Доказательства, что сайт samara.kg содержался на сервере ГРС
kaktus.media

Найдены еще доказательства, что samara.kg содержался на сервере ГРС

4523  6

тема: Самара-гейт

Журналисты Kloop.kg нашли еще больше доказательств того, что частный сайт "Самара" содержался на сервере Государственной регистрационной службы Кыргызстана (ГРС). Вполне вероятно, "Самару" создали для влияния на президентские выборы 2017 года, а новые данные подтверждают, что ГРС была причастна к ее работе.

Напомним, Kloop.kg 26 октября опубликовал расследование, в котором приводил факты о том, что целый месяц на одном из правительственных серверов Кыргызстана содержался негосударственный сайт samara.kg, собиравший информацию о личных данных избирателей.

На сайте находилась информация об избирательных участках, Ф. И. О., ИНН и номерах паспортов кыргызстанцев. Доступ к стороннему сайту на правительственном сервере мог серьезно облегчить ход предвыборной кампании на прошедших выборах, а также ставил под угрозу безопасность личных данных граждан Кыргызстана.

После публикации расследования ГРС потребовала выпустить опровержение, заявив, что по итогам проведенной проверки "никакой частный сайт не содержался на государственных серверах" и "специалисты не нашли следов внешнего воздействия на работу веб-сервера" ГРС.

В свою очередь авторы расследования заявили, что изначально они и не писали об атаке на сервера ГРС и своим ответом ГРС подтвердила возможность того, что работа "Самары" могла быть обеспечена их собственными сотрудниками. Авторы призвали ГКНБ, МВД и Генпрокуратуру провести собственное расследование в отношении ГРС.

15 декабря сооснователя сайта Kloop.kg и одного из авторов журналистского расследования по "Самара-гейту" Рината Тухватшина вызвали на допрос в Государственный комитет национальной безопасности.

"Самара-гейт", эпизод 2

Редакция Kloop.kg отмечает, что вторая часть расследования будет поделена на несколько выпусков (если точнее, то на 5 блоков) и будет выходить с разницей в несколько дней:

"Самара-гейт", эпизод 2. Как создателям "Самары" не удалось замести все следы.

  • Глава I. Следы, оставленные в спешке.
  • Глава II. Одинаковый код на "Самаре" и госсайтах (дата выхода: 23 декабря).
  • Глава III. Новые скриншоты, новые показания (дата выхода: 26 декабря).
  • Глава IV. Легенда интернета поддержал доводы Qurium (дата выхода: 27 декабря).
  • Глава V. Почему за "Самару" не может быть ответственен один человек (дата выхода: 28 декабря).

Глава I. Следы, оставленные в спешке

Сервера ГРС содержат десятки сайтов. Многие из них соединяются с защищенными базами данных с персональными сведениями граждан Кыргызстана.

Со слов председателя ГРС Дастана Догоева, это сложнейшая система безопасности, в которой никто не имеет прямого доступа к базе.

"Ни одна наша система, ни один публичный ресурс напрямую доступа к базе не имеет и не может иметь с точки зрения безопасности", - говорит Догоев.

Значит, чтобы настроить сайт на правительственном сервере, надо пройти как минимум три этапа: настроить сам сервер, а также базы данных и систему защиты от неавторизованного доступа (файрвол).

Настройка сайта на нескольких этапах означает и обратное - при его удалении из всей системы надо избавиться от цифровых следов и вернуть все настройки в первоначальное положение.

Но это не всегда может пройти гладко. Например, можно удалить сайт с сервера, но забыть перенастроить систему защиты. В этом случае сайт будет недоступен обычным пользователям, но система защиты будет выдавать специфическую ошибку, если запросить доступ к удаленному сайту.

Похоже, именно это и случилось, когда "Самару" удаляли с сервера ГРС - те, кто это делал, не стерли все свои следы. Насколько это возможно, они удалили данные о домене samara.kg, но забыли про настройки системы безопасности под резервный домен mls.kg.

Исследователи из Qurium обнаружили, что на протяжении трех дней - с 15 по 17 октября - сервер ГРС через 60 секунд после запроса к домену mls.kg выдавал ошибку 504.

Это значит, что система безопасности по-прежнему была настроена под домен mls.kg - система принимала запрос и пыталась найти этот сайт, не находила его и отвечала ошибкой 504.

Запрос других доменов, на которые сервер не был настроен (например, google.com), возвращал ошибку 301, причем без интервала в 60 секунд.

Сервер ГРС стал выдавать ошибку 301 при запросе домена mls.kg только после 18 октября - это говорит о том, что кто-то изменил настройки сервера относительно домена mls.kg.

Начальник информационных систем "Инфокома" Эрик Табалдиев уверяет, что настройки сервера относительно доменов никто не менял.

"У нас каждое действие сотрудника - кто заходил с какого аккаунта - все логируется, даже то, что сотрудник вносит какие-то изменения в какие-то конфигурационные файлы. Мы посмотрели, в этих числах сотрудники вообще не авторизовывались", - говорит он.

Табалдиев не уточнил, чем целый день занимались сотрудники, которые ни разу не авторизовывались в рабочий день - изменение номера ошибки произошло в среду.

Объяснение для специалистов (если вы не знаток, то можете пропустить)

Технология защиты серверов ГРС относится к категории Reverse Proxy. При обращении к сайту в системе правительственных серверов запрос проходит через специальный файрвол. Он перенаправляет запрос на веб-сервер и после получения ответа перенаправляет этот ответ пользователю от своего имени.

Чтобы сайт работал в системе ГРС, надо настроить веб-сервер, сервер баз данных и Reverse Proxy. Чтобы удалить сайт без следов, надо стереть настройки на всех этапах, и похоже, что кто-то в ГРС забыл вернуть настройки Reverse Proxy в изначальное положение.

Читайте в следующей главе, которая выйдет 23 декабря, о том, что "Самара" и несколько государственных сайтов имеют одинаковый код, написанный в приложении, которое обычно использует госпредприятие "Инфоком" при ГРС.

Есть тема? Пишите Kaktus.media на: +996 (700) 62 07 60 (Бишкек) , +996 (558) 77 88 11 (Ош)
URL: https://kaktus.media/367840Копировать ссылку
Комментарии
дефолтная аватарка юзера
21.12.2017, 22:08
Карма: +10
Сумма оценок комментариев
Плюсов: 30
Минусов: 20
Комментариев: 21

А кто это сделал? Как в НАШЕЙ РАШЕ.

0
Цитировать
Жалоба модератору
дефолтная аватарка юзера
Бек
21.12.2017, 22:56

У гкнбшников полномочий больше, а у ребят с клоопа таланта и мозгов больше??? Надо таких ребят на работу брать а не по блату как весь ГКНБ устроился

0
Цитировать
Жалоба модератору
дефолтная аватарка юзера
123
21.12.2017, 23:00

Reverse Proxy к защите малое отношение имеет. Это, прежде всего, балансировка нагрузки, кеширование. Ну, может, HTTP заголовки какие особые в одном месте добавляет, чтобы 2 раза со стула не вставать.

0
Цитировать
Жалоба модератору
дефолтная аватарка юзера
Kg
22.12.2017, 00:40

Сплошь нарушения закона и кибер криминал, кто бы сомневался! кыргызбайский менталитет, образ жизни!))

0
Цитировать
Жалоба модератору
дефолтная аватарка юзера
Шурик
22.12.2017, 02:51

Ну полная жопа наступает.Красава клооп.Давайте ребята мочите этих ублюдков.Мошенники хреновы.Нах такие выборы.Отменить результаты.Всех в отставку.

0
Цитировать
Жалоба модератору
дефолтная аватарка юзера
От
23.12.2017, 01:41

А вы че думали что итоги выборов реально такими были?

0
Цитировать
Жалоба модератору
дефолтная аватарка юзера
Комментарии от пользователей появляются на сайте только после проверки модератором.
Правила комментирования
На нашем сайте:
  • нельзя нецензурно выражаться
  • нельзя публиковать оскорбления в чей-либо адрес, в том числе комментаторов
  • нельзя угрожать явно или неявно любому лицу, в том числе "встретиться, чтобы поговорить"
  • нельзя публиковать компромат без готовности предоставить доказательства или свидетельские показания
  • нельзя публиковать комментарии, противоречащие законодательству КР
  • нельзя публиковать комментарии в транслите
  • нельзя выделять комментарии заглавным шрифтом
  • нельзя публиковать оскорбительные комментарии, связанные с национальной принадлежностью, вероисповеданием
  • нельзя писать под одной новостью комментарии под разными никами
  • запрещается использовать в качестве ников слова "Кактус", "kaktus", "kaktus.media" и другие словосочетания, указывающие на то, что комментатор высказывается от имени интернет-издания
  • нельзя размещать комментарии, не связанные по смыслу с темой материала
  • нельзя использовать в качестве ника чужое реальное имя и/или фамилию
  • нельзя указывать ссылки и гиперссылки на посторонние сайты
  • Комментарии (в том числе ники) могут быть только на одном из трех языков: государственном (кыргызском), официальном (русском) или языке международного общения (английском). Допускается использование указанных языков в одном комментарии одновременно.
НАВЕРХ  
НАЗАД