распределения или уровня опасности.
        +1
        Взлом удаленного сервера через устаревший http?

        Отсылка sensitive данных, таких как аутентификационные, личные, служебные по общедоступных сетям, самым популярным протоколом в мире, где каждое промежуточное устройство видит содержимое. Что же может пойти не так.
          0

          А ожидал увидеть конкретный список на каком госсайте какие эксплойты запускать?

            0

            это почти в 2 раза больше, чем получают некоторые инженеры 1 категории, занимающиеся тем же самым

            0
            У меня знакомый работает сисадмином в больнице (мск). Больше половины парка компьютеров — Windows XP. Какая безопасность?
              0
              Очень странно, потому как у нас в г.Ноунэйм парк уже перескакивает с 7 до 10.
                0

                а вин10 теперь гарантированно не сливает на сторону всё подряд? Я серьёзно спрашиваю, интересно.

                  0

                  Гарантированно не сливает данные только сервер который: отключен от сети. Электрической… (С) мои безопасники с прошлой работы


                  А ещё можно добавить, что совсем хорошо если сервер ещё и: зачищен, отформатирован, разобран, разломан в пыль, брошен в яму 100500 метров глубиной, взорван там ещё раз бомбой, залит сверху бетоном.

                  0
                  в этом, я думаю, и смысл. Что в госсекторе все в хаотичном порядке: где-то вин 10, где-то вин ХР, где-то cisco и vpn, а где-то ноунейм китайские роутеры и нешифрованная передача данных.
                  А безопасность — это сводный показатель по самому незащищенному звену. По минимальному. А из него получаем неприглядную картину: WinXP, старый/необновляемый софт, приходящий админ с невероятными правами доступа без квалификации (иногда и вообще не оформленный), дырки в firewall и vpn «лишь бы побыстрее это заработало».
                0
                Это проблема сделать быстро и недорого, привлекая низкоквалифицированных специалистов, которые еще вчера делали лендинги, сегодня их задача создать сервис. Такое часто встречается и в частных компаниях, ставя в руководители разработчика, который не глубоко знаком с безопастностью не в теории а именно на практике!
                Есть даже такой феномен — информационная мастурбация — это когда применение знаний заменяется получением всё новой информации. В результате, процесс получения информации для развития заменяет само развитие. Ты становишься всё более осведомлённым, но всё менее интеллектуальным. Когда это продолжается из года в год, то способствует только росту САМОМНЕНИЯ.
                Я такое часто наблюдаю на собеседовании, когда его проходишь то складывается чувство что ты устраиваешься на работу писать язык программирования JavaScript, Css, PHP, тут можно подставить любой свой язык, когда в вакансии говорится о разработке сервисов компании и ищут front-end разработчика. К примеру на собесе был вопрос по правилам CSS => a + a {color: red;} какой элемент будет красным? Я знаком за 10 лет работы с этим, но в своей жизни я это правило применял один раз всего. Вспомню ли я его по памяти — нет, т.к. это частный случай, смогу ли я его за 1 минуту загуглить и понять — да. Сейчас работаю в компании в которой после собеса не было тестового задания, я считаю у таких компаний большой успех, где техлид может рассмотреть кандидата без технического задания.

                А ну или вот еще как пример выводить в продакшн бэк на ноде (SSR), ребят, ну это же для стартапов придумано, не серьезно это все.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое