НЕслучайна система за НЕслучайно разпределение на съдебни дела

Като специалист по информационна сигурност съм изумен от откритото при проверката в прословутата „система за случайно разпределение на делата“ в съдилищата в България.

При положение колко изключително важно е тази система да работи без да може да бъде манипулирана, се оказа че при нея липсва едно от най-фундаменталните правила за защита:  предотвратяване промяната на „дневника“ на компютърната програма.

„Дневникът“ (англ. „log“)  е файла, където се записва кой, кога и за какво действие е използвал една програма.

От специализираната проверка се оказа, че дневникът е обикновен текстов файл. В него в явен вид са записани извършваните от програмата действия. Такъв файл може да се редактира с обикновен текстов редактор като Notepad (Windows). Това позволява да се променят или премахнат определени редове с цел заличаване следи от злоупотреба, без да може да се установи какво е имало оригинално във файла и без възможност той да бъде възстановен.

От липсата на въображение в името на системата – „Law choice“ – с голяма степен на сигурност може да предположим, че е правена в България. Дали е имали обществена поръчка за нея? И да е имало, явно е била избрана някоя супер-неизвестна форма в последния момент преди крайния срок. Фирмата на някой „наш човек“. Защото не мога да си обясня иначе такава груба грешка в елементарна защита на „дневника“.

Подобна защита е възможна и лесноосъществима много отдавна. Ето няколко начина:

  • Файлът на „дневника“ се „шифрова“ с ключ, вкаран в програмния код; така дори системен администратор да има достъп до файловете му, не може да разбере какво има вътре в дневника, нито да промени нещо.
    Недостатък е, че системния администратор може да изтрие целия дневник и с това да обезсмисли защитата. Но все пак остават следи, че нещо не е наред.
  • По-добрият вариант: всяко действие на програмата се дублира в дневник (пак шифриран) на отдалечен компютър в мрежата. Този компютър е администриран от други специалисти. По този начин се намалява вероятността дневника да бъде изтрит умишлено – ще е нужно да бъдат подкупени цели двама системни администратори. Ще е още о-трудно ако всеки компютър принадлежи на различни отдели с различни началници.
  • Най-професионално – но и най-скъпо – би било да се използва продукт за контрол на достъпа от типа на CA Access Control. С него дори системните администратори могат да бъдат ограничени в това какво могат да достъпват, както и се следят всички техни действия (а не само действията на програмата).
  • Други контролни механизми могат да бъдат например системна администрация с поделена парола: 2-ма или 3-ма системни администратори, като всеки от тях знае само своята част от паролата. Недостатък тук е че са нужни всички администратори, за да се включи дори само един от тях и да извърши елементарни действия по системна администрация.

След като този елементарен механизъм против злоупотреби с изпълнението на случайния избор е налице, какви ли още пропуски има?

Не трябва да има илюзии, че една компютърна система може да бъде 100% защитена. Целта на информационната сигурност е практическа, а не теоретична. Целта е да има такива предпазни мерки, че нужните познания и оборудване за преодоляването й да са притежание на единици и да са много скъпи за използване. Това намалява неимоверно шансовете да бъде злоупотребено на практика.

Съдът не само трябва да изхвърли сегашната техническа система и програма за случаен избор на съдебни състави. Нещо много повече: по време на разработването на нова такава, трябва от самото начало главна роля да играе специалист по сигурност на информационните системи.

Само това може да гарантира в необходимата висока степен предотвратяване на такива груби, елементарни пропуски в защитата на системата.

5 thoughts on “НЕслучайна система за НЕслучайно разпределение на съдебни дела

  • 13.04.2013 at 16:44
    Permalink

    Е то те трябва да искат системата да е защитена, ама те не искат 🙂

  • 13.04.2013 at 16:48
    Permalink

    Аз не мисля, че специално „дневник“-файла някой съзнателно го е обмислил да го остави така незащитен.

    В пракгтиката си на специалист го виждам често – но в системи, в има много по-малък риск по други причини, най-вече че пазените действия не са толкова значими и важни.

    По-скоро някой некадърник се е упражнил в правене на комп.програма без да съобрази важността на сигурността й точно заради целите й.

  • 13.04.2013 at 19:14
    Permalink

    Не е ли по-просто да timestamp-ваме log файла, използвайки някой от акредитираните от държавата „Доставчици на удостоверителни услуги“?

  • 13.04.2013 at 19:22
    Permalink

    това, разбира се, е нещо, но е най-малкото

    1) целта на потенцилания злосторник е да премахне редове от файла: какво му пука че ще бъде забелязано че е променян?
    2) в най-лошия случай администратора може да изтрие файла (подкупен или под страх от заплаха) – пак няма да имаме ниакакъв начин да хванем злоупотребите

    Криптиран файл с две копия – едното локално, другото – мрежово (на ниво всеки ред- запис в база данни) е минимума, нужен в слуачая, за да можем хем да предотвратим промяната, хем да гарантираме че файла ще се запази

    Разбира се, аз бих препоръчал дори повече: въвеждане на поделен между няколко души passphrase, който защитава частния ключ, криптираш файла, по време на стартиране на програмата.

    С такава защита става практически невъзможно да се злоупотреби с „дневника“ – твърде много хора ще трябва да бъде подкупени или запалшени. Не че това е невъзможно – то всяка защита в крайна сметка винаги ипира до морала на някого, който има контрол над компютъра.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *