Абоненты МГТС GPON под угрозой взлома, новые сети – новые проблемы
Цитаты из данной статьи и комментариев:
«В столице нашей необъятной Родины идет беспрецедентный по масштабу проект внедрения технологии Gpon от компании МГТС под эгидой борьбы против медных проводов и за доступную интернетизацию населения. Число абонентов МГТС по городу Москва превышает 3.5 миллиона человек, предполагается, что охвачены будут все. Идея замечательная – оптика в каждую квартиру, высокоскоростной интернет, бесплатное подключение и Wi-Fi роутер в подарок (правда официально без права его перенастройки, но об этом далее). Реализация же такого масштабного проекта (подобное устройство ставится в каждую квартиру, где есть хотя бы городской телефон от МГТС) как обычно не обошлась без дыр в планировании, которые могут дорого обойтись конечному пользователю. Наша компания заинтересовалась вопросами информационной безопасности клиентов столь масштабного проекта и провела экспресс-исследование, результаты которого мы и предлагаем общественности для информирования о существующих угрозах и мерах борьбы с ними в домашних условиях.»
«Какие выводы можно сделать из всего вышесказанного? Самые неутешительные – масштабнейший проект внедрения GPON(повторюсь – речь идет о 3.5 миллионах абонентов!) обошелся без консультаций со специалистами по информационной безопасности, либо эти консультации были полностью проигнорированы в ходе самого внедрения. Пароли-телефоны, не отключаемый WPS с единым ключом, незащищенная SIP-телефония, извлекаемые из WEB-интерфейса пароли — есть результат слабой организационной составляющей и полного игнорирования элементарных норм информационной безопасности. Уверен, МГТС далеко не уникальны в подобных просчетах, многие более мелкие операторы сетевых услуг попадают в такие же ситуации в области защиты данных своих абонентов, но масштаб проблемы на этот раз превосходит все мыслимые границы.»
«Мы, как добропорядочные исследователи безопасности, заинтересованы в скорейшем решении озвученных выше проблем. К сожалению наше беспокойство не нашло отклик в сердцах сотрудников пресс-службы ОАО МГТС, на которых мы пытались выйти, используя все имеющиеся каналы. Отзыв получили лишь один — через Facebook, сотрудник пресс-лужбы заверил нас, что мы можем с чистой совестью опубликовать имеющийся материал, а они потом отвечая на вопросы прессы заверят всех в том, что абоненты в безопасности, а данные их — конфиденциальны.»
«Суть статьи не в описании самих уязвимостей, а в указании на стратегические просчеты при столь крупном внедрении. Именно тот факт, что все эти техники взлома были известны уже довольно долгое время и тем не менее актуальны для новейшего и грандиозного по масштабу проекта — вызывает больше всего удивления. Ведь миллионы пользователей поставлены под угрозу исключительно из-за проблем организационного характера, из-за того, что аспект безопасности на уровне пользователей был полностью проигнорирован. Ну и конечно же основная мотивация в ее написании — желание донести информацию об угрозах до максимально возможного числа людей. К сожалению сам оператор от комментариев уклонился, дав отписку о способности убедить общественность в безопасности своего решения. Нам очень хочется посмотреть на аргументацию подобного заявления в свете выявленных проблем.»
«Провайдер должен оказывать качественные услуги, выбранная парольная политика — пример оказания некачественных услуг. По вашей логике можно вообще абонентам всем открытые сети выставить — кому надо пусть сами закрывают. То, что большинство абонентов не знает, что такое «информационная безопасность» не освобождает провайдера от своей части работы. Клиенту должно быть передано в работу безопасное решение.»
Комментариев нет:
Отправить комментарий
Ваш комментарий откроется после проверки и подтверждения.
Благодарю за понимание необходимости проверки!