Отчет рабочей группы по техническому анализу срыва праймериз ­2016
Москва, Бюро ФПС, 30.06.2016

Отчет рабочей группы по техническому анализу срыва праймериз ­2016 с комментариями ответственного секретаря партии, председателя ЦВК Константина Мерзликина

Исходные данные, с которыми работала группа:

­ Разговоры с редактором сайта, программистом и системным администратором, администратором сайта, заместителем председателя Парнаса – ответственным секретарем ФПС, постановщиком задачи по программированию;
­ Логи системы управления, логи доступа и ошибок одного из четырёх вебсерверов, присланные программистом.
­ Доступ к панели управления виртуального сервера ISPServer в Иркутске.

Данные, которые были запорошены как необходимые, но не предоставлены:

­ Исходные коды системы управления.
­ Логи активности серверов.
­ Логи базы данных.
­ Доступ к системе управления.

­ Техническая документация ­ не велась. Программист: "Разработка велась посредством выполнения коротких промежуточных заданий, формулируемых в рабочем режиме."

Хронология произошедшего

17 апреля 2016 года произошел взлом сайта parnasparty.ru через один из редакторских аккаунтов, на нём появилась переписка Натальи Пелевиной. Через какой аккаунт ­ не установлено, неизвестно и как был получен к нему доступ.

29 мая 2016 года

Около 12:00 на сайте партии появилась новость со ссылкой на базу пользователей сайта праймериз.

Около 12:30 появилась новость на сайте Yodnews.

Около 12:55 новость со ссылкой на базу была снята с публикации.

Около 13:00 на сайте партии появилась новость об "ошибке администратора" с извинениями.

Около 13:10 вторая новость была снята с публикации.

Около 15:15 на сайте появилось сообщение об утечке с рекомендацией сменить пароли.

Около 18:30 на сайте появилось заявление Касьянова о взломе, без технических деталей.

В 20:50 была переустановлена операционная система на сервере­"балансировщике" ISPServer в Иркутске, через который проходили все запросы к сайту. Это привело к отключению сайта и пропаже всех данных на сервере. Судя по логам панели управления, вход был совершён с IP 94.185.85.42 (Netrouting Telecom Sweden). Ранее в 20:37 был сменён пароль пользователя parnas.party. Вход мог быть совершен:­ либо с использованием пароля пользователя parnas.party, дающего полный доступ к серверу, который, судя по разговору с программистом, не изменялся с момента регистрации сервера (!). ­ либо через основную клиентскую панель ISPServer, пароль от которой , по его словам менял перед началом голосования и сообщал только программисту.

30 мая в 11:45 в партийном фейсбуке (сайт весь день не работал) появились первые технические детали, включающие выводы о том, что утечка паролей и доступ к сайту произошли через сервер­"балансировщик".

Утром 31 мая работа сайта была восстановлена.

Около 19:00 1 июня на сайте появился отчет ЦВК с техническими подробностями взлома.

Анализ, часть 1. Техническая реализация системы

Рабочая группа не смогла оценить защищенность системы управления сайта и возможные способы совершенного похищения данных: аппарат партии отказался предоставить необходимые данные (см. Исходные данные).

Защищенность механизма балансировки нагрузки оценить тоже не представляется возможным: все данные на сервере были удалены, резервное копирование не делалось.

Недостаток, который по версии, изложенной программистом, привёл к утечке базы: расшифровка данных, вводимых пользователями, на промежуточном сервере. Этот недостаток (опять же, по словам программиста) был устранён после взлома и теперь данные на "балансировщике" не расшифровываются.

Анализ, часть 2. Установка и настройка сервера в Иркутске
Этому серверу рабочей группой уделялось особое внимание: по словам программиста, именно на нём была собрана база пользователей, а потом через него же опубликована. Несмотря на то, что он особенно уязвим: находится в России, на него сперва заходят все пользователи, он был очень уязвим для атаки.

Административный пароль мог быть кроме программиста у всех людей, имевших доступ к общей почте parnasparty@gmail.com: у постановщика задач, администратора, редактора сайта, ответственного секретаря партии. По словам постановщика задачи, пароль им изменялся 10 апреля, вместе со сменой email, к которому привязан аккаунт. По словам администратора, он менял пароль перед началом голосования.

Представители ЦВК передали слова программиста от 29 мая о том, что пароль изначально пришедший на эту почту, не изменялся. Из разговора с программистом стало ясно, что он привязал ключ шифрования к изначальному паролю, и не менял его ­ значит, пароль никогда не менялся. Но это не административный пароль, а пароль пользователя partas.party с полным доступом к серверу. Он был, кроме программиста, как минимум и бывшего менеджера, который входил с ним через веб­консоль.

Надо отметить, что административный пароль тоже даёт возможность войти в панель сервера и сменить пароль пользователя partas.party, который уже даёт полный доступ.

Выявленные проблемы в безопасности этого сервера:

1. Мастер­пароль от сервера был выслан в открытом виде на партийную почту, и не был изменён. Все, у кого был доступ к этой почте, имели полный доступ к серверу, в том числе к его очистке без возможности восстановления.

2. Панель управления сервера не была защищена по входу только с определённых IP, двухфакторная авторизация была выключена. Эти опции предусмотрены панелью, но были отключены.

3. Не было настроено резервное копирование, что привело к исчезновению логов,механизма балансировки, к недоступности сайта в течение двух дней с вечера 29 мая до 31 мая.

4. На сервере не было принято никаких мер после взлома сайта 17 апреля, не были сменены пароли.

Анализ, часть 3. Организация работы

1. Несмотря на замечания сотрудников, на разработку системы не выделялось достаточных ресурсов. Один сотрудник, работающий удаленно, выполнял функции системного администратора (администрировал сервера) и программиста (разрабатывал сайты и систему голосования). Из-­за большой нагрузки, по словам членов ЦВК, программист в критические моменты был невнимателен. То, что он мало спал, по его словам, стало причиной задержки в два дня с восстановлением работы сайта после взлома.

2. Не существовало политики безопасности, не было проектирования, не велась техническая документация.

Анализ, часть 4. Обратная связь с пользователями

1. Новость была снята с публикации спустя 1,5 часа после публикации, спустя час после появления ссылки на неё в новостях.

2. Пользователи, чьи данные был скомпрометированы, не были персонально извещены об этом с помощью рассылки.

3. Первая официальная реакция с информацией о том, что произошёл взлом, а не ошибка редактора, появилась спустя 8 часов после атаки.

Технические детали взлома появились спустя 3 дня, внутри отчета ЦВК о ботах.

4. После взлома в течение двух дней с вечера 29 мая до 31 мая пользователи узнавали информацию (часто ложную) из третьих источников: сайт был полностью недоступен. Не было размещено даже технически несложное информационное сообщение в HTML­формате.

Анализ, часть 5. Версии событий

1. Kто и как создал базу с паролями?

Версия программиста: хакер проник в систему, имея доступ к серверу­-"балансировщику": либо имея пароль (у кого он мог быть получен/похищен ­ см. Часть 2), либо при содействии провайдера ­ сервер находится в России. За неопределённое время до 29 мая перехватил данные пользователей, которые расшифровывались на этом сервере из­-за недостатка в системе, который на данный момент устранён.

2. Кто и как получил доступ к сайту и выложил новость?

Версия программиста: хакер (опять через сервер­-"балансировщик") перехватил сессию редактора, которая была в тот момент авторизована, и от имени пользователя опубликовал данные, а после снятия их с публикации ­ новость о том, что данные были опубликованы по ошибке.

Версия "Неподходящие результаты": файл был опубликован аппаратом по распоряжению руководства партии, чтобы прервать праймериз, результаты которых складывались неудобным образом.

Контрдоводы:

­ У рабочей группы нет подтверждающих фактов.
Сорвать праймериз можно было без публикации личных данных пользователей, нанёсшей большой ущерб партии и её руководству.

Версия "Ошибка редактора": файл был опубликован из­-за технической ошибки редактора.

Контрдоводы:

­ У рабочей группы нет подтверждающих фактов.
­ Потребовала бы сговора практически всех участников процесса (включая ЦВК) для поддержки ложной версии.

Версия "Инсайдер": файл был опубликован агентом внутри партии, имеющим редакторский доступ.

Контрдоводы:

­ У рабочей группы нет подтверждающих фактов.
­ Опровергается логом действий в системе управления, присланным программистом.

3. Кто и как получил доступ к "балансировщику" и обнулил его?

Версия программиста: Вечером того же дня тот же или другой хакер, имеющий пароль пользователя parnas.party (см. Часть 2) зашёл на сервер и переустановил операционную систему, в результате чего все данные сервера, включая логи, оказались утрачены.

Версия "Сокрытие": Чтобы скрыть технические ошибки, приведшие к утечке и публикации личных данных, представитель Парнас, знающий пароль, или его сообщник зашёл через прокси со шведским IP в панель управления сервера­"балансировщика" и запустил переустановку системы.

Контрдоводы:

­ У рабочей группы нет подтверждающих фактов.

Выводы

1. Рабочая группа не смогла провести полноценный анализ безопасности системы из­за отказа аппарата партии предоставить тестовый доступ и исходные коды системы.

2. Из­-за халатности ответственных за безопасность системы (постановщик задачи, администратор, программист) не было принято мер по защите сервера­"балансировщика" (возможные меры ­ см. Часть 2). Благодаря несанкционированному доступу к этому серверу, по версии программиста, был
украден список паролей, злоумышленником получен доступ к редакторскому аккаунту для публикации этого списка, на два дня остановлена работа сайта.

После первого взлома 17 апреля никаких мер по защите этого сервера тоже принято не было, даже не был изменён пароль администратора.

3. Существующая политика информационной безопасности и разработки IT ­систем партии требует срочного пересмотра.

4. Обратная связь не помогла уменьшить негативный информационный фон от взлома и предотвратить массовый взлом аккаунтов пользователей на других сервисах.

Рекомендации руководству партии

Срочно принять организационные и кадровые меры по предотвращению подобных ситуаций:

1. Выработать профессиональную политику информационной безопасности. Ввести персональную ответственность с организационными мерами в случае её нарушения.

2. Принять прозрачную политику найма сотрудников. Развести должности программиста и системного администратора. Разработать механизмы замены сотрудника в случае экстренной ситуации (арест, болезнь, необходимость поспать).

3. Ввести системный подход к разработке и защите систем, с ведением технической документации и её профессиональным аудитом.

4. Выработать политику обратной связи с пользователями, назначить ответственных за её соблюдение.

5. Публично отчитаться перед пользователями и сторонниками о причинах произошедшего и о принятых мерах.

Рабочая группа:

Павел Елизаров
Стас Поздняков
Михаил Роскин
14 июня 2016 года

Комментарии ответственного секретаря, председателя ЦВК Константина Мерзликина:

"В 20:50 была переустановлена операционная система на сервере­"балансировщике" ISPServer в Иркутске, через который проходили все запросы к сайту. Это привело к отключению сайта и пропаже всех данных на сервере. Судя по логам панели управления, вход был совершён с IP 94.185.85.42 (Netrouting Telecom Sweden). Ранее в 20:37 был сменён пароль пользователя parnas.party. Вход мог быть совершен:­ либо с использованием пароля пользователя parnas.party, дающего полный доступ к серверу, который, судя по разговору с программистом, не изменялся с момента регистрации сервера (!). ­ либо через основную клиентскую панель ISPServer, пароль от которой , по его словам менял перед началом голосования и сообщал только программисту" - Речь идет об административном пароле. Программист не утверждал, что административный пароль никогда не менялся, а сказал, что не знает, менялся ли он, и что это необходимо смотреть по логам.

"30 мая в 11:45 в партийном фейсбуке (сайт весь день не работал) появились первые технические детали, включающие выводы о том, что утечка паролей и доступ к сайту произошли через сервер­"балансировщик" - 30 мая выполнялись работы по восстановлению балансировщика и переорганизации инфраструктуры. Также были приняты меры по безопасности, исключающие подобные действия в дальнейшем.

"Рабочая группа не смогла оценить защищенность системы управления сайта и возможные способы совершенного похищения данных: аппарат партии отказался предоставить необходимые данные (см. Исходные данные)." - Комиссии были переданы все необходимые для их работы доступы и логи, дающие полное представление о внешнем трафике системы. Открытие исходных кодов системы управления не представлялось возможным, потому что у рабочей группы нет юридических механизмов гарантирования конфиденциальности.

"Недостаток, который по версии, изложенной программистом, привёл к утечке базы: расшифровка данных, вводимых пользователями, на промежуточном сервере. Этот недостаток (опять же, по словам программиста) был устранён после взлома и теперь данные на "балансировщике" не расшифровываются." - Неверная формулировка. Была не утечка базы, а утечка данных, которые направлялись через балансировщик для проверки и последующей записи в базу. Это разные вещи.

"Этому серверу рабочей группой уделялось особое внимание: по словам программиста, именно на нём была собрана база пользователей, а потом через него же опубликована. Несмотря на то, что он особенно уязвим: находится в России, на него сперва заходят все пользователи, он был очень уязвим для атаки." - Еще раз обращаем внимание, что данные не собирались на балансировщике, а лишь переправлялись через него. Никакие данные на балансировщике не хранились совсем.

"Надо отметить, что административный пароль тоже даёт возможность войти в панель сервера и сменить пароль пользователя partas.party, который уже даёт полный доступ." - Налицо путаница в определениях паролей и вообще в понимании ситуации с ними. В любом случае, некорректно утверждение о паролях, якобы приходящих в открытом формате на почту. Пароли создаются и меняются вручную в контрольной панели. 

"1. Мастер­пароль от сервера был выслан в открытом виде на партийную почту, и не был изменён. Все, у кого был доступ к этой почте, имели полный доступ к серверу, в том числе к его очистке без возможности восстановления." - См. пред. комментарий

"4. На сервере не было принято никаких мер после взлома сайта 17 апреля, не были сменены пароли." - Были изменены пароли в админку.

"1. Несмотря на замечания сотрудников, на разработку системы не выделялось достаточных ресурсов. Один сотрудник, работающий удаленно, выполнял функции системного администратора (администрировал сервера) и программиста (разрабатывал сайты и систему голосования). Из-­за большой нагрузки, по словам членов ЦВК, программист в критические моменты был невнимателен. То, что он мало спал, по его словам, стало причиной задержки в два дня с восстановлением работы сайта после взлома." - Из ответа нашего программиста этого не следует. Он действительно мало спал, но никаких задержек не было. Сервер был включен в работу, как только были приняты все меры (см выше). Даже если бы в разработке и администрировании принимало участие несколько человек, это бы не сильно ускорило процесс запуска. Ответственный человек все равно один и он должен убедиться, что все сделано как надо.

"2. Не существовало политики безопасности, не было проектирования, не велась техническая документация." - Утечка данных любым способом (через инсайдеров, провайдеров и тп) – это самое уязвимое место в любой политике безопасности.

"2. Пользователи, чьи данные был скомпрометированы, не были персонально извещены об этом с помощью рассылки." - Рассылка была сделана. А пароли всем пользователям были сброшены сразу же. Это было первое действие.

"Версия программиста: хакер проник в систему, имея доступ к серверу­-"балансировщику": либо имея пароль (у кого он мог быть получен/похищен ­ см. Часть 2), либо при содействии провайдера ­ сервер находится в России. За неопределённое время до 29 мая перехватил данные пользователей, которые расшифровывались на этом сервере из­-за недостатка в системе, который на данный момент устранён." - Верно, это версия нашего программиста, которая основывается на анализе опубликованных данных, в которых есть:
1) Пароли в открытом виде (которые не хранятся нигде, и их можно только перехватить)
2) Попытки ввода паролей - вообще нигде не хранятся
3) Персональные данные только части пользователей, которые регистрировались с момента получения доступа злоумышленников к балансировщику.

"Версия программиста: хакер (опять через сервер­-"балансировщик") перехватил сессию редактора, которая была в тот момент авторизована, и от имени пользователя опубликовал данные, а после снятия их с публикации ­ новость о том, что данные были опубликованы по ошибке." - Верно, это доказано с помощью логов заходов и действий в админке.

Версия "Ошибка редактора": файл был опубликован из­-за технической ошибки редактора. - Кроме того, как говорилось выше, формат выложенных в открытый доступ данных говорит об их перехвате, а не о публикации информации изнутри системы. Об этом же говорится в заключении ЦВК.

"Версия программиста: Вечером того же дня тот же или другой хакер, имеющий пароль пользователя parnas.party (см. Часть 2) зашёл на сервер и переустановил операционную систему, в результате чего все данные сервера, включая логи, оказались утрачены." - Верно, доказано через логи заходов на балансировщик (хранятся у провайдера)

"1. Рабочая группа не смогла провести полноценный анализ безопасности системы из-­за отказа аппарата партии предоставить тестовый доступ и исходные коды системы." - Все необходимые материалы были предоставлены. Исходные коды системы не предоставлены из-за того, что рабочая группа не имеет юридических механизмов гарантирования конфиденциальности.

"2. Из­-за халатности ответственных за безопасность системы (постановщик задачи, администратор, программист) не было принято мер по защите сервера­"балансировщика" (возможные меры ­ см. Часть 2). Благодаря несанкционированному доступу к этому серверу, по версии программиста, был украден список паролей, злоумышленником получен доступ к редакторскому аккаунту для публикации этого списка, на два дня остановлена работа сайта." - Неверно: утечка пароля могла быть через провайдера, а этот вариант вовсе не рассматривается рабочей группой. Вообще нет доказательств, что была именно утечка изнутри.

"После первого взлома 17 апреля никаких мер по защите этого сервера тоже принято не было, даже не был изменён пароль администратора." - Меры были приняты. На тот момент было очевидно, что у злоумышленников есть пароль только к админке. Были отключены все аккаунты и сделано логирование всех действий пользователей, имеющих доступ к админке. В дальнейшем аккаунты включались по одному, изменяя пароль и проверяя права доступа.

Выводы, которая сделала комиссия, были сделаны программистом в первые часы после взлома. Фактически, это пересказ его предположений от своего лица.

Меры, предложенные комиссией, а также дополнительные, были предприняты сразу же после случившегося.



 


читайте также
11 членов ПАРНАС стали членами УИКов в Чувашии
ЧУВАШИЯ, 19.06.2018

11 представителей ПАРНАС в Чувашии назначены членами участковых избирательных комиссий с правом решающего голоса. Соответствующее решение приняла Московская районная избирательная комиссия Чебоксар.

Комплекс мер по реализации Политики исторической памяти
Федеральное, 09.06.2018

Открытие архивов ВЧК-КГБ, изменение топонимики, запрет пропаганды коммунистического режима, забота о захоронениях, сохранение культурного наследия. ПАРНАС публикует программные установки по реализации политики исторической памяти

Ощущение безнадежности рождает желание перемен. Заявление политсовета ПАРНАС о ситуации в стране
Федеральное, 06.06.2018

Партия народной свободы (ПАРНАС) продолжит защищать верховенство права и попираемые нынешним режимом основыконституционного строя Российской Федерации: свободные выборы, независимые парламент и суд, частную собственность, идеологическое многообразие, самостоятельное местное самоуправление.

Активисты ПАРНАС в Кирове вновь поддержали голодающего Олега Сенцов
Кировская область, 03.06.2018

Пикеты прошли у зданий областной администрации и мэрии и были приурочены к международной акции в защиту политзаключенного Сенцова — #SaveOlegSentsov.

От чекистов до депутатов. ПАРНАС подготовила принципы люстрации
Федеральное, 02.06.2018

В партии предлагают запретить гражданам, работающим или работавшим в определенных структурах СССР и России занимать государственные гражданские должности. Политика люстрации обезопасит будущий демократический порядок в России от повторений прошлого.

ПАРНАС не будет выдвигать кандидата на выборах мэра Москвы
Федеральное, 02.06.2018

Такое решение принял Федеральный политсовет партии на заседании 2 июня. Вместо единой платформы и единого кандидата на предстоящие выборы собираются идти 3-4 кандидата от демократических сил. В партии считают такую ситуацию неприемлемой.

Андрей Зубов встретился с волонтерами штаба ПАРНАС в Ярославле
ЯРОСЛАВСКАЯ ОБЛАСТЬ, 30.05.2018

Зампредседателя ПАРНАС Андрей Зубов выступил на радио "Эхо-Москвы-Ярославль" и прочел лекцию о самоуправлении и Ярославском восстании 1918 года волонтерам ярославского штаба партии.

Cуд оштрафовал главу ПАРНАС в Астрахани за организацию митинга
АСТРАХАНСКАЯ ОБЛАСТЬ, 24.05.2018

Суд постановил, что Долиев виновен по ст. 20.2 ч.1 КоАП (нарушение правил организации или проведения публичного мероприятия) и присудил ему штраф в размере 10 тысяч рублей.

Активисты ПАРНАС в Кирове провели пикет в поддержку Олега Сенцова
Кировская область, 24.05.2018

Ранее Первомайский районный суд Кирова признал виновным главу кировского ПАРНАС Вадима Ананьина в нарушении ст. 20.33 КоАП за участие в нежелательной иностранной организации и приговорил его к штрафу 20 тыс. руб.

В Екатеринбурге утвержден вопрос для референдума о возвращении выборов мэра
СВЕРДЛОВСКАЯ ОБЛАСТЬ, 17.05.2018

Уполномоченным инициативной группы стал глава свердловского отделения ПАРНАС Михаил Борисов. В ее состав вошел также член федерального политсовета партии Максим Верников. Юридическую поддержку осуществляет член политсовета ПАРНАС Сергей Михайлов.

Активисты ПАРНАС провели серию праздников для детей в Ярославле
ЯРОСЛАВСКАЯ ОБЛАСТЬ, 17.05.2018

Депутаты и активисты ПАРНАС организовали восемь детских праздников для жителей трёх районов Ярославля: Брагино, Заволжья и Фрунзенского.

Михаил Касьянов посетил Ярославль
ЯРОСЛАВСКАЯ ОБЛАСТЬ, 16.05.2018

Лидер ПАРНАС выступил на радио "Эхо-Москвы-Ярославль", посетил областную Думу, где работают двое депутатов ПАРНАС Сергей Балабаев и Василий Цепенда. Также Касьянов открыл офис ПАРНАС в Яросалвле и встретился с активистами штаба партии.

ПАРНАС начала сбор подписей за запрет транзита мусора между регионами
ЯРОСЛАВСКАЯ ОБЛАСТЬ, 16.05.2018

На кубах собираются подписи за принятие закона, запрещающего транзит мусора между регионами. За два дня работы удалось собрать более 500 подписей.

ПАРНАС провела акции "За свободный интернет" в Астрахани, Кирове и Перми
Федеральное, 13.05.2018

Организаторами стали региональные отделения Партии народной свободы (ПАРНАС) при участии других политических сил и общественников. Пикеты и митинги прошли в Астрахани, Кирове и Перми.

В Москве прошёл митинг «За свободный интернет»
Федеральное, 13.05.2018

Участники митинга выступили за отмену «Пакета Яровой», расформирование Роскомнадзора, против государственной цезуры и за свободный интернет. В акции приняли участие около трёх тысяч человек.

Депутаты ПАРНАС в Ярославле предложили запретить транзит мусора между регионами 
ЯРОСЛАВСКАЯ ОБЛАСТЬ, 07.05.2018

Проект Федерального Закона предусматривает запрет на перемещение мусора между регионами с целью захоронения.

Мэрия согласовала марш и митинг «За свободный интернет»
Федеральное, 04.05.2018

В мэрии предложили организаторам маршрут шествия от ул. Маши Порываевой до пр-та Сахарова, где пройдет митинг . Оргкомитет акции согласился с этим предложением. Акция состоится 13 мая. Сбор участников с 13 до 14 часов. Начало движения демонстрантов в 14:00. Заявленное число участников — 5 тысяч человек.

Демократические активисты Астрахни провели два собрания
АСТРАХАНСКАЯ ОБЛАСТЬ, 28.04.2018

28 апреля в Астрахани прошел круглый стол «Российский миф об экстремизме», а после него состоялось общее собрание активистов ПАРНАС и сторонников Алексея Навального.

Ответ Партии народной свободы (ПАРНАС) на призыв общественных деятелей о выборах мэра города Москвы
Федеральное, 24.04.2018

Мы убеждены в том, что демократический избиратель должен иметь не просто одного (единственного) кандидата, а действительно единого, коалиционного кандидата, на которого во время избирательной кампании будут дружно работать все участники Коалиции.

Заявление ПАРНАС в связи с событиями в Армении
Федеральное, 23.04.2018

Партия народной свободы (ПАРНАС) считает крайне важным, что народ Армении добился первой грандиозной победы в борьбе за свою свободу. Но теперь на плечи демократической оппозиции ложится тяжелая ноша ответственности за будущее Армении. Народные волнения скоро затихнут. Наступает время для серьезных политических шагов по преобразованию страны.