Kodėl įsilaužta į URM interneto svetainę?

Audrius Kalvėnas/ 2021-08-13

URM “nulaužimo” faktas ne pasaulio pabaiga. Taip mano URM Landsbergis – ministro teigimu „Atakos tikslas, kad mes pasimestume, aiškintumės ir teisintumės. To nebus – feikų nekomentuosime“. Na ir puiku, ką čia komentuoti, juk nutekintuose laiškuose URM “panelės” darbo metu aptarinėja pažastų ir bikini lazerinę depiliaciją. Ministrui tai feikas (įsilaužimas ir duomenų vagystė), man tai kas skelbiama viešai (el. susirašinėjimas) visai normalus procesas – moterys ir URM yra moterys, jos nori patikti ir URM vyrams. Žodžiu viskas čia OK.

Tiesa sako yra ir tokių laiškų kurie gali gerokai pagadinti reikalus – Lietuvos ir jos partnerių diplomatinius santykius. Bet ir tai bus feikas. URM Landsbergis yra tikras. Jei jau Pavilionio išpažintis apie Lietuvos eksportuojamas revoliucijas į kaimynines valstybes Rusijos vlogeriams feikas, tai bet kokie kiti skandaliukai bus tik bobutės pletkais. Prisiminiau ištrauką iš seno kino filmo apie Aladiną, jame naktinis miesto sargas vaikšiodamas ramino miesto gyventojus – “…miegokite ramiai Bagdado gyventojai, Bagdade ramu…”

Tačiau nežiūrint į politines ir buitines aplinkybes, į istoriją pažvelgiau techniškai – trumpas vizitas į URM interneto svetainę šiek tiek sutrikdė. Labai keistomis pasirodė 2-vi URM interneto svetainės dalys lemiančios jos saugumą – SSL sertifikatas užkoduojantis ir atkoduojantis informaciją perduodamą tarp svetainės lankytojo ir serverio kuriame įdiegta interneto svetainė ir PHP versija (PHP – viena plačiausiai paplitusių programavimo kalbų kuria programuota URM svetainė) – 5.4.45. Apie tai išsamiau toliau.

SSL – saugumo garantas

SSL (Secure Sockets Layer) – kriptografinis protokolas skirtas užšifruoti sesijos tarp svetainės lankytojo ir serverio kuriame įdiegta svetainė metu perduodamus duomenis. Taip apsaugoma asmeninė lankytojo informacija. Interneto svetainėms svarbu įsidiegti SSL, nes taip ne tik šifruojami sesijos duomenys, bet ir autorizuojamas svetainės savininkas, apsaugoma nuo netikrų svetainės kopijų kurias įsilaužėliai išnaudoja prisijungimo duomenų prie vartotojų paskyrų vagystėms, taip pat didina lankytojų pasitikėjimą svetaine.

SSL sertifikato nebuvimas URM svetainėje yra svarbi saugumo spraga. Stebėtina, kad ši spraga palikta iki dabar – Lietuvos VSD nuolatos atnaujina grėsmių vertinimus ir viena iš jų būtent kibernetinė grėsmė. Jos įtaka 5G ryšio eroje yra milžiniška, tai patvirtins bet kuris IT mėgėjas ir profesionalas.

PHP versija ir paskirtis

PHP – dinaminė interpretuojama programavimo kalba, sukurta 1995 m. ir specialiai pritaikyta interneto svetainių kūrimui. Tai atviro kodo programavimo kalba kuri nuolat atnaujinama ir vystoma. Naujausia PHP versija – 8.0.9.

PHP versijos naujumas svarbus dėl kelių aspektų – a) saugumo; b) svetainės greičio; c) nuolatinių atnaujinimų.

A – svetainės saugumas – senesnės PHP versijos negauna saugumo pataisų. Tai reiškia, kad toje versijoje nėra ištaisytos žinomos saugumo spragos dėl kurių svetainė yra atvira atakoms.

B – svetainės greitis – tai kritinis faktorius šiuo metu. Nuo svetainės užsikrovimo greičio priklauso lankytojo patirtis ir SEO (Search Engine Optimization – pritaikymas paieškos sistemoms) rodikliai. Pvz. Google paieškos sistemai svetainės užsikrovimo greitis yra vienas iš pagrindinių, nuo Google suteikto reitingo priklauso kurioje paieškos rezultatų sąrašo vietoje bus rodoma svetainė, “liaudiškai” – kuo ilgiau krausis, tuo toliau rezultatų puslapyje atsidurs nuoroda į svetainę. Statistika rodo, kad toliau antro paieškos rezultatų puslapio nueina retas lankytojas.

C – nuolatiniai atnaujinimai – jie garantuoja operatyvius pastebėtų saugumo spragų bei klaidų ištaisymus.

URM setainės serveryje naudojama sena, 5.4.45 PHP versija. Ši versija nepalaikoma, t.y. netaisomos žinomos saugumo spragos ir klaidos nuo 2019 m. Kad suprasti kaip tai svarbu galima sakyti – miręs reikalas, lavonas. Nuo paskutinio URM svetainės atnaujinimo jau praėjo 2 metai… Atsakingas URM darbuotojas turėjo skelbti pavojų 2018 m. antroje pusėje – atnaujinti PHP versiją į tokią kuri sulaukia nuolatinių bent jau saugumo atnaujinimų – šiuo metu saugumo atnaujinimai teikiami nuo 7.3 versijoms.

Svetainės apžiūra

Paanalizavus svetainę matyti, kad paskutinis URM svetainės dalies “Struktūra ir kontaktai” atnaujinimas (ne naujienų ar kitos operatyvinės informacijos skelbimas) vykdytas prieš 4 metus, 2017 metais. Nors kita svetainės medžio dalis, “Struktūra”, rodoma, jog atnaujinta 2019 m. (sutampa su naudojamos PHP versijos saugumo galiojimo pabaiga). Šie rodmenys liudija, kad nuo 2019 m. URM svetainei nebuvo skirta reikiamo dėmesio, todėl labai tikėtina, jog tai yra vena iš jos “nulaužimo” priežasčių. Žinoma aš nemačiau NKSC turimų duomenų kurie turėtų nurodyti tiksliai kuri svetainės vieta tapo landa įsilaužėliams, tačiau mano pastebėjimų svarbą, esu tikras patvirtins daugiau IT specialistų.

Kad atsiriboti nuo subjektyvių, asmeninių politinių antipatijų URM Landsbergiui, siūlau vertinti remiantis pridedamo svetainės našumo testo, atlikto GTMetrix platformoje, rezultatais. Bendras URM svetainės reitingas F (6-ta vieta), našumas 26%, LCP (Largest Contentful Paint – “sunkiausio” turinio elemento užkrovimo greitis, pvz. didelis pagrindinis, foninis paveikslėlis svetainėje) rodiklis 7.8 sek., TBS (Total Block time – kiek laiko puslapio užkrovimo metu blokuojami procesai) rodiklis 92 milisek. Kad suprastumėte kodėl tai blogai, pateiksiu svetainės kūrėjų interneto svetainės našumo testo, atlikto toje pačioje, GTMetrix platformoje rezultatus – bendras reitingas C (3-čia vieta), našumas 65%, LCP 2.3 sek, TBS 0 milisek. Skirtumas milžiniškas.

Apsilankius svetainę sukūrusios agentūros KRYPTIS interneto svetainėje nieko panašaus ką pastebėjau URM puslapyje neradau – šiuolaikinio dizaino, dalykišku turinių, lakoniška, patraukli akiai svetainė. Tai patvirtina kompanijos patirtis – veikia nuo 1998 metų. Akivaizdu, kad ši agentūra galėtų tinkamai pasirūpinti URM svetaine, tačiau spėju, kad į ją nesikreipta senai. Tai jau svetainės savininko, URM atsakomybė.

Teisinis reglamentavimas

Informacinės, valstybės įstaigų ir institucijų svetainės – strateginis valstybės turtas. Todėl jis reglamentuojamas teisės aktais. Štai kokie ir kaip teisės aktai reglamentuoja šio valstybės turto naudojimą.

“Bendrieji reikalavimai valstybės institucijų interneto svetainėms” pasirašyti dar a.a. prezidento Algirdo Brazausko, o čia jau atnaujinta versija 2020 m. Joje, II skyriuje “Įstaigos interneto svetainės struktūra” yra 13.8 punktas “asmens duomenų apsauga”, jis būtent ir liečia svetainės lankytoją kurio saugumas turi būti užtikrintas. Būtent to ir nėra URM interneto svetainėje, nes nešifruojama ryšio sesija tarp lankytojo kompiuterio ir serverio, kuriame patalpinta URM interneto svetainė (nėra SSL).

Informacinės visuomenės plėtros komitetas prie SM šiek tiek rimčiau žvelgia į saugumą – paskelbęs net “brošiurką” šia tema “Metodines rekomendacijas dėl valstybės ir savivaldybių institucijų ir įstaigų interneto svetainių atitikimo bendriesiems reikalavimams”. Tik va skyriaus “Saugumas” ten nėra…

Pasidalink

0Komentarai

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *

Brukalų kiekiui sumažinti šis tinklalapis naudoja Akismet. Sužinokite, kaip apdorojami Jūsų komentarų duomenys.