Softwer i oprema za POPIS 2022

[kernel_priest]

Sve informacije su preuzete sa: https://twitter.com/milos_rs_/status/157...3854607362



milos_rs je napisao:



Malo sam se zainteresovao za popis 2022, naravno za tehničku stranu priče, pa sam kopao po OSINT-u, i našao svašta...







Nisam našao ko je snabdeo laptope za popisivače ni koliko su koštali. Javna nabavka je verovatno bila 2019. ili 2020. godine jer je popis trebao da bude 2021. Za probni popis se koristio "ACER 13" šta god to bilo. Ako neko želi da kopa može na https://www.stat.gov.rs/sr-latn/o-nama/javne-nabavke/

da vidimo šta kaže @shodanhq za http://stat.gov.rs domen... zanimljivo da ovaj DNS unos za probni popis iz 2019. usmerava ka IP adresi koja nije iz opsega IP adresa

@kancelarijaITE koje koristi republički zavod za statistiku i mnogi drugi državni sajtovi...







a na toj adresi je... vpn server za IPSOS??? Privatna firma na IP (89.216.46.245) adresi privatnog internet provajdera, kakve oni veze imaju sa državnim popisom i konkretno sa probnim popisom iz 2019. godine?







Softver koji se koristi za popis i analizu je napravljen in-house za potrebe republičkog zavoda za statistiku. zove se IST, ima sajt na http://istportal.net koji je iz 2019. i nema ispravan HTTPS pristup...



Ovo dalje što sledi sam našao ili na IST sajtu ili po slajdovima nekih prezentacija na koje sam naleteo preko gugla... PAŽNJA!!! moguće je da su neke od ovih informacija pa i moji zaključci zastareli jer sajt izgleda nije ažuriran još od 2019. godine.



IST Softver za popis koristi Microsoft .net i MS SQL server kao osnov.








Izgleda da se hostuje na Azure Cloud-u...







Spisak softvera i verzija koje se instaliraju na klijentima, tj. laptopima koje nose anketari (veoma moguće da je ova informacija donekle zastarela)






Na IST sajtu iz nekog razloga postoji javna pretraga dela dev dokumentacije. Nisam našao ništa osetljivo, ali svakako ima stvari koje nema razloga da budu javne. Imamo dakle uvid u funkcionisanje sistema i sklonost ka dobrim sigurnosnim praksama od strane kreatora istog...



Tu se nalazi enkripcija koja se koristi za šifre anketara..





Kao i sama funkcija kojom se te šifre enrkiptuju...







Ali da li je ta enkripcija potrebna? Pa ne, ne baš jer PAZSAD, čuva se "flat" šifru u bazi na serveru zajedno sa enkriptovanom!









NASTAVAK U SLJEDECEM POSTU

[kernel_priest]

NASTAVAK

Prvo sam pomislio da možda enkriptuju pa obrišu "readable" šifru, ali sam naleteo i na ovo što ukazuje da se šifra čuva u readable formatu na serveru jer ako je za razliku od servera, na klijentima flat šifra "always empty", onda na serveru nije.





Dalje, u dokumentaciji na sajtu se spominje povezivanje VPN-om ali na slajdovima sa neke novije prezentacije RZS-a sam našao da se sada koristi "web servis". Ovo ukazuje da se server za popis ili kao minimum web servis koji prima podatke nalaze na otvorenom internetu.






Ovo nije nužno loše ako je sve odrađeno kako treba. Dok su koristili VPN, klijenti su se povezivali direktno na SQL bazu radi unosa podataka. U trenutnoj verziji je to nadam se promenjeno jer se spominje taj "web servis" za prenos podataka.
To je to što se tiče softvera, a ostala mi je nedoumica iz zakona o popisu stanovništva, Nigde nisam našao u kom trenutku u procesu se podaci pseudonimizuju i na koji konkretno način.




i za kraj malo humora...




sa naloga @milos_rs twitter

[milos_rs]

evo me

Evo i linkovi raznih izvora korišćenih u istraživanju

https://www.stat.gov.rs/media/5054/5_ikt...is2021.pdf - ovde ima skrinšota dashboard-a za monitoring popisa koji izgleda prilično dobro

https://unece.org/fileadmin/DAM/stats/do...4%87_P.pdf

https://www.efta.int/sites/default/files...a.pptx.pdf

https://popis2022.stat.gov.rs/media/3108...sivace.pdf

a pretragu dev dokumentacije imate na http://www.istportal.net/Search.aspx

dokumenta su http://www.istportal.net/Show.aspx?id=1 pa do id=68

lako napisati bash skripticu da ih wget-uje redom.

Nema ništa preterano zanimljivo u dev dokumentaciji realno osim ovoga što sam napisao, a i zastarelo je pa možda i to što sam našao više ne važi, mada ovo za šifre ne verujem da su menjali. Loša je praksa ali ne vidim kako bi se moglo zloupotrebiti od strane eksternog aktera, naročito ne sada kada se klijent povezuje na web servis u poređenju sa ranije kada se povezivao direktno na SQL bazu preko VPN-a.

[milos_rs]

Malo se raširila priča do ljudi kojima je ono što sam pisao nerazumljivo pa sam napisao ne-tehnički sažetak ovde https://twitter.com/milos_rs_/status/157...7305978882

[y0d4]

good catch! hvala za objavu!

[1van]

Da sumiramo, glavni problemi iz ugla bezbednosti i privatnosti, do sada:

1. Pristup podacima od strane privatne kompanije
2. Nejasna procedura anonimizacije podataka
3. Neadekvatna zaštita pristupa podacima (šifre u čistom tekstu, nedovoljno kompleksne šifre)
4. Zastarele komponente back-end sistema za koje postoje javni eksploiti
5. Nejasna procedura zaštite laptova za popisivanje, i mogućnost korišćenja zastarelih operativnih sistema sa javno dostupnim eksploitima

Molim Vas ispravite me ako sam nešto prevideo, ili pogrešno protumačio.

[kernel_priest]

evo me

Evo i linkovi raznih izvora korišćenih u istraživanju

https://www.stat.gov.rs/media/5054/5_ikt...is2021.pdf - ovde ima skrinšota dashboard-a za monitoring popisa koji izgleda prilično dobro

https://unece.org/fileadmin/DAM/stats/do...4%87_P.pdf

https://www.efta.int/sites/default/files...a.pptx.pdf

https://popis2022.stat.gov.rs/media/3108...sivace.pdf

a pretragu dev dokumentacije imate na http://www.istportal.net/Search.aspx

dokumenta su http://www.istportal.net/Show.aspx?id=1 pa do id=68

lako napisati bash skripticu da ih wget-uje redom.

Nema ništa preterano zanimljivo u dev dokumentaciji realno osim ovoga što sam napisao, a i zastarelo je pa možda i to što sam našao više ne važi, mada ovo za šifre ne verujem da su menjali. Loša je praksa ali ne vidim kako bi se moglo zloupotrebiti od strane eksternog aktera, naročito ne sada kada se klijent povezuje na web servis u poređenju sa ranije kada se povezivao direktno na SQL bazu preko VPN-a.

dobrodosao

[1van]

Malo detalja sa online dela aplikacije, izvor: https://twitter.com/drshamy87/status/157...7743681536.