"Критикуючи пропонуй"?

26 февраля, 20:06
За понад два роки жодною державною службою не було оприлюднено жодного звіту про виявлені вразливості та вчинені заходи щодо їх вирішення.

Мантри "критикуючи пропонуй", або "починай зміни з себе" мають певний дуже негативний ефект. Наприклад, коли експерти починають не тільки критикувати, а і примушувати недолугих слуг народу діяти відповідно потреб безпеки держави, до таких експертів починають приходити з обшуками на абсолютно безглуздій підставі.

Так от, #FRD виник не на пустому місці. До його появи та після, інформацію про проблеми кібербезпеки державних ресурсів експерти повідомяли та повідомляють у форматі відповідального розкриття відповідним структурам. Але через відсутність реакції, і тим більше публікації звітів про виявлені вразливості та їх усунення, громадським діячам, журналістам та активістам не залишалось іншого шляху реального впливу на ситуацію ніж розпочати привертати публічну увагу до проблеми.

І ось деяка статистика відповідального розкриття інформації (станом на 22:14 13.02.2020):

Епізод 10

Надіслано: 2 лютого 2020 р. 14:27:41
Кому: cert@cert.gov.ua; cvd; Incident
Тема: Повідомленя про виявлені кіберінциденти 10

Відповідь на мило отримано: 03.02.2020 09:29

Проблем всього -9
Закрито 0.
Не закрито 9

Епізод 9

[CERT-UA#20200122-38282]Re: Fwd: повідомлень про виявлені кіберінциденти 9
отправлено:22.01.2020 18:47

Відповідь на мило отримано: 22.01.20, 22:31 +0200

Станом на 23:31 29.01.2020
Проблем всього -3
Закрито 2.
Не закрито 1

Із смішного - спосіб фильтрации від XSS:
Function ReturnFilter($word)
{
if (stristr($word,'<script>') || stristr($word,'<body') || stristr($word,'"javascript:') || stristr($word,'<object') || stristr($word,'/>'))
{
$word = str_replace('<script>','',$word);
$word = str_replace('<body','',$word);
$word = str_replace('"javascript:','',$word);
$word = str_replace('<object','',$word);
$word = str_replace('/>','',$word);
}
$temp = str_replace("&amp;#039;","'",$word);
$temp = str_replace("&amp;quot;","\"",$temp);
return $temp;
return $word;
}

Із не смішного - публічно доступний пароль до поштового ящику в домені .gov.ua. Пароль більш менш пристойний.

Епізод 8

Re: повідомлень про виявлені кіберінциденти 8
Відправлено: 20.01.2020 14:52
Отримано відповідь на мило: 20.01.20, 15:37 +0200
Проблем всього 7
Закрито 4
Не закрито 3

Епізод 7

повідомлень про виявлені кіберінциденти 7
Відправлено: 18.01.20, 00:34 +0200
Отримано відповідь на мило: 18.01.20, 20:13 +0000 (СБУ)
20.01.20, 10:10 +0000 (CERT)
Надіслано дорк з одним прикладом, але за дорком легко знаходиться ще 10 доменів
Всього проблемних доменів 11
Закрито 1 (тільки той лінк, що було надано в листі)
Не закрито 10 (тобто самостійно ніхто не дослідив дорк)

Епізод 6

повідомлень про виявлені кіберінциденти 6
Відправлено: 05.01.20, 15:05 +0200
Отримано відповідь на мило: ніколи

Всього проблемних доменів 3
Закрито 2
Не закрито 1

Епізод 5

Повідомлення про виявлені кіберінциденти
Відправлено: Fri, 9 Aug 2019 12:11:54 +0300
Отримано відповідь на мило: ніколи

Перелік доменних імен GOV.UA що наведено нижче, делеговано на IP адреси, що належать РФ та можуть бути використані кібервійськами РФ.

Всього 13
Розделеговано 6
Не розделеговано 7

Епізод 4

повідомлень про виявлені кіберінциденти
Відправлено: 25.05.19, 13:21 +0300 (incident@dis.gov.ua)
Отримано відповідь на мило: ніколи

Всього проблемних доменів 5
Закрито 4
Не закрито 1

Цей приклад на сьогодні останній, бо він очі виїдає. За дорком: site:*.gov.ua "hacked by" з якого особисто в мене всі починалось, було виявлено сторінку http://lsp.sea.gov.ua/node/20 на якій була відповідна позначка про злам (дефейс). Сам дефейс витерли, але проблема, через яку вірогідно його здійснили, так і не виправлена. У чому полягає сама проблема сказати важко, бо ми діємо виключно у межах чинного законодавства.
Але виходячи з повних шляхів файлової системи, що досі висить на сайті, вочевидь, що адміни та розробники ресурсу виконують свої функції, м'яко кажучи, далеко не в повній мірі.

P.S.: За понад два роки жодною державною службою не було оприлюднено жодного звіту про виявлені вразливості та вчинені заходи щодо їх вирішення.