Por que os servidores públicos geralmente são mal mantidos, usam software desatualizado e não são seguros?
Há muitas explicações para esse triste fenômeno, mas não vamos falar sobre isso.
Estou reescrevendo este artigo pela segunda vez desde Não faz muito tempo, alguns dos problemas foram resolvidos e, para mim, o resto me pareceu inútil. Mas, infelizmente, como resultado das mudanças, a situação voltou praticamente ao que era originalmente.
Existe uma empresa tão maravilhosa Russian Railways. Não faz muito tempo, Habré levantou um
tópico sobre segurança em falcões peregrinos, com um
final bastante
previsível .
Seria ingênuo acreditar que este é o único problema com a infraestrutura da Russian Railways.
No entanto, não somos intrusos,
sim, camarada major, não somos assim . Certo, Sapsan, que pensaria que um atacante do mal compraria uma passagem e começaria a invadir por dentro. Portanto, não temos interesse acadêmico, vamos ver como estão as coisas no site da Russian Railways. Sua importância e popularidade nas vastas extensões da ex-URSS e não apenas dificilmente podem ser superestimadas. Poderia ter havido uma história de cortar o coração de como esse problema foi descoberto ao comprar um ingresso para um gato amado, mas espero que desta vez você possa passar sem contar histórias chorosas e mergulhar imediatamente na dura realidade.
Portanto, não espalharemos uma capa em uma árvore.
Existe um
serviço tão maravilhoso e gratuito
Vamos tentar usá-lo para verificar o que temos com o site rzd.ru, onde milhões de pessoas deixam suas informações pessoais. Provavelmente, não deve haver nenhuma falha óbvia aqui. É natural entender que esse serviço apenas testa o site, em nenhum caso esses dados devem ser considerados verdadeiros em último recurso e pelo menos algum tipo de auditoria séria.
A situação no momento .
A situação no momento da redação
Se alguém estiver interessado, é assim que o resultado foi antes da Russian Railways começar a alterar as configurações:
Como você pode ver, o resultado é insatisfatório.
Você deve confiar neste site com seus dados pessoais?
Podemos ver que o SSL V3 é usado, que foi descontinuado em 2015.
CVE-2014-3566, também conhecido como poodle, vulnerabilidade 2014 (!!!) do ano
Mas o tubo quente IE6 é suportado.Eu acho que os webmasters e os designers de layout da velha escola se lembram bem de como o suporte foi fácil e divertido.
Bem, é claro, todas as cifras suportadas são vulneráveis ou fracas.
E a cereja no topo do bolo é o único protocolo criptográfico que não está obsoleto hoje, suportado pelo rzd.ru é o TLS 1.0. O destaque dessa situação é que, conforme
escrito anteriormente em Habré, em 2020, os navegadores mais populares planejam abandonar seu suporte.
LinkPortanto, se em 2020 a Russian Railways não fizer nada, muitos usuários terão algo semelhante a isso, em vez do site
De fato, isso é bastante bom, talvez problemas enormes com a emissão de tickets de usuários forçam pelo menos um pouco a fazer o site. E acho que eles encontrarão alguém para culpar por um desvio tão vil contra a Russian Railways. E os atacantes, e o que fazer com eles, e por quê.
Por que foi possível invadir? Provavelmente porque o atacante. (C) Diretor de TI da Russian Railways, Evgeny Charkin.