Neimenovani varnostni raziskovalec, ki je tehnološki novičarski portal Slo-Tech v nedeljo kontaktiral prek omrežja Tor, je odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja Ajpes. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo Ajpesu.
Zaradi napake v podpisni komponenti obstaja možnost, da napadalec, ki ima zmožnost izvesti aktiven napad s posrednikom (t. i. MITM-napad), žrtev pretenta, da z zasebnim ključem svojega kvalificiranega digitalnega potrdila podpiše poljubno vsebino pod nadzorom napadalca, še piše portal.
Raziskovalec je tudi ugotovil, da podpisna komponenta v nekaterih primerih sploh ne podpisuje dokumentov, pač pa zgolj identifikatorje dokumentov na strežniku Ajpesa. To je po pisanju Slo-Techa problem, saj obstaja možnost, da s posegom npr. administratorja sistema oziroma kogarkoli, ki ima dostop do Ajpesove strežniške infrastrukture, identifikator dokumenta ostane isti, sam dokument na strežniku pa se spremeni.
Sistem je lahko povsem neustrezen
"Po našem mnenju ne gre samo za varnostno ranljivost, pač pa za popolnoma neustrezno implementacijo digitalnega podpisa, saj podpisna komponenta sploh ne omogoča podpisovanja dejanskih dokumentov. Če drži, da se ne podpisujejo dokumenti, pač pa le njihovi identifikatorji, je celoten sistem popolnoma neustrezen in bi ga Ajpes moral nemudoma prenehati uporabljati," je na Slo-Techu zapisal Matej Kovačič.
Pri tem se po njegovih besedah zastavi tudi vprašanje verodostojnosti in veljavnosti dokumentov, ki so že v sistemu in ki so morda bili neustrezno "podpisani". "Po našem mnenju bi bilo najbolj smiselno, da se verodostojnost in integriteto na neustrezen način podpisanih dokumentov ponovno preveri in ugotovi ali so avtentični ali pa morda spremenjeni," je še zapisal Kovačič.
V Ajpesu naj bi na vprašanja v zvezi s to zadevo odgovorili tekom današnjega dne.
Na praznik niso bili dosegljivi
To je sicer že druga varnostna problematika v zvezi z Ajpesom, ki jo je v zadnjem času razkril Slo-Tech. V začetku februarja so poročali, da jih je neimenovana oseba obvestila, da ima Ajpes na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami.
Šlo je za ranljivost, kjer je s pomočjo t. i. SQL-vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Ranljivih naj bi bilo večje število zalednih baz, ki vsebujejo tudi množico osebnih podatkov, npr. davčne številke lastnikov, zastopnikov in nadzornikov vseh poslovnih subjektov v poslovnem registru. To ranljivost naj bi bil zmožen izkoristiti vsakdo z nekaj več računalniškega znanja.
O napaki so takoj obvestili predstavnike informacijskega pooblaščenca ter vzdrževalca spletne strani, ostali morebiti zainteresirani naslovniki pa na državni praznik 8. februarja, ko je bila ranljivost razkrita, niso bili dosegljivi.
Ranljivost so odpravili
V Ajpesu so takrat pojasnili, da so bili 8. februarja v večernih urah opozorjeni na omenjeno varnostno ranljivost. Razvijalci in sistemski skrbniki so sicer grožnjo zaznali v popoldanskih urah, v večernih in jutranjih urah po razkritju pa so prepoznano ranljivost tudi odpravili.
Dodali so, da je ranljivost odkril usmerjen, načrtovan in dobro organizirani napad strokovnjakov za informacijsko varnost na spletni portal Ajpes, dobro načrtovan pa da je bil tudi čas napada - na dan kulturnega praznika. Po takratnih ocenah Ajpesa je velika verjetnost, da je ranljivost izrabil zgolj napadalec, katerega cilj naj bi bil očitno opozoriti institucije javnega sektorja na ranljivosti v programski opremi.
V preiskavo okoliščin in obsega incidenta, ki je še v teku, sta vključena urad Informacijskega pooblaščenca in slovenski nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT. Glede na rezultate preiskave bodo sprejeli vse potrebne ukrepe, da se kaj podobnega ne bi več zgodilo, so še poudarili v Ajpesu in dodali, da si sicer ves čas prizadevajo za zagotavljanje potrebne stopnje kibernetske varnosti.
dezurni@zurnal24.si
Praktično z vsemi javnimi portali so težave in praktično vsak imajo neko svojo podpisno komponento, ki enkrat ne deluje, drugič deluje v enem brskalniku, tretjič v drugem in podobno. Pri vsakem opozorilu, da je to nepraktično in neproduktivno, njihove tehnične… ...prikaži več službe odgovorijo naj se obrnemo na odgovorne. Ja madona, kdo so pa oni?! nenazadnje so plačana tehnična podpora in naj oni zadeve posredujejo naprej! V glavnem, s temi podpisnimi komponentami je cela šatal in prav nobena ni prijazna uporabniku v domenskem okolju. Sploh nočem razmišljat o milijonskih vrednostih teh portalov, kjer bi večina porazno pogorela že na osnovnem merjenju uporabnosti za katerega verjetno še slišali niso.
khm..... preden daš tak sistem v uporabo vse 5x preveris. Vsaj pravi maherji. banana rep..