Xakep #305. Многошаговые SQL-инъекции
Внутренняя налоговая служба США (IRS) продолжает развертывание двух
компьютерных систем несмотря на то, что осведомлена о наличии в них уязвимостей
в системе безопасности. Такой вывод содержится в отчете Генерального инспектора
министерства финансов по налоговому управлению (TIGTA).
По данным Генеральной инспекции, запущенная в этом году база данных
налогоплательщиков Customer Account Data Engine (CADE) содержит дыры, о которых
самой IRS было прекрасно известно, но, тем не менее, она все-таки запустила базу
в эксплуатацию. CADE обошлась Налоговой службе в 1 млрд. долларов, она является
ключевым элементом развернутой в этой организации программы компьютерной
модернизации и, по данным Associated Press, оперирует примерно двадцатью
процентами всех проходящих через IRC средств налогоплательщиков.
CADE содержит уязвимости, которые могут привести к получению административных
прав доступа к системе, атакам вредоносного ПО и неавторизованному доступу к
системе и хранящимся в ней данным. Среди прочих минусов называются
недостаточность средств конфигурирования, ресурсов хранения и методик
восстановления после сбоев, а также отсутствие единого плана по включению этой
системы в общую с другими правительственными агентствами сеть. Данные
налогоплательщиков, которыми CADE обменивается с процессинговым центром,
пересылаются в незашифрованном виде, а резервные копии не защищены.
В TIGTA не располагают сведениями о подтвержденных случаях кражи данных, но
они, по мнению агентства, все равно подвержены такому риску.