информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Страшный баг в WindowsВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 The Great Suspender предположительно... 
 Десятилетняя уязвимость в sudo 
 Блокировка Flash поломала китайскую... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
ГАС "Выборы": проблемы безопасности 04.12.02 13:27  Число просмотров: 5753
Автор: Signum Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> ГАС "Выборы": проблемы безопасности

Все много проще, чем написано. Пробовал и писал об этом. Есть у меня пара статеек по этому поводу и были опубликованы они еще в 96-97 гг.
К сожалению с тех пор мало что изменилось.
Но обещают, что с марта 2003 г. многое изменится.
Но слабо что-то верится.
<site updates>
ГАС "Выборы": проблемы безопасности 20.11.02 22:20  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
ГАС "Выборы": проблемы безопасности
Дмитрий Леонов dl@bugtraq.ru http://bugtraq.ru/

Утверждение о том, что любую компьютерную систему можно взломать, давно уже стало общим местом, другое дело - какие для этого требуются средства и сколько на это уйдет времени. Так, любой шифр в принципе может быть раскрыт полным перебором всех возможных комбинаций, но при значительной длине ключа на это уйдет время, сравнимое с временем жизни Солнечной системы. Таким образом, задача построения абсолютной защиты, как правило, заменяется задачей построения защиты, удовлетворяющей некоторым разумным требованиям, вытекающим из условий эксплуатации системы.
Любая компьютерная система, особенно распределенная, подвержена целому ряду атак. В первую очередь атаки можно разделить на внешние, источник которых не имеет доступа ко внутренней информации и пользуется лишь общедоступными сведениями и ресурсами, и внутренние, когда атакующий является инсайдером - автором, легальным пользователем системы и т.п.
Защита от внешних...

Полный текст
Госдума приняла закон об использовании ГАС "Выборы" 20.12.02 13:06  
Автор: Step <Step Alex> Статус: Member
<"чистая" ссылка>
Проект был внесен правительством РФ. В преамбуле документа отмечается, что использование ГАС "Выборы" при подготовке и проведении выборов и референдумов "является одной из гарантий обеспечения гласности, достоверности, оперативности и полноты информации о выборах и референдуме". В функции системы входит процесс сбора, обработки, накопления, хранения и распространения информации. В дальнейшем эта информация используется при подготовке и проведении выборов и референдумов.


Ссылка
Госдума приняла закон об использовании ГАС "Выборы" 24.12.02 10:58  
Автор: Signum Статус: Незарегистрированный пользователь
Отредактировано 24.12.02 11:54  Количество правок: 1
<"чистая" ссылка>
> Проект был внесен правительством РФ.

С проектом знаком. Болтается он в ГосДуме уже более 4-х лет.

А вот, чтобы принят был - не слышал. Хотя регулярно читаю обзоры законодательства и просматриваю обновления всех правовых систем.

Если не затруднит номер Закона укажите?
Госдума приняла закон об использовании ГАС "Выборы" 24.12.02 11:40  
Автор: Step <Step Alex> Статус: Member
<"чистая" ссылка>
> Если не затруднит номер Закона укажите?

К сожалению это была статья на rbc.ru... если они там вообще были.
Госдума приняла закон об использовании ГАС "Выборы" 20.01.03 14:43  
Автор: Signum Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> К сожалению это была статья на rbc.ru... если они там
> вообще были.

Закон принят

Федеральный закон от 10 января 2003 г. N 20-ФЗ "О Государственной автоматизированной системе Российской Федерации "Выборы"
Принят Государственной Думой 20 декабря 2002 года
Одобрен Советом Федерации 27 декабря 2002 года
Текст документа опубликован в "Российской газете" от 15 января 2003 г. N 5.

Текст в электронном виде молжно найти по ссылке

http://www.garant.ru/hview.php?ssid=32&pid=18076&dt=federal

Либо в формате rtf

http://www.garant.ru/files/f150117.rtf
Госдума приняла закон об использовании ГАС "Выборы" 24.12.02 12:36  
Автор: Signum Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> К сожалению это была статья на rbc.ru... если они там
> вообще были.

Видимо не зря слазил в повестки:

"ГОСУДАРСТВЕННАЯ ДУМА
ФЕДЕРАЛЬНОГО СОБРАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
Повестка заседания
Совета Государственной Думы
17 декабря 2002 года

62. О проекте федерального закона N 215805-3 "О Государственной автоматизированной системе Российской Федерации "Выборы", третье чтение.

Комитет по государственному строительству

В.В.Гребенников


Комитет предлагает:

- рассмотреть на заседании Гос.Думы 20 декабря 2002 года;

- решением Совета перед третьим чтением направить законопроект и материалы к нему Президенту РФ, в Совет Федерации, Правительство РФ, депутатам Гос.Думы.

Нет заключений Правового управления на законопроект и проект постановления Гос.Думы."


Дальше искать не стал. Видимо 20-го был рассмотрени и принят в третьем чтении. Но это еще не все, дальше видимо четвертое и окончательное чтение, потом в совет федерации, потом регистрация в МинЮсте, И потом публикация.

Вроде так, если не ошибаюсь. Если так, то осталось ждать немного.
Госдума приняла закон об использовании ГАС "Выборы" 24.12.02 12:17  
Автор: Signum Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Если не затруднит номер Закона укажите?
> К сожалению это была статья на rbc.ru... если они там
> вообще были.

Ну вот, а я уж полез повестки заседаний и планы расмотрения законопроектов в ГосДуме смотреть.

Мое мнение относительно законопроекта "О ГАС "Выборы":

Не будет он принят еще долго. Всех устраивает сложившаяся ситуация. В том виде как он сегодня существует - законопроект устраивает только ФЦИ и может быть ЦенртИзбирком.
ГАС "Выборы": проблемы безопасности 04.12.02 13:27  
Автор: Signum Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> ГАС "Выборы": проблемы безопасности

Все много проще, чем написано. Пробовал и писал об этом. Есть у меня пара статеек по этому поводу и были опубликованы они еще в 96-97 гг.
К сожалению с тех пор мало что изменилось.
Но обещают, что с марта 2003 г. многое изменится.
Но слабо что-то верится.
ГАС "Выборы": проблемы безопасности 04.12.02 18:10  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
> Все много проще, чем написано.

А куда уж проще. Описание технической стороны писалось после общения с разработчиками и просмотра некого количества документов. О том, что есть такая штука как цифровая подпись они, конечно, слышали, но ее внедрение было только в планах, вся защита основывалась на использовании своих коммутируемых линий и централизованной раздаче паролей.
Ну а то, что слабое звено в этой системе - совсем не техника, и так понятно.
ГАС "Выборы": проблемы безопасности 15.12.02 09:36  
Автор: Signum Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Описание технической стороны писалось
> после общения с разработчиками и просмотра некого
> количества документов.

Я немного :-) (больше 5 лет) поработал с этой системой.


> О том, что есть такая штука как
> цифровая подпись они, конечно, слышали, но ее внедрение
> было только в планах,

Это понятно. К тому же и бюджет был ограничен.

> вся защита основывалась на
> использовании своих коммутируемых линий и централизованной
> раздаче паролей.

Вот в этом-то и слабость:

1) Зная систему присвоения адресов и паролей, можно с успехом снять и заслать почту за кого-то. В документации о смене паролей ничго не написано, все дано на откуп админам.

2) На хостах в каждом субъекте (да и в Федеральном центре информатизации при Центизбиркоме) существуют шлюзы в Интернет. Опять же как их настроит админ.

3) Неисключена посылка писем от чужого имени. Что я продемонстрировал еще в 96 или 97 году.

4) Не исклюючена так называемая DOS-атака на один или несколько хостов. Мало приятно особенно в день выборов.

5) Secret Net идентифицирует только доступ в ситему, что по желанию админа в принципе легко обходится. В момент работы системы наличие Secret Net никак не опрашивается.


> Ну а то, что слабое звено в этой системе - совсем не
> техника, и так понятно.

Организационноправовое обеспечение системы - на него никак не хотят всерьез посмотреть наверху.

С марта обещают менять всю базу: и технику и софт. Обещают крутизну и экзотику. Даласовские таблетки на доступ к компу, XP, у низовых админов прав на изменения в операционке и проч. не будет, базы обещают под Ораклом и т.д. Придет - будем погляядеть, как это все работает и насколько узвимо. :-)
ГАС "Выборы": проблемы безопасности 15.12.02 16:36  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Этого, в общем, следовало ожидать, судя по тому, как система росла, но я не думал, что все так плохо. Мне, конечно, клятвенно рассказывали, что интернета там нигде нет, к коммутируемым линиям враги не подберутся, а при увольнении человека все пароли меняются, но, похоже, саму идею о том, что какая-то угроза может исходить от инсайдеров, воспринимали как бредовую. Ну и всегда есть железная отмазка, что присутствует бумажное дублирование, плюс, что связываться с этим - себе дороже. Так вот по сумме троечку и поставил :)
ГАС "Выборы": проблемы безопасности 16.12.02 13:09  
Автор: Signum Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Этого, в общем, следовало ожидать, судя по тому, как
> система росла, но я не думал, что все так плохо.

Это как посмотреть. Такой второй ситемы нет в России точно, да и в мире вряд ли существует. Все дело в том, что разный у нас уровень автоматизации на местах в низовом звене. Где найти грамотного админа в в нас. пункте с населением в 3-4 тыс. избирателей?

> Мне,
> конечно, клятвенно рассказывали, что интернета там нигде
> нет,

Справедливости ради надо сказать, что шлюз только почтовый, и в Интернете поработать из тьмутаракани в этой системе действительно нельзя. Да и из Интернета пробиться сложновато, но можно.

> к коммутируемым линиям враги не подберутся,

Есть в каждом субъекте нечто типа FTP или бывших BBS, работает только через почту. Так вот список доступных файлов и начинается с тех самых телефонов, по которым надо стучаться. :)

> Ну и всегда есть
> железная отмазка, что присутствует бумажное дублирование,
> плюс, что связываться с этим - себе дороже.

Этого не отнять, да и ельзя в существующем виде по другому.

Проблема с безопасностью упирается в то, что для эффективного использования системы на местах необходимо выполнять на технике некоторые невозложенные на систему функции.

Т.е. Выборы процесс относительно перманентный в ЦентрИзбиркоме и в Субъектах Федерации. А на местах выборы процесс периодический с длинным межвыборным процессом. Вот для того, чтобы система не простаивала и приходится ее нагружать несвойственными ей функциями, иначе к следующим выборам будешь разыскивать концы от техники.

И вся планируемые меры безопасности в конечном итоге столкнутся с этой же проблемой. Предложить что-то централизованно для нужд администраций систма не может, т.к. уровень автоматизации на местах разный. Вот и остается одно - жертвовать безопасностью. Либо второе - простой техники. Ладно сейчас на местах compaq 486 (2 шт.), а если будет P-IV 3 шт. как планируется? Не дороговато ли простой обойдется.
ГАС "Выборы": проблемы безопасности 16.12.02 16:35  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
> техники. Ладно сейчас на местах compaq 486 (2 шт.), а если
> будет P-IV 3 шт. как планируется? Не дороговато ли простой
> обойдется.

Ну, насколько я понимаю, когда эти компаки закупались, они стоили поприличнее многих нынешних P4 :)

А вообще, спасибо за комментарии, повешу в статью дополнительную ссылку на эту нитку.
ГАС "Выборы": проблемы безопасности 18.12.02 08:48  
Автор: Signum Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > техники. Ладно сейчас на местах compaq 486 (2 шт.), а

> Ну, насколько я понимаю, когда эти компаки закупались, они
> стоили поприличнее многих нынешних P4 :)

Есть такое :-) Много чего там было при создании системы и в прессе писали неоднократно. Но главное что она создана и работает. Такая махина - единообразная на всю страну. Жаль, что по прошествии 7 лет она все еще остается узковедомственной.

> А вообще, спасибо за комментарии, повешу в статью
> дополнительную ссылку на эту нитку.

Ну и завершение темы еще тогда одну проблемку подниму.

Это касается БД "Избиратель", т.е. все мы с вами пересчитаны и введены в компьютеры. Большое желание у людей, занимающимся этим собрать во едино всю базу. А правовых документов на использование таковой нет, енсть какие-то инструкции и положения ЦентрИзбиркома. Но при их нарушении нарушителя к ответственности не привлечешь. В принципе возможно все - от появлния компашек на базарах, до обувания пенсионеров в различного вида пирамидах и лотереях. Это как никак персональные данные, которые вроде как законодательятвом охраняются. В конечном итоге опять полагаются на добросовестность админа.

Видел я подобного рода системы (сами сейчас для нужд города разрабатываем), так там четко все фиксирется кто, что, когда и про кого и для каких целей. Фиксируется даже вывод на дисплей/принтер/экспорт. И по запросу любого гражданина такая ситсема четко может в любой момент выдать кто и для чего использовал его персональные данные. У нас же и в ГАС "Выборах" и в пенсионном фонде такого нет. В пенсионный фонд мы можем обратиться по-моему толи раз в год, то ли два и только для сверки своих данных. А в ГАС "Выборы" такого вообще не предусотрено - пошлют куда подальше.

В законодательстве некотрых стран запрещено вообще накапливать персональные данные. У кого-то это ограничено сроком от полугода до года. По прошествии этого времени информация о всех клиентах (по совершенным сделкам) должна быть уничтожена. И наказываются за нарушения достаточно строго. Понятно, что допустим по действующим кредитным картам информация должна и будет храниться.

Ну вот в принципе и все основные недостатки системы ГАС "Выборы", связанные с безопасностью, на сегодня. А что будет "завтра" с этой системой - время покажет. Думаю со временем все встанет на свои места. Только как быстро мы (и разработчики, и пользователи-администраторы и простые граждане-избиратели) до этого доростем?
Не большой Офф-топ, да прстят меня админы :-) 04.12.02 13:38   [!mm, ZloyShaman]
Автор: Step <Step Alex> Статус: Member
<"чистая" ссылка>
Подключился я к локальной сети в нашем микрорайоне....ну доступ в инет понятно.
Посмотрел окружающий меня мир.... ну зашарил пару дисков на чужих компах... сижу думаю - " во я какой крутой адимн".... через некоторое время решил всеж себе поставить файрвол... и что Вы думаете - сразу было обнаружено две атаки на мой комп путем сканирования портов. А ведь я думал, что все кругом чайники :-(
оффтоп в -> miscellaneous 04.12.02 14:41  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
Ну мне кажется, что он не совсем, а маленький 04.12.02 16:20  
Автор: Step <Step Alex> Статус: Member
<"чистая" ссылка>
Дело в том, что прочитав постинг, я хотел высказать мнение, что порой адекватность защиты не объективна. Ты считаешь, что применил адекватную защиту, а на проверку оказывается, что все нек уж и правильно.... Всегда присутствует "человеческий" фактор...... и он гораздо большая дыра, чем все баги маздая вместе взятые....
И все-таки :) 04.12.02 16:30  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
А человеческий фактор почти не играет роли, когда работает большая команда, и другая команда контролирует то, что делает первая и т.д..
Хотя, и тут остается место решению по умолчанию "-А не пошло бы все на ......, еще два пива!".

> Дело в том, что прочитав постинг, я хотел высказать мнение,
> что порой адекватность защиты не объективна. Ты считаешь,
> что применил адекватную защиту, а на проверку оказывается,
> что все нек уж и правильно.... Всегда присутствует
> "человеческий" фактор...... и он гораздо большая дыра, чем

Это да :)
Выходными поставил дома вин98 (для братишки), вроде настроил, полез в Сеть, с минут 10 повисел, потом думаю, е-мае, что ж я делаю-то..
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach