Tapo pajuokos objektu: leidžia ją „nulaužti“ greičiau, nei spėsite išsivirti kavos. ES kūrinys čia vėl „sužibėjo“ ()
Programėlė leidžia naršyti po suaugusiems skirtas svetaines nerenkant jokių papildomų asmens duomenų.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Europos Sąjungos ambicijos vienu smūgiu išspręsti nepilnamečių prieigos prie suaugusiems skirto turinio problemą virto tikru kibernetinio saugumo košmaru. Trečiadienį su dideliu trenksmu pristatyta speciali amžiaus patvirtinimo programėlė turėjo tapti neįveikiama siena vaikams, tačiau tapo pajuokos objektu: saugumo spragos leidžia ją „nulaužti“ greičiau, nei spėsite išsivirti kavos.
Idėja skambėjo gražiai ir moderniai: vartotojai patvirtina savo amžių naudodami asmens dokumentus vieną kartą, o vėliau programėlė leidžia naršyti po suaugusiems skirtas svetaines nerenkant jokių papildomų asmens duomenų. Privatumas, saugumas, ramybė tėvams. Tačiau, kaip praneša „Politico“, praėjus vos porai dienų nuo išleidimo, projektas skęsta skandale.
Saugumas – tik iliuzija?
|
Britų kibernetinio saugumo ekspertas Paulas Moore’as viešai pademonstravo, kad ši „aukščiausio lygio“ apsauga yra skylėta kaip rėtis. Pasirodo, programėlės kūrėjai padarė pradedančiųjų klaidą – itin jautrius duomenis patikėjo saugoti pačiam įrenginiui, o ne saugiems serveriams.
P. Moore'as įrodė: norint apeiti sistemą, tereikia minimalių technologinių žinių ir maždaug dviejų minučių.
Kaip veikia šis „nulaužimas“?
Problemos šaknis – programėlės konfigūracijos failai. Tyrėjai nustatė, kad PIN kodo informacija saugoma lokaliai ir yra lengvai modifikuojama. Tai leidžia piktavaliui tiesiog „atstatyti“ programėlės saugumą:
- ištrinamos tam tikros PIN reikšmės iš konfigūracijos failų;
- programėlė paleidžiama iš naujo;
- užpuolikas nustato naują PIN kodą, tačiau sistema vis tiek pripažįsta ankstesnio profilio prisijungimo duomenis kaip galiojančius.
Paprasčiau tariant – užraktas pakeičiamas, bet senas raktas vis tiek tinka.
„Brute-force“ atakos – be jokių kliūčių
Maža to, tyrėjai aptiko dar gėdingesnių klaidų. Įprastai programėlės blokuoja prieigą po kelių nesėkmingų bandymų įvesti kodą, tačiau ES kūrinys čia vėl „sužibėjo“. Bandymų skaitiklis yra paprastas kintamasis, kurį rankiniu būdu galima nustatyti į nulį.
Tai atveria kelius vadinamajai „brute-force“ (brutalios jėgos) atakai: automatinėms programoms leidžiama spėlioti PIN kodą neribotą kiekį kartų, kol galiausiai sistema pasiduoda.
Kol ES valdininkai žadėjo saugesnį internetą mūsų vaikams, programišiai trina rankomis – panašu, kad ši milijonus kainuojanti iniciatyva tapo dar vienu pavyzdžiu, kaip teorinis saugumas subyra susidūręs su realia praktika. Ar bus stabdomas programėlės naudojimas, kol kas nepranešama, tačiau reputacinė žala – milžiniška.
