Visi raksti, ko ierakstīja Jānis Jansons

MAKE RIGA hakošanas sacensības 2016

1st place 20165. un 6. novembrī Elektronikas un datorzinātņu institūta (EDI) telpās norisinājās jau otrās ikgadējās MAKE RIGA hakošanas sacensības, kurās laurus plūca IT drošības uzņēmuma 1. SIA līdzīpašnieks Kirils Solovjovs, tādējādi kļūstot par sacensību divgadējo čempionu.

“Uzdevumi kļūst arvien interesantāki un dažādāki. Arī dalībnieku skaits pieaug. Tas rada patīkamu sāncensības sajūtu. Sākotnēji nemaz nebiju plānojis piedalīties, taču, redzot lielo dalībnieku atsaucību, otrajā dienā nolēmu reģistrēties sacensībām. Varētu teikt, ka šogad rezultātu augšgalā nokļuvu gaužām netīši,” ar smaidu stāsta sacensību uzvarētājs Kirils Solovjovs.

Šogad olimpiādes organizatori bija sagatavojuši dalībniekiem par 57% vairāk izaicinājumu, piedāvājot risināt 33 dažādus uzdevumus tādās disciplīnās kā

  • šifrēšana,
  • lietu interneta iekārtas,
  • bezvadu tīklu drošība,
  • sociālā inženierija,
  • iegulto iekārtu un mikročipu analīze,
  • radio ziņojumu pārtveršana un dekodēšana,
  • RFID sistēmu drošība,
  • programmatūras reversā inženierija,
  • tīkla servisu drošība.

Olimpiādē piedalījās 38 dalībnieki no visas Latvijas to skaitā IT jomas profesionāļi, zinātnieki un citi interesenti. Pirmo vietu ar 162 punktiem ieguva IT drošības eksperts Kirils Solovjovs. Iepaliekot pirmajai vietai sekoja Krišjānis Stikāns ar 99.5 punktiem. Bronzu ar 91 punktu guva Aleksandrs Levinskis, kam cieši sekoja Dāvis Mosāns un “mkz” ar attiecīgi 90 un 89 punktiem. Seši no 33 uzdevumiem tā arī palika neviena dalībnieka neuzveikti.

Drošības problēma Rīgas Satiksmes biļešu sistēmā “E-talons”

Turpinot iesākto sabiedriski nozīmīgu informācijas sistēmu drošības pārbaudes, ar mērķi uzlabot šo sistēmu drošību, paziņojam par PSIA “Rīgas satiksme” braukšanas apmaksas sistēmas “E-talons” drošības ievainojamību.

Pateicoties šai ievainojamībai, iespējams ar vienu vienīgu “dzelteno” papīra e-talonu braukt bezgalīgu skaitu reižu.
Lasīt tālāk

Atbalstām konferenci “Biznesa datu drošība”

dbkonference1Mūsdienās uzņēmumi kontrolē lielāko daļu informācijas, tāpēc esam uzsākuši sadarbību ar Dienas Biznesu, lai sasniegtu dzirdīgas ausis Latvijas uzņēmēju vidū un tuvotos mūsu mērķim — drošākai IT videi, līdz ar to arī labāk aizsargātai informācijai, Latvijā.

Šodien, 30. aprīlī, mūsu valdes loceklis Kirils Solovjovs vada Dienas Biznesa organizēto konferenci uzņēmumu vadītājiem “Biznesa datu drošība”.

Konferencē tiek runāts par internetu kā biznesa un dzīves telpu, novērtējot gan tā sniegtās iespējas, gan riskus. Konferencē uzstājās tādi runātāji kā Roberts Ķīlis, Māris Ruķers, Varis Teivāns u.c.

Par atbildīgu drošības incidentu atklāšanu

Informācijas sistēmas mūsdienās glabā prātam neaptverami daudz datu. Liela daļa no tiem ir lietotāju dati, turklāt arvien vairāk cilvēku sāk apzināties informācijas cenu, kā arī to, cik svarīgi saglabāt tās privātumu. Ne velti gan lielas kompānijas, gan ļaunprāši ir gatavi maksāt milzu naudu par citu personu datiem. Tas ir viens no iemesliem, kāpēc ir svarīgi rūpēties par informācijas drošību.

Diemžēl Austrumeiropā, t.sk. Latvijā, daudziem uzņēmējiem un IT nozares speciālistiem nav veselīga attieksme pret informācijas drošību. Turklāt problēma slēpjas ne tikai drošības auditu kvalitātē vai programmatūras testēšanas neesamībā, bet arī attieksmē, informējot vai neinformējot lietotājus par atklātajām problēmām.

Saprotams, ka uzņēmumiem un iestādēm šī var būt sāpīga tēma un tie varbūt nevēlēsies par to neko dzirdēt. Taču tās ir lietas, par kurām ir jārunā, tāpēc šajā rakstā es izklāstīšu savu personīgo viedokli, par to, kāpēc IT drošības problēmas ir jārisina, turklāt atbildīgi.

Lasīt tālāk

Skolēni, izmantojot e-maks.lv, varēja kļūt par miljonāriem

Uzreiz pēc sistēmas ieviešamas, atklājām nopietnu ievainojamību jaunajā e-maks.lv, ko izstrādā Rīgas Karte SIA. Šī sistēma ir pirmais solis Rīgas Satiksmes / Rīgas Kartes sabiedriskā transporta E-talonu funkcionalitātes papildināšanā, ļaujot ar to norēķināties ārpus transportlīdzekļiem. Ikviens, izmantojot e-pasta adresi, var reģistrēties šajā sistēmā.

Izmantojot atklātās ievainojamības, bija iespējams palielināt konta atlikumu, kā arī, zinot cita lietotāja e-pasta adresi, iegūt konta atlikumu no cita lietotāja. Par ievainojamību februāra sākumā informējām CERT.LV un neilgu laiku pēc tam tā tika novērsta.

Iedomāsimies šādu scenāriju, kāds līdz šim tiešām bija iespējams:

Andrim kāds pačukstējis, kā kļūt par miljonāru 5 minūšu laikā. Viņš iegāja savā elektroniskajā makā e-maks.lv, un atvēra konta papildināšanas sadaļu. Pat, ja viņa kontā bija tukšums, sistēma ļāva Andrim nosūtīt “mīnus 23 000 000” naudiņas Kārlim; šīs darbības rezultātā Andra konta atlikums tika papildināts par “23 000 000” naudiņām. Pirms sistēmas administrators to spēja pamanīt, Andris iegūtos līdzekļus aizsūtīja savam draugam Pēterim, kurš šo darbību akceptēja. Andris savu kontu izdzēsa un beigu beigās abi draugi summu sadalīja līdzīgās daļās.

emaks-atlikums

Interesē tehniskā informācija par ievainojamību?

Semināra nodarbība par RFID drošību

Viens no mūsu mērķiem ir sabiedrības izglītošana IT drošības jautājumos, tāpēc, lai uzlabotu sabiedrības un speciālistu zināšanas par drošību, kopā ar domubiedriem esam radījuši pirmo IT drošības specsemināru, kuru bez maksas aicināts apmeklēt ikviens interesents. Semināra nodarbības notiek katru otrdienu un tajās praktiskā līmenī tiks aplūkotas drošības problēmas un iespējamie risinājumi dažādās IT sistēmās un protokolos.

Pirmā nodarbība, kurā kā lektors uzstāsies 1. SIA drošības eksperts Kirils Solovjovs, notiks 18. februārī plkst. 16:30 Latvijas Universitātes galvenajā ēkā (Raiņa bulvārī 19), Linux centrā (pagrabā, 032. telpā).

Nodarbībā tiks runāts par responsible disclosure, kā arī RFID tehnoloģiju uzbūvi, ievainojamībām un drošību, par piemēru ņemot SIA “Rīgas Karte” sistēmu “E-talons”. Šī nodarbība tiks vadīta kopīgi ar CERT.LV vadītāja vietnieku Vari Teivānu.

“BITE megaprieku kontroles rīka” drošība

Pirms pāris mēnešiem viens no Latvijas mobilo sakaru operatoriem Bite publicēja programmu “BITE megaprieku kontroles rīks”. Šī programma, kas paredzēta lietošanai Android viedtālruņos, ļauj aplūkot savu iztērēto datu apjomu šajā mēnesī, kā arī aprēķina plānotās izmaksas.

Autorizēšanās

Ekrānšāviņš no kontroles rīka pirmās versijas.

Ekrānšāviņš no kontroles rīka pirmās versijas.

Lai saņemtu informāciju par datu apjoma patēriņu, aplikācijai jāsaņem autorizācijas kods no Bites servera, ko sākumā varēja saņemt divos veidos:

  1. Izvēloties kontaktu, Bite tam nosūtīja SMS ar drošības kodu, ko jāievada aplikācijas autorizācijas logā, kas tad tika nosūtīts Bites serverim, atbildē saņemot autorizācijas kodu.
  2. Izvēloties “Savs numurs”, aplikācija Bites serverim nosūtīja abonenta IMSI, pretī saņemot autorizācijas kodu.

Tehniskā puse

Autorizēšanās un informācijas saņemšanas pieprasījumi JSON formātā tiek nosūtīti uz adresi https://213.226.139.54/prest/android.json.

Tā kā sertifikāta domēns neatbilst IP adresei, aplikācijā ir izslēgta domēna atbilstības pārbaude:

.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

Autorizēšanās pieprasījums savam numuram izskatās šādi:

{"id":aaa,"jsonrpc":"2.0","method":"authIMSI",
"params":{"password":null,"imsi":"bbb"}}

Atbilde uz to (ddd ir klienta mobilā telefona numurs):

{"jsonrpc":"2.0","id":aaa,"result":
{"securityKey":"ccc","msisdn":"ddd"}}

Informācijas ieguves pieprasījums:

{"id":aaa2,"jsonrpc":"2.0","method":"getData",
"params":{"securityKey":"ccc"}}

Atbildes piemērs:

{"jsonrpc":"2.0","id":aaa2,"result":
{"customerAmount":"0.5000","customerCurrency":"Ls",
"customerDataUsage":"510","customerType":"POSTPAID",
"customerRoamDataUsage":"0","customerstatus":"ACTIVE",
"customerRatePlanExp":"2013-12-31 23:59:59",
"customerBalanceExp":"","customerIsInRoaming":"0"}}

Kā redzams, atbildē ir ietverti šādi dati: patērētais interneta datu apjoms, tarifu plāna nosaukums un veids, kā arī derīguma termiņš.

Problēmas

IMSI netiek ģenerēti nejauši, bet secīgi, tāpēc, nosūtot IMSI numurus vienu pēc otra, uz daļu no pieprasījumiem tiek saņemti derīgi autorizācijas kodi un telefona numuri.

Kad aplikācija vai uzbrucējs ir ieguvis “securityKey”, tas paliek derīgs pat tad, ja konkrētam telefona numuram tiek pieprasīts jauns kods. Tātad, ja Jūsu telefons īsu brīdi ir uzbrucēja kontrolē, tas var iegūt SMS drošības kodu un līdz ar to arī derīgu “securityKey”, ko nav iespējams atcelt izmantojot “megaprieku” uzskaites programmu. Bet ņemot vērā sekojošo informāciju, esmu drošs, ka piezvanot BITE atbalsta dienestam, to tehniski vajadzētu varēt izdarīt.

Atrisinājums

Par problēmu 12. septembrī ziņojām CERT.LV, lai viņi tālāk koordinētu ievainojamības novēršanu.

19. septembrī Play Store parādījās jauna programmas versija, kurā problemātiskais autorizācijas veids vairs nebija pieejams. Saskaņā ar mums pieejamo informāciju vecie drošības kodi ir deaktivēti un vairs nav izmantojami informācijas iegūšanai.

Par atrasto problēmu publiski paziņojām 23. oktobrī, ISACA Latvijas nodaļas un CERT.LV rīkotajā IT drošības konferencē
„Mūsu informācijas drošība – nākotnes panākumu atslēga”.

Sargiet savus telefonus!