Открити са слабости в системата за разпределение на дела, които позволяват манипулация на данни

Открити са слабости в системата за разпределение на дела, които позволяват манипулация на данни
В Централизираната системата за случайно разпределение на дела (ЦССРД) са открити слабости, които могат да доведат до манипулация на данни, съобщи БНТ.
 
По време на изслушването на специалистите, които са направили одит на Централизираната система за случайно разпределение на делата (ЦССРД), те са обяснили слабостите, които са установили.
 
По време на проверката и тестовете са били идентифицирани множество критични уязвимости в системата на ЦССРД, които могат да доведат до цялостна манипулация на резултатите от случайни разпределения на съдии по съответните дела.
 
Част от уязвимостите позволяват на съдия с права върху конкретен съд да извършва следните действия:
 
- Да добавя нови съдилища;
- Да достъпва и редактира информация на чуждо съдилище;
- Да достъпва, редактира и изтрива инкрементални номера;
- Да достъпва и изтрива отсъствия и регистрирани дежурства;
- Да се достъпват и модифицират данните на други потребители;
- Да разпределя дело на съдия от чужд съд.
 
Тези уязвимости са описани в детайли в секцията "Описание на уязвимости".
 
В обобщение на резултатите от проведените тестове е необходимо да бъде отбелязано, че системата на ЦССРД използва технологии, които не са съвременни и съответно голяма част от векторите за атака са приложими.
 
Системата е написана без фокус върху нейната сигурност и откритите уязвимости представляват сериозна заплаха за нея и данните, с които работи тя.
 
Критичните уязвимости са също така изключителни лесно възпроизведими дори и за нетехническо лице с малък опит в сферата на киберсигурността. Някои от тях могат да доведат до пряка манипулация на данните в Централизираната система за случайно разпределение на делата.
 
По време на тестовете за оценка на сигурността и прегледа за наличието на журнални файлове, са били забелязани следи от потенциално злонамерена дейност спрямо системата на ЦССРД.
 
По време на тестовете за оценка на сигурността са били идентифицирани 23 уязвимости. От тях, 11 са категоризирани с високо ниво на риск, 2 със средно и 10 с ниско.
 
Системата на ЦССРД изисква всеки регистриран потребител да разполага с КЕП (квалифициран електронен подпис) с цел автентикация.
 
Електронният подпис следва да е обвързан с профила на съответния потребител и верификацията да се прави на ниво уеб приложение.
 
В конкретния случай системата действително изисква електронен подпис, но не го верифицира спрямо асоциирания с конкретния потребител. Това представлява уязвимост с високо ниво на риск поради факта, че всяко лице с валиден КЕП може да достъпи системата при условие, че е преминал защитната стена.
 
Системата би следвало да проверява дали електронният подпис на потребителя фигурира в системата като разрешен за достъп. Към този момент проверка се прави единствено за това дали се използва такъв, но не и дали той е верифициран засистемата на ЦССРД.
 
След повече от 3 часа разисквания и изслушване на одиторите на системата, Пленумът на ВСС взе три изключително важни решения за действията си занапред. Така, Πлeнyмът yпълнoмoщaвa пpeдcтaвлявaщият BCC Боян Магдалинчев дa пpeĸpaти дoгoвopa cъc "Cмapт cиcтeмc" зa oбcлyжвaнeтo нa cиcтeмaтa. На второ място - дa пpвeдe oбeщcтвeнa пopъчĸa зa oтcтpaнявaнe нa ĸoнcтaтиpaни yязвимocти и пoддpъжĸa нa cиcтeмaтa. Трето - нa нaчaлниĸa oтдeл "Инфopмaциoннo oбcлyжвaнe" нa BCC е възложено ocъщecтви вepифиĸaция нa IP aдpecитe в cиcтeмaтa зa cлyчaйнo paзпpeдeлeниe нa дeлaтa.

ВСС откри сметка за дарения срещу COVID-19

Предишна новина

Ще публикуват резюме на доклада за пробивите в системата за разпределение на дела

Следваща новина

Коментари

8 Коментара

  1. 8
    свидетел | нерегистриран
    1
    -1

    хахаха "Много шум за нищо" май Шекспир я беше написал тази комедия а някои от ВСС се опитват да я пренапишат еее не ставайте смешни!!!

  2. 7
    Катон Стария | нерегистриран
    5
    -6

    И все пак правосъдие в България след 9.9.44 е нямало и няма! Нова Конституция, ликвидация на измисления орган от 10.11.89 ВСС с ИВСС, президентска република, пълна изборност на всички съдии и прокурори. И без следствие.

  3. 6
    | нерегистриран
    13
    -12

    по-кротко с коментарите и изводите! Тепърва ще гърмят бомби! Не бързайте да защитавате системата, за да не се чудите после къде да се скриете! По- кротко!

  4. 5
    Wow !!! | нерегистриран
    12
    -8

    Никой не може да направи описаните лоши неща.Теория и практика са много различни и могат да се комбинират само в рамките на даден съд или прокуратура.Един съдия или прокурор на теория би могъл и да ... полети,но трябват и други условия - напр.крила като на Икар ,самолет или космически кораб.Като са решили да прекратят договора с досегашната фирма,просто го правят и толкоз.Много шум за нищо.След като никой не успял да злоупотреби/респ. няма полетял съдия или прокурор в небесата/,то какво ни се обяснява ненужно за теоретичните възможности...Като дойде новата фирма след още 4-5 години ще видите какви теоретични пропуски ще измислят и за нея.Тогава ще ни трябва "още по-нова" фирма и т.н. и т.н.

  5. 4
    Обобщение | нерегистриран
    12
    -5

    Боян Магдалинчев: Докладът обаче посочва категорично, че никой не се е възползвал от тези уязвимости. В системата не е влизано.



    Иван Гешев: Ако това е вярно, значи в последните 5 години не е имало правосъдие в България

  6. 3
    И сега? | нерегистриран
    13
    -8

    Какво стана с "информацията" за възможността всеки да разпределя дела, за шпионското дело, разпределено от чужбина, за екзотичните острови... Значи всеки може да си плямпа небивалици и после нищо.

  7. 2
    един | нерегистриран
    13
    -6

    Само да попитам - защо не поискаха за изслушат разработчика, за да може да опровергае констатациите. Аз съм прост потребител, но ми се струва, че някои от нещата не са точно така, както са описани в одита. Миналата година се наложи да преместим съдийски профил с права за разпределение от един съд в друг - процедурата изискваше верификация от админите на ВСС, както и потвърждение от Смарт системс. Така че май и в този одит са наговорени куп глупости.

  8. 1
    Значи | нерегистриран
    20
    -7

    Значи не човек с лаптоп от Разград, не ученик от 7-ми клас, не бял хакер, а "съдия с права върху конкретен съд" може да извършва описаните действия. Сега остава и да дадат яснота как ще разпредели дело в друг съд и кой ще подпише протокола за разпределяне на делото.

Твоят коментар

Сайтът е защитен с reCaptcha. Политика за лични данни.