Открытая людям Латвия

Новость:
Хакеры скачали с сайта налоговой службы Латвии 7,5 миллиона документов

Как им это удалось?
Ссылка на текст, который вы сейчас читаете, выглядит вот так:
http://stromboli.ru/posts/86
Видите, в конце стоит идентификатор этой записи: 86.

Если подставлять туда разные другие числа, можно перебрать все записи моего блога. Например, если подставить число 48, то откроется запись “Окно, уйди“.
Это нормально, у меня открытый блог, читай кто хочет.

И вот как оказалось, сервер налоговой службы Латвии тоже запросто отдает любой документ, если просто перебирать номера в адресной строке. Без всякой проверки, имеет ли посетитель право просматривать этот документ.
Хакеры написали элементарную программу-воровайку, которая перебирает все номера и закачивает все документы подряд.
И спалились они только оттого, что стали хвастаться успехами.
Сообщается, что украдены декларации о доходах многих уважаемых людей.

Самое смешное, что незадолго до этого на проверку надежности электронной системы этого ведомства Латвия затратила больше 2 миллионов долларов.

Какой вывод?
Любой сайт с секретной информацией должен проверять права посетителя при попытке загрузки любой страницы.

Комментарии (11) на “Открытая людям Латвия”

  1. Angel Avenger:

    Не соглашусь. Вывод в том, что секретной информации вообще не место на публичном сервере, нужно четко разделять сегменты закрытого и открытого информационного пространств.

  2. Алексей Пискарев:

    Это, в принципе, было полу-открытое пространство. Туда бухгалтеры постили свои декларации и просматривали их там потом.

  3. Angel Avenger:

    Леш, это понятно, но “осетрина не бывает второй свежести”, равно как нельзя быть и “немного беременным” :)

  4. Алексей Пискарев:

    Налоговая система, принимающая от граждан декларации в электронном виде, по определению не может быть абсолютно закрытой. Какая-то “надводная” часть по взаимодействию с гражданами у нее должна быть. Иначе придется возвращаться к бумажной писанине и очередям в налоговой.
    Но эта надводная часть должна быть лучше защищена, чем сейчас.

  5. Angel Avenger:

    Как раз по определению эта система и является закрытой, посколько предназначена только (!!!) для определенного круга лиц: налоговики и бухгалтеры. И больше ни для кого.

    Защищенность и удобство доступа – понятия несовместимые, что ярко видно на примере крепостей. Разграничение зон доступа уже внутри крепости – это уже несколько другая опера, конечно же, не менее ответственная.

    Но системный подход не стоит заменять на частный, ибо и последствия будут такими же.

  6. Алексей Пискарев:

    > эта система и является закрытой, посколько
    > предназначена только (!!!) для определенного
    > круга лиц: налоговики и бухгалтеры

    Бухгалтеры — это неограниченный круг лиц.

  7. Angel Avenger:

    Эт с какой такой радости-то? :)

    И конечный, и ограниченный, и исчисляемый :)

  8. Алексей Пискарев:

    В стране десятки и сотни тысяч фирм. Каждый день открываются сотни новых. В каждой есть бухгалтер. В итоге кто угодно может получить логин/пароль для отправления деклараций. Это и называется “неограниченный круг лиц”.

  9. Angel Avenger:

    Это называется “системной ошибкой”, которая в этом случае и приводит к тому, что вместо секретной системы в наличии имеется самый натуральный бардак. А его сколько ни правь, ни ограничивай, – все равно бардак будет.

    Не секрет, что у нас кто угодно и диплом врача получить может, следовательно, и практику. И что, тоже скажем, что “полу-правильная система”? И будем бояться, что нас элементарно залечат/зарежут?

    Когда читают молитву, то сперва идет “Отче наш”, а потом “Аминь!”. Когда строят дом, то сперва закладывают фундамент, а уж потом ставят стены и крышу :)

  10. Алексей Пискарев:

    > имеется самый натуральный бардак.
    > А его сколько ни правь, ни ограничивай,
    > – все равно бардак будет

    Нет. Просто необходимо сделать систему с разграничением доступа.
    Пусть каждый имеет доступ только к тому бардаку, который относится к его аккаунту.

  11. Angel Avenger:

    Запросто :) Будет как в том анекдоте: “Больной, у Вас СПИД. Принимайте грязевые ванны. Не вылечитесь, конечно, но к земле привыкнете.” :)

Оставить комментарий