Raport "Stan bezpieczeństwa stron internetowych Posłów Rzeczypospolitej Polskiej"
#1
Wydawać by się mogło, że "wybrańcy narodu" to jakoś szczególnie uzdolnieni albo tylko bardziej świadomi obywatele naszego kraju, który jednak będą mieć wzgląd nie tylko na rację stanu...no otóż nie! Smile Badanie, o których poniżej pokazuje, że tak różowo to nie wygląda.

Cytat:Czy możecie sobie wyobrazić większe cmentarzysko starych, niezaktualizowanych WordPressów niż strony WWW, które często powstały tylko na potrzeby kampanii wyborczej i to kilka lat temu? Niestety tak właśnie wygląda sytuacja.

Na stronie Polskiej Obywatelskiej Cyberobrony, społecznej inicjatywy wspierającej cyberbezpieczeństwo RP, pojawił się właśnie raport dotyczący stron WWW polskich parlamentarzystów. W ramach badania, które przeprowadzono w listopadzie–grudniu 2019 r., znaleziono za pomocą Google’a i skryptu automatyzującego wyszukiwanie 148 stron internetowych posłów na Sejm IX kadencji. Tylko tyle, bo – jak tłumaczą twórcy raportu – część posłów nie posiada własnej strony albo nie dało się jej zidentyfikować.

    Sprawdziliśmy strony naszych posłów ??. Jest źle. Na co czwartej można łatwo podmienić treść. Wykryliśmy ponad 1000 podatności. Mogą być wykorzystane w atakach, np. operacjach dezinformacyjnych. Właściwe organy i kluby poselskie poinformowano w lutym br.

[Aby zobaczyć linki, zarejestruj się tutaj]

pic.twitter.com/F2DQWtkUg3

    — POC (@poc_org_pl) June 25, 2020

Wszystkie witryny przeskanowano z użyciem programu WhatWeb oraz autorskiego oprogramowania agregującego wyniki. Ustalono dzięki temu, że 96 stron posłów stworzono w oparciu o różne systemy zarządzania treścią (ang. Content Management System, CMS). Najpopularniejszym okazał się WordPress, warto przy tym odnotować, że spośród 79 bazujących na nim stron 16 – czyli 20% – działało na nieaktualnej wersji. Wstępne skanowanie pozwoliło także na znalezienie błędów związanych z protokołami komunikacji (np. brak przekierowania z HTTP na HTTPS – 111 przypadków) oraz typowych problemów z certyfikatami TLS (jak choćby brak zgodności CN z nazwą hosta – 68 wystąpień). Strony oparte na WordPressie dodatkowo przeskanowano narzędziem WPScan w celu wyszukania błędów konfiguracyjnych i luk bezpieczeństwa.

W sumie wykryto 1062 podatności, w tym 165 unikalnych. Luki podzielono na kategorie pod względem poziomu krytyczności. Towarzysząca raportowi infografika głosi, że „ponad 15% zagrożeń to problemy o wysokim lub krytycznym znaczeniu”. Na infografice i w raporcie znajdziemy stosowny wykres:

[Obrazek: wykres2.png]

Całość teksty poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]

a tu pełny raport w formie pliku PDF do pobrania

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości