Datoru drošības jomā ir tāds teiciens security through obscurity, ko lieto, kad drošību mēģina panākt ar to, ka ļoti slepeni uzveido kaut kādus drošības mehānismus un nevienam par to nesaka, un tad cer, ka sistēma tā rezultātā būs ļoti droša.
Šis teiciens man ienāca prātā, kad pamanīju, ka e-me ir ieviesusi kaut kādus LDAP direktorijas pārlūkošanas ierobežojumus, bet savā web lapā nepublicēja, kādi tieši ir šie ierobežojumi. Savā iepriekšējā rakstā par šo tēmu jau rakstīju, ka sākotnējā versijā ar LDAP pārlūkprogrammām iekš ldap://e-me.lv varēja brīvi skatīties publicēto e-paraksta sertifikātu saņēmēju vārdus, viņu personas kodus un e-pasta adreses. Tas laikam neizskatījās pārāk labi, un tāpēc e-me ieviesa šos jaunos ierobežojumus, kā rezultātā vairs nevarēja šādā veidā skatīt visu LDAP saturu.
Tā kā nekāda dokumentācija izstrādātājiem par LDAP lietošanu e-me mājas lapā nav pieejama, tad pēc “melnās kastes” principa nācās mazliet papētīt, kādus meklēšanas pieprasījumus LDAP serveris tomēr ņem pretī. Pēc nelieliem eksperimentiem izdevās atrast, ka meklēšana pēc precīza personas vārda un personas koda vai sertifikāta numura tomēr strādā (līdzīgi kā e-me web lapā sertifikātu meklēšanas formā). Un kas ir interesanti, ka nākamajā meklēšanā jau var meklēt arī tikai pēc sertifikāta numura, nenorādot personas vārdu. Nu un tā kā izsniegto sertifikātu numuri iet secīgi pēc kārtas, tad radās ideja, ka varētu uztaisīt e-me LDAP direktorijas browseri, ar kura palīdzību varētu redzēt visu izsniegto sertifikātu personu vārdus, personas kodus un e-pastus.
Rezultātā uztapa e-me direktorijas browseris 🙂
Ceru, ka tas varētu motivēt e-me turpmāk vairs netaisīt šādus slepenus drošības pasākumus un dalīties informācijā ar citiem izstrādātājiem.
Apskatoties e-me direktorijā pieejamos e-paraksta sertifikātu saņēmēju personu datus radās šādas pārdomas:
- Dotajā brīdī skatījos, ka e-paraksta sertifikāti ir izsniegti ne vairāk kā 300 personām (no kurām liela daļa ir LP darbinieki). Tā kā jau ir pagājis pusotrs mēnesis, kopš e-paraksta sertifikāti tiek izsniegti un līdz gada beigām ir palicis tik pat daudz laika, tad neticās, ka līdz gada beigām lietotāju skaits būs 20 000, kā tika solīts pirmajās preses relīzēs.
- Dīvaini, ka nav standartizēts, ar kādiem burtiem tiek rakstīti personu vārdi sertifikātos – dažiem tikai vārda un uzvārda pirmais burts ir ar lielo burtu, dažiem viss ir ar lielajiem burtiem.
- Aizdomīgi, ka praktiski visiem direktorijā ir nopublicētas e-pasta adreses, kas pieteikuma anketās ir minētas kā kontakta e-pasta adreses un netiek minēts, ka tās tiks padarītas publiski zināmas visiem interesentiem. Šaubos, ka visi ir devuši piekrišanu savu e-pasta adrešu publicēšanai.
- Vairākiem ir izsniegti sertifikāti ar pseidonīmiem un tie neizskatījās pēc vispārzināmiem māksliniekiem. Visticamāk, ka cēlonis ir tāds, ka aizpildot anketu tiek uzprasīts “kāds ir Jūsu pseidonīms”, nevis “vai Jūs vēlētos sertifikātu ar pseidonīmu”.
Un vispār domāju, ka nav vērts ieviest jebkādus ierobežojumus uz e-paraksta sertifikātu LDAP direktorijas skatīšanos, jo tad, kad sertifikāti sāks ceļot apkārt kopā ar parakstītajiem dokumentiem, tad šai informācijai tāpāt vairs nebūs nekādas slepenības (protams, no direktorijas vajadzētu izņemt e-pasta adreses, kas nav iekļautas sertifikātos). Salīdzinājumam – Igaunijā e-paraksta sertifikātu LDAP direktorijas pārlūkošanai nav nekādu ierobežojumu (ldap://ldap.sk.ee) un nekādas problēmas no tā tur nav radušās.
e-lietas 
“He that would keep a secret must keep it a secret that he hath the secret to keep”
– Sir Francis Bacon
Vienīgais, mani mulsina tas, ka tur ir redzami personas kodi… Tas tā kā tomēr tiek uztverts kā sevišķi neizpaužama informācija.
Ipasi uzticams riiiks, ar ipasi uzticamu administraciju…
Variet būt droši, ka veci ar pseidonimiem ir musu dizie drosibnieki,- tie parasti sev skiet gudri, sadibinot pieejas un pat firmas uz fiktiviem vardiem…
Slepeni gan sie dati nav, ja personas devusas piekrisanu. Personas kods pat ir “kodifikators” (izmantojams publiskaja apritee- maksajumos, iesniegumos utt.). Bet apstrādāt (t.sk. atstāt publiskošanai sarakstā kā to dara eeemeee) gan nav atļauts, bez subjektu piekrišanas. Uztaisiet maillisti ar seit esamajiem e-pastu adresem Pajautajiet Kalvitim un citiem, kuru, ko tas par so domā,- e- mails galu galaa pieejams
Skaists browserītis 🙂
“Security through obscurity” nekad nav bijusi efektīga, bet tajā pat laikā (nez kāpēc) tā ir iecienīta oficiālo iestāžu darbībās Latvijā, ASV un gan jau arī citur.
P.S. Kalvīša personas koda pirmā daļa beidzas ar “666” 😀
Moš to perla skriptu var publiskai lejupielādei iedot?
Man mērķis jau nav publicēt šo informāciju, bet vēlējos darīt zināmu, ka šāds informācijas publiskas pieejamības blakusefekts pastāv. Bet tā kā tas ir izsaucis nelielu “ažiotāžu”, tad labāk pagaidām šo servisu atslēdzu un līdz šī blakusefekta problēmu novēršanai labāk arī šo skriptus nepubliskošanu.
Komentējot Tavu ziņu par personas kodu pieejamību – manuprāt, ar to ir jāsamierinās, ka personas kods ir publiska informācija, jo savādāk digitālajā pasaulē nevarēsim unikāli identificēt konkrēto personu. Kas ir slikti un ko varbūt vajadzētu mainīt ir tas, ka personas kodā pilnīgi nevajadzīgi ir iekodēts dzimšanas datums.
Kā jau teicu, igauņiem visi personas kodi ir publiski pieejami caur LDAPu un tur neviens par to neuztraucas.
pirms Tu atsleedzi skriptu, pasts atsleedza pieeju.
Raimond,
Ja Aigars Kalviitis ir ljaavis savu sertifikaatu (personas kodu saturoshu) publiceet LDAP-aa, tad vinjsh protams tur ir arii atrodams! Attiecīgi, ja viņš nav ļāvis to publicēt, tad viņam tur jāatrodas nebūtu. Tas, ka Tev sirdij tuvaaks ir igaunju risinaajums nepaarsteidz.
Tieshaam neizprotu Tevi …
Juris
Es jau neesmu teicis, ka ir slikti, ka personas kodi tiek publicēti LDAPā. Gluži otrādi, kā jau teicu, personas kodiem ir jābūt pieejamiem, jo savādāk nevarēs unikāli identificēt e-parakstītājus. Izskatās, ka citiem komentētājiem liekas, ka tas nav labi, ka var piekļūt pie e-paraksta sertifikātu saņēmēju personu kodiem – tas vienīgi nozīmē, ka jāveic lielāks izskaidrošanas darbs, ko nozīmē piekrišana publicēt sertifikātā iekļauto informāciju.
Kas, manuprāt, ir slikti ir tas, ka LDAPā tiek publicētas e-pasta adreses, kas nemaz nav vajadzīgas personu identificēšanai un man ir aizdomas, ka ne visi e-paraksta sertifikātu saņēmēji ir devuši piekrišanu viņu e-pasta adrešu publicēšanai (jo vismaz e-me iesniegumos e-pasts neparādās pie sertifikātos publicējamās informācijas).
Un vēl, kas ir slikti, ka tiek uzlikti LDAP meklēšanas nosacījumu ierobežojumi, kas nekur nav dokumentēti un kurus tāpat ir iespējams apiet. No tādiem ierobežojumiem rezultātā nekādas īpašas jēgas nav.
Ceru, ka labāk paskaidroju savu viedokli.
Raimond,
Zini kāpēc e-pasta adreses ir LDAPā?
Tāpēc, ka pieteikuma iesniedzējam ir iespējams norādīt “Iekļaut e-pasta adresi sertfikātā”. Ja lietotājs pats nenorāda, ka šī adrese ir iekālujama sertifikātā, tad tai LDAPā nevajadzētu parādīties.
Nu ja tiešām visi šie sertifikātu saņēmēji tam ir piekrituši, tad jau viss ir OK un nav par ko uztraukties 🙂 (vienīgi mājaslapā publicētajā pieteikuma formā nav iespējams norādīt par e-pasta iekļaušanu vai neiekļaušanu sertifikātā).
hmm, par pieteikumiem neko nezinu, bet softā tāda iespēja ir
[…] browseris V2.0 Pirms laba laika biju rakstījis par e-me direktorijas browseri, ar kura palīdzību varēja skatīt e-me LDAP direktorijas saturu – visu e-paraksta sertifikātu […]
[…] laba laika biju rakstījis par e-me direktorijas browseri, ar kura palīdzību varēja skatīt e-me LDAP direktorijas saturu – visu e-paraksta sertifikātu […]