Свободата днес и тук 20 Май 2024  
Начало
  
  Свободата, Санчо, е едно от най-ценните блага - Дон Кихот Свободата, брат, е нещо изключително - Джендема  
 

НЕслучайна система за НЕслучайно разпределение на съдебни дела

« назад   Изпечатай   Изпрати на приятел   
Красимир Гаджоков, http://www.gadjokov.com/

Като специалист по информационна сигурност съм изумен от откритото при проверката в прословутата “система за случайно разпределение на делата” в съдилищата в България.

При положение колко изключително важно е тази система да работи без да може да бъде манипулирана, се оказа че при нея липсва едно от най-фундаменталните правила за защита:  предотвратяване промяната на “дневника” на компютърната програма.

“Дневникът” (англ. “log”)  е файла, където се записва кой, кога и за какво действие е използвал една програма.

От специализираната проверка се оказа, че дневникът е обикновен текстов файл. В него в явен вид са записани извършваните от програмата действия. Такъв файл може да се редактира с обикновен текстов редактор като Notepad (Windows). Това позволява да се променят или премахнат определени редове с цел заличаване следи от злоупотреба, без да може да се установи какво е имало оригинално във файла и без възможност той да бъде възстановен.

От липсата на въображение в името на системата – “Law choice” – с голяма степен на сигурност може да предположим, че е правена в България. Дали е имали обществена поръчка за нея? И да е имало, явно е била избрана някоя супер-неизвестна форма в последния момент преди крайния срок. Фирмата на някой “наш човек”. Защото не мога да си обясня иначе такава груба грешка в елементарна защита на “дневника”.

Подобна защита е възможна и лесноосъществима много отдавна. Ето няколко начина:

  • Файлът на “дневника” се “шифрова” с ключ, вкаран в програмния код; така дори системен администратор да има достъп до файловете му, не може да разбере какво има вътре в дневника, нито да промени нещо.
    Недостатък е, че системния администратор може да изтрие целия дневник и с това да обезсмисли защитата. Но все пак остават следи, че нещо не е наред.
  • По-добрият вариант: всяко действие на програмата се дублира в дневник (пак шифриран) на отдалечен компютър в мрежата. Този компютър е администриран от други специалисти. По този начин се намалява вероятността дневника да бъде изтрит умишлено – ще е нужно да бъдат подкупени цели двама системни администратори. Ще е още о-трудно ако всеки компютър принадлежи на различни отдели с различни началници.
  • Най-професионално – но и най-скъпо – би било да се използва продукт за контрол на достъпа от типа на CA Access Control. С него дори системните администратори могат да бъдат ограничени в това какво могат да достъпват, както и се следят всички техни действия (а не само действията на програмата).
  • Други контролни механизми могат да бъдат например системна администрация с поделена парола: 2-ма или 3-ма системни администратори, като всеки от тях знае само своята част от паролата. Недостатък тук е че са нужни всички администратори, за да се включи дори само един от тях и да извърши елементарни действия по системна администрация.

След като този елементарен механизъм против злоупотреби с изпълнението на случайния избор е налице, какви ли още пропуски има?

Не трябва да има илюзии, че една компютърна система може да бъде 100% защитена. Целта на информационната сигурност е практическа, а не теоретична. Целта е да има такива предпазни мерки, че нужните познания и оборудване за преодоляването й да са притежание на единици и да са много скъпи за използване. Това намалява неимоверно шансовете да бъде злоупотребено на практика.

Съдът не само трябва да изхвърли сегашната техническа система и програма за случаен избор на съдебни състави. Нещо много повече: по време на разработването на нова такава, трябва от самото начало главна роля да играе специалист по сигурност на информационните системи.

Само това може да гарантира в необходимата висока степен предотвратяване на такива груби, елементарни пропуски в защитата на системата.

 

 
Отказът на президента Плевнелиев да се кандидатира за втори мнадат е:
  резултати


Бюлетин

Въведете вашия имейл адрес за да получавате по-важните неща от Svobodata.com.




Svobodata.com не носи отговорност за съдържанието и авторските права на препечатани статии - като винаги посочва име на автор и линк на първоначалната публикация.



Подкрепете Откритото писмо на Едвин Сугарев до главния прокурор Сотир Цацаров, с което се иска започването на наказателно производство срещу лицето Сергей Дмитриевич Станишев, бивш министър-председател на България, заради причинени от негови действия или бездействия щети в размер на милиарди лева. Можете да изразите подкрепата си чрез петиция на адрес: http://www.peticiq.com/otkrito_pismo_sugarev



 



Story of Stuff



Подкрепете този сайт





Red House Sofia




Valid XHTML 1.0 Transitional