Po objavljeni analizi varnostnih ranljivosti spletnih portalov eDavki in eUprava oba upravljavca portalov napovedujeta izboljšave. Notranje ministrstvo obenem trdi, da varnost portalov ni tako slaba, kot jo je opisal strokovnjak Matej Kovačič. A Kovačič opozarja na lahkotnost pojasnil ministrstva.

Na velike varnostne ranljivosti portalov eDavki in eUprava je na spletni strani podcrto.si prejšnji teden opozoril strokovnjak za informacijsko varnost Matej Kovačič. Oba portala zaradi neprimernih varnostnih nastavitev omogočata več različnih vrst napadov hekerjev, s katerimi lahko napadalci uporabnikom portala prestrezajo podatke ali jim celo ukradejo spletno identiteto.

Portal eDavki ima tako neprimerno digitalno potrdilo, kar hekerjem omogoča, da ustvarijo lažno spletno stran z identično vsebino, na katero nato preusmerijo nič hudega slutečo žrtev. Ker slednja misli, da še kar komunicira z davčno upravo, bo napadalcu izdala občutljive davčne podatke. Zaradi neprimernih varnostnih nastavitev na strežnikih pa lahko napadalec žrtvi celo ukrade identiteto in tako portalu eDavki posreduje drugačne podatke, kot bi si to želela žrtev napada.

Podobne ranljivosti, ki omogočajo tako prestrezanje podatkov kot tudi krajo identitete, ima tudi portal eUprava. Ta obenem uporablja tudi skrajno zastarel šifrirni protokol, zastarele šifrirne algoritme ter prekratke šifrirne ključe, zaradi česar bi ustrezno opremljen napadalec lahko uspel dešifrirati sicer šifriran promet med žrtvijo in portalom.

Zaradi ugotovljenih ranljivosti smo za komentar zaprosili davčno upravo, ki je upravljavec portala eDavki, in notranje ministrstvo, ki upravlja portal eUprava.

Durs se zaveda »prostora za izboljšave«

»V zvezi z vašimi vprašanji sporočamo, da v Davčni upravi RS veliko pozornost namenjamo varnosti elektronskega davčnega poslovanja. V skladu z možnostmi, ki jih imamo, se stalno prilagajamo novostim in trendom na tem področju. Obenem pa se zavedamo, da je kljub stalnemu trudu še vedno prostor za izboljšave, ki bi to varnost še utrdile. V Davčni upravi RS ravno v tem času izvajamo teste na novi strojni in programski opremi, ki bo dodatno izboljšala varnost na področju elektronskega poslovanja. Implementacijo delovanja na novi opremi pričakujemo v kratkem,« so nam odgovorili z Dursa.

Na naše dodatno vprašanje, kdaj lahko omenjene izboljšave pričakujemo, so nam zagotovili, da najpozneje v dveh mesecih. Zato bomo takrat ponovno preverili varnost portala.

Notranje ministrstvo pa je za razliko od Dursa izrazilo nestrinjanje z določenimi ugotovitvami strokovnjaka Mateja Kovačiča. Kot so zapisali, so z navedenimi pomanjkljivostmi portala eUprava seznanjeni, vendar varnost portalov ni tako slaba, kot jo prikazuje Kovačič. Portal eUprava je sicer po besedah ministrstva precej star in je trenutno v fazi popolne prenove. »Aktivnosti za vpis korenskih potrdil tečejo, tako preslepitve s podobnimi portali ne bodo več možne. Primerov z zlorabo uporabnikov portalov eUprave in eDavki ne poznamo. Zloraba bi bila mogoča le v primeru, da je napadalec v istem omrežju kot uporabnik naših storitev. Ker uporabniki praviloma storitve opravljajo iz zasebnih in ne državnih omrežij, so možnosti zlorabe znatno zmanjšane. Ob načrtu prenove portala e-uprava pa smo in bomo še izvedli nekaj dodatnih aktivnosti za izboljšavo varnosti.«

Na naše vprašanje, kdaj bodo izvedene dodatne aktivnosti za izboljšanje varnosti, so nam z ministrstva odgovorili, naj varnost njihovih spletnih strani preverjamo kar sproti.

Lahkotna pojasnila ministrstva

Odgovor ministrstva, da so se zavedali omenjenih varnostnih pomanjkljivosti, a do zdaj niso ukrepali, že sam po sebi pove dovolj o odnosu ministrstva do zagotavljanja varnosti za uporabnike njihovega portala, poudarja Matej Kovačič. Ob tem opozarja, da se da ugotovljene pomanjkljivosti odpraviti relativno enostavno in z nizkimi stroški, saj gre predvsem za vprašanje ustreznih nastavitev strežnika. A tega kljub dejstvu, da gre za prenos občutljivih podatkov, na ministrstvu do danes niso naredili.

Zloraba varnostnih pomanjkljivosti spletne strani eUprava tudi ni tako nemogoča, kot želi to predstaviti notranje ministrstvo, meni Kovačič. V praksi ne prihaja tako redko do situacij, da je napadalec v istem omrežju kot žrtev. Tipičen primer so uporabniki kabelskih modemov (internet prek kabelske televizije), saj se več izmed njih nahaja na istem delu omrežja. To pa v praksi pomeni, da lahko napad izvede nekdo iz sosedne stavbe ali nekdo, ki prebiva oziroma se na omrežje poveže v istem bloku kot žrtev. Tehnične podrobnosti in video s praktičnim prikazom takšnega napada je že prikazan na blogu Infosec.si. Napad je možen tudi, če se napadalec lahko poveže na brezžično omrežje, na katerem se nahaja tudi žrtev. Lahko pa ima napadalec tudi oddaljen ali fizičen dostop do omrežne opreme uporabnika ali pa dostop do vozlišč oziroma usmerjevalnikov, prek katerih se žrtev povezuje s ciljnim strežnikom. Še posebej problematična pa so različna službena omrežja ali omrežja v kakšnih študentskih domovih, kjer je v primeru neustrezne konfiguracije omrežne opreme prestrezanje internetnih komunikacij razmeroma enostavno.

Portal eDavki je namenjen elektronskemu oddajanju davčnih obrazcev podjetij in posameznikov, na primer napovedi za odmero dohodnine ali obrazcev za plačilo DDV. Prek portala eUprava pa lahko posamezniki in podjetja elektronsko koristijo določene storitve javne uprave.