Jak jsou plnžny stŠtnŪ zakŠzky na provoz a ķdrěbu IT systťmý

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 25.7.2012
HodnocenŪ/Hlasovalo: 1.19/31

To, ěe na provoz, ķdrěbu a sprŠvu IT systťmý ve veÝejnťm sektoru teŤou ze stŠtnŪho rozpoŤtu desŪtky (stovky) milioný roŤnž je znŠmŠ skuteŤnost. PojÔme si ale na praktickťm pÝŪkladu ukŠzat, jakť povinnosti vyplżvajŪ ze vzŠjemnżch smluv a jakż je skuteŤnż stav.

Je to jiě vŪce neě rok, kdy o nŪěe uvedenżch zranitelnostech na webovżch strŠnkŠch Czech POINTU informoval ve zdejöŪm Bugtracku Emkei. Protoěe jsem nynŪ pÝi prochŠzenŪ webovżch strŠnek Czech POINTu na tyto zranitelnosti opžt narazil, rozhodl jsem se je znovu vytŠhnout na svžtlo a formou tohoto ŤlŠnku informovat nejen o jejich existenci, ale uvťst i nžjakť ty informace o tom, kdo je za tento stav zodpovždnż.

Nejprve si dovolŪm odcitovat pŠr informacŪ z Wikipedie o samotnťm vzniku Czech POINTu.

Czech POINT je Ťeskż stŠtnŪ projekt, v jehoě rŠmci obecnŪ ķÝady s rozöŪÝenou pýsobnostŪ, krajskť ķÝady, notŠÝi a dalöŪ prŠvnickť osoby (napÝ. provozovny »eskť poöty a lokŠlnŪ pracoviötž HospodŠÝskť komory »R s pÝŪsluönżm oprŠvnžnŪm) mohou lidem vydŠvat vżpisy z katastru nemovitostŪ, z rejstÝŪku trestý Ťi ěivnostenskťho rejstÝŪku. Vznikl 22. Ťervna 2005 a jeho propagŠtorem byl poslanec Ivan Langer Ė od roku 2006 ministr vnitra v TopolŠnkovž vlŠdž. SŪĚ byla naplno spuötžna 28. ledna 2008.

Webovť strŠnky Czechpointu bžěŪ na znŠmťm CMS Drupal, jak nŠm ostatnž samy strŠnky ochotnž sdžlŪ:


NynŪ si, prosŪm, vöimnžte data, kterť jsem v†citaci z†Wikipedie zŠmžrnž zvżraznil. JednŠ se datum 28.ledna 2008, kdy byla sŪĚ naplno spuötžna. JednŠ se ale zÝejmž takť o poslednŪ termŪn, kdy provozovatel webovżch strŠnek Drupal naposledy aktualizoval!!! Dýkazem je changelog dostupnż na adrese http://www.czechpoint.cz/web/CHANGELOG.txt, kterż informuje o aktuŠlnž nainstalovanť verzi CMS 5.7, kterŠ byla uvolnžna kupodivu prŠvž 28.ledna 2008:


Za ty ŤtyÝi a pýl roku, kterť ubžhly od ledna 2008, se toho v†IT svžtž udŠlo opravdu hodnž a v†jednom z nejvŪce rozöŪÝenżch open-source redakŤnŪch systťmý, kterżm Drupal bezpochyby je, tomu nebylo jinak. Nahlťdnžme schvŠlnž do obsahu changelogu aktuŠlnŪ verze 7.14 (resp.7.15) http://drupalcode.org/project/drupal.git/blob/09b754ae8a78fdc9ab076779f10ce5d81c656623:/CHANGELOG.txt. ZjistŪme, ěe se changelog Drupalu od verze 5.7, kterŠ je pouěita na Czech POINTu, rozrostl o neuvžÝitelnżch 811 ÝŠdký!!!


††

Co to ve vżsledku znamenŠ? Nebudeme chodit okolo horkť kaöe a rovnou si Ýeknžme, ěe je celż systťm, na kterťm webovť strŠnky CzechPointu bžěŪ, džravż jak cednŪk a kaědż si tak mýěe vybrat z†nepÝebernťho mnoěstvŪ zranitelnostŪ, kterżmi jej lze zkompromitovat.

Se znalostŪ struktury Drupalu si snadno naŤtete napÝŪklad seznam bžěŪcŪch modulý nebo administrŠtorý:
http://www.czechpoint.cz/web/?q=/admin/build/modules resp. http://www.czechpoint.cz/web/admin/build/modules

http://www.czechpoint.cz/web/admin/user/user


Pro uěivatelskż komfort je pak samozÝejmž k†dispozici directory listing nžkterżch adresŠÝý a mnoho a mnoho dalöŪch vychytŠvek.

NejednŠ se ale pouze o webovťho strŠnky samotnťho Czech POINTu. Ani ostatnŪ systťmy, kterť jsou na Czech POINT navŠzŠny, nejsou zcela aktuŠlnŪ, umoěÚujŪ vżpis adresŠÝý a obsahujŪ mnoho XSS zranitelnostŪ. NapÝŪklad:

https://www.czechpoint.cz/overovacidolozky/search.do?guid=%22%3E%3Chr%3E
https://www.czechpoint.cz/portaluzivatele/p/login?e=%3Chr%3E
https://www.czechpoint.cz/uschovna/index.php?page=stahnout_soubor (XSS ve form.)
http://eshop.czechpoint.cz/data/

Radžji ani nechci vždžt, jakť jsou verze ostatnŪho serverovťho softwaru, ale poŤŪtŠm, ěe takť zamrzly nžkdy v†letech 2008-2010 a od tť doby je nikdo neaktualizoval. Prostž a jednoduöe Czech POINT Hack-me. äkoda, ěe je jen pro zaŤŠteŤnŪky, protoěe jsou vöechny jeho slabiny na internetu velmi dobÝe zdokumentovŠny :(

Ze zŠkulisŪ

Na vżvoji systťmu Czech POINT se od samťho poŤŠtku podŪlela nejvžtöŪ mžrou spoleŤnost Novell Professional Services »eskŠ republika, s.r.o.. Ta mimojinť vyhrŠla v roce 2008 takť veÝejnou zakŠzku Ť.60018466 na sprŠvu, podporu a ķdrěbu centrŠly Czech POINT v hodnotž 24.365.546,-KŤ. NŠsledujŪcŪho roku vyhrŠla opžt stejnŠ spoleŤnost veÝejnou zakŠzku Ť.60033650 na provoz a ķdrěbu Czech Pointu pro nŠsledujŪcŪ obdobŪ. TentokrŠt se jednalo o zakŠzku za 84.800.000,-KŤ.

ZaŤŠtkem tohoto roku nŠsledovalo trochu hektickť obdobŪ, kterť vyvrcholilo zadŠnŪm zakŠzky na pýlroŤnŪ provoz a ķdrěbu Czech Pointu opžt spoleŤnosti Novell Professional Services »eskŠ republika, s.r.o., tentokrŠt v hodnotž 39.720.000,-KŤ a to bez vżbžrovťho ÝŪzenŪ.

PojÔme tedy nahlťdnout do znžnŪ smlouvy o dŪlo, kterou mezi sebou Ministerstvo vnitra jako zadavatel a spoleŤnost Novell Professional Services »eskŠ republika, s.r.o. jako dodavatel uzavÝely. Celť znžnŪ smlouvy je veÝejnž dostupnť na internetu. ZajŪmavż je hlavnž odstavec 2.7, kterż znŪ:

2.7 ŕdrěba www strŠnek Systťmu Czech POINT
Odbžratel poěaduje zajiötžnŪ ķdrěby www strŠnek Czech POINT. Touto sprŠvou se rozumŪ zejmťna zpýsob udrěovŠnŪ redakŤnŪho systťmu v bezvadnťm provoznŪm stavu prostÝednictvŪm pravidelnżch servisnŪch vżkoný, provŠdžnŪ pravidelnżch analżz stavu a funkce systťmu.
NŠplnŪ servisnŪch ķkoný je zejmťna:
a) preventivnŪ ķdrěba a kontrola web strŠnek;
b) ÝeöenŪ problťmý vzniklżch pÝi prŠci redakŤnŪho tżmu;
c) provŠdžnŪ plŠnovanżch zmžn systťmu po dohodž s Odbžratelem.

Novell tak evidentnž neplnŪ zŠvazky, kterť z tťto smlouvy vyplżvajŪ. Pokud jsou stejnżm zpýsobem jako tento odstavec naplÚovŠny i ostatnŪ body smlouvy, nezbżvŠ neě se ptŠt, za co jsou desŪtky milioný na provoz a ķdrěbu systťmu vynaklŠdŠny.

AktuŠlnž je ve hÝe novż tender na provoz Czech POINTU od 1.9.2012, kterż je tentokrŠt vyhlŠöen dokonce v hodnotž 300.000.000,-KŤ. SchvŠlnž si zkuste tipnout, kterŠ dývžryhodnŠ a spolehlivŠ spoleŤnost jej nakonec asi vyhraje. UrŤitou nŠpovždu by mohla poskytnout i tato strŠnka s pÝehledem vżsledký doposud vyhlŠöenżch zakŠzek.

Budoucnosti se ovöem bŠt rozhodnž nemusŪme. SpoleŤnost Novell totiě zhruba pÝed rokem zŪskala dýleěitť cetifikŠty tżkajŪcŪ se bezpeŤnosti a tak se jimi moěnŠ brzy zaŤne takť ÝŪdit.