Archive for 5. juuni 2012

Postimehe uus kommentaarium (võimalik saada kätte kommenteerija IP) ?

juuni 5, 2012

Teema võib lukku panna ja ajaloo prügikasti saata: kiire vastus, kiire parandamine…korras !

Leidsin huvitava nüansi Postimehe (www.postimees.ee domeen) uues kujunduses (sorry), just kommentaarides, seal on kommenteerijate IP’d saadaval.

Kas nüüd testijate apsakas, turvaauk, tahtlikkus või lihtsalt tavapärane lohakus ??

Teavitage probleemist lehte “ise” või andke mulle sealse tehnilise tiimi kontakt, sest mina seda ei leidnud.

Võtke Postimehe lehe lähtekood (kommentaaride oma), siis seal kenasti rida var commentsJson = ….
ja seal ka põnev JSON muutuja. “ip”:”…” võtke see number sealt ülekomade vahel ning saate minu programmi abil teada kommenteerija IP aadressi. Tegelikult see on IP4 integer kujul

Tegelikkuses küsitakse kommentaare parrot.php kaudu, Firebugiga saate kenasti kätte kõik kommentaarid JSON kujul…

Programmi lähtekood siin, võite seda laiendada, tehke analüüs, kui efektiivselt meie avalik sektor töötab, paljud sealt ka kommenteerivad 😉 Samas loodan, et Postimees koristab selle “bugi?” ära nii kiiresti kui võimalik ! Ja siis pole selle programmiga enam midagi teha…

Programm ise on siin: http://www.stiigo.com/kesonkommar.exe

Kasutada:
kesonkommar.exe IPNrkujul ntx kesonkommar.exe 123123123123

Võite ka kasutada standarset tracert käsku 😉 🙂

tracert 123123123123


program kesonkommar;

{$APPTYPE CONSOLE}

uses
SysUtils;

type
tip = record
b1 : byte;
b2 : byte;
b3 : byte;
b4 : byte;
end;

var
p : integer;
begin
Writeln('Uudishimulik Ingmar Solutions.ZZZ http://www.stiigo.com');
if paramcount>0 then
begin
p:=strtoint64def(paramstr(1),0); // rumal overflow d7 sees
writeln(format('Ja kommija IP on : %d.%d.%d.%d',[tip(p).b4,tip(p).b3,tip(p).b2,tip(p).b1]));
end;

writeln;
Writeln('Vajuta miskit');
readln;
end.

Advertisements

ID kaart ja tema nõrkus (UI / Windows / paroolid)

juuni 4, 2012

Nii oli korraks vaba hetk ja mul tekkis professionaalne huvi, et kui turvaline siis see ID kaardi UI pool Windowsi all on ja tulemus, olgem ausad – sõna masendav oleks ilustatud vorm.
Mingit sensatsiooni pole mõtet otsida, ID kaart ise ja tema tehnoloogia VÄGA tugev, aga parooli küsimise pool on katastroof

Kui ma selle testi tegin, võtsin eelduseks selle, et kui kiiresti on võimalik kirjutada erinevad osad ja siin siis tulemus. Rõhutan, tegin lihtsustatud variandi ehk püüduralgoritme annaks viia N taseme keerukuseni.

– ID kaardi paroolide püüdur IE / Firefox PIN 1/2 28 minutit
– pangalogini püüdur 44 minutit (hetkel puudutab vaid IE kasutajaid)
– püütud ID kaardi paroolidega automaatne logimissüsteem panka 53 min

Nagu näete tulemus on masendav ja TÕESTI ma tegin võimalikult lihtsustatud süsteemi, mis suudab ka panka logida. Seda saaks vabalt laiendada pangamaksete tegemiseni ja kasvõi vajadusel panna süsteem dokumente allkirjastama.

Mäletan mingit vaprat isikut serdi keskusest, kes tagus vastu rinda, sellist süsteemi pole olemas… Võtku õlled või hea vein kaasa ja näitan talle…ON

Mis on SELLE postituse eesmärk, tuleb kirjutada “tugevam” vorm, mis paroole küsib. Loomulikult oleks kõige õigem, kui Te kasutaksite PIN-pad lugejat.

Aga ID kaardi tarkvaras peaks olema võimalus, kus saab seadistada, et tuleb parool sisestada ning valida kontrollpilt mitme pildi seas. See välistaks automaatsüsteemid, nende algoritme saab küll täiustada, aga see muutub juba väga väga keerukaks. Ka virtuaalne klaviatuur annaks eeliseid.

Lisaks veel tehnilist poolt:

PIN2 osa võiks ikka olla niivõrd intelligentne, et

A) kui tehakse moodulise sees getwindowtext…siis programm ikka vaataks, kas ta TÕESTI küsib ise seda (dll injection teema). Proovige ntx TrueCrypt aknast küsida parooli injection abil 😉
B) parooli sisestamise aknas PASTE ära keelata, eriti PIN2 puhul !
C) kui klaviatuurilt sisestus, siis peaks programm analüüsima, kui kiiresti need tähed ikka tulid, sest alla 60ms on juba mingi jama

NÜÜD kindlasti küsimus, aga kus on need programmid / katsetused on ehk ma ajan udujuttu. Vaadake, neid programme ei saa avalikustada, sest meie seas on liiga palju pahatahtlikke inimesi. 3 usaldusväärset isikut on kinnitanud tarkvara tööd !

Soovitus, kui Teil tehingud tehtud, võtke ID kaart lugejast välja, ta ei pea seal pidevalt paiknema.

Kuidas saaks üldse selline pahatahtlik tarkvara Teie arvutisse – vene keeles ütlus, eto vopros tehniki

Kui mõni usin arvutiajakirjanik tahab probleemi olemust “lives” näha, lepime aja kokku ja saab demo…

—–

Loo eesmärk oli see, et kui tehakse mingi riiklik asi, siis see peab olema tippturvalisusega, mitte stiilis, aga sellist pahalase programmi ei ole ju…tule taevas appi ja too meile seemneid.

Üldiselt Linux ja Mac kasutajad võivad rahulikult magada 😉

Seniks levi lõpp…