От блоговете: Преди киберсигурността на останалите Министерството на транспорта да оправи своята (обновена)

От блоговете: Преди киберсигурността на останалите Министерството на транспорта да оправи своята (обновена)

© Kacper Pempel, Reuters



Публикуваме текста от блога на Красимир Гаджоков с неговия коментар за новите услуги за киберсигурност, които Министерството на транспорта, информационните технологии и съобщенията пусна в началото на седмицата. Обновена е с коментара на министерството по-долу.


Информационната сигурност ми е специалност. Макар и в чужбина, наблюдавам с интерес и се радвам на всяко усилие за по-голяма киберсигурност в България.


Вчера излезе новина за "нови електронни услуги в областта на киберсигурността", предоставени от Министерството на транспорта, информационните технологии и съобщенията (МТИТС).




Това ме накара да поразгледам сайта им. Бях удивен да открия, че самото министерство не прилага елементарни и дългогодишни мерки за киберсигурност на собствената си интернет страница.


Нарушен е дългогодишният стандарт: при въвеждане на пароли за включване ("логване") в сайтове, това да става по криптирана уеб връзка (httpS протокол) – с "катинарче" до името на сайта в браузъра.  


Не е ясно въобще до какво дава достъп страницата "Персонален достъп" – дали до някакви допълнителни услуги или документи, които са само за вътрешно ползване? Дали предоставяната след логване информация е предназначена само за служителите на институцията, или за граждани?


Липсата където и да е на сайта на обяснение как се създава акаунт говори, че по-скоро достъпа е до възможности и документи само за вътрешно ползване.


Ако е така, то има опасност хакери или дори любопитни аматьори могат да прихванат достъпа до чуствителна информация. Достатъчно е служител на министерството да се опита да се включи докато е свързан към интернет през публична или недобре защитена WiFi мрежа – името и паролата му за включване могат елементарно да бъдат записани от някой, включен на същата WiFi мрежа.


Но дори и да не предлага достъп до чуствителна по съдържание информация, страницата пак трябва да защитава изпращането на потребителско име и парола. Това е така, защото много хора използват една и съща парола за различни сайтове на интернет. В резултат от това, може паролата им за достъп до тяхна силно лична информация – като емейлите или банковата им сметка – да попадне у злосторници.
Някой ще възрази, че не е работа на министерството да се грижи за несигурните практики на другите хора. Напротив – точно тяхна работа е, след като точно те са натоварени с киберсигурността в държавата: в абсолютно всяка своя дейност, институцията трябва да демонстрира и да учи хората как да се пазят в електронните си комуникации.


Компрометирането на пароли, обаче, може да бъде извършено не само от хакери. Недобросъвестни вътрешни служители – администратори на системите и мрежите на институцията, или такива на интернет-провайдера й – също може да проявят неоторизиран интерес към паролите.


Горещо препоръчвам на МТИТС да криптира страницата за включване чрез httpS. И предварително предупреждавам да избягва сертификат от българските "оторизирани" доставчици на такива. Тези фирми не са си направили труда сертификатите им да се разпознават от браузърите. В резултат, на страници с техните сертификати доскоро излизаха плашещи предупреждения за посетителите – както се случи това 2013 г. на сайта на ЦИК (оправено скоро след това), и както години наред продължаваше на страниците за е-услуги на Търговския регистър и НАП (за радост – най-после оправено и там!).


И други потенциални проблеми със сигурността на сайта


Интересно също е и че въпросната страница за логване се открива само в страницата "Карта на сайта". Надявам се от министерството не са решили, че има някаква "сигурност" в простото скриване на тази страница - като не са сложили изрична връзка към нея на никоя друга страница. ("Карта на сайта" е обикновено създавана от автоматични програми и вероятно затова е обхванала и страницата за "Персонален достъп").


Втори потенциален проблем би могъл да е възможността за пряко достъп до списъка файлове в директорията http://www.mtitc.government.bg/upload/docs/ на сайта. Там откриваме хиляди файлове, някои от които може да не са предназначени за публичен достъп.


Друг отрицателен ефект от тази възможност е, че Гугъл продължава да намира документите там и да ги показва в търсене – докато много от тези документи може да са вече остарели. Това може да обърка доста хора, които разчитат да намерят само актуална информация при търсене в Гугъл  за документи в сайта на МТИТС.


(Бел. ред. - "Дневник" се свърза с министерството, като в рамките на 20 минути след сигнала, достъпът до въпросната папка беше ограничен. Малко по-късно от там заявиха, че в папката не е имало никаква вътрешна информация. Тя е била резервно копие с публичните документи на самия портал, което е било направено по време на миграцията на сайта на виртуален сървър.)


Трети проблем е показването софтуера и версията на уеб сървъра, както и на операционната му система. Това дава ценна информация на потенциалните хакери да стеснят атаките си към точно определени платформи и така увеличава многократно вероятността за успешен пробив. Показването на версията на софтуера дава информация дали е обновен, и ако не – до каква степен не е. Това може да се ползва за изключително прецизни атаки, базирани на знание какви пробойни има в конкретна версия на сървърния софтуер.


Крайно препоръчително е министерството да приложи най-високи стандарти към собствения си уебсайт, като го тества редовно и коригира своевременно откритите потенциални заплахи и проблеми.


Всичко, което трябва да знаете за:
Коментари (18)
  1. Подредба: Сортирай
  1. 1 Профил на palav_nik
    palav_nik
    Рейтинг: 2739 Весело

    Те в това министерство са все шафьори, та не е сигурно дали са разбрали за кво иде реч...

  2. 2 Профил на epoc
    epoc
    Рейтинг: 1391 Неутрално

    Ми от ИТ специалисти за по 500 лева заплата какво да се очаква?

    А господина знае ли как се купува истински сертификат в администрацията, където всяка счетоводителка е по-компетентна от всички ИТ-та в света взети заедно?

    И между другото повечето сайтове в администрацията са такива.

    А тази статия в момента е покана към хакерчетата да се юрнат да чупят сайта. Не че ще намерят нещо смислено там де.....

    Икономедия се превърна в трибуна на тролове ЗА и ПРОТИВ правителството. Очевидно е, че няма какво да се говори или коментира с такива драскачи....
  3. 3 Профил на epoc
    epoc
    Рейтинг: 1391 Неутрално

    До коментар [#1] от "palav_nik":

    Нямаш си на представа а какво още отговарят - и за печатането на пощенски марки даже.....

    Икономедия се превърна в трибуна на тролове ЗА и ПРОТИВ правителството. Очевидно е, че няма какво да се говори или коментира с такива драскачи....
  4. 4 Профил на zo
    zo
    Рейтинг: 691 Неутрално

    [quote#0:"Гаджоков"]И предварително предупреждавам да избягва сертификат от българските "оторизирани" доставчици на такива. Тези фирми не са си направили труда сертификатите им да се разпознават от браузърите. В резултат, на страници с техните сертификати доскоро излизаха плашещи предупреждения за посетителите[/quote]

    Същото се случва и при отваряне на част от страниците на самия Гаджков https://www.gadjokov.com/2013/11/30/p941/

    ITV: Saudi Arabia Uncovered https://www.youtube.com/watch?v=NLtLeK7YLGY
  5. 5 Профил на Красимир Гаджоков
    Красимир Гаджоков
    Рейтинг: 450 Неутрално

    До коментар [#4] от "zo":

    На моят сайт няма нужда да има разпонзаваем от бразуърите сертификат за криптиране и идентичност - защото на него се логвам само аз. Моят сайт не предлага пиблични услуги или въобще дори логване на други хора, освен самият мен, за да е проблем това.

    Различката е огромна - в случая с държавните сайтове, предлагащи публични услуги, неразпознаването на сертификата отблъсква грабжданите, плаши ги, създава съмнение че нещо не е наред. Така хем те не успяват да си свършат работа бързо , ефективно и дистанционно (вместо "да ходят на място", хем продължава съществуването на администрация да обслужва заради този проблем.

    http://www.gadjokov.com
  6. 6 Профил на Красимир Гаджоков
    Красимир Гаджоков
    Рейтинг: 450 Неутрално

    До коментар [#4] от "zo":

    Да добавя и още: никому не е нужно да чете публикациите на моя сайт през криптирана връзка (httpS) при положение , че те са налични и в некриптирана връзка (http). В моите публикации няма чуствителна информация, която посетителя трябва да изпрати към мен, за да трябва аз да я защитавам с криптиране.

    http://www.gadjokov.com
  7. 7 Профил на Izida
    Izida
    Рейтинг: 549 Неутрално

    До коментар [#4] от "zo":

    Коментара за сайта на Красимир прави ли по-правилна употребата на сертификатите от Министерството на транспорта? А и сравнявате личен сайт със сайт на държавна институция.

  8. 8 Профил на kombainera
    kombainera
    Рейтинг: 229 Неутрално

    То да беше само МТИТС. НАвсякъде сайтовете на дъравните институции нямат хттпс по подразбиране, а някои изобщо нямат. става дума за сайтове, където се публикуват ЕГН-та, номера на лични карти, имена... http://questona.com/registri-nekriptirana-vrazka/

  9. 9 Профил на Kalin
    Kalin
    Рейтинг: 506 Неутрално

    До коментар [#4] от "zo":

    не се сещам за добре обосновано предположение защо да се криптира връзката към личен блог/сайт, който не изисква регистрация от посетителите и не предлага услуги ...

    it comes from inside, just listen ...
  10. 10 Профил на Пърцуций
    Пърцуций
    Рейтинг: 226 Неутрално

    Вие пък сега, очаквате от държавни хрантутници (и работещите при тях) да разбират от PKI... Те са по даването на акъл за неща от които очевидно си нямат и понятие

  11. 11 Профил на zo
    zo
    Рейтинг: 691 Неутрално

    До коментар [#5] от "Красимир Гаджоков":

    [quote#6:"Красимир Гаджоков"]Да добавя и още: никому не е нужно да чете публикациите на моя сайт през криптирана връзка (httpS) при положение , че те са налични и в некриптирана връзка (http)[/quote]

    „плашещите“ съобщения са също толкова плашещи на един блог, колкото и на сайта на едно министерство.

    иначе, това дали някой има нужда да чете публикациите през https оставям на автора на блога да прецени, след като пуска https линкове в своите статии към други свои статии.

    отделно пък вече всичко върви съм https, читавите сайтове вече прехвърлят към https дори когато човек напише адреса в браузера изрично с http.

    [quote#7:"Izida"]Коментара за сайта на Красимир прави ли по-правилна употребата на сертификатите от Министерството на транспорта?[/quote]
    Това си е твоя логика, не моя.

    ITV: Saudi Arabia Uncovered https://www.youtube.com/watch?v=NLtLeK7YLGY
  12. 12 Профил на zo
    zo
    Рейтинг: 691 Неутрално

    [quote#11:"zo"] върви съм[/quote]
    *към

    ITV: Saudi Arabia Uncovered https://www.youtube.com/watch?v=NLtLeK7YLGY
  13. 13 Профил на zo
    zo
    Рейтинг: 691 Неутрално

    До коментар [#9] от "Kalin":

    ми така го е видял блогърът.

    отделно в гугъл можеш да търсиш и без да се логваш/регистрираш, но пък те препраща към https

    ITV: Saudi Arabia Uncovered https://www.youtube.com/watch?v=NLtLeK7YLGY
  14. 14 Профил на Калник
    Калник
    Рейтинг: 798 Неутрално

    До коментар [#5] от "Красимир Гаджоков":

    Въпреки че сте прав донякъде, използването на SSL е препоръчително при всички обстоятелства. Снабдяването с безпроблемен сертификат е лесно. От две години използвам услуга за безплатен сертификат от StartSSL, който се приема без забележки от браузърите.

  15. 15 Профил на Пърцуций
    Пърцуций
    Рейтинг: 226 Неутрално

    До коментар [#14] от "Калник":

    Няма връзка с контекста на статията и коментарите, но един съвет от мен: внимателно с всичко безплатно, когато става въпрос за сигурност. Те и Комодо раздават безплатни e-mail сертификати, но... те ти генерират частния ключ. И не е ясно на кого го дават. Всичко зависи от това кой ти е заплахата. Едно е да се пазиш от кради на кредитни карти, друго е от правителства. Методите са едни и същи, но мотивите, респективно "доставчиците на сикюрити услуга" - различни. Безплатен сертификат със сигурност те продава на някого. Самоподписан в определени случаи е дори за предпочитане, поради липсата на чужди фактори във веригата.

  16. 16 Профил на Калник
    Калник
    Рейтинг: 798 Неутрално

    До коментар [#15] от "Пърцуций":

    Правилна забележка. Мерси!

  17. 17 Профил на Красимир Гаджоков
    Красимир Гаджоков
    Рейтинг: 450 Неутрално

    До коментар [#11] от "zo":

    "иначе, това дали някой има нужда да чете публикациите през https оставям на автора на блога да прецени, след като пуска https линкове в своите статии към други свои статии"

    благодаря за забележката - сега разбирам защо въобще тръгнахте да коментарате, че моят блог нямал доверен сертификат за httpS: случайно в една *предишна* публикация съм сложил httpS в линк към моя публикация. Проверих първите 2 страници на блога - в 20 публикации имаше само този единствен сгрешен линк; поправих го

    радвам се че ви е било интересно да четете и други мои публикация

    и не разбрах за Гугъл - не виждам там да излизат резултати за моя блог с httpS връзки

    http://www.gadjokov.com
  18. 18 Профил на Krasimir Koev
    Krasimir Koev
    Рейтинг: 229 Неутрално

    Г-н Гаджоков - никой не е пророк в собствената си страна.Сигурно го знаете,щом сте живели в Бг.И най-вероятно ,това е най-малкия проблем свързан със сигурността.Както знаете,или се посъветвайте-няма нито закон,нито концепция за това какво понятие е Кибер война,кибер атака и други подобни нови изрази.Щом го няма писано на документи(хартия) - значи не съществува.Документа прави човека,предполагам и в Канада е така.За каква сигурност говорим?Тукашните специалисти отдавна са спрели да дрънкат камбаните - просто няма смисъл.Наистина.Няма смисъл! Отдавна правителствените сървъри са компроментирани и то най-интересните - НАП,МФ,МИ.Сървърите на някой банки ,там където са качени базите данни имат директен аксес към други държави.Има някакви писани правила копи'пейст от 27001 - но това е само профорома.Разбира се , има и добри специалисти - но такива по кибер отбрана в Бг няма,в Канада почти също липсват.Защо?Защото както беше писал някой по-горе при заплата от 500лв - какъв съвет,какви 5лв кибер защити... Може да се напише още доста по тази тема,но както знаете,никой тук не ни плаща за това.





За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK