Názory k článku Centrální registr vozidel dopoledne nefungoval, v Brně museli zasahovat strážníci [AKTUALIZOVÁNO]

NE ! ....... uz dost, to nemuze byt mineno vazne :-)))))

Nějaký ouřední blb (náměstek MD, jméno nevím) asi před půl hodinou mával v televizi (ČT24) grafy, že poslední kolaps způsobilo nevídaných 16000 dotazů na databázi odcizených vozidel za den. :-))))

http://zpravy.idnes.cz/v-novem-registru-vozidel-je-milion-chybnych-dat-f5r-/domaci.aspx?c=A120724_122210_domaci_abr

Muj predpoklad je, ze i pres dobrou technologii a hardware to delala nejaka parta amateru, ktera zaplatila par korun studentum, aby neco rychle zmatlali "podle prirucky" bez dalsich zkusenosti v tomto oboru.

To nemá vůbec smysl rozebírat. Do každého firemního mailu člověk leze přes VPN chráněnou zaheslovaným certifikátem, zatímco registr vozidel (dál napojený na další databáze) je na internetu volně přístupný zde a "zabezpečený" uživatelským jménem a heslem. :-))) (Prý už nějaké funkční na netu kolovalo.)

Tak to je fakt masakr :-) Pak uz se nedivim naprosto nicemu ...

Aha, muze za to Internet
http://www.zive.cz/clanky/software-statni-spravy-po-cesku-prvni-den-kolaps/sc-3-a-164438/default.aspx
"... Ta nová verze funguje na bázi internetu, jinými slovy, jakmile je internet přetížen, případně spadne, celý registr nefunguje..."

To snad urady nemaji zadnou privatni sit ? Tohle uz by se snad melo zfilmovat :-)))))

Tak to je síla. Pokud to není nějaký fake honeypot, tak jediný možný komentář je: "Proboha, to opravdu myslí vážně?"

Mimochodem, ta jednoduchá stránka s přihlášením je od pohledu i podle W3C validátoru nevalidní (čert ví, jak to pak vypadá uvnitř) a asi tam běží minimálně na to přihlašování IIS 7.5.

Vidím minimálně tyto problémy:

1. Úředník se bude moci hlásit z domova, až bude potřeba kamarádovi něco zjistit, nejlépe ze zavirovaného počítače s keyloggerem (budu teď naivně věřit, že mají alespoň off-site logy veškerých přístupů a akcí, prováděných v systému, aby se pak dalo dohledat, kdo tam tu paseku provedl)

2. Je to vystaveno světu pro případný (D)DOS (takže až to v pátek nebude fungovat, tak se to hodí na hackerský útok Anonů a ministr zůstane v křesle).

3. pokud bude potenciálními útočníky provedena korektní detekce OS a web serveru, pak stačí JEDINÁ zero-day vulnerability (opět doufám, že to alespoň budou udržovat aktualizované proti starým zranitelnostem) a útočník je vevnitř.

Teď už jen doufám, že v přihlašovacím formuláři není možné provést SQL injection, i když u tohohle průšvihu se už teď nedivil ničemu (zkoušet to raději nebudu).

2. to ale prece neni omluva. Neexistuje zadny duvod, proc by to takto verejne pristupne byt melo. To nemaji urady privatni sit ? Vzdyt to je naprosty amaterismus.

3. ano, to souvisi s 2. Doufejme ze je to alespon plne managed kod a ze je "ksicht" dobre oddelen od dat. Pokud jsou tam ale napriklad nezasifrovane connection stringy v konfiguraci, tak ...

Na co keylogger, zajděte si na přepážku, přes okýnko si třeba mobilem natočte, jak tam úředník datluje přihlašovací údaje (případně vyfoťte ten žlutý lísteček, co má nalepený na monitoru), a je to. :-)

Však bod 2. neberu jako omluvu, ale cynicky jako únikovou cestičku, až to v pátek nepojede. Vzpomeňme kauzy webu poslanecké sněmovny, kde také tvrdili, že za to můžou hackeři...

Proč se obtěžovat na úřad, stačí přece rozeslat E-maily s adresou ats-telecom@gmail.com s vhodně formulovanou žádostí, aby v rámci testování aplikace poslal úředník svůj login a heslo pro otestování nahlášeného problému helpdesku. On by se někdo určitě chytil.

A to už ani nemluvím o tom, že mají úředníci pokyn ignorovat problém s certifikátem PostSignum, takže nějaký DNS poisoning a fake certifikát serveru je potenciálně také problém.

Ty ve.. vazne 16000 za den? Ty kravo, to potes, na to je treba minimalne 40 racku plnejch blade stroju a dalsich 40 plnejch SSDcek ...

Skoda ze pisalci nemaj potuchy, byt tam ja, asi bych se neudrzel a svalil se na zem a zacal se strasne rechtat ....

Zajímavé je, že tu pospolu běží patrně víc serverů. Souvisí spolu? Bádejte!
https://crv.mdcr.cz
https://194.228.175.55
https://194.228.175.56
https://194.228.175.57
https://194.228.175.58

Začal běžet nebo fungovat? :-)))

Bohužel to je velmi smutná realita.

Jaké plynou problémy z toho mít auto hlášené v zahraničí? U malých sportovních letadel je celkem běžná praxe lítat např. na německých značkách.