Neimenovani varnostni raziskovalec, ki je tehnološki novičarski portal Slo-Tech v nedeljo kontaktiral prek omrežja Tor, je odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja Ajpes. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo Ajpesu.
Zaradi napake v podpisni komponenti obstaja možnost, da napadalec, ki ima zmožnost izvesti aktiven napad s posrednikom (t. i. MITM-napad), žrtev pretenta, da z zasebnim ključem svojega kvalificiranega digitalnega potrdila podpiše poljubno vsebino pod nadzorom napadalca, še piše portal.
Raziskovalec je tudi ugotovil, da podpisna komponenta v nekaterih primerih sploh ne podpisuje dokumentov, pač pa zgolj identifikatorje dokumentov na strežniku Ajpesa. To je po pisanju Slo-Techa težava, saj obstaja možnost, da s posegom npr. administratorja sistema oziroma kogarkoli, ki ima dostop do Ajpesove strežniške infrastrukture, identifikator dokumenta ostane isti, sam dokument na strežniku pa se spremeni.
"Po našem mnenju ne gre samo za varnostno ranljivost, pač pa za popolnoma neustrezno implementacijo digitalnega podpisa, saj podpisna komponenta sploh ne omogoča podpisovanja dejanskih dokumentov. Če drži, da se ne podpisujejo dokumenti, pač pa le njihovi identifikatorji, je celoten sistem popolnoma neustrezen in bi ga Ajpes moral nemudoma prenehati uporabljati," je na Slo-Techu zapisal Matej Kovačič.
Pri tem se po njegovih besedah zastavi tudi vprašanje verodostojnosti in veljavnosti dokumentov, ki so že v sistemu in ki so morda bili neustrezno "podpisani". "Po našem mnenju bi bilo najbolj smiselno, da se verodostojnost in integriteto na neustrezen način podpisanih dokumentov ponovno preveri in ugotovi ali so avtentični ali pa morda spremenjeni," je še zapisal Kovačič.
V Ajpesu so danes za STA pojasnili, da po zagotovilih avtorjev omenjene podpisne komponente v primeru uporabe HTTPS-povezave med Ajpesovim strežnikom in uporabnikom, ki izvaja elektronski podpis, zloraba e-podpisa ni mogoča. V primeru uporabe HTTP-povezave pa zelo majhna možnost obstaja, vendar pa bi pri tem napadalec moral izvesti celo vrsto povezanih aktivnosti, in to v času, ko se uporabnik odloči, da bi oddal nek dokument.
"Verjetnost izvedbe takega postopka pri uporabniku je zelo majhna, še manjša je verjetnost, da bi se isti postopek lahko izvedel pri več uporabnikih. Ne glede na navedeno je mogoče na Ajpesu spremenjeno datoteko prepoznati, saj ni enaka originalu, ki je shranjen na sistemih Ajpesa," pojasnjuje vodja službe za informacijsko tehnologijo v Ajpesu Marjan Babič.
Dodal je še, da so po posvetu z zunanjim izvajalcem kot preventivni ukrep vzpostavili varnejšo HTTPS-povezavo za celoten portal. Od vzpostavitve novega portala v januarju do 27. februarja so imeli namreč začasno še vzpostavljen mešan model, podobno kot na starem portalu, kjer se je del prometa odvijal po HTTPS-, del pa po HTTP-povezavah. Ta korak je sicer bil prvotno predviden za 6. marec, ko je predvidena tudi menjava kvalificiranega digitalnega potrdila strežnika.
Poleg tega so že preverili nekaj skupin dokumentov, pri čemer so bile vsebine teh pravilne, e-podpisi pa ustrezni. S pregledi bodo nadaljevali, ocenjujejo pa, da neustrezno podpisanih dokumentov ni.
To je sicer že druga varnostna problematika v zvezi z Ajpesom, ki jo je v zadnjem času razkril Slo-Tech. V začetku februarja so poročali, da jih je neimenovana oseba obvestila, da ima Ajpes na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami.
Šlo je za ranljivost, kjer je s pomočjo t. i. SQL-vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Ranljivih naj bi bilo večje število zalednih baz, ki vsebujejo tudi množico osebnih podatkov, npr. davčne številke lastnikov, zastopnikov in nadzornikov vseh poslovnih subjektov v poslovnem registru. To ranljivost naj bi bil zmožen izkoristiti vsakdo z nekaj več računalniškega znanja.
O napaki so takoj obvestili predstavnike informacijskega pooblaščenca ter vzdrževalca spletne strani, ostali morebiti zainteresirani naslovniki pa na državni praznik 8. februarja, ko je bila ranljivost razkrita, niso bili dosegljivi.
V Ajpesu so takrat pojasnili, da so bili 8. februarja v večernih urah opozorjeni na omenjeno varnostno ranljivost. Razvijalci in sistemski skrbniki so sicer grožnjo zaznali v popoldanskih urah, v večernih in jutranjih urah po razkritju pa so prepoznano ranljivost tudi odpravili. Ranljivost se je pojavila na dveh aplikacijah dveh zunanjih izvajalcev, na aplikacijah, razvitih v Ajpesu, pa ranljivosti ni bilo.
Danes so v Ajpesu še pojasnili, da so v analizi posledic, ki so jo izvedli zunanji izvajalci in uslužbenci Ajpesa, ugotovili, da do večjega dostopa do nejavnih podatkov ni prišlo. Ranljivost je bila izkoriščena samo na enem mestu, poizvedovanje po nejavnih podatkih pa naj bi bilo izvedeno za šest oseb, pri čemer je potrjeno, da so bili podatki dejansko prevzeti za eno osebo. Za ostalih pet oseb obstaja verjetnost, da se je to zgodilo, dokaza pa iz dnevnikov niso uspeli pridobiti. Ker v primeru teh oseb v zbirki obstaja več različnih oseb z enakim imenom in priimkom, dejanske osebe v vseh primerih ni bilo mogoče identificirati.
Interno preiskavo o tem incidentu izvajajo razvijalci dveh zunanjih izvajalcev Ajpesa in uslužbenci samega Ajpesa. Zunanjo preiskavo izvaja urad Informacijskega pooblaščenca RS in je v teku. Napadalec ni znan, je pa Ajpes 17. februarja že vložil prijavo suma storitve kaznivega dejanja napada na informacijski sistem.
V Ajpesu so sicer že pred tedni poudarili, da je ranljivost odkril usmerjen, načrtovan in dobro organizirani napad strokovnjakov za informacijsko varnost na spletni portal Ajpes, dobro načrtovan pa da je bil tudi čas napada - na dan kulturnega praznika. Po takratnih ocenah Ajpesa je velika verjetnost, da je ranljivost izrabil zgolj napadalec, katerega cilj naj bi bil očitno opozoriti institucije javnega sektorja na ranljivosti v programski opremi.
Ajpes je v zvezi z incidentom sprejel poleg korektivnih tudi več preventivnih ukrepov, da bi preprečili, da se podobna napaka ponovi. Poleg obeh ranljivih aplikacij so izvajalci Ajpesa pregledali tudi številne ostale aktivne aplikacije. Drugje pomanjkljivosti v zvezi z SQL-vrivanjem niso ugotovili. Ajpes je navedeni aplikaciji preveril tudi z izvedbo vdornega testa z odprtokodnim in komercialnim orodjem. Rezultati testov so potrdili, da je bila navedena ranljivost odpravljena. Podobne interne teste še izvajajo za celoten portal. Izvedli bodo tudi naročen zunanji vdorni test, ki je bil že pred tem načrtovan za obdobje februar-marec 2017.
Slovenski nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT je sicer po prvotnem razkritju ranljivosti objavil javno obvestilo o odgovornem razkrivanju ranljivosti, dosegljivo je na spletnem naslovu https://www.cert.si/si-cert-2017-01/.
