foto1
foto1
foto1
foto1
foto1

Saugumo testavimai

Botnetų stebėjimas

DDOS gynyba

WEB svetainių apsauga

Kibernetinio saugumo tyrimai

Sveiki,

šio straipsnio pasirodymą iššaukė gana komplikuota patirtis bandant pasirašyti vieną dokumentą Mparašu bei Eparašu ( asmens tapatybės kortelės sertifikatu ). Jei viskas būtų įvykę sklandžiai, matyt net ir nebūčiau nieko aiškinęsis :)  Jūsų dėmesiui nedidelis akademinis tyrimas apie eilinę valstybinio lygio saugumo problemą. 

Taigi, ką mes žinome apie skaitmeninį parašą ? Pagal realizacijos tipą šiuo metu Lietuvoje naudojami:

1. Mparašas - sertifikatai patalpinti SIM kortelėje 

2. Eparašas - sertifikatai patalpinti USB ar kortelės pavidalu esančioje saugykloje.

Nepriklausomai nuo to, kur patalpintas sertifikatas, iš funkcionalumo prasmės skaitmeninis parašas veikia taip pat - dokumentui paskaičiuojamas hash-as, šis hash-as užšifruojamas privačiu raktu ( dešifruoti galima public raktu ). Tada bet kas pasaulyje gali patikrinti ar dokumentas pasirašytas, ir ar parašas galiojantis. Bet koks dokumento pakeitimas parašą padaro negaliojančiu. Daugiau informacijos apie skaitmeninį parašą yra pagal šią nuorodą. 

Ar tai saugu ? Taip, nurodytos technologijos yra saugios. Tačiau problemos prasideda tada, kai jas pradedama naudoti praktikoje. Būtent čia kyla įvairūs saugumo pavojai. Įvertinti, ar saugu naudotis skaitmeniniu parašu kokioje nors konkrečioje svetainėje yra sudėtinga - tam Jūs turėtumete atsakyti į šiuos klausimus:

1. Ar ryšys į svetainė nėra perimtas ?

2. Ar į svetainę nėra įsilaužta ?

3. Ar svetainės administratoriai nepiktnaudžiauja ?

Trumpai pabandysiu išvesti analogiją su realiu gyvenimu - įsivaizduokime, parašome popierinį laišką ir išsiunčiame jį bet kokiam nepažįstamam žmogui ( arba pvz. notarui ) į Kauną - t.y. įmetame į pašto dėžutę, stovinčią kieme, ir laukiame, kol jis nueis. Tada skambiname jam telefonu ir sakome - aš pasirašau tą dokumentą, kurį atsiunčiau. Ir džiaugiamės, kaip čia mes saugiai viską padarėme. T.y. pasirašau, nematydamas ką pasirašau.

Bendru atveju kriptografiniai algoritmai, naudojami skaitmeniniam parašui suformuoti, yra saugūs. Tačiau mechanizmai, kurių pagalba yra padedamas / uždedamas tas parašas turi aibę trūkumų / įgimtų problemų. Pagrindinė jų yra ta, kad žmogus pasirašinėja dokumentą, kuris yra ne pas jį, o kažkur - šioje vietoje atsiranda galimybės manipuliuoti tuo, ką "pakišime" žmogui pasirašyti ( kadangi jis nemato to, ką pasirašo ). Šiuo atveju ( filmuke ) būtent ir pavaizduota situacija, kai pasirašantys pasirašo visai kitą dokumentą, nei jis mano pasirašantis. Šiuo atveju tai leidžia padaryti taip vadinama MITM ataka ( man-in-the-middle ). Be jokių abejonių, galimi įsilaužimai į svetaines, kuriose pasirašomi dokumentai ar kitoks piktnaudžiavimas.

 
T.y. praktiškai bandau parodyti ( ir suabejoti bei galimai paneigti ), uždėto parašo legitimumą. Čia pateikiamas tik pavyzdys parodyti architektūrinę problemą. Architektūrinė problema panašu kad egzistuoja bet kurioje svetainėje, kuri leidžia pasirašinėti skaitmeniniu parašu- net nereikia ten įkėlinėti dokumento ir tai gali būti iš viso nepalaikoma. Bet jei bus įsilaužta / ar perimtas ryšys - niekas nesutrukdys svetimu parašu pasirašyti skolos vekselį, kai žmogus galvos, kad jis elektroniniu parašu tik patvirtiną kokį nors veiksmą. T.y. čia atakos taškų yra labai daug - praktiškai visi, kurie palaiko skaitmeninį parašą. T.y. - tai masinė problema, ir ji lengvai išnaudojama - taigi ir kompromituojamas mechanizmas. Ir matyt pagrindinė problema yra tai, kad nėra pakankamo kompensacinio mechanizmo (mitigation) tokių atakų užkardymui.

Taip pat, siūlyčiau susipažinti su apžvalginių straipsniu bei įvairiomis nuomonėmis apie skaitmeninį parašą lrt.lt portale. O tada jau galima peržvelgti ir video įrašą, kaip paprastai  ir dėl įvairių priežasčių galima perimti ir pasinaudoti Jūsų skaitmeniniu parašu savo tikslais - pavogti Jūsų tapatybę ( filmuke atakos dalis prieš svetainės lankytoją bei el. parašo perėmimą "iškirpta" ):