|
Отчет рабочей группы по техническому анализу срыва праймериз 2016 |
01.07.16
10:44:42 |
Разговоры с редактором сайта, программистом и системным администратором, администратором сайта, заместителем председателя Парнаса – ответственным секретарем ФПС, постановщиком задачи по программированию;
Логи системы управления, логи доступа и ошибок одного из четырёх вебсерверов, присланные программистом.
Доступ к панели управления виртуального сервера ISPServer в Иркутске.
Данные, которые были запорошены как необходимые, но не предоставлены:
Исходные коды системы управления.
Логи активности серверов.
Логи базы данных.
Доступ к системе управления.
Выводы
1. Рабочая группа не смогла провести полноценный анализ безопасности системы изза отказа аппарата партии предоставить тестовый доступ и исходные коды системы.
2. Из-за халатности ответственных за безопасность системы (постановщик задачи, администратор, программист) не было принято мер по защите сервера"балансировщика" (возможные меры см. Часть 2). Благодаря несанкционированному доступу к этому серверу, по версии программиста, был украден список паролей, злоумышленником получен доступ к редакторскому аккаунту для публикации этого списка, на два дня остановлена работа сайта.
После первого взлома 17 апреля никаких мер по защите этого сервера тоже принято не было, даже не был изменён пароль администратора.
3. Существующая политика информационной безопасности и разработки IT систем партии требует срочного пересмотра.
4. Обратная связь не помогла уменьшить негативный информационный фон от взлома и предотвратить массовый взлом аккаунтов пользователей на других сервисах.
Рекомендации руководству партии
Срочно принять организационные и кадровые меры по предотвращению подобных ситуаций:
1. Выработать профессиональную политику информационной безопасности. Ввести персональную ответственность с организационными мерами в случае её нарушения.
2. Принять прозрачную политику найма сотрудников. Развести должности программиста и системного администратора. Разработать механизмы замены сотрудника в случае экстренной ситуации (арест, болезнь, необходимость поспать).
3. Ввести системный подход к разработке и защите систем, с ведением технической документации и её профессиональным аудитом.
4. Выработать политику обратной связи с пользователями, назначить ответственных за её соблюдение.
5. Публично отчитаться перед пользователями и сторонниками о причинах произошедшего и о принятых мерах.
Рабочая группа:
Павел Елизаров
Стас Поздняков
Михаил Роскин
14 июня 2016 года
https://parnasparty.ru/news/264
"Пейте пиво пенное – будет жизнь отменная!" Оказывается, в этом утверждении есть немалая доля истины. Существует много научно обоснованных причин пить пиво. А в этом выпуске вы найдете целый десяток аргументов в пользу пенного напитка.