ФСТЭК выпустила рекомендации по устранению типичных ошибок в настройках ПО

Федеральная служба по техническому и экспортному контролю опубликовала документ с разбором самых распространённых ошибок в конфигурации программного обеспечения. Материал основан на анализе реальных инцидентов за 2024-2025 годы и содержит конкретные шаги по исправлению недостатков как в системном, так и в прикладном слое. Скачать его можно с официального сайта ведомства в форматах OpenDocument и PDF.

И вот тут начинается самое интересное — потому что список проблем одновременно предсказуем и показателен. Возглавляют его слабые пароли. Да, в 2025 году. Да, в государственных информационных системах. ФСТЭК прямо называет их одной из главных уязвимостей госсектора — и это не абстрактное предупреждение, а вывод из реальных расследований.

Следом идёт проблема, которая на первый взгляд кажется ещё более дикой — базы данных, доступные без какой-либо аутентификации вообще. Никакого логина, никакого пароля, просто открытый доступ к массиву данных. Последствия в виде утечек и несанкционированного проникновения в таких случаях — лишь вопрос времени и чьего-нибудь любопытства.

Для систем под управлением Windows ведомство отдельно отметило два классических источника головной боли — протоколы SMBv1 и NTLMv1, которые давно считаются устаревшими и небезопасными, но продолжают встречаться в реальных инфраструктурах. К этому добавляется ещё один курьёзный, но опасный казус — учётная запись «Гость» с правами администратора. Это примерно как выдать мастер-ключ от офиса случайному прохожему.

Linux-системы тоже попали в документ со своей порцией неприятностей. Там ведомство зафиксировало хранение учётных записей в открытом, незашифрованном виде — что в сочетании с остальными уязвимостями превращает сервер в настоящий подарок для атакующего.

Универсальными проблемами, не зависящими от платформы, ФСТЭК назвала незакрытые сетевые порты и неправильно выставленные права доступа к важным файлам и директориям. Это те самые вещи, которые проверяются на первом же пентесте — и тем не менее продолжают встречаться снова и снова.

Отдельного упоминания заслуживает ещё один документ, вышедший от ведомства в январе — рекомендации по безопасной настройке гипервизора VMware. Он появился с учётом специфики текущего момента, когда загрузка обновлений от вендора — в том числе устраняющих критические бреши — существенно затруднена или вовсе недоступна. Фактически ФСТЭК признаёт, что латать дыры привычными методами сейчас не получается, и предлагает альтернативный путь через грамотную конфигурацию.