[LUGOS] Re: firefox edavki game over

Andraz Tori Andraz.tori1 at guest.arnes.si
Sun Apr 9 22:42:59 CEST 2006 

On ned, 2006-04-09 at 21:52 +0200, Matej Spiller-Muys wrote:
> 
> Dej no dej :) Se malce bolje poglej. ActiveX je podpisan. Java komponenta pa
> tudi. In sicer
> z Hermesovim certifikatom. Lahko bi bila edino navodila bolj jasna kako
> preveriti komponento.

PRVIČ

"b.     Vkolikor nimate nameščene verzije 1.4.2 oz. 1.5.0, si jo
namestite s pomočjo spodnjih povezav. Namestiti je potrebno le eno izmed
verzij. 
Verzija 1.4.2: http://java.sun.com/j2se/1.4.2/download.html, opcija
»Download J2SE JRE«
Verzija 1.5.0: http://java.sun.com/j2se/1.5.0/download.jsp, opcija
»Download JRE 5.0 Update X«"

... tule se že zatakne... torej, četudi si na https:// in torej bi moral
biti zdaj že v 'varnem' območju. Ima man-in-the-middle napadalec
možnost, da ko ti hočeš na sunov page (ker želiš namestit Javo), ti
servira svoj EXE, ki ga boš seveda namestil, ker hočeš uporabljat
e-davke! 

Funny thing je, da bi lahko tam bili https:// linki pa niso... še bolje
bi bilo, da bi se dejansko dogovorili s sunom, da bi lahko sami
servirali ustrezne datoteke in tako uporanbiku ne bi bilo treba
zapuščati drusovih strani.

... in ko ima napadalec možnost, da ti v procesu priprave tvojega
računalnika za e-davke podtakne svoj exe je dobesedno Game Over.
Karkršnakoli varnost po tem trenutku je iluzija.

Ampak recimo, da je imel uporabnik javo že nameščeno, recimo, da ni
preklikal YES na vsa vprašanja povezana z varnostjo in je dejansko
preveril kdo so podpisniki, mu bo to kaj pomagalo? 

Jok brate... navodila pravijo, da je potrebno izvesti še korak 3 (kljub
temu, da sem vsaj jaz imel NSS že nameščen).


DRUGIČ. Navodila zahtevajo namestitev NSS
recimo da do njih prideš preko
http://edavki.durs.si/OpenPortal/Pages/Faq/FaqPreview.aspx?id=45


Windows jss3.dll a43010f8b564bee0f86d247f3968d79d3ac12b99
Linux libjss3.so f7f4a440d7d224e120269b1b8bf10d3e9f482725

v trenutku ko uporabnik sledi navodilom je v svoj sistem spet spustil
executable, ki ga ni dobil po varni poti. Game over.

-------------------------------------------------------------------

TRETJIČ:
nobenih navodil o tem katerim oknom, ki zahtevajo neke dodatne varnostne
privilegije reči DA in pod kakšnimi pogoji. ... kaj bodo naredili
uporabnik, ki ni predhodno opozorjen na možnost, da je dejansko
executable fuč vemo... 

> Poleg tega ... komponenta podpise xml, ki se preveri in se enkrat podpise na
> serverju. Lahko bi recimo spremenil
> da ne vidis tisto kar si podpisal. Vendar pa lahko se vedno vidis v arhivu
> to svojo napoved kot xml dokument.

moraš iti v arhiv dejansko gledat.

In sploh, v trenutku, ko je napadalec uspel prevzeti nadzor nad tvojim
računalnikom je game over. Lahko je tudi poslal tvoj privatni certifikat
kamorkoli bi hotel.

> 
> Lej zaradi mene bi blo lohk tut podpisano z PGPjem tako kot so podpisani
> mail, pa deb, rpm paketi, ce podpis mora biti.
> Samo mislim, da je tukaj bolj vprasanje zakaj je sploh potreben podpis. Ne
> vem, mogoce zato, ker moram podpisat dohodnino tudi,
> ce jo oddam osebno na davcni izpostavi. Le zakaj, gremo se kregat!!!! SSL pa
> ne more bit smatran kot podpis.


Vse kar trdim je, da je 'rešitev' v resnici VELIKO BOLJ riskantna za
(Firefox) uporabnika kot to, da bi stvar opravljena znotraj SSL seje
veljala za podpisano. 

Rešitev uporabnika sili v nameščanje softwara, ki po nepotrebnem
ustvarja priložnost za man-in-the-middle attack. 


Edina stvar, ki se z 'rešitvjo' zagotovi je popolna rešitev kakršnekoli
odgovornosti države. Uporabnik, pa ni nič varnejši, kvečjemu manj. Pa še
to je vprašanje, če ne bi uporabnik lahko zaradi zgoraj omenjenih
problemov navodil na sodišču dokazal, da je dejansko država zanemarila
varnost, ker mu je dala takšna navodila in so ga zato shekali brez
njegove krivde.


Prav tako mislim, da tehnična navodila kot so ta, sploh ne bi smela biti
prisotna na http:// ... saj uporabnik zaupa navodilom, ki jih je našel
na spletni strani edavkov, pa jim sploh ne bi smel, ker so lahko tudi ta
plod sofisticiranega man-in-the-middle napada. 

Še več... celi e-davki bi moral biti zgolj in samo na httpsju, z vsemi
navodili skupaj.


------------------------------------------------------------------------


Ne me narobe razumet, čisto vesel sem, da imamo vsaj nekaj e-uprave. A
rešitev ni niti enostavna niti varna. Pričakoval bi vsaj eno ali drugo.



Lep Pozdrav
Andraž Tori

More information about the lugos-list mailing list