Viedumu Vietne ar Sandi

2010-02-14

Par VID, DeFacto un 4ATA

Filed under: Tech — Sandis @ 23:17

Šodien noskatījos raidījumu DeFacto, kur sižetā stāsta par 7,4 miljonu (~120 gb) noplūdušiem datiem no VID, kuru veikusi grupa “4ATA” (atšifrējas kā 4. Atmodas Tautas Armija). Ko es varu komentēt no redzētā:

– 4ATA grupa ir veiksmīgi izvēlējusies savu nosaukumu. l33t leksikā tas nozīmē arī “čata grupu”, ja kāds nedatoriķis nesaprata.
– Šī grupa, no tās darbības principa, arī ir nesaprātīga. Acīmredzot, viņi ir veikuši skenēšanu un admini pēc pāris nedēļām ir konstatējuši, ka pieprasījumu apjomi uz serveri ir pārāk traki. Ja viņi būtu vilkuši palēnām, tad, iespējams, ilgākā laika posmā dabūtu ne tikai 120 gb. Bet tagad, kad caurums ir aizlāpīts, var dižoties ar to kas sagrābts.
– VID EDS programmatūras izstrādātāji – Exigen Services? Testēšana?😀
– Nav nodarīts arī nekāds pārkāpums, jo nav veikta nekāda uzlaušana. Nav atminēta neviena parole, nav izmainīta kāda informācija. Spriežot pēc šajā avotā publicētās informācijas, piekļuve notika no adreses “https://www2.vid.gov.lv/eds/Pages/GetDuf.aspx?id=” (ar ieliktu id), kas atvēra visus dokumentus (xml formātā?). Tā kā šo adresi varēja izskaitļot no mājaslapas, tad tai varēja piekļūt jebkurš, jo VID ir devis tādu atļauju.
– DeFacto minēja, ka, drošvien, kāds augsta līmeņa ierēdnis ir izveidojis šādu caurumu, lai varētu šantažēt kādu vai vēl ko. Lai gan šāda iespēja eksistē, es vairāk nosliecos pie versijas, ka tā ir programmatūras izstrādātāja un pasūtītāja nolaidība. Man izskatās, ka datubāzes serveris publiskajiem un privātajiem datiem ir viens un tas pats, jo savādāk nevarētu piekļūt datiem. Par to ir atbildīgs sistēmas projektētājs, kurš nolēma izmantot privāto datu glabāšanas serveri publiskai pieejai. Savukārt pasūtītājs, drošvien, neko nerubīja no tām IT lietām un savas nekompetences ietvaros priecājās par to, ka kautkas vismaz strādāja.
– Būs interesanti pavērot, kā pēc šādas milzīgas valsts IT struktūras izgāšanās reaģēs citas iestādes. Jo ir zināms, ka tur ārā ir kāda cilvēku grupa, kas ložņā un analizē injekcijas lapās, kas rada risku, ka kādu dienu uzošņās vēl kādu. Baismīgais scenārijs: viņi jau klusām kopē.
– Ernst & Young un KPMS Baltic taisījuši auditus. Drošvien dokumentācijai un finanšu dokumentiem, bet tur tādas fīčas kā novilkt 120gb nepieejamas informācijas parasti netiek pieminētas. Manliekas, ka tajās firmās strādā juristi, nevis datordrošības speciālisti.

6 komentāri »

  1. Nemot vera notiekoso Latvija, tikpat iespejams ka shi “4ata” ir Drosibas Policijas afera ar merki atkal iedragat latviesus.Pienemsim – Skele uztaisa caurumu, lai varetu santazet Repsi vai ko citu nevelamu.Skrupulozs salidzinajums.
    Tauta doma ka UK ir kads glabejs, bet izradas zemiskie tautieshi!!!Ta tacu ari var but.

    Komentārs by legend — 2010-02-14 @ 23:48

  2. Interesants atgadījums. Redzēsim ko no tiem iegūdiem materiāliem 4ata grupa izvilks. Varētu uztaisīt .iso un izlikt bubliskai lejuplādēšanai😀

    Komentārs by Rols — 2010-02-15 @ 1:23

  3. piekriitu un nopubliceet piemeeram Irijas latvieshu aviizee, ja gadiijumaa LV meedijiem bail…

    Komentārs by mia — 2010-02-19 @ 17:30

  4. kura normāla iestāde datu replikācijas nodod tik nedrošā vidē.izstr’dātājiem līki pirksti?

    Komentārs by experts — 2010-02-23 @ 21:22

  5. kur var redzet sarakstu kads zin?

    Komentārs by klavs — 2010-02-24 @ 0:52


RSS feed for comments on this post. TrackBack URI

Komentēt

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Mainīt )

Twitter picture

You are commenting using your Twitter account. Log Out / Mainīt )

Facebook photo

You are commenting using your Facebook account. Log Out / Mainīt )

Google+ photo

You are commenting using your Google+ account. Log Out / Mainīt )

Connecting to %s

WordPress.com blogs.

%d bloggers like this: