Меню Затваряне

Онлайн сигурност на държавните институции: има какво да се желае

sql

Ето един (не толкова) малък гаф, заради който хората, поддържащи сайта на едно от българските министерства, могат спокойно да си върнат дипломите в университета.

На уебсървъра на въпросното министерство има папка с документи, достъпна за всеки, който знае адреса й. По принцип свободният достъп до толкова много документи не е особено добра идея, защото не се знае дали някой ден някой чиновник няма да сложи по невнимание секретни документи в тази папка. Но да кажем, че това не е кой знае какъв проблем: все пак повечето от документите, публикувани в папката, така или иначе са общественодостъпни през сайта на министерството (т.е.има линкове, водещи към тях). Става дума за нормативни документи, бланки, закони и т.н.

Проблемът е, че наред с всички документи в папката се мъдри и файл с разширение sql. Този тип файлове представляват бази от данни, съдържащи ключова информация за сайта: включително и паролата за администраторския панел. На теория всеки, който разполага с такъв файл, би могъл да влезе в сайта с администраторска парола и да прави каквото си иска. На този принцип се случват много хакерски атаки върху сайтове на държавни и частни институции.

Файлът е озаглавен test и вероятно това, което се е случило, е, че разработчикът е правил някаква заготовка на сайта и след това по невнимание е оставил тестовата база данни на сървъра. Така или иначе SQL файловете изобщо не трябва да са видими за обикновения потребител; и това е сериозен минус за онлайн сигурността на това министерство. Ето един възможен сценарий: администраторът използва една и съща парола за тестовия sql файл и за същинската база от данни на сайта. Какво става, когато тестовия файл попадне в неподходящите ръце?

И още нещо интересно: колко трудно според вас е някой да открие подобна дупка в сигурността? С вътрешна информация от разработчика? С мощен сканиращ софтуер? Не. Проблемът се открива елементрано с няколко справки в Google. Дори и да не борави с големи масиви от лични данни, сайтът на едно министерство не би следвало да е податлив на хакване с интернет търсачка. Да живеят обществените поръчки в областта на информационната сигурност.

За проблемите със сайтовете на държавниоте институции се пише често. Преди две седмици Красимир Гаджоков написа тази статия, в която говори за проблемите на сайта на министерство на отбраната. Пак той обърна внимание на факта, че Министверството на транспорта и информационните технологии, което отговаря за електронните услуги и сигурността на гражданите в интернет, има елементарни пропудки на сайта си, свързани с онлайн сигурността. Припомням и собствена провека, която установи, че редица държавни публични регистри нямат криптирана връзка по подразбиране, което позволява кражба на лични данни.

През последните месеци бяха атакувани сайтовете на няколко държавни институции. През септември някой хакна сайта на Министерство на културата. Ако информацията в тази статия е вярна, буквално преди дни същият сайт е бил хакнат отново. По-рано тази година бе установено, че хакери са си направили собствена папка на уебсървъра на ДАНС.

Related Posts

1 Comment

  1. Pingback:Google като инструмент за хакери | Онлайн сигурност и защита на личните данни

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *