Проверьте свои сайты. Быстро!

По плану сегодня я хотел опубликовать другую заметку. Но так получилось, что планы мои поменялись. В пятницу вечером я активно гуглил в поисках нужной мне информации. Сначала я искал просто ссылки, потом сконцентрировался на поиске конкретных презентаций, ну а потом затянуло 😉 Я стал играться с Google, вспомнив, как прошлой осенью в Интернете разгорелся скандал по поводу выкладывания многими госорганами у себя на сайтах конфиденциальной информации, служебной тайны, а в ряде случаев (по словам коллег) и гостайны. И вот я решил повторить тот же путь, задав соответствующий поисковый запрос, где в качестве ключевых слов были использованы «для служебного пользования», «конфиденциально», «секретно» и т.д. Нашлось немало всякой разной информации, содержащей эти грифы. Выложенные в открытый доступ паспорта антитеррористической защищенности многих объектов, места дислоцирования воинских частей и многое другое. Да и список критически важных объектов составить путем правильных запросов несложно (хотя сам сводный список является секретным). Но этим пусть занимаются тем, кому положено заниматься. Я же стал искать другие проявления халатности; уже в коммерческом секторе.

Нашлось тоже немало. Политики информационной безопасности, подробные описания систем защиты, схемы сетей с указанием всей адресации, отчеты, коммерческие предложения, списки цен, результаты тестирования продуктов (не всегда положительные), анализы рынка, проекты документов, файлы паролей, конфиги (с открытыми паролями)… Прошелся и по тематике персональных данных. Причем двояко. Сначала просто поискал различные ПДн на сайтах — нашел выше крыши. Причем явно такие ПДн находятся на сайте незаконно — видимо кто-то выложил файл на сайт, а служба ИТ/ИБ то ли не проставила прав доступа на разделы сайта, то ли забыла установить запрет на индексацию… Но итог очевиден — персональных данных полно. Также как и полно документов, регламентирующих вопросы обработки и защиты ПДн. И это не политика в области обработки ПДн, которая должна быть разработана по ст.18.1 ФЗ-152. Речь идет именно о внутренних нормативных актах, которые не должны светиться наружу. Причем доходит до смешного. Общался с некоторыми коллегами на конференциях. Спрашиваю — «разработали вы нормативку по ПДн?». Отвечают утвердительно. «Можете показать?». «Нет. Конфиденциальная информация». Ввожу их сайты в Google — получаю полный набор документов, которые они скрывали 😉

Еще случай. На одном из сайтов предлагается комплект документов и программное обеспечение по моделированию определенных процессов. Стоимость комплекта — несколько сотен тысяч рублей. Опять в Google. Вуаля. В одном из разделов сайта находятся все документы. При этом раздел не доступен из меню сайта и системы поиска. Но Google замечательно обошел все препоны и выдал прямую ссылку на местоположение данных, на которых можно было бы заработать. И таких примеров можно привести множество.

Какова причина сего безобразия? Я вижу их несколько. Самая банальная — отсутствие взаимодействия между ИТ и ИБ службами организации. Первые делают и запускают сайт, не ставя в известность вторых. Итог печален. Вторая причина — низкая квалификация сотрудников служб ИБ, которые сами не всегда знают как защищать сайты. То есть общие-то принципы им известны, а вот конкретные шаги применительно к конкретной системе управления сайтом или Web-серверу им незнакомы. И вновь итог печален. И третья причина — отсутствие регулярного мониторинга защищенности и конфигурации своих сайтов. Может быть при создании сайт и был защищен, но он рос, развивался, менялся. В итоге первичные настройки уже забыты, а про новые никто и не вспомнил. Результат опять предсказуем.

Что могу посоветовать сделать прямо сейчас. Введите в Google следующий поисковый запрос: «filetype:doc site:»адрес своего сайта»» (в Google вводить все без кавычек). Этот запрос выдаст все файлы формата DOC, которые доступны извне. Можете сузить запрос и перед filetype ввести ключевое слово или фразу. Тогда будут найдены все файлы Word, содержащие искомый запрос. Кстати, учитываете, что расширения DOC и DOCX в Google — это разные результаты в поисковой выдаче. Можно попробовать и такой запрос «filetype:dat passwd» (не забудьте использовать оператор site с указанием своего домена). Он может выдать вам очень интересный результат. А вообще с помощью Google у себя на сайте можно много чего поискать — пароли, реестры, ключи, сертификаты и т.д. Главное, правильно составить запрос, используя стандартные функции Google.

Ну а что делать, если вы у себя нашли какие-нибудь дыры, открытые всем, я думаю, вы знаете.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. revolt08

    "Какова причина сего безобразия? Я вижу их
    несколько." стоит еще добавить так Вами нелюбимые сертификаты. Они конечно проблемы не решат, но в какой-то степени минимизируют совсем уж идиотские ошибки.
    Кстати есть чему порадоваться: проверил выдачу гугла по сайту и ничего не нашлось.

    Ответить
  2. ZZubra

    Радикальное решение: "Нет сайта — нет проблемы!"

    Ответить