Pourquoi les serveurs publics sont-ils souvent mal entretenus, utilisent-ils des logiciels obsolètes et ne sont-ils pas sûrs?
Il existe de nombreuses explications à ce triste phénomène, mais n'en parlons pas.
Je réécris cet article pour la deuxième fois depuis il n'y a pas si longtemps, certains problèmes ont été résolus et il me semblait inutile de passer aux autres. Mais hélas, à la suite des changements, la situation est revenue pratiquement à ce qu'elle était à l'origine.
Il y a une si merveilleuse compagnie Russian Railways. Il n'y a pas si longtemps, un
sujet a été soulevé sur Habré avec la sécurité des faucons pèlerins, avec une
fin assez
prévisible .
Il serait naïf de croire que c'est le seul problème avec l'infrastructure des chemins de fer russes.
Cependant, nous ne sommes pas des intrus,
oui, camarade major, nous ne sommes pas comme ça . D'accord, Sapsan, qui aurait pensé qu'un attaquant maléfique achèterait un billet et commencerait à pirater de l'intérieur. Par conséquent, nous ne sommes que par intérêt académique, voyons comment les choses vont bien sur le site Web des chemins de fer russes. Son importance et sa popularité dans les vastes étendues de l'ex-URSS et non seulement ne peuvent guère être surestimées. Il aurait pu y avoir une histoire déchirante sur la façon dont ce problème a été découvert lors de l'achat d'un billet pour un chat bien-aimé, mais j'espère que cette fois, vous pourrez vous passer d'histoires en larmes et plonger immédiatement dans une dure réalité.
Nous n'allons donc pas étaler une cape sur un arbre.
Il y a un service merveilleux et gratuit
Essayons de l'utiliser pour vérifier ce que nous avons avec le site rzd.ru, où des millions de personnes laissent leurs informations personnelles. Il ne devrait probablement pas y avoir de défauts évidents ici. Il est naturel de comprendre que ce service ne teste que le site, en aucun cas ces données ne doivent être considérées comme vraies en dernier ressort et au moins une sorte d'audit sérieux.
La situation en ce moment .
La situation au moment de la rédaction
Si quelqu'un est intéressé, voici à quoi ressemblait le résultat avant que les chemins de fer russes ne commencent à modifier les paramètres:
Comme vous pouvez le voir, le résultat n'est pas satisfaisant.
Devez-vous faire confiance à ce site avec vos données personnelles?
Nous pouvons voir que SSL V3 est utilisé, ce qui est obsolète en 2015.
CVE-2014-3566, alias caniche, vulnérabilité 2014 (!!!) de l'année
Mais le tube IE6 chaleureux est pris en charge. Je pense que les webmasters et les concepteurs de mise en page de la vieille école se souviennent bien de la facilité et du plaisir de son support.
Eh bien, bien sûr, tous les chiffres pris en charge sont soit vulnérables soit faibles.
Et la cerise sur le gâteau est le seul protocole cryptographique qui n'est pas déconseillé aujourd'hui, pris en charge par rzd.ru est TLS 1.0. Le point culminant de cette situation est que, comme précédemment
écrit sur Habré, en 2020, les navigateurs les plus populaires prévoient d'abandonner son support.
LienDonc, si, en 2020, les chemins de fer russes ne font rien, de nombreux utilisateurs auront quelque chose de similaire à la place du site
En fait, c'est plutôt bien, peut-être que des problèmes massifs avec l'émission de billets des utilisateurs forceront au moins un peu à faire le site. Et je pense qu'ils trouveront quelqu'un à blâmer pour un détournement aussi vil contre les chemins de fer russes. Et les attaquants, et quoi faire avec eux, et pourquoi.
Pourquoi était-il possible de pirater? Probablement parce que l'attaquant. (C) Directeur informatique des chemins de fer russes, Evgeny Charkin.