Преди киберсигурността на останалите, Министерството на транспорта и информационните технологии да оправи своята

Internet Security. Laptop and safe lock.

(снимка: fotolia.com)

Информационната сигурност ми е специалност. Макар и в чужбина, наблюдавам с интерес и се радвам на всяко усилие за по-голяма киберсигурност в България.

Вчера излезе новина за „нови електронни услуги в областта на с киберсигурността„, предоставени от Министерството на транспорта, информационните технологии и съобщенията (МТИТС).

Това ме накара да поразгледам сайта им. Бях удивен да открия, че самото министерство не прилага елементарни и дългогодишни мерки за киберсигурност на собствената си интернет-страница.

Нарушен е дългогодишният стандарт: при въвеждане на пароли за включване („логване“) в сайтове, това да става по криптирана уеб връзка (httpS протокол) – с „катинарче“ до името на сайта в браузъра.  

Не е ясно въобще до какво дава достъп страницата „Персонален достъп“ – дали до някакви допълнителни услуги или документи, които са само за вътрешно ползване? Дали предоставяната след логване информация е предназначена само за служителите на институцията, или за граждани?

Липсата където и да е на сайта на обяснение как се създава акаунт говори, че по-скоро достъпа е до възможности и документи само за вътрешно ползване.

Ако е така, то има опасност хакери или дори любопитни аматьори могат да прихванат достъпа до чуствителна информация. Достатъчно е служител на министерството да се опита да се включи докато е свързан към интернет през публична или недобре защитена WiFi мрежа – името и паролата му за включване могат елементарно да бъдат записани от някой, включен на същата WiFi мрежа.

Но дори и да не предлага достъп до чуствителна по съдържание информация, страницата пак трябва да защитава изпращането на потребителско име и парола. Това е така, защото много хора използват една и съща парола за различни сайтове на интернет. В резултат от това, може паролата им за достъп до тяхна силно лична информация – като емейлите или банковата им сметка – да попадне у злосторници.
Някой ще възрази, че не е работа на министерството да се грижи за несигурните практики на другите хора. Напротив – точно тяхна работа е, след като точно те са натоварени с киберсигурността в държавата: в абсолютно всяка своя дейност, институцията трябва да демонстрира и да учи хората как да се пазят в електронните си комуникации.

Компрометирането на пароли, обаче, може да бъде извършено не само от хакери. Недобросъвестни вътрешни служители – администратори на системите и мрежите на институцията, или такива на интернет-провайдера й – също може да проявят неоторизиран интерес към паролите.

Горещо препоръчвам на МТИТС да криптира страницата за включване чрез httpS. И предварително предупреждавам да избягва сертификат от българските „оторизирани“ доставчици на такива. Тези фирми не са си направили труда сертификатите им да се разпознават от браузърите. В резултат, на страници с техните сертификати доскоро излизаха плашещи предупреждения за посетителите – както се случи това 2013 г. на сайта на ЦИК (оправено скоро след това), и както години наред продължаваше на страниците за е-услуги на Търговския регистър и НАП (за радост – най-после оправено и там!).

И други потенциални проблеми със сигурността на сайта

Интересно също е и че въпросната страница за логване се открива само в страницата „Карта на сайта“. Надявам се от министерството не са решили, че има някаква „сигурност“ в простото скриване на тази страница – като не са сложили изрична връзка към нея на никоя друга страница. („Карта на сайта“ е обикновено създавана от автоматични програми и вероятно затова е обхванала и страницата за „Персонален достъп“).

Втори потенциален проблем би могъл да е възможността за пряко достъп до списъка файлове в директорията http://www.mtitc.government.bg/upload/docs/ на сайта. Там откриваме хиляди файлове, някои от които може да не са предназначени за публичен достъп.
Друг отрицателен ефект от тази възможност е, че Гугъл продължава да намира документите там и да ги показва в търсене – докато много от тези документи може да са вече остарели. Това може да обърка доста хора, които разчитат да намерят само актуална информация при търсене в Гугъл  за документи в сайта на МТИТС.

Трети проблем е показването софтуера и версията на уеб сървъра, както и на операционната му система. Това дава ценна информация на потенциалните хакери да стеснят атаките си към точно определени платформи и така увеличава многократно вероятността за успешен пробив. Показването на версията на софтуера дава информация дали е обновен, и ако не – до каква степен не е. Това може да се ползва за изключително прецизни атаки, базирани на знание какви пробойни има в конкретна версия на сървърния софтуер.

Крайно препоръчително е министерството да приложи най-високи стандарти към собствения си уебсайт, като го тества редовно и коригира своевременно откритите потенциални заплахи и проблеми.

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

6 коментара на “Преди киберсигурността на останалите, Министерството на транспорта и информационните технологии да оправи своята

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *