ВСС пусна резюме на доклада за пробивите в системата за случайно разпределение на дела

ВСС пусна резюме на доклада за пробивите в системата за случайно разпределение на дела

Висшият съдебен съвет (ВСС) публикува резюме на доклада за пробивите в системата за случайно разпределение на дела.

От него става ясно, че одиторите са установили установени общо 23 технически уязвимости, 11 от които с високо ниво на риск.

Ето и пълния текст на резюмето на доклада:

В изпълнение на сключен договор с Висшия съдебен съвет, през периода 17 февруари 2020 г. – 9 март 2020 г. от страна на "АМАТАС" ЕАД е извършен одит на информационната сигурност на Централизираната система за случайно разпределение на делата (ЦССРД), с оглед ограничаване на вътрешни и външни уязвимости. Одитът е извършен с цел установяване на налични уязвимости на системата, като е симулирана дейност от злонамерен нападател, за да се установи до какви ресурси от тестваната система такъв нападател би могъл да осъществи достъп, както и какви промени може да нанесе по системата. С цел да се предотвратят проблеми по отношение на нормалното функциониране на системата, за целите на одита продукционната среда е репликирана в тестова такава. Централизираната система за случайно разпределение на делата физически е разположена на сървър на Висшия съдебен съвет.

Достъпът до нея е ограничен до конкретни ползватели и други технически лица, отговарящи за нейната техническа поддръжка и се осигурява посредством три слоя на защита. При одита е направен анализ на конфигурацията на сървъра, на който е разположена ЦССРД, на базата данни, на кода на приложението и на журналните записи за използване на системата. За тестването са използвани автоматизирани и полуавтоматизирани софтуерни решения, извършени са оценки и проверки от страна на експерти по киберсигурност. Одитните действия са извършени по начин, който да осигури опазването на нормалната функционалност на системата.

 При одита са установени общо 23 технически уязвимости, нивото на риск на които е изчислено спрямо Common Vulnerability Scoring System (https://www.first.org/cvss/). Установените уязвимости са, както следва: I. С високо ниво на риск – 11 (47,8%) – уязвимости, свързани с достъпа до системата, както и такива, които в рамките на ЦССРД предоставят възможност за нарушаване на сигурността на системата чрез: ● неоторизирано добавяне на нов съд; ● неоторизирана редакция на чужд съд; ● неоторизирана редакция на съдии от друг съд; ● неоторизирана редакция на групи от съдии от чужд съд; ● неоторизирано изтриване на инкрементални номера; ● неоторизирано изтриване на отсъствия; ● неоторизирано изтриване на регистрирани дежурства; ● неоторизиран достъп до данни на потребители от чужд съд; ● неоторизирано разпределение на дело на съдия от чужд съд. II. Със средно ниво на риск – 2 (8,7%) – уязвимости, които в рамките на системата осигуряват потенциална възможност за нарушаване поверителността на информацията в ЦССРД чрез: ● разкриване на информация за съществуващи потребители; ● разкриване на информация за съществуващи съдии. III. С ниско ниво на риск – 10 (43,5%) – уязвимости, свързани с настройките за сигурност на системни елементи – част от ЦССРД и предварително изискващи достъп до сървъра: • уязвимост тип "Hotlinking"; • недостатъчна продължителност на заключване на акаунт (Local Group Policy); • възможност за добавяне на компютър / устройство към домейн контролер (Local Group Policy); • възможност за генериране на системни доклади от операционната система (Local Group Policy); • възможност за вписване като "batch job" (Local Group Policy); • възможност за заместване на токен на процес (Local Group Policy); • възможност за спиране на операционната система (Local Group Policy); • възможност за блокиране на Microsoft акаунти (Local Group Policy); • възможност за преименуване на посетителски акаунти (Local Group Policy); • възможност за форматиране на закачени преносими устройства (Local Group Policy). Установените при одита уязвимости представляват риск, като експлоатирането на част от тях би могло, при наличието на допълнителни предпоставки, в това число и предварително осигурен достъп, да доведе до неоторизирани промени в резултатите от разпределението на дела.

Тестовете за оценка на сигурността не са установили техническа възможност за достъп до системата отдалечено, без съответното лице да бъде предварително и ръчно оторизирано от лицата, отговорни за това. В рамките на договорно определения обхват, одитиращото дружество не е имало задача да извършва проверки за установяване на действителни нарушения на сигурността на системата, в т.ч. за осъществен неоторизиран достъп и за извършени манипулации при разпределението на дела от ЦССРД, и такива проверки не са извършвани. Въпреки това, по време на тестовете за оценка на сигурността са забелязани журнални файлове със следи от потенциално злонамерена дейност спрямо системата на ЦССРД от страна на IP адрес с локация гр. София. Опитите за неоторизиран достъп до базата данни са се състояли между 22:38 ч. и 22:47 ч. на 4-ти октомври 2016 година, като за същите са използвани автоматизирани инструменти. Няма информация относно получения отговор от страна на сървъра. На база резултатите от одита е констатирано, че ЦССРД е разработена с фокус върху нейната функционалност.

В същото време, системата не е защитена с достатъчно надеждни контроли за сигурност от техническа гледна точка, съответстващи на нейното предназначение и отговарящи на добрите практики и стандарти по информационна сигурност, тъй като системата използва остарели технологии. Въз основа на констатираните уязвимости, с одитния доклад са дадени конкретни препоръки за тяхното отстраняване, както и за цялостното подобряване на сигурността на ЦССРД. Специални препоръки са дадени по отношение на уязвимостите, свързани с достъпването на системата, доколкото такива уязвимости са една от най-често срещаните причини за компрометиране на информационни системи и същите могат да позволят на външни лица да достъпят директно базите данни и по този начин да извършат нерегламентирани дейности, с които да нарушат интрегритета на тези данни.

Кандидат за младши съдия отива на съд за представяне на неистински препоръки

Предишна новина

Професор Мутафчийски изрази надежда, че парковете могат да бъдат отворени за разходка на деца с родители

Следваща новина

Коментари

24 Коментара

  1. 24
    оранжев хакер | нерегистриран
    9
    -4

    Троловете са си тролове. Обидни квалификации, общи приказки, опорни точки. Пълна програма. Изтъркано и скучно.

  2. 23
    До оранжевото хакерче | нерегистриран
    11
    -9

    Само ти ли не знаеш, че някои хора изкараха много парички от разпределение на дела?

  3. 22
    | нерегистриран
    7
    -7
    До коментар #21 от "оранжев хакер | нерегистриран":
    Мнооого се съмнявам дали си виждал дело. Особено на ВКС. Хартиените протоколи в делото са два. Протокол за разпределение на конкретното дело и протокол за дневното разпределение по входящи номера на преписката и хронология. В какви милисекунди става подмяната на протокола, та останалите остават в хронологията? Във ВКС дето беше белият хакер Кирилов, няколко деловодителки едновременно разпределят делата. Сменят протоколи та пушек се вдига.

    Ти си уникален тупан и не си никакъв хакер. Оранжева ти е мъглата в главата. Това е възможност и то елементарна. Не си светил на деловодителките във ВКС. Освен това ти казах, че има мнооого по-елегантни начини. Те хората си казват някои тънкости, ама няма кой да чете. Резюмето има втора част. Докладът е доста обемен, доколкото знам. Не се хвърляй на амбразурата, защото не знаеш колко и какви са мунициите в нея. Не бързай да защитаваш програмата. Рано е. Да не се изложиш. Надявам се, когато излезнат някои безобразия да не се скриеш в миша дупка, както Лозан Панов по аферата с клипчето за марихуаната.Или чакаш втора серия на "YERBA"?

  4. 21
    оранжев хакер | нерегистриран
    3
    -9
    До коментар #16 от " | нерегистриран":
    Въпрос: с ти виждал ли си логовете, защото аз дело съм виждал.

    Мнооого се съмнявам дали си виждал дело. Особено на ВКС. Хартиените протоколи в делото са два. Протокол за разпределение на конкретното дело и протокол за дневното разпределение по входящи номера на преписката и хронология. В какви милисекунди става подмяната на протокола, та останалите остават в хронологията? Във ВКС дето беше белият хакер Кирилов, няколко деловодителки едновременно разпределят делата. Сменят протоколи та пушек се вдига.

  5. 20
    | нерегистриран
    6
    -2
    До коментар #17 от "До 14 | нерегистриран":
    Ама ти съвсем се обърка - значи председателят на съда сменя протокола, като слага фалшив със своя подпис. Защото делата при него се носят, ако не знаеш. Или Гешевият седмокласник сменя протокола по делото, като по таен начин е влязъл нощем в съда, докато родителите му спят.

    Само ти ли не знеш, че определени дела се разпределяха където и както трябва?

  6. 19
    | нерегистриран
    10
    -7
    До коментар #16 от " | нерегистриран":
    Въпрос: с ти виждал ли си логовете, защото аз дело съм виждал.

    Не съм се объркал. Остави го Гешев да си гледа прокурорските системи. Какво пречи председателят на съда да подмени протокола? Нищо - при положение, че не се сравнява съдържанието на протокола със съдържанието на логовете. Освен това има други начини, при които председателят си мисли, че разпределя, а всъщност избора е предрешен преди това. Ще ги разбереш, а и попитай някой компютърен специалист, вместо да се упражняваш.

  7. 18
    До 11 | нерегистриран
    2
    -9

    Какви логове - Гешев каза седмокласник или всеки с елементарни компютърни познания. Може би да триеш логове е елементарно като да триеш коментари тук

  8. 17
    До 14 | нерегистриран
    10
    -2

    Ама ти съвсем се обърка - значи председателят на съда сменя протокола, като слага фалшив със своя подпис. Защото делата при него се носят, ако не знаеш. Или Гешевият седмокласник сменя протокола по делото, като по таен начин е влязъл нощем в съда, докато родителите му спят.

  9. 16
    | нерегистриран
    5
    -3

    Въпрос: с ти виждал ли си логовете, защото аз дело съм виждал.

  10. 15
    оранжев хакер до 11 | нерегистриран
    10
    -2

    Въпрос: Виждал ли си дело? Барем на снимка?

  11. 14
    | нерегистриран
    6
    -10

    Сменя протокола с фалшив, бр мунчо! И го правиш ти като разпределящ!. Толкова ли си тъп?

  12. 13
    До 11 | нерегистриран
    14
    -5

    Мунчо си ти. С какъв протокол сменяш отпечатения при извършването разпределяне? Нали трябва да е подписан от председателя на съда или заместник, които подписват и печата за образуване на делото. Като са те сложили дежурен по тролене, поне да те бяха обучили на елементарни неща, свързани с образуването на дела, за да не се излагаш

  13. 12
    | нерегистриран
    7
    -12
    До коментар #10 от "оранжев хакер | нерегистриран":
    Протоколът за разпределение се разпечатва, хартиеният носител се прилага към делото, а разпределящият, чието име се генерира в протокола съобразно кода за достъп го подписва физически и слага печата на съда. Всяка страна по делото може да си го види. Специалистите, дето се изхождаха по темата, да кажат как става тази работа с хартиения носител, подписа и печата.

    Всяка електронна информационна система подлежи на проверка и одит през поне шест месеца. Така правят банките, държавни учреждения, служби по сигурността. Само ВСС за пет години не пожела да изготви методология и правила за контрол, да не говорим за извършването на проверка. През време на проверката се сравняват протоколите и това какво е записано в софтуера/логовете/, проверяват се пробиви в програмата, оставени вратички, проверяват се адресите - кой, кога, от къде и защо е влизал. Задай си въпроса ЗАЩО не е правено НИКОГА? Те дори не искаха да се прави одит! Чакаха ЕИСС да влезе, заедно с новия модул за разпределение на делата и старата система да я затворят и изтрият. Гледай си клипчето от Съдебната палата, кефи се на Панов, Дишева и компания и не умувай. Проверката едва започва!

  14. 11
    До оранжавия | нерегистриран
    3
    -12

    Сменяш протокола, бе мунчо! Никой не проверява протокола и съдържанието на логовете в системата и питай защо? За пет години са минали 3-4 милиона разпределения.И това е елементарния начин. Има и по-елегантен, но ще го разбереш по-късно. Не забравяш ли, че това е резюме? Шаран!

  15. 10
    оранжев хакер | нерегистриран
    10
    -3

    Протоколът за разпределение се разпечатва, хартиеният носител се прилага към делото, а разпределящият, чието име се генерира в протокола съобразно кода за достъп го подписва физически и слага печата на съда. Всяка страна по делото може да си го види. Специалистите, дето се изхождаха по темата, да кажат как става тази работа с хартиения носител, подписа и печата.

Твоят коментар

Сайтът е защитен с reCaptcha. Политика за лични данни.