Przez Tora, proxy lub VPN nie wejdziesz na rządową witrynę?
Sprytne wiewiórki podrzuciły nam dokument pod tytułem „Wytyczne w zakresie ochrony portali informacyjnych administracji publicznej„. Autorem dokumentu jest Minister Administracji i Cyfryzacji Michał Boni, a sam dokument powstał po konsultacjach w Zespole zadaniowym do spraw ochrony portali dnia 26 stycznia tego roku.
Dokument zawiera całkiem sensowne wytyczne z zakresu bezpieczeństwa dla wszystkich rządowych serwisów informacyjnych. Jak mówią starzy górale, lepiej późno, niż wcale. Już w 2012 roku administracja rządowa odkrywa takie zalecenia bezpieczeństwa jak stosowanie silnych haseł, używanie sieci VPN do dostępu do poczty elektronicznej lub odcięcie dostępu do niej z zewnątrz organizacji, zakaz otwierania nieznanych załączników i wchodzenia na nieznane linki czy tez współpracę z rządowym CERTem. Dodatkowo, dotknięta atakami DDoS, administracja rządowa zaczyna stosować pojęcia takie jak filtrowanie ruchu ICMP i UDP, rozkładanie ruchu w zależności od obciążenia, czy też przełączanie między stronami statycznymi i dynamicznymi.
Wszystkie te rozwiązania, znane komercyjnym przedsiębiorcom od wielu lat, są jak najbardziej pożądane w rządowej infrastrukturze informacyjnej. Jednak jeden punkt rządowych zaleceń wzbudził naszą szczególną ciekawość. Brzmi on tak:
Wdrożenie systemów eliminacji ruchu anonimizowanego (tj. TOR, Znane Anon-oraz Open – Proxy, znane Anon – VPN, itp.) oraz wymuszenie ciągłej aktualizacji tych mechanizmów (zachowana pisowania oryginalna)
O ile rozumiemy frustrację CERT-u, który na podstawie logów http jedyne, co mógł stwierdzić, to to, że osoby, które podmieniły strony premier.gov.pl czy mon.gov.pl korzystały z Tora/proxy/VPN (niepotrzebne skreślić), ale czy na pewno tędy prowadzi droga do zapewnienia bezpieczeństwa serwisów www? Metoda odcinania dostępu z sieci anonimowych zbliża nasz kraj do autorytarnych reżimów, które także nie lubią anonimowości użytkowników.
PS. „Wytyczne” są dokumentem publicznym, wczoraj udostępnionym na www.cert.gov.pl.
Podobne wpisy
- Zarządzanie uprawnieniami, hasłami i zdalny dostęp spędzają ci sen z powiek?
- NordVPN po cichu zmienia treść oświadczenia o braku współpracy z organami ścigania
- Posłowie dostali instrukcje, by łączyć się z internetem przez NordVPN
- Co się dzieje w sieci Tor – od historii polskich serwisów po teraźniejszość
- Jak prosto i bezpiecznie wpuścić dostawcę lub pracownika do sieci wewnętrznej
1 komentarz
[…] przez błąd weryfikacji danych na formularzu wniosku o akredytację prasową). Od tamtej pory na serwery WWW MON nie można było nawet wchodzić przez Tora. Z kolei w ogromnym wycieku danych z serwerów firmy Adobe znalazło się 7 kont zarejestrowanych w […]