Hude luknje v AJPES-ovem programju in spletišču
V AJPES-ovem informacijskem sistemu so že drugič v istem mesecu odkrili hude varnostne ranljivosti, ki jih lahko zlonamerni napadalci izkoristijo. V začetku meseca je portal Slo-Tech razkril, da imajo AJPES-ove spletne strani težave s SQL-vrivanjem (SQL injection), zaradi česar so bili sicer javnosti nedostopni registri dostopni na internetu. Dostopnih je bilo vsaj 59 baz. Danes razkrivajo, da je luknjičasta tudi podpisna komponenta mdSign, saj je podpisovanje v njem implementirano nepravilno, zato rabo odsvetujejo.
AJPES se je na februarsko razkritje odzval z besedami, da so v zadnjem času izvedli več zunanjih varnostnih pregledov, ki niso odkrili tovrstnih ranljivosti. Portal PodČrto jih postavlja na laž, saj je iz javnih informacij o transakcijah razvidno, da je AJPES zadnje testiranja plačal leta 2012. Podjetje, ki ga je izvajalo, je dejalo, da so testiranje izvajali še leta 2013, potem pa ne več.
To je absolutno premalo, saj moderne smernice (varnostna priporočila PCI DSS) določajo, naj se tovrstni testi (penetration testing) opravljajo vsaj enkrat letno in ob vsaki večji spremembi informacijskega sistema. Še pogosteje, vsake tri mesece, bi se moral izvajati zunanji varnostni pregled (vulnerability scan). Tedaj sta se na fiasko odzvala Informacijski pooblaščenec, ki je uvedel preiskavo, ter SI-CERT, ki je prevzel vlogo koordinatorja za razkrivanje varnostnih ranljivosti. Ob tem povejmo, da je vrivanje SQL eden najosnovnejših napadov, ki je posledica površnega programiranja in ki je prizadel že na milijone strani, zato so dobro znane tudi metode za obrambo.
Najnovejša ranljivost pa je več kot zgolj hrošč. Podpisna komponenta mdSign, s katero zavezanci podpisujejo dokumente, je ranljiva na napad s posrednikom (MITM), saj lahko napadalec žrtev pretenta v podpis kakršnegakoli dokumenta. Komponenti je namreč moč podtakniti katerkoli dokument, ki ga bo uporabnik nevede podpisal, saj ni ustreznih kontrol. To pa ni edina ranljivost. Izkazalo se je, da komponenta ne podpisuje sam dokument, temveč zgolj enolični identifikator dokumenta na strežniku. To predstavlja prekinitev verige zaupanja, saj se lahko dokument na strežniku kdo spremeni (recimo AJPES-ov administrator), pa bo njegov identifikator (ki ni zgoščena vrednost – hash) ostal enak. To postavlja pod vprašanj verodostojnost vseh doslej podpisanih dokumentov.
AJPES se na najnovejša razkritja še ni odzval. Slo-Tech medtem priporoča takojšnjo prekinitev uporabe podpisne komponente mdSign, saj imajo po slovenski zakonodaji elektronsko podpisani dokumenti enako pravno veljavo kakor ročno podpisani.