Zabití bezpečnosti pilotním provozem

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 19.7.2012
Hodnocení/Hlasovalo: 1.47/57

Jistě mi dáte za pravdu, že systém základních registrů by se měl kvůli podstatě přechovávaných dat, stát jedním z nejlépe zabezpečených systémů v České republice. Jedním z předpokladů bezpečného systému je například i to, že by se běžný občan (případně útočník) neměl dostat ke konkrétním informacím o fungování systému, nebo mít dokonce přístup do kterékoliv jeho části.

Se spuštěním základních registrů k 1.7.2012 byly od samého počátku problémy. Situaci popisoval například Jiří Peterka na stránkách serveru Lupa.cz, který také ve svém článku naznačil první bezpečnostní slabiny celého systému. Aby se úředníkům dostaly do rukou všechny potřebné informace, byla na webových stránkách Czech-pointu zřízena informační služba InfoPORT, která má veškeré dostupné informace sdružovat, a která má úředníkům a administrátorům poskytovat podporu pro práci se základními registry.

Přestože se v každé publikaci o bezpečnosti dočtete o tom, že by se podrobné informace o fungování systémů neměly nikdy dostat na veřejnost, protože útočníkům poskytují cenné rady pro případné útoky, tak u nás zřejmě podobná bezpečnostní pravidla nejsou v módě. Zřejmě v rámci průhlednosti mají mít k těmto informacím přístup všichni občané, ať už je jejich motiv jakýkoliv a o fungování systému základních registrů je tak toho k nalezení poměrně dost. Na webu Správy základních registrů najdete nejrůznější informace o fungování systému, různé uživatelské a správcovské manuály, kopie úřední korespondence, nebo dokonce demo klienty (včetně jejich zdrojových kódů) pro přístup do registrů. OK, asi to u nás nikoho nezaráží…


Pojďme nyní již k samotnému InfoPORTu. Přístup do tohoto systému by měl být umožněn pouze osobám, které se základními registry pracují. V rámci pilotního provozu je ovšem umožněn přístup prakticky komukoliv skrz účet ghost.


Teoreticky by se tento přístup dal (po zavření obou očí) během pilotního provozu pochopit, protože samotný InfoPORT není vyloženě zásadním systémem. Pokud by byly jednotlivé systémy dobře odděleny, získal by případný útočník pouze představu o jeho fungování a struktuře. To by si ovšem někdo nesměl vysvětlovat pojem „pilotní provoz“ po svém. Správně by totiž během něj měly být v systému pouze demo data a testovací uživatelské účty. Teprve ve fázi zkušebního provozu by se měly vkládat data skutečná. V tomto případě se ovšem podle všeho pracuje při pilotním provozu již s ostrými daty a s desítkami již zaregistrovaných uživatelů z řad státní správy.


Co může přístupem do InfoPORTU získat útočník

Když už je tedy umožněn přístup komukoliv, pojďme do InfoPORTU nahlédnout očima případného útočníka. Vedle pěkně utříděných dokumentů týkajících se základních registrů zde případný útočník může procházet datovou strukturou pomocí directory listingu a vedle zajímavých souborů tak dokáže odhalit například uživatelská jména registrovaných uživatelů, včetně data jejich založení.


Celý průšvih tímto ale zdaleka nekončí. Celá aplikace je prošpikována mnoha XSS zranitelnostmi, které může případný útočník využít k útokům na uživatele z řad státní zprávy. Jejich zneužitím může útočník získat například autentizační údaje nebo certifikáty a tím v konečném důsledku také přístup k základním registrům.


Ani toto ovšem ještě není zdaleka vše. Zřejmě proto, aby bylo při případném hacku možné svést na hackery uložené porno (pokud by se nějaké našlo), tak je anonymním uživatelům rovnou povolen upload souborů. Snadno si tak může kdokoliv vytvořit například svou HTML stránku na doméně czechpoint.cz.


Skrz upload se tak nabízí hned několik variant, které by bylo možné ze strany útočníka využít k případnému ataku. Jedna z možností je zneužití webu Czechpointu k vytvoření phishingové stránky a k následnému odchytu přihlašovacích dat a certifikátů jednotlivých úředníků. Druhý ze scénářů by mohl vypadat například tak, že útočník na stránky Czechpointu uploaduje malware v podobě exe souboru a všem úřadům rozešle dopis, že je na uvedené adrese k dispozici nová verze ISZR klienta pro přístup do registrů a ať ji na svém úřadě co možná nedříve instalují. Podklady, loga a vzhled úředního dopisu by útočník snadno našel také (kde jinde než) v InfoPORTu.

Abych ovšem neočerňoval pouze samotný InfoPORT, je nutné poznamenat, že na XSS je možné narazit také přímo na webových stránkách správy základních registrů.


Závěrem

Scénářů, jak benevolentního přístupu v rámci „pilotního“ provozu zneužít by se jistě dalo vymyslet mnohem více a je tedy jen otázkou času, kdy někdo zveřejní dumpnutou databázi Základních registrů. Zřejmě již není daleko doba, kdy si s naší identitou bude v základních registrech pohrávat kdokoliv a Angela Bennettová by raději zůstala v ohrožení Praetoriánů, než aby se přestěhovala do České republiky.

A co na to říká AutoCont v kódech programů, na které je možné v InfoPORTU narazit?

// copyright AucoContCZ
// Zdrojový kód aplikace i přeloženou aplikaci lze použít libovolným způsobem.
// Tvůrce aplikace a ostatních částí (aplikace, zdrojové kódy, dokumentace,
// certifikát, ostatní soubory a další) není v žádném ohledu odpovědný za jakýkoliv
// důsledek přímo nebo nepřímo vzniklý v souvislosti s libovolnou částí díla.


Doufejme tedy, že se tato pasáž nachází pouze v demo verzích.