Kirils Solovjovs: Laikmeta iezīme – klients kā lielo uzņēmumu traucēklis

“Uzņēmums vai nu aug, vai stagnē un grimst,” stāsta pasniedzējs ar nopietnu vaigu lekcijā ekonomiku apgūt gribošajiem pirmkursniekiem. Visi skatieni pavērsti pret viņu. Klusums. Doma nu iemājo studentu galvās. Daudzi no viņiem jau strādā algotu darbu, vēl daudzi domā, kur strādās, bet vairāki no kursa kļūs par uzņēmējiem. Bet kādiem? Kādi viņi būs kā cilvēki savā uzņēmējdarbībā? Vai viņi saglabās cilvēcību?

Lasīt tālāk

Vadošais Latvijas kiberdrošības uzņēmums “Possible Security” svin desmit gadu jubileju

“Possible Security”, vadošais specializētais kiberdrošības uzņēmums šogad atzīmē savu desmit gadu jubileju. Kopš tā dibināšanas 2013.gadā, uzņēmumu grupa ir stabili attīstījusies, piedāvājot saviem klientiem plašu pakalpojumu spektru, tajā skaitā drošības konsultācijas, auditus, testus, dažādas drošības apmācības, kā arī pēdējos gados – specifiskajām lēmumu pieņemšanas procedūrām īpaši pielāgotus tehnoloģiskos risinājumus “e-Saeima” Latvijas Republikas Saeimai un “e-RīgasDome” Rīgas domei. Risinājumi sniedz iespēju Saeimas un Rīgas domes sēdes noturēt attālināti.

Uzņēmuma īpašnieks un dibinātājs Kirils Solovjovs atklāj, ka, dibinot uzņēmumu. sākotnējais mērķis bija vairot sabiedrības izpratni par kiberdrošību: “Kad 2013.gadā kopā ar partneri Jāni Jansonu dibinājām uzņēmumu, necerējām uz lielu skaitu klientu jau pirmajā darbības gadā. Drīzāk vēlējāmies vairot sabiedrības, uzņēmumu un valsts iestāžu izpratni par kiberdrošību, veidot šo nozari Latvijā.”

Solovjovs uzskata, ka ir pamats lepoties ar sasniegto: “Šobrīd “Possible Security” ir kiberdrošības tirgus līderis – esam vadošais specializētais kiberdrošības uzņēmums Latvijā. Strādājam arī ar starptautiskajiem partneriem, lai ietekmētu un pilnveidotu starptautiskos standartus, iesaistāmies Latvijas normatīvo aktu un dažādu regulējumu izstrādē ar saviem priekšlikumiem. Apkalpojam daudz klientu dažādās jomās, piemēram, Latvijas Republikas Saeimu, Rīgas domi, Nacionālo veselības dienestu, “Indexo”, “Tirdzniecības nams “Kurši”” un daudzus citus.”

Tehnoloģiju drošības uzņēmums “Possible Security” kopš 2013.gada IT drošības eksperta un vadošā pētnieka Kirila Solovjova vadībā nodrošina augsta līmeņa informācijas tehnoloģiju drošības konsultācijas, programmatūras un iekārtu IT drošības auditus, ielaušanās testus, kā arī datu ieguves un analīzes pakalpojumus. 2023.gadā uzņēmumu grupas apgrozījums sasniedza 0,3 miljonus eiro.

Uzņēmumiem pieejams atbalsts to IT drošības uzlabošanai

Komersanti, biedrības, nodibinājumi, pētniecības un zināšanu izplatīšanas organizācijas, kuras vēlas stiprināt savu informācijas un komunikāciju tehnoloģiju (IKT) drošību, izmantojot pakalpojumus, ko nodrošina arī Possible Security, var pieteikties 30 % – 100 % lielam atbalstam Latvijas Investīciju un attīstības aģentūras (LIAA) administrētās programmas “Atbalsts procesu digitalizācijai komercdarbībā” ietvaros.

Mikro un mazie komersanti var pieteikties līdz pat 100 % atbalstam apmērā līdz 5 000 eiro, savukārt, visi, arī mazie komersanti un augstāk minētās organizācijas, var pieteikties 30 % – 60% lielam atbalstam apmērā līdz 100 000 eiro. Projektu finansē komersants par saviem līdzekļiem, un atbalstu saņem pēc projekta pabeigšanas.

Atbalsts izmantojams gatavo risinājumu, aparatūras, sensoru, iekārtu, programmatūras un informācijas tehnoloģiju infrastruktūras iegādes, izstrādes, uzstādīšanas un pielāgošanas izmaksu, tai skaitā licences iegādes izmaksu segšanai, kā arī ne vairāk kā 50 % apmērā – ekspertu konsultācijām saistībā ar iepriekš minēto.

Finansējums atbalsta programmā ir pieejams līdz 2026. gada 31. martam un kopējais finansējums tai ir 37,5 miljoni eiro.

Lasīt tālāk

Drošu paroļu veidošana

Ikdienā lietojam daudz un dažādas aplikācijas, izmantojam dažādus portālus, sociālos tīklus un lielākajā daļā no tiem arī esam reģistrējušies kā lietotāji. Lai mazinātu kontu uzlaušanas un personīgās informācijas nopludināšanas risku, ikviens var sākt ar pavisam ikdienišķu lietu – paroļu drošību. Labākais veids, kā pasargāt savu personīgo informāciju, ir fizisko atslēgu, piemēram, Titan Security Key, YubiKey vai eID kartes izmantošana vai īpašas autentifikācijas aplikācijas viedtālruņos, piemēram, Microsoft Authenticator, andOTP, Smart-ID, Authy u.tml., izmantošana. Drošā veidā būtu jāsaglabā arī rezerves kodi, lai netiktu pazaudēta pieeja, gadījumā, ja autentifikators pazūd vai sabojājas. Ja izmantot fiziskās atslēgas vai aplikācijas nav iespējams un identitātes apliecināšanai izmantojam jau ierasto paroli, tad nodrošināt savu kontu un profilu aizsardzību varam, izveidojot spēcīgu paroli un to ik pa laikam nomainot.

Lasīt tālāk

Drošs elektroniskais paraksts un dinamiskais saturs

Digitālo parakstu viena no pamatfunkcijām ir garantēt parakstīto datu integritāti, kas tiek nodrošināts, parakstītos datus (to kontrolsummu) šifrējot ar kādu no asimetriskās kriptogrāfijas algoritmiem. Veicot izmaiņas parakstītajos datos, to kontrolsumma vairs nesakrīt ar parakstā iekļauto vērtību, līdz ar to paraksts identificējams kā nederīgs.

Tomēr reālajā dzīvē parakstāmie dati ir krietni vien sarežģītāki par parastām teksta virknēm. Digitāli parakstot dokumentu datnes, tiek garantēts, ka paraksta pārbaudītājs varēs konstatēt, vai dokumenta datnes saturs ir tieši tāds, kāds tas bijis parakstīšanas brīdī. Taču tas neko nepasaka par to, vai sakrīt arī dokumenta datnes satura reprezentācija (attēlojums) lietojumprogrammās, kas šos dokumentus attēlo.

Demonstrējam vairākus veidus, kā iespējams, izmantojot dažādas .docx un .odt teksta dokumentu formātos pieejamās funkcijas, radīt dokumentus, kuru datņu saturs ir nemainīgs un, līdz ar to, nerada šaubas par digitālā paraksta derīgumu, taču faktiskais lietotājam attēlotais saturs (tā reprezentācija) var atšķirties.

Lasīt tālāk

Platforma e-Saeima atzīta par veiksmīgāko e-paraksta integrācijas risinājumu

Balva "Platīna pele" un Tautas veidots Latvijas karogs Saeimas sēžu attālinātās norises platforma e-Saeima saņēmusi Latvijas Informācijas un komunikācijas tehnoloģiju asociācijas gada balvu “Platīna pele 2020” kā veiksmīgākais e-paraksta integrācijas risinājums. Speciālbalvu pasniedz pretendentam, kurš vislabāk integrējis e-parakstu iestādes vai organizācijas sistēmā, e-pakalpojumā vai risinājumā.

Lasīt tālāk

Parakstu vākšanas dinamika

14. novembrī Centrālā vēlēšanu komisija atļāvusi parakstu vākšanu par 13. Saeimas atlaišanu, ko rosinājušas pat divas organizācijas reizē. Lai gan sākotnēji šķita, ka parakstus noteikti nesavāks, neparasti lielā aktivitāte, kas piedzīvota jau pirmajās parakstu vākšanas dienās, lika šo pieņēmumu apšaubīt.

Lai būtu iespējams labāk paredzēt iznākumu un parakstu vākšanas dinamikas izmaiņas, esam sagatavojuši infolapu ar grafiku ar šobrīd savākto parakstu* proporciju, izmantojot portāla Latvija.lv informāciju.

Šobrīd parakstījušies 31715 cilvēki. Savākti 20.5% nepieciešamo parakstu. Atlikuši 98.7% laika.

Aicinām rūpīgi izsvērt savu izvēli pirms parakstīties vai neparakstīties par šo iniciatīvu.

* infolapa satur tikai Latvija.lv iesniegtos parakstus, nav iekļauti citos veidos savāktie paraksti; daļa no uzrādītajiem parakstiem var izrādīties nederīga

Possible Security, Accenture & CERT.LV organizē hakatonu

Šā gada 1. jūnijā no plkst. 19:00 līdz 3:00 notiks informācijas tehnoloģiju (IT) drošības hakatons, kuru organizē IT uzņēmums Accenturesadarbībā ar IT drošības incidentu novēršanas institūciju CERT.LV un IT drošības uzņēmumu Possible Security. Hakatona mērķis ir popularizēt IT drošības jautājumus Latvijā. Drošības entuziastiem šī ir iespēja pierādīt sevi, risinot praktiskus uzdevumus, satikt un iepazīties ar citiem nozares pārstāvjiem.

Hakatonā cīņa dalībniekiem būs individuāla. Uzdevumi ļaus plašāk iepazīt un izprast apdraudējumus IT drošībai, kā arī pārbaudīs dalībnieku rīcību un lēmumu pieņemšanas spējas IT drošības krīžu situācijās. Uzdevumi būs ar dažādām grūtības pakāpēm. Uzvarēs dalībnieks, kurš iesniegs visvairāk pierādījumu par izpildītajiem uzdevumiem.

Hakatons notiks Accenture birojā Brīvības gatvē 214. Dalībnieki, kuri izpildīs visvairāk uzdevumu, balvās saņems dronu ar kameru DJI Mavic Pro un video kameru 4K camera GoPro HERO5 Session. Pasākums notiks angļu valodā.

Google CTF 2017

Some would say that this year’s Google CTF was harder than usual. Maybe it was. But it also was great fun.
Even though this was the first time possiblesecurity.com team participated in any CTF, we scored 79th place out of 1976 contenders worldwide.

Kirils also submitted a write-up for one of the challenges ­ — JohnnyBoy — and now that write-up winners have been announced, we can publish it too.

Will we be back next year? Sure thing!

Milesight IP drošības kameru ievainojamības

Līdz ar lietu interneta popularitātes pieaugumu, IP videonovērošanas kameru ražošanas process tuvinās lietu interneta, nevis drošības iekārtu izstrādei. Tas noved pie būtiskām ievainojamībām kritiski svarīgās sistēmās.

Mūsu vadošais pētnieks Kirils Solovjovs piedalījās CERT.LV un ISACA Latvijas nodaļas rīkotajā ikgadējā IT drošības konferencē „Kiberšahs 2016”, kur stāstīja par būtiskajām ievainojamībām, ko atklājis Milesight IP videonovērošanas kameru programmatūrā (CVE-2016-2356, CVE-2016-2357, CVE-2016-2358, CVE-2016-2359, CVE-2016-2360). Kirils sadarbībā ar CERT.LV veica ievainojamību pārbaudi vienā valsts iestādē un konstatēja, ka tajā izvietotas simtiem ievainojamu IP videonovērošanas kameru.

Ņemot vērā to, ka kameru ražotājs atrodas citā valstī, viņš uzsāka starpvalstu atbildīgas atklāšanas procesu, tajā pakāpeniski iesaistot ražotāju, CERT.LV, kameru lietotāju, uzstādītāju, HackerOne, Inc. un CERT/CC.

Prezentācija aptver atklāto ievainojamību tehniskos aspektus, atziņas no starpvalstu atbildīgas atklāšanas procesa, un rekomendācijas speciālistiem, drošības vadītājiem, kā arī atbildīgas atklāšanas politikas veidotājiem. Pieejams arī videoieraksts no konferences (angļu valodā).

MAKE RIGA hakošanas sacensības 2016

1st place 20165. un 6. novembrī Elektronikas un datorzinātņu institūta (EDI) telpās norisinājās jau otrās ikgadējās MAKE RIGA hakošanas sacensības, kurās laurus plūca IT drošības uzņēmuma 1. SIA līdzīpašnieks Kirils Solovjovs, tādējādi kļūstot par sacensību divgadējo čempionu.

“Uzdevumi kļūst arvien interesantāki un dažādāki. Arī dalībnieku skaits pieaug. Tas rada patīkamu sāncensības sajūtu. Sākotnēji nemaz nebiju plānojis piedalīties, taču, redzot lielo dalībnieku atsaucību, otrajā dienā nolēmu reģistrēties sacensībām. Varētu teikt, ka šogad rezultātu augšgalā nokļuvu gaužām netīši,” ar smaidu stāsta sacensību uzvarētājs Kirils Solovjovs.

Šogad olimpiādes organizatori bija sagatavojuši dalībniekiem par 57% vairāk izaicinājumu, piedāvājot risināt 33 dažādus uzdevumus tādās disciplīnās kā

  • šifrēšana,
  • lietu interneta iekārtas,
  • bezvadu tīklu drošība,
  • sociālā inženierija,
  • iegulto iekārtu un mikročipu analīze,
  • radio ziņojumu pārtveršana un dekodēšana,
  • RFID sistēmu drošība,
  • programmatūras reversā inženierija,
  • tīkla servisu drošība.

Olimpiādē piedalījās 38 dalībnieki no visas Latvijas to skaitā IT jomas profesionāļi, zinātnieki un citi interesenti. Pirmo vietu ar 162 punktiem ieguva IT drošības eksperts Kirils Solovjovs. Iepaliekot pirmajai vietai sekoja Krišjānis Stikāns ar 99.5 punktiem. Bronzu ar 91 punktu guva Aleksandrs Levinskis, kam cieši sekoja Dāvis Mosāns un “mkz” ar attiecīgi 90 un 89 punktiem. Seši no 33 uzdevumiem tā arī palika neviena dalībnieka neuzveikti.

Cyber Europe 2016

Cyber EuropeOn 13th and 14th of October Possible Security took part in “Cyber Europe 2016” — the largest and most comprehensive EU cyber-security exercise to date. Cybersecurity authorities and cybersecurity experts from more than 300 organisations from all 28 EU Member States, Switzerland and Norway, reacted to a series of unprecedented, coordinated cyberattacks.

Exercise scenario included massive distributed denial of service attacks as well as disinformation campaign and sabotage of critical infrastructure, and featured the Internet of Things, drones, cloud computing, innovative exfiltration vectors, mobile malware, ransomware, etc.

Amongst the goals of the exercise was testing the ability of national and governmental cybersecurity agencies, ministries, EU institutions as well as internet and cloud service providers and cybersecurity service providers to safeguard the European Digital Single Market and creating recommendations to improve cybersecurity in Europe. After-action report will be made publicly available in the first half of 2017.

Exercise was organised by ENISA, the EU Agency for Network and Information Security. Possible Security is honoured to have been invited to participate in “Cyber Europe 2016” and be part of the solution together with our governmental and business partners.

Atbildīgas ievainojamību atklāšanas politikas ieviešana

Jānis Jansons iepriekš jau rakstīja par izaicinājumiem, kas saistās ar atbildīgu ievainojamību atklāšanu. Šoreiz stāstīšu par to, kā un kāpēc Latvijā varētu ieviest Atbildīgas ievainojamību atklāšanas politiku. Aicinu lasītājus padomāt un sniegt savu viedokli par publikācijā iekļautajām tēzēm un jautājumiem!

Lasīt tālāk

Pirmā vieta MAKE RIGA hakošanas sacensībās

Trofejas par pirmo un trešo vietu MAKE RIGA hakošanas sacensībās

Pagājušajā nedēļas nogalē Elektronikas un datorzinātņu institūta (EDI) telpās norisinājās pirmās MAKE RIGA hakošanas sacensības, kurās 1. SIA līdzīpašnieki Kirils Solovjovs un Jānis Jansons ieguva attiecīgi pirmo un trešo vietu.

Olimpiādes organizatori bija sagatavojuši dalībniekiem iespēju risināt 21 uzdevumu, iegūstot 10 punktus par katru no tiem. Uzdevumu risināšanai divu dienu laikā bija atvēlētas kopumā 13 stundas. Sacensības tika organizētas tādās uzdevumu disciplīnās kā

  • bezvadu tīklu drošība,
  • paroļu drošība,
  • iegulto iekārtu analīze un pārveide,
  • radio ziņojumu pārtveršana un dekodēšana,
  • RFID sistēmu drošība,
  • programmatūras un aparatūras reversā inženierija,
  • tīkla servisu drošība.

Drošības problēma Rīgas Satiksmes biļešu sistēmā “E-talons”

Turpinot iesākto sabiedriski nozīmīgu informācijas sistēmu drošības pārbaudes, ar mērķi uzlabot šo sistēmu drošību, paziņojam par PSIA “Rīgas satiksme” braukšanas apmaksas sistēmas “E-talons” drošības ievainojamību.

Pateicoties šai ievainojamībai, iespējams ar vienu vienīgu “dzelteno” papīra e-talonu braukt bezgalīgu skaitu reižu.
Lasīt tālāk

Atbalstām konferenci “Biznesa datu drošība”

dbkonference1Mūsdienās uzņēmumi kontrolē lielāko daļu informācijas, tāpēc esam uzsākuši sadarbību ar Dienas Biznesu, lai sasniegtu dzirdīgas ausis Latvijas uzņēmēju vidū un tuvotos mūsu mērķim — drošākai IT videi, līdz ar to arī labāk aizsargātai informācijai, Latvijā.

Šodien, 30. aprīlī, mūsu valdes loceklis Kirils Solovjovs vada Dienas Biznesa organizēto konferenci uzņēmumu vadītājiem “Biznesa datu drošība”.

Konferencē tiek runāts par internetu kā biznesa un dzīves telpu, novērtējot gan tā sniegtās iespējas, gan riskus. Konferencē uzstājās tādi runātāji kā Roberts Ķīlis, Māris Ruķers, Varis Teivāns u.c.

Par atbildīgu drošības incidentu atklāšanu

Informācijas sistēmas mūsdienās glabā prātam neaptverami daudz datu. Liela daļa no tiem ir lietotāju dati, turklāt arvien vairāk cilvēku sāk apzināties informācijas cenu, kā arī to, cik svarīgi saglabāt tās privātumu. Ne velti gan lielas kompānijas, gan ļaunprāši ir gatavi maksāt milzu naudu par citu personu datiem. Tas ir viens no iemesliem, kāpēc ir svarīgi rūpēties par informācijas drošību.

Diemžēl Austrumeiropā, t.sk. Latvijā, daudziem uzņēmējiem un IT nozares speciālistiem nav veselīga attieksme pret informācijas drošību. Turklāt problēma slēpjas ne tikai drošības auditu kvalitātē vai programmatūras testēšanas neesamībā, bet arī attieksmē, informējot vai neinformējot lietotājus par atklātajām problēmām.

Saprotams, ka uzņēmumiem un iestādēm šī var būt sāpīga tēma un tie varbūt nevēlēsies par to neko dzirdēt. Taču tās ir lietas, par kurām ir jārunā, tāpēc šajā rakstā es izklāstīšu savu personīgo viedokli, par to, kāpēc IT drošības problēmas ir jārisina, turklāt atbildīgi.

Lasīt tālāk

Semināra nodarbība par Heartbleed

Iepriekš jau esam rakstījuši par IT drošības specsemināru, ko organizējam kopīgi ar domubiedriem.

Semināra ietvaros norisināsies kārtējā nodarbība, kuru vadīs mūsu speciālisti Kirils Solovjovs un Jānis Jansons. Šoreiz nodarbībā runāsim par TLS un Heartbleed OpenSSL ievainojamību. Būs arī praktiska iespēja izmēģināt ievainojamību uz reālas sistēmas.

Nodarbība notiks 22. aprīlī plkst. 16:30 Latvijas Universitātes galvenajā ēkā (Raiņa bulvārī 19), Linux centrā (pagrabā, 032. telpā). Laipni aicināti piedalīties visi interesenti!

Tehniskā informācija par e-maks.lv ievainojamību

rakstījām iepriekš, sistēmā e-maks.lv, ko izstrādā Rīgas Karte SIA, tika atklāta nopietna drošības ievainojamība. Šis raksts satur tehnisko informāciju par ievainojamību.

Pirmā metode

Adresē https://e-maks.lv/etickets/transfer, laukā “veikt pārskaitījumu citam lietotājam“, ievadot savu e-pasta adresi un negatīvu valūtas daudzumu, bija iespējams papildināt savu kontu par summu, kas vienāda ar ievadītā valūtas daudzuma moduli. Piemēram, norādot vērtību “-100”, konts tika papildināts par “100” vienībām.

emaks-negparsk

Tas notika tāpēc, ka nepieciešamā summa maksātāja kontā tika momentā rezervēta. Pēc tam, kad saņēmējs apstiprināja pārskaitījumu, saņēmēja konts tika “papildināts” par negatīvo summu, bet sūtītāja konta stāvoklis atgriezās iepriekšējā stāvoklī.

Kamēr saņēmējs vēl nebija apstiprinājis maksājumu, pozitīvo atlikumu varēja pārskaitīt trešajam lietotājam, kas to apstiprinātu, rezultātā iegūstot norādīto naudas daudzumu.

Šo pašu metodi varēja izmantot, lai izmānītu naudu no citiem sistēmas lietotājiem. Iespējams, ka ne visi lietotāji saprastu negatīvas summas nozīmi un apstiprinātu šo maksājumu, tādā veidā pazaudējot naudu no sava konta.

Otrā metode

Naudas saņēmējs sadaļā https://e-maks.lv/etickets/messages varēja noskaidrot pārskaitījuma numuru, kuru nosūtot uz https://e-maks.lv/etickets/messages/numurs/tconfirm, pirmo reizi tika apstiprināts maksājums, bet katrā nākamajā reizē varēja saņemt naudas summu, kas norādīta pārskaitījumā, turklāt tā netika noņemta no sūtītāja konta. Savukārt atkārtoti atverot saiti https://e-maks.lv/etickets/messages/numurs/tcancel, nauda tika papildināta sūtītāja kontā.

emaks-pazin

Šo metodi varēja izmantot arī tad, ja naudu sūtīja sev. Tādā gadījumā atverot https://e-maks.lv/etickets/messages/numurs/tcancel, sākumā tika atgriezts rezervētais naudas daudzums, bet, atkārtojot pieprasījumu uz saiti, tika pieskaitīts pārskaitījumā norādītais naudas daudzums.

Skolēni, izmantojot e-maks.lv, varēja kļūt par miljonāriem

Uzreiz pēc sistēmas ieviešamas, atklājām nopietnu ievainojamību jaunajā e-maks.lv, ko izstrādā Rīgas Karte SIA. Šī sistēma ir pirmais solis Rīgas Satiksmes / Rīgas Kartes sabiedriskā transporta E-talonu funkcionalitātes papildināšanā, ļaujot ar to norēķināties ārpus transportlīdzekļiem. Ikviens, izmantojot e-pasta adresi, var reģistrēties šajā sistēmā.

Izmantojot atklātās ievainojamības, bija iespējams palielināt konta atlikumu, kā arī, zinot cita lietotāja e-pasta adresi, iegūt konta atlikumu no cita lietotāja. Par ievainojamību februāra sākumā informējām CERT.LV un neilgu laiku pēc tam tā tika novērsta.

Iedomāsimies šādu scenāriju, kāds līdz šim tiešām bija iespējams:

Andrim kāds pačukstējis, kā kļūt par miljonāru 5 minūšu laikā. Viņš iegāja savā elektroniskajā makā e-maks.lv, un atvēra konta papildināšanas sadaļu. Pat, ja viņa kontā bija tukšums, sistēma ļāva Andrim nosūtīt “mīnus 23 000 000” naudiņas Kārlim; šīs darbības rezultātā Andra konta atlikums tika papildināts par “23 000 000” naudiņām. Pirms sistēmas administrators to spēja pamanīt, Andris iegūtos līdzekļus aizsūtīja savam draugam Pēterim, kurš šo darbību akceptēja. Andris savu kontu izdzēsa un beigu beigās abi draugi summu sadalīja līdzīgās daļās.

emaks-atlikums

Interesē tehniskā informācija par ievainojamību?

Drošības ievainojamība OpenSSL bibliotēkā

heartbleedPētnieku grupa tikko atklājusi būtisku ievainojamību OpenSSL bibliotēku versijās 1.0.1, 1.0.1a-1.0.1.f un 1.0.2-beta.

Ievainojamība ietekmē pamatā tīmekļa serverus (t.sk. Apache un nginx) un balstās uz nepilnību TLS “heartbeat” paplašinājumā, kas paredzēts, lai nodrošinātu savienojumu noturību udp protokolā. Taču šis paplašinājums ir universāls un darbojas gan DTLS (udp), gan TLS (tcp) variantos.

Nu un? Ievainojamība ļauj jebkuram uzbrucējam iegūt līdz pat 65,5KB servera atmiņas. Atrast atmiņā kaut ko konkrētu, piemēram, servera atslēgu, ir laimes spēle, taču ar gana daudz mēģinājumiem… viss ir iespējams.

Trīs papildus faktori padara šo problēmu īpaši nepatīkamu:

  • OpenSSL (un tieši ievainojamās versijas) izmanto populārākie tīmekļa serveri;
  • uzbrukums notiek pēc tam, kad nodibināts droši šifrēts savienojums, tāpēc ir apgrūtināta uzbrukuma apturēšana tīkla līmenī;
  • esošā serveru programmatūra nekādā veidā nefiksē izdevušos uzbrukumu, tātad pēc tā nepaliek nekādas pēdas.

Šonakt esam izstrādājuši tīmekļa bāzētu rīku, kas ļaus novērtēt, vai Jūsu serverus ietekmē konkrētā ievainojamība. Neatkarīgi no pārbaudes rezultāta, iesakām visiem atjaunot OpenSSL bibliotēkas uz vismaz versiju 1.0.1g un pārliecināties, ka servera programmatūra izmanto šīs bibliotēkas jaunākās versijas.

Piedāvājam iepazīties ar ievainojamības tehnisko aprakstu.

Semināra nodarbība par RFID drošību

Viens no mūsu mērķiem ir sabiedrības izglītošana IT drošības jautājumos, tāpēc, lai uzlabotu sabiedrības un speciālistu zināšanas par drošību, kopā ar domubiedriem esam radījuši pirmo IT drošības specsemināru, kuru bez maksas aicināts apmeklēt ikviens interesents. Semināra nodarbības notiek katru otrdienu un tajās praktiskā līmenī tiks aplūkotas drošības problēmas un iespējamie risinājumi dažādās IT sistēmās un protokolos.

Pirmā nodarbība, kurā kā lektors uzstāsies 1. SIA drošības eksperts Kirils Solovjovs, notiks 18. februārī plkst. 16:30 Latvijas Universitātes galvenajā ēkā (Raiņa bulvārī 19), Linux centrā (pagrabā, 032. telpā).

Nodarbībā tiks runāts par responsible disclosure, kā arī RFID tehnoloģiju uzbūvi, ievainojamībām un drošību, par piemēru ņemot SIA “Rīgas Karte” sistēmu “E-talons”. Šī nodarbība tiks vadīta kopīgi ar CERT.LV vadītāja vietnieku Vari Teivānu.

Nederīgo dokumentu reģistra nepilnība

ndr

Iekšlietu ministrijas Informācijas centrs nodrošina pakalpojumu, kas ļauj noskaidrot, vai konkrēts dokuments ir anulēts, pazaudēts utml. (iekļauts Nederīgo dokumentu reģistrā). Lai ierobežotu automatizētu informācijas ieguvi no reģistra, lietotnes izstrādātājs tai ir pievienojis drošības kodu (CAPTCHA), kas obligāti jāievada, lai pieprasītu datus. Šī drošības koda realizācijā ir atklāta būtiska nepilnība. Pašu nepilnību gan raksturojam kā zemas prioritātes, ņemot vērā, ka drošības koda esamība kā tāda nav vitāli nepieciešama konkrētā pakalpojuma nodrošināšanai.

Tehniskais apraksts

Drošības kods ir PHP skripts, kas atgriež JPEG attēlu un uzstāda sīkdatni ar nosaukumu “lriem_secure”. Nepilnības atklāšanas brīdī sīkdatnē ASCII formā atradās tas pats skaitlis, kas attēlā. Turklāt analīze liecināja, ka koda pārbaude tika realizēta šādi.

$_COOKIE['lriem_secure']==$_POST['seccode']

Kodu bija iespējams nolasīt no sīkdatnes vai tik pat labi nosūtīt patvaļīga satura sīkdatni kopā ar to pašu informāciju POST masīvā.

Rekomendācijas un komentāri

Nepilnības novēršanai ieteicām lietot PHP sesijas, kas ļautu sīkdatnē glabāt nesaistītu jaucējskaitli, bet pašu drošības kodu jau glabāt sesijā, pret ko tad arī varētu veikt salīdzināšanu. Vienlaikus ilgtermiņā ieteicām attiekties no drošības koda lietošanas, ierobežojot pieprasījumu skaitu laika vienībā.

6. novembrī aplikācijas kodā tika veiktas izmaiņas — ieviesta funkcija, kas visdrīzāk realizēta kā f($a):=md5($key1.$a.$key2); tagad lriem_secure tiek uzstādīts uz f($kods) un salīdzināšana tiek veikta attiecīgi

$_COOKIE['lriem_secure']==f($_POST['seccode'])

Šis, protams, joprojām nekādā veidā nepasargā no atkārtošanas uzbrukumiem (replay attacks) — atliek vien ievadā padod datu pāri, kas apmierina augšminēto sakarību.

Aplikācijas kodā norādīts, ka tās autors ir “Maris Melnikovs”, savukārt publiskās datu bāzes liecina, ka cilvēks ar ļoti līdzīgu vārdu Iekšlietu ministrijā ir nostrādājis aptuveni pus gadu, par to saņemot diezgan pieklājīgu atalgojumu, taču šobrīd vairs valsts iestādēs nestrādā. Aplikācijas autora nepieejamība varētu izskaidrot to, kāpēc netika ņemtas vērā mūsu rekomendācijas nepilnības labošanai.

Atkāpe par vizuālajiem drošības kodiem (CAPTCHA)

captcha

Nav nekāds pārsteigums, ka vizuālie drošības kodi ne tikai nav efektīvs līdzeklis, lai ierobežotu automatizētu rīku darbību, jo tos vienmēr iespējams atpazīt ar vairāk vai mazāk speciālu programmatūru, bet arī stipri apgrūtina leģitīmu lietotāju darbu. Eksistē vairākas alternatīvas kā panākt, ka automatizēti rīki nenoslogo servera resursus. Viena no tām aprakstīta zemāk.

Datoram nav svarīgi, kas sēž pie klaviatūras. Tas redz tikai mūsu darbības, bet nevērtē, kas mēs esam. Programmētājiem no tā vajadzētu iemācīties vienu svarīgi lietu — nav svarīgi, kas veic darbību; svarīgi ir, kāda darbība tiek veikta. Tāpēc mēs no sirds rekomendējam CAPTCHA vietā izvēlēties veikt lietotāja uzvedības (statistisko) analīzi, kā tas, piemēram, realizēts 02.lv īsziņu sūtīšanas pakalpojumā.

Ja jums nepieciešama palīdzība, lai CAPTCHA vietā ieviestu saprātīgāku drošības risinājumu, tad būsim priecīgi palīdzēt.

Interesanta “funkcija” Swedbank mobilajā aplikācijā

Pārbaudot Swedbank mobilās aplikācijas drošību, tika atklāta interesanta kļūme, kas ļauj iegūt klienta vārdu un uzvārdu, ja zināms lietotāja numurs un pastāvīgā parole. Lai gan personas datu iegūšanai nepietiek ar lietotāja numuru vien, tomēr standarta autorizācijas gadījumos (bankas mājaslapa, banklink utml.) klienta dati netiek izpausti, kamēr netiek ievadīts kods no kalkulatora vai kodu kartes.

Kombinējot šo informāciju ar klienta kontu sarakstu un atlikumiem, kas iegūstami izmantojot banklink, tiek plaši pavērtas durvis sociālās inženierijas uzbrukumiem.

Tehniskais apraksts

Mobilās aplikācijas izsaukumi tiek nosūtīti kā GET pieprasījumi uz adresi https://ib.swedbank.lv/touch/, turklāt svarīgi, ka User-Agent ir jāsatur, piemēram, vārds “Android”.

Pirmais pieprasījums ir https://ib.swedbank.lv/touch/auth?authenticate=true&language=ENG&mobileIdLogin=false&authPwd=pp&userId=nn, kur aa ir lietotāja numurs, bet pp ir lietotāja pastāvīgā parole. Korektu datu ievades gadījumā atbildē tiks saņemta json virkne

{"challenge":"cc","sessionId":"ss","securityId":"dd","loginType":3,"securityLevel":1}

Tajā cc ir drošības koda numurs, kas lietotājam nākamajā solī būtu jāievada no kodu kartes, ss ir sesijas identifikators, bet dd ir drošības identifikators. Ja klients lieto kodu kalkulatoru, nevis kodu karti, tad “challenge” netiek uzstādīts un “loginType” vērtība ir cita.

Uzmanības vērts ir fakts, ka, lai gan internetbankas mājaslapā klientam pieprasītais drošības koda numurs tiek parādīts kā attēls (drošības apsvērumi?), tomēr veicot pieprasījumu caur https://ib.swedbank.lv/touch/ šis pats koda numurs tiek nosūtīts kā ASCII teksts. Tāpat interesanti, ka parole tiek nosūtīta GET pieprasījumā, kas nozīmē, ka atkarībā no aplikācijas servera konfigurācijas, iespējams, žurnālfailos glabājas visu mobilās aplikācijas lietotāju paroles.

Lai iegūtu klienta vārdu un uzvārdu, ir jānovirzās no standarta komunikācijas plūsmas, nekavējoties veicot pieprasījumu https://ib.swedbank.lv/touch/overview;jsessionid=ss?securityId=dd, ko aplikācijas serveris šajā brīdī negaida. Šim pieprasījumam svarīgi, lai klientā būtu uzstādīta sīkdatne Swedbank-Embedded=android-app-3.2. Kā atbilde tiek nosūtīts kļūdas paziņojums HTML lapas veidā, kurā iekļauts JavaScript koda gabaliņš. Šis kods satur masīvu sessionInfo.

     var sessionInfo = {
        jsessionId: 'ss',
        securityId: 'dd',
        securityLevel: 1,
        customerName: 'Alberts Kviesis',
        allowSingleSessionDefined: true,
        allowSingleSession: false,
        hasPrivateAccounts: false,
        hasBusinessAccounts: false,
        disclaimerAccepted: false,
        passwordChangeRequired: false
      }

Indekss “customerName” satur klienta vārdu un uzvārdu, tam sekojošie indeksi droši vien neatspoguļo patieso situāciju.

Reakcija

Par problēmu 23. oktobrī ziņojām bankai un CERT.LV. Informācija pirmo reizi paziņota publiski 12 dienas vēlāk — 4. novembrī. Saskaņā ar atbildīgo darbinieku komentāriem, šāda mobilās aplikācijas servera uzvedība atbilst specifikācijai un netikšot mainīta. Mēs centīsimies turpināt aplikācijas drošības pārbaudi un, atklājot nepilnības, ziņosim par tām iesaistītajām pusēm.

Getting rid of twitter in-line media

Chances are that you are a twitter user and while not using your mobile phone you are using the official twitter.com website. If not, you’re in luck, because recently they added quite a nasty feature that you can’t toggle on or off — the in-line media display.

twitter-mitn

Here’s a quick and clean hack to get rid of this nonsense.

  1. Install Stylish for Firefox or for Chromium.
  2. Restart your browser
  3. Click on the stylish-empty icon → Write new style → for twitter.com…
  4. Add
    div.tweet > div.content > div.js-media-container { display: none !important; }

    before the last bracket so that it looks similar to this:

    @namespace url(http://www.w3.org/1999/xhtml);
    
    @-moz-document domain("twitter.com") {
     div.tweet > div.content > div.js-media-container { display: none !important; }
    }
  5. Click Save. The icon should turn stylish-active and you should immediately be able to see the metamorphosis

Much better now, isn’t it? Enjoy your new and improved twitter on a sunny day over a beach! :)

twitter-mitn2