Zakaj FURS strankam priporoča uporabo varnostno ranljivih brskalnikov

Finančna uprava je v začetku marca razburila z nasvetom, naj uporabniki Mac in Linux operacijskih sistemov prenehajo posodabljati brskalnik Firefox. Raziskali smo, zakaj.

edavki spletna stran
Spletna stran eDavki

Tretjega marca letos je Finančna uprava (FURS) na spletni strani eDavki izdala opozorilo, da uporabniki brskalnika Firefox v informacijskih sistemih Linux in Mac od naslednje posodobitve dalje ne bodo mogli več uporabljati eDavkov.

Razlog za to so bile spremembe v brskalniku, ki so onemogočile delovanje tako imenovane podpisne komponente sistema eDavki. Podpisna komponenta je programska koda, ki uporabniku eDavkov omogoča, da s svojim unikatnim ključem (na primer Sigenco) elektronsko podpiše nek dokument. Tako program ve, da je avtor dokumenta prav ta uporabnik in ne nekdo drug.

FURS je strankam, ki v operacijskih sistemih Mac in Linux za dostop do eDavkov uporabljajo brskalnik Firefox, svetoval, naj preprečijo posodabljanje brskalnika. Z drugimi besedami: FURS je strankam svetoval, naj se izpostavijo varnostnim ranljivostim.

»Pravočasno posodabljanje programske opreme je eden od osnovnih mehanizmov zagotavljanja varnosti pri uporabi interneta. Brskalnik s svojimi vtičniki je pogosto prva tarča različnih izrab ranljivosti ob brskanju (za kar obstajajo na črnem trgu prave orodjarne – exploit toolkits). Ob izklopu posodabljanja se namreč s časom neizogibno povečuje tudi tveganje uporabnika,« je za podcrto.si poudaril Gorazd Božič, vodja nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij (SI-CERT). Neposodabljanje brskalnika je možen le kot skrajni in začasni ukrep, dodaja Božič, »ob čemer pa bi bilo smiselno uporabiti neposodobljeno kopijo brskalnika le za uporabo na eDavkih (s tem se bistveno zmanjša, a teoretično ne nujno tudi povsem odpravi tveganje), posodobljen brskalnik pa uporabljati za splošno brskanje«.

Za komponente več kot 100.000 evrov

Zakaj so na FURS strankam dali nasvet, naj se z neposodabljanjem brskalnika izpostavijo varnostnim ranljivostim?

Mozilla je že leta 2015 napovedala spremembe v brskalniku Firefox, ki so začele veljati marca letos in nekaterim strankam FURS onemogočile uporabo eDavkov. Kot so nam sporočili s FURS, se zavedajo varnostnih tveganj neposodobljenega brskalnika. Leta 2015 so že primerno priredili podpisno komponento za uporabnike Firefoxa v operacijskem sistemu Windows.

Niso pa priredili podpisne komponente za uporabnike sistemov Linux in Mac. Zakaj ne, niso odgovorili. Povedali pa so, da je »razvoj podpisne komponente za brskalnike na OS Linux in Mac v polnem teku, seveda pa moramo pri tem upoštevati tudi čas, ki je potreben za testiranja na zadnjih verzijah in različicah brskalnikov, s čimer se izognemo nejevolji uporabnikov in večkratnemu nameščanju opreme zaradi nekompatibilne programske opreme«.

Na FURS še zagotavljajo, da bodo podpisno komponento priredili do konca letošnjega aprila ali začetka maja.

Nadgradnje podpisnih komponent za sistem eDavki za FURS opravlja podjetje Comtrade. Med letoma 2014 in 2016 je FURS Comtradu za nadgradnje plačal skupno 127.086 evrov. Za priredbo komponente brskalnika Firefox v operacijskih sistemih Linux in Mac bo FURS podjetju letos plačal še 20.000 evrov.

Ranljivi tudi eDavki

Težava FURS pa niso le podpisne komponente. Kot smo opozorili že aprila 2014, je (pre)slabo varnostno zaščiten tudi sam portal eDavki.

Na testu varnosti na spletni strani SSL Labs je portal takrat dobil najslabšo oceno F. Nekaj mesecev pozneje so na FURS varnost eDavkov le nekoliko popravili – portal je dobil oceno B.

Toda, kot kaže naše zadnje preverjanje varnosti, je varnost eDavkov spet nazadovala. Na testu ta mesec so eDavki dobili oceno C. Portal namreč ne podpira uporabe edinega varnega protokola za prenos šifriranih podatkov po spletu, imenovanega TLS 1.2.

test2017
Trenutna ocena eDavkov. Vir: SSL Labs

Zakaj je varnost portala eDavki spet nazadovala? FURS ima razvito novo verzijo eDavkov, ki ima najboljšo možno oceno A+, so nam odgovorili s finančne uprave. Vendar te verzije ne morejo dati v uporabo javnosti. Kot gre sklepati z odgovora FURS, je razlog v tem, da eDavke uporabljajo tudi nekatere druge državne institucije. V primeru dviga varnosti portala pa te institucije portala ne bi mogle več uporabljati, saj »še nimajo tehnoloških zmožnosti komunikacije z eDavki [z najboljšo verzijo protokola za prenos šifriranih podatkov po spletu TLS 1.2]«.

Ta odgovor FURS je skrb vzbujajoč. Kaže namreč, da tudi druge institucije državne uprave uporabljajo varnostno zastarelo tehnologijo. Da informacijska varnost javne uprave »drvi proti katastrofi« je sicer že aprila 2014 opozoril strokovnjak z direktorata za informatiko in e-storitve notranjega ministrstva Damjan Marinšek.

edavki beta 2017
Varnost beta verzije eDavkov. Vir: SSL Labs

Nastanek tega članka ste omogočili bralci z donacijami. Podpri Pod črto

Deli zgodbo 1 komentar



Več iz teme: Komunikacijska varnost

Kako varno je naše komuniciranje z drugimi prek spleta, telefona in ostalih komunikacijskih kanalov? Preverjamo varnost različnih oblik komunikacije.

36 prispevkov

Kdo je odgovoren za slabo informacijsko varnost na UKC Ljubljana

UKC Ljubljana je slabo zavaroval podatke o zdravstvenem stanju posameznikov. Pooblaščenec za informacijsko varnost v UKC Ljubljana je nekdanji direktor …

Tema: Komunikacijska varnost
Članek,

Zakaj je napadalcem uspelo vdreti v aplikacije Ajpesa

Naše raziskovanje okoliščin vdora v aplikacijo Ajpes je razkrilo, da so zadnje zunanje teste ranljivosti aplikacij pri Ajpesu opravili leta …

Tema: Komunikacijska varnost
Članek,

1 komentar

karlo 15. 3. 2017, 12.56

Vendar te verzije ne morejo dati v uporabo javnosti. Kot gre sklepati z odgovora FURS, je razlog v tem, da eDavke uporabljajo tudi nekatere druge državne institucije. V primeru dviga varnosti portala pa te institucije portala ne bi mogle več uporabljati, saj »še nimajo tehnoloških zmožnosti komunikacije z eDavki [z najboljšo verzijo protokola za prenos šifriranih podatkov po spletu TLS 1.2]«.

Tole je precej tvegana izjava, predvsem tole, kar je dano v oglati oklepaj (če razumem pravilno je to komentar novinarja članka). Ko se dodaja TLS 1.2 na spletni strežnik, se priporoča, da se poleg le-tega vključita še dva strarejša protokola TLS 1.1 in TLS 1.0 (le-ta je sedaj vključen), potem pa najnovejši brskalniki uporabljaljo TLS 1.2, dočim prastari (ki tako in tako niso uradno več podprti s strani eDavkov), pa uporabljajo starejše brskalnike. Tako je zelo velika večina ljudi zaščitenih. Na http://beta.edavki.durs.si je lepo vidno, da so vključeni vsi trije protokoli.

Če pogledamo zgodovino TLS protokola: https://www.feistyduck.com/ssl-tls-and-pki-history/ vidimo, da je TLS 1.2 uradno bil definiran leta 2008. Chrome je podprl protokol TLS 1.2 leta 2013, dočim Firefox leta 2014.

Po moje novinarjev sklep, da je težava v TLS 1.2 (oglati oklepaj) je napačna. Težava je v tem, da za rešitev tega problema je potrebno nadgraditi spletni strežnik na navejšo različico strežnika, kar za eDavki ni težava. Zelo verjetno (sklepam), pa na tem strežniku tečejo še druge rešitve, ki pa imajo težave z nadgradnjo strežnika. To je problem najpočasnejšega...

Mene bi predvsem zanimalo, katere so te rešitve, ki imajo težave, ker se zelo verjetno po krivem obtožuje, da je problem pri eDavkih, ki le čakajo, da bodo vsi nadgradili sistem.

Najpomembnejše je vprašanje, zakaj je sistem narejen tako, da so eDavki odvisni od ostalih rešitev? Zakaj eDavki ne tečejo na svojem strežniku kot očitno beta.edavki.durs.si.

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

Zadnje objavljeno