Статьи Госдыры: Как защищены сайты государственных органов

Обсуждение в разделе «Статьи», начал(-а) Архивариус, 7.05.2013.

  1. Архивариус

    Регистрация:
    12.06.2011
    Сообщения:
    49
    Одобрения:
    2
    Репутация:
    0
    Владимир Путин выступил на расширенной коллегии ФСБ, где сказал много важных и правильных слов. Помимо борьбы с терроризмом, экстремизмом и прочими профильными -измами, сотрудникам ФСБ была также поставлена задача усилить направление по противодействию киберугрозам. Вот цитата:

    «Нам нужны самые современные подходы к организации контрразведывательной деятельности, в том числе в защите секретной информации. Это касается и участившихся попыток взлома национальных электронных баз данных. Уже в ближайшее время нужно сформировать единую систему обнаружения, предупреждения и отражения компьютерных атак на информационные ресурсы России. Нужно решить такую задачу максимально оперативно в короткие сроки».

    После этого мне стало искренне жалко сотрудников Конторы. Ведь их работа будет связана даже не столько с поимкой коварных хакеров, работающих на иностранные спецслужбы, сколько с борьбой с традиционными российскими разгильдяйством, халатностью и безответственностью. Явлениями, как известно, решительно непобедимыми. И сейчас я вам наглядно покажу почему.

    В качестве эксперимента, один мой весьма талантливый друг решил проверить, а как собственно обстоят дела с базовой защитой официальных сайтов различных государственных ведомств. Во время этого эксперимента никакие пароли не подбирались (страшно даже подумать, что можно обнаружить, перепробовав некоторые дефолтные пароли), сайты не заражались, вирусы не рассылались. Все, что вы увидите ниже обнаружено всего за несколько часов одним человеком без применения какого бы то ни было «хакерского» инструментария.

    Пояснение: Задача этого поста не отдать сайты на растерзание школьникам и прочим не вполне разумным существам, а привести российское государственное интернет-хозяйство в надлежащий вид. Поэтому многое публикуется без прямых адресов. Также само по себе наличие файлов в открытом доступе не всегда представляет угрозу сайту, однако так или иначе это резко повышает потенциальную уязвимость ресурса по вполне очевидным причинам.

    Ну, поехали.

    Вот, например, официальный сайт Министерства природных ресурсов и экологии Российской Федерации:
    [​IMG]

    А вот открытый каталог на этом сервере:
    [​IMG]

    Там даже музыка есть!
    [​IMG]

    Потратив минут двадцать времени моему другу удалось найти в этом чудном хозяйстве дыры, позволяющие взять под контроль весь сервер Минприроды, который к тому же, как выяснилось, позволяет получить доступ во внутреннюю сеть федерального ведомства. Ну вы поняли…

    Едем дальше.

    Вот, например, сайт Дальневосточного федерального округа:
    [​IMG]

    По всей видимости, на Дальнем Востоке понимают транспарентность и открытость власти слишком уж буквально. Заходите, гости дорогие:
    [​IMG]

    А вот и сайт администрации Томской области. Тоже очень транспарентный:
    [​IMG]

    С чего начинается Родина? Правильно, с документов правительства, лежащих в открытом доступе:
    [​IMG]

    А продолжается Родина, как водится, играми:
    [​IMG]

    Еще веселее ситуация у официального сайта Камчатского края:
    [​IMG]

    Тут можно не только смотреть, но и в прямом смысле трогать:
    [​IMG]

    Поэтому нет ничего удивительного, что кое-кто уже потрогал, оставив характерный файл:
    [​IMG]

    Хотя наличие этого файла на сервере в итоге так никто и не заметил…

    продолжение ниже
     
    #1 Архивариус, 7.05.2013
    В последний раз редактировалось: 8.05.2013
  2. Архивариус

    Регистрация:
    12.06.2011
    Сообщения:
    49
    Одобрения:
    2
    Репутация:
    0
    часть заключительная, но наверное не последняя.

    Это, разумеется, не все. Официальный сайт Законодательного собрания Иркутской области:
    [​IMG]

    Привычная картина:
    [​IMG]

    Теперь давайте вернемся на федеральный уровень. Административная реформа — это хорошо. Для нее даже сайт отдельный есть:
    [​IMG]

    Ох…
    [​IMG]

    Пометка: благодаря тому, что можно посмотреть один из открытых для просмотра файлов, хакеру не составит большого труда получить доступ к управлению сайтом (не проверяли).

    А вот сайт очень важного федерального ведомства Ространснадзор:
    [​IMG]

    Ространснадзор следит за безопасностью транспорта (чтобы самолеты каждый месяц не падали, например), но вот за безопасностью своего сайта следит как-то не очень. Например:
    [​IMG]

    А вот сайт города Тамбова:
    [​IMG]

    Тут все совсем плохо и можно делать, что вздумается:
    [​IMG]

    На сайте государственного кадрового резерва в списке приоритетных вакансий нету специалиста по сетевой безопасности. Сайт, к слову, тоже дырявый:
    [​IMG]

    Megaupload какой-то, а не государственный резерв…
    [​IMG]

    Как вы догадываетесь, на этом список ресурсов, где или уже есть уязвимости, или которые потенциально уязвимы из-за своей чрезмерной «прозрачности», не ограничивается — мы проверили далеко не все, да и мне просто надоело вставлять скриншоты (они есть еще на добрый десяток региональных сайтов). [...]

    via politrash.ru
     
    #2 Архивариус, 7.05.2013
    В последний раз редактировалось: 8.05.2013
  3. GAiN

    GAiN Elder - Старейшина

    Регистрация:
    2.04.2011
    Сообщения:
    2 486
    Одобрения:
    158
    Репутация:
    99
    власть такая же дырявая как и их сайты !!! 8)
     
  4. shell_c0de

    shell_c0de Hack All World

    Регистрация:
    7.07.2009
    Сообщения:
    1 082
    Одобрения:
    596
    Репутация:
    680
    рисунки не показываются с http://www.compromat.ru/
    перезалейте ктонить, любопытно смотреть.
     
    _________________________
  5. 6anzay

    6anzay Member

    Регистрация:
    30.11.2009
    Сообщения:
    147
    Одобрения:
    28
    Репутация:
    10
    поржал)

    а за разработку сайтов денег небось содрали хренолеон
     
  6. demko

    demko New Member

    Регистрация:
    19.11.2009
    Сообщения:
    17
    Одобрения:
    2
    Репутация:
    1
    'посоны воще ребята'!
    Остаётся только надеяться что ситуация поменяется
     
  7. Архивариус

    Регистрация:
    12.06.2011
    Сообщения:
    49
    Одобрения:
    2
    Репутация:
    0
    перезалил
     
    #7 Архивариус, 8.05.2013
    В последний раз редактировалось: 8.05.2013
  8. BHop

    BHop Elder - Старейшина

    Регистрация:
    1.06.2008
    Сообщения:
    70
    Одобрения:
    7
    Репутация:
    5
    Была бы весьма интересна подобная инфо по сайтам украинских гос.структур. В первом приближении они видятся не столь дырявыми, как российские.
     
  9. shell_c0de

    shell_c0de Hack All World

    Регистрация:
    7.07.2009
    Сообщения:
    1 082
    Одобрения:
    596
    Репутация:
    680
    Архивариус, спс.
     
    _________________________
  10. Onths

    Onths New Member

    Регистрация:
    3.05.2012
    Сообщения:
    91
    Одобрения:
    3
    Репутация:
    -4
    ddl1
     
    #10 Onths, 19.05.2013
    В последний раз редактировалось: 31.01.2015
  11. Dyxxx

    Dyxxx Elder - Старейшина

    Регистрация:
    16.02.2009
    Сообщения:
    106
    Одобрения:
    153
    Репутация:
    24
    открытые директории на полу заброшенных сайтах сделанных в в начале 2000, это так по хакерски. ололо. другое дело что наверно половина гос сайтов действительно крупных стоит на битрексе, и если вдруг найдется приват дырдочка в движке, буде ололо
     
  12. korshunXX

    korshunXX New Member

    Регистрация:
    19.05.2013
    Сообщения:
    0
    Одобрения:
    0
    Репутация:
    0
    Дело в том, что сайты в госструктурах поручены неспециалистам. В этот круг входят компьютерщик (ответственный за работу железа), администратор-сети (основная обязанность создание сети из всех компьютеров), секретаря или юристов, которые набивают новости, документы и прочую дребедень, которыми разбавляются фото руководителя. Ни один из них ничего не понимает в вебтехнологиях, да и большая их часть принимается больше из личных симпатий, так как провинциальное руководство компы использует в основном для просмотра погоды. Поэтому большая часть сайтов просто смешны. А если смотреть содержание, то и безграмотны.
    Шаблоны для сайтов им продают ловкие ребята, поэтому все сайты сделану по единым лекалам, в которых изменен только цвет шрифта и наименование организации.
    Одним словом - сайты на уровне стенгазеты.
     
  13. Onths

    Onths New Member

    Регистрация:
    3.05.2012
    Сообщения:
    91
    Одобрения:
    3
    Репутация:
    -4
    [​IMG]

    [​IMG]
     
    #13 Onths, 22.05.2013
    В последний раз редактировалось: 31.01.2015
  14. Evil Pixelz

    Evil Pixelz New Member

    Регистрация:
    7.06.2013
    Сообщения:
    0
    Одобрения:
    0
    Репутация:
    0
    Архивариус, можешь написать, каким софтом ты пользовался, чтобы просматривать содержание сайта?
    Дело в том, что я даже не могу сформулировать запрос в гугле. "Программа для просмотра содержания сайта" куда-то не туда меня приводит.
     
    #14 Evil Pixelz, 26.07.2013
    В последний раз редактировалось: 26.07.2013
  15. mix0x0

    mix0x0 Active Member

    Регистрация:
    1.11.2010
    Сообщения:
    379
    Одобрения:
    188
    Репутация:
    92
    Path Traversal Directory
     
  16. Evil Pixelz

    Evil Pixelz New Member

    Регистрация:
    7.06.2013
    Сообщения:
    0
    Одобрения:
    0
    Репутация:
    0
    Большое спасибо. Сам точно бы не нашёл.
     
  17. \/IRUS

    \/IRUS Elder - Старейшина

    Регистрация:
    3.08.2012
    Сообщения:
    374
    Одобрения:
    446
    Репутация:
    37
    бугага )) та это еще мелочи
    я анализ проводил гос доменов
    90% гос сайтов с включенным error reporting
    а SQL иньекции на уровне 20%
    XSS - 70%

    да и вообще все это в паблике благодаря гуглу :D
    а еще чинушные исполнители не знают что такое robots.txt

    Code:
    http://www.google.com.ua/search?q=SQL+syntax.+inurl:.gov.ru
    моя теория: это проблема высоких требований за малый бюджет и несовершенство тендерного выбора
     
    #17 \/IRUS, 29.07.2013
    В последний раз редактировалось: 29.07.2013
Загрузка...
Similar Threads - Госдыры защищены сайты
  1. Cthulchu
    Ответы:
    6
    Просмотры:
    2 582
  2. devton
    Ответы:
    30
    Просмотры:
    10 300
  3. qiece
    Ответы:
    0
    Просмотры:
    1 206