Такое. Аргумент про сторонний аудит оч хороший и я его поддерживаю, но сама статья - попытка доебаться до всего, что только можно. А конкретики аж нихера.
Например - автор утверждает что команда Дии коммитит прямо в мастер без ревью и даёт скриншот. На скриншоте архитект говорит что для код ревью нужна должностная инструкция. Вывод: што ?
Наличие аудита в целом хорошо бы выглядело для общественности, но технически нахрен не нужно. Как и открытый код Дии.
>>> 1) Я ещё не вникал во всю новость и не общался со знакомыми безопасниками, но из того, что читал здесь и в других тредах - подохли в основном порталы министерств всяких. То бишь, веб-морды. Ну и характер атаки, как бэ, тоже на это намекает. Если то, что скинули на скриншоте, правда ( то бишь, подломали инфраструктурную компанию которая отвечала за часть ресурсов), то там только можно оценить ущерб зная какие возможности и какой апи есть на админской части этого поставщика. Я почти на 100% уверен, что наше дорогое правительство хостилось где-нибудь в КиевСервера.Ру, с соответствующим уровнем безопасности и возможностей, вместо того, чтобы пользоваться AWS или Azure на крайняк. Но тут масса нюансов с этим связанных. Если коротко, то отечественные хостинги ну так себе по уровню безопасности, кмк. (Чисто мои предположения, мб я не прав и там всё на уровне ISO 27001/NIST)
Подводя итог. Если подломали админку хостинга и из неё нет АПИ/функционала который позволяет получать доступ на машинку напрямую без ключей/паролей или есть сервисы баз данных, из которых можно сделать дамп через монитор, то особо страшного не произошло нифига. Полежат фронты некоторое время.
В качестве косвенного доказательства тут можно считать что портал Дии лежал, а приложенько по прежнему работало. Что как бы намекает. Надо будет поспрашивать коллег.
Не хватит, потому что как правильно отметили архитектура многослойная. У тебя неконсистентные реестры различных министерств которые нужно объединять в одну портянку на фронте Дии. Чтобы это сделать, идёт обработка на стороне бекенда, куда ходит дия с цифровой подписью или банк айди.
Ты не можешь просто сделать запрос в реестр. Тебе нужно подтвердить что это имеенно ты делаешь запрос в реестр. Делается это через BankID или ЕЦП. Тогда ты можешь сделать запрос о себе. То есть, украсть данные об индивидууме через Дию можно только если ты угнал личность человека, который это делает. Это не даёт тебе доступа к данным остальных пользователей.
Тут ещё вопрос корректности статистики, с нашими чудными системами сбора информации. Но чёт да, пиздец, конечно. Много от сограждан ожидал, но это прямо внезапно.
Например - автор утверждает что команда Дии коммитит прямо в мастер без ревью и даёт скриншот. На скриншоте архитект говорит что для код ревью нужна должностная инструкция. Вывод: што ?
Наличие аудита в целом хорошо бы выглядело для общественности, но технически нахрен не нужно. Как и открытый код Дии.
И про какие сливы логинов и паролей к гиту ты щас ?
Я ещё не вникал во всю новость и не общался со знакомыми безопасниками, но из того, что читал здесь и в других тредах - подохли в основном порталы министерств всяких. То бишь, веб-морды. Ну и характер атаки, как бэ, тоже на это намекает. Если то, что скинули на скриншоте, правда ( то бишь, подломали инфраструктурную компанию которая отвечала за часть ресурсов), то там только можно оценить ущерб зная какие возможности и какой апи есть на админской части этого поставщика. Я почти на 100% уверен, что наше дорогое правительство хостилось где-нибудь в КиевСервера.Ру, с соответствующим уровнем безопасности и возможностей, вместо того, чтобы пользоваться AWS или Azure на крайняк. Но тут масса нюансов с этим связанных. Если коротко, то отечественные хостинги ну так себе по уровню безопасности, кмк. (Чисто мои предположения, мб я не прав и там всё на уровне ISO 27001/NIST)
Подводя итог. Если подломали админку хостинга и из неё нет АПИ/функционала который позволяет получать доступ на машинку напрямую без ключей/паролей или есть сервисы баз данных, из которых можно сделать дамп через монитор, то особо страшного не произошло нифига. Полежат фронты некоторое время.
В качестве косвенного доказательства тут можно считать что портал Дии лежал, а приложенько по прежнему работало. Что как бы намекает. Надо будет поспрашивать коллег.