ΑρχικήrapidalertΠόσο σοβαρά αξιολογούμε την Ασφάλεια στην Ελλάδα...;
rapidalertsecurity

Πόσο σοβαρά αξιολογούμε την Ασφάλεια στην Ελλάδα…;

SecNews
By SecNews

Εισαγωγή

Στο άρθρο αυτό θα σας παρουσιάσουμε κάποια πραγματικά γεγονότα ώστε να βγάλετε τα συμπεράσματα σας για το πως λειτουργεί και πόσο σοβαρά λαμβάνεται η Ασφάλεια των Πληροφοριακών Συστημάτων και κατ’ επέκταση των Προσωπικών Δεδομένων, από τις εκάστοτε εταιρίες στην Ελλάδα. Θα παραθέσουμε τις ενέργειες που έλαβαν χώρα για πάνω από 3 χρόνια με την εμπλοκή πολύ γνωστών δημόσιων φορέων καθώς και συγκεκριμένης εταιρίας πληροφορικής. 

Πραγματικά, θεωρούμε, οτι όλο αυτό το περιστατικό αποτελεί ένα αντιπροσωπευτικό παράδειγμα μιας κατάστασης της οποίας οι πρωταγωνιστές θα μπορούσαν να είναι μια μεταβλητή Χ, όπου Χ μπορείτε να βάλετε (σχεδόν) όποια γνωστή εταιρία θέλετε.

Ασφάλεια
Εικόνα από την δοκιμή που είχε γίνει το 2013

Πρόκειται για μία Ιστορία που επαναλαμβάνεται και θα επαναλαμβάνεται όσο μένει στην αφάνεια και όσο το Ιδιωτικό συμφέρον θα υπερτερεί του Δημόσιου. Θεωρούμε ότι είναι καιρός να δημοσιοποιήσουμε όλα τα γεγονότα, όπως ακριβώς έγιναν, έτσι ώστε να γίνει γνωστό πως λειτουργεί το “μοντέλο” του Web Application Security καθώς και επιτέλους, μήπως ευαισθητοποιηθούν κάποιοι υπεύθυνοι και διορθώσουν τις αδυναμίες τους!

Πάμε λοιπόν!

Τον Ιανουάριο του 2013 έφθασε σε εμένα (μέσω ενός συναδέλφου) μια αναφορά για ένα κενό ασφαλείας σε web εφαρμογή που τρέχει σε πολλά Ελληνικά Πανεπιστήμια και είναι υπεύθυνη για την διαχείριση των δεδομένων των φοιτητών. Η αναφορά ήταν οτι υπήρχε ένα κενό ασφάλειας  (συγκεκριμένα SQL Injection) στην συγκεκριμένη εφαρμογή που έχει αναπτύξει συγκεκριμένη εταιρία. Σε μελέτη που πραγματοποίησα και ο ίδιος, διαπίστωσα οτι πράγματι υπήρχε σοβαρό πρόβλημα ασφάλειας στην συγκεκριμένη εφαρμογή, μέσω του οποίου θα μπορούσε κάποιος να υποκλέψει όλη την βάση δεδομένων με όλα τα προσωπικά στοιχεία των φοιτητών καθώς και οτιδήποτε άλλο περιείχε.

SecNewsTV

23.5K subscribers
SecNewsTV
Περισσότερα... Subscribe!

Επειδή στο παρελθόν το είχαμε ξαναδεί “το έργο” αυτό (με άλλες εταιρίες), έπρεπε οι χειρισμοί μας να είναι πολύ λεπτοί και προσεκτικοί, διότι μπορεί ξαφνικά να βρεθείς από προστάτης, κατηγορούμενος. Από την άλλη “μεριά” θα μπορούσε ανα πάσα στιγμή κάποιος κακοποιός να αποκτήσει πρόσβαση στα συγκεκριμένα δεδομένα με… μη προβλέψιμα και καθόλου ευχάριστα αποτελέσματα.

Η επόμενη κίνηση έγινε 1 μήνα αργότερα. Έστειλα ενημερωτικό email στην ΥΔΗΕ (Υπηρεσία Δίωξης Ηλεκτρονικού Εγκλήματος) στις 10 Φεβρουαρίου 2013. Σας παραθέτουμε το ακριβές email που είχε σταλεί στην ΔΗΕ, έχοντας (για ευνόητους λόγους) κρύψει τα σημεία που αναφέρουν την ακριβή αδυναμία…


Θα θέλαμε σας να αναφέρουμε ένα πρόβλημα που βρήκαμε στην εφαρμογή εμφάνισης βαθμολογιών (και όχι μόνο) της εταιρίας Xxxxxxxxx ΑΕ, δηλαδή της εταιρίας που έχει φτιάξει το σύστημα βαθμολογίας για τα περισσότερα ΑΕΙ της χώρας.

Dork για να βρειτε ποια είναι να vulnerable sites, δώστε στο google: “Σχεδιασμός και Ανάπτυξη: ΧΧΧΧΧΧΧΧ ΑΕ”

Ανάλυση του προβλήματος
Το πρόβλημα εμφανίζεται στην σελίδα XXXXXXX.asp στην οποία πρέπει ο φοιτητής να συμπληρώσει 5 πεδία για να μπορέσει να γραφτεί στην υπηρεσία. Διαπιστώσαμε οτι το XXXXXXXXXXXXXXXXXX είναι ευάλωτο σε επιθέσεις blind SQL injection και όταν πατήσει κάποιος submit τότε καλείτε η σελίδα XXXXXXXX.asp και αυτή με το κατάλληλο input μπορεί να δώσει πληροφορίες για όλη την βάση δεδομένων καθώς μπορεί κάποιος (χωρίς καν την χρήση passwords) να κατεβάσει τοπικά ΟΛΗ την βάση δεδομένων. Δεν δοκιμάσαμε να δούμε αν μπορεί να αλλάξει βαθμολογίες αλλά δεν το θεωρούμε απίθανο οτι μπορεί να συμβεί!

Εργαλείο Επίθεσης
Επιτυχημένη επίθεση μπορεί να υλοποιήσει κάποιος μόνο μέσω του sqlmap.
Παραθέτουμε τον τρόπο χρήσης για μια επιτυχημένη επίθεση:

1. Ανάλυση του και εύρεση της αδυναμίας
python sqlmap.py –url=”https://xxxxxxxxxxxxxx” –data=”xxxxxx” -o -p xxxxxxxxxx

2. Έλεγχος αν υποστηρίζει εκτέλεση εντολών συστήματος
python sqlmap.py –url=”https://xxxxxxxxxxxxxx” –data=”xxxxxx” -o -p xxxxxxxxxx

3. Ανάκτηση όλων των passwords σε επίπεδο SQL Server
python sqlmap.py –url=”https://xxxxxxxxxxxxxx” –data=”xxxxxx” -o -p xxxxxxxxxx

ΕΠΙΣΗΣ:
4.1 Εύρεση του database name:
python sqlmap.py –url=””https://xxxxxxxxxxxxxx” –data=”xxxxxx” -o -p xxxxxxxxxx

4.2 Εύρεση όλων των πινάκων της τρέχουσας βάσης
python sqlmap.py –url=””https://xxxxxxxxxxxxxx” –data=”xxxxxx” -o -p xxxxxxxxxx

4.3 Πως κατεβάζουμε όλα τα data από κάποιον συγκεκριμένο πίνακα της επιλογής μας

python sqlmap.py –url=””https://xxxxxxxxxxxxxx” –data=”xxxxxx” -o -p xxxxxxxxxx

PROOF OF CONCEPT
Σας εσωκλείουμε το log file από την δοκιμή που κάναμε.
Παρακαλούμε για τις ενέργειες σας ώστε να γνωστοποιηθεί το πρόβλημα στην εταιρία που το… δημιούργησε!
Σας ευχαριστούμε πολύ για την βοήθεια και τον χρόνο σας!!

Η απόκριση της συγκεκριμένης υπηρεσίας μπορώ να πω ότι ήταν άμεση, και μάλιστα έδειξε ιδιαίτερο ενδιαφέρον για την αναφορά, γεγονός μάλιστα που δεν περιμέναμε μιας και δεν έχουμε συνηθίσει σε τέτοιου είδους άμεσες αποκρίσεις από φορείς του δημοσίου, ειδικά μάλιστα όταν το θέμα δεν άπτεται άμεσα του πεδίου ευθύνης τους.

Διότι, ναι, η πρόληψη δεν είναι δουλειά της ΔΗΕ της Αστυνομίας, αλλά άλλων φορέων (ας μην πούμε ονόματα) που στο παρελθόν δεν είχαν επιδείξει την ανάλογη… αμεσότητα, σε ανάλογες αναφορές. Μάλιστα, κληθήκαμε και κάναμε και συνάντηση με τους υπεύθυνους της Αστυνομίας κάνοντας μια πάρα πολύ εποικοδομητική  συζήτηση τόσο για το τρέχον πρόβλημα όσο και γενικότερα, συγκεκριμένα με τον Δ/ντη της υπηρεσίας, Αντιστράτηγο κ. Μανώλη Σφακιανάκη. Δεν γνωρίζω αν υπάρχουν άλλοι φορείς στην Ελλάδα που να σε καλούσε ο Δ/ντης τους επειδή τους ανέφερες κάποια αδυναμία, που στην τελική δεν ήταν δικό τους πρόβλημα. Για να μην γίνει καμιά παρεξήγηση όμως θα ήθελα να ξεκαθαρίσω οτι, προσωπικά, δεν ευλογώ ΚΑΝΕΝΟΣ τα γένια, δεν είναι του στυλ μου αλλά ούτε και έχω να κερδίσω κάτι, απλά θεωρώ οτι τις καλές υπηρεσίες πρέπει να τις αναδεικνύουμε εμείς οι πολίτες (τουλάχιστον). Το αναφέρω αυτό για ακόμα ένα λόγο: Για να τονίσω οτι σε ανάλογες αναφορές μας, ακόμα και σε υπουργεία, εισπράτταμε το περίφημο δημοσιο-υπαλληλίστικο (ακόμα κι από υπουργούς): “Α! αυτό δεν είναι στην δική μας ευθύνη, είναι του τάδε υπουργείου”  ή  το κλασικό “Αφήστε μας τα στοιχεία σας και θα επικοινωνήσουμε μαζί σας“…

Θεωρούμε λοιπόν ότι η ΔΗΕ, έκανε τις ανάλογες κινήσεις ενημερώνοντας την συγκεκριμένη εταιρία για το πρόβλημα.

Μετά από κάποιο καιρό και συγκεκριμένα τον Ιούλιο του 2014, κάνουμε έναν ακόμα έλεγχο για να διαπιστώσουμε αν και κατά πόσο η συγκεκριμένη αδυναμία έχει διορθωθεί. Δυστυχώς τα αποτελέσματα ήταν αρνητικά: Η αδυναμία ακόμα υπήρχε. Οπότε, επόμενη κίνηση ήταν να στείλουμε πλήρη αναφορά με το πλήρες ιστορικό στο SecNews.gr. Παραθέτουμε απόσπασμα από το email, όπως το στείλαμε στο SecNews την Πέμπτη 10 Ιουλίου 2014.

Αγαπητοί καλησπέρα,
Θα ήθελα να αναφερθώ σε ένα γεγονός το οποίο αποτελεί σημείο αναφοράς για το πως λειτουργεί καθώς και και πόσο σημαντική θεωρείτε η ασφάλεια πληροφοριακών συστημάτων σε αυτή την χώρα.
Θα σας παραθέσω πραγματικά γεγονότα και αποδείξεις που μόνο να προβληματίσουν μπορούν.
Τον Ιανουάριο του 2013 έφθασε σε εμένα (μέσω ενός συναδέλφου) μια αναφορά για ένα κενό ασφαλείας σε web εφαρμογή που τρέχει σε πολλά Ελληνικά Πανεπιστήμια. Η αναφορά ήταν οτι υπήρχε ένα κενό (vulnerability – συγκεκριμένα SQL Injection) σε συγκεκριμένη εφαρμογή που έχει αναπτύξει συγκεκριμένη εταιρία.
Σε μελέτη που πραγματοποίησα εγώ μετά, διαπίστωσα οτι πράγματι υπήρχε πρόβλημα ασφάλειας στην συγκεκριμένη εφαρμογή το οποίο μάλιστα μπορούσε να θεωρηθεί ως 0-day.
Μετά, λοιπόν, την μελέτη που πραγματοποίησα έστειλα ένα ενημερωτικό email στην Υ.Δ.Η.Ε. στις 10 Φεβρουαρίου 2013. Η απόκριση της συγκεκριμένης υπηρεσίας μπορώ να πω ότι ήταν άμεση, καλώντας με στα γραφεία τους για περαιτέρω διευκρινήσεις – εξηγήσεις, πράγμα το οποίο έγινε.
Θεωρώ, επίσης δεδομένο οτι η συγκεκριμένη υπηρεσία ενημέρωσε τους αντίστοιχους υπευθύνους για την συγκεκριμένη αδυναμία (παρόλο που δεν αποτελεί και το βασικό της καθήκον). Για τέτοια υπάρχουν άλλες υπηρεσίες (CERT) κλπ, κατά την άποψη μου εντελώς… “κουφές”!
Σήμερα, 18 περίπου μήνες μετά την πρώτη αναφορά, το πρόβλημα αυτό δυστυχώς εξακολουθεί υφίσταται!
Σας παραθέτω το email όπως το έστειλα στην Υ.Δ.Η.Ε.

…..

Η απόκριση από την ομάδα του SecNews (όπως το περιμέναμε) ήταν άμεση δημοσιεύοντας μάλιστα και ανάλογο alert. Επίσης υπήρξε και επικοινωνία με την συγκεκριμένη εταιρία αναφέροντας επακριβώς που εντοπιζόταν το πρόβλημα. Η τελική αναφορά δεν δόθηκε ποτέ στην δημοσιότητα με την ελπίδα μήπως το πρόβλημα τελικά διορθωθεί…

Σήμερα, Νοέμβριος του 2016 (4 χρόνια μετά την αρχική ανακάλυψη της αδυναμίας) το πρόβλημα εξακολουθεί να υφίσταται…

Να αναφέρουμε ότι η μελέτη μας δεν έγινε σε μεγάλο βάθος, αλλά σε αρκετό ώστε να μπορούμε να αντλήσουμε όλα τα δεδομένα από την βάση. Το πρόβλημα είναι ότι στο site της συγκεκριμένης εταιρίας αναφέρεται οτι η συγκεκριμένη εφαρμογή τρέχει σε 32 ΑΕΙ. Δεν δοκιμάσαμε αν η συγκεκριμένη αδυναμία υπάρχει σε πολλά ή σε όλα τα αναφερόμενα ΑΕΙ. Αυτό μάλλον είναι δουλειά εταιρίας που θα πρέπει να αναλάβει το Pen Test και όχι δική μας. Όπως επίσης και δουλειά της συγκεκριμένης εταιρίας είναι επιτέλους να διορθώσει τις αδυναμίες της!!

Παρακάτω ακολουθούν δύο screenshots που δείχνουν τους πίνακες της βάσης δεδομένων καθώς και κάποια data που έγιναν extract!

Ασφάλεια
Οι πίνακες από την βάση δεδομένων

Data με προσωπικά στοιχεία (Όνομα, επώνυμο, τηλ, διευθύνση, email, κινητό, ΑΦΜ, κλπ) από τον πίνακα PERSONS:

Ασφάλεια
Προσωπικά δεδομένα από τον πίνακα Person

Απορίες αντί συμπεράσματος

Έρχομαι τώρα σε κάποιους (θεωρώ) λογικούς προβληματισμούς – απορίες:
1. Η Αστυνομία σίγουρα ενημέρωσε για το πρόβλημα. Κάποιοι το είδαν και θεώρησαν οτι δεν έπρεπε να ασχοληθούν για να το “κλείσουν”;
2. Το πρόβλημα παραμένει εδώ και αρκετά χρόνια. Είναι θέμα χρόνου να το βρει κάποιο script-kiddie και να έχουμε ακόμα έναν νεαρό ήρωα “hacker” (στην καλύτερη).
3. Ίσως το πρόβλημα αυτό να είναι ήδη γνωστό σε άλλες ομάδες (πιο σιωπηλές) και να το έχουν ήδη εκμεταλλευτεί. Μην μας “ταράξει” το γεγονός αν “αύριο” δούμε κάπου σε δημόσια θέα όλα τα στοιχεία όλων των φοιτητών μαζί με τις βαθμολογίες τους κι από κάτω να υπογράφουν κάποιοι σαν “Anonymous” ή “Lulzsec” ή “Χαρούμενες πασχαλίτσες”.
4. Μην μας ταράξει επίσης το γεγονός αν στο DarkNet δούμε καμιά ανάρτηση του στυλ: “Θέλετε αν διορθώσετε τον βαθμό σας στο Πολυτεχνείο; Θέλετε να περάσετε το μάθημα; Με 200 euro σας το κάνω εγώ! Στείλε μήνυμα στο SuperHacker@mail.thief.com”

Πραγματικά δεν καταλαβαίνω τι συμβαίνει τελικά στην χώρα μας. Μάλλον δεν το χωράει το δικό μου το μυαλό για να το καταλάβω.

  • Δεν ενδιαφέρεται κανείς που βρίσκεται σε διοικητική θέση ή σε θέση που του δίνει το δικαίωμα να λαμβάνει αποφάσεις;
  • Δεν γνωρίζουν οι προγραμματιστές πώς να διορθώσουν την αδυναμία;
  • Καλύπτονται κάποιοι CEOs στο ότι αν κάποιος δημοσιεύσει επισήμως κάτι, θα του κάνουν μήνυση για προσβολή της φήμης της εταιρίας τους και με αυτό τον “φόβο”, είναι ήσυχοι;

Αναπάντητα ερωτήματα…

Ακολουθήστε μας στο Google News και ενημερωθείτε πρώτοι για όλες τις ειδήσεις.

Προηγούμενο άρθρο
Samsung: Αν δεν αλλάξουμε, δεν επιβιώνουμε
Επόμενο άρθρο
Samsung: Το Galaxy S8 διαθέτει εφαρμογή ψηφιακής βοήθειας
SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

RELATED ARTICLES

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS

Φόρτωση περισσοτέρων

ABOUT US

SecNews.gr: No1 Portal για Τεχνολογικές ειδήσεις. Security, Hacking, TV και Tweaks για Geeks. Άμεση ενημέρωση για όλες τις εξελίξεις στον χώρο της ασφάλειας και του IT.

Επικοινωνία: contact@secnews.gr

FOLLOW US

SecNews - Copyright © 2010 - 2024