информационная безопасность без паники и всерьез подробно о проекте |
||||||||||||||||||||||
|
||||||||||||||||||||||
|
dl // 20.07.11 01:40 В один и тот же день Мегафон в своем пресс-релизе, посвященном недавней утечке, рассказал, что причиной утечки было то, "что не было введено специальное защитное ограничение для сервисов «Яндекса», скачивающих информацию в свою поисковую базу", а устами зама гендиректора поведал, что заветный robots.txt на серверах все-таки был (хотя Яндекс и настаивает на обратном). [Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/07/09.html] При этом озабоченно добавляется, что "действующее законодательство не дает поисковым системам право собирать, хранить и распространять подобную информацию без предварительного письменного согласия пользователей". Заранее извиняюсь за разжевывание перед теми читателями, для которых ситуация очевидна, но все-таки хочется расставить точки над i. Для случившейся утечки необходимо было сочетание четырех факторов: 1. Вывод подтверждений о доставке sms вместе с их полным текстом на страницы с уникальными адресами, которые существовали в течение некоторого времени. Понятно, что сделано это было ради упрощения реализации: в обработчике формы генерируем случайный id, отправляем асинхронный запрос на отправку sms, редиректим пользователя на url, включающий этот id, - на случай, если сообщение ушло не сразу, и чтоб пользователь мог его рефрешнуть. Нет никаких проблем реализовать тот же функционал, повесив все подтверждения на один и тот же адрес и дать обновлять их хоть через аякс, хоть через кнопку из формы с POST для любителей чистого CGI. Собственно говоря, даже показ всего текста сообщения тут был избыточным. Чистый минус в копилку Мегафона. 2. Открытый доступ к этим страницам. Тут тоже понятно - решили, что случайного 16-символьного id в сочетании с кратким временем жизни страницы будет достаточно для защиты от посторонних. Запароливание потребовало бы предварительной регистрации. Не будь следующего пункта, могло бы и пронести. Но все же еще один минус Мегафону. 3. Передача адресов "секретных" страниц поисковику. Сам по себе поисковик на висящую в пустоте страницу попасть не может, она каким-то образом должна попасть в очередь на обработку индексирующего робота - либо через ссылку, либо вручную. Тут есть две версии - утечка адресов либо через Яндекс.Бар, который стоял у всех пользователей, отправлявших эти sms, либо через установленную на сайте Мегафона Яндекс.Метрику. Тут с полной уверенностью могут что-то сказать разве что специалисты Яндекса либо Мегафона, но лично мне больше нравится версия с Метрикой. Она, по крайней мере, хорошо объясняет, почему такой массовой утечки не было в других поисковиках. Яндекс ссылается на то, что были тексты и в Google с Bing'ом, но там явно не было таких масштабов (и там как раз могли отработать тулбары). Так что еще один минус, но условный. 4. Отсутствие robots.txt, позволяющего запретить доступ поисковиков к публичным страницам. И вот только четвертым пунктом добрались до того, что М и Я называют едва ли не главной причиной утечки. Ребята, ну это ведь вопрос исключительно доброй воли поисковика, сам по себе robots.txt никак нельзя считать чем-то, относящимся к защите информации, ну публичные это страницы, доступные всем желающим. Поставили бы сдуру на эту страницу какой-нибудь внешний счетчик или баннер, и все точно так же утекло бы к сервисам, которые вообще про эти robots.txt не в курсе. Ну и в оправдания "а файл все-таки был" не особо верится - насколько я помню вчерашние обсуждения, появился он днем, когда все, что могло, уже утекло. О чем косвенно свидетельствует Last-Modified: Mon, 18 Jul 2011 09:55:10 GMT у http://sendsms.megafon.ru/robots.txt. Итого, с технической точки зрения на утечку мы имеем 2 стопроцентных косяка со стороны Мегафона, один условный и еще один весьма вероятный. Со стороны Яндекса же наблюдается честное исполнение своей работы по индексированию информации, находящейся в публичном доступе. Ну а наезды типа "а чё они заиндексировали смски без письменного согласия пользователей", простите, смотрятся рефлекторной безнадежной попыткой сохранить остатки лица, особенно забавной в сочетании с текстом из того же пресс-релиза, где говорится про отсутствие персональных данных в опубликованной информации. А с чего бы действующему законодательству требовать письменного согласия (и у кого?) на публикацию информации, не содержащей персональных данных, у меня как-то не складывается.
|
анонимность
клоуны
конференции
спам
уязвимости
.net
acrobat
activex
adobe
android
apple
beta
bgp
bitcoin
blaster
borland
botnet
chrome
cisco
crypto
ctf
ddos
dmca
dnet
dns
dos
dropbox
eclipse
ecurrency
eeye
elcomsoft
excel
facebook
firefox
flash
freebsd
fsf
github
gnome
google
gpl
hp
https
ibm
icq
ie
intel
ios
iphone
java
javascript
l0pht
leak
linux
livejournal
mac
mcafee
meltdown
microsoft
mozilla
mysql
netware
nginx
novell
ny
open source
opera
oracle
os/2
outlook
password
patch
php
powerpoint
programming
pwn2own
quicktime
rc5
redhat
retro
rip
router
rsa
safari
sco
secunia
server
service pack
shopping
skype
smb
solaris
sony
spyware
sql injection
ssh
ssl
stuff
sun
symantec
torrents
unix
virus
vista
vmware
vpn
wikipedia
windows
word
xp
xss
yahoo
yandex
youtube
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|