suns
system network data news bugtraq
sexy unix security project
news > Gudeli - belašos! (3) 20.03.2008 13:51
Vakar TVNet parādījās necilvēcisks raksts ar e-lietu ministres Inas Gudeles komentāriem par to, kā ļaunie hakeri kārtējo reizi uzlauza Iekšlietu ministrijas mājaslapu.
Un kārtējo reizi Gudeles kundzei uzskatāmi izdevās nodemonstrēt savu nekompetenci, precīzāk: "Šajā konkrētajā gadījumā tā vistiešākajā veidā bija cilvēciskā nolaidība, jo, pēc manā rīcībā esošās informācijas, tā persona, pirms uzlauza šo mājaslapu publiski... To pat īsti nevajadzēja uzlauzt... Mājaslapas administratoram uzlauzējs bija nosūtījis brīdinājumu nedēļu iepriekš, norādot uz lapas nepilnībām, un pat aizsūtīja metodoloģiju, kā šo nepilnību novērst... Mājaslapas administrators nereaģēja, un tas bija tāds protesta sauciens no konkrētās personas puses," teica ministre. Ak tu šausmas, ak tu Dievs! Kas par nelieti!

Tostarp, būtiski ir pievērst uzmanību faktam, ka IeM mājaslapa samērā īsā laika posmā tiek uzlauzta jau otro reizi. Notikumu hronoloģija ir sekojoša:
05.10.2007 (T0): naktī no ceturtdienas uz piektdienu kāds uzlauž IeM lapu. Tajā pašā vakarā es nosūtu iesaistītajām valsts iestādēm un DDIRV epastus par atklātajām ievainojamībām. Īsi pēc tam arī Ekonomikas policijai.
12.10.2007 (T+7d): tiek publicēts raksts par atklātajām ievainojamībām. Jāatzīmē, ka uz to brīdi IeM mājaslapā atklātie drošības caurumi jau ir novērsti.
17.03.2008 (T+5m5d): atkal tiek uzlauzta IeM mājaslapa.
18.03.2008 (T+5m6d): Gudele is in the house! Ministre ir pamodusies no ziemas miega, kurā viņa šogad, acīmredzot, iegrima mazliet agrāk, nekā citus gadus.

Nedēļa? Pēc maniem aprēķiniem starp manu vēstuli par ievainojamībām (pa vienai SQL injekcijai un XSS) un otro IeM lapas uzlaušanu ir pagājuši pieci mēneši un sešas dienas.

Kas attiecas uz konkrētajām ievainojamībām, pārbaudīju sevis iepriekš atrastās ievainojamības un, man par pārsteigumu, tās atkal darbojās. Izskatās, ka Tikls.net administratori būs pārcentušies un no rezerves kopijām atjaunojuši vecu mājaslapas versiju, kurā bija norādītās ievainojamības. Lai arī nedz pirmo, nedz otro reizi neredzēju uzlauztās IeM mājaslapas (izņemot pāris bildes), neņemos apgalvot, bet, manuprāt, abas reizes ir izmantota viena un tā pati ievainojamība.

Vēl TVNet rakstā ievērības cienīgs ir šis teikums: "...teica ministre, uzsverot, ka notikušais tomēr ir krimināli sodāms un atbildīgā persona, iespējams, saņems sodu."

Lai arī nav īsti skaidrs, kuru ministre uzskata par atbildīgo - "hakeri" vai lapas "cilvēciskos uzturētājus" (atkal jautājums - hostētājus vai izstrādātājus? Šajā gadījumā abi ir Tikls.net), tomēr intuīcija liek noprast, ka ir runa par "hakeri". Tālāk citēju krimināllikumu:

245.pants. Informācijas sistēmas drošības noteikumu pārkāpšana
Par saskaņā ar informācijas režīmu vai tās aizsardzību izstrādātu informācijas glabāšanas un apstrādes noteikumu vai citu informācijas datorsistēmas drošības noteikumu pārkāpšanu, ko izdarījusi persona, kura ir atbildīga par šo noteikumu ievērošanu, ja tas bijis par iemeslu informācijas nolaupīšanai, iznīcināšanai vai bojāšanai vai ja ar to radīts cits būtisks kaitējums,
soda ar brīvības atņemšanu uz laiku līdz diviem gadiem vai ar piespiedu darbu, vai ar naudas sodu līdz četrdesmit minimālajām mēnešalgām.

Vai kaut kas ir nolaupīts? Varbūt iznīcināts vai sabojāts? Vai ir radīts būtisks kaitējums? E-lietu ministrei tik daudz tomēr būtu jāzina.

Vēl ministrei pietiek bezkaunības padižoties: "E-lietu ministre arī skaidroja, ka lielā daļā valstu nav izstrādāts rīcības plāns, kā rīkoties nopietna kiberuzbrukuma gadījumā. Latvijā patlaban darba grupa šādu plānu jau izstrādājusi."

Skan jau skaisti, bet, lai arī pagājis gandrīz pus gads kopš mana raksta par valsts iestāžu mājaslapu drošības problēmām publicēšanas, drošības problēmas joprojām nav novērstas sekojošu valsts iestāžu mājaslapās:
Iekšlietu ministrija
Satversmes tiesa
Pārtikas un veterinārais dienests
Iepirkumu uzraudzības birojs (novērsa tikai XSS ievainojamība, SQL injekcija joprojām darbojas)
Sociālās integrācijas centrs
Valsts vienotā datorizētā zemesgrāmata
Valsts proves uzraudzības komisija
Lauksaimniecības datu centrs
Bīstamo atkritumu pārvaldības valsts aģentūra
Jaunie trīs brāļi
Valsts administrācijas skola

Tās ir 11 no 23 iestādēm, kuru ievainojamības publicēju rakstā. Secinājumus izdariet paši.
/ petruha - http://petruha.bsd.lv/ /
comments
someone <someone(at)somewhere.com>:
Hmm, kopumā viss ir pareizi. Taču nav jāazmirst sekojošais, tauta, kas tur strādā (admini, tehniskie darbinieki) ir pasīvi un nav jau brīnums, ņemot vērā, kādu "bjurokrātijas" ceļu jāiziet, lai kaut ko ievest vai mainīt. Otrs iemesls: algas. Tās nu stabili neieveš nekādu vēlmi darboties un celt savas zināšanas un tā tālāk.
Taču nepiekritīšu par 245. pantu. Šajā gadījumā tiek nodarīts būtisks kaitējums - tiek sabojāts IeM tēls, reputācija un imidžs.
petruha:
someone, nevar sabojāt to, kā nav. Kas attiecās uz motivāciju, algām un "birokrātiju", arī atļaušos nepiekrist. Galu galā te bija iesaistīts arī DDIRV, kurš ir uzņēmies uz sevi funkciju risināt šādas problēmas. Ja neapmierina algas, varbūt nemaz nevajadzēja ķerties klāt?

Starpcitu, no kurienes radies šis mīts, ka valsts iestādēs ir tik sliktas algas? Cik līdz šim esmu dzirdējis, tad tur pat pēdējam cirvim (kurš praktiski tur atsēž darbalaiku) maksā diezgan nesliktu algu, kur nu vēl kādam, kas ticis priekšnieka amatā. + sociālās garantijas, prēmijas, 13. alga u.c. "sīkumi", par kuriem privātie bieži vien pavisam aizmirst.
someone:
Mīts par algām, zinu iz pieredzes un ir daudz tuvo draugu, kas strādā tai pat IeM un citās valsts organizācijas. Privātsfēras par to maksā sākot ar 1.5 reizes vairāk. Labi par priekšniecību nerunāsim - tiem i labas algas. Ja tevi intresē konkrēti cipari - varu privāti iedot tarifu sarakstu vai arī pats aizej uz intervijām un pamēģini kandidēt uz kādu no vakancēm.
Kas attiecās uz DDIRV - par viņiem es runāt negribu. Nu, nav tur IT cilvēku un drošībnieku vēl jo vairāk.
A par reputāciju - tiesai šāds arguments domāju neliksies pat par argumentu. Anyway "был бы человек, а статья найдется".
add comment*
author:
email:
piecpadsmit:
comment:


* ja iztiksi bez spama, offtopika un muljkjiibaam, iespeejams, ka tavs koments netiks izdzeests.
« back

valid xhtmlvalid css