Avaliando o custo de um ataque DDoS
Parece que as organizações que utilizam o domínio nhs.uk precisa de um gole generoso de medicina e abundância de repouso depois de uma investigação de propriedade on-line do serviço de saúde descobriram o que parecia ser uma epidemia de hacking preocupante.
O registo foi alertado pelo leitor David para o fato de que uma série de sites do SNS - incluindo algumas confianças locais , bibliotecas médicas e um serviço de informações sobre o câncer - havia sido hackeado com links duvidosos para anúncios de chifre-gerado medicamento Viagra.
Ele viu pela primeira vez a segurança, er, em cockup com financiamento público de Blighty site da National Prescrição Centro , que foi arquivado maio 2012, quando o NPC foi rolada para o Instituto Nacional de Excelência Clínica. No entanto, o local ainda estava expelindo anúncios de lixo que poderiam conter malware horrível quando clicado.
A "observação curiosa", como David disse, levou-o a investigar mais.
"Uma busca rápida para 'local viagra desconto: nhs.uk' traz um par de dezenas de páginas com links semelhantes ", ele nos disse. "Eu me pergunto o que mais eles poderiam estar promovendo."
Nosso leitor cavou um pouco mais para ver como sistêmica o problema era com o domínio nhs.uk. Infelizmente para o serviço de saúde, foi fácil encontrar exemplos "espalhados por todos", disse ele.
Entre outras coisas, David encontrou fóruns nhs.uk que foram descaradamente exibindo links para pornografia e outros conteúdos spam.
"É evidente que estas ligações apenas ter sido postado como comentário ao invés de inseridos por hackers, mas não deveria haver algum tipo de moderação básica no site do NHS?", Perguntou ele.
Seus resultados vêm apenas algumas semanas depois de centenas de URLs no site do NHS Choices foram inundadas com malware , após uma gafe segurança embaraçoso que expôs graves problemas com o sistema on-line do serviço de saúde.
Perguntou El Reg do Centro de Saúde e Assistência Social da Informação (HSCIC) - órgão responsável por manter os dados dos pacientes seguro - para nos dizer por que foi que os sites hospedados sob seu domínio nhs.uk foram exibindo links para conteúdo inapropriado. Uma porta-voz disse:
O papel do HSCIC é processar aplicativos para usar o nome de domínio a partir de organizações do NHS e fornecer permissão para o seu uso, quando necessário. No entanto, a responsabilidade pela manutenção e segurança dos sites que utilizam o domínio nhs.uk senta com a organização executando cada site ou serviço.
O resultado parece ser uma abordagem incoerente com a segurança, deixando-se a pessoas como o nosso leitor David de detectar as falhas e relatá-los para as confianças necessárias que não estão a gerir os seus sites de forma adequada.
Também pedimos a HSCIC para nos dizer o que protege tinha posto em prática desde o recente susto malwares que atingiu escolhas site do NHS.
Seu porta-voz disse que "uma série de ações imediatas e em curso" estavam em andamento, incluindo "procedimentos manuais e automatizados de verificação em todo o site para alertar quaisquer alterações ao URL, links externos, links quebrados, etc", seguindo o erro de codificação.
O HSCIC é, entre outras coisas, além de sancionar uma revisão de código completo independente em toda a base de código. E está a olhar para os processos de gerenciamento de código, como testes funcionais e de verificação de links, como parte de uma revisão de normas de segurança.
O Reg pediu Gabinete do Comissário de Informação a comentar sobre esta história, mas não tinha volta para nós no momento da escrita. ®
Nenhum comentário:
Postar um comentário