Cправа «шытая белымі ніткамі»

Грамадства 07.08.2018

Вось ужо больш 15 гадоў я з’яўляюся адміністратарам ды карыстальнікам сістэм платнага доступу на сайтах розных навуковых рэсурсах, дзе традыцыйна выкарыстоўваецца сістэма доступу, аналагічная сістэме БелТА. Паспрабую выкласці сваё бачанне наконт гэтай справы.

1. Як адбываецца рэгістрацыя і ці магчыма выкарыстоўваць «старыя» паролі

У адмінцы сістэмы ёсць укладка «карыстальнікі», там чатыры калонкі «лагін», «пароль», «час карыстання» ды «актывізацыя». Пасля аплаты, адміністратар уносіць ваш лагін (названы вамі або вызначаны адмінам), пароль (тут могуць быць розныя варыянты: вы самі яго прызначаеце або яго генеруе аўтамат) ды вызначае даступны час доступу да рэсурсу. Потым націскае кнопку «актывізацыя»… І новы карыстальнік мае доступ да інфармацыі. Але пасля заканчэння вызначанага часу доступу, пароль аўтаматычна перастае дзейнічаць, і вы губляеце права доступу. Але для таго, каб пароль зноў стаў дзейны, адміністратар мусіць зноў націснуць кнопку «актывізацыя»!

Такім чынам, ніхто і ніколі не можа карыстацца «старымі» паролямі без ведама адміністратара рэсурсу.

2. Яны ўжывалі чужыя скрадзеныя дадзеныя для доступу, такім чынам шкодзілі законным карыстальнікам ды кралі інфармацыю

Чужы лагін ды пароль можна атрымаць некалькімі спосабамі:

а) Іх можа даць (прадаць) сам адміністратар рэсурсу. Але, у такім выпадку, вінаваты найперш ён, а не карыстальнік. Апрача гэтага, адміністратар можа лёгка сачыць за тым, каб дадзеныя аб ягоным злачынстве не засталіся ў адпаведных файлах (пра гэта мы будзем казаць ніжэй). Паколькі аб нейкіх злачынцах у сістэме БелТА гаворкі няма, гэты варыянт адкідаем.

б) Іх можа даць іншай асобе той, хто іх сам купіў законным шляхам. Але ў гэтым выпадку ён ніколі не будзе заяўляць аб нейкіх «праблемах» або «парушэнні ягоных правоў».

в) Іх можна скрасці ў законнага карыстальніка. Паколькі аб узломе чужога кампутара ва ўласнай рэдакцыі мова не ідзе, а таксама ніхто на сваіх калег па рэдакцыі не скардзіўся, можна адкінуць і гэтую версію. Бо вылічэнне нейкага іншага карыстальніка ды несанкцыянаваны доступ да ягонага кампутара — справа занадта складаная….

Выснова: Скрасці дадзеныя яны не маглі, адкідаем і гэтую версію.

3. Яны ўзламалі сервер БелТА для крадзяжу інфармацыі

Не будзем тут казаць аб усіх сістэмах абароны дадзеных, якія ўжываюцца на серверах ды ўнутраных сетках карпаратыўных карыстальнікаў. Скажам толькі, што генератарны падбор лагіна і пароля, нават калі яго «не заўважыла» сістэма абароны, што нерэальна, са звычайнага кампутара можа заняць гады ды патрэбуе грашовых рэсурсаў, якія ў дзясяткі або сотні разоў большыя за цану шматгадовага доступу да інфармацыі БелТА.

Адкідаем гэтую версію адразу ды цалкам.

4. Іх дзейнасць працягвалася гады і на іх скардзіліся законныя карыстальнікі.

Мала верагодна, але ўявім, што гэтыя журналісты нейкім чынам завалодалі чужымі лагінамі ды паролямі ды пачалі іх несанкцыянаванае выкарыстання. Як гэта можа пабачыць карыстальнік і адміністратар?

4.1. Індывідуальныя карыстальнікі

Карыстальнік уводзіць свой лагін ды пароль, але доступу да інфармацыі не атрымлівае. Гэта значыцца, калі няма сістэмнага збою, што нехта ўжо знаходзіцца ў сістэме пад яго дадзенымі. Адразу ў лісце доступу ў адміністратара з’яўляецца чырвонае паведамлення, што нехта спрабаваў зноў зайсці ў сістэму, калі там ужо знаходзіцца. У такім паведамленні адзначаецца ІР-адрас і час. Звычайна, адміністрацыя дасылае адпаведны ліст на пошту законнага карыстальніка прыкладна такога зместу: «Нехта спрабаваў увайсці ў сістэму пад вашым імем, калі вы ў ёй знаходзіліся. Дата, час, ІР. Калі гэта былі вы, не рабіце нічога, калі не — зайдзіце па спасылцы ды змяніце пароль або звяжыцеся з намі». Кожны нармальны карыстальнік адрэагуе, вынікам чаго будзе змена пароля. Усё — доступу няма.

Бывае законны карыстальнік тэлефануе ў кампанію ды скардзіцца на адсутнасць доступу. Адміністратара адразу глядзіць на ягоную рэгістрацыю ды, калі бачыць, што «ён ужо там», а доступу няма, сам змяняе пароль ды надае яго законнаму карыстальніку…. Пытанне вырашана.

Ці мы можам дапусціць, што законныя карыстальнікі гадамі не рэагавалі на лісты адміністратараў, а адміністратары не праглядалі лістоў доступу (гэта іх прамая работа) ды не рэагавалі на скаргі карыстальнікаў? Ці магчыма, што нехта гадамі краў паролі ў адных і тых жа людзей?! Мне здаецца гэта нерэальным.

4.2. Карпаратыўныя карыстальнікі

У выпадку карпаратыўных карыстальнікаў, адзін лагін і пароль выкарыстоўвае пэўная колькасць людзей. І тут узнікае некалькі момантаў: або карпаратыўная ліцэнзія (дамова) не вызначае колькасць карыстальнікаў, але тады «левага» карыстальніка вызначыць практычна немагчыма; або колькасць магчымых карыстальнікаў вызначана. У апошнім выпадку, праблемы ўзнікаюць толькі тады, калі вызначаная колькасць ужо ўвайшла ў сістэму, але нехта дадаткова дамагаецца доступу. Тут вызначыць «левага» карыстальніка складаней, але таксама можна зрабіць выбарку па ІР ды іншае. Аднак галоўнае — асобу, якая перадала дадзеныя «леваму» карыстальніку, патрэбна шукаць менавіта сярод работнікаў канкрэтнай карпарацыі, якія маюць доступ да лагіна ды пароля…. Зноў выходзім на тое, што «кралі» ў сваіх рэдакцыях ці ў знаёмых? Вельмі малая верагоднасць….

Больш за тое, як адміністратар падобных рэсурсаў, магу засведчыць, што выпадкі, калі ўсе кліенты карпаратыўнага доступу адначасна знаходзяцца ў сеці, вельмі і вельмі малаверагодныя нават для ВНУ.

Такім чынам, на мой погляд, нават магчымасць скарг ад карпаратыўнага карыстальніка ўяўляецца нейчым з галіны фантастыкі.

5. Дзе патрэбна шукаць сляды несанкцыянаванага доступу?

Калі нехта сапраўды вырашыць шукаць асоб, якія ажыццяўляюць несанкцыянаваны доступ, выкарыстоўваючы чужыя лагіны ды паролі, дык мусіць найперш вылучыць серверы ды дадзеныя кампаніі, якая, уласна, ёсць пацярпелай. Бо тое, што нехта будзе трымаць на сваім індывідуальным кампутары дадзеныя аб незаконным выкарыстанні, фактычна роўная «0».

Але давайце вернемся до таго, як рэальна можна вызначыць «левага» карыстальніка? Выключна па ІР у лісце адміністратара ўстановы, якая надае доступ. У сучасных умовах, калі ІР можна генерыраваць, калі ён можа быць «плаваючым», вызначыць асобнага чалавека менавіта ў рэдакцыі інтэрнэт-выданняў, на маю думку, — справа практычна немагчымая.

Зрэшты, як ужо адзначалася вышэй, значна лягчэй і лагічней не звяртацца да праваахоўнікаў, а проста змяніць паролі пры першай жа скарзе, як гэта робяць усе, хто надае доступ да інфармацыі.

6. Выcнова

На маю думку, вельмі сумнеўна, што ператрусы ды затрымання сапраўды павязаны з нейкім «багатагадовым несанкцыянаваным доступам». Тым больш – праз скаргі кліентаў, праблемы якіх мусілі быць вырашаны на працягу некалькіх хвілін або гадзін. Да таго ж, малаверагодна, што «злачынцы» сапраўды неаднаразова выкарыстоўвалі хакерскі ўзлом сістэмы, які каштуе больш ды займае больш кампутарнага часу, чым легальная пакупка ключа доступу да інфармацыі.

***

Нагадаем, што 7 жніўня ў офісах TUT.by і БелаПАН адбыліся ператрусы, затрыманыя рэдактары. Іх абвінавачваюць у тым, што яны заходзілі на сайт дзяржаўнага агенцтва БелТА па чужым паролі платнага доступу.

Шаноўныя чытачы!

Кожны дзень рэдакцыя «Новага Часу» рыхтуе для вас якасную аналітыку, важныя інтэрв’ю і гістарычныя артыкулы.

На жаль, цяпер рэдакцыя перажывае надзвычай складаны час. Мы спрабуем вырашыць праблемы, але наўпрост зараз сітуацыя крытычная.

Без фінансавага ўдзелу чытачоў далейшае існаванне выдання зробіцца немагчымым. Мы вельмі хочам працаваць для вас далей, таму звяртаемся па падтрымку.

Любая дапамога будзе дарэчнай!