Η ημέρα των αυτοδιοικητικών εκλογών εκτός από τα απρόοπτα κατά γενική ομολογία των εκλογικών αποτελεσμάτων και την πανωλεθρία τ...
Η ημέρα των αυτοδιοικητικών εκλογών εκτός από τα απρόοπτα κατά γενική ομολογία των εκλογικών αποτελεσμάτων και την πανωλεθρία των exit-polls, φαίνεται ότι έχει ιδιαίτερο ενδιαφέρον και από πλευράς ασφάλειας συστημάτων και κυρίως αναφορικά με την ασφάλεια της επίσημης ιστοσελίδας ανακοίνωσης των αποτελεσμάτων ekloges.ypes.gr
Σύμφωνα με πληροφορίες που κοινοποιήθηκαν στην συντακτική ομάδα του SecNews, Έλληνας ερευνητής εντόπισε αδυναμίες ασφάλειας στην ιστοσελίδα ανακοίνωσης των αποτελεσμάτων τουΥπουργείου Εσωτερικών!
Οι πληροφορίες που απεστάλησαν στην συντακτική ομάδα του SecNews, μερικές ώρες νωρίτερα από Έλληνα ερευνητή ασφάλειας -τα στοιχεία του οποίου παραμένουν στην διάθεση του SecNews- αναφέρουν την ύπαρξη αδυναμιών XSS, που μπορούν να χρησιμοποιηθούν από εξωτερικούς επιτιθέμενους για αλλοίωση των δεδομένων στον browser του χρήστη.
Όπως αναφέρει χαρακτηριστικά ο ερευνητής, κάποιος με εξειδικευμένες γνώσεις μπορεί να αλλοιώσει το περιεχόμενο των session του χρήστη. Επισυνάπτουμε τα Screenshots – αποδείξεις ύπαρξης της αδυναμίας, όπως εμφανίζονται στον browser συντάκτη του SecNews που έλεγξε επιτυχώς την ύπαρξη της αδυναμίας σύμφωνα με τις οδηγίες του ερευνητή.
Οι υποδεικνυόμενες από τον ερευνητή αδυναμίες είναι:
XSS1: http://ekloges.ypes.gr/may2014/dn/public/index.html#alert(‘BLAH’)
Επιτρέπει εισαγωγή μηνύματος στο session του χρήστη από τον επίδοξο επιτιθέμενο
XSS2: http://ekloges.ypes.gr/may2014/dn/public/index.html#window.open(‘http://www.google.com’,’_self’)
Επιτρέπει ανακατεύθυνση του χρήστη προς ιστοσελίδα επιλογής του επιτιθέμενου-hacker (στο παράδειγμά μας google.com)
Race Condition (επιτυχία 50% περίπου σύμφωνα με τον ερευνητή) με αλλαγή του τίτλου της ιστοσελίδας σε blah
http://ekloges.ypes.gr/may2014/dn/public/index.html#window.addEventListener(‘load’, function(){document.getElementById(‘ext-comp-1015′).innerHTML=’blah’})
Ως γνωστόν οι αδυναμίες XSS είναι χαμηλής επικινδυνότητας χωρίς να είναι εφικτό να οδηγήσουν άμεσα σε αλλοίωση της ιστοσελίδας ή πρόσβαση στον εξυπηρετητή αλλά μπορούν να χρησιμοποιηθούν έμμεσα για αλλοίωση του περιεχομένου σε επίπεδο χρήστη (user-session). Σε ιστοσελίδες συγκεκριμένης κατηγορίας (όπως E-shops, Μηχανές αναζήτησης ή ιστοσελίδες που επιτρέπουν αυθεντικοποίηση χρηστών) όπου το Phishing μπορεί να αποφέρει ανακατεύθυνση επισκεπτών, πρέπει να λαμβάνονται σοβαρά υπόψη και να επιδιορθώνονται άμεσα.
Η ύπαρξη της εν λόγω αδυναμίας είναι ιδιαίτερα σημαντική λόγω της φύσης της ιστοσελίδας και της ακρίβειας αποτελεσμάτων που απαιτείται να εμφανίζονται προς τους χρήστες της. Συνεπώς στην συγκεκριμένη περίπτωση η αδυναμία XSS κρίνετε ως εξαιρετικά σημαντική για την ακρίβεια των απεικονιζόμενων δεδομένων. Όπως αναφέρει ο ερευνητής
Σίγουρα κάποιος με γνώσεις javascript μπορεί να “παίξει” με το περιεχόμενο που εμφανίζεται στο session του χρήστη.
Η επίτευξη 100% των δοκιμών είναι στο χέρι αυτού που θα ασχοληθεί και των γνώσεων που κατέχει (μιας και οι δικές μου είναι σχετικά μικρές στο συγκεκριμένο αντικείμενο).
Εκτιμούμε ότι οι διαχειριστές του Υπουργείου Εσωτερικών αλλά και οι υπεύθυνοι διαχειριστές της εταιρείας Singular Logic που διαχειρίζεται το σύστημα αποτελεσμάτων των εκλογών, οφείλουν να επιδιορθώσουν άμεσα την αδυναμία που υποδεικνύει ο ερευνητής, τουλάχιστον μέχρι την ερχόμενη Κυριακή, ημέρα επαναληπτικής διεξαγωγής των εκλογών αλλά και των ευρωεκλογών για την αξιόπιστη και χωρίς πιθανότητα αλλοίωσης στον browser του χρήστη απεικόνιση δεδομένων.
Δεν υπάρχουν σχόλια
ΠΡΟΣΟΧΗ! Την ευθύνη για το περιεχόμενο των σχολίων φέρει αποκλειστικά ο συγγραφέας τους και όχι το site. Η ανάρτηση των σχολίων μπορεί να έχει μια μικρή χρονική καθυστέρηση