Как стать автором
Обновить

«Ростелеком-Солар»: 90% IT-систем российских госструктур могут взломать киберхулиганы

Время на прочтение 3 мин
Количество просмотров 3.9K
Всего голосов 6: ↑5 и ↓1 +4
Комментарии 11

Комментарии 11

Так, в 70% госорганизаций по-прежнему нет специализированных средств для фильтрации входящей почты, а иногда и базовых инструментов вроде антиспама и антивируса.

Правильно, ведь кажде неотфильтрованная рассылка = взлом
При этом более 50% организаций используют незащищенное соединение (http), и передаваемые данные не шифруются.

Взлом удаленного сервера через устаревший http?

Более 70% организаций оказались подвержены обычным уязвимостям, которые могут использоваться для входа в инфраструктуру. Это SQL-инъекции (позволяют взломать базу данных сайта и внести изменения в скрипт) и XSS (межсайтовый скриптинг).

Берешь две уязвимости разных весовых категорий и распространенности и объединяешь в одну цифру, получаешь угрожающие 70%. В источнике подробностей не обнаружил, но интересно распределение.

Собственно, там в источнике «отчет» — такой же набор инфы как и в пресс-релизе, без каких-либо подробностей относительно распределения или уровня опасности.
Взлом удаленного сервера через устаревший http?

Отсылка sensitive данных, таких как аутентификационные, личные, служебные по общедоступных сетям, самым популярным протоколом в мире, где каждое промежуточное устройство видит содержимое. Что же может пойти не так.

А ожидал увидеть конкретный список на каком госсайте какие эксплойты запускать?

это почти в 2 раза больше, чем получают некоторые инженеры 1 категории, занимающиеся тем же самым

У меня знакомый работает сисадмином в больнице (мск). Больше половины парка компьютеров — Windows XP. Какая безопасность?
Очень странно, потому как у нас в г.Ноунэйм парк уже перескакивает с 7 до 10.

а вин10 теперь гарантированно не сливает на сторону всё подряд? Я серьёзно спрашиваю, интересно.

Гарантированно не сливает данные только сервер который: отключен от сети. Электрической… (С) мои безопасники с прошлой работы


А ещё можно добавить, что совсем хорошо если сервер ещё и: зачищен, отформатирован, разобран, разломан в пыль, брошен в яму 100500 метров глубиной, взорван там ещё раз бомбой, залит сверху бетоном.

в этом, я думаю, и смысл. Что в госсекторе все в хаотичном порядке: где-то вин 10, где-то вин ХР, где-то cisco и vpn, а где-то ноунейм китайские роутеры и нешифрованная передача данных.
А безопасность — это сводный показатель по самому незащищенному звену. По минимальному. А из него получаем неприглядную картину: WinXP, старый/необновляемый софт, приходящий админ с невероятными правами доступа без квалификации (иногда и вообще не оформленный), дырки в firewall и vpn «лишь бы побыстрее это заработало».
Это проблема сделать быстро и недорого, привлекая низкоквалифицированных специалистов, которые еще вчера делали лендинги, сегодня их задача создать сервис. Такое часто встречается и в частных компаниях, ставя в руководители разработчика, который не глубоко знаком с безопастностью не в теории а именно на практике!
Есть даже такой феномен — информационная мастурбация — это когда применение знаний заменяется получением всё новой информации. В результате, процесс получения информации для развития заменяет само развитие. Ты становишься всё более осведомлённым, но всё менее интеллектуальным. Когда это продолжается из года в год, то способствует только росту САМОМНЕНИЯ.
Я такое часто наблюдаю на собеседовании, когда его проходишь то складывается чувство что ты устраиваешься на работу писать язык программирования JavaScript, Css, PHP, тут можно подставить любой свой язык, когда в вакансии говорится о разработке сервисов компании и ищут front-end разработчика. К примеру на собесе был вопрос по правилам CSS => a + a {color: red;} какой элемент будет красным? Я знаком за 10 лет работы с этим, но в своей жизни я это правило применял один раз всего. Вспомню ли я его по памяти — нет, т.к. это частный случай, смогу ли я его за 1 минуту загуглить и понять — да. Сейчас работаю в компании в которой после собеса не было тестового задания, я считаю у таких компаний большой успех, где техлид может рассмотреть кандидата без технического задания.

А ну или вот еще как пример выводить в продакшн бэк на ноде (SSR), ребят, ну это же для стартапов придумано, не серьезно это все.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории