VID EDS hacked – toppc.lv viedoklis.

Posted by:     Tags:  ,     Posted date:  March 23, 2010  |  Comment




Noskatoties raidījumu Kas notiek Latvijā, es, kā IT vidusmēra speciālists gandrīz nokritu no krēsla klausoties argumentācijas un salīdzinājums par notikušo. Arī vainīgo meklēšana likās banānu republikas cienīga. Manuprāt vainīgie tika meklēti pēc principa – kurš neredzēja zagli, tas vainīgs.

Mazliet paanalizējot argumentus, manā sašķobītajā priekšstatā tas izklausījās šādi:

EDS izstrādātājs nav vainīgs, jo nekāda zagļa tad vēl nebija. Turklāt bija paredzēts, ka pēc tam, kad būsim šo caurumaino sistēmu nodevuši, VID paši vainīgi, ka tādu caurumainu pieņēma un parakstīja pieņ.-nod. aktu. Turklāt mēs esam tikai izstrādātāji, bieži kļūdāmies, visi kļūdās dažreiz, kam negadās. Sistēma ir izstrādāta, neko nezinām.

Auditors nav vainīgs, jo arī viņu audita laikā nekādu zagļu nebija, viss bija skaisti un droši, un tādus triviālus defektus, kā neaizsargāts GET_VARS viņi nemaz nepārbaudot, jo līgumā jāpārbauda nopietnākas drošības lietas. Turklāt, arī ar viņiem VID parakstīja pieņ.-nod. aktu, pēc kura visa atbildība tiek noņemta un pāriet VID pusē.

VID ģenerāldirektors nav vainīgs, un turklāt nav nekāds IT speciālists, lai vispār būtu vainīgs. Arī pati ielaušanās notikusies tad, kad viņš varēja būt vēl vainīgs, bet pašlaik viņš tur, kā saka “ņepridjelah” vispār, jo strādā citur.

Savukārt IT nodaļa ir vainīga, jo pa šīm, kā izteicās daži no speciālistiem, atvērtajām plaši durvīm, starp vairākiem simtiem tūkstošu mierīgo iedzīvotāju, kas stiepa laukā pa vienam, legālam dokumentam, nepamanīja virkni  ar zagļiem, kas stiepa veselas ķīpas.

Es gan gribētu norādīt uz izmantoto salīdzinājumu nekorektuma pazīmēm.

VID EDS sistēma nav nekāds privātīpašums, par kura atvērtajām durvīm kādam nebūtu tiesības staigāt un nest laukā, kas ienāk prātā. EDS ir PUBLISKS serviss, kurā katram tiek iedota viņa atslēga, un kuras lietošanas noteikumos vēl pat pieminēts, ka šī atslēga ir šifrēta, ļoti droša utt.

Ja lietotājs atslēdz savas durvis, sāk ņemt sev piederošus dokumentus, un, tā teikt, rakājas pa savu skapīti un tur pēkšņi ir kaudze ar citiem dokumentiem, kurus viņš paņem, tīri aiz nezināšanas, intereses, nespējas atšķirt no saviem utt. utjp., tad kamdēļ viņam būtu par to jāatbild?

Arī sistēmas administratoram nav jābūt nekādā atbildībā par to, cik katrā skapī un kādi dokumenti tiek sakrāmēti, jo to dara pati sistēma.

Šeit pat neder salīdzinājums, ka “uzlauzēji” slēdza ne savas durvis vaļā ar savu atslēgu, un izrādījās, ka tās var atvērt. Nekā tamlīdzīga. “Durvis” (login un password lauki) jau visiem, kam ir atslēga, ir vienas un tās pašas un plaši vaļā, ja esat sistēmas reģistrēts lietotājs. Savukārt “sekretāre” (lietotāja tiesību pārbaude) izsniedz visiem visu, kas ienāk prātā, atliek vien paprasīt – iedodiet man MANUS dokumentus no 1 līdz 10000, lai man nav divreiz jānāk, un šī dod ar 🙂

Es uzskatu, ka šis nav uzlaušanas gadījums, bet gan nopietna auditora kļūda. Ja  līgumā ar auditoru nav punkta, kas liek nest atbildību par šādu kļūdu esamību ar pamatīgu naudas sankciju arī vairākus gadus pēc projekta audita nodošanas, vajadzētu prasīt atbildību no tā brīža VID ģenerāldirektora par valsts līdzekļu izšķērdēšanu, jo šāds audits ir vienkārši bezjēdzīgs un pat kaitīgs, jo rada drošības ilūziju.

Jāpiebilst, ka šāda tipa “caurumi” ir ļoti izplatīti, un iesaku visiem, kam ir jebkāda e-komercijas sistēma, vai kāds cits sensitīvs publisks interneta serviss, papētīt, vai URL adresē jūsu lapā  mainot ciparus aiz, piem. (?pid=) zīmes neparādās šis tas plašākai publikai, vai attiecīgajam lietotājam neparedzēts.