Zpět na seznam článků     Číst komentáře (6)     Verze pro tisk

Jak jsou plněny státní zakázky na provoz a údržbu IT systémů

Autor: .cCuMiNn.   
25.7.2012

To, že na provoz, údržbu a správu IT systémů ve veřejném sektoru tečou ze státního rozpočtu desítky (stovky) milionů ročně je známá skutečnost. Pojďme si ale na praktickém příkladu ukázat, jaké povinnosti vyplývají ze vzájemných smluv a jaký je skutečný stav.


Je to již více než rok, kdy o níže uvedených zranitelnostech na webových stránkách Czech POINTU informoval ve zdejším Bugtracku Emkei. Protože jsem nyní při procházení webových stránek Czech POINTu na tyto zranitelnosti opět narazil, rozhodl jsem se je znovu vytáhnout na světlo a formou tohoto článku informovat nejen o jejich existenci, ale uvést i nějaké ty informace o tom, kdo je za tento stav zodpovědný.

Nejprve si dovolím odcitovat pár informací z Wikipedie o samotném vzniku Czech POINTu.

Czech POINT je český státní projekt, v jehož rámci obecní úřady s rozšířenou působností, krajské úřady, notáři a další právnické osoby (např. provozovny České pošty a lokální pracoviště Hospodářské komory ČR s příslušným oprávněním) mohou lidem vydávat výpisy z katastru nemovitostí, z rejstříku trestů či živnostenského rejstříku. Vznikl 22. června 2005 a jeho propagátorem byl poslanec Ivan Langer – od roku 2006 ministr vnitra v Topolánkově vládě. Síť byla naplno spuštěna 28. ledna 2008.

Webové stránky Czechpointu běží na známém CMS Drupal, jak nám ostatně samy stránky ochotně sdělí:


Nyní si, prosím, všimněte data, které jsem v citaci z Wikipedie záměrně zvýraznil. Jedná se datum 28.ledna 2008, kdy byla síť naplno spuštěna. Jedná se ale zřejmě také o poslední termín, kdy provozovatel webových stránek Drupal naposledy aktualizoval!!! Důkazem je changelog dostupný na adrese http://www.czechpoint.cz/web/CHANGELOG.txt, který informuje o aktuálně nainstalované verzi CMS 5.7, která byla uvolněna kupodivu právě 28.ledna 2008:


Za ty čtyři a půl roku, které uběhly od ledna 2008, se toho v IT světě událo opravdu hodně a v jednom z nejvíce rozšířených open-source redakčních systémů, kterým Drupal bezpochyby je, tomu nebylo jinak. Nahlédněme schválně do obsahu changelogu aktuální verze 7.14 (resp.7.15) http://drupalcode.org/project/drupal.git/blob/09b754ae8a78fdc9ab076779f10ce5d81c656623:/CHANGELOG.txt. Zjistíme, že se changelog Drupalu od verze 5.7, která je použita na Czech POINTu, rozrostl o neuvěřitelných 811 řádků!!!


  

Co to ve výsledku znamená? Nebudeme chodit okolo horké kaše a rovnou si řekněme, že je celý systém, na kterém webové stránky CzechPointu běží, děravý jak cedník a každý si tak může vybrat z nepřeberného množství zranitelností, kterými jej lze zkompromitovat.

Se znalostí struktury Drupalu si snadno načtete například seznam běžících modulů nebo administrátorů:
http://www.czechpoint.cz/web/?q=/admin/build/modules resp. http://www.czechpoint.cz/web/admin/build/modules

http://www.czechpoint.cz/web/admin/user/user


Pro uživatelský komfort je pak samozřejmě k dispozici directory listing některých adresářů a mnoho a mnoho dalších vychytávek.

Nejedná se ale pouze o webového stránky samotného Czech POINTu. Ani ostatní systémy, které jsou na Czech POINT navázány, nejsou zcela aktuální, umožňují výpis adresářů a obsahují mnoho XSS zranitelností. Například:

https://www.czechpoint.cz/overovacidolozky/search.do?guid=%22%3E%3Chr%3E
https://www.czechpoint.cz/portaluzivatele/p/login?e=%3Chr%3E
https://www.czechpoint.cz/uschovna/index.php?page=stahnout_soubor (XSS ve form.)
http://eshop.czechpoint.cz/data/

Raději ani nechci vědět, jaké jsou verze ostatního serverového softwaru, ale počítám, že také zamrzly někdy v letech 2008-2010 a od té doby je nikdo neaktualizoval. Prostě a jednoduše Czech POINT Hack-me. Škoda, že je jen pro začátečníky, protože jsou všechny jeho slabiny na internetu velmi dobře zdokumentovány :(

Ze zákulisí

Na vývoji systému Czech POINT se od samého počátku podílela největší měrou společnost Novell Professional Services Česká republika, s.r.o.. Ta mimojiné vyhrála v roce 2008 také veřejnou zakázku č.60018466 na správu, podporu a údržbu centrály Czech POINT v hodnotě 24.365.546,-Kč. Následujícího roku vyhrála opět stejná společnost veřejnou zakázku č.60033650 na provoz a údržbu Czech Pointu pro následující období. Tentokrát se jednalo o zakázku za 84.800.000,-Kč.

Začátkem tohoto roku následovalo trochu hektické období, které vyvrcholilo zadáním zakázky na půlroční provoz a údržbu Czech Pointu opět společnosti Novell Professional Services Česká republika, s.r.o., tentokrát v hodnotě 39.720.000,-Kč a to bez výběrového řízení.

Pojďme tedy nahlédnout do znění smlouvy o dílo, kterou mezi sebou Ministerstvo vnitra jako zadavatel a společnost Novell Professional Services Česká republika, s.r.o. jako dodavatel uzavřely. Celé znění smlouvy je veřejně dostupné na internetu. Zajímavý je hlavně odstavec 2.7, který zní:

2.7 Údržba www stránek Systému Czech POINT
Odběratel požaduje zajištění údržby www stránek Czech POINT. Touto správou se rozumí zejména způsob udržování redakčního systému v bezvadném provozním stavu prostřednictvím pravidelných servisních výkonů, provádění pravidelných analýz stavu a funkce systému.
Náplní servisních úkonů je zejména:
a) preventivní údržba a kontrola web stránek;
b) řešení problémů vzniklých při práci redakčního týmu;
c) provádění plánovaných změn systému po dohodě s Odběratelem.

Novell tak evidentně neplní závazky, které z této smlouvy vyplývají. Pokud jsou stejným způsobem jako tento odstavec naplňovány i ostatní body smlouvy, nezbývá než se ptát, za co jsou desítky milionů na provoz a údržbu systému vynakládány.

Aktuálně je ve hře nový tender na provoz Czech POINTU od 1.9.2012, který je tentokrát vyhlášen dokonce v hodnotě 300.000.000,-Kč. Schválně si zkuste tipnout, která důvěryhodná a spolehlivá společnost jej nakonec asi vyhraje. Určitou nápovědu by mohla poskytnout i tato stránka s přehledem výsledků doposud vyhlášených zakázek.

Budoucnosti se ovšem bát rozhodně nemusíme. Společnost Novell totiž zhruba před rokem získala důležité cetifikáty týkající se bezpečnosti a tak se jimi možná brzy začne také řídit.


Líbil se Vám článek?
Budeme potěšeni, pokud vás zaujme také reklamní nabídka

Social Bookmarking

     





Hodnocení/Hlasovalo: 1.19/31

1  2  3  4  5    
(známkování jako ve škole)