В системата за случайно разпределение на дела са открити слабости, които могат да доведат до манипулация на данни
По време на чуването на експертите, които са създали одит на Централизираната система за инцидентно систематизиране на делата (ЦССРД), те са обяснили слабостите, които са открили.
Ето част от тях:
По време на инспекцията и тестванията са били разпознати голям брой сериозни уязвимости в системата на ЦССРД, които могат да доведат до цялостна операция на резултатите от инцидентни разпределения на съдии по съответните каузи.
Част от уязвимостите разрешават на арбитър с права върху съответен съд да прави следните дейности:
- Да прибавя нови съдилища;
- Да достъпва и редактира информация на непознато съдилище;
- Да достъпва, редактира и изтрива инкрементални номера;
- Да достъпва и изтрива отсъствия и регистрирани дежурства;
- Да се достъпват и модифицират данните на други потребители;
- Да разпределя дело на арбитър от непознат съд.
Тези уязвимости са разказани в елементи в секцията "Описание на уязвимости ".
В резюме на резултатите от извършените проби е належащо да бъде маркирано, че системата на ЦССРД употребява технологии, които не са модерни и надлежно огромна част от векторите за офанзива са използвани.
Системата е написана без фокус върху нейната сигурност и откритите уязвимости съставляват сериозна опасност за нея и данните, с които работи тя.
Критичните уязвимости са също по този начин изключителни елементарно възпроизведими даже и за нетехническо лице с дребен опит в областта на киберсигурността. Някои от тях могат да доведат до директна операция на данните в Централизираната система за инцидентно систематизиране на делата.
По време на тестванията за оценка на сигурността и прегледа за съществуването на журнални файлове, са били видяни следи от евентуално злонамерена активност по отношение на системата на ЦССРД.
По време на тестванията за оценка на сигурността са били разпознати 23 уязвимости. От тях, 11 са категоризирани с високо равнище на риск, 2 със приблизително и 10 с ниско.
Системата на ЦССРД изисква всеки регистриран консуматор да разполага с КЕП (квалифициран електронен подпис) за автентикация.
Електронният автограф следва да е привързан с профила на съответния консуматор и верификацията да се прави на равнище уеб приложение.
В съответния случай системата фактически изисква електронен автограф, само че не го верифицира по отношение на асоциирания с съответния консуматор. Това съставлява накърнимост с високо равнище на риск заради обстоятелството, че всяко лице с годен КЕП може да достъпи системата при изискване, че е минал защитната стена.
Системата би следвало да ревизира дали електронният автограф на потребителя попада в системата като позволен за достъп. Към този миг инспекция се прави само за това дали се употребява подобен, само че не и дали той е верифициран засистемата на ЦССРД, прецизират от Българска национална телевизия.
Ето част от тях:
По време на инспекцията и тестванията са били разпознати голям брой сериозни уязвимости в системата на ЦССРД, които могат да доведат до цялостна операция на резултатите от инцидентни разпределения на съдии по съответните каузи.
Част от уязвимостите разрешават на арбитър с права върху съответен съд да прави следните дейности:
- Да прибавя нови съдилища;
- Да достъпва и редактира информация на непознато съдилище;
- Да достъпва, редактира и изтрива инкрементални номера;
- Да достъпва и изтрива отсъствия и регистрирани дежурства;
- Да се достъпват и модифицират данните на други потребители;
- Да разпределя дело на арбитър от непознат съд.
Тези уязвимости са разказани в елементи в секцията "Описание на уязвимости ".
В резюме на резултатите от извършените проби е належащо да бъде маркирано, че системата на ЦССРД употребява технологии, които не са модерни и надлежно огромна част от векторите за офанзива са използвани.
Системата е написана без фокус върху нейната сигурност и откритите уязвимости съставляват сериозна опасност за нея и данните, с които работи тя.
Критичните уязвимости са също по този начин изключителни елементарно възпроизведими даже и за нетехническо лице с дребен опит в областта на киберсигурността. Някои от тях могат да доведат до директна операция на данните в Централизираната система за инцидентно систематизиране на делата.
По време на тестванията за оценка на сигурността и прегледа за съществуването на журнални файлове, са били видяни следи от евентуално злонамерена активност по отношение на системата на ЦССРД.
По време на тестванията за оценка на сигурността са били разпознати 23 уязвимости. От тях, 11 са категоризирани с високо равнище на риск, 2 със приблизително и 10 с ниско.
Системата на ЦССРД изисква всеки регистриран консуматор да разполага с КЕП (квалифициран електронен подпис) за автентикация.
Електронният автограф следва да е привързан с профила на съответния консуматор и верификацията да се прави на равнище уеб приложение.
В съответния случай системата фактически изисква електронен автограф, само че не го верифицира по отношение на асоциирания с съответния консуматор. Това съставлява накърнимост с високо равнище на риск заради обстоятелството, че всяко лице с годен КЕП може да достъпи системата при изискване, че е минал защитната стена.
Системата би следвало да ревизира дали електронният автограф на потребителя попада в системата като позволен за достъп. Към този миг инспекция се прави само за това дали се употребява подобен, само че не и дали той е верифициран засистемата на ЦССРД, прецизират от Българска национална телевизия.
Източник: blitz.bg
КОМЕНТАРИ