Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

Iekšlietu ministrijas Informācijas centrs ar vienu piegājienu nespēj salabot CAPTCHA apiešanu

Kategorija: ePārvalde + Informācijas atklātība

nederigo_dokumentu_registrs

Iekšlietu ministrijas Informācijas centrs nodrošina pakalpojumu, kas ļauj noskaidrot, vai konkrēts dokuments ir anulēts, pazaudēts utml. (iekļauts Nederīgo dokumentu reģistrā). Lai ierobežotu automatizētu informācijas ieguvi no reģistra, lietotnes izstrādātājs tai ir pievienojis drošības kodu (CAPTCHA), kas obligāti jāievada, lai pieprasītu datus. Šī drošības koda realizācijā ir atklāta būtiska nepilnība. Pašu nepilnību gan raksturojam kā zemas prioritātes, ņemot vērā, ka drošības koda esamība kā tāda nav vitāli nepieciešama konkrētā pakalpojuma nodrošināšanai.

Drošības kods ir PHP skripts, kas atgriež JPEG attēlu un uzstāda sīkdatni ar nosaukumu “lriem_secure”. Nepilnības atklāšanas brīdī sīkdatnē ASCII formā atradās tas pats skaitlis, kas attēlā.

Nepilnības novēršanai ieteicām lietot PHP sesijas, kas ļautu sīkdatnē glabāt nesaistītu jaucējskaitli, bet pašu drošības jau glabāt sesijā, pret ko tad arī varētu veikt salīdzināšanu. Vienlaikus ilgtermiņā ieteicām attiekties no drošības koda lietošanas, ierobežojot pieprasījumu skaitu laika vienībā.

6. novembrī aplikācijas kodā tika veiktas izmaiņas — ieviesta funkcija … joprojām nekādā veidā nepasargā no atkārtošanas uzbrukumiem (replay attacks) — atliek vien ievadā padod datu pāri, kas apmierina augšminēto sakarību.

Aplikācijas kodā norādīts, ka tās autors ir “Maris Melnikovs”, savukārt publiskās datu bāzes liecina, ka cilvēks ar ļoti līdzīgu vārdu Iekšlietu ministrijā ir nostrādājis aptuveni pus gadu, par to saņemot diezgan pieklājīgu atalgojumu, taču šobrīd vairs valsts iestādēs nestrādā. Aplikācijas autora nepieejamība varētu izskaidrot to, kāpēc netika ņemtas vērā mūsu rekomendācijas nepilnības labošanai.

Kāpēc tā vietā, lai nederīgo dokumentu reģistra datus izliktu lejupielādei, IEM nodrošina tikai atsevišķu pieprasījumu veikšanu, turklāt tos apgrūtinot vēl ar CAPTCHA? Vai tad šī reģistra mērķis nav veicināt datu apriti, lai novērst nelikumīgas darbības?

Avoti:
Kirils Solovjovs: http://possible.lv/lv/news/nederigo-dokumentu-registra-nepilniba/

2013-11-13  »  edgars

  1. galds
    14 November 2013 @ 10:30

    No 18.05.2010 līdz 05.08.2010 alga 7590.81 LVL par šķībām rokām tas ir kaut kas fantastisks. Latvijā privātajā sektorā tādas algas vispār kaut kur ir ?

  2. d-k
    14 November 2013 @ 10:32

    Radās tāds teorētisks jautājums:
    Kā būtu jāstrādā šādam pakalpojumam?
    a) jāsalīdzina ievadītie dati pret DERĪGO dokumentu sarakstu (white list), un gadījumā, ja to NAV šajā sarakstā paziņot par dokumenta nederīgumu.
    b) jāsalīdzina ievadītie dati pret NEDERĪGO dokumentu sarakstu (black list), un gadījumā, ja tie IR šajā sarakstā pazņot par dokumenta nederīgumu.

    Skaidri redzams, ka šobrīd pakalpojums strādā pēc b) scenārija. Piemēram, ievadot autovadītāja apliecības numuru ZZ000000 man atgriež atbildi – nav ziņu par dokumenta nederīgumu, lai gan skaidri zināms ka apliecība ar šādu numuru vispār noteikti neeksistē.

  3. Jōnas
    14 November 2013 @ 11:19

    Tauta, tas taču ir Kirlils. Tas pats Kirils. Kirils nemainās.
    Puika tēlo elektronisko proktologu iekš atvērtas sistēmas, kurai CAPTCHA ir tikai priekš tā, lai sistēmu nepārslogo boti.
    Un es paredzu Kirilam tiesu darbus, jo viņš nekur nav minējis, ka ir informējis iestādi, par viņas sistēmā esošu caurumu. Tātad tas ir ar nodomu veikts uzbrukums, kurš rada apdraudzējumu valsts nozīmes sistēmai.
    Pirms iešanas aiz restes, iesaku Kirilam izbalināt matus, garmataini blondīni šogad esot topā.
    Tas ir kā pasludināt sevi, par lielu hakeri atverot konservu bundžu. Tur arī aizsardzība ir tikai priekš tā, lai šprotes nesabojājās un iekšā nesalien prusaki.

  4. Kurzemnieks Džo
    14 November 2013 @ 12:41

    Jōnas +1.
    “jo viņš nekur nav minējis, ka ir informējis iestādi, par viņas sistēmā esošu caurumu” Pucē āni Kiril, šepte būs.

  5. Gints
    14 November 2013 @ 13:37

    d-k
    Nederīgo dokumentu reģistrs tas arī ir kas ir minēts nosaukumā – NEDERĪGO dokumentu reģistrs.
    Tātad, ja Tu gribi scenāriju a), Tev jādod pieprasījums dokumenta izdevējam un attiecīgā reģistra uzturētājam. Vajadzētu saprast, ka whitelistu uzturēt aktuālu ir dauuuudz grūtāk nekā black listu, pie tam tas ir dauuuuuudz lielāks.

    Dzivē scenārijs ir tāds – kex atnāk pie Tevis un dod dokumentu. Tu apskati to no visām pusēm, paskaties derīguma termiņu, paskaties bildi, salīdzini ar to ko redzi priekšā, iespējams salīdzini viņa parakstu ar pasē esošo. Tad drošības pēc iesit konkrēto numuru Nederīgo dok reģistrā (vai patiesībā normāla programma to dara Tava vietā veicot asinhronu pieprasījumu NDR un attēlojot uz ekrāna lieliem sarkaniem burtiem, kad doks ir atrodams NDR, ja nu gadījumā tā ir).
    Ja Tev rodas aizdomas par dokumenta neīstumu (pilnu vai daļēju viltojumu), tad tā vairs nav NDR problēma. Bet tas jau faktiski ir arī nozieguma cits līmenis.

  6. Anonymous
    14 November 2013 @ 22:51

    Šo noteikti pats kirils http://www.apollo.lv/zinas/nelikumigi-megina-iegut-swedbank-datus-dalai-klientu-bloke-internetbankas-piekluvi/622327

    Apvainojās jo šo neņēma par pilnu :D

  7. d-k
    15 November 2013 @ 09:36

    @Gints
    Tad sanāk, ka vadītāja apliecība ar numuru ZZ000000 ir derīga? Interesanti būtu zināt kā šādi pakalpojumi strādā citās attīstītās valstīs… vai uz blacklist vai uz whitelist principa.
    Domāju, ka neviens nenoliegs, ka efektīvāks ir whitelist princips.

  8. Anonymous
    15 November 2013 @ 13:49

    Efektīvāks kādā ziņā? Uzturēšana? Izstrāde? Mērķis ir “anulēt”, noķert īstus, nederīgus dokumentus.

    Ja tiek glabāti derīgie ID, tad tāpat viltojums ar citu, derīgu ID nedotu nekādu atklājumu. Ja vari noviltot uz ZZ0000000 tad vari noviltot uz XX13210210. Glabāt pārējos datus par dokumentu? Good luck panākt vienošanos, ka visas iesaistītās puses to jebkad atrisinātu. Ja kādam vajag arī pārējo info, tad lielai daļai dokumentu tos varētu arī atrast, viltot un .. beigās pilnīgi noklonēt. Turklāt, tādā gadījumā būtu vēl viena uzbrukumam potenciāla vieta, kurā glabātos (vai no kurienes būtu pieejama) interesanta informācija.

    Kā jau Gints minēja šeit ir uzticība
    1) dokumentu viltošanas grūtībai
    2) cilvēkam, kurš pārbauda, ka dokuments nav viltots
    3) iespējamai trešajai sistēmai, kura pārbauda ID checksum vai tml.

    Domājams Latvija.lv kādreiz varētu whitelist nodrošināt, ja viss ietu skaisti, bet maz ticams un manuprāt nav liels ieguvums no tā.

  9. galds
    15 November 2013 @ 14:01

    he he Infromācijas centra darbinieki pat pieslēdzās

  10. Gints
    20 November 2013 @ 14:25

    @d-k
    Lūdzu draudzēties ar formālo loģiku un precizitāti izteikumos.

    NDR saka tikai to, ka vadītāja apliecība ar numuru ZZ000000 nav reģistrēta šajā reģistrā un punkts. Tā neko nesaka par to vai tā:
    – ir viltota vai īsta
    – derīguma termiņš ir/nav beidzies
    – atrodas tā īpašnieka vai zagļa rokās
    – vēl par bezgalīgi daudz citām lietām.

    Attiecīgi uz Tavu izteikumu: “Tad sanāk, ka vadītāja apliecība ar numuru ZZ000000 ir derīga?” atbilde ir NULL, jo NDR uz šādu jautājumu atbildēt NEVAR.

    Es varu zināmā mērā saprast Tavu vēlmi, bet tā nu tas šobrīd nav. Un vispirmām kārtām, ka jau liecina mans gadījums (skat linkā uz mana vārda) būtu jauki, ja šo pašu privātās iestādes sāktu beidzot izmantot.

    P.S. Ja gadījumā nezini, kas ir NULL, vari palasīties tai pašā saitā iekš datubāzēm :)
    P.P.S. Es neesmu IC darbinieks un nekad neesmu bijis :)

  11. Valters
    30 November 2013 @ 00:30

    Vispār jau tas ir tāds TROLL izgājiems! Redzu, ka bērnudārza vecuma asākie prāti(Kirils un viņa draugi) ir atraduši pasaules mēroga ievainojamību un nu tagad ir vareni, jo ir tur visu uzlauzuši. :D Nu apsveicu ar gadsimta lielāko programmatūras baga atrašanu. :D
    Āksti!!!!
    Nav pat jāiedziļinās un jādiskutē par to kā tas viss strādā, lai saprastu, ka raksts ir bezjēdzīgs, kaut vai tāpēc, ka no tā reģistra var dabūt laukā tikai nederīgos dokumentus, kuri tāpat tiek izvadīti vienā listā tā paša e-pakalpojuma ietvaros tikai vajag uz citas saites uzspiest, ja šiem “IT drošības speciem” būtu galvā pietiekami daudz smadzeņu, tad varētu palasīt arī tālāk un apskatīties. arī aprakstu. Turklāt rodas priekštats, ka raksta autori vispār nemāk lasīt un neviens tur no tiem ākstiem nav pat iedziļinājies e-pakalpojuma aprakstā.

    Es kārtējo reizi pārliecinos, ka šī ir tāda mērīšanās ar krāniņiem un tukšu salmu kulšana latviešu stiliņā.

    Man ir patiešām kauns par tādiem „IT drošibas ekspertiem” un vēl jo vairāk, ka tādi āksti uzdodas par manas profesijas pārstāvjiem.

    Turklāt es gan nezinu ko par šo visu domā e-pakalpojuma programmētājs, jo šeit viņa vārds ir pieminēts ne pa tēmu, Tas jau ir Iem IC e-pakalpojums nevis tā programmētāja, tur jau drošvien ir citi vīri pie ruļļiem, kas tur to visu uzlabo.

    Secinājums.
    Profesionālā ētika un kompetence raksta autoriem ir ļoti svešs jēdziens.

Re: Iekšlietu ministrijas Informācijas centrs ar vienu piegājienu nespēj salabot CAPTCHA apiešanu







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>