Обновена на 23.08.2015 от Questo
В края на 2014 г. написах кратка статия за сериозен проблем със сигурността на сайта на Висшия съдебен съвет. А именно: фактът, че порталът на един от най-важните органи в българската съдебна система няма HTTPS версия.
HTTPS е протокол за криптиране на връзката между потребителя и сайта. Най-просто казано, този протокол защитава вашия трафик от „подслушване“, т.е. възможността някой да прихване и да разчете съобщенията, които изпращате, паролите, които въвеждате и т.н.
Наличието на HTTPS от години се счита за задължително за сайтове, които работят с лични данни и друга чувствителна информация: банки, системи за онлайн разплащания, социални мрежи, електронна поща и разбира се, портали на държавни институции. Ето защо липсата на HTTPS в сайта на ВСС беше доста притеснителен пропуск, будещ недоумение.
През юни тази година ВСС представи новия облик на сайта си. Досега не му бях обръщал внимание, но днес реших да проверя дали проблемът с липсата на криптирана връзка е отстранен.
Оказа се, че дупката си стои. Сайтът, и в частност страницата „Служебни страници“, където се въвеждат пароли за достъп, все още няма HTTPS версия.
Това лесно може да установите и вие. Наличието на криптирана връзка се познава по обозначението https:// в началото на интернет адреса на сайта (за разлика от сайтовете с некриптирана връзка, където обозначението е http://). Ако опитате да въведете адреса на „Служебни страници“ с https:// в началото (просто копирайте и сложете този адрес в браузъра си: https://vss.justice.bg/iframe/srvpages), ще получите съобщение за несъществуваща страница. Което означава, че сайтът не поддържа HTTPS. Ето го и на картинка:
Липсата на HTTPS позволява на всеки с малко повече познания и подходящ лаптоп да вижда какви пароли се въвеждат в секцията „Служебни страници“ в сайта на ВСС. Ето и теоретична постановка как може да се случи това.
1. Хакерът открива wifi мрежа, която се използва от магистрати. Това може да е отворена безжична мрежа в заведение или затворена мрежа, в която той е успял да проникне, разбивайки паролата;
2. Използвайки софтуер за анализ на интернет трафика, хакерът може да прихваща трафика на всички потребители в тази мрежа: посетени сайтове, изпратени имейли и т.н. На практика той може да следи цялата им активност в интернет;
3. Тъй като трафикът към сайта на ВСС не е криптиран, той може да види какви пароли се въвеждат в секцията „Служебни страници“ на сайта;
4. След като знае паролите за достъп, той може да влиза в информационната система на портала и да следи кореспонденция, документи или каквото има в нея;
Макар и теоретична, тази постановка е напълно реална и разигравана хиляди пъти. Неслучайно експертите по ИТ сигурност предупреждават никога да не използвате безжичен интернет в кафене или в метрото, докато си проверявате онлайн банкирането или боравите с други лични данни. Изглежда обаче хората, които отговарят за ИТ сигурността на ВСС, не считат за необходимо да пазят съдиите от хакерски атаки.
„Описаният сценарий въобще не е теоретичен“, коментира Красимир Гаджоков, експерт по информационна сигурност в канадската телекомуникационна компания Telus. „Магистратите сигурно не стоят през цялото си работно време в сградата на институцията. И много вероятно се свързват към сайта на ВСС през wifi от някое заведение наблизо или докато са на почивка някъде.“ Гаджоков допълва, че подслушването на една публична wifi мрежа е „изключително лесно за абсолютно всеки.“ „Има направо приставка за браузъра Firefox, така че и дори и лаик може да го прави“, посочва той.
Обновяването на сайта на ВСС струва 38 хил. лв. според този протокол от заседание на съвета. Това е само малка част от 500-те хил. лв., които институцията планира да изхарчи, за да направи работата си по-прозразчна. По данни на „Медияпул“ освен за освежаване на сайта на ВСС тези пари са предвидени още за обучение на съдиите как да общуват с медии и за оправяне на скандалната система за (не толкова) случайно разпределение на делата.
Много пари, много нещо. Следващият път, когато магистратите решат да ги инвестират в технологии, дано се сетят да заделят 1000 долара за един SSL сертификат.
МНого добра публикация, поздравления!
Като дългогодишен специалист по информационна сигурност ще добавя също, че описания сценарий въобще не е „теоретичен“. Магистратите сигурно не стоят през цялото си работно време в сградата на институцията. И много вероятно се свързват към сайта на ВСС през WiFi от някое заведение наблизо или докато са на почивка някъде.
И подслушването на една публична WiFI е изключително лесно за абсолютно всекиго – има направо прриставка за браузър Firefox, така че и дори и лаик може да го прави.
И докато основен принцип в сигурността е нивото на защита да отговаря на ценооста на ресурса, който е защитаван – вече масово преобладава мнението, че сайтовете по подразбиране трябва да криптират трафика си, ДОРИ и да няма обмен на чуствителна информация. Най-големите сайтове като Гугъл и Фейсбук го правят отдавна – няма значение че само разглеждате техни страници, без да се логвате.
И още нещо – SSL сертификат за сайтове има дори и по 20 долара на година – достатъчно сигурни.