Уязвимые интерактивные государственные услуги на пороге Нового Года (часть 1/5)

Предисловие

«Действия профессиональных хакеров можно предсказать, но Интернет полон любителей»

Законы Мерфи для информационной безопасности


Все события происходили накануне нового 2018 года на просторах Узнета. Большинство действующих лиц не будут называться напрямую, но о которых не сложно будет догадаться в процессе изложения. А началось все с интереса познакомиться с языком программирования Lua (Почему? Все элементарно, присутствие этого языка замечено в Snort, Tarantool и в легендарном программном обеспечении для пентестинга. Кроме того пользовательский интерфейс Adobe Photoshop Lightroom написан с использованием Lua, в геймдеве самым ярким представителем является World of Warcraft, а так же существует ряд игровых движков написанных на Lua. Список проектов, где активно примеряется этот скриптовый язык можно посмотреть на Академике), аргументов для изучения как оказалось более чем достаточно. После беглого экскурса по языку, чтения по диагонали пары статей в интернетах, было принято решение вооружиться документацией и средой разработки, для реализации первой классической задачи «Привет, Мир!», которая была быстро решена. Сразу нужно отметить, что много времени на изучение тратить не предполагалось, предельным значением по времени были – 20 часов, а мотивацией – простое желание решить какую-то прикладную задачу (Зачем? – Just for fun! Полезно бывает покинуть зону комфорта, как минимум, чтобы познакомиться с чем-то новым и не замкнуться в экосистеме одного языка программирования). В этот момент возникла дилемма, что же выбрать в качестве задачи, которая была бы занятной и не оторванной от мира. А еще по возможности было бы не плохо, совместить приятное с полезным.

Сигналил помидор и напоминал о коротком перерыве. Интернет серфинг не лучший способ отвлечения согласно «Помодоро», но будучи человеком, не страдающим от патологии соцсетей, переживать за попадание в машину времени и пропажу времени не было причин. Возникла мысль ознакомиться с новостями и акциями в преддверии грядущего года у Интернет провайдера. Понимая, что до Нового Года еще почти полмесяца, а самые интересные предложения наверняка опубликуются на последней неделе года, удобно было бы подписаться на новостную рассылку и получить на e-mail интересующую корреспонденцию. Возможность подписки на обновления официального веб-сайта относится к перечню электронных государственных услуг, оказываемых органом государственного и хозяйственного управления, органом государственной власти на местах через официальный веб-сайт в обязательном порядке, согласно подпункту «н» пункта 2, приложение №3 к постановлению Кабинета Министров от 31 декабря 2013 года № 355. В ту минуту казалось замечательным, что на официальном сайте компании, разработанном в далеком 2011 году, имеется такая возможность. Однако, счастье длилось не долго. Удивительная штука – память, в которой каким-то образом всплыли интересные события почти двухлетней давности и связаны они были с передачей параметров в запросе методом GET, на странице подписки. Тогда на этом же сайте подписывался знакомый человек и прежде, чем ввести свой действительный e-mail, сначала решено было воспользоваться временным адресом, чтобы проверить, а так ли все хорошо с безопасностью персональных данных. К сожалению, все оказалось печально.

Представьте, что на сайте, после отправки запроса на подписку URL в адресной строке браузера принимает вид: http://domain.uz/subscribe/?ID=765 и при изменении последних цифр, в ответе от сервера, браузеру прилетает страница, но с заполненным полем формы подписки, в котором светится e-mail подписчика. Итак, подписка выполнена, в адресной строке браузера висит трехзначное число – оно подсказывало, что на текущий момент общее количество подписчиков приблизительно равняется значению этого числа. Очевидно, что ответ на вечный вопрос: «Нужна ли математика программисту?», – тоже находится где-то в этой плоскости. Как сказано Мэттью Келли: «Чтение для ума — что физкультура для тела и молитва для души. Мы становимся книгами, которые читаем», – цитата из книги «Магия утра. Как первый час дня определяет ваш успех», автор Хэл Элрод. На самом же деле, конечно речь идет не только о представителях этой специальности, и не только о книгах. Сколько бы ссылок ни было приведено в пользу достойной литературы и саморазвития, по различным причинам, крайне сложно избежать споров относительно мнений в предыдущей паре предложений. Поэтому, во избежание холиваров и смещения фокуса, будем отталкиваться от классики, которая подсказывает, что история нас рассудит. Следует добавить, что кроме математики не помешает еще логика со своими причинно-следственными связями, а еще много чего дополнительно. Никто не знает где, когда и какие знания, в этой непредсказуемой жизни, могут пригодиться. Но то, что дополняет картину мира, пусть даже исключительно эмоционально – бесполезным и тем более лишним, уже быть не может. Но вернемся к уязвимости, обнаруженной в форме подписки.

Именно в тот момент, обратить внимание на такое положение дел, заставило то, что пару лет назад числа не были столь значительными. Возможно, даже будучи трехзначными еще тогда, все равно не особо впечатляли, но за минувшее время ситуация явно изменилась, и на приближающийся к концу декабрь 2017 года, речь шла о сотнях e-mail адресов подписчиков, которые могут или уже утекли не понятно куда и для каких целей. В современном мире ценность содержимого почтовых ящиков сложно переоценить. Ключом к началу каких-либо активных действий, не исключено, что негативного характера, служит именно тот самый пресловутый адрес электронной почты. А к ситуации с раскрытием даже 10 e-mail адресов, которые могли увидеть получатели рассылки в рамках одного сервиса, относятся достаточно серьезно и компания приносит извинения, за инцидент. Но, как потом оказалось, целому ряду организаций Республиканского масштаба, совершенно безразлично наличие недостатков в безопасности, на официальных сайтах, нарушающих конфиденциальность приватных данных, однако обо всем по порядку.


Izohlar (0)

Авторизуйтесь, чтобы добавлять комментарии
Bizga xabar yuboring