Home » Home » Features » Internauţii şi-au bătut joc de site-ul securizat al MCTI

Internauţii şi-au bătut joc de site-ul securizat al MCTI

03 Sep 2008 George Lacatus | 10 comentarii | 5804 vizualizari
Rating:
14 voturi
Marime text a A  Trimite pe email   Comenteaza
 
www.ceris.ro, site-ul departamentului creat special de Ministerul Comunicaţiilor şi Tehnologiei Informaţiilor (MCTI) pentru a oferi instituţiilor de stat consultanţă privind securitatea informaţiilor pe Internet, a fost umplut cu filme şi fişiere de muzică piratate.
 
Aceste print screenuri, sterse ulterior de MCTI, demonstreaza cat de usor putea fi "spart" site-ul ministerului specializat in securitate informatica
Aceste print screenuri, sterse ulterior de MCTI, demonstreaza cat de usor putea fi "spart" site-ul ministerului specializat in securitate informatica
Oricine intră pe www.ceris.ro află că acesta este site-ul oficial al unui centru de expertiză şi răspuns pentru incidente de securitate, aflat în directa coordonare a MCTI, iar toate instituţiile de stat care au probleme cu securitatea informaţiilor pe Internet pot apela cu încredere la specialiştii acestui centru pentru a primi ajutor gratuit. Administratorii site-ului se laudă că serviciile lor beneficiază de înalte standarde ISO 17799, iar propriul site este foarte bine securizat.

Până în urmă cu câteva zile (înainte de sesizarea oficială făcută de Cotidianul), site-ul supersecurizat al MCTI putea fi spart de către orice internaut care posedă cunoştinţe minime despre cum funcţionează Internetul, fără ca acesta să aibă abilităţile unui hacker/cracker. Tastând pur şi simplu www.ceris.ro/down, oricine putea să intre în bucătăria internă a acestui site, având acces direct la informaţii strict confidenţiale privind modul în care este administrat site-ul şi la informaţii cu caracter personal ale celor care administrează acest site.

După tastarea adresei de mai sus, pe display-ul oricărui internaut apărea tot conţinutul site-ului, modul de conectare la bazele de date ale site-ului şi de unde îşi lua acesta conţinutul; apăreau date despre angajaţii MCTI, CV-uri ale acestora şi chiar poze personale; se puteau downloada (descărca - n.r.) de pe acest site muzică şi filme piratate, iar cel mai grav lucru e că oricine putea uploada (a copia de pe calculatorul personal fişiere direct pe serverul lor- n.r.) diverse lucruri, de la mesaje obscene până la poze, muzică, filme etc.

La teorie, administratorii site-ului sunt foarte buni. Ei ne explică pe site că „securitatea în tehnologia informaţiei înseamnă protecţia sistemelor, informaţiei (datelor) şi serviciilor de ameninţări accidentale sau deliberate ale confidenţialităţii, integrităţii şi disponibilităţii”. În opinia specialiştilor MCTI, securitatea IT presupune şapte componente: securitatea administrativă şi organizaţională, securitatea personalului, securitatea fizică, hardware, software, a comunicaţiilor şi a operaţiunilor. Adică exact ceea ce le-a scăpat lor. Într-un CV postat pe acest site, unul dintre administratori se laudă că a absolvit şcoli importante de profil şi că s-a specializat în domeniul securităţii informatice la şcoli celebre din străinătate.

De câteva săptămâni, pe forumurile cu pasionaţi de Internet şi securitatea reţelelor discuţiile despre acest site erau în toi, aceştia ajungând chiar să trimită mesaje pe serverul site-ului în care îl atenţionau pe administrator că site-ul lui are scăpări grave de securitate. Într-un cuvânt, supersecurizatul site al MCTI nu avea nici minimele precauţii de securitate.

Cotidianul a trimis cum trei săptămâni o sesizare la MCTI în urma căreia administratorii site-ului şi-au remediat scăpările grave de securitate. Anticipând reacţia reprezentanţilor MCTI, Cotidianul a salvat toate probele. Întrebaţi cum explică aceste scăpări, reprezentanţii MCTI ne-au detaliat: „Vă mulţumim pentru interesul dumneavoastră manifestat cu privire la securitatea informaţiei, un subiect prioritar şi pentru MCTI. Ţinem să punctăm faptul că, din păcate, nici un sistem informatic conectat nu poate fi sigur în procent de sută la sută.

O dovadă grăitoare în acest sens sunt incidentele de securitate la nivelul sistemelor informatice complexe din întreaga lume. Tocmai de aceea ţinem să mulţumim încă o dată Cotidianului pentru interesul manifestat”. Specialiştii MCTI în securizarea informaţiilor ne-au declarat că unul dintre motivele principale ale numeroaselor scăpări ale site-ului www.ceris.ro este cauzat de „migrarea soluţiei CERIS pe o altă platformă hardware, realizată în vederea integrării ei la nivelul CERT.ro”. Ei recunosc toate aspectele semnalate de Cotidianul, inclusiv „posibilitatea uploadării unor fişiere”.

De ce a fost creat CERIS.ro 

Reprezentanţii MCTI ne-au declarat că au creat www.ceris.ro pentru „a pune la dispoziţia utilizatorilor o varietate de servicii în domeniul tehnologiei informaţiei, cum ar fi auditul online al securităţii informaţiei, servicii suport pentru soluţiile de e-guvernare, alături de informaţii relevante (statistici, sondaje, recomandări).

Astfel, s-a implementat cu succes o practică internaţională care facilitează colaborarea între actorii implicaţi în domeniu în vederea cristalizării unor linii de acţiune concrete în domeniul securităţii IT. În ceea ce priveşte serviciul de auditare online, soluţia tehnică este aliniată standardului ISO 17799 asigurându-se astfel un nivel uniform, actual şi competitiv de evaluare a tuturor solicitanţilor”.

Conceptul CERIS a cunoscut o fază pilot în 2001, a fost extins în 2003, iar MCTI a asigurat buna funcţionare şi actualizarea periodică a acestuia.
 
 
 
Abonare Newsletter
 
 
 

10 comentarii

 
1
Sakura 04-Sep-2008 03:22
hmm
"Întrebaţi cum explică aceste scăpări..." Oare nu o fi clasicul nepotism care se intalneste la toate nivelele in administratia publica, de la centru pana in ultimul sat?

"...reprezentanţii MCTI ne-au detaliat:" Am si eu un nepot, toata ziua joaca CounterStrike deci este clar ca e expert in calculatoare, asa ca i-am gasit un post caldut aici, salariul de functionar public este rezonabil si n-are omul nimic de facut toata ziua...
2
Kor 04-Sep-2008 07:20
he he
Asta imi aduce aminte de o intamplare hazlie de acum 2-3 ani, cand masina sefului Politiei din nu stiu ce oras a fost furata chiar din parcarea insitutiei :)
3
baba_cloantza 04-Sep-2008 11:18
ceris
la ceris este mai grava situatia decat pare , interesant era de citit mesajul "nikita pt iasi " si back-up-urile de frunzarit ...oricum lumea este cu ochii ei ...jocul greseala asteapta ..
4
baba_cloantza 04-Sep-2008 15:32
ceris anunturi
http://209.85.135.104/search?q=cache:SYUM_P0EFFoJ: www.ceris.ro/down/NICHITA%2520PENTRU%2520IASI.txt+ nichita+pentru+iasi.txt&hl=ro&gl=ro&st rip=1
5
msftnotok 04-Sep-2008 20:04
Uitati-va la statistica de mai jos.
http://www.ceris.ro/ceris2/Forms/Continut.aspx?Sec tionID=659&IDLeftMenu=660

Cum naiba se face ca toate procentele alea adunate fac mai mult ca 100%? Astept lamuriri.
6
msftnotok 04-Sep-2008 20:06
!!!
S-a intamplat acum catva timp in Oklahoma ca unii sa lase frontend-ul bazei de date accesibil din afara si evident toata lumea vedea datele tuturor. Totusi , baiatul ala si-a pierdut jobul chiar daca lucra la stat! Ce tzara, ce oameni ...
7
baba_cloantza 04-Sep-2008 20:51
!!!!!
sunt si banci in situatia lui ceris , graficul cu procente de care mentionezi mai sus ..?...ai de asteptat ...pana primesti un raspuns ..
8
baba_cloantza 05-Sep-2008 10:28
minuta
http://209.85.135.104/search?q=cache:www.ceris.ro/ down/NICHITA%2520PENTRU%2520IASI.txt+%20nichita+pe ntru+iasi.txt&hl=ro&gl=ro&st%20rip=1
9
baba_cloantza 05-Sep-2008 10:30
sau in google archive
cauta http://www.ceris.ro/down/NICHITA%20PENTRU%20IASI.t xt.
10
iso 13-Mai-2010 11:53
standard iso securitatea informatiei
De fapt, standardul de calitate ISO pentru securitatea informatiei este ISO 27001; ISO 17799 (ISO/IEC 17799:2005) reprezinta codul de practica pentru managementul securitatii informatiei.
Vezi primele comentarii
 
Pentru a comenta acest articol va puteti loga aici.
Daca nu aveti cont va puteti inregistra aici.

 
Întrucât dorim ca site-ul cotidianul.ro să rămână un spaţiu al al discuţiilor civilizate, îi invităm pe cei care postează comentarii la articole să respecte următoarele reguli:



1. Să folosească un limbaj civilizat, să evite aprecierile xenofobe, antisemite sau rasiste

2. Să se refere doar la articolul la care postează

3. Să se abţină de la atacuri off topic la adresa autorilor


Nerespectarea acestor reguli va duce la şteregerea comentariilor, fără avertisment şi fără explicaţii. Abaterile repetate vor avea drept consecinţă banarea.
 
 
Locuri de munca disponibile in jobs.Cotidianul.ro
 
 
FEATURES
 
CELE MAI