© Kacper Pempel, Reuters
Публикуваме текста от блога на Красимир Гаджоков с неговия коментар за новите услуги за киберсигурност, които Министерството на транспорта, информационните технологии и съобщенията пусна в началото на седмицата. Обновена е с коментара на министерството по-долу.
Информационната сигурност ми е специалност. Макар и в чужбина, наблюдавам с интерес и се радвам на всяко усилие за по-голяма киберсигурност в България.
Вчера излезе новина за "нови електронни услуги в областта на киберсигурността", предоставени от Министерството на транспорта, информационните технологии и съобщенията (МТИТС).
Това ме накара да поразгледам сайта им. Бях удивен да открия, че самото министерство не прилага елементарни и дългогодишни мерки за киберсигурност на собствената си интернет страница.
Нарушен е дългогодишният стандарт: при въвеждане на пароли за включване ("логване") в сайтове, това да става по криптирана уеб връзка (httpS протокол) – с "катинарче" до името на сайта в браузъра.
Не е ясно въобще до какво дава достъп страницата "Персонален достъп" – дали до някакви допълнителни услуги или документи, които са само за вътрешно ползване? Дали предоставяната след логване информация е предназначена само за служителите на институцията, или за граждани?
Липсата където и да е на сайта на обяснение как се създава акаунт говори, че по-скоро достъпа е до възможности и документи само за вътрешно ползване.
Ако е така, то има опасност хакери или дори любопитни аматьори могат да прихванат достъпа до чуствителна информация. Достатъчно е служител на министерството да се опита да се включи докато е свързан към интернет през публична или недобре защитена WiFi мрежа – името и паролата му за включване могат елементарно да бъдат записани от някой, включен на същата WiFi мрежа.
Но дори и да не предлага достъп до чуствителна по съдържание информация, страницата пак трябва да защитава изпращането на потребителско име и парола. Това е така, защото много хора използват една и съща парола за различни сайтове на интернет. В резултат от това, може паролата им за достъп до тяхна силно лична информация – като емейлите или банковата им сметка – да попадне у злосторници.
Някой ще възрази, че не е работа на министерството да се грижи за несигурните практики на другите хора. Напротив – точно тяхна работа е, след като точно те са натоварени с киберсигурността в държавата: в абсолютно всяка своя дейност, институцията трябва да демонстрира и да учи хората как да се пазят в електронните си комуникации.
Компрометирането на пароли, обаче, може да бъде извършено не само от хакери. Недобросъвестни вътрешни служители – администратори на системите и мрежите на институцията, или такива на интернет-провайдера й – също може да проявят неоторизиран интерес към паролите.
Горещо препоръчвам на МТИТС да криптира страницата за включване чрез httpS. И предварително предупреждавам да избягва сертификат от българските "оторизирани" доставчици на такива. Тези фирми не са си направили труда сертификатите им да се разпознават от браузърите. В резултат, на страници с техните сертификати доскоро излизаха плашещи предупреждения за посетителите – както се случи това 2013 г. на сайта на ЦИК (оправено скоро след това), и както години наред продължаваше на страниците за е-услуги на Търговския регистър и НАП (за радост – най-после оправено и там!).
И други потенциални проблеми със сигурността на сайта
Интересно също е и че въпросната страница за логване се открива само в страницата "Карта на сайта". Надявам се от министерството не са решили, че има някаква "сигурност" в простото скриване на тази страница - като не са сложили изрична връзка към нея на никоя друга страница. ("Карта на сайта" е обикновено създавана от автоматични програми и вероятно затова е обхванала и страницата за "Персонален достъп").
Втори потенциален проблем би могъл да е възможността за пряко достъп до списъка файлове в директорията http://www.mtitc.government.bg/upload/docs/ на сайта. Там откриваме хиляди файлове, някои от които може да не са предназначени за публичен достъп.
Друг отрицателен ефект от тази възможност е, че Гугъл продължава да намира документите там и да ги показва в търсене – докато много от тези документи може да са вече остарели. Това може да обърка доста хора, които разчитат да намерят само актуална информация при търсене в Гугъл за документи в сайта на МТИТС.
(Бел. ред. - "Дневник" се свърза с министерството, като в рамките на 20 минути след сигнала, достъпът до въпросната папка беше ограничен. Малко по-късно от там заявиха, че в папката не е имало никаква вътрешна информация. Тя е била резервно копие с публичните документи на самия портал, което е било направено по време на миграцията на сайта на виртуален сървър.)
Трети проблем е показването софтуера и версията на уеб сървъра, както и на операционната му система. Това дава ценна информация на потенциалните хакери да стеснят атаките си към точно определени платформи и така увеличава многократно вероятността за успешен пробив. Показването на версията на софтуера дава информация дали е обновен, и ако не – до каква степен не е. Това може да се ползва за изключително прецизни атаки, базирани на знание какви пробойни има в конкретна версия на сървърния софтуер.
Крайно препоръчително е министерството да приложи най-високи стандарти към собствения си уебсайт, като го тества редовно и коригира своевременно откритите потенциални заплахи и проблеми.
