Επιτρέπει την πρόσβαση μη εγγεγραμμένων χρηστών
Διάτρητο είναι μεγάλο μέρος της ηλεκτρονικής υποδομής του Δημοσίου, καθώς επιτρέπει την πρόσβαση μη εγγεγραμμένων χρηστών σε υπηρεσίες και εφαρμογές και τους δίνει την δυνατότητα να συλλέγουν στοιχεία, αλλά και να παραχαράσσουν δημόσια έγγραφα.
Σύμφωνα με στελέχη της ΓΓΠΣ και άλλων αρμόδιων υπηρεσιών Ιστοσελίδες και εφαρμογές υπουργείων, φορέων, οργανισμών και υπηρεσιών του Δημοσίου λόγω αβλεψιών και ελλιπούς εποπτείας παρουσιάζουν μεγάλα κενά ασφαλείας και παρότι θεωρητικά παρέχουν περιορισμένη ή διαβαθμισμένη πρόσβαση στους χρήστες τους, τελικά είναι ανοικτές σε όλους όσους έχουν στοιχειώδεις γνώσεις πληροφορικής και ειδικά στους θηρευτές δημοσίων έγγραφων τύπου Wikileaks.
Η μη τυποποίηση της διαδικασίας κατασκευής ιστοσελίδων για το Δημόσιο, η χρησιμοποίηση διαφορετικών τεχνολογιών και η αδυναμία των στελεχών των εκάστοτε φορέων να παρακολουθήσουν και να αξιολογήσουν το έργο των επιχειρήσεων που αναλάμβαναν την δημιουργία των ιστοτόπων έχουν επιφέρει ρήγματα ασφάλειας στην ηλεκτρονική υποδομή του Δημοσίου.
Είναι ενδεικτικό ότι σε πάρα πολλές περιπτώσεις αρκεί η πληκτρολόγηση των λέξεων test, demo ή admin στα πεδία Όνομα Χρήστη (Username) και Κωδικός (Password) για να εισέλθει κάποιος τρίτος στην εσωτερική υποδομή (διαβαθμισμένη) των ιστοσελίδων δημόσιων φορέων και να «ξεκλειδώσει» το περιεχόμενο τους αποκτώντας πρόσβαση σε δημόσια έγγραφα.
Οι τρύπες αυτές στην υποδομή των ιστοσελίδων δημόσιων -και μη- φορέων οφείλονται σε δύο
λόγους. Στην προχειρότητα και στην έλλειψη γνώσης. Αποτελεί συνήθεια για όσους κατασκευάζουν σελίδες στο internet να δημιουργούν test account (δοκιμαστικούς λογαριασμούς) για να διαπιστώσουν την ορθή λειτουργία της υποδομής που αναπτύσσουν, στο σκέλος της εγγραφής χρηστών.
Ωστόσο, σε πολλές περιπτώσεις οι δοκιμαστικοί χρήστες (Username: test και Password : test) δεν διαγράφονται από την βάση του συστήματος, δίνοντας διαρκή πρόσβαση σε όσους γνωρίζουν το μεγάλο αυτό κενό ασφαλείας. Οι δε δημόσιοι υπάλληλοι που αναλαμβάνουν τη διαχείριση των ηλεκτρονικών πυλών και υπηρεσιών δεν διαθέτουν στις περισσότερες περιπτώσεις την εμπειρία ώστε να ελέγξουν την συγκεκριμένη «λεπτομέρεια».
Με τον πιο πάνω τρόπο οποιοσδήποτε γνωρίζει την τρωτότητα του συστήματος μπορεί να αποκτήσει πρόσβαση σε δεδομένα του Δημοσίου, αλλά και να παρέμβει σε αυτά, καθώς σε πολλές περιπτώσεις ο διαχειριστής του συστήματος δεν μπορεί να αντιληφθεί πως π.χ. η εγγραφή ενός ονόματος ή η προσθήκη μιας δαπάνης έχει καταχωρηθεί από χρήστη με test account.
Σύμφωνα με στελέχη της ΓΓΠΣ και άλλων αρμόδιων υπηρεσιών Ιστοσελίδες και εφαρμογές υπουργείων, φορέων, οργανισμών και υπηρεσιών του Δημοσίου λόγω αβλεψιών και ελλιπούς εποπτείας παρουσιάζουν μεγάλα κενά ασφαλείας και παρότι θεωρητικά παρέχουν περιορισμένη ή διαβαθμισμένη πρόσβαση στους χρήστες τους, τελικά είναι ανοικτές σε όλους όσους έχουν στοιχειώδεις γνώσεις πληροφορικής και ειδικά στους θηρευτές δημοσίων έγγραφων τύπου Wikileaks.
Η μη τυποποίηση της διαδικασίας κατασκευής ιστοσελίδων για το Δημόσιο, η χρησιμοποίηση διαφορετικών τεχνολογιών και η αδυναμία των στελεχών των εκάστοτε φορέων να παρακολουθήσουν και να αξιολογήσουν το έργο των επιχειρήσεων που αναλάμβαναν την δημιουργία των ιστοτόπων έχουν επιφέρει ρήγματα ασφάλειας στην ηλεκτρονική υποδομή του Δημοσίου.
Είναι ενδεικτικό ότι σε πάρα πολλές περιπτώσεις αρκεί η πληκτρολόγηση των λέξεων test, demo ή admin στα πεδία Όνομα Χρήστη (Username) και Κωδικός (Password) για να εισέλθει κάποιος τρίτος στην εσωτερική υποδομή (διαβαθμισμένη) των ιστοσελίδων δημόσιων φορέων και να «ξεκλειδώσει» το περιεχόμενο τους αποκτώντας πρόσβαση σε δημόσια έγγραφα.
Οι τρύπες αυτές στην υποδομή των ιστοσελίδων δημόσιων -και μη- φορέων οφείλονται σε δύο
λόγους. Στην προχειρότητα και στην έλλειψη γνώσης. Αποτελεί συνήθεια για όσους κατασκευάζουν σελίδες στο internet να δημιουργούν test account (δοκιμαστικούς λογαριασμούς) για να διαπιστώσουν την ορθή λειτουργία της υποδομής που αναπτύσσουν, στο σκέλος της εγγραφής χρηστών.
Ωστόσο, σε πολλές περιπτώσεις οι δοκιμαστικοί χρήστες (Username: test και Password : test) δεν διαγράφονται από την βάση του συστήματος, δίνοντας διαρκή πρόσβαση σε όσους γνωρίζουν το μεγάλο αυτό κενό ασφαλείας. Οι δε δημόσιοι υπάλληλοι που αναλαμβάνουν τη διαχείριση των ηλεκτρονικών πυλών και υπηρεσιών δεν διαθέτουν στις περισσότερες περιπτώσεις την εμπειρία ώστε να ελέγξουν την συγκεκριμένη «λεπτομέρεια».
Με τον πιο πάνω τρόπο οποιοσδήποτε γνωρίζει την τρωτότητα του συστήματος μπορεί να αποκτήσει πρόσβαση σε δεδομένα του Δημοσίου, αλλά και να παρέμβει σε αυτά, καθώς σε πολλές περιπτώσεις ο διαχειριστής του συστήματος δεν μπορεί να αντιληφθεί πως π.χ. η εγγραφή ενός ονόματος ή η προσθήκη μιας δαπάνης έχει καταχωρηθεί από χρήστη με test account.
newsdeast.gr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου