Durs kljub obljubi ni popravil varnosti spletnega portala, MNZ odpravil najhujše ranljivosti

Po naših razkritjih katastrofalne varnosti spletnih portalov davkarije in notranjega ministrstva so varnost delno izboljšali le pri slednjem. Durs pa je obljube o izboljšavi portalov prelomil.

Pred tremi meseci je strokovnjak za informacijsko varnost odkril hude ranljivosti spletnih portalov davčne uprave in notranjega ministrstva. Ranljivosti so omogočale krajo osebnih podatkov uporabnikov storitev in celo krajo identitete uporabnikov. Obe inštituciji sta nam takrat obljubili, da bosta ranljivosti odpravili v dveh mesecih. Davčna uprava je obljubo snedla, ministrstvo pa jo je le delno izpolnilo

edavki2
Spletna stran eDavki.

Tako davčna uprava RS (Durs) kot ministrstvo za notranje zadeve (MNZ) sta imela pred tremi meseci varnostno tako ranljive strežnike, da je strokovnjak za informacijsko varnost Matej Kovačič varnost spletnih portalov obeh inštitucij opisal kot katastrofalno (v kolikor Kovačičeve analize niste prebrali, vam toplo priporočamo, da jo preberete, še preden nadaljujete z branjem tega prispevka).

Durs in MNZ sta se takrat ob vprašanjih novinarjev Slovenske tiskovne agencije, ali sta njuni spletni mesti varni pred heartbleed ranljivostjo, javno pohvalila z varnostjo svojih spletnih portalov. Glede na takratno izjavo predstavnikov MNZ so bili »informacijski sistemi slovenske javne uprave varni pred morebitnimi zlorabami, saj pomanjkljivega šifrirnega mehanizma OpenSSL ne uporabljajo«. Po pojasnilih Dursa pa varnost njihovega spletnega mesta ni bila ogrožena, zato v »v zvezi s tem nimajo nobenih težav«.

Obe trditvi sta bili daleč od resnice. Res je sicer, da spletna portala obeh inštitucij nista trpela zaradi heartbleed ranljivosti. Sta pa zato imela mnogo drugih.

Spletni portal Dursa eDavki, prek katerega uporabniki dacarjem sporočajo svoje davčne podatke, je uporabljal neprimerno digitalno potrdilo. Poleg tega je uporabljal zastarel kriptografski protokol, omogočal je ponovno pogajanje za vzpostavitev SSL seje s strani odjemalca, in bil ranljiv na tako imenovan BEAST napad. Za temi tehničnimi izrazi se skrivajo dejanska tveganja za uporabnika portala – omenjene pomanjkljivosti omogočajo krajo podatkov, ki jo uporabnik sporoča Dursu, in celo krajo identitete uporabnika. S slednjo lahko napadalec Dursu sporoča lažne podatke svoje žrtve (za podrobnejši opis nepravilnosti vas ponovno vabimo k branju Kovačičeve analize).

Durs smo pred tremi meseci soočili s Kovačičemi ugotovitvami. Odgovorili so nam: »V zvezi z vašimi vprašanji sporočamo, da v Davčni upravi RS veliko pozornost namenjamo varnosti elektronskega davčnega poslovanja. V skladu z možnostmi, ki jih imamo, se stalno prilagajamo novostim in trendom na tem področju. Obenem pa se zavedamo, da je kljub stalnemu trudu še vedno prostor za izboljšave, ki bi to varnost še utrdile. V Davčni upravi RS ravno v tem času izvajamo teste na novi strojni in programski opremi, ki bo dodatno izboljšala varnost na področju elektronskega poslovanja. Implementacijo delovanja na novi opremi pričakujemo v kratkem.«

Na naše dodatno vprašanje, kdaj lahko omenjene izboljšave pričakujemo, so nam zagotovili, da najpozneje v dveh mesecih.

A kot kaže, omenjena strojna in programska oprema ni obrodila želenih sadov. Mateja Kovačiča smo namreč prosili za ponovno analizo varnosti portalov Dursa in MNZ. Kot ugotavlja Kovačič, je varnost Dursovega portala enako slaba kot pred tremi meseci. Odpravili niso namreč niti ene varnostne ranljivosti. Zato si je tudi na tokratnem testu varnosti portal prislužil oceno F, ki je najnižja možna. Davčna uprava je tako snedla obljubo, ki so jo dali podcrto.si. Slaba varnost še naprej omogoča prestrezanje podatkov, pa tudi krajo identitete uporabnikov spletnega portala eDavki.

durs2
Spletni portal davčne uprave si je prislužil najnižno možno oceno varnosti.

Spletnega portal notranjega ministrstva, eUprava, je imel pred tremi meseci še hujše varnostne pomanjkljivosti. S portalom eDavki si je delil vse varnostne ranljivosti razen ponovnega pogajanja za vzpostavitev SSL seje. Imel pa je še dodatne: podpiral je močno zastarel in ranljiv protokol SSL 2 in omogočal uporabo celo skrajno zastarelih šifrirnih algoritmov z zgolj 40-bitnim šifrirnim ključem, ki ga je mogoče relativno hitro razbiti (sodobna spletna mesta uporabljajo 128 ali 256-bitne ključe).

Portal je bil po zagotovilih MNZ pred tremi meseci v fazi popolne prenove, v okviru katere so napovedali določene izboljšave varnosti.

MNZ je zadnji dve ranljivosti po Kovačičevih ugotovitvah odpravil, ostalih pa ne. Napad na spletno stran eUprave in s tem kraja podatkov oziroma celo identitete uporabnika portala so tako oteženi, a še vedno mogoči.

mnz2
Spletni portal MNZ je izboljšal svojo varnost, vendar so napadi nanj še vedno mogoči.

Kovačičeva razkritja izredno slabe varnost so tako imela polovičen, ali bolje rečeno, četrtinski učinek. Durs ni kljub obljubam odpravil niti ene pomanjkljivosti, MNZ pa le najhujše. Na obe inštituciji se bomo obrnili z dodatnimi vprašanji o njihovih namerah za izpolnitev obljub glede izboljšanja varnosti svojih portalov in odgovore nato tudi objavili.

Nastanek tega članka ste omogočili bralci z donacijami. Podpri Pod črto

Deli zgodbo 2 komentarja



Več iz teme: Komunikacijska varnost

Kako varno je naše komuniciranje z drugimi prek spleta, telefona in ostalih komunikacijskih kanalov? Preverjamo varnost različnih oblik komunikacije.

36 prispevkov

Kdo je odgovoren za slabo informacijsko varnost na UKC Ljubljana

UKC Ljubljana je slabo zavaroval podatke o zdravstvenem stanju posameznikov. Pooblaščenec za informacijsko varnost v UKC Ljubljana je nekdanji direktor …

Tema: Komunikacijska varnost
Članek,

Zakaj FURS strankam priporoča uporabo varnostno ranljivih brskalnikov

Finančna uprava je v začetku marca razburila z nasvetom, naj uporabniki Mac in Linux operacijskih sistemov prenehajo posodabljati brskalnik Firefox.

Tema: Komunikacijska varnost
Članek,

2 komentarja

Naključni mimoidoči 19. 7. 2014, 10.29

Kot kaže, se analizo najverjetneje delali z brskalnikom Firefox, ki ne zaupa SIGEN-CA kot izdajatelju digitalnih potrdil.
Posledica tega je ocena "F"; če bi isti preizkus naredili npr. z Internet Explorerjem, bi bila v primeru e-uprava ocena "B", enak učinek bi dosegli tudi, če bi v svojem brskalniku dodali SIGEN-CA med zaupanja vredne izdajatelje potrdil.

Anže Voh Boštic 31. 7. 2014, 15.56

Smo upoštevali tudi to. Aprila sta imela oba portala oceno F, četudi učinka certifikata nismo upoštevali.

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

Zadnje objavljeno