STROKOVNJAK OPOZARJA AJPES: Možna zloraba digitalnega podpisa?

Portal Slo-Tech je razkril, da se je nanje obrnil neimenovan varnostni raziskovalec, ki je odkril več resnih varnostnih ranljivosti na spletišču Agencije RS za javnopravne evidence in storitve (Ajpes). To je sicer že druga varnostna problematika v zvezi z Ajpesom, ki jo je v zadnjem času razkril Slo-Tech.

Neimenovani varnostni raziskovalec, ki je tehnološki novičarski portal Slo-Tech v nedeljo kontaktiral prek omrežja Tor, je odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja Ajpes. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo Ajpesu.

Zaradi napake v podpisni komponenti obstaja možnost, da napadalec, ki ima zmožnost izvesti aktiven napad s posrednikom (t. i. MITM-napad), žrtev pretenta, da z zasebnim ključem svojega kvalificiranega digitalnega potrdila podpiše poljubno vsebino pod nadzorom napadalca, še piše portal.

Raziskovalec je tudi ugotovil, da podpisna komponenta v nekaterih primerih sploh ne podpisuje dokumentov, pač pa zgolj identifikatorje dokumentov na strežniku Ajpesa. To je po pisanju Slo-Techa težava, saj obstaja možnost, da s posegom npr. administratorja sistema oziroma kogarkoli, ki ima dostop do Ajpesove strežniške infrastrukture, identifikator dokumenta ostane isti, sam dokument na strežniku pa se spremeni.

"Po našem mnenju ne gre samo za varnostno ranljivost, pač pa za popolnoma neustrezno implementacijo digitalnega podpisa, saj podpisna komponenta sploh ne omogoča podpisovanja dejanskih dokumentov. Če drži, da se ne podpisujejo dokumenti, pač pa le njihovi identifikatorji, je celoten sistem popolnoma neustrezen in bi ga Ajpes moral nemudoma prenehati uporabljati," je na Slo-Techu zapisal Matej Kovačič.

Pri tem se po njegovih besedah zastavi tudi vprašanje verodostojnosti in veljavnosti dokumentov, ki so že v sistemu in ki so morda bili neustrezno "podpisani". "Po našem mnenju bi bilo najbolj smiselno, da se verodostojnost in integriteto na neustrezen način podpisanih dokumentov ponovno preveri in ugotovi ali so avtentični ali pa morda spremenjeni," je še zapisal Kovačič.

V Ajpesu so danes za STA pojasnili, da po zagotovilih avtorjev omenjene podpisne komponente v primeru uporabe HTTPS-povezave med Ajpesovim strežnikom in uporabnikom, ki izvaja elektronski podpis, zloraba e-podpisa ni mogoča. V primeru uporabe HTTP-povezave pa zelo majhna možnost obstaja, vendar pa bi pri tem napadalec moral izvesti celo vrsto povezanih aktivnosti, in to v času, ko se uporabnik odloči, da bi oddal nek dokument.

"Verjetnost izvedbe takega postopka pri uporabniku je zelo majhna, še manjša je verjetnost, da bi se isti postopek lahko izvedel pri več uporabnikih. Ne glede na navedeno je mogoče na Ajpesu spremenjeno datoteko prepoznati, saj ni enaka originalu, ki je shranjen na sistemih Ajpesa," pojasnjuje vodja službe za informacijsko tehnologijo v Ajpesu Marjan Babič.

Dodal je še, da so po posvetu z zunanjim izvajalcem kot preventivni ukrep vzpostavili varnejšo HTTPS-povezavo za celoten portal. Od vzpostavitve novega portala v januarju do 27. februarja so imeli namreč začasno še vzpostavljen mešan model, podobno kot na starem portalu, kjer se je del prometa odvijal po HTTPS-, del pa po HTTP-povezavah. Ta korak je sicer bil prvotno predviden za 6. marec, ko je predvidena tudi menjava kvalificiranega digitalnega potrdila strežnika.

Poleg tega so že preverili nekaj skupin dokumentov, pri čemer so bile vsebine teh pravilne, e-podpisi pa ustrezni. S pregledi bodo nadaljevali, ocenjujejo pa, da neustrezno podpisanih dokumentov ni.

To je sicer že druga varnostna problematika v zvezi z Ajpesom, ki jo je v zadnjem času razkril Slo-Tech. V začetku februarja so poročali, da jih je neimenovana oseba obvestila, da ima Ajpes na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami.

Šlo je za ranljivost, kjer je s pomočjo t. i. SQL-vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Ranljivih naj bi bilo večje število zalednih baz, ki vsebujejo tudi množico osebnih podatkov, npr. davčne številke lastnikov, zastopnikov in nadzornikov vseh poslovnih subjektov v poslovnem registru. To ranljivost naj bi bil zmožen izkoristiti vsakdo z nekaj več računalniškega znanja.

Slovenski nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT je sicer po prvotnem razkritju ranljivosti objavil javno obvestilo o odgovornem razkrivanju ranljivosti, dosegljivo je na spletnem naslovu https://www.cert.si/si-cert-2017-01/.

Deli novico: