СЛІДАМИ КІБЕРЗЛОЧИНІВ ПРОТИ ЗМІ

Фото Reuters

Всі ми живемо в інформаційному суспільстві, основа якого закладена саме в сфері цифрових технологій. Навіть важко собі уявити наскільки важливо для кожного з нас  не втратити доступ до особистих напрацювань, зібраних протягом років на персональному комп’ютері або ж на власного сайті чи блозі в мережі інтернет. В першу чергу це стосується журналістів та редакторів, які регулярно працюють з викривальними матеріалами та зберігають підтвердження фактів корупції чи зловживань зі сторони посадовців.
З іншої сторони, виключно наявність відкритого та незаангажованого онлайн ЗМІ в тому чи іншому регіоні під час виборчої кампанії є сильним стримуючим фактором для потенційних маніпуляцій та фальшувань. Тому найчастіше інформаційні ресурси зазнають нападів саме під час або ж в переддень виборчих кампаній.
Для розуміння природи різного роду хакерських атак слід пам’ятати, що сайти зламуються з метою отримання повного контролю за системою керування наповнення (вмісту) сайта.
Система керування вмістом сайта (англ. Content Management System, CMS) це програмне забезпечення для організації веб-сайтів чи інших інформаційних ресурсів в Інтернеті чи окремих комп'ютерних мережах. Існують сотні, а може, навіть й тисячі доступних CMS — систем.
Лідером серед CMS в світі та найпопулярнішою в Україні залишається система Wordpress, призначеної насамперед для створення блогів та інформаційних сайтів. Саме на даній CMS діють практично усі інтернет видання Житомирської області. Популярність та простота в обслуговуванні Wordpress стало причиною того, що побудовані з її допомогою сайти, найчастіше стають жертвами атак.
У більшість випадків сторонній доступ до сайту здійснюється через отримання паролю адміністратора. Для цього використовується спеціальна програма, яка шляхом почергового підбору чисел та букв віднаходиться вірний пароль на сайт.
Брут-форс атака – метод хакерської атаки або злому комп’ютерної системи шляхом підбору паролів шляхом перебору всіх можливих комбінацій символів до знаходження комбінації, що підходить в якості пароля. Такі атаки є одним з найефективніших способів злому комп'ютерних систем.
Щоб пришвидшити процес добору пароля, він здійснюється одночасно з багатьох ip-адрес, використовуючи віртуальні комп’ютери або попередньо заражені вірусом комп’ютери реальних користувачів. У підсумку сайт повністю «лягає», тобто стає не доступним в Інтернет мережі.
DDOS атака це розподілена атака на відмову в обслуговуванні (англ. DoS attack, DDoS attack, (Distributed) Denial-of-service attack) – напад на комп'ютерну систему з наміром зробити комп’ютерні ресурси недоступними користувачам, для яких комп’ютерна система була призначена.

ЖЕРТВИ АТАК
Наслідки перелічених атак не обмежуються тимчасовою втрата керування сайтом. Отримуючи права адміністратора, нерідко з сайту чи блогу частково або ж повністю видаляють всю розміщену на ньому інформації.
Саме так відбулося з одним із житомирських інформаційних порталів «Вголос.zt». Впродовж двох днів, 4 та 5 квітня цього року доступ до сайту редакція повністю втратила.

Джерело: публікація головного редактора порталу «Вголос.zt» Анни Данюк-Черкашиної на власній сторінці в фейсбук

Відновлення роботи сайту зайняло три тижні. Однак багато з розміщених раніше публікацій залишилися недоступними. Редактор порталу Анна Данюк-Черкашина пов’язує здійснену атаку з регулярним оприлюдненням фактів корупції, розподілу бюджетних коштів і «розбазарювання» земель.


Джерело: публікація головного редактора порталу «Вголос.zt» Анни Данюк-Черкашиної на власній сторінці в фейсбук

- Ми можемо тільки здогадуватися, хто стоїть за подібними мерзенними діями, - констатує Анна Данюк-Черкашина.

Фото: редактор "Вголос.ZT" Анна Данюк-Черкашина (джерело: персоанльна фейсбук сторінка)

В редакції досі непевні в спроможності правоохоронців розслідувати вчинений напад. Заяву в поліцію навіть не подавали, оскільки вважають, що віднайти виконавців, а тим паче замовників блокування з-за кордону сайту, немає жодних шансів.

Зовсім іншої думки самі полісмени.

- Одразу ж необхідно звертатися до відділення Національної поліції та фіксувати весь трафік на стороні хостинг-провайдера, - пояснює заступник начальника Поліського управління кіберполіції Департаменту кіберполіції Національної поліції України в Житомирській області Володимир Грищенко. Після відкриття кримінальної справи вся зібрана інформація стане основою для відслідковування кінцевих ip-адрес та відповідно і їх власників.
- На початку року нами проведено санкціонований обшук в помешканні житомирянина, який в серпні 2016 року заблокував роботу розміщеного в Києві сайту antikor.com.ua, - продовжує правоохоронець.
Згідно опублікованого тексту ухвали Богунського районного суду, в березні 2017 року на вилучений під час обшуку комп’ютер та мобільний телефон накладений арешт. З листування в спеціальному додатку з обміну миттєвими повідомлення розкрито замовника атаки на сайт. Слідство за порушеною статтею «Перешкоджання роботі комп’ютерів та мереж зв’язку» (ч. 1 ст. 363-1 ККУ) наразі триває.

НА ІНТЕРНЕТ-БЕЗПЕЦІ НЕ ЕКОНОМИТИ
На жаль, у Житомирській області описаний випадок залишаться єдиним успішним прикладом серед проведених поліцією подібних розслідувань. Дотримання виконання всіх передбачених етапів на практиці далеко не гарантує швидке знаходження виконавців, а тим паче замовника чи замовників навмисного блокування роботи інтернет медіа.

- Вперше сайт зазнав атаки ще на позаминулих виборах. Потім повторно і в грудні це був третій раз. Написали заяву до поліції але жодної відповіді так і не дочекалися, - розповідає директор сайту «Житомир Інфо» Юлія Новицька.

Директор сайту "Житомир Інфо" Юлія Новицька (джерело: персоанльна фейсбук сторінка)

В січні 2017 року, за місяць після звернення від Національної агенції з радіочастот надійшло підтвердження про стороннє втручання в роботу сайту. Атака здійснювалася з-за кордону одночасно з декількох країн. Через технічне блокування та віддаленість серверів точний маршрут відшукати не вдалося.
У відповіді, отриманій редакцією «Житомир Інфо», Державна служба спеціального зв’язку та захисту інформації підтвердила наявність стороннього втручання в роботі житомирського інформаційного порталу:
- Фахівцями CERT-UA було проведено аналіз наданих файлів (дамп трафіку) та встановлено наявність ознак цілеспрямованої DDOS-атаки з різних зарубіжних (Польща, Китай, Великобританія, Росія) та українських IP-адрес, типу SYN Flood, FIN attackта TCP reset.

Регіональному представнику Інституту масової інформації Головне управління Національної поліції в Житомирській області повідомило, що не володіє інформацією про хід проведення розслідування за поданою редакцією заявою. Про подальшу долю справи «Житомир Інфо» має дізнаватися в Шевченківському районному управлінні Національної поліції України в м. Києві, куди її передали за підслідністю.
 

- Ми підпорядковуємось Поліському управлінню кіберполіції, який адмініструє одразу  Житомирську, Рівненську та Волинську області. Слідчими функціями ми не наділені. Ми оперативні працівники, а слідчі знаходяться чи в нашій чи в іншій області – розповідає заступник начальника відділення Володимир Грищенко.
- У справі щодо «Житомир Інфо» за допомогою TOR-браузера сліди зловмисників ховаються далеко в мережі і віднайти їх практично неможливо. Раджу заздалегідь вибирати професійне обслуговування сайту і не економити на інтернет безпеці, - підсумував на завершення розмови правоохоронець.

Відтак, з упевненістю можна констатувати, що свобода слова в регіональних онлайн-медіа напряму залежить від приділеної редакціями уваги до належного захисту власних сайтів, який, в переважній більшості, залишається далеким від досконалості.

Боросовський Тарас
регіональний представник ІМІ в Житомирській області
Матеріал підготовлено в рамках проекту «Мережа медіа-спостерігачів», який виконує ІМІ за підтримки Посольства США

Слідкуйте за новинами Житомира у Facebook, Telegram, Instagram та YouTube.