e-me direktorijas browseris

20.11.2006

Datoru drošības jomā ir tāds teiciens security through obscurity, ko lieto, kad drošību mēģina panākt ar to, ka ļoti slepeni uzveido kaut kādus drošības mehānismus un nevienam par to nesaka, un tad cer, ka sistēma tā rezultātā būs ļoti droša.

Šis teiciens man ienāca prātā, kad pamanīju, ka e-me ir ieviesusi kaut kādus LDAP direktorijas pārlūkošanas ierobežojumus, bet savā web lapā nepublicēja, kādi tieši ir šie ierobežojumi. Savā iepriekšējā rakstā par šo tēmu jau rakstīju, ka sākotnējā versijā ar LDAP pārlūkprogrammām iekš ldap://e-me.lv varēja brīvi skatīties publicēto e-paraksta sertifikātu saņēmēju vārdus, viņu personas kodus un e-pasta adreses. Tas laikam neizskatījās pārāk labi, un tāpēc e-me ieviesa šos jaunos ierobežojumus, kā rezultātā vairs nevarēja šādā veidā skatīt visu LDAP saturu.

Tā kā nekāda dokumentācija izstrādātājiem par LDAP lietošanu e-me mājas lapā nav pieejama, tad pēc “melnās kastes” principa nācās mazliet papētīt, kādus meklēšanas pieprasījumus LDAP serveris tomēr ņem pretī. Pēc nelieliem eksperimentiem izdevās atrast, ka meklēšana pēc precīza personas vārda un personas koda vai sertifikāta numura tomēr strādā (līdzīgi kā e-me web lapā sertifikātu meklēšanas formā). Un kas ir interesanti, ka nākamajā meklēšanā jau var meklēt arī tikai pēc sertifikāta numura, nenorādot personas vārdu. Nu un tā kā izsniegto sertifikātu numuri iet secīgi pēc kārtas, tad radās ideja, ka varētu uztaisīt e-me LDAP direktorijas browseri, ar kura palīdzību varētu redzēt visu izsniegto sertifikātu personu vārdus, personas kodus un e-pastus.

Rezultātā uztapa e-me direktorijas browseris  🙂
Ceru, ka tas varētu motivēt e-me turpmāk vairs netaisīt šādus slepenus drošības pasākumus un dalīties informācijā ar citiem izstrādātājiem.

Apskatoties e-me direktorijā pieejamos e-paraksta sertifikātu saņēmēju personu datus radās šādas pārdomas:

  • Dotajā brīdī skatījos, ka e-paraksta sertifikāti ir izsniegti ne vairāk kā 300 personām (no kurām liela daļa ir LP darbinieki). Tā kā jau ir pagājis pusotrs mēnesis, kopš e-paraksta sertifikāti tiek izsniegti un līdz gada beigām ir palicis tik pat daudz laika, tad neticās, ka līdz gada beigām lietotāju skaits būs 20 000, kā tika solīts pirmajās preses relīzēs.
  • Dīvaini, ka nav standartizēts, ar kādiem burtiem tiek rakstīti personu vārdi sertifikātos – dažiem tikai vārda un uzvārda pirmais burts ir ar lielo burtu, dažiem viss ir ar lielajiem burtiem.
  • Aizdomīgi, ka praktiski visiem direktorijā ir nopublicētas e-pasta adreses, kas pieteikuma anketās ir minētas kā kontakta e-pasta adreses un netiek minēts, ka tās tiks padarītas publiski zināmas visiem interesentiem. Šaubos, ka visi ir devuši piekrišanu savu e-pasta adrešu publicēšanai.
  • Vairākiem ir izsniegti sertifikāti ar pseidonīmiem un tie neizskatījās pēc vispārzināmiem māksliniekiem. Visticamāk, ka cēlonis ir tāds, ka aizpildot anketu tiek uzprasīts “kāds ir Jūsu pseidonīms”, nevis “vai Jūs vēlētos sertifikātu ar pseidonīmu”.

Un vispār domāju, ka nav vērts ieviest jebkādus ierobežojumus uz e-paraksta sertifikātu LDAP direktorijas skatīšanos, jo tad, kad sertifikāti sāks ceļot apkārt kopā ar parakstītajiem dokumentiem, tad šai informācijai tāpāt vairs nebūs nekādas slepenības (protams, no direktorijas vajadzētu izņemt e-pasta adreses, kas nav iekļautas sertifikātos). Salīdzinājumam – Igaunijā e-paraksta sertifikātu LDAP direktorijas pārlūkošanai nav nekādu ierobežojumu (ldap://ldap.sk.ee) un nekādas problēmas no tā tur nav radušās.

Advertisements

Kad pazūd konnekcija…

19.10.2006

Pēdējās dienās joprojām nesekmīgi mēģinu sazināties ar e-me juridisko klientu pārdošanas daļu – gribās man un kolēģiem tās e-paraksta kartes dabūt, bet kaut kā neviens negrib mums tās dot. Vakar neviens necēla klausuli, savukārt šodien, zvanot uz web lapā norādīto telefonu, tiek paziņots, ka šis telefona numurs ir mainīts uz citu telefona numuru. Uzzvanot uz norādīto jauno telefona numuru, to protams arī neviens neceļ. Vakarā intereses pēc gribēju iekš ldap://e-me.lv paskatīties, cik daudzi laimīgie tomēr ir ieguvuši e-paraksta sertifikātus. Bet arī tur nekā – mēģinot pieslēgties, dabūju

Can’t connect LDAP server

Serveriem droši vien arī pa nakti ir jāatpūšas 🙂

Nu tad mēģināju pabeigt plānot savu Oracle OpenWorld konferences semināru grafiku, ko šogad ļoti eleganti caur webu var izdarīt. Bet tā kā daru to tagad, kad visi amerikāņi arī jau piecēlušies un arī pēdējā brīdī grib savu grafiku saplānot, tad arī šīs weba lapas sāk strādāt arvien lēnāk un lēnāk, līdz beidzot iegūstu paziņojumu:

This site has been temporarily disabled for scheduled maintenance.
We apologize for any inconvenience.

Copyright 2005 All rights reserved. The George P. Johnson Company

Visi ir iemācījušies samārketēt savus pasākumus, bet nevar parūpēties par normālu savu servisu pieejamību. Kam tas viss ir izdevīgi? 😦


Filmiņa par elektronisko parakstu

12.10.2006

Iepriekš jau rakstīju par saviem pirmajiem e-paraksta web lapas testēšanas rezultātiem. Diemžēl programmatūra e-paraksta radīšanai Latvijas Pasta EDOC formātā vēl nav pieejama, bet toties pamanīju šo programmu darbībā izveidotajā reklāmas klipā. Nu un es kā ziņkārīgs cilvēks papētīju, ko mēs tur redzam 🙂

Pirmais kadrs, ko ieraugam, ļoti ieintriģē – tas taču ir Apple iBook!

Tad jau Jurģis būs velti bēdājies, ka nevarēs e-parakstu uz Mac lietot. Bet ko mēs ieraugam nākamajā bildē?

Tas taču tomēr ir Windows! Neesmu Mac speciālists, bet, cik varēju sagooglot, tad atradu, ka ir kaut kāds Virtual PC for Mac, ar kura palīdzību var Windowsus darbināt uz Maca. Otrs variants varētu būt arī tāds, ka reklāmistiem labāk patika Mac izskats un tāpēc sakombinēja Macu ar bildi no cita Windows datora 🙂

Ko mēs redzam tālāk:

Ir atvērta eDoc Signer aplikācija, bet galā stāv rakstīts Technical Preview – tas droši vien arī ir tas iemesls, ka patlaban aplikācija vēl ir izstrādes / testēšanas stadijā un tāpēc vēl nav pieejama lejupielādēšanai no e-me.lv.

Kas piesaistīja uzmanību tālākajos kadros:

Šeit mēs redzam, ka parakstu uzliks Ēriks un kā vēlāk redzēsim Eglītis. Viena nepedagoģiska lieta ir tā, ka reklāmā dzirdamā vīrieša balss noteikti nav Ērika Eglīša balss – tātad tas nozīmē, ka Ēriks ir atklājis savu PIN kodu šim svešajam vīrietim! Tā taču nedrīkst!

Otra lieta, kas piesaista uzmanību, ir tas, ka izvēlētā sertifikāta beigu datums ir 12.jūnijs. Savukārt, meklējot Ērika Eglīša sertifikātu e-me.lv, biju iepriekš atradis, ka īstajam sertifikātam beigu datums ir 30.09.2008. Tātad šajā filmiņā tiek izmantots kaut kāds testa sertifikāts nevis īstais un tas tiek vēlāk atzīts par pareizu – kā tad lai šādai programmai uzticas, ja tā saka, ka viss ir kārtībā?

Un vēl šajā gadījumā tiek izvēlēts sertifikāts ar Intented Use = Client Authentication (t.i. autentifikācijas sertifikāts), bet parakstīšanai vajadzētu izmantot sertifikātu ar Intended Use = Document Signing (t.i. kvalificētais sertifikāts) – tā ka izskatās, ka šī patreizējā programmatūras versija nepārbauda, vai tiek izmantots pareizais sertifikāta veids paraksta radīšanai.

Kā solīju beidzot arī uzzinam parakstītāja pilno vārdu un uzvārdu:

Tālāk mēs redzam, kā e-pasts tiek nosūtīts kolēģim no Microsoft:

Savukārt nākamajā kadrā mēs redzam, ka īstenībā e-pasts ir nosūtīts pašam sev – laikam pa vidu kaut kādi kadri ir izdzēsti.

Bet galvenais, ko šeit ieraugam, it tas, ka tas viss ir noticis 31. jūlijā, kas arī izskaidro to, kāpēc izmantoti testa sertifikāti, jo tajā laikā nekādi īstie sertifikāti vēl nebija.

Nu tad cerēsim, ka eDoc Signer Final Edition strādās korekti un atzīs par labu esam tikai īstos kvalificētos sertifikātus nevis testa sertifikātus, kā arī cerēsim, ka šis video iedvesmos izveidot eDoc Signer ne tikai Windows platformai, bet arī Mac un Linux platformām 🙂


Testējam e-me

08.10.2006

No 4. oktobra mums beidzot ir pieejams ilgi gaidītais e-paraksts, jeb precīzāk izsakoties pakalpojumus ir sācis sniegt vienīgais Latvijā akreditētais uzticams sertifikācijas pakalpojumu sniedzējs (USPS) Latvijas Pasts.

Tā kā PKI lietas mani jau sen ir interesējušas, tad noteikti tuvākajā laikā arī iegādāšos savu e-paraksta digitālo sertifikātu, bet kamēr nāksies pagaidīt solītas pāris nedēļas līdz sertifikātu kartes saņemšanai, tikmēr iepazinos, kas ir pieejams pakalpojumu sniegšanas mājas lapā www.e-me.lv.

Tā kā termiņi bija degoši, tad saprotams un piedodami, ka sākotnējā web lapā bija daudzas nepilnības – lapās ir vairāki nestrādājoši linki, lapas ir tikai latviešu valodā (kaut gan augšā ir arī nestrādājoša izvēle pāriet uz angļu vai krievu valodu), ir tukšas informācijas sadaļas ar nosaukumiem “Atbalstītie lasītāji”, “Izstrādātājiem”, “Programmatūra”.

Bet bez šiem nepilnībām ir arī dažas būtiskākas, kuras akreditētam sertifikācijas pakalpojumu sniedzējam nedrīkstētu būt:

  • Sadaļā USPS politikas un noteikumi šie politikas dokumenti ir tikai angliski. Manuprāt, Latvijā akreditētam USPS ir jānodrošina šie dokumenti valsts valodā.
  • USPS politikās ir norādītas nestrādājošas saites http://www.e-me.lv/repository (kur būtu jābūt pieejamām visām politikām un USPS sertifikātiem) un http://www.e-me.lv/download (kur jābūt pieejamai brīvi piejamai programmatūrai)
  • Web lapās nevar nekur atrast TSA (time stamping authority) sertifikātu – tas rada aizdomas, ka laika zīmoga serviss vēl joprojām nav publiski pieejams

Tālāk papētīju iespējas, kā iespējams sameklēt izsniegtos sertifikātus. Viena iespēja ir izmantot sertifikātu meklēšanas web formu. Tajā ir iestrādāti kritēriji, ka lai sameklētu kādas personas sertifikātu jānorāda gan vārds, gan uzvārds, gan personas kods vai sertifikāta numurs – doma šādiem obligātajiem kritērijiem laikam bija tāda, lai kurš katrs nevarētu pēc personas vārda vai uzvārda noskaidrot personas kodu (kas ir iekļauts digitālajā sertifikātā).

Bet tajā pašā laikā pieeja pie sertifikātu meklēšanas ir arī caur publisku LDAP servisu ldap://e-me.lv un kā pārliecinājos, tur nav nekādi ierobežojumi pēc meklēšanas kritērijiem (ir vienīgi ierobežojums, ka tiek atgriezti tikai pieci pirmie rezultāti). Daži URLu piemēri, kurus varat izmēģināt ierakstot savā browserī:

  • ldap://e-me.lv/c=LV??sub?(cn=Aigars%20*tis)
    Atradīs personas, kuriem vārds ir “Aigars” un uzvārds beidzas ar “tis”
  • ldap://e-me.lv/c=LV??sub?(serialNumber=2706*)
    Atradīs personas, kurām dzimšanas diena ir 27. jūnijā
  • ldap://e-me.lv/c=LV??sub?(mail=*@mk.gov.lv)
    Atradīs personas, kurām e-pasts ir ar norādīto domēnu.

Piesakoties uz e-paraksta sertifikātiem pieteikšanās anektā skaidri ir ierakstīts, ka “Dodu savu atļauju manu personas datu iekļaušanai kvalificētā sertifikātā, kā izmantošanas gadījumā dati kļūs pieejami trešajām personām”, kā arī ir checkbox par to, ka piekrīt, ka sertifikāts tiek publicēts. Bet droši vien ne visi apzinās, ka līdz ar to viņi jebkuram interesentam internetā padara pieejamu savu vārdu, uzvārdu, personas kodu (no kā var noskaidrot dzimšanas datumu un vecumu) un norādīto e-pasta adresi.
Ja piepildīsies LP prognozes par to, ka drīzumā e-paraksta sertifikātu kartes iegādāsies daudzi desmiti vai pat simti iedzīvotāji, tad viņu LDAP serviss varētu būt ideāla datubāze e-pasta spameriem. Ņemot vērā, ka izsniegto sertifikātu numuri iet secīgi uz priekšu, tad būtu ļoti viegli uztaisīt programmiņu, kas iegūst visu sertifikātu īpašnieku vārdus, uzvārdus, dzimšanas datus un e-pasta adreses. Un tas viss par brīvu velti 🙂

Patreizējā brīdī mana pirmā rekomendācija būtu nenorādīt e-paraksta iesniegumā savu e-pasta adresi, ja jūs nevēlaties nokļūt kādā jaunā spama datubāzē. Savukārt LP būtu ierosinājums padomāt par iespējām samazināt LDAP direktorijā publicējamās informācijas apojomu un arī tur ieviest stingrākus kritērijus uz informācijas meklēšanu.

Nobeigumā gribēju vēl piebilst, ka atradu arī vecāko e-paraksta sertifikātu ieguvēju – ldap://e-me.lv/c=LV??sub?(serialNumber=111111-11111) – pilsoni SuperUser SuperUser, ar personas kodu 111111-11111 (tātad dzimis 1911. gadā) un kurš vēl joprojām strādā LP Sertifikācijas pakalpojumu dienestā. Tā kā šis sertifikāts tiek atzīts par derīgu arī e-me sertifikātu pārbaudes lapā, tad laikam tas tiešām nozīmē, ka nemirstīgais Supermens ir pārcēlies dzīvot pie mums 🙂