Analýza bezpečnosti webových stránok operačných programov (Reakcia na vyjadrenia ministra Štefanova)
Autor:
Ondrej Jombík
| Sekcia:
Tlačové správy
| Dátum: 2009-11-02
Dňa 30. novembra 2009 prezentoval Konzervatívny inštitút M.R.Štefánika na tlačovej konferencii nehorázne obstarávacie ceny webstránok operačných programov. Dve najdrahšie – www.nsrr.sk a www.ropka.sk – patria pod Ministerstvo výstavby a regionálneho rozvoja SR. Zo včerajšieho vyjadrenia pána ministra Štefanova, ktorým sa snažil obhájiť opodstatnenosť vynaložených financií vyplýva, že uvedené webstránky boli drahé najmä kvôli svojmu zabezpečeniu.
Túto obhajobu považujeme za chabú a nedostatočnú. Stránky sú neuveriteľne predražené, a keďže minister argumentoval bezpečnosťou, pozreli sme sa aj túto stránku veci. Našimi zisteniami sme boli šokovaní! V ich kontexte ešte výraznejšie vidieť plytvanie verejnými zdrojmi a navyše aj neprofesionalitu vybraných dodávateľských firiem.
- Prvé zistenie bolo prezentované už na tlačovej konferencii – stránky operačných programov sú umiestnené na serveroch v Českej republike1. A to aj napriek tomu, že vláda disponuje vlastnou kvalitnou IT infraštruktúrou, resp. obdobné služby je možné poľahky zabezpečiť aj na Slovensku. Keďže stránky sú určené primárne pre slovenských návštevníkov, ich umiestnenie v susednom štáte považujeme za neefektívne a nerozumné.
- Podľa vyjadrenia ministra stránka obsahuje tiež dôležitý rezervačný systém. Napriek jeho dôležitosti, nie je tento systém ani žiadna iná časť webstránky chránená zabezpečeným protokolom HTTPS. Ak sa nepoužíva HTTPS, všetky dáta (napr. login a heslo) sú prenášané v nekryptovanej forme a môže poľahky dôjsť k ich odchyteniu a následnému zneužitiu potenciálnym útočníkom.
Protokolom HTTPS sú už dnes už chránené nielen stránky internetového bankovníctva, ale aj tie úplne najobyčajnejšie weby, ako sú napr. mailové alebo chatové servery. Použitie HTTPS protokolu je základným pilierom internetového zabezpečenia. Je poľutovaniahodné, že sa na tento dôležitý pilier bezpečnosti pri obstarávaní akosi pozabudlo.
Keďže ani samotné administračné rozhranie2 webstránky nie je chránené a zabezpečené, existuje reálne riziko zneužitia prístupov do tohto rozhrania. To môže mať za následok až to, že ministerstvo stratí kontrolu nad obsahom vlastnej webstránky. Ako sa však ukáže v ďalšom bode, žiaľ ministerstvo už túto kontrolu stratilo.
- Tretí bod predstavuje naše najzávažnejšie zistenia, o ktorých si myslíme, že sú až také zlé, že by mohli byť dokonca dôvodom na reklamáciu diela alebo odstúpenie od kúpnej zmluvy. Webstránky totiž obsahujú viaceré chyby typu XSS3, ide o tzv. „Cross-Site Scripting“ chyby.
Kvôli uvedeným chybám môže do stránok operačných programov ktokoľvek vkladať ľubovoľné obrázky, texty a komponenty. Nie sú nato potrebné žiadne špeciálne hackerské ani programátorské znalosti. Vloženie vykonať ľubovoľný používateľ internetu zo svojho počítača, dôkazom čoho je, že upozornenie na túto markantnú chybu sa objavilo aj v diskusii pod článkom na www.sme.sk4. V predmetnom príspevku vložil neznámy diskutér obrázok železničného tunela5 do stránky www.ropka.sk, pričom rovnakou chybou trpí aj www.nsrr.sk (viz príloha 1,2) a je možné, že aj ďalšie stránky od rovnakého dodávateľa.
Väčším problémom však je, že tu nejde len o nevinné hrátky s obrázkom. Do stránky je rovnakým spôsobom možné vložiť aj vírusový komponent alebo iný škodlivý kód. Rovnako tak môže potenciálny útočník vykonať presmerovanie na vlastnú kópiu stránky (tzv. phishing stránka6), ktorú bude vydávať za originálnu stránku. Takto môže prezentovať falošné či nepresné údaje alebo sa snažiť získať údaje návštevníkov (osobné údaje, obchodné informácie, loginy, heslá), ktorí budú v omyle, že sa nachádzajú na správnej stránke.
Uvedené chyby predstavujú závažné bezpečnostné riziká a svedčia o neprofesionalite dodávateľských firiem a nedostatočnej kontrole dodaného diela na ministerstve. Stránky nie sú odolné proti triviálnym typom útokov a pokiaľ nedôjde k urýchlenému odstráneniu spomenutých nedostatkov, je len otázka času kedy ich niekto zneužije závažným spôsobom.
Myslíme si, že je čas skončiť s presvedčovaním národa o výhodnosti a kvalite tohto produktu, ale je nutné začať konať. Tieto webstránky za vyše dva milióny korún sú totiž ako auto bez bŕzd: funguje, jazdí, ale je pre vás veľmi veľmi nebezpečné.
Pre viac informácií a odbornejších detailov kontaktujte:
Menovaný bol účastníkom tlačovej besedy organizovanej Konzervatívnym inštitútom M.R.Štefánika.
Poznámky
-
Umiestnenie stránok v Českej republike:
- ropka.sk
- nsrr.sk
-
Adminsitračné rozhranie webstránky:
- http://www.nsrr.sk/admin (funkčné, bez zabezpečenia HTTPS)
- https://www.nsrr.sk/admin (HTTPS nefunkčné)
-
Podrobný popis chyby typu XSS:
http://en.wikipedia.org/wiki/Cross-site_scripting
-
Žartík neznámeho diskutéra:
http://www.sme.sk/diskusie/dpl/11522067/Ministerstva-obstarali-webstranky-draho-najdrahsie-kupoval-rezort-vystavby.html
-
Žartík neznámeho diskutéra - odkazy:
- http://tinyurl.com/yboe98p
- http://tinyurl.com/yagp9uy
-
Vysvetlenie a možnosti zneužitia tzv. "phishing" stránky:
http://en.wikipedia.org/wiki/Phising
Prílohy
Pozmenené stránky operačných programov:
(kliknite na obrázky pre zobrazenie plných verzií)
Príloha 1
|
Príloha 2
|
|
|
|