Sep 15, 2013

Притчи белой шляпы

/whoami

Мирослав Лучинский Интересуюсь ИБ

Miroslav Lučinskij of Lithuanian Critical Security team, has shared on full disclosure the details of a new XSS which affects one of the features of Skype. Furthermore, this feature allows the user to add a video into his mood status. Miroslav pointed out that "video selection is done through Skype partners and is based on regular WEB functionality". He wrote that "it is possible to inject a script to the "Add video to chat" dialog via the Title field of the DailyMotionmovie information". Later on that day, security researcher Aviv Raff replied that this is actually a cross-zone scripting vulnerability (XZS) and included on his blog more information about the issue along with a proof-of-concept video demonstration

Портал «Электронные ворота власти» предназначен для доступа гражданЛитовской республики ко ВСЕМ услугам электронной властей. Стоимостьпроекта ~1,7 млн. евроПортал предоставляет централизованнуюаутентификацию и авторизацию при подключениик (почти) любой эл. гос услуге - около 400 разныхэл. услуг

Для аутентификации используются следующие механизмы:• Подключение через Онлайн банкинг• Электронная подпись• Мобильная подпись• Подключение с использованием «Карточки

гражданина»Карточка гражданина – смарт карта:• Публичный сертификат, приватный и публичный

ключи (2048 бит)• Публичный сертификат свободно считывается• Приватный ключ защищен от копирования на

другие носители и для доступа нужен 8символьный PIN код

Уязвимости в портале «Электронные ворота власти» при использовании«Карточки гражданина»

Аутентификация:• У пользователя запускается Java аплет, ответственный за коммуникацию с сервером

ЭВВ• Для аутентификации надо сформировать и подписать пакет данных, вставив в

считыватель «карточку гражданина» и введя PIN код.Уязвимости:• Пакет аутентификации подписывается Приватным ключем, который

располагается... в Java аплете – т.е. приватный ключ, хранимый на карточке нигде не используется, а PIN код для него запрашивается «для вида»

Т.е. атакующий, получив доступ к публичному сертификату пользователя (например - при заражении системы) может пользоватся личностью жертвы при доступе к гос. услугам.• Авторизация пользователя происходит не по данным из подписаного

сертификата, а по данным из запроса (POST) – т.е. проверяется только валидность сертификата, и если он правильный, то авторизация происходит с использованием параметров из запроса ( Имя, дата рождения и т.д.)

Т.е. атакующий, пройдя аутентификацию и зная некоторые личные данные, может получить неограниченый доступ ко всем услугам и данным о любом гражданине Литвы.

Транспортный билет в одной Европейской странеДля проезда на публичном транспорте было решено использовать эл. билетына базе RFID карточек. Цель нарушителя – бесплатный проезд.

Безопасность решения:• Шифрование данных на карточке• Уникальные пары ключей на каждый блок карточки и

разные для каждой каротчки• Защита от изменения данных на карточке (механизм

подписи и проверки целосности данных)• Уникальные метки карточек (hardware id), которые нельзя

поменять на оригинальной картеВектор атаки:• Из-за недоработок в чипе, атакующий получает все ключи и возможность менять

содержимое на карте (Mifare darkside атака)• Клонирование карточек не работает из-за уникальных меток (надо использовать

специальные клон-карты, но тогда нужно организовать печать и полиграфию)• Данные на карте в закрытом формате и подписываются (разобратся в формате и

механизме подписи данных слишком трудоемко)• Если скопировать содержимое пополненой карты, проехать на транспорте

используя кредиты и восстановить данные карты из копии – проезд на транспортестановится бесплатным. Цель нарушителя достигнута.

Y.O.B.A. hacking

The end.