Преди киберсигурността на останалите, Министерството на транспорта и информационните технологии да оправи своята

Internet Security. Laptop and safe lock.

(снимка: fotolia.com)

Информационната сигурност ми е специалност. Макар и в чужбина, наблюдавам с интерес и се радвам на всяко усилие за по-голяма киберсигурност в България.

Вчера излезе новина за „нови електронни услуги в областта на с киберсигурността„, предоставени от Министерството на транспорта, информационните технологии и съобщенията (МТИТС).

Това ме накара да поразгледам сайта им. Бях удивен да открия, че самото министерство не прилага елементарни и дългогодишни мерки за киберсигурност на собствената си интернет-страница.

Нарушен е дългогодишният стандарт: при въвеждане на пароли за включване („логване“) в сайтове, това да става по криптирана уеб връзка (httpS протокол) – с „катинарче“ до името на сайта в браузъра.  

Не е ясно въобще до какво дава достъп страницата „Персонален достъп“ – дали до някакви допълнителни услуги или документи, които са само за вътрешно ползване? Дали предоставяната след логване информация е предназначена само за служителите на институцията, или за граждани?

Липсата където и да е на сайта на обяснение как се създава акаунт говори, че по-скоро достъпа е до възможности и документи само за вътрешно ползване.

Ако е така, то има опасност хакери или дори любопитни аматьори могат да прихванат достъпа до чуствителна информация. Достатъчно е служител на министерството да се опита да се включи докато е свързан към интернет през публична или недобре защитена WiFi мрежа – името и паролата му за включване могат елементарно да бъдат записани от някой, включен на същата WiFi мрежа.

Read more

Открито писмо до Румяна Сидерова (и много други членове на ЦИК): да, трябва да си върнете дипломите на юристи

Г-жо Сидерова,

В станалото епохално заседание на ЦИК по повод включените в списъка застъпници без тяхно съгласие двама граждани, вие казвате следното (цитат):

„Откога разглеждаме жалба без подпис? Ние дипломите си на юристи ли трябва да върнем обратно? Няма документи, оформени като жалба, а и няма подпис. Ние започнахме лов на вещици“

Вие определено трябва да си хвърлите дипломата на юрист. Защото очевидно не сте запозната точно със закона, който сте упълномощена да прилагате като член на ЦИК – а именно, Изборният кодекс.

Там законодателят изрично е изброил какви атрибути трябва да съдържа жалбата (цитат):

чл.26 (10) В жалбата се посочва решението, което се обжалва, основанието, имената и адресът на жалбоподателя и телефон, факс или електронен адрес за призоваване.

Да виждате някъде изискване за подпис? Или атрибут, който да липсва в емейлите от жалбоподателите?

Законодателят неслучайно не е изискал изрично подпис, точно защото подаването на много видове документи в България отдавна става – и се приема – по електронен път. Неслучайно е и упоменато изрично изискване на електронен адрес.

В Австралия и Великобритания съдът приема за редовно призоваването по Фейсбук и Туитър.

А Вие – заедно с още няколко членове на ЦИК – явно живеете в свят на необосновани подозрения и теории на конспирацията.

Ето защо трябва да си върнете дипломите за юристи, както и да подадете оставка от ЦИК и никога повече да не заемате обществена длъжност:

Read more

ЦИК можеше да защити много повече тайната на подкрепилите партиите

(публикувана в „Дневник„)

Смятам въведената от ЦИК електронна проверка на подписите за подкрепа на партии като идея, като цяло, за безспорно изключително общественополезна.

И не от няколко дни насам – откогато стана ясно, че има злоупотреби с подписи. Като участник в множество организации на българите в чужбина, от години настояваме за улесняване както на подаването на заявления за гласуване в чужбина, така и за електронна възможност на проверка подкрепата за партии.

Но това не оправдава ЦИК за конкретния начин на реализация на системата.
Като специалист по информационна сигурност се занимавам всеки ден със задачата за защита на личните данни. Абсолютна защита няма – има баланс между степента на защита и цената на реализиране на този баланс. Но в този конкретен случай – не само тези фактори, а и важният елемент на обществена полза.

Какво можеше да направи ЦИК за да е много по-добре защитена тайната на подписалите се:

Read more

Похвала за Външно министерство – уебсайтът им е най-после сигурен

В средата на декември 2013 публикувах доклад за сигурността на уебсайта на МВнР, който показваше над 99 пробойни. Това беше във връзка с публикации в медиите, че сайтът им е бил компрометиран от хакери.

Тогава МВнР отрече да има каквито и да било проблеми със сигурността на сайта си – лъжа, която беше опровергана от публикувания от мен резултат.

Но ето, че в резултат от публикацията ми (надявам се!), която изрично им пратих и по емейл, в момента сайтът им няма нито една потенциална пробойна.

Рядкост е в тези дни да казваме добри думи – особено за компрометирани институции – но когато ги заслужават, трябва да ги похвалим.

Google: не посещавайте сайта на Министерството на правосъдието на България, може да е хакнат

Занимавайки се с въпрос за прозрачността на неправителствени организации (покрай което открих друга огромна безотговорна небрежност на Министерството на правосъдието – но за нея ще публикувам специално по-нататък), бях шокиран при търсене в Google да видя следното предупреждение:

min-pravosydie-may-be-hacked

 

Според пояснеието на Google защо излиза такъв надпис : „Хакерите често променят съществуващи страници или добавят техен собствен спам. Например, посетители на сайта може да бъдат пренасочени към спам или опасен компютърен софтуер. Препоръчваме ви да не посещавате този уебсайт докато това предупреждение бъде премахнато в резултатите за търсене в Google. Ако познавате собственика на сайта, моля известете го за ситуацията„.

Е, познаваме „собственика“. И го известяваме: изпращам им тази публикация до емейлите на приемната и ПР-отдела им (други електронни контакти с тях не може да бъдат установени).

Да видим колко месеца ще им отнеме да намерят и решат проблема. Предният път им отне месеци да подкарат тотално неработещото търсене в изключително важния Централен регистър на юридическите лица с нестопанска цел за обществено полезна дейност.

Ако правителството не може да оперира безопасно за гражданите най-елементарни уебсайтове, за какво електронно правителство ни заблуждава въобще?

Още мои публикации с примери за елементарна правителствена безотговорност в интернет-технологиите:

 

С 98 потенциални пробойни, сайта на МВнР е точно обратното на „сигурността гарантирана“

Според публикация в Дневник от днес, „китайски хакери са пробили мрежата на външно министерство“.

Нашето Външно, обаче, и то като цялото ни правителство – отрича действителността с предварително приготвени общи лъжи от типа „Сигурността на защита на информацията е гарантирана“ (цитат за отговора от МВнР до Дневник).

Ето каква е действителността, обаче – в резултат от елементарно безплатно сканиране сигурността на сайта на МВнР. Такъв тест всеки може сам да направи за около 20 минути.

Резултатите показват 98 потенциални пробойни към момента, с различна степен на заплаха. Някои са по-скоро проблем за сигурността на посещаващите сайта на МВнР, отколкото самото министерство.

Но неимоверно големият им брой и наличието на такива с най-висока степен на заплаха говорят за непростима елементарна небрежност от страна на отговорните за сигурността в МВнР. А това със сигурност не са просто ИТ-специалистите им, а ръководителите. Те не са им поставили задача да проверяват редовно сигурността, както и не са подсигурили нужното обучение и ниво на обръщане на внимание.

Дори любителски сайт като този мой блог е с много по-малко и с по-ниска степен опасности в областта на сигурността.

mvnr-vulns

ГЕРБ уебсайта си не могат да поддържат на линия – какво електронно правителство чакахме от тях?

Интернет-сайтът на партия ГЕРБ – www.gerb.bg – в продължение на вече повече от 16 часа е недостъпен.

I/O Error: Unable to contact target server www.gerb.bg:80 after 3 tries.

След като един елементарен уебсайт не могат да поддържат да работи, за какво електронно правителство ни говорят?

Тоталният провал на българската държавна администрация да улесни гражданите е безспорен.

Сайт за кандидатстване в детски градини, със солена цена от 400 000 лева, се срина минути след пускането му по времето на кметуването на Бойко Борисов.

Съдебните решения на българските съдилища – макар да са публично достъпни на сайтовете им – не могат да бъдат търсени в Гугъл заради безумна недомислица в техническия начин за представянето им на Интернет.

Регистри на съдилища и други институции стоят с месеци неработещи. Пример е регистъра на юридическите лица с нестопанска цел към министерството на правосъдието, който „откара“ няколко месеца миналата година със съобщение за грешка (на стария си адрес – сега има нов, който работи).

Неколкократни сривове за сериозни периоди от време достигнаха и такива изключително важни за икономиката и функционирането на правовата държава като сайтът на Агенцията по вписванията.

Същата институция иска пари за справка за собственост на имот. Уж само дребни стотинки, 0.40 лв. Но за да получите справка веднага, трябва да платите минимум 2.50 лв минимум (включва такса за електронно плащане). В свестните, развити страни тези справки са безплатни.

Друга върховна глупост, за която правителството на ГЕРБ плати 30 000 лв, беше смешният уебсайт от 10-15 странички на 3 езика, който да „съветва“ чужденците по въпросите за покупко-продажба на имоти в България. Освен безсмисленото съдържание – на практика „copy/paste“ на закони, постановления и наредби, без грам пояснения – имаше и обещание за електронна услуга. От 5 декември 2012 сайтът трябваше да праща SMS при промяна в собствеността на имот.

Когато попитах изпълнителите как смятат да правят това – при положение, че няма откъде да знаят мобилните телефони на собствениците на имотите – не получих никакъв отговор.
Същото гузно мълчание получих в отговор и когато ги питах дали услугата е пусната след широко рекламирания срок 5 декември.

Да не говорим за сайтовете, които за по-голяма сигурност на личните и фирмени данни, които се предават по Интернет, са настроени да ги кодират … но всъщност отблъскват гражданите с предупреждения точно за обратното: „не се доверявайте на този сайт“. Тук се нареждат:

  • Националната Агенция за Приходите ( https://inetdec.nra.bg ) – явно съвсем наскоро поправен, но години наред плашещ потенциалните си потребители с предупреждение че сигурността му не е наред;
  • Търговският регистър (от ляво, изберете “Електронни услуги”)
  • Съвсем пресен пример: страницата на ЦИК за електронно подаване на заявления за гласуване в чужбина, която престоя повече от 24 часа с подобно плашещо предупреждение.

Не за всички проблеми с електронното правителство причина са ГЕРБ, разбира се.

Но твърде многото провали и липса на резултати, в сравнение с многомилионните похарчени суми, се случиха именно при тяхното управление.

НЕслучайна система за НЕслучайно разпределение на съдебни дела

Като специалист по информационна сигурност съм изумен от откритото при проверката в прословутата „система за случайно разпределение на делата“ в съдилищата в България.

При положение колко изключително важно е тази система да работи без да може да бъде манипулирана, се оказа че при нея липсва едно от най-фундаменталните правила за защита:  предотвратяване промяната на „дневника“ на компютърната програма.

„Дневникът“ (англ. „log“)  е файла, където се записва кой, кога и за какво действие е използвал една програма.

От специализираната проверка се оказа, че дневникът е обикновен текстов файл. В него в явен вид са записани извършваните от програмата действия. Такъв файл може да се редактира с обикновен текстов редактор като Notepad (Windows). Това позволява да се променят или премахнат определени редове с цел заличаване следи от злоупотреба, без да може да се установи какво е имало оригинално във файла и без възможност той да бъде възстановен.

От липсата на въображение в името на системата – „Law choice“ – с голяма степен на сигурност може да предположим, че е правена в България. Дали е имали обществена поръчка за нея? И да е имало, явно е била избрана някоя супер-неизвестна форма в последния момент преди крайния срок. Фирмата на някой „наш човек“. Защото не мога да си обясня иначе такава груба грешка в елементарна защита на „дневника“.

Подобна защита е възможна и лесноосъществима много отдавна. Ето няколко начина:

  • Файлът на „дневника“ се „шифрова“ с ключ, вкаран в програмния код; така дори системен администратор да има достъп до файловете му, не може да разбере какво има вътре в дневника, нито да промени нещо.
    Недостатък е, че системния администратор може да изтрие целия дневник и с това да обезсмисли защитата. Но все пак остават следи, че нещо не е наред.
  • По-добрият вариант: всяко действие на програмата се дублира в дневник (пак шифриран) на отдалечен компютър в мрежата. Този компютър е администриран от други специалисти. По този начин се намалява вероятността дневника да бъде изтрит умишлено – ще е нужно да бъдат подкупени цели двама системни администратори. Ще е още о-трудно ако всеки компютър принадлежи на различни отдели с различни началници.
  • Най-професионално – но и най-скъпо – би било да се използва продукт за контрол на достъпа от типа на CA Access Control. С него дори системните администратори могат да бъдат ограничени в това какво могат да достъпват, както и се следят всички техни действия (а не само действията на програмата).
  • Други контролни механизми могат да бъдат например системна администрация с поделена парола: 2-ма или 3-ма системни администратори, като всеки от тях знае само своята част от паролата. Недостатък тук е че са нужни всички администратори, за да се включи дори само един от тях и да извърши елементарни действия по системна администрация.

След като този елементарен механизъм против злоупотреби с изпълнението на случайния избор е налице, какви ли още пропуски има?

Не трябва да има илюзии, че една компютърна система може да бъде 100% защитена. Целта на информационната сигурност е практическа, а не теоретична. Целта е да има такива предпазни мерки, че нужните познания и оборудване за преодоляването й да са притежание на единици и да са много скъпи за използване. Това намалява неимоверно шансовете да бъде злоупотребено на практика.

Съдът не само трябва да изхвърли сегашната техническа система и програма за случаен избор на съдебни състави. Нещо много повече: по време на разработването на нова такава, трябва от самото начало главна роля да играе специалист по сигурност на информационните системи.

Само това може да гарантира в необходимата висока степен предотвратяване на такива груби, елементарни пропуски в защитата на системата.

ЦИК продължава да затруднява гласуването на българите в чужбина с нови абсурди

По Конституция, всеки български гражданин, без разлика къде се намира, има право да гласува в български избори за парламент  и президент. С цел осигуряване на това право, българските граждани в чужбина заявяват желанието си да гласуват до съответното посолство.

За да бъде открита избирателна секция в чужбина в българско посолство или консулство, са нужни 20 заявления.

Но за секции в населени места извън и особено далече от дипломатическите ни мисии – където живеят много повече българи – са нужни цели 100 заявления.

Жалбата срещу произволното дописване на закона от ЦИК с искане за повече лични данни – отхвърлена, но ще я обжалваме пред ВАС до 3 дни

Жалбата ни срещу решение на ЦИК да изисква в електронното заявление твърде много лични данни (за разлика от хартиеното), както и измислената от тях нужда от „верификация“ на мобилен телефон, днес беше отхвърлена от Административен съд София – град (АССГ).

За пореден път АССГ отказва да се съобрази с изрични тълкувателни решения както на Конституционния съд, така и на Върховния административен съд (ВАС).

Времето за подаване на заявления напредва – само до 11 април (вкл.) – но въпросът е принципен. ЦИК – особено сегашният му състав – си позволява редовно да дописва закона най-произволно, без основания. А Административният съд на София за пореден път – по въпроса с правото на обжалване решенията на ЦИК като административен акт – не се съобразява с тълкувателната практика на по-висшестоящите съдилища. Read more

Поредна СЕРИОЗНА недомислица в електронното заявление за българите в чужбина на сайта на ЦИК

 (Обновено) Въпреки, че проблемът все още не е решен, призовавам всички български граждани в чужбина да подадем заявление, за да покажем, че съдбата на България е важна за нас:
https://www.cik.bg/register

 Ако не искате да давате допълнителните лични данни, които ЦИК иска незаконно в електронното заявление, то разпечтайте, попълнете и пратете тази форма на заявление с писмо по пощата до съответното посолство (адреса тук). Подробности за попълването.

–––––––––––––––––––––––––––-

За Централната избирателна комисия явно не сме във века на мобилните устройства. А те, както всеки първокласник знае, превишават както по брой, така и особено по използваемост компютрите в света.

Това само – или поредната небрежност, претупване на работата и непрофесионализъм – може да обясни причините защо втори ден след пускането й,  електрoнната страница на ЦИК за заявления за гласуване в чужбина не може да бъде намерена от огромна част от потребителите на мобилни устройства. Проблемът е налице включително за най-популярните таблети в света – Apple iPad – както и за всички видове мобилни телефони.

(Обновено) Не само това, но e и на практика невъзможно заявлението да бъде попълнено от смартфон – страницата му не е създадена да има мобилен изглед, което прави полетата в нея недостъпни. Ето как изглежда:

Read more