Puse Latvijas valsts datubāzu ir neaizsargātas

Moderatori: janis.wd, Vecākie lietotāji

User avatar
samurajs
Administrators
Atbildes: 14988
Pievienojies: 06 Mar 2007, 15:04
Reputācija: 0
Atrodas: Liepājas anomālā zona

Puse Latvijas valsts datubāzu ir neaizsargātas

Post no samurajs » 23 Feb 2010, 23:25

[imgl]https://notepad.lv/userpix/28_hacker_1.jpg[/imgl]Skandāls ar datu noplūdi no VID datubāzes atklājis bēdīgu ainu: no 175 valsts informācijas sistēmām un datubāzēm pusei nav drošības uzraugu. Praktiski ir tā, ka par datu drošību neviens neatbild.
"Īstenībā neviens Valsts ieņēmumu dienestā nav atbildējis par to, vai vispār kāds skatās, vai datu sistēma ir drošībā vai nav. Tur nav tādas amatpersonas. Nav arī tāda informācijas tehnoloģiju cilvēka, kurš ar šo sistēmu ikdienā strādātu, rūpētos par šo datu drošību. Un tā jau ir vadības problēma," sarunā ar reģionālās preses žurnālistiem sacīja prezidents V. Zatlers, vēsta aģentūra BNS.

Tāpat arī VID gadījumā ar kompāniju - datubāzes uzturētāju "Exigen Services" 9 gadu laikā neviens pat nav pārliecinājies, vai šis uzņēmums atbilst saviem pienākumiem.

Tagad gan tiks paātrināti bīdīts "Nacionālās informācijas tehnoloģiju drošības sistēmas likums”, veidota Ministru prezidentam pakļauta darba grupa, un tamlīdzīgas aktivitātes. Protams, kāds atkal pamanīsies solīdi uzvārīties, bet pie tā jau mums vairs nav jāpierod...

Avots - Diena.
Image

User avatar
_Mo3_
Reģistrēts lietotājs
Atbildes: 610
Pievienojies: 30 Okt 2008, 01:22
Reputācija: 0
Atrodas: Olaine

Post no _Mo3_ » 23 Feb 2010, 23:29

nu kā jau vienmēr, kkam ir jānotiek, lai kkas tiktu darīts lietas labā!
Image

User avatar
Crow
E-žurnālists
Atbildes: 5391
Pievienojies: 10 Mai 2009, 14:22
Reputācija: 0
Atrodas: Ir

Post no Crow » 23 Feb 2010, 23:33

Pamodušies, odnako :D
Дебилы, бл*ть...

Eric
Reģistrēts lietotājs
Atbildes: 26
Pievienojies: 04 Aug 2009, 16:26
Reputācija: 0

Post no Eric » 23 Feb 2010, 23:43

Kapēc tieši 1/2 ?? varbūt 1/3 vai pilnīgi visas??

Nepieklājas tā mētāties ar "datiem" :)

Fakts, ko vajadzētu uzsvērt ir tāds, ka LV nav kārtības kā tādas - sniegs gāžas cilvēkiem uz galvas, čaļi pa kluso nokopē vid datubāzi un kāds pamanās uzcelt māju kāpās..

User avatar
jonjs
E-žurnālists
Atbildes: 971
Pievienojies: 08 Sep 2009, 12:11
Reputācija: 0

Post no jonjs » 23 Feb 2010, 23:51

Vispār jau LV maz un kas par kaut ko tā REÄ€LI atbild. Varbūt ārēji tikai ar sirdsapziņu (paši tai laikā domā, ka ejiet, ka jūs visi) vai politisko "atbildību". Jautājums ir cits kāda ir izstrādes kvalitāte LV? Labi var visu norakstīt uz slikti sastādītu tehnisko uzdevumu (ko, kur un ka uzprogrammēt), bet kā ir vispārēji ar izstrādāto skriptu un produktu drošību? Atkal pieminēšu, ka profs neesmu (naudu ar skriptēšanu nepelnu), bet esmu drošs, ka uztaisīt interneta vietni (ar to pašu banālo SQL) savām vajadzībām varētu kāda mēneša laikā. Tomēr es zinu, ka par aizsardzību man nav ne mazākās sajēgas. Š…emot vērā LV situāciju vai nav kādas problēmas šajā sfērā arī citiem? Protams programmu rakstītāji nav tie, kas aizsargā interneta vietnes, bet VID lapa (kuru radīja skripteri), kuri strādā STARPTAUTISKÄ€ uzņēmumā? Tādēļ man ir jautājums, kā tad tā? Īsti neticu, ka cilvēki, kas raksta un rada interneta vietnes un sistēmas nesaprot, ko viņi dara.
ritenis vienkārši ripo
Jāsaka paldies tam, kas radīja bumbu uz kuras mēs dzīvojam un gravitācija arī ir tam visam pamatā.
Kvantu fiziku neskarsim, jo no tās es tā pat nekā nejēdzu.
Starp citu, kas tā tāda relativitātes teorija?

User avatar
WerNeo
Lietpratējs
Atbildes: 1805
Pievienojies: 14 Aug 2007, 01:27
Reputācija: 0

Post no WerNeo » 24 Feb 2010, 10:47

Protams, var jau tagad "liet" par to čaļu profesionalitāti un atbilstību amatiem, kas taisīja to sistēmu. Tomēr gribētu atgādināt divas patiesības:

1) Programmētāja pirmā un galvenā kļūda ir uzskats, ka viņa programmā kļūdu nav.
2) "Ломать - не строить!"

P.S.
Īstenībā neviens Valsts ieņēmumu dienestā nav atbildējis par to, vai vispār kāds skatās, vai datu sistēma ir drošībā vai nav. Tur nav tādas amatpersonas. Nav arī tāda informācijas tehnoloģiju cilvēka, kurš ar šo sistēmu ikdienā strādātu, rūpētos par šo datu drošību.
Man patīk, kā pie mums pieņemts... :D Vispirms vajag kādu amatu, kas uzraudzīs drošības sitēmas darbinieka darbu. ..un tikai tad vajadzēs speciālistu, kas to visu reāli darīs. :D

usver
Reģistrēts lietotājs
Atbildes: 311
Pievienojies: 04 Okt 2009, 14:53
Reputācija: 0

Post no usver » 24 Feb 2010, 12:16

WerNeo wrote:Protams, var jau tagad "liet" par to čaļu profesionalitāti un atbilstību amatiem, kas taisīja to sistēmu. Tomēr gribētu atgādināt divas patiesības:
..
2) "Ломать - не строить!"
Un tieši tāpēc ir samērā vienkārši atrast un labot bugus sistēmā. Esmu savā veidojamā sistēmā kolēģu kodā atklājis un izlabojis daudzus kukaiņus, arī tādus, kas ļauj mierīgi nodumpot visus jūzerus/paroles. Sou what? Un labošana neaizņem pat 1% no izstrādes laika - tas tiešām ir ELEMENTÄ€RI, ja saproti, kas sistēmā notiek un ja vien uz tā jau nebalstās pārāk liela sistēmas daļa (SQL vaicājumi hārdkodēti datubāzē un postēti kā hidden lauks - anyone?). Triviālās ievainojamības var atrast, pat neko par sistēmu nezinot, tā ka nav ko aizbildināties ar resursu trūkumu - drīzāk tas ir vadības pokujisms.

Ja izstrādes kantora vadība ignorē vajadzību rezervēt resursus kaut kam tādam, tad rodas loģisks jautājums - kāda mārrutka pēc viņi paši vispār vicinās ar CISA/ISO sertifikātiem?

User avatar
WerNeo
Lietpratējs
Atbildes: 1805
Pievienojies: 14 Aug 2007, 01:27
Reputācija: 0

Post no WerNeo » 24 Feb 2010, 13:56

usver wrote: Esmu savā veidojamā sistēmā kolēģu kodā atklājis un izlabojis daudzus kukaiņus, arī tādus, kas ļauj mierīgi nodumpot visus jūzerus/paroles. Sou what? Un labošana neaizņem pat 1% no izstrādes laika - tas tiešām ir ELEMENTÄ€RI, ja saproti, kas sistēmā notiek un ja vien uz tā jau nebalstās pārāk liela sistēmas daļa...
Tieši tāpēc labāk savus darbus ir iedot notestēt citiem, jo pats savos darbos programmētājs (neapzināti vai apzināti) meklē ķļūdas tur, kur izstrādes laikā radās šķietamās problēmas. Kur bija kaut kādas aizķeršanās. :) Tieši tāpēc, nopietnās kompānijās tiek algoti tā sauktie "profesionālie idioti", kas meklē kļūdas programmētāju darbos.

Bet... kā jau rakstā minēts. Pie mums, pirms iedot kādam kaut ko labot, vispirms vajag noalgot ierēdni, kas uzraudzīs šī labotāja darbu. :)

Tad vajag drošības speciālistu, kuram arī būs savs ierēdnis - "drošības uzturēšanas uzraugs".

P.S. Protams, ka problēma ir kaut kur pa vidu, starp izstrādes firmu un VID. Jo vai nu vieniem, vai otriem vajadzēja nodrošināt kādu, kas to visu arī regulari uztur un testē. Ne jau tantītes, kas tur vada datus iekšā, var pateikt, kas ir bugains un kas ir caurumains.

usver
Reģistrēts lietotājs
Atbildes: 311
Pievienojies: 04 Okt 2009, 14:53
Reputācija: 0

Post no usver » 24 Feb 2010, 14:50

WerNeo wrote:Tieši tāpēc labāk savus darbus ir iedot notestēt citiem, jo pats savos darbos programmētājs (neapzināti vai apzināti) meklē ķļūdas tur, kur izstrādes laikā radās šķietamās problēmas. Kur bija kaut kādas aizķeršanās. :) Tieši tāpēc, nopietnās kompānijās tiek algoti tā sauktie "profesionālie idioti", kas meklē kļūdas programmētāju darbos.
gygy, tie saucas testētāji.
pieeja ir vai nu regulāra baltās kastes testēšana, vai arī neregulārs koda audits. Jebkurā gadījumā, pielaižot pie sistēmas vāji sagatavotu testētāju armiju produktivitāte būtu daudz zemāka nekā palaižot pie tās sistēmu arhitektu ar uzdevumu "dabūn admina tiesības!". Testētāji, kas nav koderi, 2 nedēļas iepazīsies ar sistēmu un atklās, ka "sistēma aprauj tekstus, ja ziņas virsrakstā ir vairāk par 32KB teksta".
Bet "profesionāli" auditori paši redzam, kā strādā - miljons pārskaitīts, bet jēga tikai "uz papīra". Atkārtoju vēlreiz - normāls sistēmu arhitekts/vecākais programmētājs, kurš visu laiku ir ar rokām kodā, uzrādīs maksimālo price/performance jaudu kritiski svarīgu kļūdu atrašanā+novēršanā. Tīņu-SQL injekciju mēģinātāju armiju var laist, lai atrastu tikai 3min laikā atrodamās ievainojamības, nevis visas.
WerNeo wrote:P.S. Protams, ka problēma ir kaut kur pa vidu, starp izstrādes firmu un VID. Jo vai nu vieniem, vai otriem vajadzēja nodrošināt kādu, kas to visu arī regulari uztur un testē. Ne jau tantītes, kas tur vada datus iekšā, var pateikt, kas ir bugains un kas ir caurumains.
Ja uz VID servera TIEŠ Ä€M nekas nav mainīts, tad tā ir tikai un vienīgi Exigen atbildība. No VID puses tiek prasīts, lai iedod 20 savas tantes uz apmācību (lai pēc tam izstrādātājam vairs nav jāatbild uz stulbiem jautājumiem "a kas man tagad bija jāspiež") un ziņo par acīmredzamām kļūdām sistēmā, ka kaut kas nestrādā kā vajag piemēram "mums tajā dokumentā nesaglabā datumus". Viss - VID atbildība ar to beidzas.
Penetration testing sistēmas drošībai, stresstesti (servera prasību noteikšanai pēc lietotāju skaita) - tas viss ir Exigen atbildība un neviena cita.
Ja dēļ cauras VID servera sambas būtu pwnz0rēts VID serveris un caur to dabūti dati, kas savādāk nebūtu dabūjami, tad varētu runāt, ka Exigens ir balts, pūkains un nevainīgs.

User avatar
WerNeo
Lietpratējs
Atbildes: 1805
Pievienojies: 14 Aug 2007, 01:27
Reputācija: 0

Post no WerNeo » 24 Feb 2010, 15:40

Paga, paga... vai es minēju, ka firmas algo "Tīņu-SQL injekciju mēģinātāju armiju" vai "vāji sagatavotu testētāju armiju"? :) Š ķiet, ka nē!

Bet par tikai un vienīgi vienas vai otras puses atbildību neņemos spriest, jo es tur klāt nebiju un "svecīti neturēju", tāpēc saku, ka kaut kur tur pa vidu tā vaina.

Redzi, dzīve nesastāv tikai no true/false vai balta/melna. Parasti, kad kaut kas liels un nelāgs notiek, iesaistīti ir vairāki faktori.

P.S. Testētāji = "profesionāli idioti" (tas tāds neoficiāls termins. Tā viņus sauc kompāniju programmētāji. Tas nenozīmē, ka tie cilvēki ir neprofesionāli vai slikti sagatavoti.)

usver
Reģistrēts lietotājs
Atbildes: 311
Pievienojies: 04 Okt 2009, 14:53
Reputācija: 0

Post no usver » 24 Feb 2010, 16:32

WerNeo: Tādu spējīgu testētāju nemaz nav - visi, kas jēdz tālāk par savu degungalu, aiziet uz koderiem un pēc tam uz vecākajiem koderiem un pēc tam uz sistēmu arhitektiem. Bet patstāvīgi nestandarta lietas testētāji nemācās pēc definīcijas. Ja zini kādu izņēmumu - apbrīno un atceries, kas tas ir retums.
Pēc definīcijas - tāpat kā meklēt dizaineri, kurš "būtu eksperts programmēšanā" (99% tādi nav un nebūs) vai koderi, kurš "pusi dzīves būtu zīmējis" (vēl lielāks retums). Vienkārši testēšana - tā ir vienveidīgu darbību atkārtošana un "auditi" pa lielākai daļai sastāv no intervijām
" tā .. vai jums PKI sistēmā tiek atbalstīts? Tiek ar X509 palīdzību ja? Jā, zinu tādu vārdu - okei, liekam ķeksīti .. kujviņuzin, ko tas īsti nozīmē, bet ķeksītis ir un pietiek. Vai jums piekļuves ierobežojumi pēc tīkla maskām ir? Ir, ja? Okei, arī liekam ķeksīti ..".

Sīkums no pieredzes: es nezinu NEVIENU testētāju, kas spētu patstāvīgi atrast ievainojamības kādā vebiskā sistēmā. Pazīstu 8 gabalus, puse no tiem strādā lielu vebisku sistēmu izstrādes firmā.

I'm not a racist, but...
Reģistrēts lietotājs
Atbildes: 85
Pievienojies: 06 Dec 2009, 01:10
Reputācija: 0
Atrodas: Džungļi

Post no I'm not a racist, but... » 26 Feb 2010, 23:01

VID jau nu varēja atļauties nopirkt SSS licensi un atrast izplatītakos bugus. Labums būtu lielāks nekā algot luņus par tūkstošiem. Starp citu, rekomendēju http://www.safety-lab.com/en/products/s ... canner.htm
WARNING: Disruptive tests enabled.

afigel
Reģistrēts lietotājs
Atbildes: 304
Pievienojies: 04 Nov 2007, 18:36
Reputācija: 0
Atrodas: Bedrograda

Post no afigel » 03 Mar 2010, 15:51

valsts informācijas sistēmām un datubāzēm pusei nav drošības uzraugu.

uzvedos kautkaada m pedinjam amatu, ieseedinaas kaadu resnu sljupstoshu cuuku kaa beertulsoni un voila.
buus taapat kaa ar tiesiibsargu- itkaa ir, bet jeegas nekaadas.

Pievienot atbildi

Return to “IT ziņas”