tromaktiko: Κυβερνοεπίθεση στο Ελληνικό Ακαδημαικό Δίκτυο GUnet με διαρροή 47.000 κωδικών!

Κυριακή 20 Μαΐου 2012

Κυβερνοεπίθεση στο Ελληνικό Ακαδημαικό Δίκτυο GUnet με διαρροή 47.000 κωδικών!




Ισχυρή κυβερνοεπίθεση πραγματοποιήθηκε εναντίον του Ελληνικού Ακαδημαικού Δικτύου GUnet (gunet.gr), σύμφωνα με πληροφορίες που κοινοποιήθηκαν από άγνωστο στην ηλεκτρονική διεύθυνση επικοινωνίας του...
SecNews. Αποτέλεσμα της κυβερνοεπίθεσης ήταν η διαρροή ούτε λίγο ούτε πολύ 47.000 κωδικών (!) από μέλη του Ελληνικού Ακαδημαικού Δικτύου!

Το GUnet είναι αστική εταιρεία μη κερδοσκοπικού χαρακτήρα και έχει ώς μέλη όλα τα Ακαδημαικά Ιδρύματα (20 Πανεπιστήμια και 16 ΤΕΙ). Σκοπός του GUnet <…>

μεταξύ άλλων είναι η ανάπτυξη, υποστήριξη και διαχείριση του ακαδημαικού δικτύου όλων των Πανεπιστημίων και ΤΕΙ, η παροχή δικτυακών υπηρεσίων στα μέλη του και προς τρίτους (φορείς, ινστιτούτα, ιδρύματα, Υπουργεία) και η συμμετοχή σε αναπτυξιακά και ερευνητικά προγράμματα.

Ο αναγνώστης, ο οποίος επιθυμεί να διατηρήσει την ανωνυμία του, χαρακτηρίζει εαυτόν «απλό χρήστη» και μας παρέθεσε τις λεπτομέρειες του περιστατικού παραβίασης από τον εντοπισμό της αδυναμίας έως την άντληση των κωδικών πρόσβασης των 47.000 μελών. Μάλιστα για να αντλήσει τα δεδομένα χρησιμοποίησε, όπως αναφέρει, μια απλούστατη SQL Injection αδυναμία που μπορεί να χρησιμοποιήσει ο καθένας χωρίς ιδιαίτερες γνώσεις.

Όπως αναφέρει στο ηλεκτρονικό του μήνυμα προς το SecNews «πραγματοποιοντας καποιος μια απλη sql injection εχει access στο gunet_db και στα 47000+ emails μαζι με τους κρυπτογραφημενους κωδικους τους..ειναι απαραδεκτο Project της ακαδημαικης κοινοτητας να εκθετουν ετσι τα στοιχεια των χρηστων τους που ειναι ακομα και απο υπουργεια!!!@ypepth και παει λεγοντας… ενας απλος χρηστης και οχι ενας hacker Που εχει γινει καραμελα τα τελευταια χρονια».

Η αδυναμία που χρησιμοποιήσε ο άγνωστος για την άντληση των κωδικών βρίσκεται στον σύνδεσμο «http://portal.gunet.gr/index.pl?iid=1796» ενώ δείγμα αντληθέντων δεδομένων μαζί με την δήλωσή του έχει αναρτηθεί από τον ίδιο στο Pastebin [εδώ]. Δείτε παρακάτω τα σχετικά Screenshots από την επίθεση:

1. Καθορισμός στόχου – Εντοπισμός αδύναμίας – Μήνυμα hacker

2. Χρήση αδυναμίας για άντληση δεδομένων βάσης gunetdb

3. Δείγμα άντλησης κωδικών πρόσβασης Part 1 (e-mail διευθύνσεις, κρυπτογραφημένοι κωδικοί πρόσβασης).

4. Δείγμα άντλησης κωδικών πρόσβασης Part 2 (e-mail διευθύνσεις, κρυπτογραφημένοι κωδικοί πρόσβασης).

O άγνωστος ΔΕΝ κοινοποίησε όπως μας ενημέρωσε τηλεφωνικούς αριθμούς και προσωπικά δεδομένα που άντλησε από την βάση δεδομένων του Ελληνικού Ακαδημαικού Δικτύου GUnet για λόγους μη έκθεσης ανυποψίαστων χρηστών, ενώ στην διάθεση του έχει και το σύνολο των κωδικών των διαχειριστών της ιστοσελίδας.

Στόχος του όπως είναι σαφές από τις ενέργειές του, δεν είναι να πλήξει τις υποδομές του Ελληνικού Ακαδημαικού Δικτύου καθώς με τα δεδομένα που άντλησε θα μπορούσε εφόσον το επιθυμούσε να προχωρήσει σε πλήρη αλλοίωση της ιστοσελίδας ή έκθεση προσωπικών δεδομένων 47.000 προσώπων. Κάτι τέτοιο δεν έγινε, γεγονός που αποδυκνείει ότι κύριο μέλημά του ήταν να αναδείξει και στηλιτεύσει (έστω και με αυτό τον τρόπο) τα ελλειπή μέτρα ασφάλειας της ιστοσελίδας και να υποδείξει στους αρμοδίους τους κινδύνους που ανακύπτουν από την ανασφαλή ανάρτηση ευαίσθητων και προσωπικών δεδομένων σε ιστοσελίδες που δεν πληρούν έστω τα τυπικά standards ασφάλειας.

Άποψη του SecNews: Το SecNews θεωρεί ότι τα ακαδημαικά δίκτυα εκ φύσεως είναι (ή ίσως οφείλουν να είναι) πιο «ανοιχτά» στα θέματα ασφάλειας μιας και ως κύριο στόχο έχουν να προωθήσουν την έρευνα και την ανταλλαγή γνώσεων μεταξύ των μελών της ακαδημαικής κοινότητας. Από την άλλη αυτό δεν πρέπει να εφαρμόζεται απαραίτητα σε ΟΛΑ ΑΝΕΞΑΙΡΕΤΩΣ τα πληροφοριακά συστήματα των Πανεπιστημίων.

Δεν αποτελεί «δικαιολογία» η ακαδημαική κουλτούρα, ώστε να μην προστατεύονται συστήματα που περιέχουν προσωπικά δεδομένα ανυποψίαστων χρηστών, δεδομένα που μπορούν να χρησιμοποιηθούν από κακόβουλους απατεώνες του διαδικτύου για οικονομικές απάτες ή παραποίηση ταυτότητας με στόχο το οικονομικό ή άλλο όφελος. Οι αρμόδιοι πρέπει ΑΜΕΣΑ να λάβουν τα απαραίτητα μέτρα και να επιδιορθωθούν σε τεχνικό (και ίσως διαδικαστικό επίπεδο) οι αδυναμίες που αναφέρει ο άγνωστος και η έκθεση που μπορεί να προκληθεί με την χρήση των αδυναμιών.

secnews.gr
     



Εδώ σχολιάζεις εσύ!