Като специалист по информационна сигурност съм изумен от откритото при проверката в прословутата “система за случайно разпределение на делата” в съдилищата в България.
При положение колко изключително важно е тази система да работи без да може да бъде манипулирана, се оказа че при нея липсва едно от най-фундаменталните правила за защита: предотвратяване промяната на “дневника” на компютърната програма.
“Дневникът” (англ. “log”) е файла, където се записва кой, кога и за какво действие е използвал една програма.
От специализираната проверка се оказа, че дневникът е обикновен текстов файл. В него в явен вид са записани извършваните от програмата действия. Такъв файл може да се редактира с обикновен текстов редактор като Notepad (Windows). Това позволява да се променят или премахнат определени редове с цел заличаване следи от злоупотреба, без да може да се установи какво е имало оригинално във файла и без възможност той да бъде възстановен.
От липсата на въображение в името на системата – “Law choice” – с голяма степен на сигурност може да предположим, че е правена в България. Дали е имали обществена поръчка за нея? И да е имало, явно е била избрана някоя супер-неизвестна форма в последния момент преди крайния срок. Фирмата на някой “наш човек”. Защото не мога да си обясня иначе такава груба грешка в елементарна защита на “дневника”.
Подобна защита е възможна и лесноосъществима много отдавна. Ето няколко начина:
- Файлът на “дневника” се “шифрова” с ключ, вкаран в програмния код; така дори системен администратор да има достъп до файловете му, не може да разбере какво има вътре в дневника, нито да промени нещо.
Недостатък е, че системния администратор може да изтрие целия дневник и с това да обезсмисли защитата. Но все пак остават следи, че нещо не е наред. - По-добрият вариант: всяко действие на програмата се дублира в дневник (пак шифриран) на отдалечен компютър в мрежата. Този компютър е администриран от други специалисти. По този начин се намалява вероятността дневника да бъде изтрит умишлено – ще е нужно да бъдат подкупени цели двама системни администратори. Ще е още о-трудно ако всеки компютър принадлежи на различни отдели с различни началници.
- Най-професионално – но и най-скъпо – би било да се използва продукт за контрол на достъпа от типа на CA Access Control. С него дори системните администратори могат да бъдат ограничени в това какво могат да достъпват, както и се следят всички техни действия (а не само действията на програмата).
- Други контролни механизми могат да бъдат например системна администрация с поделена парола: 2-ма или 3-ма системни администратори, като всеки от тях знае само своята част от паролата. Недостатък тук е че са нужни всички администратори, за да се включи дори само един от тях и да извърши елементарни действия по системна администрация.
След като този елементарен механизъм против злоупотреби с изпълнението на случайния избор е налице, какви ли още пропуски има?
Не трябва да има илюзии, че една компютърна система може да бъде 100% защитена. Целта на информационната сигурност е практическа, а не теоретична. Целта е да има такива предпазни мерки, че нужните познания и оборудване за преодоляването й да са притежание на единици и да са много скъпи за използване. Това намалява неимоверно шансовете да бъде злоупотребено на практика.
Съдът не само трябва да изхвърли сегашната техническа система и програма за случаен избор на съдебни състави. Нещо много повече: по време на разработването на нова такава, трябва от самото начало главна роля да играе специалист по сигурност на информационните системи.
Само това може да гарантира в необходимата висока степен предотвратяване на такива груби, елементарни пропуски в защитата на системата.
Е то те трябва да искат системата да е защитена, ама те не искат 🙂
Аз не мисля, че специално “дневник”-файла някой съзнателно го е обмислил да го остави така незащитен.
В пракгтиката си на специалист го виждам често – но в системи, в има много по-малък риск по други причини, най-вече че пазените действия не са толкова значими и важни.
По-скоро някой некадърник се е упражнил в правене на комп.програма без да съобрази важността на сигурността й точно заради целите й.
Не е ли по-просто да timestamp-ваме log файла, използвайки някой от акредитираните от държавата “Доставчици на удостоверителни услуги”?
това, разбира се, е нещо, но е най-малкото
1) целта на потенцилания злосторник е да премахне редове от файла: какво му пука че ще бъде забелязано че е променян?
2) в най-лошия случай администратора може да изтрие файла (подкупен или под страх от заплаха) – пак няма да имаме ниакакъв начин да хванем злоупотребите
Криптиран файл с две копия – едното локално, другото – мрежово (на ниво всеки ред- запис в база данни) е минимума, нужен в слуачая, за да можем хем да предотвратим промяната, хем да гарантираме че файла ще се запази
Разбира се, аз бих препоръчал дори повече: въвеждане на поделен между няколко души passphrase, който защитава частния ключ, криптираш файла, по време на стартиране на програмата.
С такава защита става практически невъзможно да се злоупотреби с “дневника” – твърде много хора ще трябва да бъде подкупени или запалшени. Не че това е невъзможно – то всяка защита в крайна сметка винаги ипира до морала на някого, който има контрол над компютъра.
Нещата се оказаха много по-зле – цели два други начина за манипулиране на софтуера за разпределение на съдебните дела:
http://www.mediapool.bg/разпределението-на-съдебните-дела-може-да-се-манипулира-лесно-и-без-следи-news205738.html