Czy elektrownia jest bezpieczna?

Strony internetowe elektrowni to jeszcze nie sam system informatyczny elektrowni (te systemy przecież nie muszą być ze sobą powiązane w żaden sposób), ale czasem da się wygrzebać ciekawe informacje związane z bezpieczeństwem np. dzięki przeglądaniu korespondencji pracowników. Warto w tym kontekście odnotować, że pojawiły się informacje o regularnych atakach na strony Instytutu w Świerku k. Otwocka. Wobec tego ABW sprawdzi stan zabezpieczeń systemów komputerowych Instytutu.

Życie Warszawy publikuje artykuł pt. Hakerzy włamują się do komputerów Instytutu Energii Atomowej w Świerku, a w nim:

Co najmniej dziesięć włamań polegało na zmianie treści strony głównej znajdującej się pod adresem www.cyf.gov.pl. W marcu 2005 r. pojawiły się tam antyamerykańskie teksty. W pozostawionym przez hakerów komunikacie padały m.in. nazwiska terrorystów Osamy bin Ladena czy też Al-Zarkawiego. Co ciekawe, administratorzy systemu przywracali poprzednią wersję strony, ale wersji „zhakowanej” nie wyrzucali. Stawała się tylko niewidoczna. Do dziś można ją znaleźć pod adresem: http://manhaz.cyf.gov.pl/manhaz/index.html_18.03.2005.

Wskazanej „strony” (pliku na serwerze) już nie ma (pewnie usunięto go po publikacji prasowej, więc może warto publikować całe ścieżki dostępu do takich zasobów?). Sama strona pod tytułem "Management of Health and Environmental Hazards" ("Zarzadzanie Zagrozeniami dla Zdrowia i Srodowiska") nie jest szczytem możliwości webmasterskich, jednak wcale nie musi to oznaczać, że system elektrowni jest na takim samym poziomie co internetowa wizytówka instytutu. Inna sprawa, że ataki na system obiegu informacji (w tym na serwery pocztowe) mogą ułatwić atakującym zapoznanie się z informacjami, które w konsekwencji mogą być wykorzystane do ataku na bardziej newralgiczne części systemu. Bezpieczeństwo systemów informatycznych to kompleksowa dziedzina (obejmująca wiele zagadnień, nie tylko IT).

Screenshot strony głównej Instytutu Enargii Atomowej w Świerku

Screenshot strony głównej Instytutu Enargii Atomowej w Świerku

I chociaż - jak wspomniałem wyżej – przywołany w artykule, zarchiwizowany na serwerze plik (będący wynikiem włamania) już został usunięty, to nie trzeba być hackerem (a przecież ja nie jestem), by zobaczyć o co chodziło wypowiadającemu się w artykule ŻW ekspertowi od bezpeiczeństwa:

możba wylistować zawartość katalogu

Czy faktycznie administrator serwera chce, byśmy mieli dostęp do katalogu manhaz/? Byśmy mogli sobie zobaczyć np. admin.php i inne pliki?

Przeczytaj felieton: Wirtualny terror.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>