The NSS Document Portal: Armenia's Security Agency Has a Signup Page

The agency that arrests archbishops, raids churches, and prosecutes opposition figures operates a document management system on the open internet. With a signup page. With a password recovery feature. Discovered via certificate transparency and Wayback Machine. · IPFS mirror

ԱԱԾ Է-ՓԱՍՏԱԹՈՒՑՆԵՐՍՏԱՆԴԱՐՏային ՊՈՐՏԱԼ ԲԺՇԴՎՈՒՄ DOCS.SNS.AM

ԻՆՏԵՐՆԵՏ-ՀԱՄԱՅԵՆՀասանելի է ցանկացած բրաուզերից ամբողջ աշխարհում

ՆԱՄԱԿԻՆ ԿՂՈՒՆԱԿՀԱՆՐԱՅԻՆ ԳՐԱՆՑՈՒՄ ԵՆ /SIGNUP

ՅԵՎ ԳԱՆՎՈՐՇ 2019100+ ՓԱՍՏԱԹՈՒՑՆԵՐ ՓՈՒԼՆԵՐԻՆ ՎԱՐՔԱՐԻ ՎԱՐՈՒՑՅԹՅԱՆ

հայտնումը

ՀԱՆՐԱՅԻՆ ԳՐԱՆՑՈՒՄ OWL-ը սկսեց ստանդարտ սերտիֆիկատ տարածատմության ստուգմանը Հայաստանի ընկերության դոմեյններով, օգտագործելով crt.sh-ը -- հանրային բազան, որը գրանցում է բոլոր TLS սերտիֆիկատները: Երբ մենք հարցրեցինք *.sns.am-ը (Հայաստանի ԱԱԾ-ի դոմեյնը), արդյունքը այն չէր, ինչ սպասում էք ցանկացած գաղտնի հետախուզության դաշտից: Սերտիֆիկատները բացահայտեց ենթադոմեյնների խումբը հրապարակային հասցեով -- ներառյալ այնը, որը ընդհարում է լինել բաց կամերում:

Դոմենը docs.sns.am վերադարձրել է վավեր TLS սերտիֆիկատ: Մենք ստուգեցինք Wayback Machine CDX API-ն: Մի հարյուր հրատարակումից հետո, որը սկսվում է հունիսի 2019: Գլխագիրը, որը ներկայացված է հայերենով: ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅՈՒՆ ԱԶԳԱՅԻՆ ԱՆՎՏԱՆԳՈՒԹՅՈՒՆ ԾԱՐԱՅՈՋԹՅՈՒՆ -- Հայաստանի Հանրապետության Ազգային Անվտանգության Կարգավիճակ: Ներքևում այնտեղ: "NSS E-Documents."

Հայաստանի ամենաշատ հզոր անվտանգության դաշտը -- այնը, որը տակրված է հարավային հարավասպատ, մտադիր է Մայր Աթոռ Սուրբ Էջմիածինը և բացում է հանցագործություններ Կաթողիկոսին -- գործում է փաստաթղթերի կառավարման համակարգը հրապարակային ինտերնետում: Բեմա էջով: Գրանցման էջով: Գաղտնաբառի վերականգնման հնարավորությունով:

Սա ինչ է արհամարհված

Հաստատված է Զննարկ.ՍՆՍ.ԱՄ պորտալը ներկայացնում է լրիվ ավտենտիֆիկացիայի ինտերֆեյսը՝

Էլփոստ / գաղտնաբառ ներդրումը հետևյալ CAPTCHA ստուգումով
Նոր ցուցակի էջը ըստ /signup -- հանրային անվտանգության փաստաթղթ համակարգում համարող հանրային գրանցման ձևը
Անձնագիրային քարտության ավտենտիֆիկացիա -- ինտեգրացիա Հայաստանի ազգային անձնագիրային քարտով ինքնությունը ստուգելու համար
Գաղտնաբառի վերականգնումը -- "մոռացել գաղտնաբառը" ֆունկցիան, որը նշանակում է, որ համակարգը պահում և կարող է վերականգնել մուտքանունները

Թողեք սա մտածել։ Ազգային անվտանգության ծառայություն -- Հայաստանում սովետական ԿԳԲ-ի ուղղակի հաջորդը -- ունի փաստաթղթ պորտալ, որտեղ գրանցման էջը հասանելի է ցանկաց մարդու համար, ով ունի ցանցային բրաուզեր։ Գաղտնաբառի վերականգնման մեխանիզմը նշանակում է, որ եթե մուտքանունները բերել են համաձայն, հարձակողին հասանելի է ստեղծված ուղի որպես հաշվի վերականգնում։ CAPTCHA-ն միակ երևում է բաց ինտերնետի և ԱԱԾ փաստաթղթ համակարգին միջև։

Այս հաղորդագրական տեղ չէ։ Այս նշում է, որը ասում է իրենց անունով -- E-Documents։ Այստեղ ԱԱԾ աշխատակիցները ընդլայնում են ներսում փաստաթղթերը -- և այն դիմում է ամբողջ ինտերնետին։

ՀԱՆՐԱՅԻՆ ԳՐԱՆՑՈՒՄ

ՀԱՆՌԱՅԻՆ ԳՐԱՆՑՈՒՄ Սերտիֆիկատի տեղեկատվության ավդիտ և Վայբակի արդյունավետությունը ցուցադրեց հինչ տարբեր ենթադոմեյններ sns.am-ում, որը բացակայում է ԱԱԾ-ի թվային ենթակառուցվածքի տարբեր մասերը՝

SNS.AM -- ԱԱԾ Ենթակառուցվածքային Ծավալ
    |
    +-- docs.sns.am
    |       |-- ԱԱԾ Էլեկտրոնային Փաստաթղթերի Պորտալ
    |       |-- Գրանցում + Նոր գրանցում + Գաղտնագրության վերականգնում
    |       |-- Տնտեսական քարտի ստուգում
    |       +-- 100+ Վայբակի գրառումներ սկսած հունիսի 2019
    |
    +-- matrix.sns.am
    |       |-- Մատրիտսային արտաքին գաղտնագրված չափազանցային սերվեր
    |       |-- Ծրագրերը արտաքին գաղտնագրված հաղորդագրություններ
    |       +-- ԱԱԾ աշխատողների ներկայիս հաղորդագրությունների համար
    |
    +-- s3.sns.am
    |       |-- S3-ընտրագործող արտեմբ տեղակայում
    |       |-- ԱԱԾ-ի ֆայլերի տեղակայում
    |       +-- Բուկետի կարգավորումը անհայտ է
    |
    +-- sahmanapah.sns.am
    |       |-- "Sahmanapah" = Կոնստիտուցիոնալ
    |       |-- Կոնստիտուցիոնալ իրավունք / իրավական հղումներ
    |       +-- Նպատակը. իրավական կառուցվածքը ԱԱԾ-ի համար
    |
    +-- mul.sns.am
            |-- Նպատակը. ԱՆՂԱԹ
            +-- Ակտիվ TLS սերտիֆիկատի տրամադրում

ՀԱՆՌԱՅԻՆ ՄԵԹՈԴ. crt.sh սերտիֆիկատի տեղեկատվություն + Վայբակի CDX API

Ամենակարևոր էթադոմեյնն docs-ից դուրս matrix.sns.am է. Մատրիտսը բաց կապարարային հաղորդագրության արտաքին է։ ԱԱԾ գործում է սեփական Մատրիտս սերվերը -- նշանակում է, որ անվտանգությունային աշխատողների ներքին հաղորդագրությունները ցույց տալիս են այս ինքնակերպված էնթակառուցվածքում։ Եթե փաստաթղթերի պորտալի անվտանգության կարգավիճակը որևէ ներկայացնում է, թե ինչպես է կարգավորված Մատրիտս սերվերը, հաղորդագրությունների անվտանգության հետևանքները լուրջ են։

s3.sns.am ենթ

佟 Թե ինչու ՞ Ձեզ Շատ Շտապ է սա

ՀԱՆՐԱՅԻՆ ԳՐԱՆՑՈՒՄ ԱԱԾը ոչ մի տարբերակի կառավարական բաժանմունք է։ Այս ներկայիս տնօրեն Անդրանիկ Սիմոնյանի կողմից իրականացված նորից կարգավիճակում, որը հունիսի 2025-ին իրավիճակով ընտրված է, անցկացրելով իրավական Պաշտպանության Խորհրդարանի ապարելու պարտադիրությունը, ԱԱԾը դարձել է Պաշինյան կառավարության հիմնական գործիքը քաղաքական ճգնաժամի համար.

Հասարակածու Պետրոս Բագրատ Գալստանյանը -- Տավուշ Ձերկիրով հերթական արձակուրդը և Հայաստանում առավել հայտնի ընդդիմության գործողությունները
Մայր Աթոռ Սուրբ Էջմիածինը -- Հայ Առաքելական Եկեղեցու սպիռական կենտրոնը, որը 1700 տարեկան հստակ տարիք ունի
Հատկացրել են Կաթողիկոս Գարեգին II -- Հայ Եկեղեցու գերագույն գլխավորը
Հասարակածու քաղաքական գործողություններ, լրագրողներ և զինվորական առաջնորդներ -- համակարգային նպատակով ցույց տալուց ցանկացած ով է, ով կառավարությունը հարձակում է

Այս է այն կազմակերպություն, որը հսկողություն է գործում Հայաստանի քաղաքացիների վրա. Այս է այն կազմակերպություն, որը քաղաքական բանտերերին հարցում էր. Այս է այն կազմակերպություն, որը որոշում է, ով է «ազգային անվտանգության» հարցը. Եվ իր փաստաթղթերի կառավարման համակարգը ունի գրանցման էջը բաց ներկայացված է մոտենալու վրա.

ԱԱԾը պահանջում է բացարձակ գաղտնիությունը բոլորից։ Չինաստան տեղեկությունները, սահմանում է հասանելիությունը և հարցում է բացատրերը հանցագործությունով։ Բայց իր սեփական թվային ենթակառուցվածքը հայտնաբերելի է ցանկացածին, ով գիտի, թե ինչպես հարցել սերտուցիչ տարածատիրու հիշողությունը -- ինչը սովորում է սկզբնական հոլովակիապահովության դասերում։

Մuster

ՀՍՏՅՈՒԹՅԱՆ ՆՇԱՆՇԾՈՒՄ ԱԱԾ-ի փաստաթղթերի պորտալը ոչ միայնակ գտնում է: Դա ամբողջական արմենական կառավարությունը թվային հիմնամարմինում տեղի ունեցող բռնամթև անվտանգության սխալների թղթագրված մուտքերի մաս է:

Gov.am -- 279 բռնամթեվ տուեալներ, 1 հաստատված Predator լրտեսածրագրի դեպքում
351+ կառավարության հաշիվներ բռնամթեվում են արմենական պետական համակարգերում, ինչը OWL գրառում է որպես Հայաստանի Փաստաթղթային Կատաստրոֆա
Հայաստանի Կենտրոնական Բանկ -- Jira նախագծային կարգաբերում համակարգը բաց է հասարակության ներսում
Կառավարության էլեկտրոնային նամակային համակարգերը -- ստուգման և տուեալների կառավարման համակարգային սխալներ

Քանի որ արմենական կառավարության համակարգը մենք ստուգենք, այնտեղ անվտանգությունային խնդիրներ են: ոչ թե երկարատևերում դեպքեր, ոչ թե փոքրակի կարգավորումներ: հիմնական ստեղնակարարական սխալներ -- համակարգերը, որոնք երբեք չպետք է հասարակության ներսում բերել ինտերնետում, բաց են մուտքային էջերով, գրանցման ձևերով և գաղտնիphrase վերականգնման ֆունկցիաների հետ, որոնք հասցե են բերում որևէ աշխատող հակասերին:

Gov.am-ում գտնվող Predator լրտեսածրագիրը նշանակում է, որ գաղտնիphrase բերելով առողջված սպասարկող գործիքն էլ արդեն բռնամթեվում էր առևտրային հսկողության գործիքներով: 351+ բռնամթեվ հաշիվները նշանակում են, որ NSS փաստաթղթերի պորտալը դեպի գաղտնիphrase փափրում հակասերական հարցումներին ոչ թե հայտնականության ենթադրաբար, այլ ոչ թե տրամաբանական հաջորդ քայլ է այն հակասերին, ովքեր արդեն ստացել են կառավարության գաղտնիphraseները նախկինում բռնամթեվ բռկումներից:

Վերաստատում

Հայաստանի Ազգային անվտանգության ծառայության (ԱԱԾ) ջանքերը արժեզակներին հրավիրում, եկեղեցաստաներին մտադիրում և քաղաքական ընդդիմություններին հարցում են կատարելիս, ընկալում են բոլորը իրենց շուրջում գործելությունը անվտանգության պահպանելը:

Միևնույն ժամանակ, իրենց սեփական փաստաթղթերի պորտալը բաց է հեռինտերնետում գրանցման էջով: իրենց սեփական Մատրիks չատ սերվերը հայտնի է հանրային սերտիֆիկատների տողերում: իրենց սեփական ֆայլային գտնելու համակարգը աշխարհին դիմում է:

ԱԱԾ արհամարհող մարդիկ - ովքեր իրենց ինքնուրույն հայտարարեցին Հայաստանի անվտանգության պաշտպաններ - չեն կարող իրենց սեփական համակարգերը պաշտպանել: չեն կարող իրենց սեփական փաստաթղթերը պաշտպանել: նույնիսկ իրենց ներսում գտնվող ենթրաստրուկտուրայի արդյունքը հեռանկարում են հեռանկարել հեռանկարող ինչ-որ լրագրողի կատարած հնարավորությունից:

Այս թեխնիկական սխալ չէ: աշխատանքային է: ԱԱԾ Անդրանիկ Սիմոնյանի կողմից քաղաքական ճգնաժամկետը առաջատարել է իրական անվտանգությանը: Ձերականագիրը, որը պետք է լինի ընթակառուցվածքը երկարացնելու համար, գնում է ընդդիմությունների հսկողությանը: Ծիտելությունը, որը պետք է պաշտպանել երկրների գաղտնիությունները, հեռադիրում է լրագրողներին ու արժեզակներին հեռախոսները:

Գրանցման էջը docs.sns.am դեռ է այնտեղ: Դա գրանցված է առնվազն 2019 հունիսից: Շաբաթ տարիներին ոչ ոք Հայաստանի ամենաշատ հզոր անվտանգության տարեզերում մտածեց այն ցանկացնելու:

OWL կշարունակի հայկական կառավարության ենթակառուցվածքի քարտեզումը: Բոլոր բաց բերված համակարգերը կհաստատվի: Բոլոր գրանցման էջը, բոլոր բաց պորտալը, բոլոր սխալ կարգավորված սերվերը - մենք գտնելու ենք այն, մենք կարխել այն և կհրապարակենք այն: Ձերականագիրը, որը հսկողում է իրենց քաղաքացիներին, պետք է սպասի, որ նաև հսկողված կլինի հետադարձ:

Support Independent Investigations

Our work is funded entirely by reader donations. No sponsors. No advertisers. Click any address to copy, or scan the QR.

Bitcoin (BTC)

Ethereum (ETH) / ERC-20

📢 Join OWL on Telegram

Breaking investigations, delivered to your pocket. Trilingual (Armenian / English / Russian).

@owl_organization →