Latvijas IT drošības
praktiskā puse
ISACA Latvijas nodaļas un CERT.LV
rīkotā IT drošības konference
rīkotā IT drošības konference
Kirils Solovjovs, IT drošības eksperts
runās par to, kāda ir Latvijas IT drošības praktiskā situācija.
Šodien
par mobilajiem...
- Vēsturisks GSM problēmu apskats
- Jaunāko* Latvijas mobilo aplikāciju drošība
GSM
- Darbs pie pirmā standarta 1982.-1987.
- Apstiprinātā versija publicēta 1990.
- Gadu vēlāk pirmais funkcionējošais telefona tīkls
- Tagad GSM standarts iekļauj gandrīz 2000 dokumentu
- katrs dokuments = desmitiem vai simtiem lapu
GSM drošības stūrakmeņi
- Obligāti vajadzīgs SIM
- Nav iespējama SIM kopiju izgatavošana
- Um saskarnē tiek aizsargāta zvanītāja identitāte
- Labi paslēpta Ki atslēga
- Dati tiek šifrēti
- Autentificēties tīklā var tikai HLR/VLR datubāzē esošie
GSM drošības problēmas
Obligāti vajadzīgs SIMNav iespējama SIM kopiju izgatavošanaUm saskarnē tiek aizsargāta zvanītāja identitāteLabi paslēpta Ki atslēgaDati tiek šifrēti
GSM šifri
- A5/0 — bez šifrēšanas
- A5/1 — "laba šifrēšana" (salauzts 2010. gadā)
- A5/2 — vāja šifrēšana eksportam
- A5/3 — (KASUMI) diezgan droša šifrēšana
Iespējamie uzbrukumi
- A5/2 nepilnību izmantošana
- A5/0 atbalsts
- Savu “torņu” uzstādīšana
- Deanonimizācijas uzbrukumi
- Publiski pieejamas HLR datubāzes
- Ki izgūšana un SIM karšu klonēšana
- SMS uzbrukumi
- u.c.
Mobilās aplikācijas
Mēneša laikā pētījām 4 aplikācijas
CSDD mobilā aplikācija
- Sastāv no pārlūka loga, kas atver vaļā
``` https://m.csdd.lv/ ```
- Nav "dabiska" mobilā aplikācija
- Drošības problēmas, kas atšķiras no e.csdd.lv netika konstatētas
Bankas mobilā aplikācija
- Aplikācijā tika atklāta iespēja piekļūt klienta vārdam un uzvārdam, zinot vien viņa pastāvīgo paroli
- Bankai par ievainojamību paziņots ļoti nesen → tehniskā informācija sekos nākamās nedēļas beigās
BITE megaprieku kontroles rīks
Atklāta ievainojamība, kas, zinot klienta IMSI, ļauj piekļūt klienta datiem
- Paziņota CERT 12.09.2013.
- Novērsta 19.09.2013.
- Publiski izziņota 23.10.2013.
- Saziņa notiek json POST pieprasījumu veidā uz
``` http://213.226.139.54/prest/android.json ```
- Autorizēšanās
``` {"id":aaa,"jsonrpc":"2.0","method":"authIMSI", "params":{"password":null,"imsi":"bbb"}} {"jsonrpc":"2.0","id":aaa,"result": {"securityKey":"ccc","msisdn":"ddd"}} ```
- Informācijas ieguve
``` {"id":aaa2,"jsonrpc":"2.0","method":"getData", "params":{"securityKey":"ccc"}} {"jsonrpc":"2.0","id":aaa2,"result": {"customerAmount":"0.5000","customerCurrency":"Ls", "customerDataUsage":"510","customerType":"POSTPAID", "customerRoamDataUsage":"0","customerstatus":"ACTIVE", "customerRatePlanExp":"2013-12-31 23:59:59", "customerBalanceExp":"","customerIsInRoaming":"0"}} ```
Qminder
- Latvijā radīta rindu vadības sistēma
- Lai gan Latvijā tiek reklamēta, tomēr nav pieejama
- Aplikācija pieprasa apkārtējos punktus caur
``` http://api.qminderapp.com/servicepoints/?latitude=A&longitude=B ```
- Pagaidām nav izdevies atrast nevienu strādājošu punktu pasaulē
- Turpināsim pētīšanu
Kopsavilkums
- Telefonsakari un noslēpumi pagaidām nav savietojami
- Programmatūras drošības pārbaudi vislabāk uzticēt trešajai pusei
- Izstrādājot informācijas sistēmas, jāierēķina laiks un nauda to drošības pārbaudei
possible.lv
nodarbojas ar IT drošības pētniecību,
piedāvā IT drošības konsultācijas un drošības incidentu simulāciju, un izmeklēšanu,
piedāvā IT drošības konsultācijas un drošības incidentu simulāciju, un izmeklēšanu,
kā arī datu ieguves un analīzes pakalpojumus.
Viss ir iespējams!
1. SIA, +371 26036916