z To można było opalone na Intern-At-A-Coffee-Shop Wydział
Jeśli chcesz napisać coś na oficjalnej stronie internetowej rządu USA, najwyraźniej możesz… zrobić to. Nie w zwykły sposób przesyłania komentarzy za pomocą formularza, pamiętaj, ale poprzez bezpośrednio wstrzyknięcie treści do ich bazy danych. To wydaje się nieoptymalne.
Historia tutaj jest taka, że Kolek Doge – Elona Muska rzekomego kodowania „Geniuszów” przyniesionych do „zakłócenia” nieefektywności rządu – ostatecznie uruchomił swoją oficjalną stronę internetową. A to, co dostarczyli, to klasa mistrzowska, jak nie budować infrastruktury rządowej. Jedną z możliwości jest to, że są genialnymi zakłóceniami, którzy łamią wszystkie zasady, aby poprawić sytuację. Inną możliwością jest to, że nie mają pojęcia, co robią.
Ten ostatni wydaje się o wiele bardziej prawdopodobny.
W zeszłym tygodniu doniesiono, że Dumny rasista 25-letni Marko Elez otrzymał dostęp do administratora i był pchanie niesprawdzonego kodu do systemu amerykańskiego rządu w wysokości 6 bilionów dolarów/roku. Podczas gdy Departament Skarbu początkowo twierdził (w tym w aktach sądowych!), Że Elez miał dostęp do „tylko odczytu”, inni zgłosili, że ma dostęp do pisania. Po tym, jak pojawiły się te raporty, Departament Skarbu „poprawił się” i powiedział, że Elej był „Przypadkowo”, biorąc pod uwagę przywileje zapisu dla bazy danych płatności, ale tylko dla danych, a nie kodu. Przyznali jednak, że chociaż wprowadzili pewne zabezpieczenia bezpieczeństwa, możliwe jest, że Elez skopiował niektóre prywatne dane, które „czasami zawierały zrzuty ekranu danych lub rekordów systemów płatności”.
Yikes?
Teraz możesz pomyśleć, że posiadanie rasistowskiego dwudziestu czegoś z dostępem administratora do systemów płatności bilionów dolarów dotyczy ludzi. Ale obrońcy Muska mieli przekonujący kontrargument: musi być geniuszem! Ponieważ… no cóż, ponieważ piżmo go zatrudniło, a piżma zatrudnia tylko geniuszów. A przynajmniej tak nam powiedziano.
Rzeczywista sprawność kodowania zespołu Doge okazuje się być czymś. Po pierwsze, zdecydowali, że przezroczystość rządu oznaczała Ukrywanie wszystkiego w żądaniach FOIA. Zapytany o tę interesującą interpretację „przejrzystości”, Musk wyjaśnił, że faktycznie Doge był bardzo przejrzysty, umieszczając wszystko na swojej stronie internetowej i koncie Extwitter.
Z tym wyjaśnieniem był tylko jeden mały problem. W tym czasie, gdy to powiedział, strona internetowa Doge wyglądała tak:

To było to. To była cała strona internetowa.
W czwartek w końcu uruchomili prawdziwą stronę internetową. Raczej. Jeśli przez „prawdziwą stronę internetową” masz na myśli „zbiór już publicznych informacji przedstawionych w mylący sposób przez ludzi, którzy nie rozumieją, na co patrzą”. Ale to nie jest nawet interesująca część.
Tym rzekomym geniuszy technicznej udało się zbudować coś, co może być najmniej bezpieczną witryną rządową w historii. Zacznijmy od czegoś podstawowego: gdzie faktycznie mieszka strona? Według Przewodowekod źródłowy faktycznie informuje wyszukiwarki, że ExtWitter nie Doge.govjest prawdziwym domem tej informacji rządowej:
Przewodowa recenzja kodu źródłowego strony pokazuje, że promocja własnej platformy piżma poszła głębiej niż odtworzenie postów na stronie głównej. Kod źródłowy pokazuje, że witryna Canoniczne tagi Bezpośrednie wyszukiwarki do x.com zamiast Doge.gov.
Kanoniczny znacznik to fragment kodu, który informuje wyszukiwarki, jaka jest autorytatywna wersja strony internetowej. Jest zwykle używany przez witryny z wieloma stronami jako taktyka optymalizacji wyszukiwarek, aby uniknąć rozcieńczonego rankingu wyszukiwania.
Jednak w przypadku Doge kod informuje wyszukiwarki, że gdy ludzie szukają treści znalezionych Doge.govnie powinni wyświetlać tych stron w wynikach wyszukiwania, ale zamiast tego powinni wyświetlać posty na X.
„Promuje konto X jako główne źródło, a strona internetowa wtórna”, Declan Chidlow, twórca stron internetowychmówi Wired. „Zwykle nie jest to sposób obsługi, i wskazuje, że konto X ma pierwszeństwo przed samą witryną”.
Jeśli nie jesteś programistą stron internetowych, oto, co to oznacza: kiedy tworzysz stronę internetową, możesz powiedzieć wyszukiwarkom „Hej, jeśli znajdziesz kopie tej treści gdzie indziej, ta wersja tutaj jest prawdziwa”. To tak, jakby powiedzieć Google „Jeśli ktoś skopiował moją witrynę, mój jest oryginałem”.
Ale Doge zrobił coś przeciwnego. Powiedzieli wyszukiwarkom „W rzeczywistości Extwitter ma prawdziwą wersję tych informacji rządowych. Nasza strona internetowa to tylko kopia. ” Który jest… interesujący wybór dla agencji federalnej? To trochę tak, jakby Departament Skarbu „Nie patrz na nasze oficjalne raporty, po prostu sprawdź tweety Elona”.
Można by pomyśleć, że agencja rządowa kierująca ludzi od jej oficjalnej strony internetowej i w kierunku prywatnej firmy jej lidera, wzbudzi obawy dotyczące konfliktu interesu. I miałbyś rację!
Ale poczekaj, staje się lepiej. Lub gorzej. Właściwie tak, jest gorzej.
Kto zbudował tę stronę internetową? Poprzez jakąś niechlujną kodowanie, badacz bezpieczeństwa Sam Curry wymyślił To był pracownik Doge, Kyle Shutt. Ten sam Kyle Shutt, który według Drop Site News, ma dostęp administracyjny do systemu płatności FEMA. Ten sam Kyle Shutt, który użył dokładnie tego samego identyfikatora Cloudflare, aby zbudować stronę kampanii PAC Trump Musk America Pac Trump. Ponieważ po co zachować osobne bezpieczne referencje dla systemów rządowych i kampanii politycznych, skoro można po prostu… nie zrobić tego?
Ale prawdziwa wiśnia na szczycie pojawiła się w czwartek, kiedy ludzie odkryli coś niesamowitego w bazie danych witryn Doge: Każdy może do tego napisać. Nie „nikogo o właściwych poświadczeniach”. Nie „nikt, kto przekazuje kontrole bezpieczeństwa”. Po prostu… każdy. Jako 404 media Zgłoszonejeśli znasz podstawowe operacje bazy danych, Ty również możesz być rządowym administratorem witryny:
. Doge.gov Strona internetowa, która została wyrzucona, aby śledzić cięcia Elona Muska do rządu federalnego, jest niepewna i wyciąga z bazy danych, którą może być edytowane przez każdego, według dwóch oddzielnych osób, które znalazły podatność i udostępniły je 404 mediom. Jeden koder dodał co najmniej dwa wpisy bazy danych, które są widoczne na stronie na żywo i mówi „to żart z witryny .gov” I “Ci „eksperci” pozostawili otwartą bazę danych. ”
Chociaż wyobrażam sobie, że wkrótce zostaną one usunięte, wstawki są absolutnie widoczne:


Słuchaj, jest powód Nazwali to cała sprawa cyberatakiem. Kiedy ktoś przejmuje twoje systemy komputerowe i pozostawia je szeroko otwarte dla każdego, kto chce się z nimi zadzierać, zwykle nie nazywamy tego „zakłócenia” lub „innowacjami”. Nazywamy to naruszeniem bezpieczeństwa cybernetycznego.
„Czuje się, jakby został całkowicie uderzony razem” – dodali. „Mnóstwo błędów i szczegółów wyciekło w kodzie źródła strony”.
Oba źródła podały, że sposób konfigurowania witryny sugeruje, że nie działa na serwerach rządowych.
“Zasadniczo, Doge.gov Ma bazę kodu, prawdopodobnie przez GitHub lub coś w tym rodzaju ” – powiedział inny programista, który zauważył niepewność. „Wdrażają stronę internetową na stronach Cloudflare z ich bazy kodowej i Doge.gov jest domeną niestandardową, którą ich strony.dev URL jest ustawiony na. Więc zamiast mieć fizyczny serwer, a nawet coś w rodzaju Amazon Web Services, wdrażają przy użyciu stron Cloudflare, które obsługują niestandardowe domeny. ”
Oto sprawa rządowych systemów komputerowych: są pod ciągłym atakiem obcych przeciwników. Tak, mogą być nieefektywne. Tak, można je wzdęć. Ale wiesz, czym jeszcze zwykle są? Nie do końca narażony na cały Internet. Okazuje się, że część tej nieefektywnej „biurokracji” obejmuje podstawowe rzeczy, takie jak „bezpieczeństwo” i „nie pozwalając przypadkowym ludziom pisać, co chcą w federalnych bazach danych”.
To nie jest jakiś startup, w którym „poruszaj się szybko i łamie rzeczy” to realna strategia. To jest rząd Stanów Zjednoczonych. I został przekazany osobom, których głównym kwalifikacją wydaje się być „posty pikantne memy na 4chan”. Implikacje wykraczają daleko poza zawstydzające zastrzyki bazy danych – ten poziom zaniedbania technicznego w systemach federalnych stwarza prawdziwe obawy dotyczące bezpieczeństwa narodowego. Kiedy twoje „zakłócenia” obejmuje ignorowanie dziesięcioleci ciężko uczenia się lekcji na temat bezpieczeństwa systemów rządowych, nie wprowadzasz innowacji-zapraszasz katastrofę.
Złożone pod: CyberatackW dożaW Witryna DogeW Elon MuskW Kyle ShuttW Otwory bezpieczeństwaW przezroczystość
Firmy: świergotW X