20 апреля 2010 г.

Открытость и доступность государственной информации

Этот пост родился сам по себе. Сюжет, что называется, упал в руки. Название – так и вообще само на экране высветилось. Грех было не воспользоваться случаем :). Я и не согрешил. Или согрешил? :) Короче говоря, читайте и судите сами.

Все началось с комментов в ЖЖ-посте Ивана Бегтина «Моя статья в Полит.Ру про сайт Правительства России». Елена Голубева (в ЖЖ - fogosa) дала ссылку на отчетные материалы одного из государственных ИТ-проектов – мониторинга сайтов ФОИВ на соответствие требованием Федерального Закона 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления».
Ссылка совершенно открытая (ну на заборах ее вроде бы еще мелом не пишут, но и секрета никакого она не представляет) - http://aisup.economy.gov.ru/pubportal/description.jsp?uuid=pprtcto2k03380000if3v7109mjqrdjo. Ведет, как не трудно догадаться, на сайт Минэкономразвития. Прихожу на сайт, иду по ссылке «Материалы контракта», и скачиваю все материалы… 


Обратите внимание на файл, стоящий первым в списке – «3.0Анкеты.doc». Скачал-то я его, естественно, первым, вот только открыл не сразу – сначала начал читать основной отчет, потом обзор зарубежного опыта…
И только по старой консалтерской привычке решил посмотреть - что же там за анкеты такие? Открываю файл – а он состоит всего из трех страничек! Причем первая – титульный лист, третья – пустая, а на второй – всего несколько строчек. Но зато каких строчек!..Да-да :). Ключ от квартиры, где деньги лежат Адрес сайта (на котором ведутся анкеты сайтов ФОИВ - http://opengov.ru), логин и пароль для входа… А что бы вы сделали на моем месте? Вот и я пошел по указанным координатам… 

Зашел на сайт:


Ввел любезно вывешенные на заборе предоставленные Минэкономразвития логин и пароль... И – voila! Я – Елена Орешина, и я в системе :)


Ну что вам сказать? Там таки есть на что посмотреть :). Вот нужно просто на ссылку «Мои объекты» нажать - там же, рядом с именем пользователя:

Я вообще-то хорошо воспитан (честно говоря, у меня просто времени не было), поэтому, во-первых, я далеко и глубоко не влезал, а во-вторых, я там ничего не трогал (анкеты не заполнял, объекты не удалял и т.п.). Ну если только самую малость тронул – пароль госпожи Орешиной поменял :). Но тут, я считаю, что правильно поступил. Во-первых, не фига логины и пароли где попало разбрасывать (даже если «где попало» - это сайт Минэкономразвития), а во-вторых, если эту страничку с логином и паролем прочел я, то отчего бы ее не прочесть кому-то более злонамеренному? Я удивляюсь, что до сегодняшнего дня никто на этом сайте не порезвился. Ведь, судя по всему, отчетные материалы мониторинга сайтов ФОИВ вывешены уже достаточно давно.

Собственно, вот и вся история. Я там еще немного скриншотов с сайта сделал, но по некотором размышлении решил их не публиковать. Не потому, что там секреты какие-то секретные, а просто потому что лишними бы они здесь выглядели. Ведь этот пост и так понятно про что – про открытость и доступность государственной информации. В смысле – про то, какие админы админят сайты государственных ИТ-проектов, какие пользователи пишут логины и пароли в отчетных материалах, какие редакторы публикуют эти отчетные материалы в открытом доступе…

Ну а насчет пароля госпожи Орешиной, который я поменял, думаю, беспокоиться нечего. На том сайте админы какие-никакие, наверное, есть все-таки. И должна быть у этих админов специальная админская волшебная палочка фича по смене паролей пользователей, которые эти самые пароли прое прос потеряли-забыли. Так что, потыркается г-жа Орешина со старым паролем немного времени, не сможет войти в систему, да и позовет админа-молодца. А уж он-то маху не даст…
Ну а если даст (маху – в смысле), то можно, в конце концов, и мне в личные сообщения написать. Я верну пароль взад :)

12 комментариев:

  1. ну история-то прикольная
    а у доблестных чиновников на этот счет есть

    УГОЛОВНЫЙ КОДЕКС РФ, Статья 272. Неправомерный доступ к компьютерной информации

    Статья 272. Неправомерный доступ к компьютерной информации
    1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо <<>> информации, нарушение работы ЭВМ, системы ЭВМ или их сети, —
    наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
    2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно <<>>, —
    наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет


    и даже признание уже написано...

    ОтветитьУдалить
  2. интересно...
    в предыдущем посте после выделения нескольких слов тройными угловыми скобками сами слова пропали

    в первом случае -- копирование
    во втором - доступ к Эвм или сети

    ps это все конечно шутка :-) но как известно в каждой ...

    ОтветитьУдалить
  3. p.p.s.
    при ближайшем рассмотрении сайт opengov.ru - НЕ ГОСУДАРСТВЕННЫЙ
    это сайт Академии народного хозяйства, даже не самой анх а центра исследований при ней...
    так что в данном конкретном случае сами чиновники ничего особо и не нарушили
    а данные за сентябрь прошлого года имеют несильно большую ценность

    хотя 272 статье все равно :-)

    ОтветитьУдалить
  4. Спасибо за комментарий - появился повод продолжить дискуссию.
    Честно говоря, на то, что кто-то помянет статью УК, я и рассчитывал :).
    Вы же понимаете, что я хорошо подумал, прежде чем написать и опубликовать пост. А до этого подумал - менять этот чертов пароль или не менять.
    Так что, замена пароля и публикация - действия намеренные, но НЕ неправомерные. И я это обосную - только не в комменте, а в отдельном посте.

    ОтветитьУдалить
  5. >> в предыдущем посте после выделения нескольких слов тройными угловыми скобками сами слова пропали

    Пара угловых скобок - это ограничители HTML-тегов. В комментах Blogger'овского движка допустимы, кажется, всего три тега. Вот, видимо, движок самую ввнутреннюю пару скобок и текст воспринял как недопустимый тег и выбросил

    ОтветитьУдалить
  6. К админам-то какие претензии? Против неаккуратного пользователя лекарств пока не придумали. Дело админа - хранить админский пароль и бэкапить данные.

    ОтветитьУдалить
  7. К админам все-таки есть претензии.
    Во-первых, пароль нестойкий.
    Во-вторых, не установлен срок жизни пароля. Если бы был установлен, то разглашенный по пользовательскому недомыслию пароль уже умер бы.
    В-третьих, не установлен предел попыток ввода пароля (в том числе, и админского).
    Достаточно?

    ОтветитьУдалить
  8. И да - с чего стоило бы начать претензии к админам.
    Админ должен НАУЧИТЬ пользователей правильному обращению с паролями. В том числе, вколотить им в мозги мысль, что забор (или публичный сайт - что одно и то же) - не лучшее место для хранения пароля.

    ОтветитьУдалить
  9. Не, это вы админа с мессией путаете, во-первых.

    Во-вторых - утечку пароля устроило Минэко, которое как-то уж явно вне влияния админа. Как, собственно, и АНХ.

    В-третьих - чего уж мелочиться? Давайте туда ЭЦП прикрутим, strong cripto, биометрию и т.п. Не, мало! Отдельный защищенный канал! Сертифицированные компы!

    Грамотный сисадмин - это не тот, который громоздит какую попало защиту, потому что слыхал про такое, или нашел чек-бокс "включить словарную проверку пароля" в движке, а тот, который выбирает адекватный уровень безопасности, не вступающий в противоречия с удобством пользователя. В данном случае адекват ровно тот, что есть: пароль по выбору пользователя без ограничения длительности действия. На ресурсе нет секретных данных, официальным источником информации он не является, необратимо попортить или удалить данные там нельзя, т.к. там версионка и сложный ЖЦ, да и сами данные уже отработаны, система в режиме консервации.

    Кстати, истерическая календарная смена паролей, которой грешат многие админы, не повышает, а СНИЖАЕТ защищенность среднестатистической системы - это давно уже доказано. Это работает в армии, а в реале пользователь неспособен запомнить стойкий пароль, меняющийся раз в неделю, и начинает его записывать на бумажки.

    ОтветитьУдалить
  10. Ну, насчет "научить" я, возможно, и перегнул немного палку. Да, это не работа админа, это офицер по информационной безопасности должен делать. Но часто такая должность не предусмотрена в организации, и де факто такая обязанность все равно ложится на админа.

    Насчет утечки пароля. Первоисточник утечки - автор(ша) того самого трехстраничного документа, который потом Минэко выложило в открытый доступ. Кстати, допускаю, что выкладывавшие все это люди (скорее всего, админы сайта Минэко) вообще ни одного документа не открывали - они работали с ними как с "черными ящиками". Сказали выложить - они и выложили.
    Т.е. думать надо было все-таки той самой даме, которая свой логин и пароль в отчетный документ вписала.

    >> На ресурсе нет секретных данных, официальным источником информации он не является, необратимо попортить или удалить данные там нельзя, т.к. там версионка и сложный ЖЦ, да и сами данные уже отработаны, система в режиме консервации.

    Здесь пройдусь по пунктам.
    1. Да, данные несекретные. Да, ресурс - не официальный источник информации. С этими положениями согласен. Но в этих данных труд людей - тех самых. которые бездумно развешивают пароли. И потеря этих данных может привести к необходимости трудоемкого повторного ввода.
    2. Насчет "необратимо попортить". Я вообще не сторонник рассуждений о том, можно что-то испортить или нет - тем более, в открытой переписке. Но профессиональный и жизненный опыт (а также знание законов Мэрфи) подсказывают мне, что испортить можно все, что угодно. Я в посте написал, что даже не делал попыток изменить какую-то информацию. Но уверен - если бы целью было навредить/испортить, сильно утруждаться по этому поводу не пришлось бы. Даже с учетом версионности и ЖЦ.
    3. Насчет режима консервации системы. Не уверен, что это так. Я видел там данные по новым анкетам, которые вводились уже в этом году. И это не были учебно-тренировочные анкеты.

    И напоследок - насчет периодической смены паролей и стойких паролей. Конечно, генерить стойкие пароли и раздавать их пользователям - это бред. Нужно просто научить пользователей самих придумывать стойкие пароли, запоминаемые с помощью мнемонических приемов. Например - IlF1rf#1997 (I look F1 races from 1997).

    И уж совсем напоследок. Сегодня сделал проверочный заход на тот же сайт. Точнее, попытался сделать. Теперь вход на сайт полностью запаролен :). Админ перебдевает. Ну пусть - одной дырой в интернете меньше стало.

    ОтветитьУдалить
  11. Вот вам цена кривой секьюрности - дважды набирал подробный ответ, и дважды его терял на стадии запроса openID. Третья попытка, очень кратко.

    1. Утечка все-таки у МЭР, т.к. им пароль передавался сознательно, а уж они его ляпнули в открытый доступ (тут вы совершенно правы). Со стороны АНХ, конечно, ошибка в том, что они не создали спец. аккаунт, а передали пароль одного из операторов. Но с точки зрения безопасности это ничего не изменило.

    2. Силами оператора данные повредить безвовратно нельзя, хотя теоретически, конечно, сломать можно всё. Но на самый худший расклад есть бэкапы - админы бдят.

    3. Система таки на консервации, см. даты новостей там. Наблюдаемые шевеления - просто подготовка к будущему циклу мониторинга, реальных данных там нет. Данные прошлого года даже если и грохнуть - перевводить нет надобности: они многократно экспортированы, забэкаплены, распечатаны и т.п.

    4. Мнемоники после двух-трех итераций выдумывания перестают спасать: начинаешь запутываться. Да и не является для веба серьезной проблемой словарная атака: медленно слишком, и ловится сразу.

    5. Вообще рассчитывать на сознательность или внимательность юзеров - дело дохлое. Либо минимизируй риски дискредитации пароля (см. п.2), либо строй более серьезную защиту (буде она экономически целесообразно).

    6. Про обязанности админа - это все верно только при условии, что админ - работник той же организации. Иначе у него просто нет выхода на большую часть пользователей. Навязать словарные проверки и т.п. - элементарно, но зачем?

    7. Сайт закрыли в связи с незапланированным ростом его популярности :) Скрывать там нечего, но и широко показывать в незавершенном виде сочли лишним. Причешут контент, уберут тестовые материалы - опять откроют.

    ОтветитьУдалить
  12. >> Вот вам цена кривой секьюрности - дважды набирал подробный ответ, и дважды его терял на стадии запроса openID
    Сочувствую... Я уже давно тексты размером длиннее, чем полстраницы, сначала в файлике набираю, а потом уже копипащу в веб :).

    >> Но на самый худший расклад есть бэкапы - админы бдят
    Известно огромное количество примеров, когда бэкапы не делались МЕСЯЦАМИ. И не в компашках на 10 компов, а в больших, вполне себе серьезных организациях.

    >> Мнемоники после двух-трех итераций выдумывания перестают спасать
    Мне приходится менять свой пароль в корпоративной сети достаточно часто. Мнемоники все-таки рулят :)

    >> Навязать словарные проверки и т.п. - элементарно, но зачем?
    Все большие катастрофы (любого рода) начинаются с чьей-то маленькой лени или недоработки. Примеры, думаю, приводить излишне - их каждый день в СМИ полным-полно.

    >> Сайт закрыли в связи с незапланированным ростом его популярности :)
    Афигеть! (pardon my French) :) Все-таки интернет - сила...

    ОтветитьУдалить