Ajpes ima varnostni problem

Foto: Profimedia
Foto: Profimedias
Portal Slo-Tech je razkril, da se je nanje obrnil neimenovan varnostni raziskovalec, ki je odkril več resnih varnostnih ranljivosti na spletišču Agencije RS za javnopravne evidence in storitve (Ajpes). Gre že za drugo varnostno problematiko v zvezi z Ajpesom.
Oglej si celoten članek

Neimenovani varnostni raziskovalec, ki je tehnološki novičarski portal Slo-Tech v nedeljo kontaktiral prek omrežja Tor, je odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja Ajpes. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo Ajpesu.

Zaradi napake v podpisni komponenti obstaja možnost, da napadalec, ki ima zmožnost izvesti aktiven napad s posrednikom (t. i. MITM-napad), žrtev pretenta, da z zasebnim ključem svojega kvalificiranega digitalnega potrdila podpiše poljubno vsebino pod nadzorom napadalca, še piše portal.

Raziskovalec je tudi ugotovil, da podpisna komponenta v nekaterih primerih sploh ne podpisuje dokumentov, pač pa zgolj identifikatorje dokumentov na strežniku Ajpesa. To je po pisanju Slo-Techa problem, saj obstaja možnost, da s posegom npr. administratorja sistema oziroma kogarkoli, ki ima dostop do Ajpesove strežniške infrastrukture, identifikator dokumenta ostane isti, sam dokument na strežniku pa se spremeni.

Sistem je lahko povsem neustrezen

"Po našem mnenju ne gre samo za varnostno ranljivost, pač pa za popolnoma neustrezno implementacijo digitalnega podpisa, saj podpisna komponenta sploh ne omogoča podpisovanja dejanskih dokumentov. Če drži, da se ne podpisujejo dokumenti, pač pa le njihovi identifikatorji, je celoten sistem popolnoma neustrezen in bi ga Ajpes moral nemudoma prenehati uporabljati," je na Slo-Techu zapisal Matej Kovačič.

Pri tem se po njegovih besedah zastavi tudi vprašanje verodostojnosti in veljavnosti dokumentov, ki so že v sistemu in ki so morda bili neustrezno "podpisani". "Po našem mnenju bi bilo najbolj smiselno, da se verodostojnost in integriteto na neustrezen način podpisanih dokumentov ponovno preveri in ugotovi ali so avtentični ali pa morda spremenjeni," je še zapisal Kovačič.

V Ajpesu naj bi na vprašanja v zvezi s to zadevo odgovorili tekom današnjega dne.

Na praznik niso bili dosegljivi

To je sicer že druga varnostna problematika v zvezi z Ajpesom, ki jo je v zadnjem času razkril Slo-Tech. V začetku februarja so poročali, da jih je neimenovana oseba obvestila, da ima Ajpes na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami.

Šlo je za ranljivost, kjer je s pomočjo t. i. SQL-vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Ranljivih naj bi bilo večje število zalednih baz, ki vsebujejo tudi množico osebnih podatkov, npr. davčne številke lastnikov, zastopnikov in nadzornikov vseh poslovnih subjektov v poslovnem registru. To ranljivost naj bi bil zmožen izkoristiti vsakdo z nekaj več računalniškega znanja.

O napaki so takoj obvestili predstavnike informacijskega pooblaščenca ter vzdrževalca spletne strani, ostali morebiti zainteresirani naslovniki pa na državni praznik 8. februarja, ko je bila ranljivost razkrita, niso bili dosegljivi.

Ranljivost so odpravili

V Ajpesu so takrat pojasnili, da so bili 8. februarja v večernih urah opozorjeni na omenjeno varnostno ranljivost. Razvijalci in sistemski skrbniki so sicer grožnjo zaznali v popoldanskih urah, v večernih in jutranjih urah po razkritju pa so prepoznano ranljivost tudi odpravili.

Dodali so, da je ranljivost odkril usmerjen, načrtovan in dobro organizirani napad strokovnjakov za informacijsko varnost na spletni portal Ajpes, dobro načrtovan pa da je bil tudi čas napada - na dan kulturnega praznika. Po takratnih ocenah Ajpesa je velika verjetnost, da je ranljivost izrabil zgolj napadalec, katerega cilj naj bi bil očitno opozoriti institucije javnega sektorja na ranljivosti v programski opremi.

V preiskavo okoliščin in obsega incidenta, ki je še v teku, sta vključena urad Informacijskega pooblaščenca in slovenski nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT. Glede na rezultate preiskave bodo sprejeli vse potrebne ukrepe, da se kaj podobnega ne bi več zgodilo, so še poudarili v Ajpesu in dodali, da si sicer ves čas prizadevajo za zagotavljanje potrebne stopnje kibernetske varnosti.

dezurni@zurnal24.si

Obišči žurnal24.si

Komentarjev 3

  • 08:35 1. Marec 2017.

    Praktično z vsemi javnimi portali so težave in praktično vsak imajo neko svojo podpisno komponento, ki enkrat ne deluje, drugič …

  • 15:25 28. Februar 2017.

    khm..... preden daš tak sistem v uporabo vse 5x preveris. Vsaj pravi maherji. banana rep..

Več novic

Zurnal24.si uporablja piškotke z namenom zagotavljanja boljše uporabniške izkušnje, funkcionalnosti in prikaza oglasnih sistemov, zaradi katerih je naša storitev brezplačna in je brez piškotkov ne bi mogli omogočati. Če boste nadaljevali brskanje po spletnem mestu zurnal24.si, sklepamo, da se z uporabo piškotkov strinjate. Za nadaljevanje uporabe spletnega mesta zurnal24.si kliknite na "Strinjam se". Nastavitve za piškotke lahko nadzirate in spreminjate v svojem spletnem brskalniku. Več o tem si lahko preberete tukaj.