Отношение Дирекции безопасности дорожного движения (CSDD) к исследователю безопасности Раймонду Скурулсу, обнаружившему "дыру" в безопасности системы IT-технологий CSDD, является неприемлемым, заявили представители Ассоциации специалистов безопасности.
CSDD против изобретателя: ассоциация прокомментировала скандальное разбирательство (2)
Ассоциация заявляет, что в июне Скурулс был осужден за обнаруженную им уязвимость в системах CSDD. Член ассоциации и исследователь безопасности Нил Путниньш, работающий в структурах НАТО, отмечает, что открытие Скурулса согласно стандартам Open Web Application Security Project (OWASP) классифицируется как дефектный контроль доступа, а определение OWASP 2021 года предусматривает, что это наиболее серьезный риск безопасности веб-приложений.
"В этом случае легко доказать (...), что существовала возможность получить доступ к любой учетной записи и внести изменения, включая перерегистрацию автомобиля на имя другого владельца. Это означает, что эта уязвимость потенциально угрожает всем латвийским автовладельцам и водителям", - добавил Путниньш.
Ассоциация считает, что Скурулс был несправедливо обвинен в вымогательстве 1000 евро, поскольку, принимая во внимание общедоступную информацию, он добросовестно указал на уязвимость и первым сообщил об этом. Только после того, как CSDD не смогла обнаружить уязвимость собственными силами, Скурулс запросил указанную сумму денег за техническое описание уязвимости, поскольку на ее обнаружение ушло много времени.
Хотя события произошли в 2018 году, в ассоциации заявляют, что вопрос актуален и сегодня. По данным ассоциации, недавно принятый Закон о национальной кибербезопасности включает скоординированное раскрытие уязвимостей, но не упоминает о защите исследователей безопасности от уголовной ответственности, а также о праве уведомлять общественность об уязвимостях безопасности, если они не устранены. Кроме того, закон не предусматривает вознаграждение исследователей безопасности за обнаружение уязвимостей, отмечают в ассоциации.
Ассоциация заявляет, что практика CSDD не способствует кибербезопасности Латвии, поэтому призывает CSDD приложить все усилия для реабилитации Скурулса.
Как сообщалось, Латгальский окружной суд вынес приговор обвиняемому в вымогательстве 1000 евро 60-летнему Скурулсу, которого в научных кругах Латвии считают выдающимся изобретателем, пишет Latvijas Avīze. В 2018 году он сообщил CSDD о "дыре" в ее системе безопасности и призвал заплатить ему 1000 евро за вклад в проверку системы.
В ноябре 2018 года дирекция и Государственная полиция выступили с совместным заявлением о том, что CSDD столкнулась "с несанкционированной попыткой получить доступ к регистру транспортных средств и попыткой вымогательства", но благодаря профессиональным действиям сотрудников дирекции и сотрудничеству с Госполицией удалось задержать предполагаемого преступника.
Полиция действительно задержала Скурулса и даже поместила на несколько дней в изолятор временного содержания. Однако еще 15 октября 2018 года он звонил в CSDD, назвав свое имя, и сообщил, что обнаружил возможную уязвимость в системе авторизации, связанную с государственным регистром транспортных средств и водителей.
И тогда, и по сей день Скурулс считает, что не должен дарить это открытие CSDD, поэтому хотел бы получить компенсацию за свои услуги.
Сразу после того, как Скурулс подписал договор с SIA WeAreDots, привлеченным CSDD в качестве консультанта, он отправил по электронной почте информацию об уязвимости в системе авторизации на сайта e-csdd.lv, которая давала возможность несанкционированного доступа.
Из материалов дела следует, что, даже имея в кармане договор, Скурулс опасался, что его "кинут" и ничего не заплатят за ценную информацию. Его подозрения не только оправдались, но и превзошли все ожидания - в конце октября руководство CSDD обратилось с заявлением в Государственную полицию.
В сентябре 2021 года решением Резекненского суда Скурулс был признан виновным и оштрафован на 12 минимальных месячных заработных плат. CSDD считает, что изобретатель своей информацией об уязвимости авторизации нанес ей существенный материальный ущерб на сумму 3459,52 евро, который состоял из заработной платы трех программистов CSDD, не нашедших "дыру" в системе в течение недели, и выплаты CSDD компании WeAreDots за консалтинг.
Обвиняемый обжаловал приговор суда первой инстанции в Латгальском окружном суде, который постановил признать его невиновным и оправдать. Прокурора такой приговор не удовлетворил, и он обратился в Верховный суд с кассационной жалобой. Трое сенаторов решили отменить решение Латгальского окружного суда от 2 июня 2022 года полностью и направить дело на новое рассмотрение.
В июне этого года Латгальский окружной суд постановил оставить в силе решение Резекненского суда, согласно которому Скурулc должен выплатить штраф (8400 евро), а также возместить CSDD якобы причиненный материальный ущерб - 3459,52 евро. Решение еще не вступило в силу, поскольку Скурулс сможет обжаловать его в Сенате Верховного суда.
RUS TVNET в Telegram: Cамые свежие новости Латвии и мира на русском языке!