root.elima.ru
Мертвечина
Дневник › Отчет рабочей группы по техническому анализу срыва праймериз ­2016
Отчет рабочей группы по техническому анализу срыва праймериз ­2016
01.07.16
10:44:42
Исходные данные, с которыми работала группа:

­ Разговоры с редактором сайта, программистом и системным администратором, администратором сайта, заместителем председателя Парнаса – ответственным секретарем ФПС, постановщиком задачи по программированию;
­ Логи системы управления, логи доступа и ошибок одного из четырёх вебсерверов, присланные программистом.
­ Доступ к панели управления виртуального сервера ISPServer в Иркутске.

Данные, которые были запорошены как необходимые, но не предоставлены:

­ Исходные коды системы управления.
­ Логи активности серверов.
­ Логи базы данных.
­ Доступ к системе управления.
Выводы

1. Рабочая группа не смогла провести полноценный анализ безопасности системы из­за отказа аппарата партии предоставить тестовый доступ и исходные коды системы.
2. Из­-за халатности ответственных за безопасность системы (постановщик задачи, администратор, программист) не было принято мер по защите сервера­"балансировщика" (возможные меры ­ см. Часть 2). Благодаря несанкционированному доступу к этому серверу, по версии программиста, был украден список паролей, злоумышленником получен доступ к редакторскому аккаунту для публикации этого списка, на два дня остановлена работа сайта.
После первого взлома 17 апреля никаких мер по защите этого сервера тоже принято не было, даже не был изменён пароль администратора.
3. Существующая политика информационной безопасности и разработки IT ­систем партии требует срочного пересмотра.
4. Обратная связь не помогла уменьшить негативный информационный фон от взлома и предотвратить массовый взлом аккаунтов пользователей на других сервисах.

Рекомендации руководству партии

Срочно принять организационные и кадровые меры по предотвращению подобных ситуаций:
1. Выработать профессиональную политику информационной безопасности. Ввести персональную ответственность с организационными мерами в случае её нарушения.
2. Принять прозрачную политику найма сотрудников. Развести должности программиста и системного администратора. Разработать механизмы замены сотрудника в случае экстренной ситуации (арест, болезнь, необходимость поспать).
3. Ввести системный подход к разработке и защите систем, с ведением технической документации и её профессиональным аудитом.
4. Выработать политику обратной связи с пользователями, назначить ответственных за её соблюдение.
5. Публично отчитаться перед пользователями и сторонниками о причинах произошедшего и о принятых мерах.

Рабочая группа:
Павел Елизаров
Стас Поздняков
Михаил Роскин
14 июня 2016 года
https://parnasparty.ru/news/264
internet, выборы, демократия, катастрофа
   
‹‹‹ 2024
‹‹‹ Май
12345
6789101112
13141516171819
20212223242526
2728293031
elima.ru internet IT javascript PHP root.elima.ru авария армия архитектура афоризм вещи видео Владимир Владимирщина война выборы ГБ государство грядущее демократия деньги дизайн документ досуг жизнь здоровье идеология импорт инициатива иностранное интервью искусство история Кавказ карикатура катастрофа кино коррупция красота криминал культура либерализм литература медицина модернизация мораль Москва МСУ музыка мысли насилие наука находка национализм образование общество оппозиция оружие ошибка персона погода подарок покупка полезное полемика политика полиция потеря поэзия права‍ человека право правосудие праздник природа проблема производство происшествие протест психология расследование революция реклама религия сарказм сатира свобода связь сервис скандал смерть СМИ социализм социология спорт ссылка стиль строительство тайны террор техника технологии торговля транспорт Украина философия фото Церковь цитата экономика экспертиза экстремизм энергетика юбилей юмор