"В рамките на договорно определения обхват, одитиращото дружество не е имало задача да извършва проверки за установяване на действителни нарушения на сигурността на системата, в това число за осъществен неоторизиран достъп и за извършени манипулации при разпределението на дела от ЦССРД, и такива проверки не са извършвани."
Това пише в заключителната част на резюме от прословутия одитен доклад на Централизираната система за случайно разпределение на делата (ЦССРД) на съдилищата. Това - на фона на апокалиптичните картини, описани от Иван Гешев, че "5 години не сме имали правосъдие" и че Христо Иванов, Калин Калпакчиев и Лозан Панов са вкарали "коронавирус в съдебната система". Иначе казано - одитиращите изобщо не са имали задача да установяват пробиви в системата. Открит е обаче един опит през 2016 г., но не е известно как е отговорил сървърът.
Предисторията
ВСС, който дискутира на закрити врати почти 9 часа доклад за евентуални уязвимости в действащата система за случайно разпределение на делата, днес пусна негово резюме.
Въпреки настоятелните приканвания от малцинството преди две седмици работата на одиторската фирма "АМАТАС" да бъде публикувана едно към едно, съветът не се съгласи на това. Аргументът на Иван Гешев - ситуацията е толкова окаяна, че рискуват седмокласници да ги направят смешни, като влязат и разпределят някое дело. Тайна останаха евентуално становището на компютърните експерти на самия ВСС, а разработчиците на продукта, внедрен през 2015 г., въобще пък не бяха и няма да бъдат изслушани.
Така до днес информация за него се вадеше черпеше от медийните активности на самия Гешев (който нарече случая "коронавирус в съдебната система"), говорителката му и други говорители със сходни мисли до прокуратурата като министър Данаил Кирилов, и определени членове на ВСС. Посочени бяха поименно виновниците - тогавашният министър Христо Иванов (нищо че той не гласува във ВСС), тогавашният член, а сега председател на Съюза на съдиите Калин Калпакчиев (нищо че друг член на ВСС работеше по проекта за системата) и Лозан Панов (нищо че не участва в дискусиите през 2014 г., просто защото не беше избран).
Мащабната медийно-прокурорско-весесейска операция преди две седмици приключи с решение - да се публикува именно някакво резюме от доклада. То да бъде подготвено от фирмата - негов автор "АМАТАС" (в която пък прави впечатление, че поне единият експерт е доскорошен БОП-аджия, б.р.).
Отговорите в доклада
Резюмето, което се публикува днес, е общо от 4 страници, като едната е титулна - заглавна. Оттам научаваме, че "одитът е извършен с цел установяване на налични уязвимости на системата, като е симулирана дейност от злонамерен нападател, за да се установи до какви ресурси от тестваната система такъв нападател би могъл да осъществи достъп, както и какви промени може да нанесе по системата".
Проверките са правени чрез симулация, без да се спира в момента работата на съдилищата, научаваме още от доклада (няма да задълбаваме, че говорителката на Гешев Сийка Милева обяви на брифинг, че експертите на "Аматас" не били допуснати от колегите си от ВСС и затова влезли с прокурор, б.р.)
При одита са установени общо 23 технически уязвимости, нивото на риск на които е изчислено спрямо Common Vulnerability Scoring System (https://www.first.org/cvss/).
Установените уязвимости са, както следва:
I. С високо ниво на риск – 11 (47,8%) – уязвимости, свързани с достъпа до системата, както и такива, които в рамките на ЦССРД предоставят възможност за нарушаване на сигурността на системата чрез:
● неоторизирано добавяне на нов съд;
● неоторизирана редакция на чужд съд;
● неоторизирана редакция на съдии от друг съд;
● неоторизирана редакция на групи от съдии от чужд съд;
● неоторизирано изтриване на инкрементални номера;
● неоторизирано изтриване на отсъствия;
● неоторизирано изтриване на регистрирани дежурства;
● неоторизиран достъп до данни на потребители от чужд съд;
● неоторизирано разпределение на дело на съдия от чужд съд.
II. Със средно ниво на риск – 2 (8,7%) – уязвимости, които в рамките на системата осигуряват потенциална възможност за нарушаване поверителността на информацията в ЦССРД чрез:
● разкриване на информация за съществуващи потребители;
● разкриване на информация за съществуващи съдии.
III. С ниско ниво на риск – 10 (43,5%) – уязвимости, свързани с настройките за сигурност на системни елементи – част от ЦССРД и предварително изискващи достъп до сървъра:
• уязвимост тип „Hotlinking“;
• недостатъчна продължителност на заключване на акаунт (Local Group Policy);
• възможност за добавяне на компютър / устройство към домейн контролер (Local Group Policy);
• възможност за генериране на системни доклади от операционната система (Local Group Policy);
• възможност за вписване като „batch job“ (Local Group Policy); • възможност за заместване на токен на процес (Local Group Policy);
• възможност за спиране на операционната система (Local Group Policy);
• възможност за блокиране на Microsoft акаунти (Local Group Policy);
• възможност за преименуване на посетителски акаунти (Local Group Policy);
• възможност за форматиране на закачени преносими устройства (Local Group Policy).
В изводите четем още:
"Установените при одита уязвимости представляват риск, като експлоатирането на част от тях би могло, при наличието на допълнителни предпоставки, в това число и предварително осигурен достъп, да доведе до неоторизирани промени в резултатите от разпределението на дела.
Тестовете за оценка на сигурността не са установили техническа възможност за достъп до системата отдалечено, без съответното лице да бъде предварително и ръчно оторизирано от лицата, отговорни за това."
Т.е. - приказките как седмокласник ще разпредели дело се опровергават от самите "бели хакери".
И още нещо забавно:
"В рамките на договорно определения обхват, одитиращото дружество не е имало задача да извършва проверки за установяване на действителни нарушения на сигурността на системата, в т.ч. за осъществен неоторизиран достъп и за извършени манипулации при разпределението на дела от ЦССРД, и такива проверки не са извършвани.
Въпреки това, по време на тестовете за оценка на сигурността са забелязани журнални файлове със следи от потенциално злонамерена дейност спрямо системата на ЦССРД от страна на IP адрес с локация гр. София. Опитите за неоторизиран достъп до базата данни са се състояли между 22:38 ч. и 22:47 ч. на 4-ти октомври 2016 година, като за същите са използвани автоматизирани инструменти. Няма информация относно получения отговор от страна на сървъра."
Изводите са, че системата е разработена с фокус върху нейната функционалност.
"В същото време, системата не е защитена с достатъчно надеждни контроли за сигурност от техническа гледна точка, съответстващи на нейното предназначение и отговарящи на добрите практики и стандарти по информационна сигурност, тъй като системата използва остарели технологии."
Дадени са конкретни препоръки.
"Специални препоръки са дадени по отношение на уязвимостите, свързани с достъпването на системата, доколкото такива уязвимости са една от най-често срещаните причини за компрометиране на информационни системи и същите могат да позволят на външни лица да достъпят директно базите данни и по този начин да извършат нерегламентирани дейности, с които да нарушат интрегритета на тези данни."
Цялото обнародвано резюме от доклада:
Подкрепете ни
Уважаеми читатели, вие сте тук и днес, за да научите новините от България и света, и да прочетете актуални анализи и коментари от „Клуб Z“. Ние се обръщаме към вас с молба – имаме нужда от вашата подкрепа, за да продължим. Вече години вие, читателите ни в 97 държави на всички континенти по света, отваряте всеки ден страницата ни в интернет в търсене на истинска, независима и качествена журналистика. Вие можете да допринесете за нашия стремеж към истината, неприкривана от финансови зависимости. Можете да помогнете единственият поръчител на съдържание да сте вие – читателите.
Подкрепете ни