17 декабря 2009 г.

Про «взлом» веб-сайта «МК». Вторая часть марлезонского балета…

В прошлом посте я обещал еще раз написать о случившемся. Вот, пишу - чтобы закончить с темой... Я поставил к этому посту тег «Расследования», но хочу оговориться, что свою «расследовательскую» функцию вижу только в том, что собрал более-менее объективную информацию, разбросанную по разным источникам, и свел ее вместе.

Спустя пару недель после того, как новость про сайт «МК» побывала в топ-листах всех СМИ (что подтверждает тезис, что плохие новости – все равно хорошая реклама), а на самом сайте было вывешено объявление, что «в ближайшее время сайт заработает в полном объеме» (до настоящего времени этого так и не случилось), интерес к событию сошел на нет. Ну с массовыми СМИ понятно – им интересны только горячие темы и экзотические подробности. Поэтому и возникли «хакеры из Южной Кореи», «сигнал на разрушение», «стирание сайта за 10 минут», героические админы, отключающие напряжение... Обсуждение же технических деталей, среди которых на первом месте вопрос «Почему не было актуального бэкапа?», интересно только ИТ-специалистам.

«Взлом» в заголовке поста взят в кавычки не случайно. И я не случайно прицепил к предыдущему посту про сайт «МК» тег «Прекрасное». В этой истории прекрасно все – высказывания больших журналистских начальников про интернет-технологии и хакеров, искажения и додумывания при типичном для многих российских интернет-СМИ копипастинге, а также появляющиеся на разных Web-форумах и в блогах версии случившегося (из которых следует, что никакой хакерской атаки не было, а были – и есть – косые руки админов), …
Как выяснилось, сайт «МК» «упал» совсем не 3-го декабря (напомню – новость о «взломе» массово пошла 4-го декабря). Еще в субботу, 28-го ноября рекламодатели, размещавшие на сайте свою рекламу, получили письма из редакции «МК», из которых следовало, что сайт «упал» и с понедельника, 30-го ноября временно будет выходить упрощенная версия сайта без рекламы. При этом ни о каких хакерах не упоминалось – говорилось только о технических причинах. (ссылка).
То, что проблемы на сайте начались именно 28-го ноября, подтверждается статистикой Liveinternet.ru по сайту «МК»:


 Источник: Liveinternet.ru

Лишь спустя пять дней после письма рекламодателям, то есть 3 декабря, главный редактор «МК» Павел Гусев начал рассказывать об "атаке" и уничтожении сайта". Слова г-на Гусева достойны того, чтобы их процитировать: "Разрушение сайта произошло три дня назад, буквально в течение нескольких минут. И вот вчера вечером стало известно, что это было сделано через сигнал, посланный с сайта, зафиксированного в Южной Корее", - сообщил Гусев в пятницу "Интерфаксу" (ссылка). Ну разве не прекрасно?

А был ли мальчик?
В посте Влада Чучко «МК: а был ли хакер?», появившемся в его блоге на портале деловых новостей Slon.Ru 04.12.2009 (т.е. как раз тогда, когда остальные СМИ взахлеб рассказывали про южнокорейских хакеров, «сигналы из космоса» и героических админов «МК»), дана хронология событий, предшествовавших гибели сайта:
… Slon.ru выяснил, что не все так плохо: большую часть архива можно восстановить. А вот был ли хакер – в этом есть серьезные сомнения. В «Мастерхосте», на чьих серверах во время печальных событий располагался (и продолжает располагаться сейчас) сайт «МК», говорят, что вплоть до сегодняшнего вечера редакция по поводу атаки в его адрес не обращалась .
Погибшая версия сайта была разработана «Группой Махаон». Махаоновцы свидетельствуют, что звонили в «МК» с предложением помочь в восстановлении  ресурса из имеющихся бэкапов, однако их уверили, что пока справляются своими силами.
«МК», когда с ним случилась «корейская неприятность», находился в процессе замены сайта. Первая версия mk.ru, работавшая с 1998 г., была построена «Студией Артемия Лебедева». Когда пришло время обновлять сайт, разработчиком была выбрана «Группа Махаон». В смене подрядчика нет ничего предосудительного: сайты иногда нужно менять, а главный дизайнер страны берет за работу недешево. Однако в мае 2009 г., как только новая версия сайта заработала, «МК» тут же решил сменить и ее . «Махаон» был отставлен, а к работе над новым дизайном были привлечены свежие молодые специалисты, чьи решения нравились не всем, кто был знаком с процессом. Новая версия должны была заработать через один – два дня.
Выбирать исполнителя для перелицовки своего сайта – дело сугубо хозяйское, и за «МК» можно было бы порадоваться, если бы у новой команды все получилось. Однако итогом ее трудов стал перенос запуска очередной версии на месяц – полтора и переход ресурса в режим ленты новостей.
После третьей за полгода переработки редакция «МК» со своими читателями получила вместо сайта блог, российская милиция – головную боль по поводу хакеров из Южной Кореи, а у новой команды разработчиков удачно сдвинулся дедлайн.
Достижения же корейских хакеров оказались на редкость скромными. После их разрушительной атаки «МК» потерял архив фото- и видеоматериалов, причем не вполне безвозвратно: все материалы до лета 2009 г. редакция может забрать в «Махаоне».

На том же портале Slon.Ru в посте «В «МК» говорят, что справляются сами» приводятся слова исполнительного директора «Группы Махаон» Инны Козак:
Проект по разработке новой версии сайта mk.ru мы («Группа Махаон» — Slon.ru) завершили в апреле 2009 года. На моменте запуска и в период отладки мы консультировали коллег из МК, обсуждали возможное развитие проекта и разработку дополнительных сервисов и разделов. В июне «Группа Махаон» полностью вышла из проекта, и издательство «МК» занималось его дальнейшей поддержкой самостоятельно, внутренними ресурсами. На стороне издательства была как техническая и контентная поддержка сайта, так и администрирование аппаратной платформы.
Сайт был разработан на «Битриксе» (система управления сайтами — Slon.ru). На моей пркатике прецедентов взлома Битрикса не было: он зарекомендовал себя как хорошо защищенная система. Тем более, что сейчас «Битрикс» серьезно поработал над системой защиты. Могу предположить, что в данном случае проблема скорее всего на стороне аппаратного обеспечения либо администрирования.
Поскольку в рамках проекта мы занимались и переносом данных со старого движка сайта, у нас сохранились полные бэкапы сайта «МК» до мая 2009 года (статьи, фото и т.д.). Существует также промежуточная версия самого сайта до момента переноса его на сервера заказчика. Узнав о случившемся, мы, конечно же предложили издательству свою помощь, но нас уверили, что пока в помощи нет необходимости.
При необходимости мы готовы предоставить все имеющиеся материалы и свою помощь коллегам из издательства.

Криворукие админы…
Помните, в прошлый раз я цитировал высказывание шеф-редактора сайта «МК» о том, что «сайт атаковали за сутки до запуска новой версии». Любители конспирологии на разных форумах попытались было развить эту тему, но не пошли дальше того, чтобы придумать, что «взлом» сайта – дело рук студии веб-дизайна, от услуг которой в «МК» отказались незадолго до случившегося.
Мне лично гораздо более правдоподобной представляется другая версия, которая появилась практически в тот же день, 4-го декабря:
Есть такая история:
Заезжал вчера в контору+ Это песня. Молоденький сисадмин решил обновить (перезалить) движок сайта. По ходу дела что-то накосячил и ловкими действиями снес весь сайт ******. После чего выяснилось, что последний бекап там делался 8 месяцев (!!!) назад, хранился он, понятное дело, на том же хосте, ну и улетел следом. Все базы и весь архив газеты туда же. Начальству на голубом глазу доложили о Страшной Хакерской Атаке™, винты в какой-то конторе, занимающейся восстановлением информации, но шансов около нуля. Сисадмин работает дальше, пожелаем ему новых успехов

Если приведенную выше версию еще можно поставить под сомнение как очередную «админскую байку» (хотя, на мой взгляд – все очень похоже на правду…), то вот этот комментарий следует рассматривать более серьезно, т.к. принадлежит он человеку, до июля 2009 года бывшему техническим директором и руководителем интернет проектов «МК»:
То, что озвучил Sinodov - практически полная правда, если бы не было все намного хуже.
Это не песня - это реквием.
По поводу архивов:
• Есть точно полный архив "Лебедевской" версии сайта актуальностью на конец июня 2009 - хранится в МК на одной из офисных машин.
• В Махаоне есть архив уже перенесенный в Битрикс актуальностью - июнь 2009.
+ в Махаоне, скорее всего, есть даже полный "слепок" нового сайта на тот момент.
А в МК просто "не ведают, что творят", доверяя непрофессиональным косоруким самодовольным профанам, убивающим чужую многолетнюю работу, архивы материалов, комментарии пользователей, дискуссии, конференции и отношения с рекламодателями.
Сотрудники МК, отвечающие за сайт, а их всего два человека, главред веб-редакции и молокосос-программист, фактически совершили преступление.

Ну и еще одна цитата – это комментарий к посту «МК: а был ли хакер?», который я уже цитировал выше (орфография в комментарии авторская – А.Б.):
Никого нападения хакеров небыло и в помине.
Это информацию МК сообщил в СМИ, для того чтобы защитить своих разработчиков, которых они наняли после принятия проекта от Махаона. Вот именно эти "специалисты" должны были доработать и запустить новый сайт, в итоге у них что-то не так пошло, или случайно грохнули базу.
Еще один факт почему там не квалифицированные специалисты:
Я минут 30-45 заходил на сайт mk.ru, и решил проверить сайт сейчас на битриксе работает, в итоге зашел по ссылке mk.ru/bitrix/admin/ и увидел то что я автоматом авторизован под какой-то "Анастасия Седленек". Тому подтверждению ссылка на скриншот =)

Источник (оригинал скриншота): http://www.loadpicture.ru/images/mkadminadm.png

А есть ли девочка?
Когда ведешь расследование в интернете, то нужно отрабатывать все появляющиеся версии и «тропинки». Вот в последнем процитированном выше комментарии упоминается некая «Анастасия Седленек», под аккаунтом которой можно было автоматически попасть в административный раздел «Битрикса» на сайте «МК» еще 7 декабря (т.е через 3 дня после Страшной Хакерской Атаки™ :), когда, по идее, вокруг серверов «МК» должно было стоять уже тройное оцепление профессионалов из подразделений «К», «Р» и какие там еще есть у ФСБ и МВД…).

Гуглинг по запросу «Анастасия Седленек» дал следующие результаты. Есть такая девочка: учится в Московском Государственном Университете Печати на 5-ом курсе, ищет работу, целеустремленная, легко обучаемая, полная креативных идей… (ну и так далее – можно почитать резюме в скриншоте):



Судя по всему, Настя Седленек все-таки нашла свою первую работу... На сайте «МК» (в его нынешнем полувосстановленном варианте) висит небольшая заметочка про какую-то выставку современных «русских художников». Вот только одна фраза из заметки, с сохранением орфографии автора: «Мы побывали на открытии выставки и нам удалось взять интервью у Ирины Кориной, одной из участниц и смелом творце  (курсив в конце фразы мой – А.Б.)
Поиск по сайту «МК» с запросом «Седленек» дает еще две ссылки на ноябрьские (т.е. до «взлома») публикации, но посмотреть их не получается: видимо, индекс восстановили, а сам контент – нет.

Я далек от мысли, что это через аккаунт Насти Седленек «ломали» сайт. Более того, я практически уверен, что «дыра» при входе в админскую часть «Битрикса» (которая была «залатана» в тот же день, когда о ней написали на Slon.Ru) явилась следствием поспешного поднятия софта после падения сайта. Но безграмотная фраза, которую я процитировал выше, вкупе с фактом, что под админскими полномочиями на сайт могут заходить студенты-недоучки (видимо, для прямой публикации своих «нетленок»), наводит на мысль, что с безопасностью веб-ресурсов у «МК» действительно большие проблемы…

«МК» срочно требуются веб-разработчики…
На сайте вакансий в «Яндекс. Мой круг» с 3-го декабря (обратите внимание на дату! – А.Б.) висит вакансия – нужен веб-разработчик в «МК». Поскольку вакансия может и исчезнуть, я сделал скриншот:




Не поленитесь – откройте скриншот в большем разрешении и почитайте написанное, оно прекрасно :).


Собственно, на этом в истории можно поставить точку. Но я бы вообще не стал писать об «МК» и его сайте, если бы не увидел в случившемся повода и возможности поговорить на тему ECM-технологий. Вот только не хочу я смешивать серьезные вопросы использования ECM в одном посте с криворукими админами… Так что, в следующий раз :)

Комментариев нет:

Отправить комментарий