{"id":9132,"title":"\u041f\u043e\u0447\u0435\u043c\u0443 \u043a\u0430\u043d\u0430\u0434\u0441\u043a\u0438\u0435 \u043b\u044e\u0431\u0438\u0442\u0435\u043b\u0438 \u043a\u0432\u0430\u0434\u0440\u043e\u0446\u0438\u043a\u043b\u043e\u0432 \u043f\u043e\u043a\u0443\u043f\u0430\u044e\u0442 \u0437\u0430\u043f\u0447\u0430\u0441\u0442\u0438 \u0432 \u0420\u043e\u0441\u0441\u0438\u0438","url":"\/redirect?component=advertising&id=9132&url=https:\/\/vc.ru\/pochta\/325041-kak-kanadskie-lyubiteli-snegohodov-i-kvadrociklov-otkryli-dlya-sebya-rossiyu&placeBit=1&hash=cd54543b13c8a6083dd50d5669dab69e3e15e40792f9ed69859d5c8934b50d3d","isPaidAndBannersEnabled":false}
Артём Избаенков

Власти Москвы заявили о хакерских атаках на платформу по выдаче пропусков

Вместе с интересом к онлайн-ресурсу, помимо количества пользователей, повышается и интерес со стороны недоброжелателей.

В бизнесе и у госкомпаний одна и таже проблема – с ростом трафика возрастает количество хакерских атак.

Платформа электронных пропусков, начавшая работать утром 13 апреля, оказалась недоступна и не смогла обработать запросы многих жителей Москвы. Если бы пропускная система полноценно работала уже сегодня, люди получили бы штрафы или не смогли появиться на рабочем месте.

Почему это могло случиться? А также — об уязвимости, с помощью которой эту систему можно обмануть.

Причина 1: атака хактивистов

Хактивизм — это синтез социальной активности и хакерства, когда DDoS-атаки, взломы сайтов для кражи информации или публикации радикального контента — преследуют одну цель: привлечь к своей деятельности максимальное внимание. Жертвами хактивистов становятся государственные учреждения, крупный околоправительственный бизнес, СМИ или отдельные медийные персоны, а поводами для атак — политические или религиозные конфликты, массовые беспорядки, войны.

Платформа по выдаче пропусков — часть системы жизнеобеспечения Москвы, критической инфраструктуры, защита которой — важный вопрос для ИБ и вызов правительству страны.

Этот риск нужно было учесть на самом первом этапе внедрения системы. Обеспечение кибербезопасности, защита таких важных структур от DDoS-атак во время пандемии — цель номер один.

Причина 2: недоработки

Разработчики не рассчитали, что на сервис рано утром начнут поступать не сотни, а миллионы заявок. Многим захотелось попробовать систему, она просто не справилась с поступившим огромным объемом и некоторое время была недоступна. Такой сценарий показывает, как недостаточная проработка ПО и аппаратных мощностей может поставить под угрозу функционирование столицы и региона. Самое важное сейчас — введя систему пропусков, обеспечить к ней беспрепятственный доступ. При текущей реализации с проблемами при получении пропусков могут столкнуться люди, которые отвечают за наличие продуктов на полках, продажу лекарств и другие жизненно важные функции.

Уязвимость платформы

Самое печальное, что была выявлена уязвимость, позволяющая получить пропуск на себя и свою машину на все время изоляции. Если эту “дыру” не закроют, то существование самой платформы лишается смысла.

Эксплуатировать данную уязвимость может любой желающий не имеющий технического образования, что может повлечь полный отказ работоспособности системы и применённых мер по обеспечению безопасности населения для борьбы с коронавирусом. Данная проблема схожа с уязвимостью в системе продаж билетов на московские электрички. Русская команда хакеров Che Burashka еще в начале 2018 года опубликовала свои исследования на данную тему, где группе хакеров удалось успешно генерировать любые билеты для системы РЖД, которые спокойно проходили проверку на всех терминалах. В нашем случае проблема не стоит в потери финансов за оказанные услуги. В нашем случае идет глобальная проблема, которая может повлиять на распространение коронавируса и привести к летальными случаем. Чем это опасно?

Первое

Все граждане, оставшиеся на карантин и проходящие лечение на дому, которые могут быть носителями или таковыми и являются могут беспрепятственно получить себе официальный пропуск и передвигаться по Москве. Это не фантастика. Оставив свой телефон дома и решив създить к друзьям/родственникам злоумышленник распечатает себе официальный пропуск, возьмет паспорт и направится гулять. Самое главное, что, если он будет остановлен сотрудниками даже на своей машине, у них четкие инструкции сверить ФИО на пропуске с паспортом по QR коду. И злоумышленника отпустят. Каков шанс данного сценария? - огромен. Если даже невзирая на запреты оставаться дома, заведомо люди с положительным анализом на коронавирус уезжают в другие города, то о чём говорить….

Второе

Люди, которые привыкли вести активный образ жизни и которых сильно ограничили в перемещении в радиусе 100м и по уважительными причинам за уже более чем две недели карантина начали сходить сума в четырех стенах. С появившейся такой возможностью, данный тип населения будет рад ей воспользоваться и отправить на прогулку в парк или по безлюдному городу, чтобы развеется и стать распространителем данной инфекции

Делая выводы, можно понимать весь ужас, который дает данная уязвимость и в первую очередь, которая ставит безопасность обычных граждан под угрозу. А особенно, тех граждан, которые находятся на передовой, чтобы бороться с инфекцией - таких как медики, работники продуктовых магазинов, аптек и других.

Чтобы устранить данную уязвимость еще есть время до ввода пропусков 15 апреля. Надеюсь, ответственные лица уже в курсе и проводят анализ всех возможных факторов.

Как можно было избежать проблем?

Провести более успешный запуск позволило бы:

• Предварительное расширение серверных мощностей;

• Вывод пропускной системы в отдельное от других услуг приложение или платформу — позволило бы избежать воздействие атаки или проблемы на другие жизненоважные системы госуслуг;

• Обеспечение защиты от DDoS-атак;

• Увеличение емкости канала связи.

Артём Избаенков

Управляющий ServicePipe

0
0 комментариев
Популярные
По порядку
Читать все 0 комментариев
«Неслучайная случайность», или как рождаются крипто стартапы на примере Freya

Статья носит сугубо ознакомительный характер и не призывает к инвестированию в какие либо активы.

Агрегатор "Яндекс.Еда" не возвращают оплату за заказ, которого не было

Здравствуйте! Ситуация следующая, 22.10.2021 г. я сделала заказ у агрегатора доставки "Яндекс.Еда". Доставка из Магазина "Магнит". В момент списания оплаты с банковской карты за заказ заметила, что адрес доставки товара указан с ошибкой. В заказ проставился рабочий адрес, а не домашний, ехать на автомобиле от дома до работы мне 10 минут, пешком…

Глава американской компании Better.com уволил 900 сотрудников одним видеозвонком Статьи редакции

«Если вы сейчас смотрите это, значит вы в той невезучей группе, которую увольняют», — сказал работникам директор.

Я пришёл к вам с плохой новостью. Рынок изменился, как вы знаете, и мы должны двигаться за ним вперёд, чтобы выжить, процветать и исполнять нашу миссию. [...] Я делаю это второй раз в своей карьере и не хочу повторять. В последний раз, я плакал, но на этот раз надеюсь быть сильнее. [...] Если вы сейчас смотрите это, значит вы в той невезучей группе, которую увольняют.

Вишал Гарг
Откуда берут взрослые деревья для парков и улиц

А также сколько они стоят и почему выращивать их — неплохой бизнес.

Продавец eBay из Кургана стала победителем в финале Всероссийского конкурса «Молодой предприниматель России 2021»

27 ноября в Москве состоялся финал ежегодного конкурса «Молодой предприниматель России 2021». В нём приняли участие предприниматели и самозанятые в возрасте до 35 лет. Всего было подано более 300 заявок из 43 регионов страны.

И сотрудников тоже касается: кибербуллинг на рабочем месте
Design vector created by pikisuperstar - www.freepik.com
Хоум кредит про меня забыли. Долг с 2009года

Решил я значит проверить свою кредитную историю на одном из известных ресурсах. И что я обнаружил? Действующий долг в #хоум_кредит с 2009 года и как следствие краснющую историю! Я конечно же позвонил в эту контору, говорю каким образом банк забыл про меня? - а вы знаете? Мы вам звонили звонили... но не дозвонились ... Так же как и вашим…

SkillFactory раздает подарки: повышенная ставка и новогодний марафон для вебмастеров

В преддверии Нового года мы решили порадовать своих настоящих и будущих партнеров — участников партнерской программы школ Skillfactory, Contented и Product LIVE. Это возможность получить денежный бонус и заодно увеличить прибыль от продажи наших курсов.

re:Store продал Macbook Pro с раскладкой azerty и серийный номер ноутбка не совпадает с серийным номером на коробке
Как обманывает Учи.ру, пытаясь заработать больше денег

Сказ о том, как Учи.ру пытается в информационной рассылке под соусом щедрого предложения продать то, что можно на самом сайте купить в два раза дешевле.

Дайджест новостей Сбера: сайт Digital Пётр, сценарии для умного дома и платина от Forbes

Прошлый дайджест мы целиком посвятили 180-летию Сбера, поэтому новостей накопилось много. Среди них — запуск сайта по распознаванию рукописей Петра I, большое обновление на платформе умного дома Sber и другие. Рассказываем всё самое интересное.

Картинка, сгенерированная ruDALL-E по запросу «рыжий котик»
null