Bogucin.net w ogniu ataków cybernetycznych

Dane, które przedstawiamy poniżej mogą szokować. Artykuł powstał w wyniku analizy działań podjętych w celu zapewnienia bezpieczeństwa serwisowi internetowemu Bogucin.net. Jest to zbiór doświadczeń zebranych na przestrzeni ostatnich kilku lat.

Kim jesteśmy i co robimy?

Jesteśmy portalem z pięcioletnią tradycją, opisującym nie tylko codzienną rzeczywistość, ale także historię Bogucina i okolicy. Unikamy przedruków z innych portali. Wszystko, co się tu pojawia dotyczy wyłącznie naszej małej ojczyzny. Po początkowych zawirowaniach personalnych ustabilizowaliśmy skład redakcyjny i grono zaprzyjaźnionych autorów. Mamy niestrudzone chęci i pomysły na dalsze funkcjonowanie. Brakuje nam tylko jednego – spokoju!

Komu przeszkadza bogucin.net?

Ostatnie lata to nieustanna walka o uchronienie strony od całkowitej destrukcji. To codzienne, wielogodzinne monitorowanie wszelkich ruchów podejrzanych użytkowników, analizowanie i dokumentowanie otrzymanych wyników, ciągła aktualizacja oprogramowania, usuwanie spamu – wreszcie zmiana szablonu (szaty graficznej).
A przecież oprócz tego trzeba jeszcze pisać nowe artykuły, zbierać materiały, wykonywać szereg innych czynności redakcyjnych.
Poświęcamy kawał własnego życia, aby ratować serwis przed zagładą. Robimy to charytatywnie, choć w tej sytuacji znalazłoby się zajęć na co najmniej jeden pełny etat redakcyjny. W ubiegłym roku zwróciliśmy się o przyznanie środków z funduszu sołeckiego na pokrycie części usług zawodowego informatyka. Kwota 100 zł netto miesięcznie, jakie możemy na niego przeznaczyć z tej puli, to jedynie kropla w morzu naszych potrzeb. Ale musimy sobie z tym jakoś radzić. Jak długo wytrzymamy? Tego nie wiadomo. Nie chcemy z nikim toczyć wojny. Chcemy normalnie żyć i pisać o Bogucinie. Tyle tytułem wstępu.

Pierwszych podejrzeń o podglądaniu naszego redakcyjnego kokpitu, nabraliśmy późnym latem 2015 roku. „Kokpit” jest stanowiskiem dowodzenia stroną internetową, do którego dostęp po zalogowaniu mają jedynie uprawnione osoby.  Tam tworzy się nowe artykuły, decyduje o wyglądzie strony, gromadzi i zarządza wszelkimi danymi. To prawdziwy „mózg” każdej strony internetowej.
Początkowo ignorowaliśmy pojawiające się sygnały o obecności „osób trzecich”, ale w końcu, po roku, postanowiliśmy coś z tym zrobić. Zmienione zostały nazwy i hasła redaktorów.

I wtedy rozpętało się piekło

Kilka dni później otrzymaliśmy pierwsze ostrzeżenie od właściciela serwera o przekroczeniu parametrów bezpieczeństwa. Komunikat brzmiał: „Jeśli w ciągu 30 dni problem nie zostanie usunięty, Państwa serwer mojbogucinx.nazwa.pl zostanie zablokowany”.

Co ten komunikat oznaczał i z czego wynikał? Porada u doświadczonego informatyka wszystko wyjaśniła. Ktoś włamujący się do naszego kokpitu nagle stracił do niego dostęp i wpadł w szał podejmując rozpaczliwe próby odzyskania hasła. Tych prób było na tyle dużo, że zareagowały systemy bezpieczeństwa. Kiedy przyszło kolejne ostrzeżenie została podjęta decyzja o natychmiastowym zainstalowaniu narzędzia do blokowania włamań i monitorowania ruchu odwiedzających. Gdybyśmy wtedy nie podjęli tych działań dziś już tej strony by nie było. Pierwsza analiza wyników obserwacji pokazała, że mamy do czynienia z kimś przebiegłym, doświadczonym w tym temacie a jednocześnie bardzo  zdeterminowanym. Ataki przychodziły w większości przypadków spoza granic naszego kraju. Takie możliwości stwarza dzisiejsza technologia. Obecnie włamywaczem może być każdy, kto poświęci trochę czasu na zapoznanie się z technikami ataku na komputer użytkownika. Nawet użytkownik z podstawową wiedzą na temat obsługi peceta może przeprowadzić udany atak na system komputerowy, dostając się do cennych danych. Wprawny internauta może z każdego miejsca w Polsce dokonać włamania w taki sposób, aby wyglądało to jakby zaatakował nas ktoś z odległego zakątka świata. Oczywiście pod warunkiem, że korzysta z usługi, która ukrywa jego prawdziwy adres IP (to taki „dowód osobisty” każdego komputera) przed odwiedzanymi przez niego stronami. Nawet dostawca internetu nie jest w stanie tego zweryfikować.
Doskonale nadaje się do tych celów, znana tylko nielicznym anonimowa sieć internetowa „TOR” – jak twierdzą znawcy tematu: raj  m.in. dla przestępców i wszelkiej maści osobników pragnących zachować bezimienność.  Z tej sieci ochoczo korzystano przy okazji kolejnych włamań. 9 stycznia 2016 roku w późnych godzinach wieczornych wykonano jeden nierozważny ruch. Najpierw napisano komentarz pod jednym z naszych artykułów, a zaraz potem przeprowadzono frontalny atak. Nie przewidziano jednak tego, że portal jest całodobowo monitorowany, i że owe ruchy zostały zarejestrowane.
Poniżej znajduje się dowód w sprawie, należy zwrócić uwagę na ten sam adres IP pod komentarzem i atakiem. To jest adres tego samego komputera (212.21.66.6) korzystającego ze wspomnianej sieci TOR (tor-exit-4.all.de). Jak udało nam się ustalić adres e-mail nowaczek94@op.pl jest fikcyjny.

Wiele włamań odbywało się z wykorzystaniem aplikacji zainstalowanej na telefonie komórkowym. To powyższe zdarzenie również. Po konsultacjach  z informatykiem została podjęta decyzja o wyłączeniu możliwości bezpośredniego łączenia się z naszym „stanowiskiem dowodzenia” za pomocą telefonu bez konieczności logowania się do systemu.
Wśród nazw użytkowników, za pomocą których próbowano się logować do naszego systemu pojawiały się takie, które znali nieliczni. Te nazwy funkcjonowały od samego początku istnienia strony. I nie były od tamtej pory zmieniane. Nie oszczędzano również nowych autorów tekstów.

Przyjrzyjmy się kilku przykładom z raportów systemu bezpieczeństwa.
Jest 8 wrzesień 2017 rok, godz. 07:26:47. Ktoś z serwera w Istambule (Turcja) próbuje włamać się na konto redaktor naczelnej bogucin.net Agnieszki Szymańskiej wykorzystując używaną przez nią nazwę użytkownika. Tym razem cyberprzestępcy nie udało się wpisać odpowiedniej kombinacji hasła o czym informuje odpowiednie oprogramowanie. Kilka chwil później, o godz. 08:06:08, udanie loguje się właściwa osoba o tej samej nazwie użytkownika, jakiej wcześniej użył włamywacz.
Również z Istambułu próbuje zaatakować włamywacz podszywający się pod Monikę Kamińską wpisując w okienko logowania nazwę „prezesowa”. Ten atak też się nie udał.
Z innego końca świata, z terenu Stanów Zjednoczonych i Francji, włamywacz próbował dostać się do kont Agaty Fedyk, Beaty Bogusz, Jadwigi i Krzysztofa Flisiaków.
Poniżej mini galeria z opisanych wyżej prób włamań na konta redaktorów i autorów Bogucin.net:

 

W pewnym momencie dostrzegliśmy kolejny efekt „bombardowania”. Z naszej redakcyjnej biblioteki multimedialnej zniknęło wiele cennych materiałów archiwalnych. Przepadły bezpowrotnie zgromadzone fotografie i niektóre filmy. Poniższy skan pokazuje stan biblioteki po włamaniach. Wygląda to jak szwajcarski ser naszpikowany dziurami. Puste kratki oznaczają utracone fotki.

Przestały również działać linki we wpisach. W pewnym momencie (widać na foto poniżej) ich liczba doszła do 417! Wtedy praktycznie strona „bogucin.net” przestała funkcjonować. Stanęliśmy przed pytaniem: „Poddać się czy walczyć dalej?” Wybraliśmy to drugie rozwiązanie, odbudowując mozolnie to, co zostało niemal kompletnie zrujnowane.

Co jeszcze udało się zniszczyć, tego do końca nie wiemy. Istnieją obawy, że z naszego konta rozsyłano pocztę, tworzono treści we wpisach, które potem przed wykasowaniem kopiowano, aby w przyszłości wykorzystać przeciwko redakcji albo komuś z nas. Czas pokaże na ile te obawy są uzasadnione.
Kolejnym problemem jest dla nas przychodzący spam (zazwyczaj obcojęzyczne komentarze reklamujące treści dalekie od tych, jakie wolno nam pokazywać na naszej stronie). Od lipca ubiegłego roku te same treści trafiały jednocześnie na bogucin.net i prywatną pocztę jednego z redaktorów. Nie wiemy czy był to czysty przypadek, czy wynik czyichś wyrachowanych działań.  Poniżej dowód:

Ilość przychodzącego spamu jest do dziś tak ogromna, że zainstalowana przed kilkoma miesiącami wtyczka Akismet, która powinna nas przed nim chronić przestaje sobie dawać z tym radę. Wyrzuca do kosza nie tylko spam, ale i niektóre „normalne” komentarze użytkowników. Do tej pory wtyczka uchroniła nas przed 1259 komentarzami będącymi spamem a w kolejce do usunięcia czekają kolejne 23 komentarze. Nie jesteśmy w stanie nad tym zapanować, więc nie pozostaje nam nic innego jak wyłączyć na okres próby komentowanie. Jeśli z raportów bezpieczeństwa zaobserwujemy poprawę sytuacji formularz do wysłania komentarzy zostanie przywrócony.

 

Jesteśmy w czołówce ogólnopolskich rankingów włamań

Po zapoznaniu się z raportami osób i firm zajmujących się bezpieczeństwem i prywatnością urządzeń i sieci informatycznych oraz z opiniami fachowców branży informatycznej jesteśmy przerażeni skalą wykierowanych w nas ataków. Nasz rekord to ponad 17 tys. prób włamań w ciągu jednego dnia!!! Dotychczas nie natrafiliśmy na podobny przypadek w kategorii internetowych stron wiejskich w Polsce.

W sumie, w ciągu ostatniego półtora roku odnotowaliśmy około 1,5 miliona prób włamań. Nie jesteśmy w stanie określić ile z nich zakończyło się sukcesem. Nie pozostaje nam nic innego jak stosować nieustannie przeróżne zabiegi prewencyjne. I liczyć na szczęście. W świetle polskiego kodeksu karnego opisane wyżej zachowania są przestępstwem, o czym zapewne doskonale wiedzą osoby próbujące bezprawnie uzyskać dostęp do bazy danych naszej strony, stosując w tym celu metody utrudniające lub uniemożliwiające identyfikację ich danych.

Ktoś może zapytać: co znajduje się w naszych zasobach, że stanowi tak cenny kąsek dla cyberprzestępców albo cyberprzestępcy? Nic. Zupełnie nic. Posiadamy trochę zdjęć, filmów (głównie o projektach bogucińskiej młodzieży), parę plików audio i ponad tysiąc artykułów napisanych przez 28 autorów. Zatem nie o wartości biblioteczne tu chodzi, ale prawdopodobnie o sam fakt, że jesteśmy, i że wciąż opisujemy i sławimy Bogucin. Takie wnioski nam się nasunęły.

Co do tej pory udało nam się ustalić?

Na podstawie zgromadzonej dokumentacji dowodowej można wywnioskować, że za atakami  na naszą stronę musi stać ktoś (osoba lub grupa osób) kto:

  • jest naszym czytelnikiem,
  • pisał komentarze pod naszymi artykułami,
  • zna nazwy użytkowników składu redakcyjnego,
  • prawdopodobnie zna również prywatne adresy poczt elektronicznych niektórych redaktorów,
  • dokonywał włamań z wykorzystaniem aplikacji zainstalowanej na telefonie komórkowym.

I co dalej?

Minęło 2 lata od kiedy zaczęliśmy obserwować ruchy wymierzone w nasze bezpieczeństwo . Dysponujemy olbrzymim archiwum dowodów niedozwolonych czynów. Wiemy dostatecznie dużo, ale wciąż nie możemy na nikogo wskazać palcem. Anonimowe sieci internetu stanowią parasol ochronny dla tego rodzaju złoczyńców. Trudno walczyć z tą patologią. Świadomość, że wróg tak wiele o nas wie, sprawia, że coraz trudniej z tym żyć i walczyć.

Wszystkie systemy posiadają jednak pewne luki, które można w odpowiednim momencie wykorzystać, w związku z czym podjęliśmy już działania (rozważamy również kroki prawne) zmierzające do zakończenia tego precedensu.