Birku arhīvi: CERT.LV

Drošs elektroniskais paraksts un dinamiskais saturs

Digitālo parakstu viena no pamatfunkcijām ir garantēt parakstīto datu integritāti, kas tiek nodrošināts, parakstītos datus (to kontrolsummu) šifrējot ar kādu no asimetriskās kriptogrāfijas algoritmiem. Veicot izmaiņas parakstītajos datos, to kontrolsumma vairs nesakrīt ar parakstā iekļauto vērtību, līdz ar to paraksts identificējams kā nederīgs.

Tomēr reālajā dzīvē parakstāmie dati ir krietni vien sarežģītāki par parastām teksta virknēm. Digitāli parakstot dokumentu datnes, tiek garantēts, ka paraksta pārbaudītājs varēs konstatēt, vai dokumenta datnes saturs ir tieši tāds, kāds tas bijis parakstīšanas brīdī. Taču tas neko nepasaka par to, vai sakrīt arī dokumenta datnes satura reprezentācija (attēlojums) lietojumprogrammās, kas šos dokumentus attēlo.

Demonstrējam vairākus veidus, kā iespējams, izmantojot dažādas .docx un .odt teksta dokumentu formātos pieejamās funkcijas, radīt dokumentus, kuru datņu saturs ir nemainīgs un, līdz ar to, nerada šaubas par digitālā paraksta derīgumu, taču faktiskais lietotājam attēlotais saturs (tā reprezentācija) var atšķirties.

Lasīt tālāk

Possible Security, Accenture & CERT.LV organizē hakatonu

Šā gada 1. jūnijā no plkst. 19:00 līdz 3:00 notiks informācijas tehnoloģiju (IT) drošības hakatons, kuru organizē IT uzņēmums Accenturesadarbībā ar IT drošības incidentu novēršanas institūciju CERT.LV un IT drošības uzņēmumu Possible Security. Hakatona mērķis ir popularizēt IT drošības jautājumus Latvijā. Drošības entuziastiem šī ir iespēja pierādīt sevi, risinot praktiskus uzdevumus, satikt un iepazīties ar citiem nozares pārstāvjiem.

Hakatonā cīņa dalībniekiem būs individuāla. Uzdevumi ļaus plašāk iepazīt un izprast apdraudējumus IT drošībai, kā arī pārbaudīs dalībnieku rīcību un lēmumu pieņemšanas spējas IT drošības krīžu situācijās. Uzdevumi būs ar dažādām grūtības pakāpēm. Uzvarēs dalībnieks, kurš iesniegs visvairāk pierādījumu par izpildītajiem uzdevumiem.

Hakatons notiks Accenture birojā Brīvības gatvē 214. Dalībnieki, kuri izpildīs visvairāk uzdevumu, balvās saņems dronu ar kameru DJI Mavic Pro un video kameru 4K camera GoPro HERO5 Session. Pasākums notiks angļu valodā.

Milesight IP drošības kameru ievainojamības

Līdz ar lietu interneta popularitātes pieaugumu, IP videonovērošanas kameru ražošanas process tuvinās lietu interneta, nevis drošības iekārtu izstrādei. Tas noved pie būtiskām ievainojamībām kritiski svarīgās sistēmās.

Mūsu vadošais pētnieks Kirils Solovjovs piedalījās CERT.LV un ISACA Latvijas nodaļas rīkotajā ikgadējā IT drošības konferencē „Kiberšahs 2016”, kur stāstīja par būtiskajām ievainojamībām, ko atklājis Milesight IP videonovērošanas kameru programmatūrā (CVE-2016-2356, CVE-2016-2357, CVE-2016-2358, CVE-2016-2359, CVE-2016-2360). Kirils sadarbībā ar CERT.LV veica ievainojamību pārbaudi vienā valsts iestādē un konstatēja, ka tajā izvietotas simtiem ievainojamu IP videonovērošanas kameru.

Ņemot vērā to, ka kameru ražotājs atrodas citā valstī, viņš uzsāka starpvalstu atbildīgas atklāšanas procesu, tajā pakāpeniski iesaistot ražotāju, CERT.LV, kameru lietotāju, uzstādītāju, HackerOne, Inc. un CERT/CC.

Prezentācija aptver atklāto ievainojamību tehniskos aspektus, atziņas no starpvalstu atbildīgas atklāšanas procesa, un rekomendācijas speciālistiem, drošības vadītājiem, kā arī atbildīgas atklāšanas politikas veidotājiem. Pieejams arī videoieraksts no konferences (angļu valodā).

Par atbildīgu drošības incidentu atklāšanu

Informācijas sistēmas mūsdienās glabā prātam neaptverami daudz datu. Liela daļa no tiem ir lietotāju dati, turklāt arvien vairāk cilvēku sāk apzināties informācijas cenu, kā arī to, cik svarīgi saglabāt tās privātumu. Ne velti gan lielas kompānijas, gan ļaunprāši ir gatavi maksāt milzu naudu par citu personu datiem. Tas ir viens no iemesliem, kāpēc ir svarīgi rūpēties par informācijas drošību.

Diemžēl Austrumeiropā, t.sk. Latvijā, daudziem uzņēmējiem un IT nozares speciālistiem nav veselīga attieksme pret informācijas drošību. Turklāt problēma slēpjas ne tikai drošības auditu kvalitātē vai programmatūras testēšanas neesamībā, bet arī attieksmē, informējot vai neinformējot lietotājus par atklātajām problēmām.

Saprotams, ka uzņēmumiem un iestādēm šī var būt sāpīga tēma un tie varbūt nevēlēsies par to neko dzirdēt. Taču tās ir lietas, par kurām ir jārunā, tāpēc šajā rakstā es izklāstīšu savu personīgo viedokli, par to, kāpēc IT drošības problēmas ir jārisina, turklāt atbildīgi.

Lasīt tālāk

1. publiskā prezentācija

2013. gada 23.oktobrī Radisson Blu Hotel Latvija konferenču centrā, Rīgā, Elizabetes ielā 55 norisināsies ISACA Latvijas nodaļas un CERT.LV rīkotā ikgadējā IT drošības konference „Mūsu informācijas drošība – nākotnes panākumu atslēga”, kurā plkst. 16:00 prezentāciju par tēmu “Latvijas IT drošības praktiskā puse” sniegs 1. SIA vadošais drošības pētnieks Kirils Solovjovs.

Pēc uzstāšanās, prezentācijas slaidi būs pieejami mūsu mājas lapā.