Nacionālais kiberdrošības izaicinājums 2025

Informāciju sagatavoja: Nacionālais kiberdrošības centrs

Nacionālais kiberdrošības centrs aicina jauniešus vecumā no 14 līdz 24 gadiem piedalīties sacensībās “Nacionālais kiberdrošības izaicinājums”, reģistrējot savu dalību izaicinājuma mājaslapā www.kibiz.lv līdz 2025. gada 16. janvārim

“Nacionālais kiberdrošības izaicinājums” ir valsts mēroga kiberdrošības sacensības, kas sniedz iespēju jauniešiem pārbaudīt un pielietot praksē iegūtās zināšanas un prasmes kiberdrošības vai kiberaizsardzības jomā. Sacensībās var piedalīties jebkurš Latvijas valstspiederīgais vecumā no 14 līdz 24 gadiem. Lai piedalītos izaicinājumā, priekšzināšanas nav obligātas, svarīga ir motivācija, interese par kiberdrošības jomu, un prasme patstāvīgi meklēt un analizēt dažāda veida informāciju.

Sacensības notiks tiešsaistē trīs kārtās:

  • 1. kārta – 1. februāris plkst. 10:00-13:00 (3 stundas),
  • 2. kārta – 22. februāris plkst. 13:00 – 23. februāris plkst. 13:00 (24 stundas),
  • 3. kārta – 22. marts plkst. 13:00 – 23. marts plkst. 13:00 (24 stundas),

Sacensību noslēgumā pēc rezultātu apkopošanas dalībnieki, kuri būs ieguvuši visvairāk punktus, iegūs balvas no Aizsardzības ministrijas un iespēju kļūt par daļu no Latvijas nacionālās izlases dalībai Eiropas Savienības mēroga sacensībās “Eiropas kiberdrošības izaicinājums” (European Cybersecurity Challenge), kas norisināsies 2025. gada 6.-10. oktobrī Varšavā, Polijā. 

Plašāka informācija par sacensībām ir pieejama izaicinājuma mājaslapā www.kibiz.lv 

“Nacionālo kiberdrošības izaicinājumu” organizē Aizsardzības ministrija (Nacionālais kiberdrošības centrs) sadarbībā ar CERT.LV, Latvijas Republikas Zemessardzi, Jaunsardzes centru, Latvijas Universitāti un citiem partneriem. Izaicinājuma norisi atbalsta Eiropas Kiberdrošības kompetenču centrs, un to līdzfinansē Eiropas Savienība.

Nacionālais kiberdrošības izaicinājums

Latvijas jaunieši pirmo reizi piedalās starptautiskajās kiberdrošības sacensībās

Informāciju sagatavoja: AM Militāri publisko attiecību departamenta Preses nodaļa

No 8. līdz 11. oktobrim Turīnā, Itālijā norisinājās starptautiskās kiberdrošības sacensības jauniešiem vecumā no 14 līdz 25 gadiem “Eiropas kiberdrošības izaicinājums 2024”. Šogad sacensībās pirmo reizi piedalījās arī komanda no Latvijas.

Sacensībās jauniešu komandas no 37 valstīm risināja dažādas sarežģītības pakāpes uzdevumus tādās jomās kā tīkla analīze, kriptogrāfija, ielaušanās testi, atvērto avotu izlūkošana, datorkriminālistika un reaģēšana un kiberdrošības incidentiem. Tāpat komandām bija nepieciešams aizsargāt savu informācijas un komunikācijas tehnoloģiju infrastruktūru no kiberuzbrukumiem.
Latvijas komandas sastāvā bija 10 jaunieši, kuri šogad jau pierādīja savas zināšanas valsts mēroga kiberdrošības sacensībās “Nacionālais kiberdrošības izaicinājums” – Rihards Kauliņš, Roberts Ceriņš, Veronika Lohmanova, Sandijs Indāns, Mārtiņš Prokuratovs, Ivo Mezits, Jurģis Ieviņš, Kristofers Barkāns, Reinis Gunārs Mednis un Jānis Rancāns.

“Apsveicu mūsu talantīgos jauniešus ar veiksmīgo startu Eiropas kiberdrošības izaicinājumā! Esmu gandarīts, ka Latvija ir godam pārstāvēta Eiropas līmenī sacensībās ar kiberdrošības jomas izcilniekiem. Neraugoties uz to, ka Latvija ir demonstrējusi spēcīgu noturību pret aizvien pieaugošo apdraudējumu, mums ir jābūt soli priekšā uzbrucējiem. Vēlos pateikt paldies treneriem, palīgiem un visiem atbalstītājiem. Novēlu jauniešiem izcilus panākumus arī turpmāk!” norāda aizsardzības ministrs Andris Sprūds.

Aizsardzības ministrija pateicas visām organizācijām, kas atbalstīja jauniešu dalību šajās sacensībās, īpaši uzņēmumiem Possible Security, Cyber Circle un LMT, kā arī Jaunsardzes centram, Latvijas Republikas Zemessardzei, Kiberincidentu novēršanas institūcijai CERT.LV, Latvijas Universitātei un Eiropas Kiberdrošības kompetenču centram.

Jau 2025. gada pavasarī norisināsies valsts mēroga kiberdrošības sacensības “Nacionālais kiberdrošības izaicinājums”, kurā aicināti piedalīties Latvijas skolēni un studenti vecumā no 14 līdz 24 gadiem. Plašāka informācija par dalības iespējām ir pieejama vietnē kibiz.lv.

“Eiropas kiberdrošības izaicinājums” ir ikgadējās starptautiskās kiberdrošības sacensības, kuras organizē Eiropas Savienības Kiberdrošības aģentūra (ENISA) sadarbībā ar dalībvalstīm un citiem partneriem. Latvijā valsts mēroga kiberdrošības sacensības “Nacionālais kiberdrošības izaicinājums” tiek rīkotas kopš 2024. gada. Sacensību norisi līdzfinansē Eiropas Savienība.

Latvijas kiberaizsardzības speciālisti triumfē lielākajās NATO mācībās, otrajā vietā atstājot Somijas un Polijas apvienoto komandu

Zemessardzes Kiberaizsardzības vienība kopā ar Possible Security un citiem Latvijas kiberdrošības speciālistiem izcīnījusi pirmo vietu nupat aizvadītajās NATO kiberaizsardzības mācībās “Locked Shields 2024”, kas Tallinā pulcēja vairāk nekā 4000 dalībnieku no 40 valstīm. Šajās mācībās NATO Kooperatīvās kiberaizsardzības izcilības centrs imitēja uzbrukumu izdomātas valsts kritiskajai infrastruktūrai, kas mācību dalībniekiem bija jāatvaira, nodrošinot būtiskāko procesu nepārtrauktību.

“Šādas apmācības ir laba iespēja atgādināt sev un citiem, ka Latvijā dzīvo un strādā pasaules līmeņa speciālisti visdažādākajās jomās. Īpaši, ja runājam par jaunākajām tehnoloģijām un kiberdrošības jautājumiem,” stāsta Possible Security vadītājs un Latvijas komandas dalībnieks Kirils Solovjovs. “Taču neviens cilvēks nevar lepoties ar perfektām zināšanām – tās ir nemitīgi jāpapildina, jāpielieto, jāanalizē. Un labākā augsne tam ir starptautiskā sadarbība, kas mūsdienu mainīgajā un nedrošajā pasaulē ir īpaši svarīga. Tā mēs iegūstam ne tikai praktiskas zināšanas, bet arī stiprinām savstarpējo uzticību un komandas garu gan kiberdrošības nozarē, gan NATO kopumā.”

Latvijas komandā šogad bija 120 Zemessardzes Kiberaizsardzības vienības pārstāvji, 80 Latvijas kritiskās infrastruktūras darbinieki, aptuveni 30 NATO Komunikācijas un informācijas aģentūras pārstāvji, kā arī vadošie privātā sektora kiberdrošības speciālisti, tostarp arī dalībnieki no Possible Security komandas: Kirils Solovjovs, Pēteris Birkants un Daniels Heincis.

2023. gada mācībās Latvija ieguva ceturto vietu, taču, kā norāda Zemessardzes Kiberaizsardzības vienības komandieris Ronalds Mandelis, daudz spēku un enerģijas ticis ieguldīts kļūdu analīzē, tāpēc šogad izdevās uzlabot rezultātu, otrajā vietā atstājot apvienoto Somijas un Polijas komandu, bet trešajā vietā – Igaunijas un Francijas speciālistus.

Kirils Solovjovs: Laikmeta iezīme – klients kā lielo uzņēmumu traucēklis

“Uzņēmums vai nu aug, vai stagnē un grimst,” stāsta pasniedzējs ar nopietnu vaigu lekcijā ekonomiku apgūt gribošajiem pirmkursniekiem. Visi skatieni pavērsti pret viņu. Klusums. Doma nu iemājo studentu galvās. Daudzi no viņiem jau strādā algotu darbu, vēl daudzi domā, kur strādās, bet vairāki no kursa kļūs par uzņēmējiem. Bet kādiem? Kādi viņi būs kā cilvēki savā uzņēmējdarbībā? Vai viņi saglabās cilvēcību?

Continue reading

Vadošais Latvijas kiberdrošības uzņēmums “Possible Security” svin desmit gadu jubileju

“Possible Security”, vadošais specializētais kiberdrošības uzņēmums šogad atzīmē savu desmit gadu jubileju. Kopš tā dibināšanas 2013.gadā, uzņēmumu grupa ir stabili attīstījusies, piedāvājot saviem klientiem plašu pakalpojumu spektru, tajā skaitā drošības konsultācijas, auditus, testus, dažādas drošības apmācības, kā arī pēdējos gados – specifiskajām lēmumu pieņemšanas procedūrām īpaši pielāgotus tehnoloģiskos risinājumus “e-Saeima” Latvijas Republikas Saeimai un “e-RīgasDome” Rīgas domei. Risinājumi sniedz iespēju Saeimas un Rīgas domes sēdes noturēt attālināti.

Uzņēmuma īpašnieks un dibinātājs Kirils Solovjovs atklāj, ka, dibinot uzņēmumu. sākotnējais mērķis bija vairot sabiedrības izpratni par kiberdrošību: “Kad 2013.gadā kopā ar partneri Jāni Jansonu dibinājām uzņēmumu, necerējām uz lielu skaitu klientu jau pirmajā darbības gadā. Drīzāk vēlējāmies vairot sabiedrības, uzņēmumu un valsts iestāžu izpratni par kiberdrošību, veidot šo nozari Latvijā.”

Solovjovs uzskata, ka ir pamats lepoties ar sasniegto: “Šobrīd “Possible Security” ir kiberdrošības tirgus līderis – esam vadošais specializētais kiberdrošības uzņēmums Latvijā. Strādājam arī ar starptautiskajiem partneriem, lai ietekmētu un pilnveidotu starptautiskos standartus, iesaistāmies Latvijas normatīvo aktu un dažādu regulējumu izstrādē ar saviem priekšlikumiem. Apkalpojam daudz klientu dažādās jomās, piemēram, Latvijas Republikas Saeimu, Rīgas domi, Nacionālo veselības dienestu, “Indexo”, “Tirdzniecības nams “Kurši”” un daudzus citus.”

Tehnoloģiju drošības uzņēmums “Possible Security” kopš 2013.gada IT drošības eksperta un vadošā pētnieka Kirila Solovjova vadībā nodrošina augsta līmeņa informācijas tehnoloģiju drošības konsultācijas, programmatūras un iekārtu IT drošības auditus, ielaušanās testus, kā arī datu ieguves un analīzes pakalpojumus. 2023.gadā uzņēmumu grupas apgrozījums sasniedza 0,3 miljonus eiro.

Uzņēmumiem pieejams atbalsts to IT drošības uzlabošanai

Komersanti, biedrības, nodibinājumi, pētniecības un zināšanu izplatīšanas organizācijas, kuras vēlas stiprināt savu informācijas un komunikāciju tehnoloģiju (IKT) drošību, izmantojot pakalpojumus, ko nodrošina arī Possible Security, var pieteikties 30 % – 100 % lielam atbalstam Latvijas Investīciju un attīstības aģentūras (LIAA) administrētās programmas “Atbalsts procesu digitalizācijai komercdarbībā” ietvaros.

Iespējams pieteikties līdz pat 100% atbalstam apmērā līdz 9 999 eiro, savukārt 30% – 60% lielam atbalstam apmērā līdz 100 000 eiro. Projektu finansē komersants par saviem līdzekļiem, un atbalstu saņem pēc projekta pabeigšanas.

Atbalsts izmantojams gatavo risinājumu, aparatūras, sensoru, iekārtu, programmatūras un informācijas tehnoloģiju infrastruktūras iegādes, izstrādes, uzstādīšanas un pielāgošanas izmaksu, tai skaitā licences iegādes izmaksu segšanai, kā arī ne vairāk kā 50 % apmērā – ekspertu konsultācijām saistībā ar iepriekš minēto.

Finansējums atbalsta programmā ir pieejams līdz 2026. gada 31. martam un kopējais finansējums tai ir 37,5 miljoni eiro.

Continue reading

How to choose secure passwords

We use many different applications, various portals and social networks on a daily basis and for many of them we choose (or are forced) to have an account. In order to reduce the risk of account getting hacked and personal information being leaked, everyone can start with an ordinary thing – credential security. The best way to protect your personal information is to use physical keys such as Titan Security Key, YubiKey or Latvian eID card, or usage of specific authentication apps on smartphones such as Microsoft Authenticator, andOTP, Smart-ID, Authy, etc. Backup codes should also be stored securely so that access is recoverable in case the authenticator is lost or breaks down. If the usage of physical keys or applications is not possible and we use the basic password for identity confirmation, we can protect our accounts and profiles by creating a strong password and changing it from time to time.

Continue reading

Dynamic content in secure digital signatures

One of essential functions of digital signatures is to guarantee the integrity of the signed data. That is achieved by encrypting the data (its checksum) with one of the asymmetric cryptography algorithms. When you make changes to the signed data, the checksum no longer corresponds to the value included in the signature, so the signature can be identified as invalid.

However, in real life, the data to be signed is often far more complicated than plain-text strings. When digitally signing document files, it is only guaranteed that the binary content of the document file is exactly as it was at the time of signing. However, it does not say anything about whether the visual representation or the document contents in the applications displaying these documents is the same.

We are demonstrating a number of ways in which, by using various functions available in .docx and .odt formats, it is possible to create documents whose file contents are unchanged and thus are not raising any doubts about the validity of the digital signature, but in which the actual content displayed to the user may vary.

Continue reading

Platforma e-Saeima atzīta par veiksmīgāko e-paraksta integrācijas risinājumu

Balva "Platīna pele" un Tautas veidots Latvijas karogs Saeimas sēžu attālinātās norises platforma e-Saeima saņēmusi Latvijas Informācijas un komunikācijas tehnoloģiju asociācijas gada balvu “Platīna pele 2020” kā veiksmīgākais e-paraksta integrācijas risinājums. Speciālbalvu pasniedz pretendentam, kurš vislabāk integrējis e-parakstu iestādes vai organizācijas sistēmā, e-pakalpojumā vai risinājumā.

Continue reading

Parakstu vākšanas dinamika

14. novembrī Centrālā vēlēšanu komisija atļāvusi parakstu vākšanu par 13. Saeimas atlaišanu, ko rosinājušas pat divas organizācijas reizē. Lai gan sākotnēji šķita, ka parakstus noteikti nesavāks, neparasti lielā aktivitāte, kas piedzīvota jau pirmajās parakstu vākšanas dienās, lika šo pieņēmumu apšaubīt.

Lai būtu iespējams labāk paredzēt iznākumu un parakstu vākšanas dinamikas izmaiņas, esam sagatavojuši infolapu ar grafiku ar šobrīd savākto parakstu* proporciju, izmantojot portāla Latvija.lv informāciju.

Šobrīd parakstījušies 31715 cilvēki. Savākti 20.5% nepieciešamo parakstu. Atlikuši 98.7% laika.

Aicinām rūpīgi izsvērt savu izvēli pirms parakstīties vai neparakstīties par šo iniciatīvu.

* infolapa satur tikai Latvija.lv iesniegtos parakstus, nav iekļauti citos veidos savāktie paraksti; daļa no uzrādītajiem parakstiem var izrādīties nederīga

Possible Security, Accenture & CERT.LV organizē hakatonu

Šā gada 1. jūnijā no plkst. 19:00 līdz 3:00 notiks informācijas tehnoloģiju (IT) drošības hakatons, kuru organizē IT uzņēmums Accenturesadarbībā ar IT drošības incidentu novēršanas institūciju CERT.LV un IT drošības uzņēmumu Possible Security. Hakatona mērķis ir popularizēt IT drošības jautājumus Latvijā. Drošības entuziastiem šī ir iespēja pierādīt sevi, risinot praktiskus uzdevumus, satikt un iepazīties ar citiem nozares pārstāvjiem.

Hakatonā cīņa dalībniekiem būs individuāla. Uzdevumi ļaus plašāk iepazīt un izprast apdraudējumus IT drošībai, kā arī pārbaudīs dalībnieku rīcību un lēmumu pieņemšanas spējas IT drošības krīžu situācijās. Uzdevumi būs ar dažādām grūtības pakāpēm. Uzvarēs dalībnieks, kurš iesniegs visvairāk pierādījumu par izpildītajiem uzdevumiem.

Hakatons notiks Accenture birojā Brīvības gatvē 214. Dalībnieki, kuri izpildīs visvairāk uzdevumu, balvās saņems dronu ar kameru DJI Mavic Pro un video kameru 4K camera GoPro HERO5 Session. Pasākums notiks angļu valodā.

Google CTF 2017

Some would say that this year’s Google CTF was harder than usual. Maybe it was. But it also was great fun.
Even though this was the first time possiblesecurity.com team participated in any CTF, we scored 79th place out of 1976 contenders worldwide.

Kirils also submitted a write-up for one of the challenges ­ — JohnnyBoy — and now that write-up winners have been announced, we can publish it too.

Will we be back next year? Sure thing!

Vulnerabilities of Milesight IP security cameras

Internet of Things is becoming ever more popular, and vendors seek to capitalize on that: nowadays the manufacturing process of some security cameras is more alike to that of an Internet of Things device, rather than a security device. This reckless attitude undoubtedly leads to security vulnerabilities in critical systems.

Our lead researcher Kirils Solovjovs participated in IT security conference “Cyberchess 2016” jointly organised by CERT.LV and ISACA Latvia, where he presented his research on the security of Milesight IP security cameras. Multiple major security vulnerabilities were presented (CVE-2016-2356, CVE-2016-2357, CVE-2016-2358, CVE-2016-2359, CVE-2016-2360). The presence of vulnerabilities in the wild was verified in cooperation with CERT.LV by testing a Latvian public institution with more than 100 products by this vendor.

Given that vendor is located outside EU, Kirils initiated an international responsible disclosure process, working with the vendor, CERT.LV, the public institution, the installer, HackerOne Inc., and CERT/CC.

The presentation covers the technical aspects of vulnerabilities (presented publicly for the first time), lessons learned, and recommendations to security officers and policy makers. Video recording is also available.

MAKE RIGA Hacking competition 2016. Results.

MAKE RIGA hacking competition

Last weekend the Institute of electronics and computer science (EDI) hosted MAKE RIGA Hacking competition 2016, which is set to become a yearly tradition. Co-owner of 1st Ltd Kirils Solovjovs defended his champion title by attaining first place once again.

“The number and variety of challenges as well as the number of contenders is clearly increasing, providing for a lively competition. I was not originally planning to attend, but seeing the high response rate, I decided to give it a go and sign up for the competition on its second day. One could say that ending up at the top this year was a pleasant accident,” champion Kirils Solovjovs said with a smile.

This year the organizers had prepared 33 challenges 57% more than the previous year – to wrestle with in the following categories among others:

  • encryption,
  • Internet of Things,
  • WiFi security,
  • social engineering,
  • embedded device and microchip analysis,
  • radio intercept and decoding,
  • RFID security,
  • reverse engineering software binaries,
  • security of network services.

This year’s competition was well attended with 38 participants taking part from all around Latvia. Contenders included IT professionals, scientists and other interested parties.

The gold trophy was won by IT security expert Kirils Solovjovs who maxed out at 162 points. Krišjānis Stikāns was well behind with 99.5 points. Bronze trophy was awarded to Aleksandrs Levinskis for scoring 91 points. He was closely trailed by Dāvis Mosāns and “mkz” who scored 90 and 89 points respectively. Six of 33 challenges remained unsolved by anyone.

Cyber Europe 2016

Cyber EuropeOn 13th and 14th of October Possible Security took part in “Cyber Europe 2016” — the largest and most comprehensive EU cyber-security exercise to date. Cybersecurity authorities and cybersecurity experts from more than 300 organisations from all 28 EU Member States, Switzerland and Norway, reacted to a series of unprecedented, coordinated cyberattacks.

Exercise scenario included massive distributed denial of service attacks as well as disinformation campaign and sabotage of critical infrastructure, and featured the Internet of Things, drones, cloud computing, innovative exfiltration vectors, mobile malware, ransomware, etc.

Amongst the goals of the exercise was testing the ability of national and governmental cybersecurity agencies, ministries, EU institutions as well as internet and cloud service providers and cybersecurity service providers to safeguard the European Digital Single Market and creating recommendations to improve cybersecurity in Europe. After-action report will be made publicly available in the first half of 2017.

Exercise was organised by ENISA, the EU Agency for Network and Information Security. Possible Security is honoured to have been invited to participate in “Cyber Europe 2016” and be part of the solution together with our governmental and business partners.

Atbildīgas ievainojamību atklāšanas politikas ieviešana

Jānis Jansons iepriekš jau rakstīja par izaicinājumiem, kas saistās ar atbildīgu ievainojamību atklāšanu. Šoreiz stāstīšu par to, kā un kāpēc Latvijā varētu ieviest Atbildīgas ievainojamību atklāšanas politiku. Aicinu lasītājus padomāt un sniegt savu viedokli par publikācijā iekļautajām tēzēm un jautājumiem!

Continue reading

First place at MAKE RIGA Hacking competition

Trophies for the 1st and 3rd placeInstitute of electronics and computer science (EDI) hosted the first MAKE RIGA Hacking competition last weekend. We are happy to announce that the co-owners of 1st Ltd Kirils Solovjovs and Jānis Jansons won the first and the third place respectively.

Contenders were given 13 hours over the course of two days to solve 21 challenges worth ten points each. Participants were competing in the following categories among others:

  • WiFi security,
  • password cracking,
  • embedded device analysis, including firmware disassembly and flashing,
  • radio intercept and decoding,
  • RFID security,
  • reverse engineering software binaries and hardware components,
  • security of network services.

Drošības problēma Rīgas Satiksmes biļešu sistēmā “E-talons”

Turpinot iesākto sabiedriski nozīmīgu informācijas sistēmu drošības pārbaudes, ar mērķi uzlabot šo sistēmu drošību, paziņojam par PSIA “Rīgas satiksme” braukšanas apmaksas sistēmas “E-talons” drošības ievainojamību.

Pateicoties šai ievainojamībai, iespējams ar vienu vienīgu “dzelteno” papīra e-talonu braukt bezgalīgu skaitu reižu.
Continue reading

Atbalstām konferenci “Biznesa datu drošība”

dbkonference1Mūsdienās uzņēmumi kontrolē lielāko daļu informācijas, tāpēc esam uzsākuši sadarbību ar Dienas Biznesu, lai sasniegtu dzirdīgas ausis Latvijas uzņēmēju vidū un tuvotos mūsu mērķim — drošākai IT videi, līdz ar to arī labāk aizsargātai informācijai, Latvijā.

Šodien, 30. aprīlī, mūsu valdes loceklis Kirils Solovjovs vada Dienas Biznesa organizēto konferenci uzņēmumu vadītājiem “Biznesa datu drošība”.

Konferencē tiek runāts par internetu kā biznesa un dzīves telpu, novērtējot gan tā sniegtās iespējas, gan riskus. Konferencē uzstājās tādi runātāji kā Roberts Ķīlis, Māris Ruķers, Varis Teivāns u.c.

Par atbildīgu drošības incidentu atklāšanu

Informācijas sistēmas mūsdienās glabā prātam neaptverami daudz datu. Liela daļa no tiem ir lietotāju dati, turklāt arvien vairāk cilvēku sāk apzināties informācijas cenu, kā arī to, cik svarīgi saglabāt tās privātumu. Ne velti gan lielas kompānijas, gan ļaunprāši ir gatavi maksāt milzu naudu par citu personu datiem. Tas ir viens no iemesliem, kāpēc ir svarīgi rūpēties par informācijas drošību.

Diemžēl Austrumeiropā, t.sk. Latvijā, daudziem uzņēmējiem un IT nozares speciālistiem nav veselīga attieksme pret informācijas drošību. Turklāt problēma slēpjas ne tikai drošības auditu kvalitātē vai programmatūras testēšanas neesamībā, bet arī attieksmē, informējot vai neinformējot lietotājus par atklātajām problēmām.

Saprotams, ka uzņēmumiem un iestādēm šī var būt sāpīga tēma un tie varbūt nevēlēsies par to neko dzirdēt. Taču tās ir lietas, par kurām ir jārunā, tāpēc šajā rakstā es izklāstīšu savu personīgo viedokli, par to, kāpēc IT drošības problēmas ir jārisina, turklāt atbildīgi.

Continue reading

Semināra nodarbība par Heartbleed

Iepriekš jau esam rakstījuši par IT drošības specsemināru, ko organizējam kopīgi ar domubiedriem.

Semināra ietvaros norisināsies kārtējā nodarbība, kuru vadīs mūsu speciālisti Kirils Solovjovs un Jānis Jansons. Šoreiz nodarbībā runāsim par TLS un Heartbleed OpenSSL ievainojamību. Būs arī praktiska iespēja izmēģināt ievainojamību uz reālas sistēmas.

Nodarbība notiks 22. aprīlī plkst. 16:30 Latvijas Universitātes galvenajā ēkā (Raiņa bulvārī 19), Linux centrā (pagrabā, 032. telpā). Laipni aicināti piedalīties visi interesenti!

Tehniskā informācija par e-maks.lv ievainojamību

rakstījām iepriekš, sistēmā e-maks.lv, ko izstrādā Rīgas Karte SIA, tika atklāta nopietna drošības ievainojamība. Šis raksts satur tehnisko informāciju par ievainojamību.

Pirmā metode

Adresē https://e-maks.lv/etickets/transfer, laukā “veikt pārskaitījumu citam lietotājam“, ievadot savu e-pasta adresi un negatīvu valūtas daudzumu, bija iespējams papildināt savu kontu par summu, kas vienāda ar ievadītā valūtas daudzuma moduli. Piemēram, norādot vērtību “-100”, konts tika papildināts par “100” vienībām.

emaks-negparsk

Tas notika tāpēc, ka nepieciešamā summa maksātāja kontā tika momentā rezervēta. Pēc tam, kad saņēmējs apstiprināja pārskaitījumu, saņēmēja konts tika “papildināts” par negatīvo summu, bet sūtītāja konta stāvoklis atgriezās iepriekšējā stāvoklī.

Kamēr saņēmējs vēl nebija apstiprinājis maksājumu, pozitīvo atlikumu varēja pārskaitīt trešajam lietotājam, kas to apstiprinātu, rezultātā iegūstot norādīto naudas daudzumu.

Šo pašu metodi varēja izmantot, lai izmānītu naudu no citiem sistēmas lietotājiem. Iespējams, ka ne visi lietotāji saprastu negatīvas summas nozīmi un apstiprinātu šo maksājumu, tādā veidā pazaudējot naudu no sava konta.

Otrā metode

Naudas saņēmējs sadaļā https://e-maks.lv/etickets/messages varēja noskaidrot pārskaitījuma numuru, kuru nosūtot uz https://e-maks.lv/etickets/messages/numurs/tconfirm, pirmo reizi tika apstiprināts maksājums, bet katrā nākamajā reizē varēja saņemt naudas summu, kas norādīta pārskaitījumā, turklāt tā netika noņemta no sūtītāja konta. Savukārt atkārtoti atverot saiti https://e-maks.lv/etickets/messages/numurs/tcancel, nauda tika papildināta sūtītāja kontā.

emaks-pazin

Šo metodi varēja izmantot arī tad, ja naudu sūtīja sev. Tādā gadījumā atverot https://e-maks.lv/etickets/messages/numurs/tcancel, sākumā tika atgriezts rezervētais naudas daudzums, bet, atkārtojot pieprasījumu uz saiti, tika pieskaitīts pārskaitījumā norādītais naudas daudzums.

Skolēni, izmantojot e-maks.lv, varēja kļūt par miljonāriem

Uzreiz pēc sistēmas ieviešamas, atklājām nopietnu ievainojamību jaunajā e-maks.lv, ko izstrādā Rīgas Karte SIA. Šī sistēma ir pirmais solis Rīgas Satiksmes / Rīgas Kartes sabiedriskā transporta E-talonu funkcionalitātes papildināšanā, ļaujot ar to norēķināties ārpus transportlīdzekļiem. Ikviens, izmantojot e-pasta adresi, var reģistrēties šajā sistēmā.

Izmantojot atklātās ievainojamības, bija iespējams palielināt konta atlikumu, kā arī, zinot cita lietotāja e-pasta adresi, iegūt konta atlikumu no cita lietotāja. Par ievainojamību februāra sākumā informējām CERT.LV un neilgu laiku pēc tam tā tika novērsta.

Iedomāsimies šādu scenāriju, kāds līdz šim tiešām bija iespējams:

Andrim kāds pačukstējis, kā kļūt par miljonāru 5 minūšu laikā. Viņš iegāja savā elektroniskajā makā e-maks.lv, un atvēra konta papildināšanas sadaļu. Pat, ja viņa kontā bija tukšums, sistēma ļāva Andrim nosūtīt “mīnus 23 000 000” naudiņas Kārlim; šīs darbības rezultātā Andra konta atlikums tika papildināts par “23 000 000” naudiņām. Pirms sistēmas administrators to spēja pamanīt, Andris iegūtos līdzekļus aizsūtīja savam draugam Pēterim, kurš šo darbību akceptēja. Andris savu kontu izdzēsa un beigu beigās abi draugi summu sadalīja līdzīgās daļās.

emaks-atlikums

Interesē tehniskā informācija par ievainojamību?

Drošības ievainojamība OpenSSL bibliotēkā

heartbleedPētnieku grupa tikko atklājusi būtisku ievainojamību OpenSSL bibliotēku versijās 1.0.1, 1.0.1a-1.0.1.f un 1.0.2-beta.

Ievainojamība ietekmē pamatā tīmekļa serverus (t.sk. Apache un nginx) un balstās uz nepilnību TLS “heartbeat” paplašinājumā, kas paredzēts, lai nodrošinātu savienojumu noturību udp protokolā. Taču šis paplašinājums ir universāls un darbojas gan DTLS (udp), gan TLS (tcp) variantos.

Nu un? Ievainojamība ļauj jebkuram uzbrucējam iegūt līdz pat 65,5KB servera atmiņas. Atrast atmiņā kaut ko konkrētu, piemēram, servera atslēgu, ir laimes spēle, taču ar gana daudz mēģinājumiem… viss ir iespējams.

Trīs papildus faktori padara šo problēmu īpaši nepatīkamu:

  • OpenSSL (un tieši ievainojamās versijas) izmanto populārākie tīmekļa serveri;
  • uzbrukums notiek pēc tam, kad nodibināts droši šifrēts savienojums, tāpēc ir apgrūtināta uzbrukuma apturēšana tīkla līmenī;
  • esošā serveru programmatūra nekādā veidā nefiksē izdevušos uzbrukumu, tātad pēc tā nepaliek nekādas pēdas.

Šonakt esam izstrādājuši tīmekļa bāzētu rīku, kas ļaus novērtēt, vai Jūsu serverus ietekmē konkrētā ievainojamība. Neatkarīgi no pārbaudes rezultāta, iesakām visiem atjaunot OpenSSL bibliotēkas uz vismaz versiju 1.0.1g un pārliecināties, ka servera programmatūra izmanto šīs bibliotēkas jaunākās versijas.

Piedāvājam iepazīties ar ievainojamības tehnisko aprakstu.

Semināra nodarbība par RFID drošību

Viens no mūsu mērķiem ir sabiedrības izglītošana IT drošības jautājumos, tāpēc, lai uzlabotu sabiedrības un speciālistu zināšanas par drošību, kopā ar domubiedriem esam radījuši pirmo IT drošības specsemināru, kuru bez maksas aicināts apmeklēt ikviens interesents. Semināra nodarbības notiek katru otrdienu un tajās praktiskā līmenī tiks aplūkotas drošības problēmas un iespējamie risinājumi dažādās IT sistēmās un protokolos.

Pirmā nodarbība, kurā kā lektors uzstāsies 1. SIA drošības eksperts Kirils Solovjovs, notiks 18. februārī plkst. 16:30 Latvijas Universitātes galvenajā ēkā (Raiņa bulvārī 19), Linux centrā (pagrabā, 032. telpā).

Nodarbībā tiks runāts par responsible disclosure, kā arī RFID tehnoloģiju uzbūvi, ievainojamībām un drošību, par piemēru ņemot SIA “Rīgas Karte” sistēmu “E-talons”. Šī nodarbība tiks vadīta kopīgi ar CERT.LV vadītāja vietnieku Vari Teivānu.