Institutiile au cele mai vulnerabile aplicatii web

In fapt nu numai institutille, ci majoritatea aplicatiilor web din romania prezinta vulnerabilitati, in larga majoritate de tip SQL injection si XSS.
Pe zoso citeam acum cateva zile despre clopotel.ro, un site de top din perspectiva traficului, dar care s-a dovedit vulnerabil la injectii SQL.

Dar site-urile institutiilor romanesti sunt incomparabil mai vulnerabile si asta pentru ca nu sunt dezvoltate de programatori, nici macar de programatori incepatori, ci de nulitati in domeniu.
In marea majoritate aceste aplicatii sunt dezvoltate de tot felul de firme de bloc carora li s-a acordat acest ”privilegiu” pe sestache, gen ala cunoaste pe ala care cunoaste pe ala care este nepotu”/varu” aluia, pe bani care sfideaza orice logica economica…pentru 10 pagini html si un script php, facute in lehamite, fara nici o atentie acordata securitatii, astfel de firme incaseaza si pana la 10.000 de euroi, cand acelasi rezultat lamentabil l-ar fi putut obtine gratis.

Un exemplu este isub.ro, site-ul Inspectoratului de Urgente al judetului Timis, unde, conform imaginii, te doare capul numai cand vezi.

.org cel mai sigur domeniu

Domeniile .org ar putea deveni cele mai sigure, din perspectiva rezolutiei DNS. Registrul .org intentioneaza sa adopte DNSSEC (un nivel suplimentar de securitate in zona parinte) pentru a preveni atacurile de tip ‘DNS cache poising’ sau ‘DNS impersonating’.

Si .ro are in vedere DNSSEC odata facuta tranzitia la domeniile cu taxa anuala. Totusi de mentionat ca DNSSEC este destul de controversat si are numeroase dezavantaje, plus ca nu elimina decat foarte putin din bresele de securitate din DNS. La RIPE NCC meetings, RIPE recomanda insistent acest mecanism de securitate, cu toate acestea putine ccTLD-uri din Europa l-au implementat.

Printre dezavantajele DNSSEC as enumera cresterea in dimensiuni a zonei si implicit al timpului de raspuns al serverului de DNS, folosirea incorecta a cheilor de catre clienti poate ridica probleme mai delicate si pe care numai registrul le poate rezolva si cel mai important dezavantaj este enumerarea zonei (zone enumeration aka zone walking) si expunerea datelor private din zona (desigur aceasta noua vulnerbilitate se elimina cu NSEC3 dar si asta da nastere la alte vulnerabilitati, masuri controversate toate).

Nota: domeniile .org au trecut de la 1 ianurie sub administrarea PIR (Public Internet Registry), fiind transferate de la Verisign, proces care a reprezentat cel mai amplu si complex transfer din istoria internetului.

Safe browsing, leave no traces

2008 este un an revolutionar in epoca ‘browserelor’, fiind adoptate de facto noi protocoale si noi modalitati de a cere si afisa informatia in internet. Este anul in care ‘cloud computing’ a inceput sa fie implementat pe noile navigatoare. Firefox 3 a adus un nou mod de ‘page retrieving’ prin deschiderea mai multor conexiuni catre o adresa si citirea paginii in bucatii mici si in paralel si asamblate intr-un intreg de catre client. A fost lansat Chrome (beta version) care are toate sansele sa devina unul din cele mai folosite browsere chiar si numai datorita faptului ca este dezvoltat si promovat de Google, dar atuurile sale cu adevarat importante sunt faptul ca este open source prin google code si este browserul care beneficiaza de cel mai mare ‘cloud computing’. IE,Opera, Safari, etc nu au ramas nici ele in urma si au adoptat aceleasi tehnologii. 2008 este anul in care complexitatea in acest domeniu a crescut cu o treapta peste noapte si in consecinta a crescut proportional si complexitatea securitatii.

Cloud computing motiv de ingrijorare?

Pentru cei familiarizati cu termenul de ‘grid computing’, cloud computing este idem cu mici diferente; gridul face parte dintr-o retea relativ securizata si in general se foloseste in analiza datelor avand o limitare in modul in care sunt folosite resursele grid, in timp ce cloud computing este internet wide spreaded, nesecurizat si permitand folosirea tuturor protocoalelor si neavand un protocol anume pentru modul in care sunt folosite resursele. Ca un exemplu la obiect pentru cloud computing as mentiona Google Documents si toate acele mici prajituri pe care google le ofera, chiar si Google Analytics.

Noile browsere folosesc din plin resursele din ‘cloud’ si in orice moment cat tineti browserul deschis, acesta comunica in ‘cloud’, trimite informatii si primeste informatii intr-un mod netransparent pentru utilizator. Chiar si cand navigati pe o pagina oarecare, nu intotdeauna datele primite sunt afisate ca atare pe monitor; toate informatiile sunt intr-un grad mai mare sau mai mic interpretabile de browser. Cine foloseste skype, a observat ca in dreptul numerelor de telefon de pe pagini apare o iconita skype cu ‘call’ sau ceva in genul asta. Editorul paginii respective nu a facut nimic ca sa introduca aceasta optiune, ci pluginul skype folosit de browser. De fapt toate browserele in acest moment trimit date despre utilizator, paginile care le vizioneaza, pe unde-si face veacul, date care sunt folosite in analize de catre cei care au facut browserul respectiv.

Si aici intervine dilema. Toate aceste date circula intr-un mediu nesecurizat. Nu exista nici o garantie ca aceste date sunt trimise la destinatia corecta sau ca nu sunt interceptate print tot felul de metode (man in the middle, sniffing, spyware etc). Ai o pagina personala undeva, unde ai sa zicem date confidentiale si sa presupunem ca browserul va face cache si va depune continutul local sau ajunge in ‘cloud’. Ar fi neplacut ca aceste date sa ajunga spre ‘analiza’ la man in the middle.

Cum se previne ‘private hijacking’?

Fiecare dezvoltator de browsere a creat separat niste, impropriu spus, pluginuri care se asigura in principiu de urmatorele:

  • nu se face cache odata activate optiunile acestui plugin
  • nu se salveaza cookies
  • nu se salveaza in history
  • nu se comunica datele privind erorile de browser (acele crashuri) si nici datele destinate analizelor statistice
  • inchiderea browserului va sterge din memorie contunutul sesiunilor
  • nu se salveaza cheile publice de securitate SSL, etc

Astfel, Internet Explorer vine cu InPrivate in varianta beta 2 pentru IE 8, Google Chrome are un mod Incognito. Mozilla au in vizor dezoltarea unui plugin inca din 2004 si merita citit bug reviewul, insa intr-un final au adoptat strategia patch-ului; idem Opera si Safari.

Intr-un final as mai adauga ca se anunta vremuri interesante din aceasta perspectiva, se vorbeste de public Wi-Fi si alte minunatii care au ridicat la rang de arta analiza securitatii. De aceea consider important ca internautii sa aibe anumite cunostinte si o cultura generala si chiar numai constientizarea pericolului pe care internetul il poate aduce in viata personala este un pas mare.

Experimentul CERN s-a lasat cu mici gauri negre

Dar nu in LHC asa cum s-ar fi asteptat pesimistii ci in reteaua locala CERN. Mai exact un grup de pusti insistenti au reusit sa deturneze unul din calculatoarele aflate in reteaua locala CERN. Desi respectivul calculator nu are nici o legatura directa cu desfasurarea experimentului si nu face parte din reteaua de calcul LHC, intruziunea a creat panica si a pus sub semnul intrebarii securitatea experimentului. ‘Hackerii’ de origine greaca, care se autointituleaza GST (Greek Security Team), au patruns pe serverul cmsmon.cern.ch, server de analiza a datelor colectate din LHC(Compact Muon Solenoid Experiment) si au lasat mesajul de mai jos pe pagina web principala a serverului. Mai multe puteti citi pe Telegraph.co.uk.

iPhone te spioneaza

Ai iPhone si te dai rotund? Toti din jurul tau te invidiaza pentru acest telefon super potent? Ei bine afla ca ai dat o caruta de bani pe un telefon care stocheaza tot ceea ce faci pe el si le pune la dispozitia publicului larg. Desigur, prin public larg inteleg toti cei care stiu sa foloseasca aceasta noua si cea mai grava vulnerabilitate a iPhonu-lui.

O demonstratie de forta a fost facuta ieri live de catre Jonathan Zdziarski pe wired.com. Cine vrea sa vizioneze demonstratia o poate face la oreilly.com sau poate viziona filmuletul de mai jos care este mai vechi dar explica aceeasi vulnerabilitate.