Цифровизация как она есть

10 1047

 Исходный код госуслуг попал в Сеть. Хакеры смогли скачать его, так как данные находились в незашифрованном виде. В открытом доступе оказались и сертификаты ЕСИА.

#

Навязчивая идея тотальной цифровизации, овладевшая нашим Правительством и законодательно поддерживаемая Госдумой с её принятыми законами по этой теме, например, об экспериментальных правовых режимах (Федеральный закон от 31.07.2020 г. № 258-ФЗ • Президент России:

http://www.kremlin.ru/acts/bank/45796), а также азарт, которым заразили Президента, любящего всё новое и передовое, начинает не просто играть с нами злые шутки.

Так хочется быть Державой, равной ведущим Державам. Так хочется войти в первую пятёрку экономик, став уважаемым и равным игроком на европейской и мировой политической сцене.

А без экстренной цифровизации тут никуда!

Со школьными туалетами на улице - можно. С отсутствием горячего водоснабжения в провинциальных больницах, с тараканами, облезлым потолком и провисшими кроватями - можно.

Можно с смс-ками, собирающими деньги для умирающие детей. Даже не краснея, с помощью федеральных телеканалов, типа, государство тоже в этом участие принимает.

С этими смс - можно.

С нищенской пенсией - можно. А вот без цифровизации - никак. Не признает нас мировое сообщество. Вот и спешим. Там, где не просто не надо спешить, а спешить - опасно!

Эта идея тотальной цифровизации, реализуемая безотносительно непроработанного, слабо и неэффективно функционирующего инструментария, гарантирующего защиту информации, в том числе, информации персональной, начинает превращаться у нас в ящик Пандоры, приоткрываемой шаловливыми руками чиновников.

Вышеуказанный федеральный закон № 258-ФЗ

"Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в частности, гласит:

Статья 4. Принципы экспериментального правового режима

Принципами экспериментального правового режима являются:

1) недопустимость ограничения конституционных прав и свобод граждан, нарушения единства экономического пространства на территории Российской Федерации или иного умаления гарантий защиты прав граждан и юридических лиц, предусмотренных Конституцией Российской Федерации (выделено мною - ВЛ), федеральными конституционными законами, федеральными законами, нормативными правовыми актами Президента Российской Федерации, нормативными правовыми актами Правительства Российской Федерации и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации;

2) обеспечение безопасности личности, общества и государства;

Цифровой монстр, уже выходящий из-под контроля, как показывает практика, вряд ли соответствует пункту 2 ст. 4

А пресловутый QR-код прямо противоречит пункту 1 этой статьи. Выводы делайте сами.

Возвращаясь к началу поста, вот, что удалось найти (https://cybersec.org/hack/vzlom-gosusulug-hotya-kakoj-tam-vzlom-vernee-skazat-sliv.html). В тексте есть отдельные нецензурные слова, а также масса терминов, понятных только специалистам, тем не менее, CyberSec вам в помощь. Имеющий глаза, да увидит.

"Взлом Госуслуг. Хотя, какой там взлом, вернее сказать, слив."

Тема уязвимости Госуслуг поднимается постоянно. То окучили бабку на квартиру, то получили чьи то данные. До сих пор никто не претендовал на звание «хакера», данные так и не были слиты. Тема обсуждалась многими известными специалистами в ИБ, даже специалистами Касперского, но до сих пор никто не ушел дальше обхода валидации полей. Ок. Парни, вы можете дрочить Госуслуги до победного. Но ящичек открывается проще. Как и всегда, по сути, с любым удачным похеком. Результаты я предоставляю на анализ целиком вам.

Могу лишь добавить, что взлома то и не было. Это слив. Наш автор просто обнаружил открытый репозиторий. Которым мы теперь делимся с вами.

Хочется спросить у закорытников -цифровизаторов как в случае утечки морду лица менять будете?

Генассамблея ООН приняла новую Конвенцию против киберпреступности

Процедура прошла этой ночью или днём по Нью-Йорку. Резолюция о конвенции была принята консенсусом, то есть без голосования, как до этого произошло и в профильном Третьем комитете Генассамблеи. Итоговы...

Они ТАМ есть: «кому нужнее»

Ответственность – это то, что не дает спокойно жить, когда ты знаешь, что не выполнил должное. Пусть не от тебя это зависело, но просто так скинуть мысли о том, что не смог, забыть и сп...

Мы тоже можем печатать доллары!

  Да, именно так: мы тоже можем печатать доллары. Но разумеется, никто не предлагает печатать в России доллары США, у нас свой путь. Ибо кто не имеет своей твёрдой валюты, тот пожинает плоды инфл...

Обсудить
  • Уж набросал говна на вентилятор... работа такая...
    • vober
    • 29 декабря 2021 г. 09:50
    Не понимаю, отчего столько воплей о взломе/сливе исходников регионального сайта госуслуг. Исходный код - это всего лишь программа описывающая взаимодействие в данном случае между пользователем и базами данных. Ссылка на наличие в исходном коде сертификатов просто смешна - даже начинающий программист этого не станет делать, т.к. любой сертификат вещь временная, выдаваемая на определённый период времени. Если его включить в исходник, то по окончании срока его действия автору исходника придётся код корректировать. Пароли в исходниках тоже не хранятся - доступ контролируется отдельными средствами авторизации на удостоверяющем сервере. Сам же исходник самое большее на что м.б. использован хакером, так только для поиска некорректностей, если таковые имеются, позволяющих осуществить взлом. В принципе, открытый исходный код очень популярен в интернете - например, большинство ОС семейства Linux и используемых библиотек имеют открытый исходный код. Но защищённость этих ОС считается значительно выше. Вывод: кому-то выгодно "гнать волну" пользуясь слабым пониманием темы большинством читающих.
  • Мордам лица "кирпичом" - пофиг результат. Главное - пилить...
  • Ну и что? Пусть скомпилируют себе госуслуги 2.0 ))
  • Обсеризация?