» »

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!!

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!!

Varnostna ocena eDavkov. Oznaka "T" pomeni najnižjo možno oceno.

Prva stran eDavkov nam je lahko le v ponos.

Slo-Tech - Spet je tisti dan, ko moram državnim biričem nakazati desetino polovico svojih mesečnih prihodkov – oziroma, kot oni temu pravijo, plačati moram davke. Mesečni ritual se začne s pregledom eDavkov, ali država želi od mene še kaj razen običajnih davkov in prispevkov. In, kot vsakokrat, me brskalnik spet prijazno opozori, da spletna stran eDavki ne zagotavlja minimalnih varnostnih zahtev. Roka zadrhti, že tako razredčeni lasje štejejo nove žrtve in možgani preračunavajo, kaj mi država nudi za skoraj 1000 evrov plačanih davkov vsak mesec. Očitno niti varnosti na internetih ne.

Nič, dvignem telefon in v slabi uri sedim na kavi skupaj s tremi ljudmi, ki se imajo za etične hekerje. Prepričam jih, da svoje znanje usmerijo na spletne dacarje in mi pomagajo ugotoviti, ali gre le za paranojo Googla, Mozzile in moje malenkosti, ali pa je vse res.

Ko imajo dacarji poslanstvo

Preden eDavke s kolegi razsekamo na prafaktorje, moramo izpostaviti njihovo poslanstvo. eDavki so "spletni servis za elektronsko poslovanje z Finančno upravo Republike Slovenije. Prek eDavkov imajo zavezanci možnost udobno, varno, enostavno in z nizkimi stroški po elektronski poti (prek interneta) oddati davčne obrazce. Obrazci v elektronski obliki so venomer v skladu z veljavno zakonodajo". eDavki so torej spletni portal, prek katerega lahko davkoplačevalci oddajamo svoje vloge kar preko interneta, namesto da bi se mučili v vrsti na dežurni pošti oz. pred okenci na davkariji. Vendar, ker lahko imajo davčne vloge pomembne posledice, obenem pa so polne osebnih in davčnih podatkov, je nujno, da je uporaba tega "spletnega servisa" ustrezno zavarovana.

Glavna problema pri zavarovanju spletne komunikacije sta potrditev pristnosti strežnika (da komuniciramo s FURS, ne z lopovi) in šifriranje komunikacije (da nas sliši samo FURS, ne pa tudi lopovi). V ta namen se na spletu uporabljata dve ključni rešitvi, in sicer t.i. infrastruktura javnih ključev (angl. Public Key Infrastructure – PKI) za prvi problem, ter protokol za šifriranje komunikacije TLS (angl. Transport Layer Security) za drugega.



Ko NLB postane vzor in primer dobre prakse

Seveda sem se s hekerji spustil v drobovje same infrastrukture, vendar smo najprej želeli preveriti, ali je naša hipoteza o katastrofalnem stanju eDavkov sploh pravilna. Zato začnemo testirati eDavke s Qualysovim SSL testom. Ta zabetonira hipotezo: za varovanje slovenskih državnih spletnih strani je zelo slabo poskrbljeno. Stran trenutno dobiva oceno "T", kar pomeni, da ne zbere niti 20 od 100 možnih točk, kolikor jih je potrebnih za komaj pozitivno še vedno negativno oceno "F" (najboljša ocena je A+, ima jo tudi Slo-Tech). Za tako porazen rezultat je krivih več problemov, med katerimi so najbolj akutni raba samopodpisanega certifikata SIGOV-CA, raba starejšega šifrirnega algoritma 3DES ter površno pripravljena navodila za uporabnike (OK, tega zadnjega Qualysov test res ne preverja).



Čeprav levji delež krivde za opisano stanje nosi FURS, ki bi tako pomembno stran vsekakor moral bolje zavarovati, gre del krivde pripisati tudi Ministrstvu za javno upravo (MJU), pri katerem delujeta državna overitelja SIGOV-CA in SIGEN-CA; Ministrstvu za izobraževanje, znanost in šport (MIZŠ), pri katerem deluje inšpektor za elektronski podpis, ki že več kot deset let dovoljuje takšno stanje; ter seveda SI-CERTU, ki bi lahko manj hekal in več opozarjal na prav take sistemske pomanjkljivosti.

FURS ali ruski hekerji?

Potrditev prisotnosti strežnika in šifriranje komunikacije sta torej ključna dejavnika varnosti. PKI deluje kot sistem zaupanja in ugleda. Ko v brskalniku odprete določen spletni naslov, npr. https://edavki.durs.si, si seveda želite, da bi komunicirali z lastnikom te domene, torej FURS-om, ne pa z ruskimi hekerji, ki so vam uspeli podtakniti ponarejeno spletno stran. Kot vemo, brskalnik to preveri tako, da levo od naslova prikaže zaprto zeleno ključavnico (🔒). Ta nam zagotavlja, da je brskalnik prepričan, da komunicira s pravo domeno, in na varen (šifriran) način. Način, kako brskalnik to preveri, je pa sledeč. Brskalnik spletno stran najprej zaprosi za njeno kvalificirano digitalno potrdilo (tj. za strežniški certifikat). To potrdilo sestoji iz javnega ključa spletne strani, ter podpisov zaupanja vrednih izdajateljev (npr. Verisign, Thawte, Comodo). Ti izdajatelji s svojimi podpisi kriptografsko potrdijo, da so digitalno potrdilo zares izdali osebi, ki upravlja z domeno edavki.durs.si. Seznam zaupanja vrednih izdajateljev je vgrajen v brskalnik. Za uvrstitev na seznam mora izdajatelj pridobiti ustrezne akreditacije, dolgoročno pa so na njem lahko le tisti izdajatelji, ki imajo preverjeno zgodovino skrbi za varnost pri izdajanju ključev (torej ne Diginotar). Če torej brskalnik od strežnika prejme certifikat, ki so ga podpisali zaupanja vredni izdajatelji, ve, da lahko strani zaupa, sicer pa ne. Ker SIGEN-CA in SIGOV-CA nista uvrščena v seznam zaupanja vrednih izdajateljev, brskalnik za eDavke ne ve, ali stran res pripada osebi, zapisani v certifikatu, in to uporabniku jasno in glasno sporoči (glej sliko).



FURS svojega certifikata ni pridobil pri katerem od zaupanja vrednih overiteljev (niso dragi), temveč od vladnega overitelja SIGOV-CA. SIGOV-CA, za katero skrbi MJU, pa nikoli ni prestala (ne zastonj, a tudi ne pretirano dragih) mednarodnih certifikacij, ki bi ji omogočile, da bi jo glavni brskalniki dodali na svoje sezname zaupanja vrednih overiteljev. Posledično SIGOV-CI brskalnik ne zaupa in uporabnika na to seveda opozori. Da se to ne bi dogajalo ob vsakem obisku, FURS v navodilih na svoji spletni strani uporabnike poziva, naj se za to opozorilo ne zmenijo. Oziroma, če opozorila ne želijo več gledati, naj korenske certifikate SIGOV-CA sami ročno dodajo v seznam zaupanja vrednih potrdil v svojem brskalniku. Namesto, da bi sledili splošno sprejetim standardom, raje svoje uporabnike prosijo, naj jih kršijo.

To je v resnici že zelo stara zgodba in večina vas je v preteklosti prav to že storila, ker se vam več ni ljubilo gledati brskalnikovega opozorila. No, zdaj boste morali to narediti znova, ker je SIGOV-CA pred kratkim zamenjala svoje certifikate z novimi. Posledično so morali na novo izdati tudi certifikate (nekaterih)> vladnih spletnih strani, vključno s tistimi za eDavke in e-Upravo. Kar pomeni, da smo vsi uporabniki spet dobili opozorilo, da se povezujemo na spletno stran, katere identitete ni mogoče potrditi.

Razlogi, zakaj MJU FURS-u ne dovoli kupiti komercialnega certifikata (kot je to npr. urejeno v sosednji Avstriji ... in najbrž tudi v vsaki drugi normalni državi), niso javno znani. Stroški sprotne nabave t.i. "wildcard" certifikata za zavarovanje spletnih strani vseh vladnih agencij so zanemarljivi že v primerjavi s stroški poslovnih večerij v dvoje nekdanjega ministra za pravosodje.

Država bi s tem varnostno izjemno pridobila, prav nič pa izgubila (razen možnosti izvajanja MITM napadov nad uporabniki, ki ročno uvozijo njene certifikate). Če še vedno potrebuje lastne certifikate za zavarovanje internih storitev med samimi vladnimi organi, jih lahko mirno uporabi tam, saj lahko njihovo pristnost preveri ročno. Da za spletno poslovanje, kjer uporabnik spletne strani nima drugega načina, da preveri, ali lahko zaupa določeni strani, še vedno uporablja brezplačne samopodpisane certifikate, je resnično porazno.

Kot rečeno, celo NLB, ki ima tudi svojega overitelja (NLB-CA), več ne "škrtari" tako zelo, da bi za NLB Klik še vedno uporabljala samopodpisane certifikate.

A dacarji se niso “ustavili” (verjetno bi moral zapisati “šli naprej”), tako navodila za prevzem novih SIGOV-CA certifikatov niso zavarovana s šifrirano povezavo, prav tako pa ne tudi MJU-jeva spletna stran, kjer se te certifikate prevzame. Na njej je sicer takoj na vrhu napis "Ti podatki so dostopni tudi prek zašifrirane povezave.", a ta povezava je spet http, ne https, se pravi, nešifrirana (?). Težko si je predstavljati, kako lahko država omogoča prevzem njenih ključnih strežniških certifikatov po nešifrirani povezavi. Vse to ustvarja odlične okoliščine za postavitev ponarejenih eDavkov za namene kraje uporabniških podatkov s pomočjo phishinga, targetiranih napadov, pohekanih odprtih wifijev in podobno. Da je vse skupaj še lažje, te storitve niso enotno zbrane pod domeno .gov.si (Vlada RS), ampak razmetane po različnih .si domenah, tako da je na prvi pogled praktično nemogoče povedati, ali si na dejanski vladni strani ali na poceni ponaredku.

Dva gigabajta neresnosti prosim

Drug problem, torej šifriranje komunikacije zavoljo preprečevanja prisluškovanja ter motenja, rešuje protokol TLS. Uvodno dejanje vzpostavitve povezave https je dogovor o šifrirnem algoritmu, ki ga bosta brskalnik in strežnik uporabila za zavarovanje nadaljnje komunikacije. To se zgodi takoj, ko v brskalniku odprete povezavo https. Brskalnik se poveže na strežnik edavki.durs.si, na vrata 443, ter strežniku pošlje t.i. "client hello" paket. V njem strežniku javi, katere kriptografske algoritme podpira. Če uporabljate sveže nadgrajen Chrome, Firefox, ali Edge, že imate vse najnovejše. Strežnik na to odgovori z paketom "server hello". V njem še sam sporoči, katere algoritme podpira. Brskalnik nato vzame prvega (tj. najboljšega) od tistih, ki jih ponuja strežnik in ki ga podpira tudi sam.

Žal pa nabor algoritmov, ki jih podpira strežnik eDavkov, ni najbolj sodoben. Strežnik ponuja le dve različici starejšega algoritma 3DES, ter dokazano zlomljeni algoritem RC4. Ne podpira pa novejšega algoritma AES, ki trenutno velja kot uradni standard. Prav tako ne podpira nobene od modernih funkcij, ki še dodatno zavarujejo komunikacijo, kot sta "perfect forward secrecy" (PFS) in "certificate pinning". PFS je tehnologija, ki preprečuje naknadno dešifriranje že zajetih komunikacij. Na kratko to pomeni, da če vam je nekdo pol leta prisluškoval in v tem času zajel več deset vaših sej z eDavki, danes pa je prišel še do kopije zasebnega ključa eUprave, vseeno ne more odkleniti vseh preteklih sej. Certificate pinning pa močno otežuje postavljanje ponarejenih spletnih strani. Če ste v preteklosti že pogovarjali s pristnimi eDavki, in bi ti podpirali pinning, bi si brskalnik zapomnil njihov certifikat. Če bi kasneje obiskali stran, ki se pretvarja, da je eUprava, bi brskalnik videl, da ima nov certifikat in bi vseeno "zajokal". Oboje je danes standard na pomembnejših spletnih straneh.

Poenostavljeno gledano, FURS še vedno uporablja algoritme, ki jih stroka že več kot deset let odsvetuje, in ki že zdaj omogočajo določene napade. Od državne institucije, ki de facto upravlja državno blagajno, takšne neresnosti res ni bilo pričakovati.

Vdor za pet centov

"Predstavljene “napake” so bolj kot ne teoretične, uporabniki niso zares ogroženi," vas bo država prek drugih medijev kot odgovor na ta članek prepričevala cel teden. Vendar … žal … ne bodo govorili resnice. Andraž Brodnik je pred časom prikaz povsem realen napad na SIGOV-CIno patetično varnostno infrastrukturo. S pomočjo prosto dostopnega orodja "mitmproxy" je postavil kopijo SIGOV-CIne spletne strani za prevzem certifikatov (tiste, ki ni zavarovana s https). Takšno orodje bi mirno lahko uporabil, če bi se predstavljal kot prosto dostopen WiFi na kakšnem javnem kraju. Vsi uporabniki povezani nanj, bi namesto pravega SIGOV-CA korenskega certifikata prevzeli njegov lažni certifikat. To bi mu omogočilo, da lahko potem postavi katerokoli lažno spletno stran, vključno s spletno banko. Demonstracijo si lahko ogledate v sledečem videoposnetku.



Psi lajajo, kravana gre dalje

Končal bom s slovenskim pregovorom o odkrivanju tople vode. Nič kar ste prebrali, ni novo. Vse to državljani vemo že leta. In tudi državni organi se tega “zavedajo” (vstavi besedo za stanje pod vplivom katerokoli psihadelične droge). Zakaj MJU to dovoljuje? Zakaj pristojni Inšpektor za elektronski podpis (od l. 2013 pri MIZŠ) že od leta 2003 izvaja inšpekcijske nadzore, pri katerih nikoli ne ugotovi nobenih kršitev (res, niti enkrat samkrat)? Zakaj jim glede tega ne protestira SI-CERT?

Če preberemo komentar MJU, zagotavljanje varnosti uporabnikom niti ni nek cilj (oz. "v kratkem" pomeni "ne v naslednjih dveh tednih"). Prav tako pa imamo težave z razumevanjem razlike med certifikati namenjeni preverjanju veljavnosti (kvalificiranih) digitalnih podpisov ter certifikati namenjeni ugotavljanju identitete spletne strani.

201 komentar

«
1
2 3
...
5

MrStein ::

SIGOV-CA, za katero skrbi MJU, pa nikoli ni prestala (ne zastonj, a tudi ne pretirano dragih) mednarodnih certifikacij, ki bi ji omogočile, da bi jo glavni brskalniki dodali na svoje sezname zaupanja vrednih overiteljev.

Ni ravno res. Microsoft (torej IE, Chrome in še kateri browser) že dolgo "priznavajo" SIGOV (in verjetno SIGEN, se zdaj ne spomnim). Torej ni opozorila, ampak ... recimo "vse štima" na kratko.
(velja za "stare" CA)

To je v resnici že zelo stara zgodba in večina vas je v preteklosti prav to že storila, ker se vam več ni ljubilo gledati brskalnikovega opozorila. No, zdaj boste morali to narediti znova, ker je SIGOV-CA pred kratkim zamenjala svoje certifikate z novimi. Posledično so morala na novo izdati tudi certifikate vladnih spletnih strani, vključno s tistimi za eDavke in e-Upravo.

- novi certfiikati pa še res niso "priznani" s strani MS (od drugih verjetno tudi ne), vsaj pred dnevi ko sem nazadnje preverjal niso bili
- novi korenski/vmesni cert še ne pomeni nuje po zamenjavi vseh končnih. Sploh fizične osebe ne bodo menjavale svojih (pač dokler ne potečejo).

Pa ne preveč čez JU "šimfat", bodo eni "vidni člani foruma" užaljeni...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Primoz ::

Pač ja ... bili so toliko nori, da novih "root" potrdil niso podpisali s starimi, ko so se zafrkavali s tem. In sedaj pišejo navodila kako zaobit vse skupaj.
There can be no real freedom without the freedom to fail.

Invictus ::

V glavnem gre za nesposobnost SI-CERTa.

In celotne državne IT.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Kurzweil ::

Kar se članka tiče ima cel kup typo ali slovničnih napak, v celoti gledano pa super članek in z veseljem sem ga prebral. Upam na še več tovrstne avtorske in raziskovalne vsebine.

V članku je vse lepo napisano, tako da škoda da kaj dodajam, gre pa spet za eno tistih stvari, ko je nam državljanom bolj nerodno ob tako obupnem delovanju javne uprave, kot pa ljudem, ki so za to "odgovorni". Sramota!

fireice ::

Po novem obstaja tudi "prakticen" napad na 3DES... Sweet32

Ales ::

Vse lepo in prav, ampak tale del problematike avtor članka ne razume pravilno:

FURS svojega certifikata ni pridobil pri katerem od zaupanja vrednih overiteljev (niso dragi), temveč od vladnega overitelja SIGOV-CA.

Popolnoma pravilno. Z uporabo tujih "zaupanja vrednih" overoviteljev bi le-tem FURS dal v roke vsa orodja za kreacijo poljubnih novih ali podvojenih certifikatov (za MITM vohljanje, npr.), ki bi izgledali popolnoma verodostojni. Država si tega ne bi smela privoščiti, in si tudi ni. Nima to veze s stroški pridobitve takih tujih certifikatov, ki so, kakor je omenjeno, zanemarljivo majhni.

Država absolutno mora imeti popoln nadzor nad svojim korenskim overoviteljem. Sicer je najbolje, da kar sama razdeli tujim tajnim službam kopije zasebnih ključev.

SIGOV-CA, za katero skrbi MJU, pa nikoli ni prestala (ne zastonj, a tudi ne pretirano dragih) mednarodnih certifikacij, ki bi ji omogočile, da bi jo glavni brskalniki dodali na svoje sezname zaupanja vrednih overiteljev. Posledično SIGOV-CI brskalnik ne zaupa in uporabnika na to seveda opozori.
To pa je fail. Šlamparija.

Ampak to še zdaleč ne pomeni, da v osnovi ti certifikati niso zaupanja vredni. So, in to precej bolj, kot bi bili, če bi jih izdal npr. Symantec oz. kdorkoli že.

zee ::

Popolnoma pravilno. Z uporabo tujih "zaupanja vrednih" overoviteljev bi le-tem FURS dal v roke vsa orodja za kreacijo poljubnih novih ali podvojenih certifikatov (za MITM vohljanje, npr.), ki bi izgledali popolnoma verodostojni.


Ce ze spijunirajo, naj spijunirajo nasi.press?

Potrditev verodostojnosti s strani tujih overiteljev pomeni, da so ti certifikati privzeto vkljuceni v sodobne brskalnike.

Ampak to še zdaleč ne pomeni, da v osnovi ti certifikati niso zaupanja vredni.


Si 100% preprican? Jaz nisem.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

OK.d ::

Državi se j..e za državljane in njihove podatke, SI-CERT pa modro molči-sramota.
LPOK.d

Ales ::

zee je izjavil:

Popolnoma pravilno. Z uporabo tujih "zaupanja vrednih" overoviteljev bi le-tem FURS dal v roke vsa orodja za kreacijo poljubnih novih ali podvojenih certifikatov (za MITM vohljanje, npr.), ki bi izgledali popolnoma verodostojni.


Ce ze spijunirajo, naj spijunirajo nasi.press?

Kar se mene tiče, ni treba nikomur. Državni organi, taki in drugačni, naj uporabljajo zakonite poti za pridobitev podatkov, če jih že rabijo. Ostale pa po prstih.

Potrditev verodostojnosti s strani tujih overiteljev pomeni, da so ti certifikati privzeto vkljuceni v sodobne brskalnike.

In? Je to 100% :P varno?

Symantec Issues Intermediate CA Certificate for Blue Coat Public Services
Don't panic, says Blue Coat, we're not using CA cert to snoop on you
Chinese CA WoSign faces revocation after possibly issuing fake certificates
WoSign's secret purchase of StartCom: WoSign threatened legal actions

Ne rečem, sprotno preverjanje verige zaupanja certifikata s strani brskalnika je praktična zadeva, kljub vsem slabostim. Ampak naj se SIGEN-CA raje potrudi in se doda v brskalnike, če je to glavni problem.

Ampak to še zdaleč ne pomeni, da v osnovi ti certifikati niso zaupanja vredni.


Si 100% preprican? Jaz nisem.

Nimam podatkov, da bi na SIGEN-CA delali kaj narobe, kar se tiče internih postopkov. Kar seveda ne pomeni, da sem absolutno prepričan v njihovo zanesljivost.

S praktičnega stališča me predvsem zanima, ali je veriga zaupanja pri vseh, ki so ročno namestili SIGEN-CA certifikate, v tem trenutku sploh ok, glede na okoliščine... So res preverili certifikate pred namestitvijo? So jih preverili s primerjavo s pravimi podatki?

PandaFlow2 ::

To, da ima javna uprava za web server certifikate svoj root CA je en velik joke.

Moja spletna banka, Gmail, Dropbox, Slo-Tech in VSI ostali uporabljajo certifikat od enega izmed svetovno priznanih izdajateljev in tako ni treba "pohekati" vsakega računalnika, na katerem želim te storitve uporabljati. Ampak za eDavke, kjer lahko pogledam koliko sem dolžen državi - je pa treba dodati trusted root CA, ipd....

Ampak sej, kaj pa jaz vem. Mogoče je pa SI-CA "ahead of its time" - preveč napredna, da bi njihove storitve uporabljali v mainstreamu...

stb ::

Mindset vzdrževalcev je da ne spreminjajo dokler "deluje". Brskalniki bi morali odstraniti slabe algoritme (zgolj privzeto onemogočiti ni dovolj, ker bi pač uporabnikom dali navodila kako zaobiti opozorila in spet omogočiti slabe algoritme) in potem bi se stvari morda premaknile na bolje.

Tudi pisec članka sam je kriv za takšno stanje. Namesto da opušča varnost bi pač moral osebno na okencu oddati svoje zaupne dokumente. Natisnjene v comic sans pisavi. Vsak mesec. Nekaj tisoč takih bi moralo biti dovolj, da bi se s časom kaj spremenilo. Morda še bolje kot vsak mesec uradnikom dajati občutek nepogrešljivosti bi bilo pa to v večjem obsegu izvesti usklajeno enkrat letno (npr decembra).

Za razliko od slovenskega zasebnega sektorja ima država vsaj SI-CERT, ki ob prijavi ranljivosti prijavitelja vsaj ne začne obtoževati vdorov.


Malo širša, a še vedno le avtomatska analiza, ki jo je potrebno interpretirati s kančkom razuma:
https://observatory.mozilla.org/analyze...
https://observatory.mozilla.org/analyze...
...

Ostale "varne" državne strežnike najdete na: https://www.google.si/search?q=inurl:ht...

borisk ::

Bolj je problem to, da so zamenjali korenske certifikate, pa niso poslali niti enega Qrčevega maila, samo obvestilo na strani, na katero pa ne prideš, če ne namestiš novih certifikatov.

stb ::

borisk je izjavil:

Bolj je problem to, da so zamenjali korenske certifikate, pa niso poslali niti enega Qrčevega maila, samo obvestilo na strani, na katero pa ne prideš, če ne namestiš novih certifikatov.

E-mail je idealen phishing vektor. Enomesečna oglaševalska kampanija na nacionalni televiziji. Vsaj.

Zgodovina sprememb…

  • spremenil: stb ()

NoName ::

IIRC "T" ne pomeni najnižje možne ocene, ampak nakazuje "Trust Issue", ergo self-signed certi in podobno, kar bi se s kakšnimi naprednimi prijemi dalo izognit (DNSSEC ter TLSA record za cert - na kratko - DANE), ako bi ga le kdo uporabljal. Če bi bil "F" pa bi to pomenilo slabo oceno, as in "Failed". Pa kakor vem, moraš za večino tehle napadov še vedno glumit MITM...
I can see dumb people...They're all around us... Look, they're even on this forum!

deleted ::

Dober članek. Manjkajo še imena odgovornih za posamezne zadeve, da bo kdo začel delat.

Predlagam, da bi bili na ST pod kvalitetnimi članki btc naslovi za donacije.

user1618 ::

Če inšpektor ne ugotovi neskladnosti, bo že v redu. :D
"If we were supposed to talk more than listen
we would have been given two mouths and one ear"
- Mark Twain

          ::

Vpračanje, ki se mi ob tem postavlja: šlamparija ali namenoma?

#000000 ::

verjetno namerno, ker zdej bo še ta folk ki je uporabljal estoritve cviknil (upravičeno) in se začel drenjati za okenci, oni pa bodo rekl evo spet nase je premal, al zaposlite dodatno silo ali pa višje plače :)

matr je fajn

deadbeef ::

Sploh me ne preseneča! Stran je odraz stanja v državi.

gus5 ::

PandaFlow2 je izjavil:

Moja spletna banka, Gmail, Dropbox, Slo-Tech in VSI ostali uporabljajo certifikat od enega izmed svetovno priznanih izdajateljev

In 'svetovno priznani izdajatelji' so jamstvo tvoje varnosti in zasebnosti? :)):)):))

Tech2k ::

Kera sramota, vsaj strežnik bi lahko nastavil za TLS 1.2 in AES.

PandaFlow2 ::

gus5 je izjavil:

PandaFlow2 je izjavil:

Moja spletna banka, Gmail, Dropbox, Slo-Tech in VSI ostali uporabljajo certifikat od enega izmed svetovno priznanih izdajateljev

In 'svetovno priznani izdajatelji' so jamstvo tvoje varnosti in zasebnosti? :)):)):))


Koliko spletnih strani prostovoljno izbere SI-CA in koliko enega izmed "svetovno priznanih izdajateljev"?

gapipro1 ::

Lep star dokaz kako slovenska stroka nima pojma in kako se državi jebe za vse.

Ampak enako se tudi meni jebe za njo.

Looooooka ::

Ne pozabimo na njihove komponente za podpisovanje in navodila, da naj uporabniki naložijo STAREJŠE verzije brskalnika, da jim bo zadeva delovala. Torej tudi tam zahtevajo luknjasto verzijo na strani uporabnika. Carji.

gus5 ::

PandaFlow2 je izjavil:

gus5 je izjavil:

PandaFlow2 je izjavil:

Moja spletna banka, Gmail, Dropbox, Slo-Tech in VSI ostali uporabljajo certifikat od enega izmed svetovno priznanih izdajateljev

In 'svetovno priznani izdajatelji' so jamstvo tvoje varnosti in zasebnosti? :)):)):))


Koliko spletnih strani prostovoljno izbere SI-CA in koliko enega izmed "svetovno priznanih izdajateljev"?

Nekaj sekund in nekaj klikov, s katerim dodamo digitalno potrdilo med zaupanja vredne, je prevelik napor?

Looooooka ::

Folk tega dejansko ne zna. Ni problem v uporabnikih, ki berejo slo-tech. Sploh je pa nepotrebno in ceneno.

poweroff ::

Ales je izjavil:

Država absolutno mora imeti popoln nadzor nad svojim korenskim overoviteljem. Sicer je najbolje, da kar sama razdeli tujim tajnim službam kopije zasebnih ključev.

To je res, in je pomislek na mestu. Verjetno to jaz še najbolje vem, saj sem si pred par leti ustvaril lažne a veljavno podpisane certifikate na Klik NLB in še cel kup bank. Ampak...

1) SI-CA očitno ni prestal vse ustreznih testov. Razlog za to je verjetno sicer "šparanje", ampak vseeno. Če želimo SI-CA overitelju zaupati, bi bilo zelo koristno, da bi prestal kakšno resno certificiranje, katerega rezultati in postopki bi bili javno znani.

2) Nastavitve HTTPS strežnikov kažejo, da se državni upravi bolj kot ne j** za varnost. SI-CA bi lahko imel politiko, da bo podpisal samo tiste certifikate, kjer se imetniki držijo strogih varnostnih standardov.

3) Prevzem korenskega potrdila je mogoč preko NEŠIFRIRANE strani. Se pravi njim se gladko je** za varnost!!! Mimogrede:
https://www.ssllabs.com/ssltest/analyze...
SI-CA ima varnost F. Kaj vse manjka, vključno z "weak signature" si poglejte sami. Oni so zaupanja vredni???

4) FURS bi svoje certifikate lahko podpisal z več overitelji - enim komercialnim in SI-CA.

Ales je izjavil:


S praktičnega stališča me predvsem zanima, ali je veriga zaupanja pri vseh, ki so ročno namestili SIGEN-CA certifikate, v tem trenutku sploh ok, glede na okoliščine... So res preverili certifikate pred namestitvijo? So jih preverili s primerjavo s pravimi podatki?

S kakšnimi pravimi podatki?

Ko je Brodul delal demo MITM napad, je seveda pofejkal hashe. In če si preveril certifikat, se je vse ujemalo!

gus5 je izjavil:

Nekaj sekund in nekaj klikov, s katerim dodamo digitalno potrdilo med zaupanja vredne, je prevelik napor?

Katero digitalno potrdilo? Pravo, ali "brodulovo" lažno? >:D

Mimogrede, ne gre za nov problem. Prvič smo na to opozarjali pred dobrimi dvemi leti:
https://pravokator.si/index.php/2014/04...

Nazadnje na ta zelo konkreten problem pred dobrim mesecem:
https://pravokator.si/index.php/2016/07...

Spremenilo se ni N.I.Č.
sudo poweroff

#000000 ::

Kaj pa imena ? Mislm da če bi kje recimo v Avstriji izvedeli za tako šlamparijo in to ne samo eno ampak kr cela serija tega sranja, mislm da bi do 12 ure isto dopoldne letelo cel kup IT stručkotov pa par folka bi odstopilo s položaja to je zihr.

darkolord ::

@Matthai: kje si pa dobil tvoj trenutni seznam zaupanja vrednih overoviteljev certifikatov?

Utk ::

Ni problem v dveh klikih, ampak da država vzpodbuja, da ljudje to delajo. To kar ti vsak brskalnik z velikim rdečim napisom sporoča, da ne delaj, je nevarno itd. Kot ponavadi, pri nas vse po domače.

japol ::

Točno to je problem ja, ker uradne strani "učijo" da ni nič narobe če se klikne na gumb. Potem se pa zgražajo vsi kako pa zakaj se to počne.
Npr.: pošta slovenije: https://www.posta.si/
dobim okno:

Zgodovina sprememb…

  • spremenil: japol ()

Invictus ::

Podobno javi Chrome na eDavkih...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

brodul ::

Hasha se v proxiju, ne da ponaredit, se pa da nastavit poljuben korenski certifikat, ki ga lahko zgeneriras.
Pretending to be a mature adult is so exhausting.

Primoz ::

Lahko v proxyu ponaredis kater hash kaze stran tam pri strani za download certifikata :P
There can be no real freedom without the freedom to fail.

680x0 ::

gus5 je izjavil:


In 'svetovno priznani izdajatelji' so jamstvo tvoje varnosti in zasebnosti? :)):)):))


Če ne zaupaš svetovno priznanim izdajateljem, potem imaš s trenutno tehnologijo e-davkov resen problem, razen če si privzeto izbrisal vse CAje iz svojega brskalnika/OSa. Ker e-davki ne uporabljajo certificate pinninga, in če privzameš, da je eden od priznanih CAjev kompromitiran, potem ti lahko na MITM stran enostavno narišejo tisto zeleno ključavnico, kljub temu, da imaš dodane SI-TRUST certifikate.

gus5 je izjavil:


Nekaj sekund in nekaj klikov, s katerim dodamo digitalno potrdilo med zaupanja vredne, je prevelik napor?


darkolord je izjavil:

@Matthai: kje si pa dobil tvoj trenutni seznam zaupanja vrednih overoviteljev certifikatov?


Bistvena tu je veriga zaupanja. Uporabnik seznam zaupanja vrednih CAjev dobi z brskalnikom. Ki ga je naložil s strani, za katero jamči certifikat, ki ga je dobil z OSom. Ki ga je dobil na novem računalniku ali instaliral z originalnega DVDja. Da bi nekdo tretji v to verigo vnesel svoj certifikat, bi ti moral podtaknit svoj DVD z ponarejenim OSom, ali pa kompromitirat enga ali več OEM partnerjev, kar je neizmerno drag projekt za dosego cilja.

Da nekdo uporabnika prepriča, da klikne "zaupam temu certifikatu", ni potrebno praktično ničesar, kar potrjuje razširjenost malewara, ki se širi z odpiranjem email prionk. Če ga k slepemu zaupanju (v nasprotju z vsemi primeri dobre prakse) poziva kar sama javna uprava pa sploh. Tak poizkus podtaknitve tretjega certifikata je praktično brezplačen za napadalca.

Sposobnost MJUja gor ali dol, tule bi verigo zaupanja FURS lahko ohranil na več načinov. Najlažje bi bilo obvestilo na e-davkih, ki bi uporabnike opozorilo, da morajo v roku 1 leta zamenjati korenski CA. Certifikate bi nato lahko naložili preko HTTPS povezave, ki bi ji zaupal na podlagi že nameščenih "starih" certifikatov.
Prvotni certifikat, ki začne verigo zaupanja, bi uporabnik FURSa lahko prejel po priporočeni pošti ali pa ga osebno prevzel na FURSu.

Namesto tega so popolnoma razdrli verigo zaupanja in vse uporabnike napotili na nevarovano stran po nov CA certifikat in s tem odprli možnost zelo poceni napada.

Miha 333 ::

stb je izjavil:


Tudi pisec članka sam je kriv za takšno stanje. Namesto da opušča varnost bi pač moral osebno na okencu oddati svoje zaupne dokumente. Natisnjene v comic sans pisavi. Vsak mesec. Nekaj tisoč takih bi moralo biti dovolj, da bi se s časom kaj spremenilo. Morda še bolje kot vsak mesec uradnikom dajati občutek nepogrešljivosti bi bilo pa to v večjem obsegu izvesti usklajeno enkrat letno (npr decembra).

Oddajanje na papirju vsaj za podjetja in s.p.-je ni več mogoče, se pravi bi bilo isto kot če sploh ne bi oddal.

Truga ::

Zakaj MJU to dovoljuje?


https://en.wikibooks.org/wiki/Professio...

To se lahko samo dobro konca :P

Alencica ::

Pravne osebe baje sploh ne morejo več priporočeno oddajat napovedi ampak morajo po online poti. Je to sploh ustavno? Da siliš/omejuješ samo na en medij?
Me zanima kaj fursovec reče na drugi strani, ko mu poveš za to varnostno luknjo pa še da ne boš oddal na ta način ker ni free software (*MORAM* imet enega od brskalnikov???)

Pithlit ::

Alencica je izjavil:

Me zanima kaj fursovec reče na drugi strani, ko mu poveš za to varnostno luknjo pa še da ne boš oddal na ta način ker ni free software (*MORAM* imet enega od brskalnikov???)

Kak mesec ne oddaš pa fašeš račun (800€ baje) in blokado na poslovnih računih (če si sp pa še na osebnih). Simpl.
Life is as complicated as we make it...

poweroff ::

darkolord je izjavil:

@Matthai: kje si pa dobil tvoj trenutni seznam zaupanja vrednih overoviteljev certifikatov?

V brskalniku. Brskalnik sem naložil preko repozitorya in je digitalno podpisan. OS sem namestil iz ISO imagea in preveril njegov hash. -povsem sicer razumem kje je problem. Ampak dejstvo je, da je mojo pot bistveno težje kompromitirati kot prevzem SI-CA certifikata.

Namreč, kar je država sedaj naredila je to, da je vse računovodje obvestila, da je normalno, da se nekaj dogaja z digitalnimi certifikati. Da je normalno, da se pojavljajo neka obvestila, pa da je treba klikat "yes, yes, I agree".

Zdaj je priložnost za tatove. Na računalnik ti podtaknejo virus, ki bo delal ciljan MITM na bančništvo ter SI-CA overitelja. Ko bo šel računovodja na banko, mu bo virus izpisal obvestilo, da so spet zamenjali certifikat. Računovodja se bo malo jezil, ampak je pač navajen, da je treba "spet nekaj narediti" s temi certifikati. In je večja verjetnost, da bo namestil podtaknjen SI-CA korenski certifikat. Od tam naprej ima napadalec lahko delo.

Kar so torej storili na MJU je to, da so te napade naredili lažje izvedljive.
sudo poweroff

Spura ::

Vidim da nisem edini, ki je opazil komplet nesposobnost drzavnega ITja.

matobeli ::

saj ti ni potrebno samo ITja izpostavit. Edina veja v JU, ki deluje je DURS...

Pithlit ::

matobeli je izjavil:

saj ti ni potrebno samo ITja izpostavit. Edina veja v JU, ki deluje je DURS...

?
Life is as complicated as we make it...

eee ::

Imena in priimke odgovornih. Lahko dodamo tudi sliko s FBja. Javna uprava več kot očitno noče prevzeti odgovornosti za nič. Izbrskajmo še maile in jim začnimo težit. Vsak lahko pošlje mail ali dvigne telefon.

Zgodovina sprememb…

  • spremenilo: eee ()

matobeli ::

Pithlit je izjavil:

matobeli je izjavil:

saj ti ni potrebno samo ITja izpostavit. Edina veja v JU, ki deluje je DURS...

?


Hotel sem povedat da je državni IT popolnoma na nivoju ostale JU, razen izjem.

Zgodovina sprememb…

  • spremenilo: matobeli ()

Pithlit ::

In kot izjemo navajaš nekaj neobstoječega?
Life is as complicated as we make it...

Miha 333 ::

Pithlit je izjavil:

Alencica je izjavil:

Me zanima kaj fursovec reče na drugi strani, ko mu poveš za to varnostno luknjo pa še da ne boš oddal na ta način ker ni free software (*MORAM* imet enega od brskalnikov???)

Kak mesec ne oddaš pa fašeš račun (800€ baje) in blokado na poslovnih računih (če si sp pa še na osebnih). Simpl.

+ sodnik za prekrške za odgovorno osebo.

matobeli ::

https://slo-tech.com/script/forum/vnoss...

Joj, grozno, davčni aparat v RS. dacarji po domače. Oziroma kakorkoli se že kličejo v trenutnem sistemu.

Sploh pa te bolj moti sklic, za katerega je vsakomur jasno, kot pa sam komentar;((
JU much?

Zgodovina sprememb…

  • spremenilo: matobeli ()

Pithlit ::

Ne, v bistvu me moti da naročniku in upravitelju tega zmazka rečeš da deluje. Pač hotla sem ti dat šanso da se izmotaš.
Life is as complicated as we make it...
«
1
2 3
...
5


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

edavki.durs.si (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Izdelava spletišč
35987301 (11847) Buggy
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20180929 (63483) jukoz
»

FURS in Telemach priporočata uporabo starih luknjičastih brskalnikov (strani: 1 2 )

Oddelek: Novice / Brskalniki
9238665 (32815) mojca
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20185229 (59424) MrStein
»

Vista eDavki izbor certifikata

Oddelek: Operacijski sistemi
154227 (3912) Romancek1

Več podobnih tem