Monday, November 14, 2005

Riga Airport admits hack, denies safety threat

Riga International Airport officials admitted the homepage of the airport could be hacked, but denied that this posed a threat to air traffic safety. Air traffic control was based on a seperate computer network which could not be reached through the homepage www.riga-airport.lv.
It was the first official confirmation by airport officials (speaking to the news agency LETA) that vulnerabilities reported on this blog and the press existed.
This blog and the report in my day-job newspaper never suggested that flight operations (air traffic control) was threatened, merely that access to the airport's intranet and mail systems could expose confidential information about anti-terrorist measures and contingency plans. I don't know what speculation was reported in other media.
The source who demonstrated an apparent ability to control the airport's server said that the intranet and mailserver were vulnerable, but deliberately avoided attempting this. The source (whom I called WhiteHat) is connected to a reputable IT-related company and said that making an attempt to penetrate the airport's corporate intranet would be going one step too far without the consent of airport authorities.

9 comments:

Anonymous said...

Mēģināšu izteikt saturīgu kritiku par Jura rakstiem.
Sākšu ar to, ka Juris Kaža acīmredzami nav zinošš IT drošības jautājumos - varbūt viņa žurnālistikas iemaņas ir korifeja statusā, tomēr to nevarētu teikt par viņa aktivitātēm IT jomā. Diemžēl šis zināšanu robs ļoti atspoguļojas viņa rakstos, tamdēļ paskaidrošu sīkāk. Varbūt nāks pie prāta.
Pakomentēšu pēdējo epopeju, proti, lidostas drošības incidentu. Sākšu ar to, ka standarta iframe ievainojamības ir klasificējamas kā cros-site scripting, proti, šīs ievainojamības spēlē lomu iespaidojot lapas apmeklētājus. Var zagt kādu autentifikācijas informāciju, sīkdatnes, mānīt pārlūku. Šādas ievainojamības ir kritiski bīstamas tādos vortālos kā delfi.lv, tvnet.lv un citos, jo šeit ir liels cilvēku apgrozījums, ir iespējams uzķert statistisku vienību ar cilvēkiem uz kuriem tāda vai savādāka ievainojamība iedarbotos. Rīgas lidostas mājaslapas saturs ir informējošs, cros-site scripting uzbrukumi var noderēt tikai, lai veiktu huligāniska rakstura izlēcienus, lai veiktu vizuālu efektu, "uzpumpētu" savu statusu skriptu bērneļu aprindās. Vētra ūdens glāzē, jo šādi ievainojamas ir liela daļa tīmekļa lapu - šīs ievainojamības ir sīkumi. Prātīgs cilvēks informētu lidostu, tad rakstītu rakstu, cik jums gadu Kažas kungs? Otrkārt, jabūt ļoti lielam sapņotājam, lai sadomātos, ka publiski resursi varētu saturēt kādu nopietni slēpjamu informāciju. Parādi man, Kažas kungs, kādu organizāciju, kas publiskajos serveros glabā ko svarīgu.

Man Kažas kungam ir ieteikums. Sāciet apmācības, mācieties reālo situāciju IT drošībā, izejiet kādus kursus. Otrs variants - pirms publicēt kādu "eksplozīvu" informāciju - pieaicinat vismaz divus drošības speciālistus, jā, tieši drošības speciālistus, nevis kādu, kas strādā par IT jomu kādā respektablā uzņēmumā. Programmētājs nav drošības speciālists, jo drošība ir diezgan interesanta sfēra, kurā ir jāzin arī pasaules prakse tādas vai citādās lietās.

Uz šo brīdi Jūs manās acīs esat tālu no profesionāļa, ar šādu darbības stilu jums drīz būs jāiet strādāt dzeltenajā presē.

Paldies par uzmanību. Piedodiet par kļūdām, jo man nav laiks visu pārlasīt.

Juris Kaža said...

Anonymous,
I would not trivialize XSS exploits.
Neuzskatu XSS ievainojamību par triviālu.

See/Skat. http://en.wikipedia.org/wiki/Cross-site_scripting

Anonymous said...

Bet Kažas kungs - kāds sakars minētajam XSS ar teroristiem un lidostas drošību? Būtu paziņojuši lidostas lapas programmētājam un miers.

Atvainojiet, bet pameklējiet labāk avotu nopietnāku, jo tad tamlīdzīgus rakstus, par, piemēram, SAB mājaslapu, kur iekš search ieraksta % ,un, ko tu neteiksi - izlec visi raksti, arī var uzskatīt par nopietnu problēmu, jo, lūk, ir atklāta meklētāja ievainojamība, tātad - LVR izlūkdienests ir neprofesionāls, valsts noslēpumus pa peer-to-peer tīkliem varēs drīz "pumpēt".

Ar gara acīm jau redzu nākošo avīzes virsrakstu - "Kažociņš nemāk PHP" vai "SAB afēra webdizainā" un "SAB mājaslapas meklētājs izpauž valsts noslēpumu".

Keep it real. Labāk būtu uzrakstījis kautko nopietnāku un aktuālāku.

BH said...

Anonymous, nevajag nogulēt notikumus.
Pirms aizlāpīja to &lang=XSS , tur varēja droši izpildit jebkuru exec funkciju izmantojot attālinātu php skripta iekļaušanu caurajā vietā. Iespējams, ka tai caurajā skriptā bija ~ šitā: include "$lang/main.php";
Piemēram, nodzēst teorētiski tur varēja visu / (izspriests no phpinfo php uber tiesībām).
Tas, ka tur vēl varēja piekļūt intranetam, to uzzinam no paša tā lidostas runātāja.
Bet nu tā tas bija un ko ta nu vairs tagad.
A par to ziņošanu adminiem. Nekad tāda ziņošana ne pie kāda laba rezultāta nav novedusi.
Visefektīvākais ir tieši publiskot. blabla...

Anonymous said...

To BH.
BH, man liekas, ka tu esi tā saucāmais "white hat hacker" par kuru raksta Kāžas kungs? :)

BH said...

Anonymous, nē es iru parasts lietotājs, kurš par to štelli uzināja no šīs lapas un izdarīja arī savus secinājumus.

BH said...

Anonymous, nē es iru parasts lietotājs, kurš par to štelli uzināja no šīs lapas un izdarīja arī savus secinājumus.

jam said...

man liekas, tas anonimiķis ir kāds no lidostas IT darbiniekiem :)

Security specialist said...

Gribētu atbildēt Anonymous:

Asā kritika autoram nebija vietā! Anonymous iespējams ir IT drošības specialists, bet acīm redzot viņš nav "security management" speciālists.

Atklātās ievainojamības iespējams ir "vētra ūdens glāzē", tā kā anonymous apgalvo, bet iespējams tas arī ir daudz nopietnāki! Ievainojamība var būt saistīta ar cross-site scripting vai ar kādu citu trūkumu! Butiskais ir, kad ir jau iegūta neautorizētā pieeja, ko uzbrucējs var darīt tālāk? To nenoteiks anonymous vai citi speciālisti rakstot blogus, vienīgi var likt vietā kārtīgu drošības pārbaudi, lai uzzināt cik tāli var ielīst sistēmā un ko va redzēt vai mainīt. Ja tā nebūtu, un IT Admins varētu mierīgi pats tikt galā, tad neeksistētu tirgus nopietnām kompānījām kuras veic Ineternet penetration testing (ielaušanās pārbaudes).

Kažam kā žurnālistam nav jābūt drošības specialistam. Viņš reportē notikumus un ļoti labi ka tā, citādī nebūtu nevienam stimuls reaģēt un veikt korektīvus pasākumus attiecībā uz drošības incidentiem. Tas arī veido apziņu plašākā publikā, ka ir proaktīvi jādomā par drošību, nevis jāsagaida kārtejo incidentu un tad strādāt kā ugunsdzēsēji! Kārtīgi drošības speciālisti, kam tiešam rūp drošība, to saprot!