"Посоныы, я очень хочу туда зайти, но, вместе с тем, очень этого боюсь. Выкладывайте скрины с винами сюда". "Олололо што делоть пативен под окном фсб-шный!!! я ни троль пацаны!!!!!". "Кто-нибудь дампает? Или слишком много?". "А что, если люди в штатском придут к нам домой?".
Десятки подобных сообщений появились на анонимной имиджборде 0chan.ru воскресным вечером. Некто скормил анонимусу ссылку, по которой якобы находилась "админка COPM'а для почты".
СОРМ - это система технических средств для обеспечения функций оперативно-розыскных мероприятий. Их две - первая для прослушивания телефонных переговоров, вторая для протоколирования интернет-сеансов. Коллективное воображение анонимуса рисовало хранилище всех самых страшных тайн страны, изредка путая ФСБ и ФСО.
"Аноны, сделайте скринов, это ФЕНОМЕНАЛЬНО!". "Даже фсб получает спам, лол.". "Дружок, ну сам подумай, что могут сделать с тобой за доступ к Гос. Тайне )) В Лучшем случае ты отправишься в Сибирь и внезапно тебя на лесоповале придавит упавшее дерево. В худшем сделают так, что тебя как будто и не существовало на свете, удалят всю инфу о тебе, а самого запрут в неизвестных подземельях Кремля".
Довольно быстро выяснилось, что СОРМом там и не пахнет. А пахнет корпоративной системой мониторинга и архивирования почтовых сообщений "Дозор-Джет", разработанной в российской компании "Инфосистемы Джет". К сожалению, представители "Инфосистем Джет" просто отказались давать комментарии на эту тему.
Что именно там внутри было, точно неясно. На "Хабрахабре" писали, что речь идет о системе почты ФСО России на серверах по адресам rsnet.ru и gov.ru. На нульчане в процессе ощупывания веб-интерфейса кто-то написал, что "это система внутреннего контроля писем какого-то ФГУПА". У властей так и вовсе третья точка зрения.
Кстати, о властях. 24 августа в дело вступила Федеральная служба охраны, добавив в этот театр абсурда немного путешествий во времени. Вот что говорится в распространенном во вторник по агентствам пресс-релизе:
"23 августа в ФСО была зафиксирована попытка атаки на один из почтовых вэб-узлов службы. По данному факту в настоящее время проводится расследование".
В ФСО подчеркнули, что "указанный вэб-узел не относится к системе обеспечения органов государственной власти". Тем не менее, "вэб-узлы, входящие в эту систему, были дополнительно протестированы. Сбоев в их деятельности не обнаружено. Соответствующие вэб-узлы функционируют в штатном режиме".
В этом сообщении есть три интересных момента. Во-первых, "вэб" вместо "веб". Сейчас не двухтысячный год, айтишники давно предпочитают "веб". С большой вероятностью релиз писал человек, нетвердо знакомый с терминологией.
Во-вторых, удивительна зафиксированная дата атаки - 23 августа. Напомним, что массовое проникновение анонимуса на сервер происходило вечером воскресенья. Либо обитатели 0chan.ru изобрели машину времени, либо в ФСО хакерские атаки по выходным дням не фиксируют.
И, наконец, в-третьих, в релизе ФСО прямо не указывается, была ли попытка успешной, и что это вообще был за сервер такой. Ведь если узел не относится к "системе обеспечения органов госвласти", вряд ли речь идет о gov.ru, ведь у него даже название официальное: "Сервер органов государственной власти России". В общем, тайна веков.
Но самое смешное во всей этой истории другое. На securitylab.ru пишут, что информация об уязвимости появилась на специальных форумах еще весной. Широко информация о ней не разошлась, хотя хакеры и позиционировали ее как "дырку" СОРМ.
На "Хабре" пользователь lexeresser пишет точнее: дело было в марте. Судя по опубликованным документам, по тому же адресу с логином "admin" и паролем "admin" можно было зайти чуть ли не в январе. И тогда же письмо об уязвимости было отправлено админам rsnet.ru. Никто не ответил и, уж конечно, не "зафиксировал".
Закончим этот текст комментарием специалиста.
Александр Матросов, руководитель Центра вирусных исследований и аналитики ESET
Поиск возможности доступа к системе на основе каких-либо настроек системы по умолчанию является достаточно популярной практикой среди злоумышленников. Повезло им и в этот раз. Подобной "уязвимостью" воспользовались хакеры для доступа к веб-интерфейсу системы, который оказался открыт для всех желающих. Через него можно было добраться до конфиденциальных данных, хранящихся в системе.
Вероятнее всего, вина лежит на людях, отвечающих за администрирование "Дозор Джет", которые не уделили должного внимания безопасности системы и не изменили базовые настройки при ее конфигурировании. Возможно, эти же люди отвечали за настройку подобной системы и в других государственных ведомствах. То есть сейчас нужно проверить на наличие этой бреши все эксплуатируемые экземпляры "Дозор Джет".