Skandal w Instytucie Energii Atomowej - IEA Otwock!

Instytut Energii Atomowej powstał w 1983 roku w wyniku przekształcenia byłego Instytutu Badań Jądrowych w trzy nowe instytuty atomistyki. Instytut Problemów Jądrowych, Instytut Chemii i Techniki Jądrowej oraz Instytut Energii Atomowej. Instytu Energii Atomowej mieści się w Ośrodku Badawczym Świerk w powiecie Otwock.

Instytut eksploatuje jedyny w Polsce jądrowy reaktor badawczy MARIA, który służy do wytwarzania izotopów promieniotwórczych, radiacyjnej modyfikacji materiałów oraz badań na wiązkach neutronów. Na przestrzeni wielu lat istnienia Instytutu Energii Atomowej oraz serwerów do niego należących dochodziło do bardzo wielu włamań. Pierwsze z nich odnotowano już 17 czerwca 2002 roku, gdzie podmieniona strona serwera cyf.gov.pl opartego wtedy na systemie operacyjnym Windows NT zawierała następującą treść:

“Defaced by Intruders Of Network ... We are : Mad_Skater - Spy_Pc - Pekato - Amok_ - Criptus - isprv ... Mad_Skater was where !!! Greetz: AtoMic - z3ckt0r - Red_SigN - Intrud3rm4n - ISOTK - Mafia - hax0rs lab - Azilum - GotRoot - Tecklife ... and all...BRAZIL RLZ”

Już w kilka dni po tym incydencie, tj. 25 czerwca doszło do kolejnego włamania, którego wynikiem była następująca treść na stronie głównej:

“...::: BreaKIce :::... Admin secure ur self Shhh... Be vewy vewy qwiet... I'm hunting lamers... Peace"

3 września oraz 3 października 2002 roku nastąpiły kolejne włamania, wynikiem których były podobne podmiany stron serwera IEA. Można by pomyśleć że to koniec problemów w związku z aktem desperacji administratorów w postaci zmiany systemu operacyjnego na FreeBSD. Tak się jednak nie stało, gdyż dnia 18 marca 2005 roku doszło kolejnego włamania, tym razem włamywaczami okazali się terroryści z dywizji głoszących anty-amerykańskie treści. Na podmienionej stronie umieszczono:

"There's a lot of good reasons to burn the apes's shit flag! Just hate USA (United States of Apes?) Infektion Group Cyber Terrorist Division...
Greetz: Osama Bin Laden, Al-Zarqawi, Ansar Al-Sunnah Army, Hugo Chávez, Fidel Castro, N1D3Z (já que você quer!) and all anti-USA fighters!"

Paradoksem jest fakt, że podmieniony wtedy indeks do dnia dzisiejszego znajduje się na serwerze! 22 listopada 2005 roku dochodzi do następnego włamania przez grupę Arabian Fighters, którego efektami była następująca treść:

“DIabOlaX anD SiliToaD 0wnZ Ya aGain !!! Gr8Tz To, : Sbitar , MsKHoT , BlooDMASK , InVainCu , Mr-L . Mail 2 : Cr4ck3r@linuxmail.OrG

To skandal! Na przestrzeni wielu lat notorycznie dochodzi do włamań na serwer Instytutu Energii Atomowej. Ostatnia grupa, którą wymieniłem informuje że włamuje się któryś raz z kolei, co świadczyć może o tym, iż udokumentowane przeze mnie włamania są tylko czubkiem góry lodowej. Pomimo zmian systemu operacyjnego oraz najprawdopodobniej też kadry administratorów w dalszym ciągu zabezpieczenia tej jednostki są znikome. Pracownicy IEA współtworzą m.in. Laboratorium Pomiarów, Dział Analiz i Planowania, Radę Naukową, Zakład Metod Jądrowych Fizyki Ciała Stałego, Zakład Energetyki Jądrowej, Laboratorium Metod Komputerowych Cyfronet, Zakład Eksploatacji Reaktora Maria, Zakład Analiz oraz Techniki Reaktorowej, Dział Bezpieczeństwa Jądrowego i Ochrony Radiologicznej oraz wiele innych kluczowych dla bezpieczeństwa Instytutu jednostek organizacyjnych.

Wszelka korespondencja elektroniczna Instytutu w domenie @cyf.gov.pl obsługiwana jest przez główny serwer, który pada ciągle ofiarą ataków. Znajduje się tam około 100 adresów e-mail do poszczególnych szefów IEA, nie wspominając o jednostkach, których nie wymieniono na stronie internetowej Instytutu. W momecie włamania dochodzi do uzyskania praw administratora w systemie, co równoznaczne jest z posiadaniem możliwości monitoringu całości korespondencji przesyłanej do pracowników, logowań do innych placówek, wymiany poufnych plików a przede wszystkim dostępu do wszelkiego oprogramowania z którego korzysta Instytut Energii Atomowej.

Przeprowadziłem dzisiaj krótkie testy cyf.gov.pl z których wynika, że posiada on na większości otwartych portów stare oraz podatne na ataki hakerów oprogramowanie, począwszy od antycznego OpenSSH 3.8.1p1 po Apache 1.3.34 kończąc na webmailu zawierającym błędy XSS pozwalające arbitralnie wykonać dowolny kod... Wygląda na to, że po zmianie systemu, który padał notorycznie ofiarą ataków administratorzy zmienili system na FreeBSD zostawiając go na kolejną pastwę losu. Ileż incydentów musi wyniknąć aby placówki Państwowe takie jak Instytut Energii Atomowej, będące kluczowymi dla rozwoju i powagi sprawowanych funkcji zaczęły wypełniać należycie swoją pracę? Co ciekawe, Pracownicy Instytutu Energii Atomowej od dnia 22 listopada 2005 roku oraz po zmianie systemu na FreeBSD nie zauważyli nawet że zostali kolejny raz ofiarą włamania, którego efekt widać...

http://www.cyf.gov.pl/zuop/

... do dnia dzisiejszego!

Aktualizacja artykułu: 18.06.06 / 11:10

Usunięto stronę. Jej mirror znajduje się teraz na dole artykułu w "Warto zobaczyć".

Aktualizacja artykułu: 19.06.06 / 00:01

Znalazłem kolejne dowody włamań, pierwsze jak się okazało, przeprowadzone było dnia 27 maja 2002 roku. Poniżej przedstawiam dokładne zestawienie:

1. 27 maja 2002
2. 17 czerwiec 2002
3. 25 czerwiec 2002
4. 06 sierpień 2002
5. 03 wrzesień 2002
6. 03 październik 2002
7. 24 grudzień 2003
8. 24 czerwiec 2005
9. 09 październik 2005
10. 22 listopad 2005

To tylko te, które kończyły się podmianami stron. Aż strach pomyśleć ile było włamań, których autorzy po prostu zostawiali sobie furtkę w systemie nie afiszując się tym. Po kilku dalszych analizach, znalazłem również wiele serwerów znajdujących się w podsieci Instytutu Energii Atomowej, posiadających nawet więcej błędów niż serwer główny. Większość z nich oferuje zupełnie nieświadomie wszelkie zasoby, które nigdy nie powinny wyjść poza obszar ludzi do tego uprawnionych. Struktura indeksów świadczyć może o tym, iż z biegiem czasu poszczególne grupy hackerskie penetrujące IEA podmieniały sobie tylko indeksy, zapisując poprzednie.

Wniosek? Serwer www.cyf.gov.pl posiada zapewne więcej rootkitów niż pracowników a korespondencję Instytutu Energii Atomowej może przeglądać prawie każdy. Nikt oprócz hakerów tam nie zagląda a zasoby zawierające poufne jak i wewnętrzne informacje - składające się na kadrę pracowników, strukturę Instytutu Energii Atomowej, specyfikację urządzeń oraz maszyn, konferencji, zestawu listy błędów przemysłowych, kodu oprogramowania dostępne są od lat. Tragedia wynikła z takiego podejścia, może być tylko kwestią czasu, gdyż prawdopodobnie większość z zagranicznych włamywaczy (którzy w większości pochodzą z krajów ogarniętych konfliktem z USA - a nie jest tajemnicą wsparcie Polski w tych działaniach) nie posiada nawet wiedzy do jak ważnych i stanowiących o bezpieczeństwie setek a może i tysięcy osób danych, uzyskała dostęp.

Paweł Jabłoński / HACK.pl
Kontakt dla prasy / media:
+48 508 532 182

Realizacja: SIPLEX Studio