Поступление принципами: хакеры взломали олимпиаду первого уровня за секунду
Чтобы получить доступ к базам данных олимпиады первого уровня, хакерам понадобилось изменить лишь три символа в коде. На это ушла ровно секунда времени. В НИЯУ МИФИ — вузе, который проводит взломанную отраслевую физико-математическую олимпиаду «Росатом», — признали наличие ошибок в коде и сообщили «Известиям» о незамедлительной работе по выявлению потенциальных уязвимостей на портале университета. Так как использование «дыр» на сайте потенциально позволяет заранее получить задачи и изменять данные ответов во время олимпиады, смотреть сессии и данные других пользователей, это ставит под вопрос легитимность льгот при поступлении олимпиадников в вузы.
Дивный новый мир
В России в разгаре новый олимпиадный сезон. Многие состязания из-за пандемии COVID-19 перенесены в онлайн. Старшеклассники, которые хотят попробовать свои силы и заработать дополнительные бонусы для поступления в вуз, а возможно, даже получить шанс попасть в университет без экзаменов, активно включились в этот соревновательный процесс.
Напомним, что олимпиада первого уровня дает возможность победителю поступить в вуз без экзаменов, включая МГУ, МГИМО, Санкт-Петербургский госуниверситет, Физтех, Бауманку, МИФИ и др., то есть для победителя или призера этих интеллектуальных состязаний ЕГЭ уже не играет никакой роли. Важно, чтобы абитуриент набрал не меньше 75 баллов, причем только по главному предмету, соответствующему профилю олимпиады. Таким образом, независимо от оценок по другим ЕГЭ, а также от того, сколько школьников поступают в данный вуз, олимпийский призер будет в него зачислен.
Получается, что хакер теоретически может обеспечить поступление в лучшие вузы страны, поставив в неравные условия выпускников.
Одна из наиболее популярных олимпиад первого уровня проводится в МИФИ. Зарегистрироваться и принять в ней участие можно по адресу: https://org.mephi.ru. Взлом этого сайта, по сведениям источника «Известий» из хакерских кругов, занял всего одну секунду. В коде нужно было поменять лишь три символа.
Согласно данным источника, на сайте были обнаружены SQL-инъекции и XSS-уязвимости (о сути терминов ниже), благодаря которым можно воздействовать на результаты конкурса. В результате, по словам хакера, легко возможно: 1) заранее узнать задачи и изменять данные ответов во время олимпиады; 2) видеть сессии и данные других пользователей и 3) массово выгрузить информацию пользователей, включая персональные (сведения из паспорта, прописку, телефон, е-мейл).
Также в редакцию «Известий» был отправлен подробный план действий, которые нужны для обеспечения доступа такого уровня. Специалисты по кибербезопасности подтвердили изданию, что цепочка похожа на рабочую, правда, отказались ее тестировать, так как это и означает взлом сайта. Позже в ответе на запрос «Известий» в МИФИ признали наличие проблемы.
Инъекции в образование
Независимый исследователь даркнета Олег Бахтадзе-Карнаухов отметил, что описанная источником цепочка очень похожа на рабочую, так как хакер использует известные уязвимости, которые часто встречаются на не до конца протестированных сайтах.
— SQL-инъекция — один из самых простых способов взлома сайта. Чтобы его осуществить, есть даже автоматические способы поиска таких ошибок в коде. Действительно, за очень короткий промежуток времени и благодаря замене нескольких символов злоумышленник может получить доступ ко всем персональным данным олимпиады, а также выгрузить задания, — считает эксперт.
По словам исследователя, скорее всего, при программировании данного сайта не было выделено достаточно времени на обнаружение таких ошибок, хотя его требуется немного на их поиск и устранение.
Эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов объяснил, как работает SQL-инъекция.
— Представьте себе сайт, который позволяет проверить, находится ли имя в списке. Предполагается, что пользователь будет вводить буквы, а сайт проверит наличие такой комбинации в базе данных и выдаст результат. Но если разработчики такой страницы допустят ошибку, то пользователь сможет ввести не только буквы, но и различные символы, которые база данных воспримет как команду к действию. Например, вместо «Вася» в поле ввода будет написан на языке программирования SQL-запрос, означающий «Показать всю таблицу». Если сайт работает корректно, то такой запрос обработан не будет, а если на странице есть уязвимость, то он выполнит введенную команду, — сообщил «Известиям» специалист.
По его словам, похожая ситуация возникает и с XSS-атаками, только обращение идет не к базам данных, а к скриптам на сервере.
— Если на сайте содержатся уязвимости, то команду на определенном языке программирования можно вставить, например, в ссылку, и страница отобразит информацию, которая не предназначалась для пользователей изначально, — объяснил Дмитрий Галов.
Взлом в один прием
Начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд также верит в реальность описанной уязвимости. Причиной, по его словам, могут быть ошибки в проектировании, в результате которых сайт, например, плохо проверяет или вовсе не проверяет входящую информацию или своей логикой работы дает подсказки злоумышленникам о том, какие данные подставлять методом простого перебора, чтобы получить доступ к системе. Например, по виду ссылок в адресной строке браузера может быть понятно, каким образом присваиваются номера пользователям, отметил эксперт.
— При разработке сайтов и приложений вопросы безопасности, увы, всегда на втором плане, — объяснил Алексей Дрозд. — В первую очередь стоит вопрос функциональности. И хотя принцип secure by design часто декларируется разработчиками, на деле реализуется в лучшем случае по остаточному принципу. Конечно, ни одна информационная система не может быть защищена на 100%, но главная цель защиты иная.
Впрочем, эксперт считает, что риска массового использования этих уязвимостей все же нет. Скорее МИФИ понесет имиджевые потери.
В МИФИ на запрос «Известий» сначала ответили, что не находят описанных уязвимостей. Но, когда вуз получил подробное описание цепочки, наличие ошибок было признано.
— Информируем вас об оперативной реакции профильных служб университета на вышеуказанный сигнал редакции о том, что «сайт подвержен SQL-инъекциям и XSS-уязвимостям», и о незамедлительной работе по выявлению потенциальных уязвимостей на портале НИЯУ МИФИ, — написано в ответе на запрос.
С момента поступления запроса от «Известий» до сегодняшнего дня сайт с вышеописанной олимпиадой не работает. На нем размещено следующее объявление: «Уважаемые школьники! На сайте org.mephi.ru ведутся технические работы, сайт временно недоступен. Срок завершения предварительных туров олимпиад при необходимости будет продлен».