Почему государственные сервера частенько плохо поддерживаются, используют устаревшее ПО и не безопасны?
Есть много объяснений этого грустного феномена, однако не будем об этом.
Я переписываю эту статью во второй раз, т.к. не так давно часть проблем была исправлена, а докапываться до оставшихся мне показалось бессмысленным. Но увы, в результате изменений ситуация вернулась практически к тому, что было изначально.
Есть такая замечательная компания РЖД. Не так давно на Хабре поднималась тема с безопасностью в сапсанах, с довольно предсказуемым концом.
Было бы наивно считать, что это единственная проблема с инфраструктурой РЖД.
Однако, мы же с вами не злоумышленники да, товарищ майор, мы не такие. Ладно Сапсан, кто же мог подумать, что злобный злоумышленник купит билет и начнёт взламывать изнутри. Поэтому, мы исключительно из академического интереса, посмотрим насколько хорошо дела у сайта РЖД. Важность и популярность его на просторах бывшего СССР и не только, трудно переоценить. Тут могла бы быть душещипательная история, как эта проблема была обнаружена, при покупке билета для любимого кота, но я надеюсь, что в этот раз можно обойтись без лживых слезливых историй и сразу окунуться в суровую реальность.
Так что не будем растекаться мысью по древу.
Есть такой замечательный и бесплатный сервис
Попробуем с его помощью проверить, что же у нас с сайтом rzd.ru, где миллионы человек оставляют свою персональную информацию. Наверное, уж тут то очевидных недоработок быть не должно.Естественно надо понимать, что данный сервис лишь проводит тестирование сайта, ни в коем случае нельзя считать эти данные истиной в последней инстанции и каким-то хоть сколько-нибудь серьёзным аудитом.Ситуация на данный момент.
Ситуация на момент написания статьи
Если кому интересно, так выглядел результат до того, как ржд начал изменять настройки:
Как вы можете увидеть результат неудовлетворителен.
Стоит ли доверять этому сайту свои персональные данные?
Мы можем увидеть, что используется SSL V3, признанный устаревшим в 2015 году
CVE-2014-3566, она же poodle, уязвимость 2014 (!!!) года
Зато поддерживается тёплый, ламповый IE6.Я думаю вебмастеры и верстальщики старой закалки хорошо помнят, как легко и забавно обеспечивалась его поддержка.
Ну и само собой, все поддерживаемые шифры или уязвимы, или слабоваты.
И вишенкой на торте — единственный криптографический протокол, не признанный устаревшим на сегодня, поддерживаемый rzd.ru это TLS 1.0. Изюминкой данной ситуации является то, что как ранее уже писали на Хабре, в 2020 году большинство популярных браузеров планируют отказаться от его поддержки.
А значит, если когда в 2020 РЖД ничего не сделает, у множества пользователей вместо сайта откроется что-то похожее на вот это
На самом деле, это скорее хорошо, возможно массовые проблемы с оформлением билетов у пользователей вынудят хоть немного заняться сайтом. А уж кого обвинить в такой подлой диверсии против ржд, я думаю найдут. А злоумышленники, а что с ними делать, да и зачем.
Почему удалось взломать? Наверное, потому что злоумышленник. (С) Директор компании РЖД по информационным технологиям Евгений Чаркин.
Автор: Sayaka