Documentolog компаниясы жүйедегі осалдықты жойды

Кеше, 2018 жылдың 8 тамызында, Facebook парақшасында ЦАРКА - лицензияланған пентест қызметтерін ұсынатын ұйым, «Қазақстандық құжат айналымы жүйесінде критикалық осалдық табылды» деген тақырыппен хабарлама жариялады. 

ЦАРКА-ның хабарламасына сәйкес, Documentolog құжат айналымы жүйесінде критикалық осалдық анықталды, ол Documentolog пайдаланатын барлық ұйымдардың іскерлік хат алмасуына қол жеткізуге, сондай-ақ шабуылдаушының артықшылықтарын домен контроллерінің әкімшісі деңгейіне дейін арттыруға мүмкіндік берді.

Жағдайды түсіндіру үшін, Documentolog компаниясының бас директоры Байжан Канафин жоғарыда аталған мәлімдемеге қатысты өз пікірлерін білдірді: 

«ЦАРКА біздің құжат айналымы жүйемізде осалдық табылғаны туралы қатты тақырыппен өз парақшасында жариялады. Олар біздің компанияның клиенттері ірі мемлекеттік ұйымдар екенін және бізге бәрі жұмыс істеп жатқанын, біз мемлекеттік СЭД рөліне үміткер екенімізді меңзейді, бұл біреудің «қолымен» немесе «лоббиімен» болмайды. Сондықтан олар бізді бұзып, біздегі деректердің қауіпсіздігі үшін күресуге құқылы деп санайды.

Кеше бізге белгілі болғандай, ЦАРКА біздің клиенттеріміздің бірімен олардың «Documentolog» электрондық құжат айналымы жүйесінің осалдығын талдау үшін жалданған, ол олардың доменінде орналасқан, бірақ SAAS моделі бойынша біздің ресурстарымызда жұмыс істейді. Жүйені тікелей бұза алмады. Жүйеден келетін сұрауларды талдай отырып, біз олардың порталынан біздің компанияның ішкі порталына сұраулар бар екенін анықтадық. Бұл Documentolog компаниясының ішкі ресурсы, онда бүкіл компания жұмыс істейді.

Нәтижесінде олар біздің техникалық қолдау қызметімізге біздің клиентіміздің доменінен орындалатын кодпен хат жіберді. Әрине, біздің қызметіміз бұл хатты ашты және хакерлер сессияны ұстап алды. Осылайша, олар біздің порталдың барлық құжаттарына уақытша қол жеткізді, оған техникалық қолдау қызметкері қол жеткізе алады. Тиісінше, ол біздің техникалық мамандарымыз пайдаланатын кейбір ішкі құжаттарға қол жеткізе алды. Бұл хакерлер үшін негізгі табыс болды. Осыдан кейін, осы құжаттарға қол жеткізгеннен кейін, олар біздің клиенттерімізді бұзу үшін алынған ақпаратты пайдалана бастады. 

Кеше, 7 тамызда, біздің клиентіміздің қызметкерлері бізге хабарлаған кезде, біз барлық осалдықтарды бір сағат ішінде түзеттік. Атап айтқанда, сессияны ұстап алу мүмкіндігін жойдық, барлық қызметкерлердің қол жеткізу құқықтарын шектедік және біздің клиенттеріміз туралы құпия ақпарат бар құжаттарды жүйемізден жойдық.

Әрине, бұл біз үшін өте пайдалы ақпарат болды, біз анықталған осалдықтарға ризашылық білдірдік, тіпті осындай тесттерді үнемі өткізу туралы ойладық. ЦАРКА мамандарымен келесі аптада кездесуге келістік. 

Нәтижесінде, бір сағат бұрын ЦАРКА арзан PR арқылы өздерін тағы бір рет жариялаудың мүмкіндігін жіберіп алмау үшін пост жариялады, мен оны «бөлістім». Documentolog компаниясының басшысы ретінде мен мынаны айта аламын:

• ЦАРКА мамандары клиенттердің жүйелерін бұза алмады. Олардың бұзуының негізгі нәтижесі компанияның ішкі порталындағы ақпарат болды, ол жай ғана адами факторға байланысты сақталған. Біздің ішкі порталымызға қатысты анықталған барлық осалдықтар дереу жойылды, клиенттеріміздің жүйелеріне қол жеткізу және парольдер сол күні өзгертілді. Біз бұл бағытта үнемі жұмыс істейтін боламыз.
• Біз толықтай жеке компаниямыз, мемлекеттік емес. Әрбір клиентті біз өз еңбегімізбен, ешкімнің қысымынсыз алдық. Біз өз өнімімізді 10 жылдан астам уақыт бойы өз қаражатымызбен өз бетімізше дамытып келеміз және қазіргі уақытта бұл Қазақстандағы ең бәсекеге қабілетті IT өнімдерінің бірі шығар. Біздің жетістіктеріміз біреулерге тыныштық бермейді, мүмкін ЦАРКА тек құрал. Уақыт көрсетеді. Мен болып жатқан жағдайлардан хабардар боламын. 
• ЦАРКА қолданатын әдістер этикалық емес және одан да маңыздысы, елдің IT саласына өте зиянды. Олар заңсыз әдістермен, ҚК 205, 207 және 208-баптарына сәйкес әрекет етіп, ИБ-ны жақсартуға көмектесудің орнына, қазақстандық әзірлеуші компанияның имиджіне нұқсан келтірді. Олар компанияны табылған осалдықтар туралы ескертпеді, оларды жоюды сұрамады. Тіпті оларды жоюға уақыт бермеді. Олар жай ғана жариялады. Кейінірек мен клиентпен келісімсіз аудитке тапсырыс бергенін білдім. Бұл жағдайды түзету емес, басқа мақсаттары бар адамдардың әрекеті, соның ішінде өзімшілдік.
• Бүгінгі таңда кез келген IT жүйені тиісті ниет пен қаржыландыру арқылы бұзуға болады. Маңыздысы, компания орнында тұрмай, өзінің ИБ жүйесін үнемі жетілдіріп отыруы керек. Біз мұны үнемі жасаймыз, сондықтан белгілі бір дәрежеде мұндай әдістердің өз артықшылықтары бар, олар бізді сергек ұстайды. Microsoft және Google сияқты ірі алыптар да қауіпсіздік олқылықтарын үнемі тауып, жүйелерін жаңартып отырады.
• Documentolog компаниясы тарапынан біз бүкіл процесті өте ашық түрде жариялайтын боламыз. Және барынша ашық. Қазір ЦАРКА өз әрекеттерін ақтауға тырысып, өз ниеттерінің асыл екендігі туралы күлкілі мәлімдемелер жасауда. Бірақ біз үшін бұл жеткіліксіз. Біз олардың әрекеттерін және клиенттің әрекеттерін құқықтық тұрғыдан зерттейтін боламыз. Бірлескен баспасөз релизін жасауға келістік, онда не болатынын талқылаймыз. Біз үшін маңыздысы, теріске шығару болуы керек.»

Кеше болған жағдай және осалдықты жою үшін қабылданған шаралар туралы егжей-тегжейлі есеп бірінші мүмкіндікте жарияланатынын қайталаймыз. 

Канафин Б.-ның сұхбаты mail.kz порталының тілшілерімен жазылды