seerozha (seerozha) wrote,
seerozha
seerozha

Category:

Об информационной безопасности "Почты России"

Лучше тысячи слов. Кому интересно - вот обсуждение на "Хабре".

Оригинал взят у sovtehbez в Глобальная утечка информации на серверах Почты России

Санкт-Петербургская команда «Sokol-Security» обнаружила многочисленные дыры в системе безопасности серверов Почты России.

Найденные проблемы в безопасности, позволяют получить полный доступ ко всей базе данных Почты России, где хранятся миллионы записей с паспортными данными жителей РФ, а также информация о всех денежных переводах.
Ярким примером утечки информации является критическая уязвимость веб-сайта Почты России www.russianpost.ru - атака рода SQL инъекция кода, которая позволяет получить доступ к базе данных и ко всей её информации.
Основываясь только на выводах из последних отчетов лидеров  в области информационной безопасности, мошенниками будут применены следующие схемы: воровство денежных переводов граждан, использование паспортных данных в махинациях с кредитами. В целом применение такого рода информации ограничивается только фантазией злоумышленников. В таком объёме утечка частных данных может обернуться угрозой даже в геополитической игре.

Манипулируя уязвимостями, можно получить доступ во внутреннюю сеть обмена информацией и полный контроль над сетевой инфраструктурой.
Все почтовые отделения связаны единой сетью, доступ к которой осуществляется через уникальный сертификат, являющийся ключом авторизации отделений в глобальной почтовой системе. Центром управления информационной системы является подсистема управления,  в основе которой лежит «мастер-ключ» (корневой сертификат, которым и подписываются сертификаты отделений). Данная подсистема занимается контролем доступа к необходимым данным, для функционирования каждого из отделений почты.
Простыми словами, завладев «мастер-ключом»,  злоумышленники получают контроль внутренней сети Почты России. Управляя внутренней сетью обмена информацией, становится возможным:  подписывать транзакции (на выдачу наличных в отделениях), проводить банковские операции и даже совершение диверсии государственного уровня. Например, имея этот ключ возможно парализовать всю систему отделений Почты России.
 И уже угроза утечки нескольких десятков миллионов паспортных данных граждан РФ кажется незначительной…

Данная угроза не является теоретической!!!

Ниже представлено расположение того самого «мастер-ключа».

files_struct

       - в левой части снимка отображены часть дерева файлов подсистемы управления

                 [Снимки экрана, сделанные на локальном FTP сервере "Почты России"]


acces_granted_on_ftp2.russianpost.ru-4

  acces_granted_on_ftp2.russianpost.ru-5




      [Техническая информация. Примеры критических уязвимостей.]


Всего на ресурсе www.russianpost.ru нашими специалистами было обнаружено 29 критических уязвимостей.

Пример 1:
Хост административной части по управлению веб-ресурсами Почты России www.fcl.russianpost.ru
Реализация данной уязвимости происходит путем манипуляции POST запрос ом к серверу.
POST /media/workplacelist.aspx?sid=12345';%20{SQL INJECT}%20--%20 HTTP/1.1
Результат исполнения стандартных запросов к базе данных MSSQL:
SELECT system_user                   Ответ сервера: sa
SELECT user_name()                   Ответ сервера: dbo
SELECT HOST_NAME()               Ответ сервера: sunset
SELECT DB_NAME()                     Ответ сервера: mediasystem

Пример 2:
Основной сайт Почты России www.russianpost.ru
Реализация данной уязвимости происходит путем манипуляции GET запрос ом к серверу.
GET /?action=getimage&n=m&ufpsid=YI05M7Sq';%20{SQL INJECT}%20--%20 HTTP/1.1

пример SQL запроса:
http://www.russianpost.ru/?action=getimage&n=m&ufpsid=YI05M7Sq%27;%20waitfor%20delay%20%270:0:10%27%20--%20
SQL команда: waitfor delay '0:0:10'
Результатом выполения данной команды будет задержка при открытии ссылки ровно в 10 секунд.

[атака производится аналогично с примером 1]


Пример 3:
Вывод логина\паролья\домена серве в открытом виде для подключения к базе данных:

test2
error=" Строка соединения : data source=sunlight.russianpost.ru;initial catalog=RussianPost;user id=russianpost_admin;password=russianpost_pwd;Connect Timeout=60<br/> DB_GetList (CheckAuthorization):Line 1: Incorrect syntax near ' PASSWORD='.<br/>"

Обращение к Генеральному директору «Почты России»
Уважаемый Дмитрий Евгеньевич!
Мы готовы осуществить поддержку в устранении проблем, связанных с безопасностью информационной системы «Почты Росии».
Преодолеть Ваш секретариат, чтобы донести информацию о ситуации ответственным лицам, мы не в силах.

Предоставленная нами информация не несет угрозы для ресурсов "Почты России"


Связаться с нами можно по электронной почте support@sokol-online.com.
С Уважением команда проекта Sokol-Online.com

Tags: ИБ, ИТ, хакеры
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments