Как я нашел дыру в системе безопасности сайта госуслуги.рф

on
По роду своей профессиональной деятельности мне часто приходится давать различного рода экспертные оценки для СМИ о кибер-атаках и безопасности компьютерных систем. Совсем недавно мне позвонили из «Голоса России» и попросили прокомментировать безопасность портала Госуслуги.рф. Привожу цитату: «Россия автоматизирует процесс документооборота, что повышает ее конкурентоспособность в глазах других государств. Поэтому безопасность портала государственных услуг является ключевым понятием. Необходимо обеспечить систему, которая повышала бы конфиденциальность информации на техническом, административном, организационном уровнях. Нужна комплексная система защиты, которая будет работать постоянно». Ссылка: http://rus.ruvr.ru/2010/06/03/9011959.html После моего разговора с журналистом, мне самому стало интересно, насколько система безопасности сайта отвечает возложенным на нее требованиям. И я решил зарегистрироваться под чужим именем. Описываю дальнейший алгоритм моих действий. 1.Для получения доступа к порталу, скажем от лица Иванова Ивана Ивановича нам необходимо: - ИНН Иванова И.И. - Страховое свидетельство государственного пенсионного страхования - Регистрационные данные Иванова И.И. – причем эти данные не проверяются и поэтому можно указать любые, главное, чтобы после прихода письма на этот адрес вы смогли бы его получить. Для этих целей, покупаем «серую» базу данных по ИНН и пенсионным страховым свидетельствам на любом рынке типа «Горбушки», «Совка», «Митинки». В принципе, на каждом перекрестке, пока вы стоите в пробке, к вам обязательно подбегут и предложат подобного рода базы. Купив ее, регистрируемся на портале госуслуги.рф 2. Последним этапом регистрации, является получение заказного письма на указанный ранее адрес и введение кода в соответствующее окно регистрации, который указан в письме. Как оказалось, на этом этапе и скрывается самая явная угроза во всей системе безопасности, а именно – человеческий фактор! Львиная доля сотрудников почты никогда не проверяют паспорт! В моем случае, как видно из представленного ниже видео, спросили – «Паспортные данные заполнили?»! И все! Таким образом, любой желающий может зарегистрироваться используя ваши данные на сайте госуслуги.рф. К чему это может привести, я думаю пояснять не требуется! Вот такой получился бесплатный аудит безопасности сайта для Министерства связи и массовых коммуникаций Российской Федерации
Google Buzz Vkontakte Facebook Twitter Google Bookmarks Digg Закладки Yandex Zakladok.net Reddit delicious БобрДобр.ru Memori.ru МоёМесто.ru

One Comment Добавьте свой

  1. Роман Ромачев:

    пост опубликован на Хабрахабре — http://habrahabr.ru/blogs/infosecurity/97266/ 🙂

Добавить комментарий