Суббота 16.01.2021|

    Партнёры

    Партнёры

    Партнёры

    Загрузка...
    569321_Home Front_Alon_Tomer_Appelbaum

    Ошибка ЦАХАЛа раскрыла личную информацию десятков тысяч солдат

    Нам удалось взломать новый веб-сайт ЦАХАЛа и найти номера телефонов тысяч солдат. Программа была исправлена, и данные снова в безопасности.

    Веб-сайт Управления инноваций ЦАХАЛа не содержит секретной информации, и ему нечего бояться хакеров. Тем не менее, он раскрыл конфиденциальную и личную информацию о десятках тысяч израильских солдат, как тех, кто еще проходит действительную службу, так и находящихся в запасе.

    Веб-сайт предлагает солдатам вносить предложения, чтобы помочь армии стать более эффективной, а также позволяет им голосовать за различные новаторские предложения, выдвинутые другими солдатами. Это – хорошая идея, информация там не является секретной, и сайт не позволяет идентифицировать солдат по их полным именам. Однако, к сожалению, в ходе его работы были раскрыты имена и номера телефонов десятков тысяч солдат.

    Это произошло из-за проблем в процедуре регистрации. Сообщение приглашает солдат зарегистрироваться на новом инновационном веб-сайте ЦАХАЛа.

    11 ноября многие солдаты получили текстовое сообщение «Привет!_____. У вас есть идеи, которые позволят армии стать более эффективной и сэкономить ресурсы? Мы хотим вас услышать! У вас есть реальная возможность повлиять, зайдя на сайт https://say.idf.il/xxxx. Эта ссылка является личной и не может быть передана. Идеи можно отправить на электронную почту ____ ».

    Вместо прочерков каждый солдат видел сообщение, адресованное ему лично, а вместо «xxxx» был уникальный четырехзначный текст для каждого солдата, состоящий из цифр и строчных английских букв. Когда солдат заходит на сайт, он видит экран со своим именем и адресом армейской электронной почты, и его просят подтвердить свои данные.

    Первая проблема заключается в ссылке, отправляемой каждому солдату, но более серьезная проблема – это возможность использовать "эксплойт"  (программный инструмент, предназначенный для использования недостатков в компьютерной системе, обычно в злонамеренных целях, таких как установка вредоносного ПО – прим. «Детали»). который стал возможен из-за различных недостатков в системе регистрации.

    Мы видели в прошлом системы, которые используют такие ссылки, как https://site.com/123456, а затем все, что нужно сделать злоумышленнику – это войти на сайт, используя ссылку с последовательными номерами. Например:

    https://site.com/00001

    https://site.com/00002

    https://site.com/00003

    Этот известный и простой для понимания способ позволяет злоумышленнику выяснить, как работают внутренние ресурсы, в данном случае – ссылка, и использовать эти знания для получения дополнительной информации. В этом случае хакеру необходимо написать простой скрипт, который перебирает ссылку за ссылкой, чтобы раскрыть данные, которые каждая содержит. Это – серьезная ошибка, потому что ввод правильной комбинации цифр и букв покажет соответствующее полное имя и номер телефона, которые в этом случае могут быть легко обнаружены. С точки зрения безопасности такие личные данные, особенно принадлежащие солдатам, должны быть защищены, по крайней мере, паролем.

    В защиту армейских программистов отметим, что в данном случае они использовали не последовательные числа, а случайный текст: например, 1abc или 3gfh. Но даже такой случайный текст представляет собой брешь в безопасности, потому что он недостаточно длинный и его слишком легко угадать или сгенерировать автоматически.

    Четырехсимвольный текст, который состоит только из цифр и строчных букв, может быть легко угадан программой. Если бы мы пытались взломать только одну комбинацию, это заняло бы около 1,6 миллиона попыток. Но в этом случае комбинаций намного больше – у каждого солдата своя уникальная комбинация. Если в базе данных 100 000 солдат, то потенциальному злоумышленнику нужно будет сделать только 160 предположений, чтобы попасть в цель.

    На веб-сайте разрешен множественный доступ – и использование «атаки грубой силы» (атака методом полного перебора — взлом пароля путем перебора всех возможных вариантов ключа – прим. «Детали»).

    Он также был открыт для доступа из-за пределов Израиля.

    Я написал короткую программу всего в несколько строк, чтобы проверить, можно ли добыть информацию с сайта. Очень быстро у меня в руках оказались имена и телефоны многих солдат и, конечно, я смог попасть на сам сайт. Хотя он не содержал секретной информации, в нем было много информации, которая могла помочь хакерам во многих других отношениях.

    Я проинформировал ЦАХАЛ, и ссылка была заблокирована в кратчайшие сроки. Теперь любой, кто хочет войти на сайт, должен ввести имя пользователя и пароль, и возможность такого взлома исключена.

    В пресс-службе ЦАХАЛа заявили: «Это была локальная ошибка, обнаруженная на веб-сайте анкеты в гражданской сети. Проблема была обнаружена на ранней стадии и устранена. В результате была предотвращена утечка информации. Инцидент будет расследован».

    Ран Бар-Зик, «ХаАрец», В.П. ( автор - специалист по программному обеспечению). Фото: Томер Аппельбаум˜

    ЧИТАЙТЕ ТАКЖЕ
    ЧИТАЙТЕ ТАКЖЕ
    МНЕНИЯ
    ПОПУЛЯРНОЕ
    Размер шрифта
    Send this to a friend