Ряд проблем с кибербезопасностью информационных ресурсов Вооруженных сил Украины, среди которых – проблемы с Аккредитованным центром сертификации ключей Вооруженных сил и почтовым сервером ВСУ, обнаружил эксперт по информационной безопасности Андрей Перевезий. Эксперт отмечает: вопросы далеко не критические, но Минобороны стоит уделять больше внимания кибербезопасности.
Об этом пишет InternetUA.
Андрей Перевезий обнаружил на сайте Аккредитованного центра сертификации ключей Вооруженных сил Украины инсталляционные файлы электронных ключей, используемых Минобороны. Кроме этого, в Минобороны на данном сайте используют незащищенный протокол передачи данных (что повышает риск перехвата информации). Также в МОУ никак не ограничивают доступ посторонних к административной панели почтового сервера.
– Когда я показал то, что сейчас опубликовано, мой коллега сказал только одно слово – «б…дь». Предлагаю всем ознакомиться с инсталяхами электронных ключей, которые используются в Минобороны. Информация находится в открытом доступе (честно говоря, сложно комментировать причины), но это как бы ещё ничего. Уважаемые коллеги, комьюнити, давайте скинемся Минобороны на https://, по баксу с профиля – лет на 10 Comodo купим, – написал Перевезий на своей странице в Facebook. – На самом деле, вопрос, зачем это выкладывать в открытом доступе? У меня до сих пор висит, тем более — выкладывать pdf, где написан локальный IP системы «Дніпро». Ну, и если кто-то хочет почитать почту, тоже милости просим.
В комментарии журналисту InternetUA Андрей Перевезий объясняет: для специалистов по информационной безопасности обнаруженное – это абсурдные, детские проблемы, которые специалисты Минобороны страны должны оперативно устранять.
– Если говорить о нахождении в открытом доступе инсталляционных файлов электронных ключей МОУ, то это, по меньшей мере, странно. Это, в первую очередь, репутационные риски: вроде бы каждый банк имеет свой софт, который работает с ЕЦП и т.д., только этот софт не лежит в открытом доступе, хотя им пользуются многие. Но в данной ситуации мы говорим не о каком-то банке, а о Министерстве обороны страны, которое проводит ООС и, при этом, выкладывает такие файлы в открытый доступ. Однако ключевой момент в данной ситуации – использование протокола http, а не https, – говорит эксперт. – Протокол http является небезопасным. Это как раз и серьезней проблема, чем сам софт. Если сайт использует сертификат http, то трафик ничем не защищен и может быть перехвачен. Все сайты, которые работают с платежными системами или с персональными данными, обязаны иметь сертификат https, вот только сайт Минобороны решил обойтись http.
Проблемой называет эксперт и тот факт, что почтовый сервер Министерства обороны mil.gov.ua имеет удаленную систему входа.
– Данный почтовый сервер, mil.gov.ua, имеет удаленную систему входа. По тому же принципу, как вы заходите на почту от Google. Только Google при этом более защищен, и есть вероятность подбора злоумышленником пароля, зная, например, почтовый ящик пользователя, – объясняет Андрей Перевезий.
Эксперт подчеркивает: обнаруженные бреши не критичны и легко исправляются, но само их наличие может повлечь репутационные риски:
– Просто для специалистов ИБ-комьюнити — это абсурдные детские проблемы, которые чаще всего возникают из-за глупости того или иного персонажа. С помощью этих уязвимостей нанести существенный вред стране невозможно, но когда таких мелочей очень много, то возможны и какие-то последствия.
Журналисты InternetUA обратились в ВСУ с запросом по поводу обнаруженных проблем с безопасностью. Ответ мы опубликуем позже.
