Potem ko je portal Slo-Tech razkril, da se je nanje obrnil neimenovan varnostni raziskovalec, ki je odkril več resnih varnostnih ranljivosti na spletišču Agencije RS za javnopravne evidence in storitve (Ajpes), so iz Ajpesa danes sporočili, da so potencialno ranljivost že odpravili in da zloraba e-podpisa praktično ni več mogoča. To je sicer že druga varnostna problematika v zvezi z Ajpesom, ki jo je v zadnjem času razkril Slo-Tech.

Za kakšno ranljivost gre?

Z izrabo neustrezno zasnovane podpisne komponente se potencialno lahko omogoči podpisovanje napačnih dokumentov, opozarjajo na SI-CERTU. (Foto: Thinkstock)

Neimenovani varnostni raziskovalec, ki je tehnološki novičarski portal Slo-Tech v nedeljo kontaktiral prek omrežja Tor, je odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja Ajpes. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo Ajpesu.

Zaradi napake v podpisni komponenti obstaja možnost, da napadalec, ki ima zmožnost izvesti aktiven napad s posrednikom (t.i. MITM-napad), žrtev pretenta, da z zasebnim ključem svojega kvalificiranega digitalnega potrdila podpiše poljubno vsebino pod nadzorom napadalca, še piše portal.

Raziskovalec je tudi ugotovil, da podpisna komponenta v nekaterih primerih sploh ne podpisuje dokumentov, pač pa zgolj identifikatorje dokumentov na strežniku Ajpesa. To je po pisanju Slo-Techa problem, saj obstaja možnost, da s posegom npr. administratorja sistema oziroma kogarkoli, ki ima dostop do Ajpesove strežniške infrastrukture, identifikator dokumenta ostane isti, sam dokument na strežniku pa se spremeni.

"Po našem mnenju ne gre samo za varnostno ranljivost, pač pa za popolnoma neustrezno implementacijo digitalnega podpisa, saj podpisna komponenta sploh ne omogoča podpisovanja dejanskih dokumentov. Če drži, da se ne podpisujejo dokumenti, pač pa le njihovi identifikatorji, je celoten sistem popolnoma neustrezen in bi ga Ajpes moral nemudoma prenehati uporabljati," je na Slo-Techu zapisal Matej Kovačič.

Pri tem se po njegovih besedah zastavi tudi vprašanje verodostojnosti in veljavnosti dokumentov, ki so že v sistemu in ki so morda bili neustrezno "podpisani". "Po našem mnenju bi bilo najbolj smiselno, da se verodostojnost in integriteto na neustrezen način podpisanih dokumentov ponovno preveri in ugotovi ali so avtentični ali pa morda spremenjeni," je še zapisal Kovačič.

Ajpes preventivno vzpostavil šifrirano HTTPS povezavo

Na Ajpesu so za 24ur.com pojasnili, da jim je predstavnik SI-CERT posredoval e-pošto z obvestilom o potencialni ranljivosti podpisne komponente MdSign, ki jo uporabljajo, v nedeljo ob 20. uri. Sporočilo je uslužbenec Ajpesa prebral nekaj pred 21. uro, po posvetu z zunanjim izvajalcem oziroma z avtorji podpisne komponente, je Ajpes kot preventivni ukrep vzpostavil šifrirano HTTPS povezavo za celoten portal. "Od vzpostavitve novega portala v januarju do tega dne smo imeli namreč začasno še vzpostavljen mešan model, podobno kot na starem portalu, kjer se je del prometa odvijal po HTTPS, del pa po HTTP povezavah," pojasnjuje Marjan Babič, vodja službe za informacijsko tehnologijo na Ajpesu in dodaja, da je bila vzpostavitev te povezave sicer predvidena za 6. marca, po zaključku testnega obdobja za prilagoditev nastavitev informacijskih sistemov uporabnikov Ajpesa. Izvedla naj bi se hkrati z menjavo kvalificiranega digitalnega potrdila strežnika portala. "O tej menjavi smo uporabnike, ki uporabljajo spletne servise Ajpes, obvestili v petek 24. februraja zjutraj. Sama menjava digitalnega potrdila se je nekoliko zamaknila, ker Ajpes še ni prejel od vseh uporabnikov potrditev o pripravljenosti na menjavo," pojasnjuje Babič.

Ajpes je preventivno in predčasno vzpostavil šifrirano HTTPS povezavo. (Foto: Thinkstock)

"Ker je Ajpes sedaj izvedel prehod na HTTPS pred menjavo digitalnega potrdila strežnika, bodo v tem tednu dni brskalniki, ki nimajo privzetega zaupanja v digitalna potrdila izdajatelja sedanjega digitalnega potrdila SIGEN-CA uporabnike opozarjali, da se povezujejo z nepreverjenim strežnikom. Temu se je Ajpes sicer želel izogniti, saj je trenutno na portalu v teku zbiranje velikega števila letnih in drugih poročil. Ko bo 6. marca zamenjano še digitalno potrdilo strežnika, bo težava odpravljena in dodatnega opozorila tudi na navedenih brskalnikih ne bo več," uporabnikom zagotavljajo na Ajpesu.

Na Ajpesu zagotavljajo, da v primeru uporabe HTTPS povezave med Ajpes strežnikom in uporabnikom, ki izvaja elektronski podpis, zloraba e-podpisa praktično ni več mogoča. "Potencialna ranljivost je torej odpravljena, bomo pa iz previdnosti programsko preverili skladnost vsebin dokumentov in e-podpisov iz zadnjega obdobja. Prve ugotovitve ne kažejo na nikakršna odstopanja," še zagotavljajo na Ajpesu.

Prvo ranljivost razkrili na kulturni praznik

V začetku februarja je Slo-Tech poročal, da jih je neimenovana oseba obvestila, da ima Ajpes na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami. Šlo je za ranljivost, kjer je s pomočjo t. i. SQL-vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Ranljivih naj bi bilo večje število zalednih baz, ki vsebujejo tudi množico osebnih podatkov.

V Ajpesu so takrat ocenili, da je velika verjetnost, da je ranljivost izrabil zgolj napadalec, katerega cilj naj bi bil očitno opozoriti institucije javnega sektorja na ranljivosti v programski opremi. Razvijalci in sistemski skrbniki so prepoznano ranljivost odpravili v večernih in jutranjih urah po razkritju.