Sveiki,
šio straipsnio pasirodymą iššaukė gana komplikuota patirtis bandant pasirašyti vieną dokumentą Mparašu bei Eparašu ( asmens tapatybės kortelės sertifikatu ). Jei viskas būtų įvykę sklandžiai, matyt net ir nebūčiau nieko aiškinęsis :) Jūsų dėmesiui nedidelis akademinis tyrimas apie eilinę valstybinio lygio saugumo problemą.
Taigi, ką mes žinome apie skaitmeninį parašą ? Pagal realizacijos tipą šiuo metu Lietuvoje naudojami:
1. Mparašas - sertifikatai patalpinti SIM kortelėje
2. Eparašas - sertifikatai patalpinti USB ar kortelės pavidalu esančioje saugykloje.
Nepriklausomai nuo to, kur patalpintas sertifikatas, iš funkcionalumo prasmės skaitmeninis parašas veikia taip pat - dokumentui paskaičiuojamas hash-as, šis hash-as užšifruojamas privačiu raktu ( dešifruoti galima public raktu ). Tada bet kas pasaulyje gali patikrinti ar dokumentas pasirašytas, ir ar parašas galiojantis. Bet koks dokumento pakeitimas parašą padaro negaliojančiu. Daugiau informacijos apie skaitmeninį parašą yra pagal šią nuorodą.
Ar tai saugu ? Taip, nurodytos technologijos yra saugios. Tačiau problemos prasideda tada, kai jas pradedama naudoti praktikoje. Būtent čia kyla įvairūs saugumo pavojai. Įvertinti, ar saugu naudotis skaitmeniniu parašu kokioje nors konkrečioje svetainėje yra sudėtinga - tam Jūs turėtumete atsakyti į šiuos klausimus:
1. Ar ryšys į svetainė nėra perimtas ?
2. Ar į svetainę nėra įsilaužta ?
3. Ar svetainės administratoriai nepiktnaudžiauja ?
Trumpai pabandysiu išvesti analogiją su realiu gyvenimu - įsivaizduokime, parašome popierinį laišką ir išsiunčiame jį bet kokiam nepažįstamam žmogui ( arba pvz. notarui ) į Kauną - t.y. įmetame į pašto dėžutę, stovinčią kieme, ir laukiame, kol jis nueis. Tada skambiname jam telefonu ir sakome - aš pasirašau tą dokumentą, kurį atsiunčiau. Ir džiaugiamės, kaip čia mes saugiai viską padarėme. T.y. pasirašau, nematydamas ką pasirašau.
Bendru atveju kriptografiniai algoritmai, naudojami skaitmeniniam parašui suformuoti, yra saugūs. Tačiau mechanizmai, kurių pagalba yra padedamas / uždedamas tas parašas turi aibę trūkumų / įgimtų problemų. Pagrindinė jų yra ta, kad žmogus pasirašinėja dokumentą, kuris yra ne pas jį, o kažkur - šioje vietoje atsiranda galimybės manipuliuoti tuo, ką "pakišime" žmogui pasirašyti ( kadangi jis nemato to, ką pasirašo ). Šiuo atveju ( filmuke ) būtent ir pavaizduota situacija, kai pasirašantys pasirašo visai kitą dokumentą, nei jis mano pasirašantis. Šiuo atveju tai leidžia padaryti taip vadinama MITM ataka ( man-in-the-middle ). Be jokių abejonių, galimi įsilaužimai į svetaines, kuriose pasirašomi dokumentai ar kitoks piktnaudžiavimas.
T.y. praktiškai bandau parodyti ( ir suabejoti bei galimai paneigti ), uždėto parašo legitimumą. Čia pateikiamas tik pavyzdys parodyti architektūrinę problemą. Architektūrinė problema panašu kad egzistuoja bet kurioje svetainėje, kuri leidžia pasirašinėti skaitmeniniu parašu- net nereikia ten įkėlinėti dokumento ir tai gali būti iš viso nepalaikoma. Bet jei bus įsilaužta / ar perimtas ryšys - niekas nesutrukdys svetimu parašu pasirašyti skolos vekselį, kai žmogus galvos, kad jis elektroniniu parašu tik patvirtiną kokį nors veiksmą. T.y. čia atakos taškų yra labai daug - praktiškai visi, kurie palaiko skaitmeninį parašą. T.y. - tai masinė problema, ir ji lengvai išnaudojama - taigi ir kompromituojamas mechanizmas. Ir matyt pagrindinė problema yra tai, kad nėra pakankamo kompensacinio mechanizmo (mitigation) tokių atakų užkardymui.
Taip pat, siūlyčiau susipažinti su apžvalginių straipsniu bei įvairiomis nuomonėmis apie skaitmeninį parašą lrt.lt portale. O tada jau galima peržvelgti ir video įrašą, kaip paprastai ir dėl įvairių priežasčių galima perimti ir pasinaudoti Jūsų skaitmeniniu parašu savo tikslais - pavogti Jūsų tapatybę ( filmuke atakos dalis prieš svetainės lankytoją bei el. parašo perėmimą "iškirpta" ):
Prezentacija apie tai, kaip padidinti įmonės kibernetinį saugumą, daryta "ESET Security Day 2019" konferencijos metu.
Prezentacijoje pateikti kibernetinio saugumo geriausios praktikos bei principai, kuriuos rekomenduotina taikyti įmonėje, taip pat kaip pasiekti vieną iš sudėtingiausių tikslų - aptikti ir suvaldyti kibernetinius incidentus.
Sveiki,
eilinį kartą pakilkime virš popierinio saugumo. Pagal popierinį saugumą Lietuva užima net 4 poziciją pasaulyje. O kaip yra su realiu saugumu ? Ar paprastas žmogus Lietuvos kibernetinėje erdvėje gali jaustis saugus ? Drįsčiau teigti, kad ne. O ir realybėje situacija gerokai skiriasi. Tai - ir didžiuliai botnetai Lietuvoje ir kitokios grėsmės. Ir dažniausiai problema pamatoma tik tada, kai į ją bedama pirštu. Jūsų dėmesiui - kreditinių kortelių vagystės iš lietuviškų eparduotuvių.
Prieš kurį laiką Magento pagrindu pagamintose parduotuvėse pradėjau aptikti kreditinių kortelių informaciją vagiantį kodą. Vienas įdomesnių - elektroninėje parduotuvėje esantis kodas įsiterpia į mokėjimo procesą ir reikalauja suvesti kreditinės kortelės duomenis. Pažiūrėkime įterptą kodą:
Sveiki,
dalinuosi prezentacija apie web svetainių apsauga bei šios apsaugos principus naudojant WAF ( web application firewall ). Prezentacija daryta keletą kartų įvairioms institucijoms. Kadangi informacija gana jautri, pateikiama prezentacija yra cenzūruota ( pašalinti atakų bei WAF konsolės paveiksliukai )
Darius
Saugumo testavimai
Botnetų stebėjimas
DDOS gynyba
WEB svetainių apsauga
Kibernetinio saugumo tyrimai