KORMÁNYABLAK, ÜGYFÉLKAPU - A ZÁRT AJTÓK MÖGÖTT... (nem hivatalos e-kormányzati témájú oldal)
BEMUTATKOZÁS
E-KÖZIGAZGATÁS
IT BIZTONSÁG
		Mottó: Elszálltak a felhők, tiszta lett az ég, De a zúgó vihar visszajöhet még. /Illés: Elvonult a vihar/ 2011. május 1.       Viharfelhők a dobozok felett         Az e-közigazgatás és a "cloud" kapcsolata, mint költségcsökkentési lehetőség gyakran elhangzik napjainkban. Egy ilyen "felhőt" lehet használni adattárolásra, számítási műveletek elvégzésére, fejlesztési vagy tesztelési környezet kialakítására, azaz elég rugalmasan, sokféle dologra. Annak ellenére, hogy az adattárolás egységre vetített ára nyilvánvalóan egyre inkább csökken, a folyamatosan növekvő adatmennyiségek miatt azonban mégis szükség van, szükség lehet olcsó, hatékony tárhelyekre. A külső tárolás oka lehet egyszerű adattovábbítás (e-mail csatolmányba már nem fér bele az állomány), adatmegosztás, archiválás. Egyszerű esetekhez pl. letöltéshez eddig elegendő volt egy RapidShare vagy ToldACuccot oldalra felküldeni a nagyméretű állományt. Ma már azonban léteznek univerzálisabb megoldások is, amelyekkel akár egy mappánk teljes tartalmát elérhetővé tudjuk tenni külső URL-eken, ezekben HTML tartalmat megadva akár egy egyszerűbb honlapot is ki lehet tenni egy SugarSync vagy Dropbox segítségével. A statisztikai adatok szerint elsősorban a Dropbox térnyerése figyelhető meg (amely egyébként az Amazon S3-at használja), éppen ezért érdemes odafigyelni a hozzá kapcsolódó hírekre is. Nemrég jelent meg a hír miszerint a Dropbox kliensek hitelesítéséhez minden adat kinyerhető a "config.db" állományból, ami a felhasználói profilon belül az "/Application Data/Dropbox" mappában található. Ezekhez természetesen az alkalmazásnak hozzá kell férnie, baj akkor lehet belőle, ha más is bele tud nézni az SQLite adatbázisba, ehhez azonban olyan csillagállás is kell. Eltekintve attól, hogy mennyire könnyű vagy nehéz hozzáférni a kérdéses állományhoz, érdemes megvizsgálni, hogy miképp működik a Dropbox felhasználói hitelesítést megvalósító modulja a "cloud" felé. A "config.db" állományba könnyen belenézhetünk, elég hozzá egy SQLite alkalmazást letöltenünk. Az adatbázis betöltése után máris le lehet kérdezni a táblák neveit. A Dropbox egy "config" nevű táblában tárolja a megosztott állományaink nevei mellett a felhasználói hitelesítéshez szükséges adatokat is, jelen esetben egy tanúsítványt (nyilvános kulcsot) és a hozzá tartozó RSA titkos kulcsot jelszó (rejtjelezés) nélkül. A tanúsítvány (nyilvános kulcs) és titkos kulcs kimentése után OpenSSL segítségével össze lehet ezeket gyúrni egy PKCS#12 (.p12 vagy .pfx) állománnyá. Jelszót nem kell megadni, hiszen az RSA titkos kulcs nincs rejtjelezve az adatbázisban. A .p12 vagy .pfx állományt már lehet telepíteni a tanúsítványtárba és meg lehet vizsgálni a tartalmát. Maga a jelszó nélküli kulcshasználat nem újdonság, hiszen a Linux-világban a háttérben futó script-ek, amelyek pl. egyik gépről másik gépre belépve végeznek el valamit (pl. backup állományok másolása scp-vel) szintén jelszó nélküli SSH-kulcsokat használnak. Természetesen azonnal hozzá kell tenni, hogy azokban az esetekben egy megbízható környezetből, egy megbízható entitás lép be egy megbízható gépre. A külső, "fenetudjamennyiremegbízható" felhasználó bejelentkezése már kicsit más témakör... Kérdés, hogy ennek lehet-e hátulütője...? A jelszó elhagyásával mindenesetre nincsen "tudás", csak egy RSA kulcspáron alapuló "birtok", aminek a megszerzése elegendő a sikeres belépéshez. A végső tanulság a távoli "cloud"-ban vagy akár a saját gépünkön tárolt adatok védelméhez kapcsolódóan, hogy nem érdemes ilyen-olyan állomány- vagy könyvtár-alapú hozzáférési szabályokkal bajlódnunk, a legnagyobb biztonságban még mindig akkor vannak bizalmas adataink, ha rejtjelezzük őket úgy, hogy a megfejtő, titkos kulcs ne kerüljön nyilvánosságra (pl. jelszó alapján létrehozott kulccsal rejtjelezett WinZip). Ha ezt betartjuk, akkor akár ki is kerülhetnek azok a Dropbox révén a nagyvilágba, hozzáférni úgyis csak azok fognak tudni, akiknek megadjuk a rejtjelezés megfejtéséhez szükséges adatokat. UPDATE: Az eredeti hír (Derek Newton) megjelenésének másnapján jött ki Sablefoxx-tól egy Python-ban írt alkalmazás, "dbClone" név alatt, ami automatikusan összegyűjti és kiküldi a hasznos adatokat a Dropbox-ot futtató áldozat gépéről. UPDATE: Megváltoztak a felhasználási feltételek, azaz ezentúl a bűnüldözési szervekkel is együtt fog működni a Dropbox, ha szükséges. Persze, ennek megintcsak akkor van értelme, ha a megfigyelt felhasználó nem rejtjelezetten töltötte fel dokumentumait, máskülönben egy ideig vakarhatják a fejüket a nyomozók...   vissza
			info@kormanyablak.org info@ugyfelkapu.info