Jak wiadomo, z zabezpieczeniami serwerów www bywa bardzo różnie. Większość z nich padła lub padnie ofiarą włamywaczy. Co jednak można powiedzieć o serwisie Komendy Wojewódzkiej Policji, do którego ktoś włamuje się średnio co miesiąc?
Ktokolwiek odpowiada za zabezpieczenia serwera, na którym umieszczone są witryny Komendy Wojewódzkiej Policji w Szczecinie, nie ma się w tym roku zbytnio czym pochwalić. TVN24 właśnie poinformował, że zmieniła swoją treść główna strona www KWP. Nowa wersja dzisiaj rano wyglądała tak:
Strona KWP Szczecin (źródło: TVN24)
Pod włamaniem podpisała się grupa „Algerian Hackers”. Nie są to jednak jedyni goście w tym roku w tej domenie. Szukając informacji na potrzeby tego artykułu natrafiliśmy na ślady następujących incydentów:
- 13 stycznia 2013 www.szczecin.kwp.gov.pl (mesafir)
- 19 stycznia 2013 gateway.szczecin.kwp.gov.pl oraz przetargi.szczecin.kwp.gov.pl (SEJEAL)
Kolejne wlamanie
- 21 stycznia 2013 www.bip.szczecin.kwp.gov.pl (HighTech Brazil HackTeam)
- 5 kwietnia 2013 www.bip.szczecin.kwp.gov.pl (Saeed210)
I kolejne
- 9 kwietnia 2013 www.szczecin.kwp.gov.pl (Algerian to the core)
I jeszcze jedno
W wypowiedzi dla TVN24 policjantka z biura prasowego komendy wygłosiła znamienne zdanie:
Takie sytuacje się zdarzają a informacje zawarte na naszej stronie są ogólnodostępne
Zgadzamy się, że informacje są ogólnodostępne, ale czemu w ciągu 5 miesięcy taka sytuacja zdarzyła się przynajmniej 6 razy w jednej komendzie? To już po prostu zwyczajnie wstyd.
Podziękowania dla Pablo za podesłanie pierwszej informacji
Komentarze
No ale co w tym dziwnego? Ich strona bazuje na niewspieranej już Joomla 1.5.26, w której z tego co wiem znaleziono kilka dziur.
Dziwne to, że ciągle nic nie zmienili w tej kwesti…
Spokojnie ;-) Policja przeznaczy 1mld (jeden miliard złotych) na standaryzację komend. Dzięki temu wszystkie komendy będą dysponować tymi samymi podatnościami ;-)
Nowe logo już zrobili, huehue ;)
Stety lub niestety, żyjemy w kraju gdzie większość jednostek organizacyjnych ma strony internetowe w dwóch grupach:
1. Raz postawiony i niekatulizowany cms typu joomla, wordpress itp.
2. Kod napisany przez kuzyna brata ciotki prezesa.
Skutkuje to tym że pierwsze lepsze nie duże miasto ma stronę podatną przynajmniej na 1 atak który może wyrządzić jakieś szkody. Najdziwniejsze jest to że te strony zazwyczaj w budżecie oznaczają kwoty conajmniej 3-4 cyfrowe :/
Z drugiej jednak strony sytuacja pomału się poprawia, jeszcze kilka takich niezamówionych testów bezpieczeństwa i może zrozumieją że strony nie wystarczy zainstalować i zostawić a trzeba zadbać o jej bezpeiczeństwo. Pół biedy jeżeli kończy się podmianą strony głównej, gorzej jak któryś z urzędników ma takie samo hasło do CMS’a jak do poczty służbowej.