4. Miroslav Lučinskij of Lithuanian Critical
Security team, has shared on full disclosure
the details of a new XSS which affects one
of the features of Skype. Furthermore, this
feature allows the user to add a video into
his mood status. Miroslav pointed out that
"video selection is done through Skype
partners and is based on regular WEB
functionality". He wrote that "it is possible
to inject a script to the "Add video to chat"
dialog via the Title field of the DailyMotion
movie information". Later on that day,
security researcher Aviv Raff replied that
this is actually a cross-zone scripting
vulnerability (XZS) and included on his blog
more information about the issue along
with a proof-of-concept video
demonstration
5.
6.
7.
8. Портал «Электронные ворота власти» предназначен для доступа граждан
Литовской республики ко ВСЕМ услугам электронной властей. Стоимость
проекта ~1,7 млн. евро
Портал предоставляет централизованную
аутентификацию и авторизацию при подключении
к (почти) любой эл. гос услуге - около 400 разных
эл. услуг
Для аутентификации используются
следующие механизмы:
• Подключение через Онлайн банкинг
• Электронная подпись
• Мобильная подпись
• Подключение с использованием «Карточки
гражданина»
Карточка гражданина – смарт карта:
• Публичный сертификат, приватный и публичный
ключи (2048 бит)
• Публичный сертификат свободно считывается
• Приватный ключ защищен от копирования на
другие носители и для доступа нужен 8
символьный PIN код
9. Уязвимости в портале «Электронные ворота власти» при использовании
«Карточки гражданина»
Аутентификация:
• У пользователя запускается Java аплет, ответственный за коммуникацию с сервером
ЭВВ
• Для аутентификации надо сформировать и подписать пакет данных, вставив в
считыватель «карточку гражданина» и введя PIN код.
Уязвимости:
• Пакет аутентификации подписывается Приватным ключем, который
располагается... в Java аплете – т.е. приватный ключ, хранимый на
карточке нигде не используется, а PIN код для него запрашивается «для
вида»
Т.е. атакующий, получив доступ к публичному сертификату пользователя
(например - при заражении системы) может пользоватся личностью жертвы при
доступе к гос. услугам.
• Авторизация пользователя происходит не по данным из подписаного
сертификата, а по данным из запроса (POST) – т.е. проверяется только
валидность сертификата, и если он правильный, то авторизация происходит
с использованием параметров из запроса ( Имя, дата рождения и т.д.)
Т.е. атакующий, пройдя аутентификацию и зная некоторые личные данные,
может получить неограниченый доступ ко всем услугам и данным о любом
гражданине Литвы.
10.
11. Транспортный билет в одной Европейской стране
Для проезда на публичном транспорте было решено использовать эл. билеты
на базе RFID карточек. Цель нарушителя – бесплатный проезд.
Безопасность решения:
• Шифрование данных на карточке
• Уникальные пары ключей на каждый блок карточки и
разные для каждой каротчки
• Защита от изменения данных на карточке (механизм
подписи и проверки целосности данных)
• Уникальные метки карточек (hardware id), которые нельзя
поменять на оригинальной карте
Вектор атаки:
• Из-за недоработок в чипе, атакующий получает все ключи и возможность менять
содержимое на карте (Mifare darkside атака)
• Клонирование карточек не работает из-за уникальных меток (надо использовать
специальные клон-карты, но тогда нужно организовать печать и полиграфию)
• Данные на карте в закрытом формате и подписываются (разобратся в формате и
механизме подписи данных слишком трудоемко)
• Если скопировать содержимое пополненой карты, проехать на транспорте
используя кредиты и восстановить данные карты из копии – проезд на транспорте
становится бесплатным. Цель нарушителя достигнута.
