Temat: Rządowe pomysły :-)))

Z piątkowej poczty:

"Otrzymaliśmy pismo z MON dotyczace ochrony portali informacyjnych - jest to związane z ostatnimi atakami hakerskimi na serwery administracji publicznej. W piśmie nakazuje się dokonania analizy przedmiotowej środowiska serwerowego w zakresie zaleceń Ministra Administracji i Cyfryzacji. Poproszę w związku z tym o odpowiedź na poniższe pytania:

czy na wykorzystywanej przestrzeni dyskowej przez XXX stosowane są zasady/zapisy:

- wdrożenie systemów eliminacji ruchu anonimizowanego (tj. TOR znane Anon-oraz-Open-Proxy, znane Anon-VPN itp.) oraz wymuszenie ciagłej aktualizacji tych mechanizmów;
- możliwość całkowitego filtrowania ruchu dotyczacego określonych typów pakietów lub całych protokolów (np.UDP lub ICMP);
- użycie mechanizmów automatycznego (oraz na żadanie) przełączania wersji witryn (strona dynamiczna-strona statyczna- informacja o przerwie technicznej) w zależnosci od poziomu wysycenia łącza oraz obciążenia serwera świadczacego usługi publiczne;
- wprowadzenie odpowiedzialności firmy hostującej za zapewnienie ciągłości działania powierzonego serwisu;
- dla serwisów o wskazanej wyżej dostepności usług wprowadzenie mechanizmu rozkładajacego ruch w przypadku duzego natężenia pomiedzy grupę serwerów;
- wdrożenie rozwiązań kontrolujących zawartość strony (od strony serwera) i raportujących o możliwości nieuprawnionej modyfikacji treści serwisu wraz z możliwością wyświetlenia zmienionej strony;
- w przypadku korzystania z usługi poczty elektronicznej gdy niezbedne jest ono z sieci Internet należy go realizować poprzez szyfrowane tunele VPN;"

Pytanie dotyczy serwera niewielkiej (400 stron) firmy hostingowej, na której znajduje się strona naprawdę mało znaczącej jednostki organizacyjnej podległej pod MON. Jednostki, która ma domenę *.com.pl, a na stronie takiego kwiatka:

"Stronę najlepiej oglądać w rozdzielczości 1024*768. Rozdzielczość twojego ekranu to 1920x1080. Jeśli to możliwe, zmień rozdzielczość!"

Czy tylko ja widzę w tym mailu absurd? ;-)

Temat: Rządowe pomysły :-)))

Ja tam się nie dziwie :)
Pani sekretarka dostała polecenie ze ma się zapytać o bezpieczeństwo i zwrócono jej uwagę: "Pani Zosiu tylko żeby wyglądało mądrze".

Miałem przypadek absurdu...
Ministerstwo oświaty ma bardzo dokładnie (ustawa) opisany wzór dyplomu ukończenia różnych szkół. Rozpisane jest na papierze oraz w załączniku jest fotka z przykładem. Przykład nie jest dokładny z opisem papierowym. Każdy kontroler pierwsze co robi to przykłada fotke do wydruku i szuka błędów. Potem okazuje się ze wydruk jest zły bo fotka z przykładem jest umieszczona w dokumencie (ustawa) w powiększeniu 75% i czcionka wygląda na 9,5pt a nie 12 jak w opisie do przykładu.
Zatem przykład zrozumienia treści jest ważniejszy niż sama treść :)

Może tu też dla skomplikowanych wymagań trzeba doszukać się prostej odpowiedzi :)

Temat: Rządowe pomysły :-)))

Widzę, że jeden z 'dupochronów' CERT'u zaczął żyć własnym życiem :) Co prawda nie w całości bo gdzieś po drodze zjedzono disable_functions z php.ini, ale i tak zabawnie :)Artur M. edytował(a) ten post dnia 26.02.12 o godzinie 09:23

Temat: Rządowe pomysły :-)))

Krzysztof Eugeniusz Kotkowicz:
Czy tylko ja widzę w tym mailu absurd? ;-)

Aktywne filtrowanie tora pewnie tak. Reszta - czemu absurd? Każdy z tych punktów ma sens i każdy sensowny admin powinien w większości odpowiedzieć albo "tak" albo "outsource". Mogło być dużo gorzej - ale tutaj przynajmniej jest lista kilku dobrych praktyk, zamiast bardziej absurdalnych bardzo konkretnych list co należy zabezpieczać i jak, które nie pasują do połowy sytuacji.

Temat: Rządowe pomysły :-)))

Stanisław P.:

Krzysztof Eugeniusz Kotkowicz:
Czy tylko ja widzę w tym mailu absurd? ;-)

Aktywne filtrowanie tora pewnie tak. Reszta - czemu absurd? Każdy z tych punktów ma sens i każdy sensowny admin powinien w większości odpowiedzieć albo "tak" albo "outsource". Mogło być dużo gorzej - ale tutaj przynajmniej jest lista kilku dobrych praktyk, zamiast bardziej absurdalnych bardzo konkretnych list co należy zabezpieczać i jak, które nie pasują do połowy sytuacji.

Czy doczytałeś, że mowa o serwerze niewielkiej firmy hostingowej, która na nim hostuje 400 stron, w tym jedną rządową? Wyobrażasz wdrożenie tam, na typowym panelu (Directadmin, cPanel, cokolwiek), automatyczne migrowanie stron z wersji dynamicznej na statyczną? Serio?

Która z dużych firm hostingowych monitoruje nieuprawnione zmiany na serwerach? I skąd ma wiedzieć, czy zmiana była uprawniona, czy nie? Jakoś nie wyobrażam sobie wdrażania monitorowania 400 stron i sprawdzania przy każdej zmianie, czy dokonana została przez pracownika danej jednostki, czy przez włamywacza. Powiedz mi kolego, jak to widzisz?

Która z firm hostingowych, dla jednego klienta z 400 będzie ustawiała VPN do poczty? Znasz taką? Pokaż proszę.

Temat: Rządowe pomysły :-)))

Każda :) Klient ma potrzeby techniczne? Ma :) Pierwotne założenia nie są z nimi zgodne? Nie są. Czy to nasza wina? Nie :) Traktujemy klienta i jego potrzeby poważnie? Traktujemy.

Zatem zamiast narzekać należałoby przygotować wycenę nowej usługi; adekwatnej do bieżących potrzeb (i wymagań) technicznych klienta; przedłożyć ją wraz z harmonogramem prac; a potem ... zapomnieć ;)

Ps. Nie, to nie jest żart.

Temat: Rządowe pomysły :-)))

Artur M.:
Zatem zamiast narzekać należałoby przygotować wycenę nowej usługi; adekwatnej do bieżących potrzeb (i wymagań) technicznych klienta; przedłożyć ją wraz z harmonogramem prac; a potem ... zapomnieć ;)

Mnie intryguje w tym wszystkim co innego :-)
Skąd w instytucjach rządowych taka potrzeba migrowania usług do operatorów biznesowych?

Prostym przykładem jest lista Rejonowych Zarządów Infrastruktury (na moje oko, to jakieś wojskowe służby kwatermistrzowskie), które są podległe pod MON.

Rejonowy Zarząd Infrastruktury - Wrocław - http://rzi.pl
Rejonowy Zarząd Infrastruktury - Olsztyn - http://rziolsztyn.pow.mil.pl
Rejonowy Zarząd Infrastruktury - Zielona Góra - http://rzi.com.pl
Rejonowy Zarząd Infrastruktury - Bydgoszcz - http://rzi.hg.pl
Rejonowy Zarząd Infrastruktury - Poznań - http://wzipoznan.pl
Rejonowy Zarząd Infrastruktury - Szczecin - http://rzi.szczecin.pl
Rejonowy Zarząd Infrastruktury - Lublin - http://rzi.lublin.pl

Każda domena z innej parafii, wszystko hostowane gdzieś na hostingach. Można by to ulokować przecież na jednym serwerze, we wspólnej domenie miasto.rzi.mil.pl - wymagałoby to oczywiście wdrożenia nieco poważniejszego dokumentu niż lista pytań do firmy hostingowej, ale byłoby bardziej efektywne, nieprawdaż?

Temat: Rządowe pomysły :-)))

Krzysztof Eugeniusz Kotkowicz:
Czy doczytałeś, że mowa o serwerze niewielkiej firmy hostingowej, która na nim hostuje 400 stron, w tym jedną rządową? Wyobrażasz wdrożenie tam, na typowym panelu (Directadmin, cPanel, cokolwiek), automatyczne migrowanie stron z wersji dynamicznej na statyczną? Serio?

Nie. Ale też nie o tym było pismo. Pismo zawiera tylko pytania na temat stanu aktualnego.
Przy aktualnym stanie odpowiedź to "nie" na wszystkie pytania ze względu na sposób hostingu.

Która z dużych firm hostingowych monitoruje nieuprawnione zmiany na serwerach? I skąd ma wiedzieć, czy zmiana była uprawniona, czy nie? Jakoś nie wyobrażam sobie wdrażania monitorowania 400 stron i sprawdzania przy każdej zmianie, czy dokonana została przez pracownika danej jednostki, czy przez włamywacza. Powiedz mi kolego, jak to widzisz?

"Od strony serwera" rozumiem w ten sposób, że logujesz się do serwera i sprawdzasz stan źródeł / bazy danych - w przeciwieństwie do "od strony klienta" gdzie sprawdzasz co wyświetla przeglądarka. Możliwość oferuje każdy (ściągnij i porównaj jako najprostsza implementacja). To że jest to zrobione "od strony serwera" nie znaczy, że ma to wykonywać firma hostingująca. Pytanie dotyczyło systemów "kontrolujących zawartość strony", nie całego serwera. Kod nie zmienia się w porównaniu z ostatnią wersją w VCS'ie, a reszta jest w audyt-logu i można ew. zweryfikować czy osoba zalogowana rzeczywiście wprowadziła jakąś zmianę w razie wątpliwości, prawda?

Która z firm hostingowych, dla jednego klienta z 400 będzie ustawiała VPN do poczty? Znasz taką? Pokaż proszę.

Zależy ile płaci. Od pewnej sumy, myślę, że prawie każda.

Temat: Rządowe pomysły :-)))

Z perspektywy mojego garnka tak jak jest jest dobrze ;)

Temat: Rządowe pomysły :-)))

Stanisław P.:

Krzysztof Eugeniusz Kotkowicz:
Czy doczytałeś, że mowa o serwerze niewielkiej firmy hostingowej, która na nim hostuje 400 stron, w tym jedną rządową? Wyobrażasz wdrożenie tam, na typowym panelu (Directadmin, cPanel, cokolwiek), automatyczne migrowanie stron z wersji dynamicznej na statyczną? Serio?

Nie. Ale też nie o tym było pismo. Pismo zawiera tylko pytania na temat stanu aktualnego.
Przy aktualnym stanie odpowiedź to "nie" na wszystkie pytania ze względu na sposób hostingu.

Ale czy nie rozumiesz absurdu sytuacji? 90% stron należących do rządowych jednostek, jest trzymana na hostingach, które nie spełniają tego typu zaleceń.

"Od strony serwera" rozumiem w ten sposób, że logujesz się do serwera i sprawdzasz stan źródeł / bazy danych - w przeciwieństwie do "od strony klienta" gdzie sprawdzasz co wyświetla przeglądarka. Możliwość oferuje każdy (ściągnij i porównaj jako najprostsza implementacja). To że jest to zrobione "od strony serwera" nie znaczy, że ma to wykonywać firma hostingująca. Pytanie dotyczyło systemów "kontrolujących zawartość strony", nie całego serwera. Kod nie zmienia się w porównaniu z ostatnią wersją w VCS'ie, a reszta jest w audyt-logu i można ew. zweryfikować czy osoba zalogowana rzeczywiście wprowadziła jakąś zmianę w razie wątpliwości, prawda?

Znów fail. Pytanie zostało zadane firmie hostującej stronę. To po pierwsze. Po drugie, implementacje ściągnij i porównaj wciąż nie odpowiadają na pytanie, czy zmiana była autoryzowana czy nie. Nie z perspektywy strony hostującej. O jakim VCSie mówisz? Nie wyobrażam sobie forsowania u Pani Halinki z Sekretariatu, by zaczęła używać jakiegokolwiek systemu kontroli wersji jeśli dotychczas wydłubywała sobie stronę w jakimś panelu, do dajmy na to Joomli. Poza tym, co w sytuacji, gdy potencjalny włamywacz zdobędzie dane logowania Pani Halinki, bo załóżmy, że były przypięte w sekretariacie do monitora?

Zależy ile płaci. Od pewnej sumy, myślę, że prawie każda.

Czy dalej nie zauważasz absurdu trzymania stron rządowych na zewnętrznych serwerach?

Temat: Rządowe pomysły :-)))

Która z firm hostingowych, dla jednego klienta z 400 będzie ustawiała VPN do poczty? Znasz taką? Pokaż proszę.

I co będziesz miał tyle tuneli ilu adresatów? :)

Temat: Rządowe pomysły :-)))

Jakub Purtal:

Która z firm hostingowych, dla jednego klienta z 400 będzie ustawiała VPN do poczty? Znasz taką? Pokaż proszę.

I co będziesz miał tyle tuneli ilu adresatów? :)

Chciałeś cytować mnie, czy kolegę Stanisława? ;-)

Temat: Rządowe pomysły :-)))

Krzysztof Eugeniusz Kotkowicz:
Ale czy nie rozumiesz absurdu sytuacji? 90% stron należących do rządowych jednostek, jest trzymana na hostingach, które nie spełniają tego typu zaleceń.

Nie rozumiem. 90% jest tak hostowana. Ostatnio mieli problemy bo okazało się, że wiele osób byłoby zainteresowanych albo podmianą albo odcięciem tych stron. Więc siły wyższe zabrały się za analizę sytuacji czego efektem jest ten list. Jeśli każdy odpisze jak jest, to siły wyższe dowiedzą się że 90% stron nie spełnia tych zaleceń, bo pewnie wcześniej o tym nie wiedzieli, bądź się tym nie interesowali.
To chyba pozytywny wynik?

Znów fail. Pytanie zostało zadane firmie hostującej stronę.

Ok. To zmienia trochę sytuację, bo z pierwszego posta nie wynikało. Myślałem, że jesteś "adminem rządowym" i dlatego te pytania dostałeś.

Nie wyobrażam sobie forsowania u Pani Halinki z Sekretariatu, by zaczęła używać jakiegokolwiek systemu kontroli wersji jeśli dotychczas wydłubywała sobie stronę w jakimś panelu, do dajmy na to Joomli. Poza tym, co w sytuacji, gdy potencjalny włamywacz zdobędzie dane logowania Pani Halinki, bo załóżmy, że były przypięte w sekretariacie do monitora?

1. Jeśli stereotypowa Pani Halinka zajmuje się ustawianiem strony od zera, to o jakimkolwiek bezpieczeństwie można na wstępie zapomnieć.
2. Audyt log jest nie tylko po to żeby kontrolować zmiany uprawnionych użytkowników, ale po to żeby wiedzieć czyje konto dostało się w niepowołane ręce, ew. kogo poprosić o potwierdzenie że konkretna treść została przez tą osobę napisana w razie wątpliwości.
Wydaje mi się, czy próbujesz bronić tej beznadziejnej sytuacji - bo tak robią, więc tak zostanie?

Zależy ile płaci. Od pewnej sumy, myślę, że prawie każda.

Czy dalej nie zauważasz absurdu trzymania stron rządowych na zewnętrznych serwerach?

Wszystko zależy od tego jak te zewnętrzne serwery będą wyglądały. Co innego "personal shared hosting" na ovh, a co innego jeden box w kolo, nawet z wynajmowanym sprzętem używanym przez kilka placówek, zarządzany od góry przez rządowych adminów.
Tu i tu są "zewnętzne serwery". Na pewno są też rozwiązania pomiędzy. Spodziewam się że jeśli byłaby wizja odpowiedniego kontraktu znalazłyby się nawet firmy oferujące zarządzany system powiązanych CMS'ów w środowisku takim który podlega jakkolwiek rygorystycznym wymogom rządowym.

Teoria? Tak. Ale jeśli zmiany mają się zacząć od generalnego zainteresowania bezpieczeństwem i od maili skierowanych to trochę nieodpowiednich osób - zobaczmy w jaką stronę to pójdzie.

Temat: Rządowe pomysły :-)))

Trochę poza tematem, ale też dotyczy naszego rządu:

http://www.tvnwarszawa.pl/absurdy,news,29-lutego-nie-m...

kto przetestował ten system przed jego wdrożeniem?