Найдены еще доказательства, что samara.kg содержался на сервере ГРС
Журналисты Kloop.kg нашли еще больше доказательств того, что частный сайт "Самара" содержался на сервере Государственной регистрационной службы Кыргызстана (ГРС). Вполне вероятно, "Самару" создали для влияния на президентские выборы 2017 года, а новые данные подтверждают, что ГРС была причастна к ее работе.
Напомним, Kloop.kg 26 октября опубликовал расследование, в котором приводил факты о том, что целый месяц на одном из правительственных серверов Кыргызстана содержался негосударственный сайт samara.kg, собиравший информацию о личных данных избирателей.
После публикации расследования ГРС потребовала выпустить опровержение, заявив, что по итогам проведенной проверки "никакой частный сайт не содержался на государственных серверах" и "специалисты не нашли следов внешнего воздействия на работу веб-сервера" ГРС.
В свою очередь авторы расследования заявили, что изначально они и не писали об атаке на сервера ГРС и своим ответом ГРС подтвердила возможность того, что работа "Самары" могла быть обеспечена их собственными сотрудниками. Авторы призвали ГКНБ, МВД и Генпрокуратуру провести собственное расследование в отношении ГРС.
15 декабря сооснователя сайта Kloop.kg и одного из авторов журналистского расследования по "Самара-гейту" Рината Тухватшина вызвали на допрос в Государственный комитет национальной безопасности.
"Самара-гейт", эпизод 2
Редакция Kloop.kg отмечает, что вторая часть расследования будет поделена на несколько выпусков (если точнее, то на 5 блоков) и будет выходить с разницей в несколько дней:
"Самара-гейт", эпизод 2. Как создателям "Самары" не удалось замести все следы.
- Глава I. Следы, оставленные в спешке.
- Глава II. Одинаковый код на "Самаре" и госсайтах (дата выхода: 23 декабря).
- Глава III. Новые скриншоты, новые показания (дата выхода: 26 декабря).
- Глава IV. Легенда интернета поддержал доводы Qurium (дата выхода: 27 декабря).
- Глава V. Почему за "Самару" не может быть ответственен один человек (дата выхода: 28 декабря).
Глава I. Следы, оставленные в спешке
Сервера ГРС содержат десятки сайтов. Многие из них соединяются с защищенными базами данных с персональными сведениями граждан Кыргызстана.
Со слов председателя ГРС Дастана Догоева, это сложнейшая система безопасности, в которой никто не имеет прямого доступа к базе.
"Ни одна наша система, ни один публичный ресурс напрямую доступа к базе не имеет и не может иметь с точки зрения безопасности", - говорит Догоев.
Значит, чтобы настроить сайт на правительственном сервере, надо пройти как минимум три этапа: настроить сам сервер, а также базы данных и систему защиты от неавторизованного доступа (файрвол).
Настройка сайта на нескольких этапах означает и обратное - при его удалении из всей системы надо избавиться от цифровых следов и вернуть все настройки в первоначальное положение.
Но это не всегда может пройти гладко. Например, можно удалить сайт с сервера, но забыть перенастроить систему защиты. В этом случае сайт будет недоступен обычным пользователям, но система защиты будет выдавать специфическую ошибку, если запросить доступ к удаленному сайту.
Похоже, именно это и случилось, когда "Самару" удаляли с сервера ГРС - те, кто это делал, не стерли все свои следы. Насколько это возможно, они удалили данные о домене samara.kg, но забыли про настройки системы безопасности под резервный домен mls.kg.
Исследователи из Qurium обнаружили, что на протяжении трех дней - с 15 по 17 октября - сервер ГРС через 60 секунд после запроса к домену mls.kg выдавал ошибку 504.
Это значит, что система безопасности по-прежнему была настроена под домен mls.kg - система принимала запрос и пыталась найти этот сайт, не находила его и отвечала ошибкой 504.
Запрос других доменов, на которые сервер не был настроен (например, google.com), возвращал ошибку 301, причем без интервала в 60 секунд.
Сервер ГРС стал выдавать ошибку 301 при запросе домена mls.kg только после 18 октября - это говорит о том, что кто-то изменил настройки сервера относительно домена mls.kg.
Начальник информационных систем "Инфокома" Эрик Табалдиев уверяет, что настройки сервера относительно доменов никто не менял.
"У нас каждое действие сотрудника - кто заходил с какого аккаунта - все логируется, даже то, что сотрудник вносит какие-то изменения в какие-то конфигурационные файлы. Мы посмотрели, в этих числах сотрудники вообще не авторизовывались", - говорит он.
Табалдиев не уточнил, чем целый день занимались сотрудники, которые ни разу не авторизовывались в рабочий день - изменение номера ошибки произошло в среду.
Объяснение для специалистов (если вы не знаток, то можете пропустить)
Технология защиты серверов ГРС относится к категории Reverse Proxy. При обращении к сайту в системе правительственных серверов запрос проходит через специальный файрвол. Он перенаправляет запрос на веб-сервер и после получения ответа перенаправляет этот ответ пользователю от своего имени.
Чтобы сайт работал в системе ГРС, надо настроить веб-сервер, сервер баз данных и Reverse Proxy. Чтобы удалить сайт без следов, надо стереть настройки на всех этапах, и похоже, что кто-то в ГРС забыл вернуть настройки Reverse Proxy в изначальное положение.
Читайте в следующей главе, которая выйдет 23 декабря, о том, что "Самара" и несколько государственных сайтов имеют одинаковый код, написанный в приложении, которое обычно использует госпредприятие "Инфоком" при ГРС.
