¿Por qué los servidores públicos a menudo se mantienen mal, usan software obsoleto y no son seguros?
Hay muchas explicaciones para este triste fenómeno, pero no hablemos de ello.
Estoy reescribiendo este artículo por segunda vez desde No hace mucho tiempo, algunos de los problemas fueron solucionados, y llegar al resto me pareció inútil. Pero, por desgracia, como resultado de los cambios, la situación ha vuelto prácticamente a lo que era originalmente.
Hay una compañía tan maravillosa Ferrocarriles rusos. No hace mucho tiempo,
se planteó un
tema sobre Habré con seguridad en halcones peregrinos, con un
final bastante
predecible .
Sería ingenuo creer que este es el único problema con la infraestructura de los ferrocarriles rusos.
Sin embargo, no somos intrusos,
sí, camarada mayor, no somos así . De acuerdo, Sapsan, quien hubiera pensado que un atacante malvado compraría un boleto y comenzaría a hackear desde adentro. Por lo tanto, estamos únicamente fuera de interés académico, veamos qué tan bien están las cosas en el sitio web de Russian Railways. Su importancia y popularidad en las vastas extensiones de la antigua URSS y no solo difícilmente se pueden sobreestimar. Podría haber una historia desgarradora de cómo se descubrió este problema al comprar un boleto para un gato querido, pero espero que esta vez puedas hacerlo sin mentir historias llorosas e inmediatamente sumergirte en la dura realidad.
Entonces no vamos a extender una capa en un árbol.
Hay un
servicio tan maravilloso y gratuito
Intentemos usarlo para verificar lo que tenemos con el sitio rzd.ru, donde millones de personas dejan su información personal. Probablemente, no debería haber defectos obvios aquí. Es natural entender que este servicio solo prueba el sitio, en ningún caso estos datos deben considerarse verdaderos en el último recurso y al menos algún tipo de auditoría seria.
La situación en este momento .
La situación al momento de escribir
Si alguien está interesado, así es como se veía el resultado antes de que Russian Railways comenzara a cambiar la configuración:
Como puede ver, el resultado es insatisfactorio.
¿Debería confiar en este sitio con sus datos personales?
Podemos ver que se utiliza SSL V3, que está en desuso en 2015.
CVE-2014-3566, alias poodle, vulnerabilidad 2014 (!!!) del año
Pero el cálido tubo IE6 es compatible. Creo que los webmasters y diseñadores de diseño de la vieja escuela recuerdan bien lo fácil y divertido que fue su soporte.
Bueno, por supuesto, todos los cifrados compatibles son vulnerables o débiles.
Y la guinda del pastel es el único protocolo criptográfico que no está en desuso en la actualidad, respaldado por rzd.ru es TLS 1.0. Lo más destacado de esta situación es que, como se
escribió anteriormente en Habré, en 2020, los navegadores más populares planean abandonar su soporte.
EnlaceEntonces, si en 2020 Russian Railways no hace nada, muchos usuarios tendrán algo similar a esto en lugar del sitio
De hecho, esto es bastante bueno, quizás los problemas masivos con la emisión de tickets de los usuarios obligarán al menos un poco a hacer el sitio. Y creo que encontrarán a alguien a quien culpar por una desviación tan vil contra los ferrocarriles rusos. Y los atacantes, y qué hacer con ellos, y por qué.
¿Por qué fue posible hackear? Probablemente porque el atacante. (C) Director de TI de Ferrocarriles Rusos, Evgeny Charkin.