უსაფრთხოების სტარტაპები – YC S16 Demo Day 1 & 2

სტარტაპ აქსელერატორ Y Combinator-ის პირველ და მეორე Demo დღის განმავლობაში ჯამში 92 სტარტაპი მონაწილეობდა. მათ შორის იყო რამდენიმე კომპანია, რომელიც ინფორმაციული უსაფრთხოების სფეროში მოღვაწეობს.

ZeroDB – დაშიფრული ქლაუდ სტორიჯი კომპანიებისთვის

https://zerodb.com/

ბევრ კომპანიას აშინებს მონაცემების ქლაუდში შენახვა ინფორმაციის გაჟონვის რისკის გამო. ZeroDB-ის შემქმნელების მიხედვით, მათი გადაწყვეტილების საშუალებით კომპანიებს ექნებათ საშუალება უსაფრთხოების ზომების დაცვით გადაიტანონ სენსიტიური მონაცემები ქლაუდში. ZeroDB შიფრავს მონაცემებს და მხოლოდ ამის შემდეგ აგზავნის ქლაუდში, ხოლო განშიფრვა კომპანიის ინფრასტრუქტურაში ხდება (სადაც ინახება კიდევ დახურული გასაღებები).

კომპანიამ გამოაცხადა, რომ კონტრაქტს დებენ ერთ-ერთ ბრიტანულ ბანკთან, რაც მათ 1 წლის განმავლობაში 1 მილიონ დოლარ შემოსავალს მოუტანს.

ZeroDB

Wallarm – ვებ აპლიკაციების უსაფრთხოების ჭკვიანი სისტემა

https://wallarm.com/

Wallarm ვებ აპლიკაციებისა და API-ების ყოველდღიური მოხმარების პროფილებს ადგენს, რომელთაც შემდეგ შაბლონად იყენებს. სწორედ ამ შაბლონის მიხედვით უნდა განასხვავოს მომავალში ვეპ აპლიკაციისა და API-სთვის გამოგზავნილი მავნე რექვესტები. Wallarm-ს შეუძლია სწავლა და პროფილის “გაფართოება”, შესაბამისად კი false positive-ების 0-მდე დაყვანა.

Wallarm-ს უკვე ჰყავს 60 კლიენტი, რომელთაც ჯამში 100 მილიონი ვებ მომხმარებელი ჰყავთ. მხოლოდ Y Combinator-ის მიმდინარეობისას, კომპანიის ყოველთვიური შემოსავალი გაორმაგდა და 100,000 დოლარს მიაღწია.

Wallarm

Metapacket – კორპორატიული ფაიერვოლი მავნე პროგრამების აღმოსაჩენად

http://metapacket.com/

დიდი კომპანიების ქსელში შეღწევისა და ინფორმაციის მოპარვის გახმაურებული შემთხვევების გათვალისწინებით, მავნე პროგრამების აღმოჩენა რთულია და ხშირად მაშინ ხდება, როდესაც ინფორმაციის კრიტიკული ნაწილი უკვე დაკარგულია. Metapacket არის გადაწყვეტილება, რომელიც არკვევს ქსელიდან გამავალი ტრაფიკის უკან დგას თუ არა ადამიანი.

კომპანიის წარმომადგენლები ირწმუნებიან, რომ მათი გადაწყვეტილება პირველია მსოფლიოში, რომელსაც ასეთი რამ შეუძლია. ისინი ასევე ამბობენ, რომ მათი ფაიერვოლი რომ ჰქონოდა, Sony და ამერიკის დემოკრატიული პარტიის ნაციონალური კონვენტი ჰაკინგის შემთხვევების დროულად აღმოჩენასა და ზარალის ტავიდან აცილებას შეძლებდნენ.Metapacket

Y Combinator Demo Day 1 შეჯამებაTechCrunch-ზე

Y Combinator Demo Day 2 შეჯამება TechCrunch-ზე

Agile Security Manifesto

agile seurity manfiesto

2001 წელს 18-მა დეველოპერმა გამოაქვეყნა ე.წ. Agile მანიფესტი, რომელშიც ჩამოყალიბებული იყო პროგრამული უზრუნველყოფის განვითარების პრინციპები.

მანიფესტს თავისი საიტიც აქვს და ქართულადაც არის თარგმნილი (სიტყვა Agile-ის გარდა 😀 ).

2016 წელს კომპანია Cigital-მა, რომელიც მოღვაწეობს პროგრამული უზრუნველყოფის უსაფრთხოების სფეროში, გამოაქვეყნა Agile უსაფრთხოების მანიფესტი.

მანიფესტის სრული ტექსტის PDF იხილეთ Cigital-ის საიტზე, აქ კი გთავაზობთ ძირითად პრინციპებს:

  1. პროგრამული უზრუნველყოფის უსაფრთხოება, პირველ რიგში, უნდა იყოს დეველოპერებისა და ტესტერების, და არა უსაფრთხოების სპეციალისტების, საქმე და პასუხისმგებლობა;
  2. უსაფრთხოება ჩადებული უნდა იყოს დეველოპმენტის პროცესსა და საქმიანობაში და უსაფრთხოებაზე ზრუნვა არ უნდა იწყებოდეს პროგრამის დასრულების შემდეგ;
  3. უმჯობესია პროგრამის ფუნქციონალში იყოს გათვალისწინებული უსაფრთხოება, ვიდრე ცალკე უსაფრთხოების ფუნქციონალი ემატებოდეს პროგრამას; გარდა ამისა, პროგრამაში უნდა ჩაიდოს უსაფრთხოების გამოცდილი და დატესტილი იმპლემენტაცია და არა იმპროვიზაცია;
  4. ორიენტაცია უნდა იყოს რისკების მოგვარებაზე და არა ბაგების აღმოფხვრაზე – დეველოპმენტის პროცესში გათვალისწინებული უნდა იყოს რისკები და უსაფრთხოება არ ამოიწურებოდეს ბაგების ან სისუსტეების სიის აღმოფხვრით;

 

Cyber Security To-Do List უკრაინისა და საქართველოსთვის

CCD_COE2015 წელს ნატოს კიბერ თავდაცვის თანამშრომლობის ცენტრმა (Cooperative Cyber Defence Centre of Excellence) რუსეთის-უკრაინის (კიბერ) კონფლიქტზე გამოაქვეყნა კვლევა Cyber War in Perspective: Russian Aggression Against Ukraine. შეგიძლიათ იხილოთ CCDCOE-ს საიტზე.

გლიბ პახარჩენკოს სტატიაში Cyber Operations at Maidan: A First-Hand Account (გვ. 59-66) მოყვანილი იყო რეკომენდაციები უკრაინის მთავრობისთვის კიბერ ომის მიმდინარეობისა და არსებული შედეგების გათვალისწინებით. ვფიქრობ, იგივე რეკომენდაციები მიესადაგება საქართველოსაც.

  • ქართული კიბერ სივრის ბოტნეტებისა და კონფიგურაციის სისუსტეების (NTP, DNS. . .) მქონე სერვერებისგან გაწმენდა;
  • კრიტიკული ინფორმაციული ინფრასტრუქტურიდან არალეგალური და პირატული პროგრამული უზრუნველყოფის ამოძირკვა;
  • კრიზისული სიტუაციებისათვის ინფორმაციულ ტექნოლოგიებზე დამოკიდებულების შემცირება;
  • ოპერაციული განგრძობადობის სტანდარტების შემოღება მედიისა და ტელეკომუნიკაციის სფეროში;
  • ინფორმაციის კონფლიქტის ზონაში მცხოვრები მოქალაქეებისადმი მიტანის მექანიზმის შემუშავება;
  • ანტი-DDoS გადაწყვეტილებების დანერგვა მნიშვნელოვანი ინტერნეტ რესურსებისათვის;
  • ქვეყნის მასშტაბით ინტერნეტთან წვდომის რამდენიმე დამოუკიდებელი წყაროდან მიღება;
  • ინტერნეტ კავშირის კვანძებში (national traffic exchange) ფილტრაციის მექანიზმის დანერგვა;
  • კიბერ შეტევების მუდმივი მონიტორინგის, გამოძიების, ინფორმაციის გაზიარებისა და კვლევის კულტურის განვითარება;
  • კომუნიკაციისა და სხვა ინფორმაციის არაავტორიზებული მოსმენისა და მოგროვების წინააღმდეგ საზოგადოებრივი ცნობიერების ამაღლება და საზოგადოებრივი კონტროლის განვითარება;
  • კრიზისულ სიტუაციებში ინფორმაციის განადგურებისა და კატასტროფული შემთხვევებიდან აღდგენის შესაძლებლობების განვითრება;
  • სამხედრო და სამართალდამცავ სამსახურებში კიბერ ოპერაციების ჩატარებისა და კომპიუტერული ექსპერტიზის შესაძლებლობების განვითარება;
  • რუსეთიდან მოწოდებული IT სერვისებისა და აღჭურვილობის უსაფრთხოების უზრუნველყოფა;

YPP – Information and Telecommunications Technology

რამდენიმე წლის წინ გაეროს Young Professionals Programme-ში მივიღე მონაწილეობა (Information and Telecommunications Technology მიმართულება). გაეროს ეს პროგრამა საშუალებას აძლევს ახალგაზრდა პროფესიონალებს დაიწყონ მუშაობა გაეროში. რამდენიმეეტაპიანი შერჩევის პროცესიდან პირველია წერითი ტესტირება.

ძველ დოკუმენტებში ქექვისას აღმოვაჩინე, რომ გამოცდიდან გამოსვლის შემდეგ დამახსოვრებული საკითხები ჩამომიწერია და გადავწყვიტე ბლოგზე დამედო. იქნებ ვინმეს გამოადგეს:

Open Questions
1. 
a) What is index in relational databases and what is its main benefit?
b) What is major difference between clustered index and non-clustered index?
2. Describe what is agile software development methodology. List its one advantage and one disadvantage.
3. What is taxonomy in the context of Record Management System? And why it is important to have a taxonomy in such a system?
4. What is difference between encryption and crystallographic hash algorithm. List usage of each of these.
5. What is tole and function of standard stateful firewall? What two security function it is NOT able to perform?
6. What is essential specifications, service characteristics and deployment characteristics of cloud computing?
7. Throughout the world ISPs are implementing IPv6. Why is IPv6 implementation needed and what are the specifications of its implementation.
8. Specify what are two types of virtualization and what are benefits of each of them.
Essays
1. Based on PRINCE2 and PMBOK
a) What is classical definition of the project?
b) List 5 characteristics of a project brief?
c) Why achieving more than planned with project may be a project failure?
. . .
2. Software 4
UML (Unified Modeling Language)
ER based diagram or class diagram of software functionality.
LIst 3 methods to verify the entry of data to DBs.
3. Data centers
RTO, RPO
Technology for interchanging data between two data centers
Load balancing technology
MPLS
Tagging for MPLS
4. Service desk
Essential characteristics for its effective functioning
Steps to respond request or incident
How to respond:
a) Provision of tablet computer;
b) User access request to ER;
. . .

 

როგორი უნდა იყოს უკეთესი ინტერნეტი – მოსაზრებები 1988 და 2008 წლებიდან

MIT-ის პროფესორმა დევიდ კლარკმა 1988 წელს გამოაქვეყნა ნაშრომი ინტერნეტი განვითარების პრიორიტეტებზე. ნაშრომი შეგიძლიათ წაიკითხოთ აქ.

კლარკი ამბობს, რომ ინტერნეტის არქიტექტორების უპირველესი მიზანი იყო ერთმანეთთან დაკავშირებული კომპიუტერული ქსელების (ARPANET) მულტიპლექსური (კომუნიკაციის 1 მედიუმის გამოყენებით მრავალი სიგნალის (ერთდროული) გადაცემა)  გამოყენების ეფექტური საშუალების შექმნა.

ქართულად:

უკვე არსებული ქსელის ისე გარდაქმნა, რომ მას შეძლებოდა სხვადასხვა მხარის მიერ ერთმანეთთან ერთდროული კომუნიკაციის უზრუნველყოფა.

პ.ს. TCP/IP პროტოკოლი 1983 წელს დაინერგა.

იქვე კლარკს მოცემული აქვს ინტერნეტის განვითარების 7 პრიორიტეტი:

  1. ინტერნეტ კომუნიკაცია უნდა გაგრძელდეს მიუხედავად ზოგი ქსელის ან გეითვეის დაკარგვისა;
  2. ინტერნეტს უნდა გააჩნდეს კომუნიკაციის სხვადასხვა ტიპის სერვისის მხარდაჭერა;
  3. ინტერნეტის არქიტექტურა შესაძლებლობას უნდა იძლეოდეს მას მიუერთდნენ განსხვავებული და ახალ-ახალი ქსელები;
  4. ინტერნეტის არქიტექტურა რესურსების გადანაწილებით (distributed) მართვის საშუალებას უნდა იძლეოდეს;
  5. ინტერნეტის არქიტექტურა უნდა იყოს ფინანსურად ეფექტური (cost effective);
  6. ინტერნეტში ახალი სისტემის ჩართვა უნდა მოითხოვდეს მინიმალურ ძალისხმევას;
  7. ინტერნეტის არქიტექტურაში გამოყენებული რესურსები უნდა იყოს დაანგარიშებადი;

20 წლის შემდეგ, National Science Foundation-მა დევიდ კლარკის ხელმძღვანელობით დაიწყო ახალი პროექტი (რომელიც ისევ გრძელდება) ინტერნეტის გაუმჯობესებასთან დაკავშირებით (პროექტის საიტი: www.nets-fia.net)

დევიდ კლარკის პრიორიტეტი ახალი და უკეთესი ინტერნეტისთვის (2008):

SECURITY

ბოქლომი

მგზავრობისას ბარგს ბოქლომით იცავთ და გიჭირთ 3 ან 4 ციფრიანი კოდის დამახსოვრება?

სწორედ თქვენთვის ახალი ბოქლომი შექმნეს! მასზე შეგიძლიათ დააყენოთ თარიღი. მაგალითად, თქვენი დაბადების დღე, რომელსაც აეროპორტის პერსონალი თქვენი პასპორტიდან გაიგებს, თქვენი დაქორწინების თარიღი, რომელიც ფეისბუქის public პროფილზე გიწერიათ ან გამგზავრების დღის თარიღი, რომელსაც ნებისმიერი გამვლელი მიხვდება 😀

P.S. ამავე დროს არ დაგავიწყდეთ, ყველაზე ძვირფასი ნივთები ამ ბოქლომით დაცულ ჩემოდანში ჩაალაგოთ 🙂

Birthday Lock

P.S.S. მარტივი ანალიზი და შედარება 4-ციფრიან ბოქლომთან:

4 ციფრიან ბოქლომზე შეიძლება 10,000 სხვადასხვა კომბინაციის დაყენება (0000-დან 9999-ის ჩათვლით).

ამ ბოქლომზე შეიძლება დაყენდეს 48,000 სხვადასხვა თარიღი (მარცხნიდან პირველზე არის 4 ვარიანტი (0,1,2,3), მეორეზე – 10, მესამეზე – 12 (თვეები), მომდევნო 2-ზე კი 10-10; შესაბამისად: 4x10x12x4x10=48,000)

ერთი შეხედვით, თარიღიანი ბოქლომი უფრო “უსაფრთხო” ჩანს, თუ ჩავთვლით, რომ მასზე დადებული კოდი იქნება random და შესაძლებელი იქნება ავირჩიოთ 30 თებერვალი და 35 მაისი (ამის შესაძლებლობას იძლევა ბოქლომი).

თუმცა პრაქტიკაში, უფრო რთულად არის საქმე. დაბადების დღეზე დაფუძნებული კოდზე გაცილებით მეტი ინფორმაციის მოძიება შეიძლება ბოქლომის პატრონის ელემენტარული “დაგუგლვით”.

გარდა ამისა, დაბადების დღიანი ბოქლომის კოდი შედგება სხვადასხვა სიძლიერის ნაწილისგან და ერთი რომელიმე მათგანის გამოცნობამ შესაძლებელია ძლიერ შეამციროს ვარიანტების რაოდენობა. მაგალითად, მხოლოდ იმის გაგებით, რომელი თვეა არჩეული, შესაძლო ვარიანტები 48,000/12=4,000-მდე მცირდება (რაც 2.5-ჯერ ნაკლბია 4-ციფრიანი კოდის შესაძლო ვარიანტებზე).

თუ ვივარაუდებთ, რომ ადამიანები საკუთარი და ოჯახის დაბადების დღეების და სხვა მნიშვნელოვანი თარიღების (რისი ნახვაც მათი სოციალური ქსელების პროფილებში იქნება შესაძლებელი) დაყენებისკენ არიან მიდრეკილი და ასევე სავარაუდოდ არ აირჩევენ არარსებულ თარიღებს (მაგალითად, 38 აგვისტოს), შესაძლოა ვარიანტების რაოდენობა კიდევ უფრო მცირდება. სავარაუდოდ, კვლევის ჩატარების შემთხვევაში შესაძლებელი იქნება რაიმე ტენდენციის აღმოჩენა ათწლეულების არჩევაშიც.

შეიძლება ეს ბოქლომი საკმარისი იყოს იმისთვის, რომ ნებისმიერმა გამვლელმა არ სცადოს ჩემოდნის გაღება. მეორეს მხრივ კი კარგი მაგალითია უსაფრთხოების სისტემებისა და მათი დიზაინის კონკრეტულ კონტექსტში განხილვისა და დისკუსიისთვის. საბოლოო ჯამში კი იმის საილუსტრაციოდ, თუ როგორ ახდენს გავლენას ადამიანი უსაფრთხოებაზე და ზოგადად ტექნოლოგიებზე.

სოხუმელი ჰაკერი

გადავაწყდი 2014 წლის სტატიას ბრაიან კრებსის საიტზე, სადაც ის მოგვითხრობს სოხუმელ ჰაკერზე, რომელიც სავარაუდოდ პერსონალური ინფორმაციის გასაყიდ საიტს ssndob[.]ru-ს მართავდა.

ჰაკერის სახელი და გვარია არმანდ აიაკიმიანი (Armand Ayakimyan). კრებსის მიერ სხვადასხვა საიტებიდან (მათ შორის სოციალური ქსელებიდან) მოგროვეუბლი ინფორმაციით, აიაკიმიანი დაიბადა 1989 წლის 27 აგვისტოს. ჰაკერობის გარდა, ცდილობდა ლეგალური ბიზნესითაც (ვებ დეველოპმენტი) დაკავებულიყო. 2013 წლისთვის მუსაობდა რუსეთში, ერთ-ერთ ეკლესიაში, ხოლო 2014 წელს, როგორ ჩანს, ცხოვრობდა სოჭში. სხვადასხვა ფორუმებზე ჰქონდა მეტსახელები Zack, Darkill, Darkglow, Planovoi.

ის თანამოაზრეებთან ერთად ამერიკული კომპანიებიდან იპარავდა ამერიკის მოქალაქეთა პირად ინფორმაციას და ყიდდა, სანამ მისი ვებსაიტი არ დაჰაკეს (სავარაუდოდ ამერიკელმა ჰაკერებმა).

აღსანიშნავია, რომ Symantec-ს მიხედვით აიაკიმიანმა ერთ-ერთი ქართული სამთავრობო სააგენტოს ქსელშიც შეაღწია. Symantec ამას უფრო პოლიტიკური მოტივით ხსნის, ვიდრე ფინანსური დაინტერესებით.

უფრო დაწვრილებით კრებსის ბლოგზე: http://krebsonsecurity.com/2014/03/who-built-the-id-theft-service-ssndob-ru/

UDP Amplification – გაძლიერების ფაქტორი სხვადასხვა პროტოკოლისთვის

Amplification (“გაძლიერება”) შეტევა დღესდღეობით DDoS-ის ერთ-ერთი ყველაზე გავრცელებული ტიპია და უმსხვილესი DDoS შემთხვევები სწორედ ასეთი იყო. ამ შეტევაში თავდასხმელისა და მსხვერპლის გარდა, ჩართულია მესამე მხარეც. ის არის ინტერნეტით ხელმისაწვდომი რაიმე სერვისი, რომელსაც ბოროტად იყენებს თავდამსხმელი. ბოროტად გამოყენებას კი, უმეტეს შემთხვევაში, ხელს უწყობს სერვისის არასწორი კონფიგურაცია.

Drawing1დიაგრამაზე წარმოდგენილია “გაძლიერების” ეფექტის მუშაობის გამარტივებული სქემა. ზოგიერთი UDP-based პროტოკოლის (მაგალითად, DNS) შემთხვევაში, შესაძლებელია რომ სერვერს გავუგზავნოთ რაიმე რექვესტი, პირობითად 1 კილობაიტის ზომის, პასუხად კი 5 კილობაიტინი response მივიღოთ. თავდასხმელი პაკეტში ცვლის source IP-ს და წერს მსხვერპლის IP მისამართს (რომ პასუხი მსხვერპლთან გაიგზავნოს).

გერმანელმა მკვლევარმა კრისტიან როსოუმ გამოთვალა სხვადასხვა UDP-ზე დაფუძნებული პროტოკოლების გაძლიერების ფაქტორი (ანუ მოცემულ რექვესტზე რამდენჯერ დიდი პასუხი შეიძლება მოგვივიდეს). მთლიანი კვლევის წაკითხვა შეგიძლიათ აქ, ქვემოთ მოცემული ცხრილი კი გვიჩვენებს სხვადასხვა პროტოკოლების გაძლიერების ფაქტორებს. თუ თქვენი ორგანიზაცია რომელიმე მათგანს იყენებს, გადაამოწმეთ არის თუ არა სერვისი ინტერნეტიდან ხელმისაწვდომი, რეალურად არის თუ არა საჭირო რომ ინტერნეტიდან იყოს ხელმისაწვდომი და თუ აუცილებელია, მაშინ დაგუგლეთ უსაფრთხო კონფიგურაციის გაიდლაინები, თორემ შეიძლება რიამე DDoS-ის თანამონაწილე აღმოჩნდეთ და სხვადასხვა ბლექლისტებშიც ამოყოთ თავი 🙂

პროტოკოლი გაძლიერების ფაქტორი სისუსტის მქონე ბრძანება/რექვესტი
DNS 28-დან 54-მდე US-CERT: TA13-088A
NTP 556.9 US-CERT: TA14-013A
SNMPv2 6.3 GetBulk
NetBIOS 3.8 Name resolution
SSDP 30.8 SEARCH
CharGEN 358.8 Character generation
QOTD 140.3 Quote
BitTorrent 3.8 ფაილის ძებნა
Kad 16.3 Peer list exchange
Quake Network Protocol 63.9 Server info exchange
Steam Protocol 5.5 Server info exchange
Multicast DNS (mDNS) 2-დან 10-მდე Unicast query
RIPv1 131.24 სპეციალურად დაგენერირებული რექვესტი
Portmap (RPCbind) 7-დან 28-მდე სპეციალურად დაგენერირებული რექვესტი

როგორ უშლიან ამერიკული კომპანიები NSA-ს და FBI-ს ნერვებს

როდესაც ამერიკაში სამთავრობო უწყებები კანონიერად თუ უკანონოდ ითხოვენ თანამშრომლობას თუ გარკვეულ ინფორმაციას სხვადასხვა კომპანიებისგან, იქვე აყოლებენ, რომ ამ თანამშრომლობაზე საზოგადოებამ არაფერი უნდა იცოდეს.

უფრო კონკრეტულად, ამერიკულ კომპანიებს არ შეუძლია გაასაჯაროონ, რამდენი მოთხოვნა მიიღეს კონფიდენციალური ინფორმაციის გაცემაზე ან საერთოდ მიიღეს თუ არა მოთხოვნა.

თუმცა გამოსავალი მარტივი აღმოჩნდა და პირველად ის ერთ-ერთმა ბიბლიოთეკარმა გამოიყენა. 2004 წელს FBI-მ ამერიკის ბიბლიოთეკებს მოთხოვა მომხმარებლების მიერ მოთხოვნილი წიგნების შესახებ ინფორმაციის გაცემა და ამასთანავე აუკრძალა ამის შესახებ მომხმარებლები გაეფრთხილებინა. ერთ-ერთმა ბიბლიოთეკარმა, ჯესამინ ვესტმა კი ბიბლიოთეკაში გამოაკრა აბრა წარწერით “FBI აქ არ ყოფილა“. იურიდიული დოკუმენტი ბიბლიოთეკებს უკრძალავდა მომხმარებლებისთვის ეთქვათ, რომ FBI-მ მათგან ინფორმაცია მოითხოვა. თუმცა არაფერი კრძალავდა იმის აღნიშვნას, რომ FBI-ს ჯერ თანამშრომლობაზე არ მიუმართავს. შესაბამისად, თუ FBI მიადგებოდა ბიბლიოთეკას, ვესტი ჩამოხსნიდა აბრას და მიანიშნებდა მომხმარებლებს, რომ FBI-მ რაღაც ინფორმაცია გამოითხოვა 🙂

image_416ამ ხრიკს (რომელსაც Warrant Canary * ეწოდება) ტექნოლოგიური კომპანიები, ვისაც მრავალი მომხმარებლის მონაცემებზე მიუწვდება ხელი, წარმატებით იყენებენ. ისინი აქვეყნებენ თავიანთი საქმიანობის ყოველწლიურ ანგარიშს, სადაც აღნიშნავენ, რომ საგამოძიებო და სადაზვერვო უწყებებიდან თანამშრომლობის მოთხოვნა არ მისვლიათ. ანგარიშიდან ამ ფრაზის გაქრობა კი ჟურნალისტებისა და მათი მომხმარებლებისთვის მინიშნებაა.

ბოლო ასეთი შემთხვევა იყო Reddit, რომელსაც საკმაოდ ფართო გამოხმაურება მოჰყვა ინტერნეტში. ვარაუდობენ, რომ სამთავრობო სააგენტოები ასეთი შემთხვევების თავიდან აცილებას ეცდებიან და კანონში მეტი დაკონკრეტების ჩადებას მოითხოვენ, მაგრამ ჯერჯერობით ეს მარტივი ხრიკი მუშაობს.

* საინტერესოა სიტყვა Canary-ს (რაც კანარის ჩიტს ნიშნავს) გამოყენება ინფორმაციულ უსაფრთხოებაში სხვადასხვა კონტექსტში. ძველად მაღაროელებს მიწის ქვეშ კანარის ჩიტები ჩაჰყავდათ. ჰაერში ჟანგბადის რაოდენობის ცვლილებაზე ჩიტები სწრაფად რეაგირებდნენ და იღუპებოდნენ, მაღაროელები კი ხვდებოდნენ რომ რაღაც რიგზე ვერ იყო და მაშინვე ამოდიოდნენ მიწის ზედაპირზე. “კანარის ჩიტი” დამკვიდრდა რაიმე არასასურველი მოვლენის გამაფრთხილებლის მნიშვნელობით.

1.usa.gov – როგორ იყენებენ ჰაკერები ამერიკული სამთავრობო საიტების სისუსტეს

Open Redirect არის ვებ აპლიკაციის სისუსტე, რომელიც ჰაკერს საშუალებას აძლევს მსხვერპლს მიაწოდოს სანდო ვებსაიტის ბმული, რეალურად კი გადაამისამართოს სახიფათო საიტზე. მთავარი საფრთხე, რომელიც მომდინარეობს ამ სისუსტისგან არის ფიშინგი. სისუსტის მოგვარების გზაა, რომ გადამისამართების ფუნქცია საერთოდ მოვხსნათ ვებსაიტიდან. მაგრამ თუ გვჭირდება – მაშინ გადამისამართება მომხმარებლის input-ზე საერთოდ არ უნდა იყოს დამოკიდებული.

სისუსტის უკეთ გასაგებად, წარმოვიდგინოთ, რომ არსებობს ვებსაიტი example.com. თუ ამ საიტს გააჩნია მოცემული სისუსტე, მაშინ ქვემოთ მოცემულ ბმულზე შესვლისას example.com-ის ნაცვლად, mikheiloninfosec.com-ზე შემოხვალთ.

http://www.example.com?redirect=mikheiloninfosec.com

Note: ამ ბმულში redirect არის მოცემული ვებ საიტის პარამეტრი, რომელსაც სხვ ასახელი შეიძლება ერქვას

რამდენიმე დღის წინ ბრაიან კრებსმა დაწერა, რომ ამ სისუსტისა და bit.ly სერვისის გამოყენებით, ჰაკერები ახერხებენ ისეთი ბმულების შექმნას, რომელიც სანდოდ გამოიყურება – რეალურად კი იუზერი გადაჰყავს საიტზე, რომელიც ან ფიშინგია ან მალვეარს ავრცელებს. ამაში ჰაკერებს ეხმარება ზოგიერთ ამერიკულ სამთავრობო საიტზე არსებული open redirect სისუსტე.

საქმე ის არის, რომ ბმულების დამოკლების სერვისი bit.ly ბმულებს, რომელიც მთავრდება .gov-ით ან .mil-ით გარდაქმნის ბმულად, რომელიც იწყება 1.usa.gov-ით.

მაგალითად ავიღე თეთრი სახლის საიტზე გამოქვეყნებული რიგითი სტატიის ბმული:

თავდაპირველი ბმული: https://www.whitehouse.gov/blog/2016/03/30/asked-and-answered-11-year-old-daughter-incarcerated-individual-shares-her-story

დამოკლებული ბმული: http://1.usa.gov/1VUpDQf

აღმოჩნდა, რომ 2012 წლის მონაცემებით 1.usa.gov ბმულების 15% მომხმარებლების სახიფათო საიტებზე ამისამართებდა. აღმოჩნდა, რომ თავად bit.ly და ამერიკის მთავრობის შესაბამისი სამსახურები ცდილობენ ასეთი ბმულების აღმოჩენასა და გადადგურებას, მაგრამ პრობლემის რეალური მოგვარება სისუსტის მქონე ვებ აპლიკაციების გამოსწორებაა.

სანამ Open Redirect სისუსტეებისგან თავისუფალი ინტერნეტი გვექნება, იქამდე შეგიძლიათ გამოიყენოთ Unshorten.it სერვისი, რომელიც Chrome ბრაუზერშიც შეგიძლიათ ჩაამატოთ extension-ად. დასატესტად გთავაზობთ ზემოთ მოცემული 1.usa.gov ბმული გადაამოწმოთ მართლაც თეთრი სახლის საიტზე გამისამართებდათ თუ არა.