(снимка: fotolia.com)
Информационната сигурност ми е специалност. Макар и в чужбина, наблюдавам с интерес и се радвам на всяко усилие за по-голяма киберсигурност в България.
Вчера излезе новина за “нови електронни услуги в областта на с киберсигурността“, предоставени от Министерството на транспорта, информационните технологии и съобщенията (МТИТС).
Това ме накара да поразгледам сайта им. Бях удивен да открия, че самото министерство не прилага елементарни и дългогодишни мерки за киберсигурност на собствената си интернет-страница.
Нарушен е дългогодишният стандарт: при въвеждане на пароли за включване (“логване”) в сайтове, това да става по криптирана уеб връзка (httpS протокол) – с “катинарче” до името на сайта в браузъра.
Не е ясно въобще до какво дава достъп страницата “Персонален достъп” – дали до някакви допълнителни услуги или документи, които са само за вътрешно ползване? Дали предоставяната след логване информация е предназначена само за служителите на институцията, или за граждани?
Липсата където и да е на сайта на обяснение как се създава акаунт говори, че по-скоро достъпа е до възможности и документи само за вътрешно ползване.
Ако е така, то има опасност хакери или дори любопитни аматьори могат да прихванат достъпа до чуствителна информация. Достатъчно е служител на министерството да се опита да се включи докато е свързан към интернет през публична или недобре защитена WiFi мрежа – името и паролата му за включване могат елементарно да бъдат записани от някой, включен на същата WiFi мрежа.
Но дори и да не предлага достъп до чуствителна по съдържание информация, страницата пак трябва да защитава изпращането на потребителско име и парола. Това е така, защото много хора използват една и съща парола за различни сайтове на интернет. В резултат от това, може паролата им за достъп до тяхна силно лична информация – като емейлите или банковата им сметка – да попадне у злосторници.
Някой ще възрази, че не е работа на министерството да се грижи за несигурните практики на другите хора. Напротив – точно тяхна работа е, след като точно те са натоварени с киберсигурността в държавата: в абсолютно всяка своя дейност, институцията трябва да демонстрира и да учи хората как да се пазят в електронните си комуникации.
Компрометирането на пароли, обаче, може да бъде извършено не само от хакери. Недобросъвестни вътрешни служители – администратори на системите и мрежите на институцията, или такива на интернет-провайдера й – също може да проявят неоторизиран интерес към паролите.
Горещо препоръчвам на МТИТС да криптира страницата за включване чрез httpS. И предварително предупреждавам да избягва сертификат от българските “оторизирани” доставчици на такива. Тези фирми не са си направили труда сертификатите им да се разпознават от браузърите. В резултат, на страници с техните сертификати доскоро излизаха плашещи предупреждения за посетителите – както се случи това 2013 г. на сайта на ЦИК (оправено скоро след това), и както години наред продължаваше на страниците за е-услуги на Търговския регистър и НАП (за радост – най-после оправено и там!).
И други потенциални проблеми със сигурността на сайта
Интересно също е и че въпросната страница за логване се открива само в страницата “Карта на сайта”. Надявам се от министерството не са решили, че има някаква “сигурност” в простото скриване на тази страница – като не са сложили изрична връзка към нея на никоя друга страница. (“Карта на сайта” е обикновено създавана от автоматични програми и вероятно затова е обхванала и страницата за “Персонален достъп”).
Втори потенциален проблем би могъл да е възможността за пряко достъп до списъка файлове в директорията http://www.mtitc.government.bg/upload/docs/ на сайта. Там откриваме хиляди файлове, някои от които може да не са предназначени за публичен достъп.
Друг отрицателен ефект от тази възможност е, че Гугъл продължава да намира документите там и да ги показва в търсене – докато много от тези документи може да са вече остарели. Това може да обърка доста хора, които разчитат да намерят само актуална информация при търсене в Гугъл за документи в сайта на МТИТС.
Трети проблем е показването софтуера и версията на уеб сървъра, както и на операционната му система. Това дава ценна информация на потенциалните хакери да стеснят атаките си към точно определени платформи и така увеличава многократно вероятността за успешен пробив. Показването на версията на софтуера дава информация дали е обновен, и ако не – до каква степен не е. Това може да се ползва за изключително прецизни атаки, базирани на знание какви пробойни има в конкретна версия на сървърния софтуер.
Крайно препоръчително е министерството да приложи най-високи стандарти към собствения си уебсайт, като го тества редовно и коригира своевременно откритите потенциални заплахи и проблеми.
публикацията излезе и в “Дневник”: http://www.dnevnik.bg/tehnologii/2014/09/10/2377985_ot_blogovete_predi_kibersigurnostta_na_ostanalite
Pingback: Държавни регистри без HTTPS позволяват кражба на лични данни – част II - Questona.com
Чудесна статия, право в целта! За съжаление това не е единственият подобен пример за безобразната обработка на личните ни данни, ето още няколко http://questona.com/registri-nekriptirana-vrazka/
Pingback: Информационна сигурност? “Няма такава страница”, казва сайтът на Министерството на … информационната сигурност
Pingback: Министерство на О(т)браната – с широко отворени врати за кибер-атаки
Значи все пак някой чува и се вслушва в препоръките за сигурност!
Браво на МИТС – криптирали са връзката на целия си сайт, не само на страницата за логване!