Iekšlietu ministrijas Informācijas centrs nodrošina pakalpojumu, kas ļauj noskaidrot, vai konkrēts dokuments ir anulēts, pazaudēts utml. (iekļauts Nederīgo dokumentu reģistrā). Lai ierobežotu automatizētu informācijas ieguvi no reģistra, lietotnes izstrādātājs tai ir pievienojis drošības kodu (CAPTCHA), kas obligāti jāievada, lai pieprasītu datus. Šī drošības koda realizācijā ir atklāta būtiska nepilnība. Pašu nepilnību gan raksturojam kā zemas prioritātes, ņemot vērā, ka drošības koda esamība kā tāda nav vitāli nepieciešama konkrētā pakalpojuma nodrošināšanai.
Tehniskais apraksts
Drošības kods ir PHP skripts, kas atgriež JPEG attēlu un uzstāda sīkdatni ar nosaukumu “lriem_secure”. Nepilnības atklāšanas brīdī sīkdatnē ASCII formā atradās tas pats skaitlis, kas attēlā. Turklāt analīze liecināja, ka koda pārbaude tika realizēta šādi.
$_COOKIE['lriem_secure']==$_POST['seccode']
Kodu bija iespējams nolasīt no sīkdatnes vai tik pat labi nosūtīt patvaļīga satura sīkdatni kopā ar to pašu informāciju POST masīvā.
Rekomendācijas un komentāri
Nepilnības novēršanai ieteicām lietot PHP sesijas, kas ļautu sīkdatnē glabāt nesaistītu jaucējskaitli, bet pašu drošības kodu jau glabāt sesijā, pret ko tad arī varētu veikt salīdzināšanu. Vienlaikus ilgtermiņā ieteicām attiekties no drošības koda lietošanas, ierobežojot pieprasījumu skaitu laika vienībā.
6. novembrī aplikācijas kodā tika veiktas izmaiņas — ieviesta funkcija, kas visdrīzāk realizēta kā f($a):=md5($key1.$a.$key2); tagad lriem_secure tiek uzstādīts uz f($kods) un salīdzināšana tiek veikta attiecīgi
$_COOKIE['lriem_secure']==f($_POST['seccode'])
Šis, protams, joprojām nekādā veidā nepasargā no atkārtošanas uzbrukumiem (replay attacks) — atliek vien ievadā padod datu pāri, kas apmierina augšminēto sakarību.
Aplikācijas kodā norādīts, ka tās autors ir “Maris Melnikovs”, savukārt publiskās datu bāzes liecina, ka cilvēks ar ļoti līdzīgu vārdu Iekšlietu ministrijā ir nostrādājis aptuveni pus gadu, par to saņemot diezgan pieklājīgu atalgojumu, taču šobrīd vairs valsts iestādēs nestrādā. Aplikācijas autora nepieejamība varētu izskaidrot to, kāpēc netika ņemtas vērā mūsu rekomendācijas nepilnības labošanai.
Atkāpe par vizuālajiem drošības kodiem (CAPTCHA)
Nav nekāds pārsteigums, ka vizuālie drošības kodi ne tikai nav efektīvs līdzeklis, lai ierobežotu automatizētu rīku darbību, jo tos vienmēr iespējams atpazīt ar vairāk vai mazāk speciālu programmatūru, bet arī stipri apgrūtina leģitīmu lietotāju darbu. Eksistē vairākas alternatīvas kā panākt, ka automatizēti rīki nenoslogo servera resursus. Viena no tām aprakstīta zemāk.
Datoram nav svarīgi, kas sēž pie klaviatūras. Tas redz tikai mūsu darbības, bet nevērtē, kas mēs esam. Programmētājiem no tā vajadzētu iemācīties vienu svarīgi lietu — nav svarīgi, kas veic darbību; svarīgi ir, kāda darbība tiek veikta. Tāpēc mēs no sirds rekomendējam CAPTCHA vietā izvēlēties veikt lietotāja uzvedības (statistisko) analīzi, kā tas, piemēram, realizēts 02.lv īsziņu sūtīšanas pakalpojumā.
Ja jums nepieciešama palīdzība, lai CAPTCHA vietā ieviestu saprātīgāku drošības risinājumu, tad būsim priecīgi palīdzēt.
Kristap? Tieši tādi cilvēki, kā Tu būtu jāgodina Latvijā. Man ir ārkārtīgs prieks par Tevi, ka Tev ir izdevies atklāt šo drošības “caurumu” IcIeM vietnē. Tu esi nākamais “Neo”! Apsveicu! Ar šādu rīcību Tu šobrīd esi “sacēlis” kājās tādus, kas parasti nezīmējās interneta publiskajā telpā. Un uz jautājumu- “Tu esi hakeris” viņi parasti atbild. Kas ir dators? Veiksmi Tev. Es gan piekristu labāk atrauties pa “redeli” nekā kašķēties ar viņiem. Gaidi priekus krisi :D
Es atbrīvoju lietotāju no visām verifikācijām – ieviesu kaudzīti ar slēptajiem laukiem un laika kontroli.
+ ja nu kāds tomēr tiek cauri, viņu atšuj stopforumspam.com
Bet log failos interesanti paskatīties – tie boti ir gudri, ja nesanāk viens variants, mēģina savādāk un vēl savādāk un pavisam savādāk :)
Hmm… es laikam neesmu sajūsmā par to, kā darbojas http://sms.02.lv/. “Īsziņu sūtīšana uz šo operatoru šobrīd nav pieejama.” Žēl, ka neizdevās pārbaudīt alternatīvu captchai darbībā.
Vai tomēr ar tām alternatīvām nav tāda problēma, ka var taču noskaidrot visus slēptos laukus un laika ierobežojumus. Un galu galā nosūtīt tieši tādu pieprasījumu, kā kods sagaida. Nu OK, nepielāgotos botus protams atsitīs, bet uzrakstot speciālu kodu konkrētajai lapai, nospamos skaisti (ja saturs izies cauri filtriem).
Starp citu – objektivitātei rakstā prasītos pieminēt, ka draudzējaties ar sms.02.lv