Oceń wpis  oddane głosy: 11 / 0

Hejo! ;-) Na prośbę moich czytelników postanowiłem kontynuować pisanie w języku ojczystym. Deklaracji częstszego pisania niestety nie będzie bo jak dotąd - od momentu zarejestrowania się tutaj w 2006 roku - średnio udawało mi się dotrzymywać słowa :-)

 

Nie sposób przemilczeć powołania przez Szefa MAC, Michała Boniego - "Zespołu zadaniowego ds. ochrony portali rządowych" :-) Będę ironizował kontekst niniejszego wpisu gdyż treść dokumentu mnie po prostu w niektórych fragmentach śmieszy :-) Od ok. 10 lat staram się uzmysłowić polityce w sieci, prasie i mediach, że znaczna większość portali rządowych oraz serwerów w domenie .gov.pl pisząc ładnie - pozostawia wiele do życzenia. Zawsze starałem się postępować ideologicznie w kontekście bezpieczeństwa IT, być zgodnym z zasadami i etyką; stąd też może pokazywałem tą problematykę zbyt łagodnie. Cieszy mnie zatem fakt obrotu ostatnich wydarzeń, wynikających z wpadki Rządu z ACTA, gdyż dzięki temu zainicjowano kolejne kroki mające na celu poprawienie infrastruktury informatycznej w Polsce. Niestety na podstawie doświadczenia z wcześniejszych spektakularnych inicjatyw cybernetycznych RP, a także z treści aktualnych, śmiem powątpiewać w efektywność kolejnych...

 

No nic, wracając do wytycznych MAC'u.

 

 

Czemu ten trendy ostatnio, dwustronnicowy dokument mi się nie podoba? Bo już zanim doszedłem do punktów z wytycznymi zdążyłem się zdenerwować :-)

 

Quote 1:

 

Quote 2:

 

Quote 3:

 

Pierwsze zdanie to stylistyczna perełka... :-) Pewnie była burza mózgów! Wynika bowiem z niej, że jednym z wyciągniętych wniosków jest "brak możliwości zapewnienia monitorowania". Zdanie to zatem świadczy o tym, że nie mogą monitorować ruchu... a mogą. Myślę, że wywalenie słowa "możliwości" ułatwiło by sprawę :-) Zrozumiano kwestię przydatności CERT o czym świadczyć może drugie zdanie. Trzeba się było słuchać ABW... Trzecie zdanie zdenerwowało mnie chyba najbardziej. Od lat zwracam na to uwagę... Przypomina mi się dialog z Koterskim z Dnia Świra, "... i wszystko to jak krew w piach" ;-) SERWERY STRON, POCZTY, PLIKÓW, SERWISY, ITD. MUSZĄ ZNAJDOWAĆ SIĘ W INFRASTRUKTURZE INFORMATYCZNEJ DANEJ PLACÓWKI PAŃSTWOWEJ.

 

Czemu wciąż bezmyślnie praktykuje się outsourcowanie spraw Państwa? Dlaczego dopuszcza się do sytuacji, w której można czytać sobie pocztę rządową? Finalnie - Czemu po dziesiątkach wpadek firm hostingowych w dalszym ciągu nikt nie myśli? Nie rozumiem. Nie ma pieniędzy? To nie będzie strony instytucji i poczty. Proste. Niech Rząd się martwi. A autorzy wytycznych, mają oczywiście swoją wizję :-)

Czyli znowu, zamiast pomyśleć i zrealizować infrastrukturę IT dla .gov.pl w sposób bezpieczny i profesjonalny, wymyśla się kolejne d***chrony w postaci możliwości zrzucenia odpowiedzialności na firmy hostingowe. Ręcę opadają... :-)

 

 

Brzmi bardzo elitarnie :-) a co tak na prawdę kryje się za tym "super" pomysłem? Chcecie wyfiltrować ruch z RBLi, DNSBLi i ogólnodostępnych list TOR node'ów, serwerów, etc? :-) Czy może "system eliminacji ruchu" htaccessem, na którym "wymusza się aktualizację" z list? A może będziecie skanować każdy odwiedzający stronę IP? Wimia? ;-) Wydajnie, powodzenia. Dla mnie ten pomysł jest chybiony bo i tak jeśli ktoś będzie się chciał wejść z innego adresu IP na stronkę, zrobi to bez problemu... i żadna baza wiedzy, wykrywanie proxy Wam nie pomoże. Mam nadzieję, że pomysł zdejmowania proxy nie wynika też przy okazji z chęci efektywniejszego radzenia sobie z DDoS :-) Bo skutek będzie odwrotny.

 

 

Taaak, wytnijcie cały ruch ICMP, super pomysł :-)

 

 

Hmm... Ten punkt by mi się z pewnością spodobał... gdybym widział w nim sens pokazywania strony statycznej :-) Punkt wskazuje na kwestię obciążenia łącza - zakładam zatem, iż chodzi o DDoS. Jaki jest sens pokazywania strony z informacją o przerwie technicznej? Skoro nastąpił udany atak, serwer nie odpowiada, po co przełączać na stronę z informacją o przerwie technicznej? Przecież ją też można "zdjąć". Chodzi tylko o poinformowanie internautów, że nie poradziliśmy sobie z atakiem? Może lepiej pomyśleć o zaimplementowaniu takich rozwiązań, urządzeń, parametrów i konfiguracji aby utrzymać redundantnie stronę dynamiczną? :-)

 

Pkt z kontrolą modyfikacji treści strony mi się nawet spodobał. Choć zrealizowanie tego byłoby rzeźbą, w zależności od złożoności portalu i sposobu wykonania. Z pewnością minusem będzie spora dawka false / positives dla serwisów, które często się zmieniają i aktualizują. Od strony serwera można by mielić np. zwykłym, oskryptowanym dodatkowo Tripwire i triggerować zmiany do weryfikacji. Ja bym tutaj jednak skupił się na bezpieczeństwie bazy danych portalu - gdyż częściej "zmiana treści strony" bowiem wynika właśnie z możliwości pisania do niej... :-) Z drugiej strony - jeśli już ktoś nieautoryzowany zmieni treść strony WWW, to i tak jest finał, różnica tylko w prędkości wyłączenia do analizy powłamaniowej :-)

 

Punkt z zamknięciem web-accessów do poczty z sieci Internet mi się spodobał. Róbcie VPN i pozamiatane. Polityka haseł, brawo! :-) admin1 be. Generalnie to pomimo ironicznego podejścia do tego dokumentu cieszę się jednak, że coś się ruszyło w kwestii govek. A Wy jesteście zadowoleni z wytycznych? :-)

 

"Rząd jest analogowy, a społeczeństwo już cyfrowe" -- Michał Boni