18 января 2020, 10:01
В июле месяце один из волонтеров нашел на старом сайте НАДС дырявый российский софт, и дыра в нём такого размера, что за пару деньков можно было бы сровнять всю службу с землей.
Нас бедных, беленьких и пушистых хакеров редко балуют державным вниманием, а сегодня по поводу многострадального сайта вакансий НАДС https://bit.ly/3akn6uG прошло совещание в Совете Национальной Безопасности и Обороны, с участием Службы Безопасности, Киберполиции, головы НАДС Olexandr Starodubtsev, ДССЗЗІ и Национального Координационного Центра Кибербезопасности. До этого дырявый сайт был осмотрен госспецсвязью, омбудсменом по правам человека (с не менее дырявым сайтом https://bit.ly/2NCIUYH ), министром Дмитро Дубілет и если Униан ничего не путает, то и Службой Безопасности. И обычно молчаливый CERT-UA проснулся и сделал заявление (второй такой случай со времён одной из первых публикаций в рамках #FuckResponsibleDisclosure #FRD, посвященной утечке из... CERT-UA https://bit.ly/2Ru4pvQ Вся королевская рать.
Давайте-ка ещё раз разберёмся, что же произошло? Сегодня на ТВ ведущая спросила у Kostiantyn Korsun, хорошо интонированным капсом, мол, как же так? Это же не простой сайт, а ГОСУДАРСТВЕННЫЙ... От подобной наивности Костя рассмеялся, прежде чем отвечать. Я давно повторяю, и хочу повторить ещё раз - никакой информационной и кибер- безопасности в Украине не было и нет (https://bit.ly/376gmyp https://bit.ly/2NBLM8m https://focus.ua/politics/387863 ) за последние два года совместными усилиями волонтеров были найдены сотни уязвимостей в гос. сайтах и критической инфраструктуре, включая армию, атомные станции, энергообъекты, водоканалы, системы здравоохранения, одним словом - всё что может или наоборот не даёт вас убить. В большинстве случаев (но не во всех) в ответ поступали угрозы, ослиное отрицание и визионерские фантазии о новых доктринах, волшебных киберцентрах по стандартам НАТО и прочих бесполезных балалайках.
Вернёмся к НАДС. В среду, 15 января Андрей Перевезий (а отнюдь не омбудсман, ЦЕРТ и НКЦК) нашел очередную, абсолютно заурядную по стандартам #FRD уязвимость в портале для отбора работников на гос. службу, о чем из человеколюбия уведомил всех до кого смог достучаться, включая депутата Олександр Федієнко, правоохранителей и самих разгильдяев из НАДС. Данные кандидатов лежали просто в открытом доступе, потому что никто никогда не думал о том, что их нужно защищать (по-хорошему, они вобще не должны храниться на веб-сервере - сам кандидат и так всё о себе знает, а администратор должен работать внутри периметра, а не сидя на заборе) Никакой хакерской магии, кибероружия и цифровых единорогов. В подобных условиях вражеские спец. службы чувствуют себя в Украине, как у себя дома.
И с НАДС - не первый случай. В июле месяце один из волонтеров нашел на старом сайте НАДС дырявый российский софт, и дыра в нём такого размера, что за пару деньков можно было бы сровнять всю службу с землей. Так что восстановление потребовало бы весьма значительных усилий. В комментарии пришел заместитель головы службы Володимир Купрій (не могу его тэгнуть, потому что он меня забанил), и началась старая сказка про белого бычка - всё ложь, заговор против самой лучшей гос. конторы, неважная уязвимость, сперва добейся, сделайте нам бесплатно, приходите пить кофе - полный набор сопливых отмазок обосравшегося чиновника. Потому когда после первого скандала нашлась вторая уязвимость, я посоветовал сливать всё сразу в паблик, потому что иначе - не доходит. От слова совсем. Если хотите я потом расскажу ещё несколько подобных историй. А теперь (внезапно!) проснулись, видимо, из-за того что (возможная) утечка затрагивает кандидатов на гос. службу, а не пересичных. Классовая солидарность.
Как бы всё происходило в идеальном мире? Очень важная организация не нанимала бы быдлокодеров за еду, а купила бы нормальный софт, в котором требования к информационной безопасности были бы учтены изначально. CERT-UA описал бы понятным языком, что такое "forced browsing" и как с ним бороться, "Red team" СБУ выявил бы уязвимости. Все организации реагировали бы адекватно и своевременно на сообщения об ошибках, если не круглосуточно, то хотя бы в течении нескольких часов, а не суток. Админы прошерстили бы логи, чтобы выяснить была ли утечка? И перенаправили бы домен на сайт-заглушку. Руководство публично бы извинилось перед пострадавшими, поблагодарила бы исследователей безопасников, и потихоньку восстанавливалось бы доверие к гос. сектору, который пока вызывает только хтонический ужас и омерзение. А там, глядишь, можно было бы и за доктрины приниматься, а не за поиск внутренних врагов.
Мечты, мечты...
P.S. Сегодня в том же самом сайте (уже после всех визитов и скандала) были найдены еще несколько уязвимостей
Н - Необучаемость.