suns
system network data news bugtraq
sexy unix security project
bugtraq > Valsts iestāžu mājaslapu drošības problēmas (47) 12.10.2007 19:35
Kādu vakaru intereses pēc izdomāju paskatīties, cik tad drošas ir mūsu valsts iestāžu mājaslapas. Par mērķi izvirzīju atrast katrā mājaslapā vismaz vienu SQL injekciju un vienu XSS caurumu, uz vienu mājaslapu kopā netērējot vairāk par 5-10 minūtēm. Meklēju tikai līdz pirmajai SQL injekcijai vai XSS, pārējo lapu nepārbaudot.


SQL injekcija


SQL injekcija ir uzbrukuma veids, kurā uzbrucējs ar klienta tiesībām mēģina piekļūt datubāzei, kas ir dotās mājaslapas vai web aplikācijas pamatā. Mūsdienās SQL injekcija ir vispopulārākais web aplikācijas līmeņa uzbrukuma veids. SQL injekcijas pamatā ir nepareizi uzrakstītas programmas vai web aplikācijas, kas lietotājam ļauj veikt datubāzes vaicājumus, kurus nav paredzējis programmatūras vai mājaslapas izstrādātājs. Šādu situāciju parasti izraisa nepietiekama lietotāja ievadītās informācijas pārbaude, kā rezultātā netiek filtrēti SQL īpašie simboli.
Vienkāršāk to būs saprast aplūkojot piemēru. Pieņemsim, ka mums ir autorizācijas forma, kurā jāievada lietotājvārds un parole. Formas nosūtīšanas rezultātā tiek izpildīts sekojošs SQL pieprasījums:
SELECT * FROM lietotaji WHERE lietotajvards='LIETOTAJVARDS' AND parole='PAROLE'
Mēs vēlamies piekļūt lietotāja admin profilam. Kā to izdarīt, nezinot paroli? Atliek modificēt SQL pieprasījumu šādā veidā:
SELECT * FROM lietotaji WHERE lietotajvards='admin' OR lietotajvards=kautkas AND parole=''
Ievadot autorizācijas formā lietotājvārda vietā admin' OR lietotajvards=kautkas, būs iespējams, nezinot paroli, autorizēties kā lietotājam "admin". Dotais SQL piemērs pirmajā gadījumā atlasīs ierakstu lietotāju tabulā, kā meklēšanas kritērijus izmantojot lietotāja vārdu UN paroli. Otrajā gadījumā kā meklēšanas kritērijs tiks izmantots lietotāja vārds UN parole VAI tikai lietotāja vārds.
Modificējot datubāzes vaicājumu un pievienojot tam galā loģisko nosacījumu, kas vienmēr izpildās, uzbrucējs lielākajā daļā gadījumu varēs nolasīt visus dotās datubāzes tabulas ierakstus vai arī no kļūdas paziņojumiem izdarīt kādus tālākus secinājumus.
Vairāk informācijas par to, kas ir SQL injekcija, var izlasīt te:
en.wikipedia.org/wiki/Sql_injection


XSS


XSS (Cross Site Scripting) ir uzbrukuma veids web aplikācijām. Uzbrucējs izmanto XSS, lai iemānītu paša izveidotu skriptu gala lietotājam. Tā kā lietotāja pārlūkprogramma uzskata, ka skripts ir saņemts no uzticama informācijas avota un tai nav nekādas iespējas uzzināt to, ka skriptam nedrīkst uzticēties, programma palaidīs skriptu, tādējādi nodrošinot tam piekļuvi jebkurām lietotāja sīkdatnēm (cookies), sesiju datiem un citai informācijai, kuru lietotāja pārlūkprogramma izmanto attēlojot web lapu. Ar šādu skriptu palīdzību iespējams pārrakstīt HTML lapas saturu.
Pieņemsim, ka ir web lapa, kurai kā parametrs tiek nodots kāda cilvēka vārds vai iesauka, lai apsveiktu viņu dzimšanas dienā:
http://example.lv/happy_birthday.php?name=Bob
Atverot šo adresi, lietotājam parādās uzraksts "Happy birthday, Bob", kas HTML valodā izskatās šādi:
<html><body><p>Happy birthday, Bob</p></body></html>
Bet atverot šo adresi:
http://example.lv/happy_birthday.php?name=<font color=red>Bob</font>
..lapas saturs pārvērtīsies par:
<html><body><p>Happy birthday, <font color=red>Bob</font></p></body></html>
Šajā gadījumā tiek injicēta HTML font birka, kas pati par sevi neko ļaunu lietotājam nenodara, bet font birkas vietā iespējams injicēt script birku un lapā ievietot javaskriptu.
Vairāk par XSS uzbrukumiem var izlasīt šeit:
en.wikipedia.org/wiki/Xss
www.owasp.org/index.php/Cross_Site_Scripting


Aizsardzība


Lai izvairītos no šāda tipa uzbrukumiem, vienmēr nepieciešams rūpīgi pārbaudīt lietotāja ievadītos datus. Tāpat web serveriem ir pieejami daudzi moduļi, kas aizsargā no tiem. Kā vienu no populārākajiem varu minēt ModSecurity, par kuru esmu rakstījis jau agrāk. Pareizi uzstādīts web serveris padarīs šāda veida uzbrukumus daudz sarežģītākus vai pat neiespējamus. Vispārīgai informācijai par web aplikāciju drošību programmējot var noderēt šis Kārļa Gaņģa raksts:
knagis.miga.lv/blog/2006/01/27/17/


Rezultāti


Situācija izrādījās daudz skumjāka nekā sākotnēji varēju iedomāties - reti kurā lapā nebija vismaz viens no šiem caurumiem, bet lielākajā daļā bija gan SQL injekcijas, gan XSS. Ja iesākumā mērķis bija atrast vismaz pāris lapas ar šīm ievainojamībām, tad vēlāk kļuva skaidrs, ka man pietiks laika apskatīt tikai svarīgākās valsts iestāžu lapas. Tāpat neapskatīju militārās un mācību iestādes (izņemot vienu skolu, kura man neizprotamu iemeslu dēļ atrodās zem gov.lv domeina).
Kad pabeidzu savas pārbaudes, katram mājaslapas īpašniekam 4. oktobra vēlā vakarā aizsūtīju epastu ar informāciju, kādas viņa lapā ir ievainojamības. Sazinājos arī ar DDIRV, brīdinot par visām atklātajām ievainojamībām un informēju par to, ka pēc nedēļas grasos publicēt šo rakstu. Šeit būs paši rezultāti:
Reģionālās attīstības un pašvaldību lietu ministrija: SQLi, XSS, XSS (spogulis: SQLi, XSS, daļēji salabota 2007/10/12)
Bērnu un ģimenes lietu ministrija: SQLi, XSS, XSS (spogulis: SQLi, XSS, salabota 2007/10/08)
Ekonomikas ministrija: SQLi, XSS, XSS (spogulis: SQLi, XSS)
Finanšu ministrija: SQLi, XSS, XSS (spogulis: SQLi, XSS, salabota 2007/10/11)
Iekšlietu ministrija: SQLi, XSS, XSS (spogulis: SQLi, XSS, salabota 2007/10/08)
(starpcitu, ar šo man nav nekāda sakara)
Aizsardzības ministrija: XSS, XSS (spogulis: XSS, salabota 2007/10/10)
Aizsardzības ministrijas jaunsardzes centrs: XSS, XSS (spogulis: XSS, salabota 2007/10/08)
Īpašu uzdevumu ministra sabiedrības integrācijas lietas sekretariāts: XSS (spogulis: XSS, salabota 2007/10/08)
Satversmes tiesa: SQLi, XSS, XSS (spogulis: SQLi, XSS)
Pārtikas un veterinārais dienests: SQLi, XSS, XSS (spogulis: SQLi, XSS)
Iepirkumu uzraudzības birojs: SQLi, XSS, XSS (spogulis: SQLi, XSS)
Sociālās integrācijas centrs: SQLi, XSS, XSS (spogulis: SQLi, XSS)
Valsts arhīvi: XSS (spogulis: XSS, salabota 2007/10/11)
Valsts vienotā datorizētā zemesgrāmata: SQLi, XSS, XSS (spogulis: SQLi, XSS)
AKKA/LAA: SQLi, XSS, XSS (spogulis: SQLi, XSS)
Autotransporta inspekcija: SQLi, XSS, XSS (spogulis: SQLi, XSS, salabota 2007/10/08)
Valsts būvinspekcija: SQLi, XSS, XSS (spogulis: SQLi, XSS)
Sabiedrisko pakalpojumu regulēšanas komisija: SQLi, XSS, XSS (spogulis: SQLi, XSS)
Valsts proves uzraudzības komisija: SQLi (spogulis: SQLi)
Lauksaimniecības datu centrs: SQLi, XSS, XSS (spogulis: SQLi, XSS)
Bīstamo atkritumu pārvaldības valsts aģentūra: SQLi, XSS, XSS (spogulis: SQLi, XSS)
Jaunie trīs brāļi: SQLi, XSS, XSS (spogulis: SQLi, XSS)
Valsts administrācijas skola: SQLi, XSS, XSS (spogulis: SQLi, XSS)

Vairāku iestāžu mājaslapu ievainojamības pēc to lūguma pagaidām netiek publicētas. Bet, gadījumā, ja manis norādītās kļūdas netiks nedēļas laikā izlabotas, noteikti norādes uz tām publicēšu arī šeit. VITA vēlējās, lai informēju arī par to, ka šīm problēmām ar viņiem tiešs sakars nav, par to ir atbildīgi mājaslapas veidotāji vai hostētāji, uz kuru fona īpaši izceļas Tikls.net, kurš neskatoties uz to, ka nedēļu atpakaļ viņu veidotā Iekšlietu ministrijas lapa tika uzlauzta, tomēr atklātās drošības problēmas citās viņu veidotajās web lapās tā arī nenovērsa.
Nevajadzētu pārsteigt, ja liela daļa no šīm ievainojamībām vairs nedarbojas, galu galā tāds arī bija mans mērķis. Bet ar šo uzlikšu punktu virs i: www.anninmuiza.gov.lv (DEAC? spogulis)
/ petruha - http://petruha.bsd.lv/ /
comments
kk:
ja vien kādā no tevis uzlauztajām lapām būtu kāda svarīga info :) tas viss ir pufelis, kas paredzēts tikai useriem, :D
cc:
Nu fakts kā tāds, ka mūsu gov lapas ir cauras kā sieti ir nožēlojams.
krabis:
Nu nekorekta rīcība. Ja kāds jauši vai nejauši ir pamanijis ka ir caurumi un caur tiem var darīt ļaunprātības ministrijām un citām augstām iestādēm, tad pats sliktākais, ko var izdarīt, ir par šiem caurumiem paziņot plašai publikai.
krabis:
Ir saprotams kapec tika paziņots šīm iestādēm, bet nav saprotams kamdēļ par to vajadzēja paziņot publikski? Ja kāds, piemēram, ievērotu ka kādi bankai durvis nav aizslēgtas un to ir viegli apzagt, vai tā būtu korekta un loģiska rīcība ja par to visiem plaši paziņotu? Es šo visu valsts iestažu administratoru vietā tā kartigāk "pārbaudītu" šo "sexy unix" projekta autoru, kas, kā izsaktās, ir nenobriedis jaunietis, kuram galvenais ir izrādīties: "es protu..." nerēķinoties ar to, kādu ļaunumu viņš ar to būs izdarījis.

PS. Ja šis komentars tiks izdzests, tad atradisu veidu kā ielikt 100 šadus komentārus vai paziņot citos forumos.
petruha:
krabis, neuztraucies, konstruktīvus komentārus dzēst ārā nemēdzu.

Kas attiecās uz iemesliem, kāpēc informācija par šīm ievainojamībām tika publicēta, iesaku izlasīt šo: http://en.wikipedia.org/wiki/Full_disclosure

Neaizmirsti, ka viņi par šīm ievainojamībām tika brīdināti vairāk nekā nedēļu pirms šī raksta publicēšanas.
gov_s:
Varbūt vari padalīties arī ar to iestāžu nosaukumiem, kuras pārbaudīji, et neko neatradi?
Arnolds:
Nu notransferē visu gov.lv zonu (šeit pat var atrast pamācību) un no tā saraksta izņem ārē šeit listētos webus. Kopā sanāks ka cauri bija tikai 10%.
nomatter:
Izskataas peec meeginaajuma dabuut leeto popularitaati :)
Bet, ja runaajot nopietni, tad par taadaam algaam un attieksmi pret darbiniekiem, kaada ir valsts iestaadees, neko labu nevar sagaidiit. Tur nekad nav bijis normaalo specialistu un nebuus, pat, ja taadi tur bija, tad nu vieniigais iislaiciigi.
Manupraat, meeginot skriet pakalj CSIRT un veidot kaut ko liidziigu sheit, izskataas smiekliigi. Anyway, peec manas info, neviena laba it droshiibnieka tur nav. Bet tas ir logiski, kursh ies straadaat par 300ls, kad par vinja zinaashanu liimeni piedaavaa saakot ar 1.5k.
root <nils(at)koks.lv>:
piegriežu pubic userim db tiesības un injicē laimīgs :)
dns:
"notransferē visu gov.lv zonu"

Ja tas ir iespeejams (nevaru tagad nochekot), tad tas (iespeja taisit Zone transfer no jebkuras IP) ir akmens gov.lv DNS adminu (VITA) laukaa.
saken <turbiina(at)gmail.com>:
Krabis: Nevienam nepatīk protams ,ka tik tieši norāda uz viņa neizdarību,bet tai ir jābūt motivācijai strādāt labāk nevis iemeslam ļoti apvainoties.
Starp citu ja paskatītos firmu mājaslapas un aplikācijais situācija nebūtu daudz labāka ,IMHO protams.
me:
Atbalstu autoru rakstu autoru. Ir taisniiba ka cilveeki ir tikti briidinaati (nedeelja ir pietiekami daudz laika lai noveerstu shaadas probleemas) un ja pat tad kad paraada ar pirkstu uz klluudu cilveeki nespeej to noveerst, tad aciimredzot KAADS/KAADI neiennem atbilstoshu/us amatu/us. Publiskas kauninaashanas prakse ataisno sevi. Es pat ieteiktu ielikt sho rakstu, piemeeram, tvnetaa lai lielaaks, tieshi, lietotaaju skaits to izlasa.
krabis:
Hi. Lietas notiek. Sorit pie bosa bija sasaukti admini un cilvēki no
juridiskā departamenta. Runa bija par 244. un citiem kriminallikuma pantiem. Nobeidzot viens no juristiem pateica konkreti: "ja izdosies pierādīt kurai fiziskai personai atbilst si virtuala persona "petruha" un ja viņš ir pilngadiga persona, tad tas puika sedes". Un bija redzams ka pieradit to nebus gruti. Ja dazi ieprieksejie
gadijumi ir beigusies pieradijumu trukumu del, tad seit sis puika ir
bijis tik naivs un ir siki aprakstijis savas noziedzigas darbibas,
materialu ir pietiekosi ir ari jau ienakušas ziņas par viņa agrak
organizetajam avanturam un skandaliem.
krabis:
Sis nedelas laika tiks savakti materiali un apzinatas parejas iesaistitas personas un tad tiksot pieņemts lēmums ko un kā iesniegt prokuraturai. Pasam petruham "portals" pirmklasnieka līmenī, būtu labāk to pilnveidojis, bet ne, ta vieta ir jalauz citi. Un nelidzes te ar baltiem diegiem suts "Full_disclosure" aizbildinajums, jo tas wikipedia ir pavisam cita konteksta. Un ari taja gadijuma otra rindkopa sakas ar vardiem: "Even among those who believe in disclosure....". Bet lietas būtība ir vairāk kā skaidra.
krabis:
Ja,
piemeram, kads atklatu ka si bedigi slavena petruhas dzivokla durvis stav nedrosi aislegtas un dotu vinam vienu dienu, lai durvis aizslegtu nezinot un nerekinoties ar konkretiem apstakliem (bet varbut uz arzemem aizbraucis un varbut vispar bridinajumu nesanema) un pec tam savas mulkibas un letas popularitates varda visiem plasi publiski pazinotu kā var atslegt to un
to dzivokli, tad, protams, ka ta ir noziedziga riciba. Ipaši tad ja tas
nav vienkarši dzivoklis, bet tās ir ministrijas un citas augsti stavošas
iestades. Ipasi smagas sekas butu tad, ja saja laika šis objekts tiktu
uzlauzts un sabojats. Un seit tas tiesi ir noticis.
krabis:
Isi pec so aktivitasu uzsaksnas
un vestulu izsutisanas, tika uzlauzta un sabojata iekslietu ministrijas
majas lapa. Raksta autors gan saka ka vins to nav izdarijis, tik daudz
smadzenes vinam ir pietikusas. Pat ja izmeklesana atklasies ka tiesam
vins to nav darijis, tad tas noteikti ir kvalificejams ka: "palidziba
noziedziga nodarijuma veiksana". Nezinu ko un ka gatavojas darit pati
iekslietu ministrija, tacu maz ticams ka soreiz nostradas valsts
iestadem raksturigais kutrums un neizlemiba, jo piesmieta ir ne tikai
šī, bet ari citas augsti stavosas iestades.
petruha:
"bet varbut uz arzemem aizbraucis un varbut vispar bridinajumu nesanema"
krabis, pirms raksta publikācijas es personīgi pārliecinājos, ka visas no šajā rakstā minētajām iestādēm ir saņēmušas informāciju par ievainojamībām to mājaslapās.
user <usr(at)bin.bash.org>:
sodiit vajag liikrokainos programmerus, kas tur straadaa - kaukaadi vidusskolnieki, ka elementaarus droshiibas pasaakumus neprot izveidot? sheit normaali noraada uz kljuudaam, bet kaada ir reakcija: nevis kljuudas labot bet uzbrukt tam kas uz taam noraadiijis? absurds.
flipoza:
Krabi, man liekas ka pašam vajag izlasīt nākošo Krimināllikuma pantu, tas ir 255.. un pēc šī panta arī jūs visus valsts iestādē strādājošos slīmestus vajadzētu saukt pie atbildības, bet petruham būtu pateikuši paldies par neliela drošības audita veikšanu.
vecis to krabis:
Nepiekrītu TEV krabi - Šīs valsts iestādes tērē mūsu nodokļu naudu, tai skaitā manējo, es gribu zināt, vai ir kaut kas jēdzīgs izdarīts (būtu vismaz pienācīgi atalgojuši darba darītāju - būtu mazāk problēmu) vai arī kāds/i P!@#rs/i ir vienkārši pielicis sev prēmiju vai kā savādāk izšķērdējis MANU NAUDU. Tieši tāpēc man un visai pārējai sabiedrībai ir tiesības zināt un UZREIZ nevis pēc pusgada. Es negribu, lai MANAS NAUDAS izšķērdēšana tiktu noklusēta.
vecis to krabis:
Citāts: "Ir saprotams kapec tika paziņots šīm iestādēm, bet nav saprotams kamdēļ par to vajadzēja paziņot publikski? Ja kāds, piemēram, ievērotu ka kādi bankai durvis nav aizslēgtas un to ir viegli apzagt, vai tā būtu korekta un loģiska rīcība ja par to visiem plaši paziņotu?"

Ja kāda banka neslēdz savas durvis un kāds par to pastāsta citiem, tad varbūt kāds arī apzog, BET VAIRUMS IZVĒLAS CITU BANKU (ja tā vienīgā, MAINA VADĪBU - laikam tas tev krabi visvairāk sāp ???)
vecis to krabis:
Ja tu krabi uzvelc no rīta bikses kurās aizmugurējā bikšu kabatā piecītis tā, ka puse rēgojas ārā un pastaigājies pa centrāltirgu un kāds to ierauga un skaļi visiem (arī tev) dzirdot bļauj - reku piecītis un kamēr tu strīdies par to vai bija korekti skaļi bļaut tev to piecīti nozog. Kurš ir vainīgs ??? Protams zaglis. Bet normāls cilvēks bikses pārbaudīs no rīta, un ja tomēr būs palicis kabatā tas piecītis, tad pēc tā bļāviena pārvietos piecīti. Nevis uzpūtīgi draudēs ar pamuļķa juristiem (gan MAC, gan IP var viltot... iepūt.)un sazin kādiem tur 2xx pantiem.
vecis to krabis:
Nu kurš tev krabi liedz ar šito puiku noslēgt līgumu par nepilnību atrašanu un novēršanu (vai vismaz ieteikumiem kā to izdarīt)?

Citādi pagaidām izskatās, ka tu NODOKĻU MAKSĀTĀJU NAUDAS IZSAIMNIEKOŠANU piesedz ar 2xx likuma pantiem un mēģini ielikt cietumā katru, kurš pārējiem pastāsta par izšķērdēšanas faktu.

Nu nav arī tava rīcība KOREKTA (mazas apvainojušās meitenītes draudi:) - draudi ...
vecis to krabis:
Kā tad valsts iestādes notiek mājas lapu veidošana ? Vai tik ne tā, ka vadība pasaka mums vajag mājas lapu. kāds "klērks" uztaisa cenu aptauju - firma uztaisa mājas lapu, palīdz ievietot un VISS projekts sekmīgi pabeigts. (tāda lieta, kā garantija, kvalitāte un preces pārbaude pēc piegādes - PO...)
Nauda ir pietiekami - diemžēl paliek KĀDA P!@#ra/u kabatās par darbu ko viņi NAV DARĪJUŠI (pēc principa - izliecies, ka strādā - Jēzus skatās :)
vecis to krabis:
Valsts iestāžu bezatbildība un garantiju nepieprasīšana, kvalitātes nepārbaudīšana, audita neveikšana (nespējat paši - algojiet citus vai uzticiet firmām). ir vistīrākā KRIMINĀLĀ darbība.
un mērķis šeit ir skaidri redzams - finanšu izšķēdēšana (nauda izmeklēšanas veikšanai, nauda citas mājas lapas izstrādei vai esošās uzlabošanai, publicitāte.). pēc šitādām uzlaušanām visi taču piekritīs, ka papildus nauda ir vajadzīga. (ja viss būtu pareizi izplānots sākumā, tad finanšu tēriņu kopumā būtu mazāki). Vainīgie arī manuprāt ir skaidri - šo uzlauzto iestāžu darbinieki ir iesaistītās personas - ja viņi nebūtu sadarbojušies ar noziedzniekiem ("aizmirsuši aizvērt durvis"), nekas nesanāktu.
user <usr(at)bin.bash.org>:
njaa izskataas ka tur diezgan liels bardaks arii, kaa jau visaas citos departamentos. ka tik nokrukjiit kautkur kaapostu un salipinaat kaukaadu nedroshu suudu frontpeidzhaa. atcereesimies to pashu latvija.lv projektu. cik tur bija taas izmaksas 170K ja nemaldos.
endrju:
krabis, ceru, ka turpināsi ziņot kā lietas attīstās.

Un vai tad Tu, ja viss, ko saki ir nopietni, no petruha mājas lapas - petruha.bsd.lv - nevarēji atrast (pārlieku) daudz informācijas par viņu? Kaut PD1509-RIPE varēji www.ripe.net apskatīt, kur ir gan vārds un uzvārds, gan telefons un adrese.

Pie tam - tas, ka jūs (jau sen) neesat saistījuši šo virtuālo personu ar fizisku personu, parāda to, ka augstākminētais ir klaji meli.
nomatter:
Cik zinu, Latvijaa buus pagruuti ietupinaat cilveeku shajaa variantaa, jo petruha publiski ir izklaastiijis sava "darba" meerkjus un tie nav nebuut ar ljauno nodomu vai savam izdeviigumam. Vieniigais vinsh var dabuut administratiivo pantu un punkts. Protams, labs jurists var paveikt i ne tikai to. Bet iz pieredzes teikshu Anglijaa par taadu aktivitaati ieseedinaatu uz pirmo. Pazinju ieseedinaaja par peedinjaam mekleejuma lodzinjaa vienaa lapaa. Lapa pat nebij valsts iestaades vai kaada svariiga objekta.
nomatter:
To petruha: tev gan es neieteiktu ar taadu sviestu nodarboties, jo tas paraada, ka pamatdarbaa tev na lielas slodzes - tas neliecina par labu firmai, un savas zinaashas tu vareetu izmantot noderiigaak.
Btw, paareejiem, dotais pasaakums neskaitaas par auditu, jo nav abu pushu vienoshanaas.

p.s. me jau pierada, ka muusu nodoklji tiek izmantoti nelietderiigi un shii cirka uztureeshanai, ko mees deevejam par muusu "valsti".
kgb:
Krabi, Tu esi tipisks ierēdnis šī vārda sliktākajā nozīmē. Tādi kā Tu Latviju ir padarījuši par mēslu bedri.

Ja internetveikalā būtu iespējama XSS/SQL injekcija un tiktu nozagti kredītkaršu dati - admins varētu ziepēt striķi. Par tādu "joku" var dabūt gan kriminālatbildību, gan civilprasības no cietušajiem par pamatīgām summām.

Šeit Petruha norāda uz acīmredzamām, ilgstošām (piem. Anniņmuiža!) valsts iestādes adminu nolaidībām. Tā vietā, lai novērstu problēmas un adminus "motivētu" strādāt labāk, valsts iestādes sasauc juristu baru, lai apklusinātu cilvēku, kurš norādījis uz ierēdņu nolaidību.

Nezinu kā pārējiem, bet man riebj skatīties kā tiek izniekota nodokļu maksātāju nauda..
faq:
Diezgan palielas aizdomas, ka krabis blefo. Visticamākais, vinš ir tas, kuram tagad mazgā galvu. Bet attieksme, ir laba. Tas pats bija ar NIC`u :). Nevis paldies pasaka par haļavno security auditu, bet sāk braukt virsū. Un nekas sevišķs tāpat netiek darīts lai uzlabotu produkta/pakalpojuma, vaevaa, darbību.
Arnolds:
2 dns

ir ir iespējams - nupat vēl pats pārbaudīju :)

dig axfr gov.lv +nostats +nocmd @sunic.sunet.se
petruha:
gov_s, diemžēl šāds saraksts man nav pieejams. Atceros, ka ievainojamības uz sitienu neizdevās atrast president.lv, www.mk.gov.lv, www.km.gov.lv. Tāpat nemaz nepārbaudīju uz SQL injekcijām lapas, kurās ir mod_rewrite vai citi instrumenti URL pārrakstīšanai lietotājam draudzīgākā veidā.

Kas attiecās uz krabja izteikumiem, es vēl neesmu dzirdējis nevienu objektīvu argumentu, kāpēc nedēļas laikā neizdevās novērst šīs ievainojamības, vēljovairāk tāpēc, ka lielu daļu no tām var novērst vienkārši atslēdzot PHP (vai citas valodas) kļūdas paziņojumus web lapas publiskajā daļā ("display_errors = Off" iekš php.ini).

Turklāt krabis it kā atzīst, ka ir no kādas valsts iestādes, bet pats publicē komentārus izmantojot anonīmo proxy, viss liecina par trollēšanu.
Anonymous Coward:
kaads kauko no gov.lv ir uzraxtiijis back. lai vareetu palasiities?
petruha:
Anonymous Coward, nekādas īpašas atbildes no valsts iestādēm šajā gadījumā nesaņēmu. Trīs iestādes atsūtīja kautko no sērijas "paldies par brīdinājumu", no vienas saņēmu šādu tekstu:
"Interesanti, kā to var izmantot, lai pārtrauktu [iestādes nosaukums] mājas lapas darbību? Vienīgais, ko var izdarīt - aizsūtot e-pastu nozagt sesijas datus?"
Tas arī viss. DDIRV savukārt izrādīja daudz lielāku interesi, ar viņiem sazinājos gan epastā, gan sazvanoties.
brom:
Nevajag jaukt izstrādātājus ar hostētājiem...
Hostētāji nelabo klūdas.. tie aizsargā serveri neviss hostēto risinājumi...
Ja ar hostētāju ir noslēgta vienošanās par šādu kļūdu labošanu, tad tā ir cita lieta... un bieži vien tās tiek izdarīts, bet šādu lēmu pieņemšana arī prasa laiku un budžetu.
user:
Pat apkopējas kompis rēzeknes policijā ir aiz piemēram: vp.gov.lv prokša. Latvijā ir branga tiesu prakse interneta vietņu hakerēšanā un specializējušies juristi? :) Gribētu redzēt, cik spēcīgs izietu tāds tiesvedības process un ar kādiem faktiem pierādījumiem. Smiekli nāk par tādiem biedētājiem no sērijas, uzzināšu tavu ip un izdr****.
brom to user:
kāda starpība kur atrodas kompis?
kļūdas ir web risinājumā.. un nekādi veicamie serveru aizsardzības paņēmieni un prokši tur nelīdz...
Vienkārši jo sistēma ir pilna ar funkcianilitāti, kuru sniedzh .. jo vair;ak ir kļūdu ... un kļūdīties ir cilvēcīģi...

par IP gan nebūti tik drošs, jo pēc IP un diapazona pie mums ļoti precīzi var atrast cilvēku...

P.s. es šaubos ka apkopējai tāds vispār ir.. kādām vajadzībām?
lagreen <lagreen(at)inbox.lv>:
tas viss ir tikai un vieniigi pareizi, kas tika izdarīts. šim rakstam vajadzētu likt padomāt ne tikai valsts iestāžu mājas lapu uzturētājiem/izstrādātājiem, bet arī visiem citiem cilvēciņiem, kas sevi uzskata par web izstrādātājiem...
..peace
es:
nu ko, sadirsi, ka publiceesi paareejo nedeeljas laikaa?
petruha:
es, izlasi uzmanīgāk: "Bet, gadījumā, ja manis norādītās kļūdas netiks nedēļas laikā izlabotas, noteikti norādes uz tām publicēšu arī šeit."
joh:
Klau! Saistīts jautājums.
Kā tur ir ar lauzt "mēģinātāju" tiesāšanu Latvijā? Esmu dzirdējis versiju, ka saskaņā ar mūsu likumiem, kamēr kaut kāda "aizsardzības sistēma" nav salauzta/pārvarēta, bet tikai tiek mēģināts atrast caurumu, neko nevar piesiet. T.i., pat ja tu redzi firewall/webservera logā, ka kāds mūdzis mērķtiecīgi bakstās gar tavu sistēmu - masveidā skanē portus, meklē ievainojamības WEB skriptos, min SSH paroli utmldz, pat ja mūdzis neslēpjas aiz zombijiem un prokšiem un iespējams caur policiju noteikt fizisko personu, viņam neko nevar piesiet, kamēr viņš kaut kam nav ticis pāri.
Wot juristi vai citi zinošie - padalieties lūdzu ar info!
Galīgi negribu šīs zināšanas pielietot pret tādiem kā Petruha (it kā "ne" vai "pus"legālais whitehat), bet gan reāli, ja redzams, ka kāds grib taisīt ziepes.
opā:
jokaini jau ir - kāds kantoris pelna naudu taisot mājas lapas( valsts kantorim pasūtījums atalgojas vairāk kā labi, tā ka par niecīgo samaksu nevajag čīkstēt) pie kam vairumā. Valsts kantorim, kuram konkrētā lapa pieder jā prasa no lapas autora un admina atbildība par lapas drošību. Pieņemsim ,ka lapu reāli uzlauž mo hvz kāda mozambikas nostūra. kādas tad tu augsti stāvošas iestādes un personas piesauksi savu vārdu un draudu pamatošanai? pat ja tu uzzināsi no kurienes kas ir izdarījis - hren ko darītājam padarīsi . Galu galā - pats svarīgākais arguments- dati un infa būs šā vai tā jau sačakarēti , lai arī tu ar lielu pompu un triumfa fanfārām pakārsi uzlauzēju. viss būs par vēlu .
Ledins:
krabis, hahahaha.
Iedomaajos tieas procesu:
"Taa, Petruha, vai juus bijaat tas, kas paraadiija, ka shajaa, shajaa un shajaa valsts iestaadee straadaa mudaki, kuri nejeedz uzrakstiit pasuutiijumus, taa, lai realizeeti tie buutu droshi?"
karlīne:
Klau, ko jūs teiktu par tādu drošības testēšanu, ka es staigātu gar jūsu logiem un provētu mest pa tiem ar akmeņiem? Tas taču arī tikai jūsu labā - tiek atklātas iespējamās nedrošības, un dota iespēja tās novērst, pirms akmeņa vietā pēc nedēļas tiek mesta degbumba? Koa?
petruha:
karlīne, steidzami labojiet galvaskausu!
Vika <darkss(at)inbox.lv>:
tik viegli uzlaust?


http://www.cvmarket.lv/joboffers.php?op=new_jobs
add comment*
author:
email:
piecpadsmit:
comment:


* ja iztiksi bez spama, offtopika un muljkjiibaam, iespeejams, ka tavs koments netiks izdzeests.
« back

valid xhtmlvalid css