Web ministerstva podlehl Google hackingu

O Google hackingu se píše již dlouhá léta, byla dokonce napsána i kniha, kterou si můžete koupit i v českém překladu. Jaké je ale překvapení, když vám při běžném vyhledávání vychytralý vyhledávač vrátí i odkazy na dokumenty na ministerském webu s doložkou "Tajné" nebo "Důvěrné".

Existují nesčetné postupy, jak se někam na síti nabourat, jak něco někde někomu smazat, nebo jak alespoň trošku někomu uškodit. Pomocí Google si jistě budete vědět rady, jak to udělat. A pokud jste vysloveně líní, mohli jste si již před více než dvěma lety přečíst v článku Milana Kryla Hackujeme vyhledávačem, jak použít takzvaný Google hacking. Další zajímavosti přinesl před více než rokem Ondřej Bitto v článku Googlem ukradená hesla a dovolím si zopakovat jeho odkazy na relevantní zdroje:

Google hacking se již vyučuje i na vysokých školách, jak se můžete přesvědčit na zadání cvičení na Masarykově univerzitě či na prezentaci k semináři. Ale nemusíte být studovaní nebo jen amatérští hackeři, a přesto můžete narazit na zajímavé dokumenty, podobně jako se to podařilo našemu čtenáři, který hledal informace o policy-map class.

Google - MPSV

Tomu se stejně jako nám zalíbil dokument ve formátu PDF Připojení pracovišť HN k WAN MPSV – kraj Liberecký a některé další, kde jsme kromě jiného nalezli i upozornění:

„Technické a obchodní informace uvedené v tomto dokumentu jsou výhradním majetkem ANECT a.s. a musí být proto drženy v tajnosti. Tento dokument je vytvořen výhradně pro účely připojení pracovišť Hmotné nouze a sociálních služeb městských úřadů k WAN MPSV, a proto tento materiál ani informace v něm obsažené nesmí být poskytnuty nebo vyzrazeny jiné straně nebo použity pro jakékoliv jiné účely bez předchozího písemně potvrzeného souhlasu společnosti ANECT a.s. a Ministerstva práce a sociálních věcí (MPSV).“

Samozřejmě zajímavý byl celý obsah složky http://www.mpsv­.cz/tmp/hmotna_nou­ze/:

MPSV - hmotná nouze

O co tu vlastně jde? Cituji z webu Ministerstva práce a sociálních věcí (MPSV): „Dnem 1. ledna 2007 nabyl účinnosti zákon č. 111/2006 Sb., o pomoci v hmotné nouzi, a došlo tak k řadě změn v původní oblasti ‚dávek sociální péče‘. Zákon o pomoci v hmotné nouzi zrušil ke stejnému datu zákon č. 482/1991 Sb., o sociální potřebnosti, ve znění pozdějších předpisů, podle kterého byly poskytovány některé dávky sociální péče. Současně s tím zanikly i dávky sociální péče poskytované podle vyhlášky MPSV ČR č. 182/1991 Sb., kterou se provádí zákon o sociálním zabezpečení a zákon o působnosti orgánů ČR v sociálním zabezpečení, ve znění pozdějších předpisů, které byly vázány na sociální potřebnost.“ Takže tu máme nový systém, pracující ve WAN MPSV ČR, který dodala společnost ANECT a.s.

Zavolali jsme nejprve vedoucímu projektu ze společnosti ANECT a.s., panu Jindřichu Zmidlochovi, který nás po otázce o námi získaných dokumentech odkázal na pana Karla Luxe z MPSV s tím, že on o umístění dokumentů na web nic neví. Karel Lux o přístupnosti dokumentů věděl a označil ho za postup dohodnutý se společností ANECT s tím, že byl použit právě pracovníky ANECT jako jediná vhodná (!) možnost jejich distribuce na více než pět set obecních úřadů obcí s rozšířenou působností. Takže jsme zavolali opět Jindřichu Zmidlochovi, který najednou o přístupnosti věděl a slíbil nám vysvětlení od bezpečnostního specialisty. Místo bezpečnostního specialisty se ale ozval pan Pavel Kočiš ze společnosti Madison PA, která působí jako zástupce ANECT pro tisk. Na naše otázky nám poté odpověděl pan Vladimír Komjati z téže společnosti.

Byly uvedené materiály zveřejněny bez ochranných mechanismů pracovníky společnosti ANECT, nebo pracovníky MPSV?

„Uvedené materiály byly vystaveny na neveřejné části internetových stránek ministerstva. S tím společnost ANECT souhlasila, a to z důvodu interních potřeb projektu hmotná nouze. Z důvodu bezpečnosti byly z dokumentů odstraněny citlivé pasáže o WAN MPSV, dále implementační postupy, adresní rozsahy WAN MPSV, údaje z oblasti dohledu a správy a podobně.“

„Rozhodně nelze hovořit o zveřejnění, protože v tom případě by se muselo jednat o vědomé zveřejnění s úmyslem dát tyto dokumenty k dispozici veřejnosti. Že je možné dokumenty nalézt přes internetový vyhledávač, je dáno jejich uložením. I z tohoto důvodu byly vymazány všechny citlivé pasáže.“

Je výše uvedená doložka míněna vážně, nebo je v dokumentu uvedena omylem?

„Jedná se o standardní doložku, kterou do obdobných dokumentů vkládáme a běžně neuveřejňujeme. Nicméně z důvodu potřeby interního zpřístupnění nezbytné části dokumentu o tomto projektu ANECT netrval na utajení.“

Může veřejná přístupnost dokumentů ohrozit bezpečnost projektu OKnouze?

MIF16

„Nemůže. Z dokumentů byly odstraněny citlivé pasáže o WAN MPSV, dále implementační postupy, adresní rozsahy WAN MPSV, údaje z oblasti dohledu a správy a podobně. Navíc, samotný systém je natolik robustní a dobře zabezpečený (zejména díky privátní datové komunikaci), že údaje uvedené v těchto dokumentech nemohou v žádném případě jeho fungování ohrozit.“

Tvrzení o neveřejné části internetových stránek ministerstva je samozřejmě směšné. Přes sedmdesát megabytů stažených materiálů studujeme a po konzultaci s odborníky budeme o jejich „citlivosti“ čtenáře informovat. Zároveň jsme požádali MPSV o oficiální vyjádření.

MPSV - nastavení

Anketa

Mělo by MPSV takové dokumenty zabezpečit lépe?

27 názorů Vstoupit do diskuse
poslední názor přidán 27. 1. 2007 19:08

Školení Správa Stránek na Facebooku

  •  
    Jak pokročile spravovat Stránku, Události, Skupiny.
  • Jak tvořit i netvořit příspěvky.
  • Jak nepřijít o účet, nenaletět a neztratit všechno.

Detailní informace o školení Správa stránek na Facebooku »