Seminārs uzņēmējiem par drošību internetā

Šī gada 4.martā Jelgavas reģionālajā pieaugušo izglītības centrā tiek rīkoti informatīvi pasākumi uzņēmējiem. Šīs dienas ietvaros uzņēmuma vadītājs Agris Krusts 14:00 uzstāsies ar semināru par informācijas sistēmu drošības jautājumiem uzņēmējiem. Kā sapratu no organizētājiem, seminārs ir bezmaksas. Dažas no tēmām, kuras tiks apskatītas seminārā:

  • Privātums un internets. Tai skaitā, kā Google, draugiem.lv, twitter.com un citi sociālie tīkli var noderēt ne tikai reklāmā, bet arī informācijas iegūšanā par darbiniekiem un konkurentiem.
  • Jauno tehnoloģiju ēnas puses.
  • Informācijas aizsardzība. Praktiski paņēmieni kā pasargāt informāciju un sarunas no konkurentiem un valsts iestādēm. Cik drošas ir paroles.
  • Vai var uzticēties e-pastam?
Autors: Agris Krusts, februāris 19th, 2010 at 5:02 pm. Tēma: UncategorizedComments Off

VID EDS dati Google meklētājā

Vakar nopublicēju rakstu par to, cik vigli bija izmantot VID EDS lai konstatētu, ka tāda informācijas nopūdes problēma eksistē: Cik viegli bija atklāt “caurumu” VID EDS sistēmā. Tomēr tāds vienkāršs veids nav vienīgais kā par šo problēmu uzzināt. 4ATA biedrs Neo intervijā Jānim Domburam (http://www.knl.lv/raksti/1027/) rakstīja, ka par caurumu esot uzzinajuši no kāda programmētāja, bet atklāt to izdevās diezgan vēlu. Un atklāja, tāpēc ka “paveicās.”

Vai eksistē vēl kāds veids? Ātra ielūkošanās Google indeksā atklāj diezgan interesantu lietu: tajā nezināmu iemeslu pēc parādās slavenais GetDuf.aspx dokuments demo sistēmā. Saturs, protams, šobrīd neatbilst XML failu formātam un nesatur kādu nodokļu deklarāciju, bet pieslēgšanās lapu EDS demo sistēmai.
Jebkuram “hakerim” pat ar šadu informāciju pietiktu, lai pamēģinātu, kā šis dokuments uzvedas produkcijas sistēmā. Varbūt par šādu veiksmi stāsta Neo.
Šajā sakarā, gan daudz interesantāks ir jautājums par to vai kādā laika posmā Google nebija piekļuvis šim skriptam, kad tas bija neaizsargāts un savā indeksā neglabāja Latvijas nodokļu maksātāju iesniegtās deklarācijas? Ne, visas, protams, bet pat vienas nokļūšana tajā ir dīvaina. Ja tas tiešām tā ir bijis, tad jebkurš, kam ir izdevies nokopēt kādu nodokļu deklarāciju varēs policijai stāstīt, ka pie tās nokļuvis izmantojot Google meklētāju …. Un diez vai Google būs tik pretīmnākošs un palīdzēs policijai pasakot va konkrētais dokuments kādreiz (kopš 2008.gada) ir vai nav bijis tā indeksā.
Agris Krusts, www.tribine.lv.
Autors: Agris Krusts, februāris 19th, 2010 at 11:45 am. Tēma: UncategorizedNo Comments

Cik viegli bija atklāt “caurumu” VID EDS sistēmā

Šodien sēžot un klausoties diskusijas raidījumā Kas notiek Latvijā iedomājos, ka lielākā daļa Latvijas iedzīvotāju nemaz nezina kāda izskatās EDS sistēma un cik viegli vai grūti bija uzminēt kā nokopēt gandrīz vai visas elektroniski iesniegtās deklarācijas.

Šajā sakarā nepiekrītu ne Neo apgalvojumam intervijā Jānim Domburam, ka lai atrastu caurumu vajadzētu būt VID EDS lietotājam un tāpēc tā atrašana aizņēma tik ilgu laiku, ne tādam pašam skaidrojumam no VID amatpersonu puses – cilvēks no malas to nevarētu atklāt – tikai EDS lietotājs.

Katrs Latvijas iedzīvotājs var izmēģināt VID EDS sistēmu aizejot uz šo saiti: https://edsdemo.vid.gov.lv/Eds/Pages/Login.aspx?action=logout un pieslēdzoties ar lietotāju demo un paroli demo. Tas ir aprakstīts VID mājas lapā un sistēma ir domāta, lai bez bailēm varētu to izmēģināt. Vajadzīga lieta, jo to par intuitīvu nekādi nevar nosaukt. Strādājot ar to visu laiku nepamet bailes izdarīt kaut ko nepareizi.

Lai parādītu, cik vigli vai grūti bija atrast slaveno GetDuf.aspx caurumu, pievienoju video, kurā var redzēt cik daudz laika vajag, lai sāktu iegūt slepenos VID datus. Par laimi tagad šis ir sataisīts un neko vairāk kā kļūdas paziņojumu, mēģinot piekļūt pie “aizliegtiem” dokumentiem neiegūsiet.

Skripts jeb programma ir norāde uz 9 stabiņu – pirmo, kur ir disketes simbols. Viss kas “hakerim” būtu jāizdara – jānokopē saite un jāpaskatās, kas notiek, ja maina skaitļus tās beigās un vai tā strādā, ja neesi pieslēdzies šai sistēmai.

Tā noteikti nav sistēmu uzlauzšana, kas prasa lielu pieredzi un zināšanas, bet legāli tas nav.

Kāpēc šo kļūdu neievēroja KPMG – nav īsti skaidrs. Labprāt dzirdētu viņu skaidrojumu par šo tēmu. Vienīgais skaidrojums, kas nāk prātā – auditēta tika cita sistēma. Pēc manas pieredzes – ja testējot kaut kas šāds nāk klajā tādai sistēmai kā VID EDS, par to nekavējoties tiek informēts klients. Jau pirms audita ziņojuma sagatavošanas, lai var sākt strādāt pie tik kritiskas problēmas novēršanas.

P.S. Video labāk skatīties pilna ekrāna HD režīmā (HD: ON un Stretch: ON)

Agris Krusts, www.tribine.lv.

Autors: Agris Krusts, februāris 18th, 2010 at 11:38 am. Tēma: UncategorizedNo Comments
« Vecāki raksti