Sąmokslo teorija: galinės durys į jūsų svetainę
Interneto Gidas
Ketvirtadienis, 08 Spalis 2009 15:22
„Jau senokai bandome atkreipti klientų ir ne tik dėmesį į vieną ilgą laiką tyliai sau egzistuojančią informacijos saugumo problemą – tai „galinių durų“ (angl. backdoors) problema.“ – sako IT saugos analitikas Kęstutis Gudinavičius.

„Šio tinklaraščio įrašo tikslas yra ne tik atkreipti dėmesį į pačią problemą, bet ir padėti WEB sprendimų kūrėjams padaryti žingsnį į priekį jų kuriamų sistemų saugumo lygiui pakelti bei pademonstruoti realias grėsmes praktiškai. Aišku „praktinė“ demonstracija bus kiek cenzūruota dėl šio reiškinio paplitimo mąsto – atsarginį įėjimą į sistemą pasilieka bene visi turinio valdymo sistemų kūrėjai pradedant vietinės reikšmės programuotoju ir baigiant didžiosiomis WEB sprendimų kūrimo kompanijomis, o juk dėl klaidingos tokių „funkcijų“ realizacijos gali nukentėti šimtai lietuviškų interneto svetainių...

Prieš neriant į nacionalinių backdoor`ų realizacijos ypatumų nagrinėjimą, derėtų išsiaiškinti kas visgi yra tos „galinės durys“. Iš esmės viskas paprasta: galinės durys – tai programinis kodas, leidžiantis įsilaužėliams nepastebimai patekti į tam tikrą sistemą. Tokio programinio kodo pavyzdžiai galėtų būti kenksmingos programinės įrangos autoriams atveriama nesankcionuoto prisijungimo galimybė į užkrėstus kompiuterius ar padirbtoje tinklo įrangoje paliekamos landos.

Manau, kad pati sąvoka yra suprantama, tačiau pats šis mechanizmas gerai veikia tol, kol apie jį niekas be kūrėjo nežino (Trise saugo paslaptį, kai du iš jų negyvi) bei reikia turėti omenyje, kad toks mechanizmas gali būti ir naudingas – tarkime TVS kūrėjams vienokios ar kitokios galinės durys į jų sukurtas sistemas supaprastina TVS kūrėjams darbą šalinant įvairius nesklandumus ir padeda operatyviai reaguoti į iškilusias problemas. Dažniausiai iš pažiūros pasirinkta atsarginių durų realizacija kūrėjams gali atrodyti saugi, tačiau gerai pasigilinus akivaizdžiai matosi saugumo spragos.

Panagrinėkime keletą populiariausių situacijų:

1 Situacija. Universalus vartotojo vardas ir slaptažodis

TVS kūrėjai duomenų bazėje sukuria specialų vartotoją arba web aplikacijos išeities tekstuose prie esamos autentifikacijos schemos prideda papildomą patikrinimą. Slaptažodis tokiu atveju būna šifruotas (ir tai ne visada), tačiau dažniausiai paprastas, o blogiausia, kad tas pats slaptažodis yra naudojamas absoliučiai visose interneto svetainėse kur veikia ta konkreti TVS. Būtina suprasti, kad saugumas negali būti pasiektas vidinių mechanizmų veikimo principų slėpimu: juk faktiškai kiekvienas klientas, nusipirkęs turinio valdymo sistemą gali „prasinešti“ po visas likusias tokiu pačiu principu sukurtas svetaines. O juk vietoje kliento bus arba smalsus administratorius, arba realus įsilaužėlis, kas tikriausiai dar labiau tikėtina, įvertinant tai, kad lietuviškos „masinio vartojimo“ WEB sistemos nepasižymi saugumu.

Net jeigu slaptažodis sudėtingas ir neįveikiamas standartiniais įrankiais, įsilaužėlis gavęs priėjimą prie vienos iš norimos turinio valdymo sistemos valdomų svetainių, gali pridėti kodo gabalą, kuris išsaugos pateiktą slaptažodį atviru tekstu, kuomet bus jungiamasi į administracinę dalį (o nenorint ilgai laukti užtenka sukelti dirbtinę problemą ir programuotojai suskubs jos taisyti prisijungdami per savo galines duris). Taip pat reikia neatmesti galimybės, kad slaptažodį tretiesiems asmenims gali atskleisti ir nesąžiningi TVS programuotojai.

Išvada: nerealizuoti universalios prisijungimo prie sistemų galimybės, kadangi scenarijų išeities kodai viską parodo lyg ant delno. Geram įsilaužėliui juos paimti/nusipirkti – ne problema.

2 Situacija. Autorizacija pagal IP adresą

Tai turbūt dažniausiai pasitaikanti galinių durų realizacija. Sunku pasakyti, kodėl taip dažnai pasitikima IP adresu: tai dažniausiai būna TVS kūrėjų biuro tinklo išorinis adresas, o tai iš esmės reiškia, kad už šio IP adreso slepiasi bent 10 potencialių įsilaužėlio taikinių. Taip pat gali būti nulaužti maršruto parinktuvai (routeriai), o ką jau kalbėti apie plačiai paplitusius bevielius tinklus. O paprasčiausias būdas tikriausiai yra užsukti į programuotojų kontorą ir paprašyti prisijungimo prie tinklo, patvarkyti dominančią svetainę ir tiek.

Įskaitant tai, kad turbūt nei vienas programuotojas nepagalvojo apie apsaugos nuo XSRF atakų mechanizmo įdiegimą administravimo panelėje, įsilaužti tampa dar paprasčiau: įsilaužėlis gali suformuoti specialų HTML kodą ir išsiuntinėti elektroniniu paštu tiems asmenims, kurie slepiasi už reikiamo IP adreso. Nepastebimai ir tyliai konkrečioje interneto svetainėje bus sukurtas naujas įsilaužėlio kontroliuojamas vartotojas ar pakeista tam tikra informacija.

Kartais IP adresą bandoma maskuoti:

if (md5($REMOTE_ADDR) == '3A66F1134CEBCC6F419520CEDCD2237B')

Tikriausiai suprantate, kad toks maskavimo būdas yra neveiksmingas (namų darbams).

Išvada: autorizacija pagal IP adresą taip pat kelia nemažą riziką visų atskiros kompanijos kuriamų svetainių saugumui.

3 Situacija. Autorizacija pagal srities vardą

Šiuo principu paremtas galines duris diegia programuotojai, kurie visiškai nesupranta kaip veikia DNS. Kiekvienas DNS serverio administratorius gali sukurti in-addr.arpa įrašą, kuris bus nukreiptas į atitinkamą srities vardą, pavyzdžiui: „office.critical.lt“. Beje, šį pažeidžiamumą sėkmingai pavyks išnaudoti tik tuo atveju, kai Apache HTTP serverio konfigūraciniame faile direktyvos „HostnameLookups“ reikšmė bus „On“.

Autorizacijos pagal srities vardą pavyzdys:

if ($REMOTE_HOST== 'office.critical.lt')

Išvada: kelti kvalifikaciją, nes šis būdas yra „viršūnė“. Nors HostnameLookups parametras konfigūracijoje nebūna įjungtas pagal nutylėjimą, tačiau galima daryti prielaidą, kad ten kur yra naudojama TVS, turinti tokį „pagalbinį priėjimą“ šis parametras bus aktyvuotas, kitaip backdoor‘as tiesiog neveiks :)

Taigi, išėjo pasidaryti savotišką nacionalinių galinių durų realizacijos ypatumų TOP-3, kuriame pateiktos realizacijos tikriausiai išdėstytos nuo „geriausios“ iki „blogiausios“. Apskritai, tai vargu ar egzistuoja geras ar blogas galinių durų realizavimo variantas, kadangi apie jų egzistavimą tinklalapių savininkai net nenutuokia, todėl klaidingai vertina savo sistemų saugumo lygį. Kita vertus tie patys savininkai nori, kad visos kylančios problemos būtų sprendžiamos greitai ir sklandžiai, o kompanijos, kuriančios WEB sprendimus irgi to siekia palengvindamos savo gyvenimą supaprastinant prisijungimą prie tinklalapio ne tik sau bet ir kitiems.

Pabaigai rekomenduojame pasidomėti, ar jūsų naudojamoje TVS nėra palikta šio „privalumo“, galinčio labai greitai pavirsti rimtu saugumo trūkumu, o valstybinėse institucijose tikriausiai ir šnipų ar priešiškai nusiteikusių organizacijų žaisliuku.“

Šaltinis:
 


Susijusios naujienos:

  • Kodėl verta praleisti vakarą su šeima žaidžiant stalo žaidimus? (2024-10-02)

    Šiandien, kai technologijos užima didelę dalį mūsų laisvalaikio, praleisti vakarą su šeima žaidžiant stalo žaidimus tampa vis svarbesne tradicija. Tai ne tik smagus būdas pabėgti nuo ekranų, bet ir puiki galimybė sustiprinti šeimos ryšius, mokytis naujų įgūdžių ir kartu sukurti nepamirštamas akimirkas. Stalo žaidimai, net paprasčiausi ir trumpiausi, gali praturtinti šeimos laisvalaikį bei skatinti bendravimą.

    Bendravimas ir artimųjų ryšių stiprinimas

    Vienas iš pagrindinių privalumų, žaidžiant stalo žaidimus, yra galimybė bendrauti su šeimos nariais. Žaidimai suartina, leidžia pasikalbėti ir kartu išspręsti užduotis ar susidurti su iššūkiais. Tai puiki galimybė ne tik juoktis ir linksmintis, bet ir išgirsti vienas kitą. Kasdieniniame gyvenime, pilname darbų ir pareigų, dažnai pritrūksta laiko paprastam, kokybiškam bendravimui, todėl stalo žaidimai gali tapti ta jungiamąja grandimi, kuri stiprina šeimos ryšius. Be to, žaidimai suteikia progą geriau pažinti vienas kitą – nuo strateginio mąstymo iki humoro jausmo.

    Įgūdžių lavinimas

    Stalo žaidimai ne tik linksmina, bet ir ugdo įvairius įgūdžius. Žaisdami įvairaus tipo žaidimus, vaikai ir suaugusieji gali lavinti loginį mąstymą, strategiją, kūrybiškumą ir net problemų sprendimo gebėjimus. Kai kurie žaidimai reikalauja planuoti kelis žingsnius į priekį, o kiti – greitai reaguoti ir priimti sprendimus. Be to, daugelis stalo žaidimų ugdo bendradarbiavimo įgūdžius, kai komandos dirba kartu siekdamos bendro tikslo. Tai ne tik smagi veikla, bet ir naudinga tiek vaikams, tiek suaugusiems, padedant lavinti svarbius gyvenimo įgūdžius.

    Emocinio intelekto ugdymas

    Žaidžiant stalo žaidimus, šeimos nariai dažnai susiduria su įvairiais emociniais iššūkiais – laimėjimu, pralaimėjimu, netikėtais posūkiais. Tokios situacijos moko, kaip tinkamai reaguoti į įvairias emocijas, skatina empatiją ir savikontrolę. Mažesni vaikai gali išmokti susidoroti su pralaimėjimu, o vyresniems žaidėjams tai yra puiki galimybė lavinti savitvardą ir geranoriškumą. Būtent dėl šių savybių žaidimai padeda šeimai išmokti, kaip drauge įveikti sunkumus ir spręsti konfliktus.

    Atsipalaidavimas ir streso mažinimas

    Šiandieniniame greitame gyvenimo ritme stalo žaidimai gali tapti puikiu būdu atsipalaiduoti. Žaidžiant su šeima, dėmesys nukrypsta nuo kasdienių rūpesčių, o įsitraukimas į žaidimą leidžia pamiršti stresą. Smagus bendravimas, juokas ir lengva konkurencija padeda sukurti teigiamą atmosferą, kurioje visi gali pasijusti atsipalaidavę. Vakarai, praleisti su šeima prie stalo žaidimų, tampa puikiu būdu atkurti vidinę pusiausvyrą ir iš naujo pajusti ryšį su artimaisiais.

    Nostalgiškos ir nepamirštamos akimirkos

    Kartu praleistos akimirkos, ypač kai jos susijusios su juoku ir bendravimu, lieka ilgam. Žaidžiant stalo žaidimus, dažnai atsiranda situacijų, kurios taps šeimos istorijos dalimi ir bus prisimenamos dar daugelį metų. Kiekviena partija gali tapti nauju nuotykiu, sukuriančiu ne tik žaidimo momentus, bet ir smagias istorijas, kurias bus galima pasakoti vėliau. Šios akimirkos sukuria šeimos tradicijas, kurios tampa svarbia jos dalimi.

    Vakarai, praleisti su šeima žaidžiant stalo žaidimus, ne tik stiprina šeimos ryšius, bet ir padeda lavinti įgūdžius, ugdo emocinį intelektą ir suteikia progą atsipalaiduoti. Tai puikus būdas ne tik smagiai praleisti laiką, bet ir sukurti prisiminimus, kurie lydės visą gyvenimą.


  • Kas yra daiktų internetas? (2023-10-16)

    Nesunku pastebėti, kad internetas šiandien mums suteikia itin daug įvairių galimybių: būtent dėl jo, galime bendrauti su žmonėmis iš viso pasaulio, taip pat galime ir žiūrėti filmus, klausytis muzikos, apsipirkti, surasti mums reikiamą informaciją ir t.t. Tačiau net ir tai – dar ne viskas: o, ar esate girdėję apie daiktų internetą?

  • Kaip kurti logotipus? (2021-12-03)

    Logotipas yra vizualus kiekvieno verslo veidas. Tai visur – reklamoje, socialiniuose tinkluose, pakuotėse, elektroninėse parduotuvėse ir kitose komunikacijos formose. Dažniausiai logotipas yra įsimintiniausia vizualinė prekės ženklo detalė.

  • Perkame lauko šviestuvą internetu - kas svarbu? (2020-03-24)

    Šiuolaikinė rinka mirgėte mirga nuo pačių įvairiausių prekių pasiūlymų. Ne išimtis ir šviestuvai. Visgi tai nėra toks paprastas prietaisas kaip gali pasirodyti - tinkamai pritaikytas šviestuvas yra ne tik komfortą užtikrinantis praktiškas įrenginys, bet ir puikus aplinkos jaukumo elementas. Šiandien pačių įvairiausių įrenginių galima įsigyti ir internetinėje erdvėje. Ieškote joje lauko šviestuvo? Į ką turėtume atkreipti didžiausią dėmesį?

  • Draudimo skaičiuoklė internete - kad rastumėte geriausią pasiūlymą (2019-10-17)

    Renkatės naują automobilį, bet nežinote į ką atkreipti dėmesį, kad už jį nepermokėtumėte? Štai keletas patarimų kaip išvengti didesnių draudimo išlaidų įsigyjant transporto priemonę.


Komentarai

Reklaminis skydelis

Mūsų draugai

It naujienos

Deviceinformed