Hlavní navigace

Web ministerstva podlehl Google hackingu

 Autor: 29
Jan Wagner 24. 1. 2007

O Google hackingu se píše již dlouhá léta, byla dokonce napsána i kniha, kterou si můžete koupit i v českém překladu. Jaké je ale překvapení, když vám při běžném vyhledávání vychytralý vyhledávač vrátí i odkazy na dokumenty na ministerském webu s doložkou "Tajné" nebo "Důvěrné".

Existují nesčetné postupy, jak se někam na síti nabourat, jak něco někde někomu smazat, nebo jak alespoň trošku někomu uškodit. Pomocí Google si jistě budete vědět rady, jak to udělat. A pokud jste vysloveně líní, mohli jste si již před více než dvěma lety přečíst v článku Milana Kryla Hackujeme vyhledávačem, jak použít takzvaný Google hacking. Další zajímavosti přinesl před více než rokem Ondřej Bitto v článku Googlem ukradená hesla a dovolím si zopakovat jeho odkazy na relevantní zdroje:

Google hacking se již vyučuje i na vysokých školách, jak se můžete přesvědčit na zadání cvičení na Masarykově univerzitě či na prezentaci k semináři. Ale nemusíte být studovaní nebo jen amatérští hackeři, a přesto můžete narazit na zajímavé dokumenty, podobně jako se to podařilo našemu čtenáři, který hledal informace o policy-map class.

Google - MPSV

Tomu se stejně jako nám zalíbil dokument ve formátu PDF Připojení pracovišť HN k WAN MPSV – kraj Liberecký a některé další, kde jsme kromě jiného nalezli i upozornění:

„Technické a obchodní informace uvedené v tomto dokumentu jsou výhradním majetkem ANECT a.s. a musí být proto drženy v tajnosti. Tento dokument je vytvořen výhradně pro účely připojení pracovišť Hmotné nouze a sociálních služeb městských úřadů k WAN MPSV, a proto tento materiál ani informace v něm obsažené nesmí být poskytnuty nebo vyzrazeny jiné straně nebo použity pro jakékoliv jiné účely bez předchozího písemně potvrzeného souhlasu společnosti ANECT a.s. a Ministerstva práce a sociálních věcí (MPSV).“

Samozřejmě zajímavý byl celý obsah složky http://www.mpsv­.cz/tmp/hmotna_nou­ze/:

MPSV - hmotná nouze

O co tu vlastně jde? Cituji z webu Ministerstva práce a sociálních věcí (MPSV): „Dnem 1. ledna 2007 nabyl účinnosti zákon č. 111/2006 Sb., o pomoci v hmotné nouzi, a došlo tak k řadě změn v původní oblasti ‚dávek sociální péče‘. Zákon o pomoci v hmotné nouzi zrušil ke stejnému datu zákon č. 482/1991 Sb., o sociální potřebnosti, ve znění pozdějších předpisů, podle kterého byly poskytovány některé dávky sociální péče. Současně s tím zanikly i dávky sociální péče poskytované podle vyhlášky MPSV ČR č. 182/1991 Sb., kterou se provádí zákon o sociálním zabezpečení a zákon o působnosti orgánů ČR v sociálním zabezpečení, ve znění pozdějších předpisů, které byly vázány na sociální potřebnost.“ Takže tu máme nový systém, pracující ve WAN MPSV ČR, který dodala společnost ANECT a.s.

Zavolali jsme nejprve vedoucímu projektu ze společnosti ANECT a.s., panu Jindřichu Zmidlochovi, který nás po otázce o námi získaných dokumentech odkázal na pana Karla Luxe z MPSV s tím, že on o umístění dokumentů na web nic neví. Karel Lux o přístupnosti dokumentů věděl a označil ho za postup dohodnutý se společností ANECT s tím, že byl použit právě pracovníky ANECT jako jediná vhodná (!) možnost jejich distribuce na více než pět set obecních úřadů obcí s rozšířenou působností. Takže jsme zavolali opět Jindřichu Zmidlochovi, který najednou o přístupnosti věděl a slíbil nám vysvětlení od bezpečnostního specialisty. Místo bezpečnostního specialisty se ale ozval pan Pavel Kočiš ze společnosti Madison PA, která působí jako zástupce ANECT pro tisk. Na naše otázky nám poté odpověděl pan Vladimír Komjati z téže společnosti.

Byly uvedené materiály zveřejněny bez ochranných mechanismů pracovníky společnosti ANECT, nebo pracovníky MPSV?

„Uvedené materiály byly vystaveny na neveřejné části internetových stránek ministerstva. S tím společnost ANECT souhlasila, a to z důvodu interních potřeb projektu hmotná nouze. Z důvodu bezpečnosti byly z dokumentů odstraněny citlivé pasáže o WAN MPSV, dále implementační postupy, adresní rozsahy WAN MPSV, údaje z oblasti dohledu a správy a podobně.“

„Rozhodně nelze hovořit o zveřejnění, protože v tom případě by se muselo jednat o vědomé zveřejnění s úmyslem dát tyto dokumenty k dispozici veřejnosti. Že je možné dokumenty nalézt přes internetový vyhledávač, je dáno jejich uložením. I z tohoto důvodu byly vymazány všechny citlivé pasáže.“

Je výše uvedená doložka míněna vážně, nebo je v dokumentu uvedena omylem?

„Jedná se o standardní doložku, kterou do obdobných dokumentů vkládáme a běžně neuveřejňujeme. Nicméně z důvodu potřeby interního zpřístupnění nezbytné části dokumentu o tomto projektu ANECT netrval na utajení.“

Může veřejná přístupnost dokumentů ohrozit bezpečnost projektu OKnouze?

CIF16

„Nemůže. Z dokumentů byly odstraněny citlivé pasáže o WAN MPSV, dále implementační postupy, adresní rozsahy WAN MPSV, údaje z oblasti dohledu a správy a podobně. Navíc, samotný systém je natolik robustní a dobře zabezpečený (zejména díky privátní datové komunikaci), že údaje uvedené v těchto dokumentech nemohou v žádném případě jeho fungování ohrozit.“

Tvrzení o neveřejné části internetových stránek ministerstva je samozřejmě směšné. Přes sedmdesát megabytů stažených materiálů studujeme a po konzultaci s odborníky budeme o jejich „citlivosti“ čtenáře informovat. Zároveň jsme požádali MPSV o oficiální vyjádření.

MPSV - nastavení

Anketa

Mělo by MPSV takové dokumenty zabezpečit lépe?

Našli jste v článku chybu?
Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

Vitalia.cz: Běháte a nehubnete? 6 častých chyb

Běháte a nehubnete? 6 častých chyb

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn