☰

Pašvaldību mājas lapās atrod nopietnas ievainojamības

Oktobrī CERT.LV veica ielaušanās testus jeb drošības pārbaudes 119 pašvaldību mājaslapās, no kurām 21 lapā tika atrastas kritiskas ievainojamības.Populārākās no ievainojamībām bija SQL injekcijas un starpvietņu skriptēšana (XSS).

SQL injekcijas tiek pielietotas, lai uzbruktu tīmekļa vietnes datubāzei, tīmekļa vietnē ievietotu ļaundabīgus skriptus vai pilnībā pārņemtu kontroli pār serveri. Starpvietņu skriptēšana tiek pielietota, uzbrucējam ievietojot lapā programmu vai kodu, kas tiek izpildīti lapas apmeklētāju pārlūkprogrammās, tādējādi iegūstot informāciju par apmeklētāja datiem, piemēram, viņa lietotāja vārdu un paroli, vai pilnībā pārņemtu kontroli pār tīmekļa vietnes apmeklētāja datoru.

Galvenie secinājumi pēc ielaušanās testiem

Virkne pašvaldību neseko tīmekļa vietnes un satura vadības sistēmas atjauninājumiem, kas pakļauj vietnes augstam ielaušanās un izķēmošanas riskam.

Vairākas problēmas tika atklātas vietnēs, kur izstrādātāji, pielāgojot kādu no plašāk zināmajām un nosacīti drošajām satura vadības sistēmām ( Joomla, Drupal, Wordpress ), pielāgošanas rezultātā tajās radīja ievainojamības.
Sadarbojoties ar pašvaldību pārstāvjiem un lapu izstrādātājiem, visas CERT.LV atklātās nepilnības tika novērstas.
Nepilnību novēršanas procesā tika konstatēts, ka vairākiem izstrādātājiem ir zema izpratne par IT drošību, tomēr lielākā daļa izstrādātāju bija atsaucīgi un kļūdas novērsa operatīvi.

Pēc ielaušanās testiem CERT.LV strādāja individuāli ar katru pašvaldību, izvirzot par mērķi pēc iespējas ātrāk novērst atklātās ievainojamības un drošības nepilnības. Ievainojamību novēršanas termiņi bija sākot no vienas dienas, atsevišķos gadījumos līdz pat mēnesim, kas kopumā ir labs rezultāts.

Salīdzinot ar iepriekšējiem gadiem, pašvaldību mājas lapu drošības situācija uzlabojas. Pašvaldības ir arvien proaktīvākas savā rīcībā, definējot drošības prasības jau programmatūras izstrādes un/ vai iepirkuma fāzē.
Satraucošs rādītājs ir tas, ka mājas lapu izstrādātāji nereti attiecas pavirši pret drošības prasību ieviešanu. CERT.LV atgādina, ka mājas lapu pasūtītājam nav jāpieņem, ka izstrādātājs izpildīs drošības prasības, bet jāpārliecinās par to ieviešanu, veicot neatkarīgus drošības testus un auditu, kuru rezultātā atklātie trūkumi izstrādātājam jānovērš līguma ietvaros.