Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

SAB darbiniekiem kibertelpā pieklibo operacionālā drošība

Kategorija: DP + Informācijas atklātība + Izlūkošana + LVRTC + SAB + VP ENAP Kibernoziegumu nodaļa

sab_logo

Maizīša oficiālās atbildes īpatnība slēpjas apstāklī, ka Pietiek jautājumi pa elektronisko pastu bija nosūtīti SAB preses sekretārei Ivetai Maurai, kuras – it kā neizpaužamas un slepenas SAB amatpersonas, kā minēts Maizīša vēstulē, – vārds, uzvārds, tālruņa numurs un elektroniskā pasta adrese ir minēti SAB interneta mājas lapā un publiski pieejami.

Vēl vairāk, pēc tam, kad Pietiek papildjautājumus elektroniskā pasta vēstulē nosūtīja uz to pašu SAB mājas lapā atrodamo adresi (baiba.rata@sab.gov.lv), atbildes sūtījums pienāca no vēl jaunas elektroniskā pasta adreses – ne vairs info@sab.gov.lv, bet gan ivetam@slazds.gov.lv. Kā šīs elektroniskā pasta vēstules sūtītāja bija norādīta, Maizīšaprāt, “slepenā” “Iveta Maura, SAB amatpersona”.

Ne visi SAB darbinieki ir IT speciālisti. Iestādei, kura vēlas darboties kibertelpā, bet nevēlas būt pamanīta, tas ir liels izaicinājums. Dažas informācijas drupatas par SAB operacionālo kiberdrošību, ko var noskaidrot izmantojot publiskus resursus:

Abiem domēniem tiek izmantoti vieni un tie paši e-pasta serveri, kuri tiek uzturēti “SLAZDSNET” LVRTC apakštīklā:

sab.gov.lv    mail exchanger = 15 mail2.slazds.gov.lv.
sab.gov.lv    mail exchanger = 10 mail.slazds.gov.lv.
slazds.gov.lv    mail exchanger = 10 mail.slazds.gov.lv.
slazds.gov.lv    mail exchanger = 15 mail2.slazds.gov.lv.
Name:    mail.slazds.gov.lv
Address: 195.244.145.2
Name:    mail2.slazds.gov.lv
Address: 195.244.145.5

inetnum:        195.244.145.0 – 195.244.145.63
netname:        SLAZDSNET
descr:          Riga
country:        LV

SAB mājaslapa tiek uzturēta LVRTC (bijušajā VITA) datu centrā:

Name:    www.sab.gov.lv
Address: 212.70.160.62

inetnum:        212.70.160.0 – 212.70.160.255
netname:        LV-VITA
descr:          State Information Network Agency (VITA)
country:        LV

Ir novērots, ka SAB iekšējai sarakstei izmanto vēl vienu domēnu – “zd.gov.lv”, kurš tiek uzturēts uz tiem pašiem pasta serveriem:

zd.gov.lv    mail exchanger = 10 mail.zd.gov.lv.
zd.gov.lv    mail exchanger = 15 mail2.zd.gov.lv.
Name:    mail.zd.gov.lv
Address: 195.244.145.2
Name:    mail2.zd.gov.lv
Address: 195.244.145.5

Pēc HTTP pieprasījumu “referer” pēdām redzams, ka darbiniekiem tiek nodrošināta roundcube webmail pieeja (DNS ieraksts “webmail.zd.gov.lv” no publiskā tīkla nav iegūstams):

“https://webmail.zd.gov.lv/roundcube/?_task=mail&_action=preview&_uid=101&_mbox=INBOX&_framed=1”

Savu sērfošanas paradumu slēpšanai SAB darbinieki izmanto IP adresi 159.148.48.225, kas gan reģistrēta uz neeksistējoša SIA “Dzirnavu nami” vārda:

inetnum:        159.148.48.224 – 159.148.48.231
netname:        DZIRNAVUNAMISIA
descr:          DZIRNAVU NAMI SIA
country:        LV

Atšķirībā no SAB, IeM paspārnē esošās struktūras savu sērfošanas paradumu slēpšanai izmanto 3G modēmus, kuru izejošās IP adreses visbiežāk nāk no “LMT-3G” (212.93.104.0/23) tīkla.

Avoti:
Pietiek.com: http://pietiek.com/raksti/maizitis_sab_majas_lapa_uzraditas_preses_sekretares_vards_un_amats_ir_valsts_noslepums

Tagged: » » »

2014-07-11  »  edgars

  1. m
    11 July 2014 @ 10:24

    zd.gov.lv SAB izmanto ne tikai iekšējai sarakstei – man dažus gadus atpakaļ viņi bija sūtījuši uz @gmail.com adresi darba piedāvājumu no ***@zd.gov.lv adreses. Sākumā nesapratu, kas tas par zd.gov.lv, un vēstulē nekas par SAB nebija teikts, bet pēc parakāšanās internetā sapratu, ka tas ir SAB.

  2. edgars
    11 July 2014 @ 17:09

    Šodien novērotie SAB pieslēgumi:

    84.237.132.91 – – [11/Jul/2014:13:02:50 +0300] “GET /2014/07/11/sab-darbiniekiem-kibertelpa-pieklibo-operacionala-drosiba/ HTTP/1.1” 200 8491 “https://webmail.zd.gov.lv/roundcube/?_task=mail&_action=preview&_uid=5359&_mbox=INBOX&_framed=1&_caps=pdf%3D1%2Cflash%3D1%2Ctif%3D0” “Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0”
    84.237.132.91 – – [11/Jul/2014:13:06:02 +0300] “GET /2014/07/11/sab-darbiniekiem-kibertelpa-pieklibo-operacionala-drosiba/ HTTP/1.1” 200 8491 “https://webmail.zd.gov.lv/roundcube/?_task=mail&_action=preview&_uid=5359&_mbox=INBOX&_framed=1&_caps=pdf%3D1%2Cflash%3D1%2Ctif%3D0” “Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0”
    84.237.132.91 – – [11/Jul/2014:13:21:41 +0300] “GET /2014/07/11/sab-darbiniekiem-kibertelpa-pieklibo-operacionala-drosiba/ HTTP/1.1” 200 8491 “https://webmail.zd.gov.lv/roundcube/?_task=mail&_action=preview&_uid=5359&_mbox=INBOX&_framed=1&_caps=pdf%3D1%2Cflash%3D1%2Ctif%3D0” “Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0”
    84.237.132.91 – – [11/Jul/2014:13:50:06 +0300] “GET /2014/07/11/sab-darbiniekiem-kibertelpa-pieklibo-operacionala-drosiba/ HTTP/1.1” 200 8491 “https://webmail.zd.gov.lv/roundcube/?_task=mail&_action=preview&_uid=10389&_mbox=INBOX&_framed=1&_caps=pdf%3D1%2Cflash%3D1%2Ctif%3D0” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0”
    81.198.24.202 – – [11/Jul/2014:14:12:40 +0300] “GET /2014/07/11/sab-darbiniekiem-kibertelpa-pieklibo-operacionala-drosiba/ HTTP/1.1” 200 8491 “https://webmail.zd.gov.lv/roundcube/?_task=mail&_action=preview&_uid=14845&_mbox=INBOX&_framed=1&_caps=pdf%3D0%2Cflash%3D1%2Ctif%3D0” “Mozilla/5.0 (X11; Linux x86_64; rv:30.0) Gecko/20100101 Firefox/30.0”
    81.198.24.202 – – [11/Jul/2014:15:08:11 +0300] “GET /2014/07/11/sab-darbiniekiem-kibertelpa-pieklibo-operacionala-drosiba/ HTTP/1.1” 200 8491 “https://webmail.zd.gov.lv/?_task=mail&_action=preview&_uid=8477&_mbox=INBOX&_framed=1&_caps=pdf%3D0%2Cflash%3D1%2Ctif%3D0” “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36”
    81.198.24.202 – – [11/Jul/2014:15:28:40 +0300] “GET /2014/07/11/sab-darbiniekiem-kibertelpa-pieklibo-operacionala-drosiba/ HTTP/1.1” 200 8491 “https://webmail.zd.gov.lv/?_task=mail&_action=preview&_uid=66648&_mbox=INBOX&_framed=1&_caps=pdf%3D1%2Cflash%3D1%2Ctif%3D0” “Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.153 Safari/537.36”
    81.198.24.202 – – [11/Jul/2014:15:50:52 +0300] “GET /2014/07/11/sab-darbiniekiem-kibertelpa-pieklibo-operacionala-drosiba/ HTTP/1.1” 200 8491 “https://webmail.zd.gov.lv/roundcube/?_task=mail&_action=preview&_uid=1002&_mbox=INBOX&_framed=1&_caps=pdf%3D1%2Cflash%3D1%2Ctif%3D0” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0”
    81.198.24.202 – – [11/Jul/2014:15:55:53 +0300] “GET /2014/07/11/sab-darbiniekiem-kibertelpa-pieklibo-operacionala-drosiba/ HTTP/1.1” 200 8491 “https://webmail.zd.gov.lv/roundcube/?_task=mail&_action=show&_uid=3&_mbox=INBOX&_caps=pdf%3D1%2Cflash%3D1%2Ctif%3D0” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0”

    Roundcube URL parametrs “_uid” ir unikālais vēstules identifikators pasta kastē. Iespējams, SAB ir izvēlējušies labāku stratēģiju – ik pa pāris stundām izmantot jaunu dinamisko IP adresei no LTC-HOME tīkla.

  3. Anonymous
    13 July 2014 @ 20:29

    Pēc šī SABistiem vajadzētu uzhakot roundcube, lai atrubītu preview un urļu hrefošanu. Katram lammerim pārlūkā atrubīt refererus var būt pārāk sarežģīti ;)

Re: SAB darbiniekiem kibertelpā pieklibo operacionālā drošība







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>