По плану сегодня я хотел опубликовать другую заметку. Но так получилось, что планы мои поменялись. В пятницу вечером я активно гуглил в поисках нужной мне информации. Сначала я искал просто ссылки, потом сконцентрировался на поиске конкретных презентаций, ну а потом затянуло ;-) Я стал играться с Google, вспомнив, как прошлой осенью в Интернете разгорелся скандал по поводу выкладывания многими госорганами у себя на сайтах конфиденциальной информации, служебной тайны, а в ряде случаев (по словам коллег) и гостайны. И вот я решил повторить тот же путь, задав соответствующий поисковый запрос, где в качестве ключевых слов были использованы "для служебного пользования", "конфиденциально", "секретно" и т.д. Нашлось немало всякой разной информации, содержащей эти грифы. Выложенные в открытый доступ паспорта антитеррористической защищенности многих объектов, места дислоцирования воинских частей и многое другое. Да и список критически важных объектов составить путем правильных запросов несложно (хотя сам сводный список является секретным). Но этим пусть занимаются тем, кому положено заниматься. Я же стал искать другие проявления халатности; уже в коммерческом секторе.
Нашлось тоже немало. Политики информационной безопасности, подробные описания систем защиты, схемы сетей с указанием всей адресации, отчеты, коммерческие предложения, списки цен, результаты тестирования продуктов (не всегда положительные), анализы рынка, проекты документов, файлы паролей, конфиги (с открытыми паролями)... Прошелся и по тематике персональных данных. Причем двояко. Сначала просто поискал различные ПДн на сайтах - нашел выше крыши. Причем явно такие ПДн находятся на сайте незаконно - видимо кто-то выложил файл на сайт, а служба ИТ/ИБ то ли не проставила прав доступа на разделы сайта, то ли забыла установить запрет на индексацию... Но итог очевиден - персональных данных полно. Также как и полно документов, регламентирующих вопросы обработки и защиты ПДн. И это не политика в области обработки ПДн, которая должна быть разработана по ст.18.1 ФЗ-152. Речь идет именно о внутренних нормативных актах, которые не должны светиться наружу. Причем доходит до смешного. Общался с некоторыми коллегами на конференциях. Спрашиваю - "разработали вы нормативку по ПДн?". Отвечают утвердительно. "Можете показать?". "Нет. Конфиденциальная информация". Ввожу их сайты в Google - получаю полный набор документов, которые они скрывали ;-)
Еще случай. На одном из сайтов предлагается комплект документов и программное обеспечение по моделированию определенных процессов. Стоимость комплекта - несколько сотен тысяч рублей. Опять в Google. Вуаля. В одном из разделов сайта находятся все документы. При этом раздел не доступен из меню сайта и системы поиска. Но Google замечательно обошел все препоны и выдал прямую ссылку на местоположение данных, на которых можно было бы заработать. И таких примеров можно привести множество.
Какова причина сего безобразия? Я вижу их несколько. Самая банальная - отсутствие взаимодействия между ИТ и ИБ службами организации. Первые делают и запускают сайт, не ставя в известность вторых. Итог печален. Вторая причина - низкая квалификация сотрудников служб ИБ, которые сами не всегда знают как защищать сайты. То есть общие-то принципы им известны, а вот конкретные шаги применительно к конкретной системе управления сайтом или Web-серверу им незнакомы. И вновь итог печален. И третья причина - отсутствие регулярного мониторинга защищенности и конфигурации своих сайтов. Может быть при создании сайт и был защищен, но он рос, развивался, менялся. В итоге первичные настройки уже забыты, а про новые никто и не вспомнил. Результат опять предсказуем.
Что могу посоветовать сделать прямо сейчас. Введите в Google следующий поисковый запрос: "filetype:doc site:"адрес своего сайта"" (в Google вводить все без кавычек). Этот запрос выдаст все файлы формата DOC, которые доступны извне. Можете сузить запрос и перед filetype ввести ключевое слово или фразу. Тогда будут найдены все файлы Word, содержащие искомый запрос. Кстати, учитываете, что расширения DOC и DOCX в Google - это разные результаты в поисковой выдаче. Можно попробовать и такой запрос "filetype:dat passwd" (не забудьте использовать оператор site с указанием своего домена). Он может выдать вам очень интересный результат. А вообще с помощью Google у себя на сайте можно много чего поискать - пароли, реестры, ключи, сертификаты и т.д. Главное, правильно составить запрос, используя стандартные функции Google.
Ну а что делать, если вы у себя нашли какие-нибудь дыры, открытые всем, я думаю, вы знаете.
Нашлось тоже немало. Политики информационной безопасности, подробные описания систем защиты, схемы сетей с указанием всей адресации, отчеты, коммерческие предложения, списки цен, результаты тестирования продуктов (не всегда положительные), анализы рынка, проекты документов, файлы паролей, конфиги (с открытыми паролями)... Прошелся и по тематике персональных данных. Причем двояко. Сначала просто поискал различные ПДн на сайтах - нашел выше крыши. Причем явно такие ПДн находятся на сайте незаконно - видимо кто-то выложил файл на сайт, а служба ИТ/ИБ то ли не проставила прав доступа на разделы сайта, то ли забыла установить запрет на индексацию... Но итог очевиден - персональных данных полно. Также как и полно документов, регламентирующих вопросы обработки и защиты ПДн. И это не политика в области обработки ПДн, которая должна быть разработана по ст.18.1 ФЗ-152. Речь идет именно о внутренних нормативных актах, которые не должны светиться наружу. Причем доходит до смешного. Общался с некоторыми коллегами на конференциях. Спрашиваю - "разработали вы нормативку по ПДн?". Отвечают утвердительно. "Можете показать?". "Нет. Конфиденциальная информация". Ввожу их сайты в Google - получаю полный набор документов, которые они скрывали ;-)
Еще случай. На одном из сайтов предлагается комплект документов и программное обеспечение по моделированию определенных процессов. Стоимость комплекта - несколько сотен тысяч рублей. Опять в Google. Вуаля. В одном из разделов сайта находятся все документы. При этом раздел не доступен из меню сайта и системы поиска. Но Google замечательно обошел все препоны и выдал прямую ссылку на местоположение данных, на которых можно было бы заработать. И таких примеров можно привести множество.
Какова причина сего безобразия? Я вижу их несколько. Самая банальная - отсутствие взаимодействия между ИТ и ИБ службами организации. Первые делают и запускают сайт, не ставя в известность вторых. Итог печален. Вторая причина - низкая квалификация сотрудников служб ИБ, которые сами не всегда знают как защищать сайты. То есть общие-то принципы им известны, а вот конкретные шаги применительно к конкретной системе управления сайтом или Web-серверу им незнакомы. И вновь итог печален. И третья причина - отсутствие регулярного мониторинга защищенности и конфигурации своих сайтов. Может быть при создании сайт и был защищен, но он рос, развивался, менялся. В итоге первичные настройки уже забыты, а про новые никто и не вспомнил. Результат опять предсказуем.
Что могу посоветовать сделать прямо сейчас. Введите в Google следующий поисковый запрос: "filetype:doc site:"адрес своего сайта"" (в Google вводить все без кавычек). Этот запрос выдаст все файлы формата DOC, которые доступны извне. Можете сузить запрос и перед filetype ввести ключевое слово или фразу. Тогда будут найдены все файлы Word, содержащие искомый запрос. Кстати, учитываете, что расширения DOC и DOCX в Google - это разные результаты в поисковой выдаче. Можно попробовать и такой запрос "filetype:dat passwd" (не забудьте использовать оператор site с указанием своего домена). Он может выдать вам очень интересный результат. А вообще с помощью Google у себя на сайте можно много чего поискать - пароли, реестры, ключи, сертификаты и т.д. Главное, правильно составить запрос, используя стандартные функции Google.
Ну а что делать, если вы у себя нашли какие-нибудь дыры, открытые всем, я думаю, вы знаете.
"Какова причина сего безобразия? Я вижу их
ОтветитьУдалитьнесколько." стоит еще добавить так Вами нелюбимые сертификаты. Они конечно проблемы не решат, но в какой-то степени минимизируют совсем уж идиотские ошибки.
Кстати есть чему порадоваться: проверил выдачу гугла по сайту и ничего не нашлось.
Радикальное решение: "Нет сайта - нет проблемы!"
ОтветитьУдалить