Преди киберсигурността на останалите, Министерството на транспорта и информационните технологии да оправи своята

Internet Security. Laptop and safe lock.

(снимка: fotolia.com)

Информационната сигурност ми е специалност. Макар и в чужбина, наблюдавам с интерес и се радвам на всяко усилие за по-голяма киберсигурност в България.

Вчера излезе новина за „нови електронни услуги в областта на с киберсигурността„, предоставени от Министерството на транспорта, информационните технологии и съобщенията (МТИТС).

Това ме накара да поразгледам сайта им. Бях удивен да открия, че самото министерство не прилага елементарни и дългогодишни мерки за киберсигурност на собствената си интернет-страница.

Нарушен е дългогодишният стандарт: при въвеждане на пароли за включване („логване“) в сайтове, това да става по криптирана уеб връзка (httpS протокол) – с „катинарче“ до името на сайта в браузъра.  

Не е ясно въобще до какво дава достъп страницата „Персонален достъп“ – дали до някакви допълнителни услуги или документи, които са само за вътрешно ползване? Дали предоставяната след логване информация е предназначена само за служителите на институцията, или за граждани?

Липсата където и да е на сайта на обяснение как се създава акаунт говори, че по-скоро достъпа е до възможности и документи само за вътрешно ползване.

Ако е така, то има опасност хакери или дори любопитни аматьори могат да прихванат достъпа до чуствителна информация. Достатъчно е служител на министерството да се опита да се включи докато е свързан към интернет през публична или недобре защитена WiFi мрежа – името и паролата му за включване могат елементарно да бъдат записани от някой, включен на същата WiFi мрежа.

чети нататък

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

Открито писмо до Румяна Сидерова (и много други членове на ЦИК): да, трябва да си върнете дипломите на юристи

Г-жо Сидерова,

В станалото епохално заседание на ЦИК по повод включените в списъка застъпници без тяхно съгласие двама граждани, вие казвате следното (цитат):

„Откога разглеждаме жалба без подпис? Ние дипломите си на юристи ли трябва да върнем обратно? Няма документи, оформени като жалба, а и няма подпис. Ние започнахме лов на вещици“

Вие определено трябва да си хвърлите дипломата на юрист. Защото очевидно не сте запозната точно със закона, който сте упълномощена да прилагате като член на ЦИК – а именно, Изборният кодекс.

Там законодателят изрично е изброил какви атрибути трябва да съдържа жалбата (цитат):

чл.26 (10) В жалбата се посочва решението, което се обжалва, основанието, имената и адресът на жалбоподателя и телефон, факс или електронен адрес за призоваване.

Да виждате някъде изискване за подпис? Или атрибут, който да липсва в емейлите от жалбоподателите?

Законодателят неслучайно не е изискал изрично подпис, точно защото подаването на много видове документи в България отдавна става – и се приема – по електронен път. Неслучайно е и упоменато изрично изискване на електронен адрес.

В Австралия и Великобритания съдът приема за редовно призоваването по Фейсбук и Туитър.

А Вие – заедно с още няколко членове на ЦИК – явно живеете в свят на необосновани подозрения и теории на конспирацията.

Ето защо трябва да си върнете дипломите за юристи, както и да подадете оставка от ЦИК и никога повече да не заемате обществена длъжност:

чети нататък

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

ЦИК можеше да защити много повече тайната на подкрепилите партиите

(публикувана в „Дневник„)

Смятам въведената от ЦИК електронна проверка на подписите за подкрепа на партии като идея, като цяло, за безспорно изключително общественополезна.

И не от няколко дни насам – откогато стана ясно, че има злоупотреби с подписи. Като участник в множество организации на българите в чужбина, от години настояваме за улесняване както на подаването на заявления за гласуване в чужбина, така и за електронна възможност на проверка подкрепата за партии.

Но това не оправдава ЦИК за конкретния начин на реализация на системата.
Като специалист по информационна сигурност се занимавам всеки ден със задачата за защита на личните данни. Абсолютна защита няма – има баланс между степента на защита и цената на реализиране на този баланс. Но в този конкретен случай – не само тези фактори, а и важният елемент на обществена полза.

Какво можеше да направи ЦИК за да е много по-добре защитена тайната на подписалите се:

чети нататък

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

Google: не посещавайте сайта на Министерството на правосъдието на България, може да е хакнат

Занимавайки се с въпрос за прозрачността на неправителствени организации (покрай което открих друга огромна безотговорна небрежност на Министерството на правосъдието – но за нея ще публикувам специално по-нататък), бях шокиран при търсене в Google да видя следното предупреждение:

min-pravosydie-may-be-hacked

 

Според пояснеието на Google защо излиза такъв надпис : „Хакерите често променят съществуващи страници или добавят техен собствен спам. Например, посетители на сайта може да бъдат пренасочени към спам или опасен компютърен софтуер. Препоръчваме ви да не посещавате този уебсайт докато това предупреждение бъде премахнато в резултатите за търсене в Google. Ако познавате собственика на сайта, моля известете го за ситуацията„.

Е, познаваме „собственика“. И го известяваме: изпращам им тази публикация до емейлите на приемната и ПР-отдела им (други електронни контакти с тях не може да бъдат установени).

Да видим колко месеца ще им отнеме да намерят и решат проблема. Предният път им отне месеци да подкарат тотално неработещото търсене в изключително важния Централен регистър на юридическите лица с нестопанска цел за обществено полезна дейност.

Ако правителството не може да оперира безопасно за гражданите най-елементарни уебсайтове, за какво електронно правителство ни заблуждава въобще?

Още мои публикации с примери за елементарна правителствена безотговорност в интернет-технологиите:

 

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

С 98 потенциални пробойни, сайта на МВнР е точно обратното на „сигурността гарантирана“

Според публикация в Дневник от днес, „китайски хакери са пробили мрежата на външно министерство“.

Нашето Външно, обаче, и то като цялото ни правителство – отрича действителността с предварително приготвени общи лъжи от типа „Сигурността на защита на информацията е гарантирана“ (цитат за отговора от МВнР до Дневник).

Ето каква е действителността, обаче – в резултат от елементарно безплатно сканиране сигурността на сайта на МВнР. Такъв тест всеки може сам да направи за около 20 минути.

Резултатите показват 98 потенциални пробойни към момента, с различна степен на заплаха. Някои са по-скоро проблем за сигурността на посещаващите сайта на МВнР, отколкото самото министерство.

Но неимоверно големият им брой и наличието на такива с най-висока степен на заплаха говорят за непростима елементарна небрежност от страна на отговорните за сигурността в МВнР. А това със сигурност не са просто ИТ-специалистите им, а ръководителите. Те не са им поставили задача да проверяват редовно сигурността, както и не са подсигурили нужното обучение и ниво на обръщане на внимание.

Дори любителски сайт като този мой блог е с много по-малко и с по-ниска степен опасности в областта на сигурността.

mvnr-vulns

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

Категорично против „електронна анкета“ за промени в Изборния кодекс

(във връзка с тази публикация)

Уважаема Г-жо Манолова,

Обръщам се към Вас с настояване в никакъв случай да не допускате анонимна електронна анкета, която да решава какво да се променя в избирателния ни закон.

Като дългогодишен специалист по интернет системи и специално информационна сигурност, мога да ви уверя че такива анкети обикновено се правят крайно несериозно и неиздържано. Нещо повече – те са много лесно манипулируеми от недоброжелатели или хакери. Така, резултатът им няма да отразява в никакъв случай желанието на активните граждани.

Допълнително, недопустимо е да оставяме в ръцете на анонимни решения от такава важност. Който иска да участва в решенията за промяната на страната ни, трябва да застане зад името си с позицията си.

Ако желаете, насреща съм за пояснения по позицията ми, както на техническо, така и на обществено ниво.

~~~~~~~~~~~~~~~~~~~~~
Красимир Гаджоков – www.gadjokov.com
инженер по компютърни технологии
архитект по информационна сигурност
Инициатива „Искаме да гласуваме!“ – www.IskameDaGlasuvame.com
сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

ГЕРБ уебсайта си не могат да поддържат на линия – какво електронно правителство чакахме от тях?

Интернет-сайтът на партия ГЕРБ – www.gerb.bg – в продължение на вече повече от 16 часа е недостъпен.

I/O Error: Unable to contact target server www.gerb.bg:80 after 3 tries.

След като един елементарен уебсайт не могат да поддържат да работи, за какво електронно правителство ни говорят?

Тоталният провал на българската държавна администрация да улесни гражданите е безспорен.

Сайт за кандидатстване в детски градини, със солена цена от 400 000 лева, се срина минути след пускането му по времето на кметуването на Бойко Борисов.

Съдебните решения на българските съдилища – макар да са публично достъпни на сайтовете им – не могат да бъдат търсени в Гугъл заради безумна недомислица в техническия начин за представянето им на Интернет.

Регистри на съдилища и други институции стоят с месеци неработещи. Пример е регистъра на юридическите лица с нестопанска цел към министерството на правосъдието, който „откара“ няколко месеца миналата година със съобщение за грешка (на стария си адрес – сега има нов, който работи).

Неколкократни сривове за сериозни периоди от време достигнаха и такива изключително важни за икономиката и функционирането на правовата държава като сайтът на Агенцията по вписванията.

Същата институция иска пари за справка за собственост на имот. Уж само дребни стотинки, 0.40 лв. Но за да получите справка веднага, трябва да платите минимум 2.50 лв минимум (включва такса за електронно плащане). В свестните, развити страни тези справки са безплатни.

Друга върховна глупост, за която правителството на ГЕРБ плати 30 000 лв, беше смешният уебсайт от 10-15 странички на 3 езика, който да „съветва“ чужденците по въпросите за покупко-продажба на имоти в България. Освен безсмисленото съдържание – на практика „copy/paste“ на закони, постановления и наредби, без грам пояснения – имаше и обещание за електронна услуга. От 5 декември 2012 сайтът трябваше да праща SMS при промяна в собствеността на имот.

Когато попитах изпълнителите как смятат да правят това – при положение, че няма откъде да знаят мобилните телефони на собствениците на имотите – не получих никакъв отговор.
Същото гузно мълчание получих в отговор и когато ги питах дали услугата е пусната след широко рекламирания срок 5 декември.

Да не говорим за сайтовете, които за по-голяма сигурност на личните и фирмени данни, които се предават по Интернет, са настроени да ги кодират … но всъщност отблъскват гражданите с предупреждения точно за обратното: „не се доверявайте на този сайт“. Тук се нареждат:

  • Националната Агенция за Приходите ( https://inetdec.nra.bg ) – явно съвсем наскоро поправен, но години наред плашещ потенциалните си потребители с предупреждение че сигурността му не е наред;
  • Търговският регистър (от ляво, изберете “Електронни услуги”)
  • Съвсем пресен пример: страницата на ЦИК за електронно подаване на заявления за гласуване в чужбина, която престоя повече от 24 часа с подобно плашещо предупреждение.

Не за всички проблеми с електронното правителство причина са ГЕРБ, разбира се.

Но твърде многото провали и липса на резултати, в сравнение с многомилионните похарчени суми, се случиха именно при тяхното управление.

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

НЕслучайна система за НЕслучайно разпределение на съдебни дела

Като специалист по информационна сигурност съм изумен от откритото при проверката в прословутата „система за случайно разпределение на делата“ в съдилищата в България.

При положение колко изключително важно е тази система да работи без да може да бъде манипулирана, се оказа че при нея липсва едно от най-фундаменталните правила за защита:  предотвратяване промяната на „дневника“ на компютърната програма.

„Дневникът“ (англ. „log“)  е файла, където се записва кой, кога и за какво действие е използвал една програма.

От специализираната проверка се оказа, че дневникът е обикновен текстов файл. В него в явен вид са записани извършваните от програмата действия. Такъв файл може да се редактира с обикновен текстов редактор като Notepad (Windows). Това позволява да се променят или премахнат определени редове с цел заличаване следи от злоупотреба, без да може да се установи какво е имало оригинално във файла и без възможност той да бъде възстановен.

От липсата на въображение в името на системата – „Law choice“ – с голяма степен на сигурност може да предположим, че е правена в България. Дали е имали обществена поръчка за нея? И да е имало, явно е била избрана някоя супер-неизвестна форма в последния момент преди крайния срок. Фирмата на някой „наш човек“. Защото не мога да си обясня иначе такава груба грешка в елементарна защита на „дневника“.

Подобна защита е възможна и лесноосъществима много отдавна. Ето няколко начина:

  • Файлът на „дневника“ се „шифрова“ с ключ, вкаран в програмния код; така дори системен администратор да има достъп до файловете му, не може да разбере какво има вътре в дневника, нито да промени нещо.
    Недостатък е, че системния администратор може да изтрие целия дневник и с това да обезсмисли защитата. Но все пак остават следи, че нещо не е наред.
  • По-добрият вариант: всяко действие на програмата се дублира в дневник (пак шифриран) на отдалечен компютър в мрежата. Този компютър е администриран от други специалисти. По този начин се намалява вероятността дневника да бъде изтрит умишлено – ще е нужно да бъдат подкупени цели двама системни администратори. Ще е още о-трудно ако всеки компютър принадлежи на различни отдели с различни началници.
  • Най-професионално – но и най-скъпо – би било да се използва продукт за контрол на достъпа от типа на CA Access Control. С него дори системните администратори могат да бъдат ограничени в това какво могат да достъпват, както и се следят всички техни действия (а не само действията на програмата).
  • Други контролни механизми могат да бъдат например системна администрация с поделена парола: 2-ма или 3-ма системни администратори, като всеки от тях знае само своята част от паролата. Недостатък тук е че са нужни всички администратори, за да се включи дори само един от тях и да извърши елементарни действия по системна администрация.

След като този елементарен механизъм против злоупотреби с изпълнението на случайния избор е налице, какви ли още пропуски има?

Не трябва да има илюзии, че една компютърна система може да бъде 100% защитена. Целта на информационната сигурност е практическа, а не теоретична. Целта е да има такива предпазни мерки, че нужните познания и оборудване за преодоляването й да са притежание на единици и да са много скъпи за използване. Това намалява неимоверно шансовете да бъде злоупотребено на практика.

Съдът не само трябва да изхвърли сегашната техническа система и програма за случаен избор на съдебни състави. Нещо много повече: по време на разработването на нова такава, трябва от самото начало главна роля да играе специалист по сигурност на информационните системи.

Само това може да гарантира в необходимата висока степен предотвратяване на такива груби, елементарни пропуски в защитата на системата.

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

Поредният безсмислен уебсайт на българското „електронно правителство“

Второто десетилетие на 21-ви век. Поне 15 години от масовото навлизане на интернет. В България държавата все още прави безсмислени уебсайтове, които обявява за „електронна услуга“.

Такъв е случай с обявеният днес сайт за „имотните измами“ – www.property-in-bulgaria.bg.

Секцията му за „имотни измами“ е нищожна част. Но всички медийни заглавия обявиха едва ли не сайта за точно с такава цел. Дали от незнание на държавните служители, натоварени да съобщят на медиите, или защото журналистите намират всички други негови части за скучни и непредизвикващи новина.

Но по-големият проблем, е че този сайт не предлага никаква електронна услуга. Страниците му се състоят от сух, скучен, трудно четим текст. И как няма да е така, след като съдържанието му е леко редктиран „copy/paste“ („копиран и вмъкнат“) текст от неразбираемият за обикновените граждани юридически език.

Безкрайни цитирания на членове на други закони – но без най-елементарното и съставляващо основата на интернет: препратки („линкове“) към въпросните външни страници.

чети нататък

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather

Електронното правителство: възможно не само с електронен подпис

Редовно се „възпламенява“ разговора за електронното правителство – както от премиера, така и от президента. Но пак недоизказано и недоразбрано.

Нужно е всеки гражданин и бизнес да може на разбираем език да научи какви са ползите и възможностите на електронното правителство.

Каква е ползата?

Е-правителството има за цел да улесни максимално живота на гражданите в общуването им с държавата. Целта е да се намалят драстично времето и средствата, нужни за за изпълнение на държавни услуги.

Най-голямата полза от него е дистанционността и бързината – човек няма нужда да виси с часове (или дори дни) в държавни институции, за да получи услуга от тях. Вместо това, услугата се извършва автоматично от правителствен уеб-сайт за секунди или минути.

Електронна услуга не е същото като електронен подпис 

Това, което българското правителство (не само сегашното) или не знае, или не може да разбере, е че много държавни електронни услуги могат да бъдат предоставяни не само с електронен подпис.

Електронният подпис е нужен само когато според закона и според логиката на услугата е нужна висока достоверност на самоличността. Има, обаче, огромно мнозинство полезни услуги, които могат да се предоставят електронно без нужда от доказване самоличността. Такива, например, са всички видове формуляри на държавни институции.

Но ако все пак е нужен електронен подпис …

За да бъдат ползвани повечето от услугите на българското е-правителство към днешния момент е нужен електронен подпис. След като години наред цените на такъв подпис бяха практически непосилни за масовия гражданин, той  вече се предлага на поносимата цена от само 20 лв на година за физическо лице. Допълнително – но еднократно – се заплащат около 25 лв за четец на смарт-картата, или USB-устройство формат „флашка“ със смарт-чип в него, на които се пази е-подписа.

Издатели на електронен подпис – като Банксервиз, например – имат клонове не само във всеки областен град, но и в много по-малки населени места. Това прави придобиването на е-подпис изключително достъпно.

За да си издадете електронен подпис, попълвате заявка на сайта на някой от упълномощените издатели. След това посещавате някой от офисите на издателя и след идентификация по личен документ от негов служител – задължителна за издаване на толкова висока степен на идентификация – получавате смарт-карта (или. Вътре в него е вграден вашият електронен подпис.

Електронният подпис е много по-сигурен от ръчния

чети нататък

сподели в Facebooktwittergoogle_plusmailby feather следвай в Facebooktwitterrssby feather