Ce am invatat in 60 de zile de cand am lansat RO Hacked – registrul atacurilor cibernetice din Romania

7

RO Hacked este un registru de atacuri cibernetice realizate asupra site-urilor ce isi desfasoara activitatea in Romania. Proiectul functioneaza fara interventia umana, existand in spate un robotel care monitorizeaza diverse surse de informare si adauga domeniile „.ro” pe site in momentul in care un deface a fost realizat.

rohacked

Proiectul a fost lansat pe data de 30 de aprilie (pe bit-sentinel.com) iar la scurt timp am adaugat un feature destul de important – notificarea detinatorilor acestor site-uri.

Statistici RO Hacked dupa 60 de zile

Statistici atacuri cibernetice (mai multe aici)

  • 2,305 site-uri au fost tinta unui atac cibernetic din 3 martie (momentul in care am lansat in private bot-ul) si pana in prezent
  • dintre site-urile afectate, 97% rulau Linux
  • cel mai popular serviciu web este Apache (60%), urmat de nginx(16%) si LiteSpeed (14%)
  • recordul intr-o zi este de 70 de site-uri afectate & indexate
  • cele mai afectate IP-uri sunt 89.36.165.4 (net-solution.ro) si 176.223.208.20 (EASYHOST) (nu
  • inseamna neaparat ca cei care au inregistrat IP-urile sunt si cei care le gestioneaza)
  • am identificat site-uri de interes astfel: 14 primarii, 2 licee, 13 scoli, 1 spital, 2 clinici, 10 site-uri de avocatura, toate fiind tinta unor atacuri cibernetice

Statistici activitate vizitatori

  • 3,100 vizitatori
  • 11,317 pagini vizitate
  • ~3.6 pagini/vizitator
  • fiecare vizitator a stat in medie 2 minute si 11 secunde pe site
  • bounce rate < 30%

Ce am observat si intampinat cu RO Hacked in ultimele 60 de zile?

1. Multe site-uri ale unor business-uri mici si medii au probleme de securitate si, desi suntem in 2015, problemele de securitate de pe serverele cu Shared Hosting (servere de hosting pe care sunt tinute mai multe site-uri ale mai multor clienti) continua sa existe.
2. Desi am notificat absolut toate site-urile afectate, nu am primit niciodata un reply din partea acestora in care sa primim un simplu multumesc. Mailurile au fost citite/deschise, paginile afectate dispareau la maxim cateva ore din momentul in care trimiteam mailul, dar un reply e scump.
dovada
3. Desi in pagina „Despre RO Hacked” este specificat clar ca suntem un agregator de informatii publice si ca nu vom elimina nici un site, decat daca se dovedeste (si e improbabil, noi avem dovezi – capturi de ecran ce au fost facute in momentul atacului) ca ne-am inselat, am fost amenintati de oameni ce nu inteleg nimic. I-am explicat doamnei, sper sa priceapa.
4. Acceptam si raportarea site-urilor de catre vizitatori, insa din cele aproximativ cele 15 request-uri primite, nici una nu a fost legitima.

Noutati

Zilele acestea am integrat si un feed minimal pentru RO Hacked, astfel ca daca sunteti gata sa promovati initiative, o puteti face prin generarea ultimelor rezultate de pe RO Hacked. Pe WordPress se poate face foarte usor cu un RSS Widget. Pe alte platforme exista extensii similare. L-am integrat pe worldit.info in sidebar si arata cam asa:

rohacked

Pana data viitoare (cand sper sa vin cu o profilare mai detaliata a site-urilor afectate), RO Hacked va continua sa indexeze site-urile din Romania, fara mancare, fara pretentii si neobosit. 🙂

Etichete:

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.

7 Comentarii

  1. Sam spune:
    iunie 30, 2015 la 3:40 pm

    Siteul are pagina pe facebook? Ar fi interesant ca acolo sa se afiseze imediat noile atacuri detectate.

    Succes echipei!

  2. Stefu Catalin spune:
    iunie 30, 2015 la 4:42 pm

    E o aplicatie minunata,care o vizitez zilnic, insa nu-mi dau seama cum functioneaza.
    Acel robotel, de unde stie ca a fost atacat site-ul?Poate atacatorul pune o simpla imagine,un simplu text, ori un redirect. Nu inteleg algoritmul folosit,cum poate detecta aceste schimbari, si cum o face cu atata exactitate. Ma gandesc ca indexeaza paginile, ulterior le salveaza si apoi observa daca este vreo modificare,insa autorul ar putea schimba foarte usor template-ul…si atunci n-ar fi o confuzie? Bafta !

    • Andrei Avădănei spune:
      iunie 30, 2015 la 5:04 pm

      Momentan se bazeaza mult pe agregarea informatiilor din alte surse internationale. Practic monitorizeaza site-uri foarte populare care primesc rapoarte de la „hackeri” si le alege pe cele care sunt valide (nu sunt fake). De aceea e limitat la „.ro”.

      Urmatorul pas ar fi sa extindem procesul la toate IP-urile din Romania, insa e necesara o investitie de timp/financiara care inca nu ne-o permitem. 🙂

  3. fene spune:
    iunie 30, 2015 la 9:44 pm

    Eu unul nu ma mir ca e greu cu multumesc asta …. Pe partea asta mai trebuie batuta putin saua sa priceapa iapa …. Poate ar fi si oameni care sa iti multumeasca daca ar pricepe fenomenul …

    Vorbind la modul general, asta ca sa nu ma trezesc cu vreo citatie din partea avocatilor proprietari de site …

    Probabil ca atunci cand doamnelor o sa le apara o mare p****la pe „propietate” vor pricepe ca banii ar fi mai bine investiti in securitatea mandrei „proprietati” decat in procese … 🙂