Что бывает, если открыто сообщать об уязвимостях государственных сайтов

    Шестнадцатилетнему австралийскому школьнику Джошуа Роджерсу около месяца назад пришла в голову мысль проверить сайт управления городским транспортом Мельбурна Public Transport Victoria (PTV) ptv.vic.gov.au на прочность. Не вполне ясно, что именно использовал молодой человек в качестве инструмента для своих действий (есть мнение, что это просто был сканер уязвимостей, скачанный из сети, и натравленный на определённый URL), но за это ему и его родителям пришлось серьёзно поволноваться.

    База данных сайта действительно содержала критичную информацию: полные имена пользователей, их почтовые адреса, адреса электронной почты и 9 цифр номеров кредитных карт, принадлежащих закрытому недавно магазину на сайте, транспортные проекты города — всего около 600 000 записей. Вероятно, что запросы к базе никак не фильтровались, что и дало возможность Джошуа самому первым написать руководству сайта о выявленных SQL-инъекциях с предупреждением о потенциальных проблемах.

    Как водится, сначала на письмо парня никто не обратил внимания или даже не понял о чём оно. Джошуа обратился в местное СМИ и только после этого (открытой публикации всё ещё не было) руководство PTV взбодрилось, но не нашло ничего лучшего, чем обратиться в полицию с заявлением на несанкционированный доступ к их сети. Интересно, что инцидент с Джошуа произошёл через считанные недели после того, что аудит компьютерной безопасности предупредил, что государственные сайты из рук вон плохо готовы к атакам хакеров — всего в них насчитали более сотни дыр.

    Местный специалист по кибер-атакам Фил Керник выразился примерно так: да, очевидно, что Роджерс совершил преступление, получив нелегальный доступ к базе, но не меньше виноват и сам сайт, который не был способен защитить свои данные. В итоге, поскольку Джошуа всё-таки не стал оглашать информацию публично, то, вероятно, для него всё закончится сравнительно неплохо, но, — главное — власти официально признали, что "… если этот пацан смог найти [уязвимость], то, наверно, он не был первым".

    [Источник]
    Поделиться публикацией

    Похожие публикации

    Комментарии 69

      +116
      В следующий раз анонимно выложит данные для всех желающих, делов то.
      • НЛО прилетело и опубликовало эту надпись здесь
          +28
          Ну хорошо, убедили. Выложит не он, а его сосед Билли, тоже гик, но при этом еще и социопат.
            +39
            Если человек увидел незакрытую машину соседа, сообщил об этом и получил уголовное преследование, то да, в следующий раз он не станет об этом сообщать, а либо забьет, либо расскажет об этом по секрету своим друзьям. А уж они найдут применение.
              0
              Тут скорее человек увидел незакрытый дом соседа, зашёл к нему в дом сообщить об этом, а сосед увидел чужого человека у себя в спальне и сдал его полиции.
            +10
            Всё проще: если никто не захочет сообщать владельцам таких сайтов (соседям) об уязвимостях (незапертой машине) под страхом того, что посадят, — никто их не закроет (—"—), а значит, заинтересованным лицам aka злоумышленникам будет куда проще вытащить данные (поехать кататься).
            • НЛО прилетело и опубликовало эту надпись здесь
                –2
                Справедливости ради отмечу, что у white hat'ов проблем не бывает, т.к. они закон не нарушают. Этот парень — самый что ни на есть классический случай grey hat.
                  +5
                  Если сообщить об уязвимости, а от тебя отмахнулись — то что дальше? Забыть, ничего никому не сообщать и плюнуть, им же хуже? По мне так именно это — «серая» мораль.
                    +1
                    Мораль тут не при чем, вопрос в подходе. Закон парень все-таки нарушил (уже не white hat), но полученной информацией не злоупотреблял (до black hat не дотягивает), что делает его grey hat'ом.
                    en.wikipedia.org/wiki/Hacker_%28computer_security%29#White_hat
                0
                То есть вот увидили вы незапертую машину соседа, сказали ему, он не поблагодарил

                Не совсем так. Вы сказали соседу, а он заявил в полицию о том, что вы пытались ее угнать.
              +57
              Очередной раз статья подтверждает, что там, в правительстве, сидят некомпетентные люди, практически на всех уровнях. Даже отреагировать на проблему адекватно они не в состоянии.
                –34
                Откуда вам знать кто там сидит в австралийском правительстве?
                  +34
                  Откуда вам знать

                  Хотя бы вот из этой истории видно.
                    –1
                    Может вы еще и против моего трамвая что-то имеете?
                  –3
                  Некомпетентные в вопросах информационной безопасности. Другие компетенции тестом не проверялись.
                    +7
                    При чём здесь информационная безопасность? Им сообщили о проблеме, а они драться. Это как примерно в школе: у тебя вторая задачка в домашке решена неправильно — а ты сам дурак.
                      +1
                      При том, что их компетентности в вопросах информационной безопасности не хватило, чтобы понять, что им сообщили об их проблеме, и они увидели лишь то, что к ним в дом залез вор. При этом естественна реакция вора сдать, только вот при этом хорошо бы ещё озаботиться тем, чтобы замки сменить на более надёжные. Будь они поумней в этом вопросе, то и вора бы, который ничего не стащил, наградили бы.
                  +6
                  «Что бывает, если открыто сообщать об уязвимостях»

                  "…дало возможность Джошуа самому первым написать руководству сайта о выявленных SQL-инъекциях с предупреждением о потенциальных проблемах…"

                  "…и только после этого (открытой публикации всё ещё не было) руководство PTV взбодрилось…"

                  "…поскольку Джошуа всё-таки не стал оглашать информацию публично, то, вероятно, для него всё закончится сравнительно неплохо…"


                  Извините, но текст статьи несколько раз противоречит заголовку.
                    +6
                    Я имел ввиду, что он сел и написал владельцам сайта под своим именем.
                    +18
                    А может здесь мне кто-то объяснить, что такое «несанкционированный доступ»?

                    Я могу написать на главной странице «не переходите сюда (ссылка), я не санкционирую никого!» — и потом подавать в суд на всех, кликнувших по ссылке?
                      +1
                      Теоретически да, можете (но лучше, конечно, выбрать более изящную формулировку). Примерно так поступили в Adobe, когда выложили в открытый доступ ссылки и серийники к своему CS2, но предупредили, что пользоваться этим должны только те, кто раньше честно купил соответсвтующие программы. Другое дело, что поймать и засудить нарушителя может оказаться весьма геморройно.
                        0
                        Доступ посредством способов, о которых пользователь знал или должен был знать (по закону, по договору или по обычаям делового оборота), что они ему не разрешены. В вашем случае как минимум нужно будет доказать, что пользователь прочитал или должен был прочитать надпись и/или имел другие основания полагать, что эта страница не является общедоступной, что противоречит правилам делового оборота — страница, не защищенная паролем и ссылка на которую находится в общем доступе, так же считается общедоступной. Сложно сказать, что решит суд, чему даст приоритет — вашей надписи или обычаю. Я бы дал обычаю, поскольку, как минимум, переход по ссылке не блокирован от случайных переходов.
                          0
                          К сожалению, у большинства стран в законах определение очень нечеткое (в России лучше чем в США на бумаге, но наск. мне известно не по факту применения). И в практике применения НСД смешан с нарушением соглашения, оферты, проч.
                          Изначально это должно было быть — доступ к информации с обходом штатных средств разграничения доступа. Но в реальности даже под выложенный горе-админом файл могут пришить НСД — хотя уж что-что, а это точно не оно
                          +12
                          Даже там в правительстве сидят неадекватные люди. Парень нашел уязвимость, решил о ней рассказать. А его обвинили во взломе и подали в суд. Вот что происходит, когда лучшие умы работают в гугле, а в администрации сидят «Учил? Ну я читал».
                            +2
                            Ну так гугл своих спецов холит, лелеет и всячески за новыми охотиться, а в администрацию идут те кому теплое местечко хочется.
                            Печально это все.
                              +3
                              дополню:
                              … местечко тёплое хочется, а работать не хочется или не умеется
                            +25
                            Была у меня подобная история с одним из государственных университетов. Проходил у них курсы повышения квалификации по инф. безопасности, ну и решил посмотреть насколько они компетентны в сей области. Стоит ли говорить, что защиты небыло никакой. Я свободно получил доступ к серверам на которых крутились ведомственные гос. сайты. Сообщил о проблемах методисту. Тоже пригрозили судом, отказались выдать удостоверение (за оплаченные и прослушанные курсы) и даже позвонили моему руководителю. Благо здравый смысл все же взял верх…
                              +5
                              Вот это круто, когда безопасники боятся проверки своей же защиты, которой учат. В одной школе у информатика стоял сервер с расписанием школы и еще какими-то сервисами. На первом уроке он сразу предупреждал, что вот есть сервер, за удаление с него информации по шапке получишь, но на нем есть файл «имяфайла», кто скопирует файл и покажет как он это сделал, тому 5 в году. Ну и еще простую 5 можно было получить за написание алгоритма победы над ботом в какую-то примитивную игру. Вообщем в году 5 на халяву никто ни разу не получил. За игрушку вроде иногда удавалось получить, но это были единичные случаи, после чего учитель переписывал своего бота, и он вновь становился непобедимым.
                                0
                                Так не в безопасниках дело, а в таких же безграмотных идиотах, которые сидят на ответственных должностях, ведь на них никогда не сидят реальные спецы.

                                p.s: а история интересная — в массы такое!
                                  0
                                  Ничего интересного рассказать не могу. Общался я через методиста как через глухой телефон. Она толком ничего не понимала, думала, что я действительно диверсант. Пришлось подключать знакомых из властей, чтоб объяснили, что в первую очередь от этой шумихи по голове получат они сами. Так вот все и замялось…
                                    0
                                    А если по тех. части, то стояли у них на каждой машине в группе виртуалбоксы. Из под бокса поднял виртуальную машину, которая успешно зарегалась в сети. С нее сканерами просканил сеть. Стандартными паролями попал на никсовые машины на которых были хостинги и прокси сервера. Ну и т.п. Вообщем безопасник знал только, что происходило сканирование (циска выдала алерт) и знал аудиторию из которой было сканирование (айдитория висела на неуправляемом свитче а свитч на порту циски)…
                                –3
                                Интересно, а что в таких случаях народ предлагает делать? Парень все же уже получил конфиденциальную информацию. Как уберечь ее, если она уже у него? Даже если они там и не адекватные люди, они должны сделать какие-то административные действия, что бы остановить дальнейшее распространение. Да еще парень засветил все в СМИ. Ему уж конечно можно доверять, ведь он первый написал письмо и его компьютер самый секретный компьютер в мире. Да, и конечно, язык парень умеет за зубами держать. А так — полиция в курсе, они проверят, имел ли парень с этого какую-то выгоду. Если нет, то его оправдают.
                                  +1
                                  Ну, с утекшей информацией все просто: если она где-то всплывет, парнишка будет первым подозреваемым. Но доказать, что это именно он использовал ее, все равно придется.
                                    0
                                    Эксперты скажут, что это было единственное проникновение и вуаля.
                                      0
                                      Защита скажет, что компьютер подозреваемого мог быть взломан.
                                        0
                                        Эксперты скажут, что свидетельств взлома нет.
                                          0
                                          Почему вы так уверенны?
                                            0
                                            Достаточно в папке темп (или кеше браузера) держать реального трояна или парочку, но не запускать их, ну и не иметь установленного антивируса- профит? :)
                                    +46
                                    К слову о здравом смысле — люди давно перестали в него верить… каждый интерпретирует его по своему, а кто-то просто игнорирует. Потому что не хочет лишних проблем ни в каком виде.

                                    Мой друг с сокурсником нашли на дороге кошелек, в котором были водительские права, несколько банковских карт, с бумажкой на которой старательно написаны пины и внушительная сумма денег (около 200 тыс. рублей). они долго решали что делать…
                                    Друг узнал чьи права и пришел вернуть утерю владельцу. Владелец вызвал, тогда еще, милицию и обвинил в краже… Была очень запутанная история с этими деньгами, но с друга обвинения, в итоге, сняли.
                                    Теперь он проходит мимо потерянных вещей, а если встречает что-то существенное — несет до ближайшего мусорного бака. Вот так.
                                    С его точки зрения — «это единственное разумное, что я могу сделать».

                                    Кто-то называет это безучастием, бессердечностью, глупостью, но с другой стороны: спасение утопающих — дело рук самих утопающих. И если общество поощряет модель «не делай добра — не получишь зла», то я не вижу ничего зазорного в этой «безучастности, бессердечности, глупости...»
                                      +3
                                      А я не устаю повторять, нашел что-то, лучше не трогай. Если уж решил вернуть, подбрось в почтовый ящик.
                                      Никому не нужны утеряные карты и документы назад. Любой нормальный человек в случае потери/кражи моментально блокирует карты и бегом бежит писать заявление об утере документов. Иначе можно неожиданно стать обладателем нехилого кредита или владельцем конторы по отмыванию денег.
                                        –2
                                        Все верно, за исключением того, что водительское удостоверение никаким документом подтверждающим личность не является и котируется только в ГАИ и у охранников выдающих временные пропуска на территорию.
                                          +3
                                          Вы не правы. Документом, удостоверяющим личность, может являться практически любой документ. Одно из главных требований к нему — наличие фотографии. Также должен содержать ваши данные: фамилия, имя, отчество. Затем документ должен иметь номер, дату выдачи, период его действия, печать организации, выдавшей документ, и подпись руководителя (или иного лица, ответственного за выдачу документов организации). Примеры документов, удостоверяющих личность, кроме паспорта:
                                          временное удостоверение личности гражданина Российской Федерации, выдаваемое на период оформления паспорта;
                                          — военный билет или временное удостоверение, выдаваемое взамен военного билета;
                                          — служебное удостоверение (работника различных органов власти, организаций и учреждений);
                                          — водительское удостоверение;
                                          — удостоверение, разрешающее осуществлять определенные виды деятельности (удостоверение адвоката, крановщика, стропальщика и др.);
                                          — студенческий билет, зачетная книжка;
                                          — документы граждан, отнесенных к определенной категории (удостоверение ветерана, инвалида, почетного донора, члена казачьего общества и т.д.);
                                          — справка установленной формы, выдаваемая гражданам Российской Федерации, находящимся в местах содержания под стражей подозреваемых и обвиняемых, либо отбывшим наказание и освобожденным из мест лишения свободы;
                                          -трудовая книжка;
                                            +1
                                            В трудовой фотография есть? O_o

                                            А вообще многое зависит от цели удостоверения личности — для некоторых целей (например голосования на выборах) далеко не все документы из вашего списка могут быть использованы
                                              0
                                              А теперь попробуйте с этими знаниями купить билет на ЖД транспорт или взять кредит в банке используя только водительское удостоверение.
                                              У нас Россия, не США, где даже виза в пасспорте уже отдельный документ.
                                                +1
                                                Недавно столкнулся с тем, что на экспресс Владимир-Москва (3 часа дороги) в кассе попросили паспорт. Водительское удостоверение вполне подошло.

                                                Но обычно все еще проще. Вот уже лет 5 всегда удавалось обойтись без самого паспорта при путешествиях поездами дальнего следования. В кассе называю нужные данные, проверяющим — показываю скан на КПК/смартфоне. А можно купить билеты по интернету и пройти «электронную регистрацию», не знаю как сейчас, но раньше список таких «продвинутых» у проводников был небольшой на специальной бумажке. Достаточно было назвать при посадке правильно фамилию, даже документы не просили.
                                                  +1
                                                  По студенческому и военнику билет покупается легко.
                                                    +2
                                                    на поезд по водительскому брал не раз, а на самолет уже только паспорт. Даже сигареты по водительскому не продают — паспорт требуют, такая вот комедия
                                                      0
                                                      Всегда прокатывало водительское в магазине.
                                              +1
                                              У меня есть две противоположные истории:

                                              Один раз из проезжавшей мимо машины выпали документы на нее (дети, похоже, выкинули), я подобрал, нашёл телефон, дозвонился до жены водителя, она уже связалась с мужем. Муж ещё не успел понять, что документы потерялись: довёз детей и вернулся за документами. Сказал что торопился, поэтому даже поблагодарить не чем, на том и разошлись.

                                              Другой раз нашли кошелёк с водительским удостоверением хозяина и визиткой большого местного милицейского чина. Тоже через контакт нашли родственников и в течении получаса вернули. Оказалось, жена по пьяни потеряла, пока муж вообще в командировке был. Отдали все и разошлись. Уходя, правда, слышали, что подруга женщине говорила, что мол может они украли, но все норм.

                                              Так что раз на раз не приходится.
                                                +5
                                                Вы правда считаете эти истории противоположными описанной? В первом случае вас не отблагодарили, во втором предположили что вы вор.
                                                Или для вас шкала именно между «дадут по шапке за доброе дело / всё обойдётся» находится?
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                    +1
                                                    Все найденные предметы и документы нужно относить в полицию. Там разберутся (многозначительно...)
                                                      0
                                                      О, да. Помнится история, обсасываемая в блогах, как сделали инвалидом и посадили мужика, который нашел айфон на горнолыжном склоне и принес его в полицию.
                                                    0
                                                    >В первом случае вас не отблагодарили
                                                    Писалось про «поблагодарить нечем». Или прям обязательно материальное вознаграждение должно быть?
                                                      0
                                                      Или прям обязательно материальное вознаграждение должно быть?

                                                      Да нет, почему же. Но тут есть два момента:
                                                      1)В комментарии не сказано, что человека вообще поблагодарили за то, что он жертвовал своим временем (и, в потенциале, своей свободой и честью)
                                                      2)Если бы его ХОТЕЛИ отблагодарить материально, можно было бы взять номер телефона, а потом подарить бутылку хорошего вина, например. Но человек оказался очень занятым.
                                                      Я так понял комментарий, буду рад узнать, что всё было иначе и лучше.
                                                        0
                                                        Человек поблагодарил на словах и извинился, что больше отблагодарить не чем. Я ответил, что ничего страшного (не за этим же я документы возвращал). На том и разошлись. ИМХО искать меня потом несколько излишне, вам не кажется? Я бы сам отказался. Проставиться потом было бы разумно, если бы мы были знакомыми/коллегами и т.п. А так, зачем тратить время своё и незнакомого человека?

                                                        Я как-то не заострял внимание на словестной благодарности, потому что для меня это само собой разумеющееся. В обоих случаях она была, ну и история о том, как вещь потеряли (откуда я и знаю подробности). Я бы заострил внимание, если бы благодарности совсем не было.
                                                  +3
                                                  У вашего друга весьма обоснованный подход. Не всем везет так, как ему: www.mk.ru/social/article/2012/06/26/718802-yavka-s-mobilnyim.html

                                                  P.S. сам несколько раз находил и возвращал мобильники (в универе, на горнолыжном склоне), но ни при каких обстоятельствах я не стал бы свзяываться с «правоохранительными» органами.
                                                  +1
                                                  но все все равно будут прикалываться над Почтой России и РосКомНадзором.
                                                    +1
                                                    Вот мне интересно, а если я подставлю в запрос «and 1» и «and 1=2» и проверю разницу ответов, из которой пойму о уязвимости — будет считаться за неправомерный доступ?)
                                                      0
                                                      Нет, но и уязвимости не будет, так как доступа вам получить не удалось и «все у нас в порядке»)
                                                      +1
                                                      Ну в РФ как считается, если закон напечатан в газете, то о нём типа все поставлены в известность. Вот он и решил действовать таким же способом.
                                                        +2
                                                        типа

                                                        А должны каждому под подпись?
                                                        +5
                                                        "… да, мы зовем его Дропик"
                                                          0
                                                          Бобби же вроде, нет?
                                                            +1
                                                            Это если без переводчик без юмора.

                                                            Мне, лично, «Дропик» больше нравится: и намек на знание родителем сути интриги, т.к. имя ненатуральное какое-то, и преподаватель ничего не возразит — мало ли, как дитё дома прозвали?

                                                            P.S. Вы не поверите, но ровно такое обсуждение уже имело место: habrahabr.ru/post/142956/#comment_4788748 )
                                                          0
                                                          Грустно все это. Но немного поразмыслив, я вижу в этом (беспринципную) выгоду: если нахождение уязвимостей поощрять, будут больше ломать, а иначе — будут больше бояться ломать… Конечно, против киберпреступников это не поможет, зато какую ложную надежду подает…
                                                          Вывод: добро — неблагодарное дело, и должно делаться лишь ради самого факта, а не вознаграждения.
                                                            +1
                                                            Знаете, есть такая штука…

                                                            Если Вася украл у вас 20000 рублей — а вы про это не знаете. Короче, подходите вы к Васе и говорите ему «Слушай, у тебя есть 20 рублей на сигареты?». А он вам ни с того ни с сего «Какого хрена тебе, кретин надо? Бросай курить, удило!»

                                                            Вариант номер два. Вася спит с вашей женой — вы об этом не знаете. С утра вопрос жене: «Ты выспалась, дорогая?». «С тобой не поспишь, урод, ты храпишь как… (20 мегабайт текста)».

                                                            Вариант номер три. У Автстралийского управления транспортом увели всю базу логинов и паролей. Они про это знают, но государство ещё не пронюхало. Хорошо. Тут появляется мальчик и говорит им «А у вас на сайте дырка». А они такие — «Расстрелять».

                                                            Ну чё, логично, а?
                                                              0
                                                              >да, очевидно, что Роджерс совершил преступление, получив нелегальный доступ к базе, но не меньше виноват и сам сайт, который не был способен защитить свои данные
                                                              Очевидно, что убийца совершил преступление, заколов врага ножом, но не меньше виноват и сам враг, который сделан из мяса и так легко протыкается ножом.

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                              Самое читаемое