Новость:
Хакеры скачали с сайта налоговой службы Латвии 7,5 миллиона документов
Как им это удалось?
Ссылка на текст, который вы сейчас читаете, выглядит вот так:
http://stromboli.ru/posts/86
Видите, в конце стоит идентификатор этой записи: 86.
Если подставлять туда разные другие числа, можно перебрать все записи моего блога. Например, если подставить число 48, то откроется запись “Окно, уйди“.
Это нормально, у меня открытый блог, читай кто хочет.
И вот как оказалось, сервер налоговой службы Латвии тоже запросто отдает любой документ, если просто перебирать номера в адресной строке. Без всякой проверки, имеет ли посетитель право просматривать этот документ.
Хакеры написали элементарную программу-воровайку, которая перебирает все номера и закачивает все документы подряд.
И спалились они только оттого, что стали хвастаться успехами.
Сообщается, что украдены декларации о доходах многих уважаемых людей.
Самое смешное, что незадолго до этого на проверку надежности электронной системы этого ведомства Латвия затратила больше 2 миллионов долларов.
Какой вывод?
Любой сайт с секретной информацией должен проверять права посетителя при попытке загрузки любой страницы.
Не соглашусь. Вывод в том, что секретной информации вообще не место на публичном сервере, нужно четко разделять сегменты закрытого и открытого информационного пространств.
Это, в принципе, было полу-открытое пространство. Туда бухгалтеры постили свои декларации и просматривали их там потом.
Леш, это понятно, но “осетрина не бывает второй свежести”, равно как нельзя быть и “немного беременным”
Налоговая система, принимающая от граждан декларации в электронном виде, по определению не может быть абсолютно закрытой. Какая-то “надводная” часть по взаимодействию с гражданами у нее должна быть. Иначе придется возвращаться к бумажной писанине и очередям в налоговой.
Но эта надводная часть должна быть лучше защищена, чем сейчас.
Как раз по определению эта система и является закрытой, посколько предназначена только (!!!) для определенного круга лиц: налоговики и бухгалтеры. И больше ни для кого.
Защищенность и удобство доступа – понятия несовместимые, что ярко видно на примере крепостей. Разграничение зон доступа уже внутри крепости – это уже несколько другая опера, конечно же, не менее ответственная.
Но системный подход не стоит заменять на частный, ибо и последствия будут такими же.
> эта система и является закрытой, посколько
> предназначена только (!!!) для определенного
> круга лиц: налоговики и бухгалтеры
Бухгалтеры — это неограниченный круг лиц.
Эт с какой такой радости-то?
И конечный, и ограниченный, и исчисляемый
В стране десятки и сотни тысяч фирм. Каждый день открываются сотни новых. В каждой есть бухгалтер. В итоге кто угодно может получить логин/пароль для отправления деклараций. Это и называется “неограниченный круг лиц”.
Это называется “системной ошибкой”, которая в этом случае и приводит к тому, что вместо секретной системы в наличии имеется самый натуральный бардак. А его сколько ни правь, ни ограничивай, – все равно бардак будет.
Не секрет, что у нас кто угодно и диплом врача получить может, следовательно, и практику. И что, тоже скажем, что “полу-правильная система”? И будем бояться, что нас элементарно залечат/зарежут?
Когда читают молитву, то сперва идет “Отче наш”, а потом “Аминь!”. Когда строят дом, то сперва закладывают фундамент, а уж потом ставят стены и крышу
> имеется самый натуральный бардак.
> А его сколько ни правь, ни ограничивай,
> – все равно бардак будет
Нет. Просто необходимо сделать систему с разграничением доступа.
Пусть каждый имеет доступ только к тому бардаку, который относится к его аккаунту.
Запросто Будет как в том анекдоте: “Больной, у Вас СПИД. Принимайте грязевые ванны. Не вылечитесь, конечно, но к земле привыкнете.”