14. oktobrī interneta lapā suns.bsd.lv tika publicēts tīklu drošības speciālista Pētera Duņaškina rakstspar to, kā viltojot e-pasta adreses sūtītāja adreses lauku, kas ir gandrīz tikpat vienkārši izdarāms, kā parastajai vēstulei norādīt svešu sūtītāja adresi, un nosūtot šādu e-pastu uz dns-reg@nic.lv ar pieprasījumu mainīt informāciju, varēja manipulēt ar teorētiski jebkura .lv zonas domēna datiem, citiem vārdiem runājot - tādā veidā Latvijas interneta lapu apmeklētājiem "īsto" lapu vietā varēja tikt parādīta kāda ļaundara izveidotā, vai lapas vienkārši var tikt pataisītas par nepiejamām. Un tas attiecās uz visām interneta lapu adresēm, kuras beidzās ar ".lv"
Par šo iespēju, kas rada drošības problēmas, iekš nic.lvvar izlasīt sekojošo:
"Tehnisko un kontaktinformāciju, kas attiecas uz domēna vārda reģistrāciju, var nomainīt, nosūtot e-pasta pieprasījumu uz dns-reg@nic.lv. Pieprasījums jānosūta no tās e-pasta adreses, kas norādīta kā tehniskās vai administratīvās kontaktpersonas e-pasta adrese, kura norādīta NIC WHOIS datubāzē".
Un tā kā NIC WHOIS datubāze ir visiem tiešsaistē pieejama, tad ikviens var iegūt vajadzīgo informāciju (tehniskās vai administratīvās personas e-pasta adresi un vārdu), lai nosūtot vienu e-pastu, iegūtu kontroli pār gandrīz jebkuru .lv interneta adresi. To savukārt var izmantot kaitniecības un krāpniecības nolūkos.
Piemērs pirmajai problēmai jeb iespējamai kaitniecībai varētu būt automatizētas sistēmas izveide, kas izmanto kāda Latnet darbinieka lapāpieejamo hostu sarakstu vai pats iegūst pilnīgāku, par katru domēnu dabū informāciju no NIC WHOIS datubāzesun tad izsūta vairākus tūkstošus viltotus e-pastus, kuros lūgtu nomainīt informāciju par domēniem, kas pārslogotuNIC administratorus un vai nu uz kādu laiku rastos haoss Latvijas interneta vidē dēļ nevietā nomainītās informācijas, vai ticamāk - šie pieprasījumu tiktu ignorēti, kamēr netiktu veikti ievērojami uzlabojumi pašāNIC sistēmā, un attiecīgi šajā laika periodā netiktu nomainīta arī tāinformācija, kuru lūgtu īstie domēnu īpašnieki.
Savukārt otrā problēma jeb iespējamā krāpniecība varētu radīt vēl lielāku postu. Nomainot attiecīgo informāciju, būtu iespējams uztaisīt masveidīgu interneta lietotāju datu zagšanu, viņiem "īsto" lapu vietā parādot to izmainītas kopijas. Tātad ar nopietnām zināšanām šajā jomāspeciālisti varētu viltot banku, e-veikalu un citas lapas, kurās to lietotāji ikdienā ievada visu vajadzīgo informāciju, lai kādā brīdī iztukšotu apkrāpto interneta lietotāju banku kontus.
Vērā ņemamistastitikas fakti, no kuriem var izsecināt šīs drošības problēmas mērogu:
*Latvijā ir reģistrētivairāk nekā 20 000 domēni (adrese.lv, piemēram, delfi.lv) un tā kā katram domēnam var būt subdomēni (cita.adrese.lv, piemēram, pasts.delfi.lv), tad kopējais Latvijas interneta lapu skaits varētu būt vairākas reizes lielāks.
*Pēc Microsoft un Lattelekom atbalstītā pētījumu "Par informācijas sabiedrības attīstību Latvijā" datiem, kas attiecas uz 2004. gada sākumu, apmēram 2/5 Latvijas iedzīvotāju ir izmantojuši internetu, no kuriem 84% internetu lieto vismaz reizi nedēļā, bet 57% to dara 6-7 reizes nedēļā.
*interneta lietotāju skaits pastāvīgi pieaug
*Latvijas interneta lapas apmeklē arī citu valstu iedzīvotāji.
Tas viss, protams, piesaistīja uzmanību un Uldis Ķēniņš par šo tēmu publicēja rakstu"NIC.lv akcija - domēns bez maksas :)" informācijas tehnoloģiju ziņu vortālā datuve.lv. Arī priekš fizmati.lv tā šķita aktuāla lieta, bet bija vēlme to visu papētīt vairāk pirms secinājumu izdarīšanas un raksta veidošanas.
Tāpēcfizmati.lv pārstāvis Pēteris Jurčenko kontaktējās ar Latnet un, citējot LU Matemātikas un informātikas institūta Tīkla pakalpojumu attīstības daļas vadītājas, Katrīnas Sataki, atbildes uz dažiem no mūsu interesējošajiem jautājumiem, ļausim arī lasītājiem saprast, kas ir kas.
Kas ir LATNET?
Vārdu LATNET lieto: a) SIA "LATNET Serviss" - strādā galvenokārt ar komerciālajiem klientiem; b) Latvijas Universitātes Matemātikas un informātikas institūta LATNET laboratorija, kas ir atsevišķa struktūrvienība (faktiski hierarhiski vienā līmenī ar Tīkla risinājumu daļu (NIC)) - strādā pamatā ar akadēmiskajiem klientiem;
Kas Latvijā atbild par domēnu .lv?
Par augstākā līmeņa domēnu .lv Latvijā atbild Latvijas Universitātes Matemātikas un informātikas institūts. Institūtā ar to nodarbojas Tīkla risinājumu daļa (NIC).
Kā nameserveru maiņa notiek citās valstīs?
Par Interneta pakalpojuma sniedzējiem - diemžēl nav ne jausmas. Pieļauju, ka lielā mērā tāpat kā mums, t.i., ar klientu menedžeru starpniecību.
Bet Jūs jau laikam vairāk interesē ccTLD administrēšana jeb reģistru darbība
:-) Te ir dažādas pieejas:
1) reģistrs vispār nepieņem neko no parastajiem reģistrētājiem (tā tas ir, piemēram, ASV), bet darbība notiek tikai caur reģistratūrām, kuras savukārt pieprasījumus nosūta reģistram. Tad katra reģistratūra nosaka savu kārtību izmaiņu veikšanai, piemēram, tikai pēc samaksāšanas ar karti tiešsaistē (Web interfeiss);
2) reģistrs piedāvā tiešsaistes servisus ar e-pasta apstiprinājumu;
3) reģistrs piedāvā tiešsaistes servisus ar faksa apstiprinājumu;
4) reģistrs pieprasa iesniegt rakstveida pieprasījumu (t.sk. arī elektroniski parakstītu);
5) ...
Vai ir bijušas kādas sūdzības par nesaskaņotu name serveru adrešu maiņu?
Lai nebūtu sūdzību, tas ir klientu menedžera uzdevums. Bet LATNET klientiem MX un A ierakstu maiņa ir diezgan rets gadījums, jo tie pamatā ir pastāvīgo pieslēgumu klienti, kuriem ir vai nu uz LATNET IP adresēm izvietoti savi name serveri, vai arī uz mūsu name serveriem izvietoti MX un A ieraksti, kas arī parasti norāda uz mūsu IP adresēm...
Ja Jūs interesē NIC, tad tas, protams, ir savādāk, jo NIC nodarbojas TIKAI ar domēniem, un tur tā kopējā masa ir nesalīdzināmi lielāka. Galvenās sūdzības NIC gadījumā ir saistītas ar to, ka jaunā informācija updeitojas citos name serveros (kas ir starp NIC un domēna vārda lietotāju) ne uzreiz. Respektīvi, centrālajā name serverī izmaiņas ir veiktas, bet domēna vārda lietotājs pie sevis tās neredz. Ja Jūs interesē viss, kas ir saistībā ar informāciju par NIC (Jūs gan nezin kāpēc tā tieši nejautājat :-)), kas tika publicēta Internetā (ja nemaldos, datuve.lv vai kā tamlīdzīgi), varu pateikt sekojošo:
1) jā, tā ir, ka var nofeikot from lauku un iesūtīt pieprasījumu veikt izmaiņas. Te gan būtu jāpiezīmē, ka ne jau kuru katru izmaiņu. Nevar, piemēram, nomainīt domēna vārda lietotāju. Pieprasījumus apstrādā cilvēki, tāpēc arī visi "aizdomīgie" izlaisti cauri netiek. Bet, protams, iespēja kaut ko nelāgu sadarīt pastāv (vai tik tā nebūtu kvalificējama kā "krāpšana"?)
2) es vēl atceros tos laikus, kad izmaiņu veikšanai bija nepieciešami rakstveida iesniegumi. Taču Internets ir tik dinamiska vide, ka laiks ir ārkārtīgi svarīgs. Tāpēc ar laiku atļāva izmaiņas iesūtīt pa faksu un nozīmēja laiku oriģināla iesūtīšanai. Nākamais solis bija pieprasījumu nosūtīšana pa e-pastu no tehniskās kontaktpersonas e-pasta adreses. Jā, es piekrītu, ka tas nav ideālākais risinājums, tomēr, ja runājam par manu skatījumu uz šo problēmu, man tīri cilvēciski ir žēl, ka cilvēkiem nevar uzticēties (kaut gan nomierina tas, ka šādi ir 1 uz 10000 :-)))
3) zinu, ka ļoti daudzi cilvēki ir sašutuši, ka izmaiņas nepieņem pa telefonu. Zinu arī to, ka noteikti pa telefonu šādas izmaiņas nekad neļaus izdarīt;
4) jautājums par web interseisa ieviešanu NICā tiek apspriests no visām pusēm jau sen. Shēma: tiek piešķirti lietotāja vārds un parole, ja vajag veikt izmaiņas, pieslēdzas un iesūta, ko un pret ko mainīt. Prasītās izmaiņas tiek sūtītas administratīvajai kontaktpersonai uz e-pastu. Kamēr no tās neatnāk atbilde, nekas netiek darīts. Plusi: viss bezgala droši "kā citviet pasaulē". Mīnusi: patērētais laiks (nez kad tā administratīvākontaktpersona atbildēs), administratīvās kontaktpersonas e-pasts - Jūs pat nevarat iedomāties, cik maz mūsu cilvēki uztraucas par datu savlaicīgu updeitošanu (atšķirībā no "pārējās pasaules" :-)). Varbūtība, ka e-pasts jelkad sasniegs administratīvo kontaktpersonu ir daudz mazāka, nekā varbūtība, ka kāds ļaunprātīgi nofeikos from lauku. Acīmredzot aizmāršīgu cilvēku mums ir vairāk nekā ļaunprātīgu :-) Vismaz līdz šim tā bija. Tagad gan noteikti to skaits varētu palielināties.
5) tāpēc šobrīd saņemtās vēstules tiek sūtītas atpakaļ ar lūgumu apstiprināt izmaiņu veikšanu.
Kā redzams pēdējā jautājumaatbildes piektajā punktā, tad ir veikts, mūsuprāt, īslaicīgs risinājums - pirms izmaiņu veikšanas - nosūtīt e-pastu tehniskajai personai ar lūgumu apstiprināt pieprasītās izmaiņas, kuras var tikt nosūtītas no viltota adresāta. Bet paralēli tam, ja var ticēt datuve.lv publicētajai informācijai, jau nākamajā rītā pēc pirmāšai tēmai veltītāraksta parādīšanās, arī Ekonomikas Policijas galvenais speciālists Pēteris Reinfelds iesaistījās šajā lietā, piedāvājot savu problēmas "risinājumu", par ko vairāk var lasīt datuve.lv otrajā rakstā - "NIC.lv draud Datuvei".
Un līdz ar šādu pavērsienu informācija par šo tēmu parādījās arī citās lapās:
Apollo: NIC ļaujot mainīt svešu domēnu datus
EdgarsŠulcs: Zogam domēnus.
Kristaps Kaupe: NIC.lv cenšas piesegt savu neprofesionalitāti ar Ekonomikas policijas rokām?
Lai arī Apollo portālam NIC DNS administrators norādīja, ka ieviest papildus drošības pasākumus NIC pašlaik neplāno, tomēr ir veikts jau pieminētais uzlabojums. Bet arī tas drošību negarantē un mēs pašipārbaudījām, ka šī problēma vēl joprojām ir aktuāla. Par to informējām arī NIC un ja šī vājā aizsardzība tuvākajā laikā netiks uzlabota, tad esam gatavi publiskot metodes aprakstu, kā vēl šī raksta publicēšanasdienā varēja manipulēt ar svešu domēnu datiem.
Kāds būtu šīs problēmas risinājums? Sistēma ar web interfeisu, par kuru, kā apgalvo Katrīna Sataki, NICā tiekot spriests jau sen. Jāmin gan būtiska mūsu iedomātās sistēmas shēmas atšķirība no Katrīnas Sataki piedāvātās - viss process notiktu, administratorus neiesaistot. Ideja visai vienkārša - katram domēna vārda lietotājam tiek piešķirts lietotāja vārds un parole, kas tiek nosūtīti uz viņa e-pastu. Ar šiem piekļuves parametriem lietotājs var nic.lv lapā autorizēties un izmainīt nepieciešamos datus.
Katrīnas izteiktā ideja par to, ka pat ar visu web interfeisu vēl būtu vajadzīga saikne ar administratoriem, šķiet kalpo tikai kā attaisnojums bezdarbībai, jo reāli tas šādā gadījumā nav nepieciešams un nebūt nevar piekrist, ka "tā notiek pasaulē". Šāds secinājums tika izdarīts, pārbaudot Pētera Duņaškina apgalvojumu, ka pasaulē izplatītākais risinājums ir pilnībā automatizēts un neparedz administratoru iesaisti izmaiņu veikšanas procesā.
Šīs sistēmas vienīgais mīnuss - tā ir jāuztaisa, par ko kādam jāmaksā un tā ir jāievieš, kas prasa zināmu atbildīgo piepūli. Bet ņemot vērā to, ka ik gadu NIC no saviem klientiem saņem vairākus simtus tūkstošus latus, tad, mūsuprāt, tam nevajadzētu būt problēmai.
Iemesli, kāpēc šāda sistēma būtu vajadzīga:
1. Tā sevi ir apliecinājusi, darbojoties visā pasaulē.
2. Tā būtu daudz drošāka nekā esošā, jo bez piekļuves pie lietotāja e-pasta nav iespējams veikt nekādas izmaiņas.
3. Tā būtu ērta, jo lietotājs datus varētu izmainīt jebkurā diennakts laikā no jebkuras vietas pasaulē, kur ir pieejams internets.
4. Tā būtu ātra, jo viss strādātu bez administratoru starpniecības.
5. Tā noteikti atmaksātos, jo pēc tās ieviešanas esošie administratori būtu daudz mazāk noslogoti.
Tātad jautājums - kāpēc pilnībā automatizēta sistēma vēl nav ieviesta? Pat pēc tam, kad esošās sistēmas nepilnības tika pierādītas, NIC par to ziņots un vēl publiski šī problēma apspriesta, NIC pārstāvji apollo.lv apgalvoja, ka ieviest papildu drošības pasākumus NIC pagaidām neplāno.
Iespējams, ka atbilde uz šo jautājumu meklējama nic.lv sadaļā "Strīdu risināšana", kurā ir lasāma šāda saistību atruna: "Pretendents piekrīt, ka reģistrs nenes atbildību par jebkuru reģistrācijas informācijas nozaudēšanu un reģistrētāja domēna vārda lietošanu, vai par biznesa dīkstāvi, vai jebkādiem netiešiem, īpašiem, gadījuma vai izrietošiem zaudējumiem (ieskaitot atrauto peļņu) neatkarīgi no prasības pamata: līgumiskajām attiecībām, neatļautas darbības rezultātā (ieskaitot neuzmanību) vai kā savādāk, arī gadījumos, kad reģistrs tiek iepriekš brīdināts par šādu zaudējumu iespējamību. Nekādā gadījumā reģistra maksimālā atbildība šo noteikumu politikas ietvaros nevar pārsniegt piecus simtus ($500)ASV dolārus."
Bet viennozīmīgu atbildi uz jautājumu, kāpēc šī problēma no NIC puses netiek ņemta vērā pietiekami nopietni, protams, mēs sniegt nevaram un pārāk spekulēt arī nav korekti, bet ceram, kas ar šo rakstu pievērsīsim šīm lietām pietiekamu uzmanību, lai veicinātu to sakārtošanu. Tāpat aicinam mūsu lasītājiem būt saprātīgiem un nemēģināt piemēros apskatītās idejas realizēt, kuras tika parādītas, lai demonstrētu situācijas nopietnību un nevis aicinātu uz nosodāmām darbībām.
2005. gada 26. oktobrī 15:54
Monopolista bezatbildība apdraud interneta lietotājus. (9)
Autors: Kristaps Mors Apskatīt komentārus »
Atslēgvārdi: Monopols
Balsis: 0, vidējais vērtējums: 0