Всі ми живемо в інформаційному суспільстві, основа якого закладена саме в сфері цифрових технологій. Навіть важко собі уявити наскільки на сьогодні доступ до особистих напрацювань, зібраних протягом років на персональному комп’ютері або ж власного сайту в мережі інтернет важливий для будь-кого, хто працює в сфері медіа. В першу чергу це стосується журналістів та редакторів, які регулярно працюють з викривальними матеріалами та зберігають підтвердження фактів корупції чи зловживань зі сторони посадовців.

З іншої сторони, виключно наявність відкритого та незаангажованого онлайн ЗМІ в тому чи іншому регіоні під час виборчої кампанії є сильним стримуючим фактором для потенційних маніпуляцій та фальшувань. Тому найчастіше інформаційні ресурси зазнають нападів саме під час або ж в переддень виборчих кампаній.

Для розуміння природи різного роду хакерських атак слід пам’ятати, що сайти зламуються з метою отримання повного контролю за системою керування наповнення (вмісту) сайта.

Система керування вмістом сайта (англ. Content Management System, CMS) це програмне забезпечення для організації веб-сайтів чи інших інформаційних ресурсів в Інтернеті чи окремих комп’ютерних мережах. Існують сотні, а може, навіть й тисячі доступних CMS — систем.

Лідером серед CMS в світі та найпопулярнішою в Україні залишається система WordPress, призначеної насамперед для створення блогів та інформаційних сайтів. Саме на даній CMS діють практично усі інтернет видання Житомирської області. Популярність та простота в обслуговуванні WordPress стало причиною того, що побудовані з її допомогою сайти, найчастіше стають жертвами атак.

У більшість випадків сторонній доступ до сайту здійснюється через отримання паролю адміністратора. Для цього використовується спеціальна програма, яка шляхом почергового підбору чисел та букв віднаходиться вірний пароль на сайт.

Брут-форс атака – метод хакерської атаки або злому комп’ютерної системи шляхом підбору паролів шляхом перебору всіх можливих комбінацій символів до знаходження комбінації, що підходить в якості пароля. Такі атаки є одним з найефективніших способів злому комп’ютерних систем.

Щоб пришвидшити процес добору пароля, він здійснюється одночасно з багатьох ip-адрес, використовуючи віртуальні комп’ютери або попередньо заражені вірусом комп’ютери реальних користувачів. У підсумку сайт повністю «лягає», тобто стає не доступним в Інтернет мережі.

DDOS атака це розподілена атака на відмову в обслуговуванні (англ. DoS attack, DDoSattack, (Distributed) Denial-of-service attack) – напад на комп’ютерну систему з наміром зробити комп’ютерні ресурси недоступними користувачам, для яких комп’ютерна система була призначена.

Жертви атак

Наслідки перелічених атак не обмежуються тимчасовою втрата керування сайтом. Отримуючи права адміністратора, нерідко з сайту чи блогу частково або ж повністю видаляють всю розміщену на ньому інформації.

Саме так відбулося з одним із житомирських інформаційних порталів «Вголос.zt». Впродовж двох днів, 4 та 5 квітня цього року доступ до сайту редакція повністю втратила.

Джерело: публікація головного редактора порталу «Вголос.zt» Анни Данюк-Черкашиної на власній сторінці в фейсбук

Відновлення роботи сайту зайняло три тижні. Однак багато з розміщених раніше публікацій залишилися недоступними. Редактор порталу Анна Данюк-Черкашинапов’язує здійснену атаку з регулярним оприлюдненням фактів корупції, розподілу бюджетних коштів і «розбазарювання» земель.

– Ми можемо тільки здогадуватися, хто стоїть за подібними мерзенними діями, – констатує Анна Данюк-Черкашина.

У редакції досі непевні в спроможності правоохоронців розслідувати вчинений напад. Заяву в поліцію навіть не подавали, оскільки вважають, що віднайти виконавців, а тим паче замовників блокування з-за кордону сайту, немає жодних шансів.

Зовсім іншої думки самі полісмени.

– Одразу ж необхідно звертатися до відділення Національної поліції та фіксувати весь трафік на стороні хостинг-провайдера, – пояснює заступник начальника Поліського управління кіберполіції Департаменту кіберполіції Національної поліції України в Житомирській області Віталій Вихристюк. Після відкриття кримінальної справи вся зібрана інформація стане основою для відслідковування кінцевих ip-адрес та відповідно і їх власників.

– На початку року нами проведено санкціонований обшук в помешканні житомирянина, який в серпні 2016 року заблокував роботу розміщеного в Києві сайту antikor.com.ua, – продовжує правоохоронець.

Згідно опублікованого тексту ухвали Богунського районного суду, в березні 2017 року на вилучений під час обшуку комп’ютер та мобільний телефон накладений арешт. З листування в спеціальному додатку з обміну миттєвими повідомлення розкрито замовника атаки на сайт. Слідство за порушеною статтею «Перешкоджання роботі комп’ютерів та мереж зв’язку» (ч. 1 ст. 363-1 ККУ) наразі триває.

На інтернет-безпеці не економити 

На жаль, у Житомирській області описаний випадок залишаться єдиним успішним прикладом серед проведених поліцією подібних розслідувань. Дотримання виконання всіх передбачених етапів на практиці далеко не гарантує швидке знаходження виконавців, а тим паче замовника чи замовників навмисного блокування роботи інтернет медіа.

– Вперше сайт зазнав атаки ще на позаминулих виборах. Потім повторно і в грудні це був третій раз. Написали заяву до поліції але жодної відповіді так і не дочекалися, – розповідає директор сайту «Житомир Інфо» Юлія Новицька.

В січні 2017 року, за місяць після звернення від Національної агенції з радіочастот надійшло підтвердження про стороннє втручання в роботу сайту. Атака здійснювалася з-за кордону одночасно з декількох країн. Через технічне блокування та віддаленість серверів точний маршрут відшукати не вдалося.

У відповіді, отриманій редакцією «Житомир Інфо», Державна служба спеціального зв’язку та захисту інформації підтвердила наявність стороннього втручання в роботі житомирського інформаційного порталу:

– Фахівцями CERT-UA було проведено аналіз наданих файлів (дамп трафіку) та встановлено наявність ознак цілеспрямованої DDOS-атаки з різних зарубіжних (Польща, Китай, Великобританія, Росія) та українських IP-адрес, типу SYN Flood, FIN attackта TCP reset.

Регіональному представнику Інституту масової інформації було повідомлено ГУНП в Житомирській області, що на сьогоднішній день (відомство, управління) не володіє інформацією про хід проведення розслідування за поданою редакцією заявою. Про подальшу долю справи редакція має дізнаватися в Шевченківському районному управлінні Національної поліції України в м. Києві, куди її передали за підслідністю.
В обласному підрозділі кіберполіції з цього приводу нам не змогли повідомити втішних новин.

– Ми підпорядковуємось Поліському управлінню кіберполіції, який адмініструє одразу  Житомирську, Рівненську та Волинську області. Слідчими функціями ми не наділені. Ми оперативні працівники, а слідчі знаходяться чи в нашій чи в іншій області, – розповідає заступник начальника відділення Віталій Вихристюк.

– У справі щодо «Житомир Інфо» за допомогою TOR-браузера сліди зловмисників ховаються далеко в мережі і віднайти їх практично неможливо. Раджу заздалегідь вибирати професійне обслуговування сайту і не економити на інтернет безпеці, – підсумував на завершення розмови правоохоронець.

Відтак, з упевненістю можна констатувати, що свобода слова в регіональних онлайн-медіа напряму залежить від приділеної редакціями уваги до належного захисту власних сайтів, який досі залишається недостатнім.

Тарас Боросовський, регіональний представник ІМІ в Житомирській області, для сайту “20 хвилин Житомир”

Матеріал підготовлено в рамках проекту «Мережа медіа-спостерігачів», який виконує ІМІ за підтримки Посольства США