» »

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti

Slo-Tech - V nedeljo popoldan se je na nas (in na SI-CERT) preko omrežja Tor obrnil neimenovan varnostni raziskovalec, ki je odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja AJPES. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo AJPES-u. Ker je bilo obvestil v zvezi s to spletno stranjo iz različnih virov v zadnjem času kar precej in ker gre v tem primeru res za jagodni izbor, smo se odločili prejeto obvestilo objaviti nemudoma.

Varnostni raziskovalec je ugotovil, da zaradi napake v podpisni komponenti obstaja možnost, da napadalec, ki ima zmožnost izvesti aktiven napad s posrednikom (tim. MITM napad), žrtev pretenta, da z zasebnim ključem svojega kvalificiranega digitalnega potrdila podpiše poljubno vsebino pod nadzorom napadalca.

A to še ni vse. Raziskovalec je tudi ugotovil, da podpisna komponenta v nekaterih primerih sploh ne podpisuje dokumentov, pač pa zgolj identifikatorje dokumentov na strežniku AJPES-a. To je seveda problem, saj obstaja možnost, da s posegom (npr. administratorja sistema oz. kogarkoli, ki ima dostop do AJPESove strežniške infrastrukture) identifikator dokumenta ostane isti, sam dokument na strežniku pa se spremeni.

Po našem mnenju ne gre samo za varnostno ranljivost, pač pa za popolnoma neustrezno implementacijo digitalnega podpisa, saj podpisna komponenta sploh ne omogoča podpisovanja dejanskih dokumentov. Če drži, da se ne podpisujejo dokumenti, pač pa le njihovi identifikatorji, je celoten sistem popolnoma neustrezen in bi ga AJPES moral nemudoma prenehati uporabljati. Pri tem se seveda zastavi tudi vprašanje verodostojnosti in veljavnosti dokumentov, ki so že v sistemu, in ki so bili neustrezno "podpisani". Po našem mnenju bi bilo najbolj smiselno, da se verodostojnost in integriteto na neustrezen način podpisanih dokumentov ponovno preveri in ugotovi ali so avtentični ali pa morda spremenjeni.

Zdaj pa h podrobnostim.

Podpisovanje dokumentov z mdSign, ki ga uporablja AJPES poteka takole.

1. Najprej se na strežniku ustvari ustrezen dokument.

2. Nato odjemalec k sebi prenese datoteko s končnico .mdsign, ki vsebuje ovojnico v formatu XML. Kot kaže, je ovojnica šifrirana, v elementu <Content> pa se nahaja BASE64-kodirana in šifrirana vsebina. Mimogrede, datoteka se prenese preko navadne, HTTP povezave, torej prenos med strežnikom in odjemalcem ni šifriran. Zakaj je to pomembno, bomo videli nekoliko kasneje.

3. Na tej točki je varnostni raziskovalec programsko opremo za podpisovanje analiziral s tim. povratnim prevajalnikom (ang. decompiler) in ugotovil, da je vsebina te datoteke (ki se do odjemalca prenese preko nešifrirane povezave) šifrirana s statičnim ključem in statičnim inicalizacijskim vektorjem (AES, CBC)!! Povedano drugače - parametri za dešifriranje (ključ in IV vektor) so fiksni in na voljo v podpisni komponenti sami! Kar je dobesedno recept za katastrofo.

4. Datoteka, ki jo z omenjenima dvema parametroma dešifriramo, pa vsebuje kup zanimivih podatkov. Element <Files> vsebuje URL naslove datotek, ki jih bo odjemalec preko nešifrirane (HTTP) povezave prenesel pred podpisom. Te datoteke seveda lahko vsebujejo občutljive podatke. Element <Cookie> vsebuje avtentikacijske podatke brskalniške seje. S temi podatki lahko napadalec ugrabi sejo in dostopa do žrtvinih dokumentov ali jih v imenu žrtve oddaja na APJES-ov strežnik.

In za povrh - samo podpisovanje poteka tako, da odjemalec iz elementa <DownloadURL> prebere URL naslov iz katerega si prenese vsebino, to vsebino pa nato slepo podpiše.

To napadalcu omogoča, da odjemalcu podtakne URL do poljubnega dokumenta, ki ga bo potem odjemalec mirno podpisal, ne da bi sploh preveril kaj podpisuje.

Vsebina, ki se podpisuje, pa kot rečeno (v nekaterih primerih) ni vsebina dokumenta, pač pa njegov identifikator (domnevno vsaj na primeru pooblastil za vlaganje dokumentov), ki se nahaja v elementu XML (<XML>XXXXXX</XML> - XXXXXX je identifikator dokumenta na strežniku AJPES-a).

Iz navedenih razlogov - zlasti pa zato, ker kaže, da glede na navedeno zavezanci v resnici dokumentov sploh ne podpisujejo (pač pa le njihove identifikatorje), smo mnenja, da bi zavezanci morali podpisno komponento nemudoma prenehati uporabljati. Ne samo da podpisna komponenta deluje nepravilno in ne omogoča podpisovanja dejanskega dokumenta, njena uporaba je po našem mnenju tudi nevarna, saj potencialnemu napadalcu omogoča, da le-ta ugrabi sejo in dostopa do občutljivih dokumentov, oziroma v imenu žrtve na APJES-ov strežnik oddaja lažne dokumente. Poleg tega pa napadalec žrtvi v podpis lahko podtakne tudi poljuben dokument in tako podpisan dokument bo imel seveda pravno veljavo.

Glede na obvestilo, ki nam ga je posredoval raziskovalec, smo tudi mnenja, da podpisne komponente ne bo mogoče kar tako popraviti. Podpisna komponenta sicer ima podporo za uporabo HTTPS šifriranih povezav (kar pa se kot rečeno ne uporablja!), a je pregled kode pokazal, da se v tem primeru ne preverja digitalnega potrdila strežnika. To pomeni, da četudi bi pri AJPES-u vključili podpisovanje preko HTTPS povezav, bi napadalec lahko namesto AJPESovega spletnega potrdila lahko preprosto podtaknil svoje spletno potrdilo, sistem pa tega ne bi ustrezno zaznal.

Po mnenju raziskovalca, ki nas je kontaktiral, bi bilo edino pravilno, da bi vsi prenosi dokumentov potekali preko HTTPS povezav, AJPESov strežnik bi šifriral in s svojim zasebnim ključem overil vsebino, ki jo posreduje odjemalcu v podpis, odjemalec pa bi preveril integriteto vsebine in mu predvsem pokazal katero vsebino sploh podpisuje. Z njegovim mnenjem se lahko le strinjamo.

Nadalje je raziskovalec mnenja, da bi morali biti vsi protokoli in implementacije, ki se uporabljajo v povezavi s kvalificiranimi potrdili obvezno javno objavljeni ter predhodno varnostno pregledani - tako s strani najetih strokovnjakov, kot tudi s strani zainteresirane strokovne javnosti. Rezultati varnostnih pregledov bi seveda morali biti javni, ranljiva in nevarna programska koda pa bi morala biti nemudoma umaknjena iz produkcije. Tudi s tem se lahko le strinjamo.

Ker imajo po obstoječi zakonodaji digitalni podpisi narejeni s kvalificiranimi digitalnimi potrdili enakovredno pravno veljavo kot lastoročni podpisi posameznikov oz. zastopnikov pravnih subjektov, smo mnenja, da je slovensko javnost potrebno nemudoma opozoriti na nevarnosti pri uporabi AJPESove podpisne komponente. Po našem mnenju bi morali uporabniki nemudoma prenehati z uporabo obstoječe AJPESove podpisne komponente, zato v skladu z načeli odgovornega razkrivanja varnostnih ranljivosti zavezance, ki uporabljajo AJPESovo podpisno komponento pozivamo, da le-to nemudoma prenehajo uporabljati ter da v evidencah AJPESa preverijo ali so dokumenti, ki so jih že podpisali sploh avtentični ali ne.

Ker v zvezi s to ranljivostjo nastaja škoda z vsako ponovno uporabo podpisne komponente na AJPESovi spletni strani (možnost podtikanja lažnih dokumentov v podpis), drugih posledic pa razkrita ranljivost nima, pri objavi nismo spoštovali sedem dnevnega roka, ki si ga je za "opredelitev do navedb" zaželel AJPESov izvajalec.

Glede na vse ranljivosti, ki so bile v zadnjem času povsem po naključju odkrite na AJPESovih sistemih, pa se lahko upravičeno vprašamo v kakšnem stanju je njihov informacijski sistem in kaj vse bi še odkril resen in strokoven varnostni pregled. Zastavlja pa se tudi vprašanje odgovornosti vodstva, ki je po našem mnenju objektivno odgovorno za pravilnost in zakonitost delovanja svojih sistemov.

201 komentar

«
1
2 3
...
5

Looooooka ::

Če raziskovalec ni bil nezadovoljen član ekipe sem jaz papež.
Opisana implemetacija je pa na nivoju nekoga, ki je z začetniškim znanjem nekaj spacal skupaj ne da bi sploh pomislil na to, kako luknjast polizdelek dela. Če majo pogodbo s penali za izvajalca se zdele pomojem že jokajo. Ampak verjetno nimajo in bo to zgolj še nov razlog za še en plačan update.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

technolog ::

Kumanjzerji pravijo, da rabimo še več javne uprave. Vsaj dolgčas ne bo. A lahko kdo izpostavi en sam javni portal, ki je zgledno narejen?

Zgodovina sprememb…

vostok_1 ::

Jaz ne rabim vedet detajle, da vem, da so javne e-storitve taka abominacija. Nepregledne, štoraste, nametane, nerazumljive...
Na ravni povprečnega srednješolca 2./3. letnika tehniške gimnazije.
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

Zgodovina sprememb…

  • spremenil: vostok_1 ()

čuhalev ::

Kako pa je z eDavki?

smrko ::

Mater a se sploh lahko še kaj zgodi da ne bi bili komunisti krivi? Daj potegni že glavo iz riti pa poglej na koledar, nismo več v osemdesetih...

jype ::

technolog> Kumanjzerji pravijo, da rabimo še več javne uprave.

Link?

technolog> A lahko kdo izpostavi en sam javni portal, ki je zgledno narejen?

http://predlagam.vladi.si/

Zgodovina sprememb…

  • spremenilo: jype ()

drola ::

Komponento mdSign uporabljajo tudi KD Skladi ( https://moji.kd-skladi.net/ ). Če ni preverjanja certifikatov v komponenti, je tudi tam mogoč MITM napad?
https://drola.si

borisk ::

Že to da je 20 različnih portalov, na katerih lahko narediš ravno eno stvar je popolnoma zgrešeno. Potem ima še vsah svojo grafični vmesnih, da kolobocije o korenskih potrdilih ne omenjam ( je že blo na slotechu). Vse skupaj kar je "javne uprave" podjetnike, bi lahko bilo združeno v en portal in poenoteno, hey, verjetno bi zato dobili še kaj EU denarja.

Highlag ::

Mene bi pa zanimalo kdo jim je aplikacije spisal.

Ne morem pričakovati, da imajo pri Ajpesu zaposlene strokovnjake o podpisovanju in enkripciji. Glede na to, da je delo dobil nekdo, verjetno preko razpisa, bi bilo zanimivo videti njihove reference in podobno. Potem se da sklepati kje so ga usrali še drugje. Nebi se čudil, če bi se izkazalo, da jim je kodo spisal kakšen faliran študent. (Da se stroške zniža!)
Never trust a computer you can't throw out a window

Machete ::

borisk je izjavil:

Že to da je 20 različnih portalov, na katerih lahko narediš ravno eno stvar je popolnoma zgrešeno. Potem ima še vsah svojo grafični vmesnih, da kolobocije o korenskih potrdilih ne omenjam ( je že blo na slotechu). Vse skupaj kar je "javne uprave" podjetnike, bi lahko bilo združeno v en portal in poenoteno, hey, verjetno bi zato dobili še kaj EU denarja.


Res je grozno. Ajpes, euprava, edavki.. vsaj to kar sem uporabljal je katastrofalno neumno, vizualno neprivlačno in zelo nejasno. Kot dokaj 'napreden' uporabnik spleta sem velikokrat poblendal kaj 'za hudiča'. Da ne omenimo da mi samo v Chromu ponavadi uspe izvesti kakšno operacijo brez napake in vrnitve na začetek. Pa nisem veliko na teh straneh, ampak vedno mi ostane grenak okus in se ne želim vračat ko zaprem okno.
LC1000|Asrock-H470PG|i7-10700K|2x16GB|RTX-3080 EAGLE|W10Pro
new Nintendo 2DS & 3DS XL|Galaxy S24+

SaXsIm ::

Fursova miniblagajna dela čisto ok in izgleda letu primerno.
SaXsIm

krneki0001 ::

Highlag je izjavil:

Mene bi pa zanimalo kdo jim je aplikacije spisal.

Ne morem pričakovati, da imajo pri Ajpesu zaposlene strokovnjake o podpisovanju in enkripciji. Glede na to, da je delo dobil nekdo, verjetno preko razpisa, bi bilo zanimivo videti njihove reference in podobno. Potem se da sklepati kje so ga usrali še drugje. Nebi se čudil, če bi se izkazalo, da jim je kodo spisal kakšen faliran študent. (Da se stroške zniža!)


Se boš smejal - IMAJO jih.
Vendar ne smejo delat zadev oni, ampak zunanji, ker če delajo "notranji", potem ni provizij. Zelo podobno se obnašajo banke in zavarovalnice v sloveniji. Imajo cel kup ljudi, ki vedo kaj in kako, imajo dovolj znanja, vendar delat ne smejo teh stvari, ker to vse delajo zunanji, zato da se plačujejo provizije.
Tako se pač dela v sloveniji!

SaXsIm ::

Jp. Zakon o korupciji, 4. člen, 2. odstavek - "Vse projekte morajo delati zunanji izvajalci. Provizije morajo biti najmanj 50%."
SaXsIm

matijadmin ::

Looooooka je izjavil:

Če raziskovalec ni bil nezadovoljen član ekipe sem jaz papež.
Opisana implemetacija je pa na nivoju nekoga, ki je z začetniškim znanjem nekaj spacal skupaj ne da bi sploh pomislil na to, kako luknjast polizdelek dela. Če majo pogodbo s penali za izvajalca se zdele pomojem že jokajo. Ampak verjetno nimajo in bo to zgolj še nov razlog za še en plačan update.

Po prvi obvjavi so bojda na AJPES-ovih strežniki zaznali porast poskusov vdorov. Toren se kandidatov ne manjka! Habemus papa!
Vrnite nam techno!

next3steps ::

A ste kontaktirali
https://www.cert.si/en/contact/
?
Niste?
Marš v plinsko celico, to je največji zločin!

matijadmin ::

In glede na to, da smo vsi ogroženi, ki to nucamo ter, da so dosedanje prakse AJPES-a ob mnogih drugih, po neprimernem pristopu k takim incidentom, podobvnih državnih tvorbah, je takojšnje objavljanje dobrodošlo. Odjebvite s pometanjem pod preprogo.

next3steps je izjavil:

A ste kontaktirali
https://www.cert.si/en/contact/
?
Niste?
Marš v plinsko celico, to je največji zločin!

A si pismen? Je že njihov vir to storil.
Vrnite nam techno!

Zgodovina sprememb…

AnotherMe ::

Čist mimo grede - baje se v SLO ustanavlja neka nova vladna organizacija oz. mogoče celo oddelek vojske za boj proti cyber napadim - slišal sem gostilniško debato - je na tem kaj resnice?

MisterR ::

Bo pa zanimivo videt kako se bosta sedaj odzvala SI-CERT in IP. Pa seveda AJPES, kaj bo njihova uradna razlaga, verjetno da ne gre za nič hujšega, ker se tiče manjšega kroga uporabnikov spleta.

Glede samih IS, problem je v tem, da je vsak izvajalec sistem zasnoval tako, da ga nobena druga firma ne more prevzeti in upravljati z njim. So bili že projekti, ki so v pogodbah imeli zapisano, da je koda last izvajalca in ne naročnika. In seveda imaš potem doživljensko rento iz strani države (dokler ne ukinejo tvojega IS). Zdaj si pa predstavljajte koliko IS je postavljenih, ogromno.

next3steps ::

matijadmin je izjavil:

In glede na to, da smo vsi ogroženi, ki to nucamo ter, da so dosedanje prakse AJPES-a ob mnogih drugih, po neprimernem pristopu k takim incidentom, podobvnih državnih tvorbah, je takojšnje objavljanje dobrodošlo. Odjebvite s pometanjem pod preprogo.

next3steps je izjavil:

A ste kontaktirali
https://www.cert.si/en/contact/
?
Niste?
Marš v plinsko celico, to je največji zločin!

A si pismen? Je že njihov vir to storil.

Saj je zadnjič bilo isto. CERT je bil obveščen, a so vseeno jokali. Njih mora vsak medij 2x obvestiti, če ne, si kriv genocidnega detomora.

AnotherMe je izjavil:

Čist mimo grede - baje se v SLO ustanavlja neka nova vladna organizacija oz. mogoče celo oddelek vojske za boj proti cyber napadim - slišal sem gostilniško debato - je na tem kaj resnice?

Načeloma bi lahko SI_CERT ekipo okrepili ter malce rekonstruktirali in bi bilo to to.

Zgodovina sprememb…

avister ::

mdSigNetSetup.exe je očitno "spet" od podjetja Mojdenar. A niso bili tile že zadnjič na tapeti?

Če je temu tako, jih nekdo na vsak način hoče izriniti s položaja. Seveda s pomočjo etičnih hekerjev.

LightBit ::

avister je izjavil:

Če je temu tako, jih nekdo na vsak način hoče izriniti s položaja. Seveda s pomočjo etičnih hekerjev.

Ali pa so nesposobni.

wini ::

Saj sploh ni važno čigav je izdelek, problem je da je slab izdelek. In za te slabe izdelke trošijo naš denar :(

Baja ::

če so to res ti, nebi blo slabo preveriti še njihovih ostalih strank

http://erar.si/prejemnik/61664928/

SaXsIm ::

next3steps je izjavil:

matijadmin je izjavil:

In glede na to, da smo vsi ogroženi, ki to nucamo ter, da so dosedanje prakse AJPES-a ob mnogih drugih, po neprimernem pristopu k takim incidentom, podobvnih državnih tvorbah, je takojšnje objavljanje dobrodošlo. Odjebvite s pometanjem pod preprogo.

next3steps je izjavil:

A ste kontaktirali
https://www.cert.si/en/contact/
?
Niste?
Marš v plinsko celico, to je največji zločin!

A si pismen? Je že njihov vir to storil.

Saj je zadnjič bilo isto. CERT je bil obveščen, a so vseeno jokali. Njih mora vsak medij 2x obvestiti, če ne, si kriv genocidnega detomora.

AnotherMe je izjavil:

Čist mimo grede - baje se v SLO ustanavlja neka nova vladna organizacija oz. mogoče celo oddelek vojske za boj proti cyber napadim - slišal sem gostilniško debato - je na tem kaj resnice?

Načeloma bi lahko SI_CERT ekipo okrepili ter malce rekonstruktirali in bi bilo to to.


Dej nehaj bluziti. Kaj ma tukaj veze CERT? Obveščeni so bili, ampak oni posredujejo, ko gre za napade, ne pa za potencialne ranljivosti. Ne more iti CERT malo na spletno stran od Ajpesa popravljati kodo, zato ker se jim tako zdi. Pa kot je že kolega pred mano omenil, preberi novico, SI-CERT je bil o vsem skupaj obveščen.
SaXsIm

dronyx ::

avister je izjavil:

mdSigNetSetup.exe je očitno "spet" od podjetja Mojdenar. A niso bili tile že zadnjič na tapeti?

Kot kaže tudi UJP uporablja to podpisno komponento za podpisovanje e-računov.

Zgodovina sprememb…

  • spremenil: dronyx ()

next3steps ::

SaXsIm je izjavil:

next3steps je izjavil:

matijadmin je izjavil:

In glede na to, da smo vsi ogroženi, ki to nucamo ter, da so dosedanje prakse AJPES-a ob mnogih drugih, po neprimernem pristopu k takim incidentom, podobvnih državnih tvorbah, je takojšnje objavljanje dobrodošlo. Odjebvite s pometanjem pod preprogo.

next3steps je izjavil:

A ste kontaktirali
https://www.cert.si/en/contact/
?
Niste?
Marš v plinsko celico, to je največji zločin!

A si pismen? Je že njihov vir to storil.

Saj je zadnjič bilo isto. CERT je bil obveščen, a so vseeno jokali. Njih mora vsak medij 2x obvestiti, če ne, si kriv genocidnega detomora.

AnotherMe je izjavil:

Čist mimo grede - baje se v SLO ustanavlja neka nova vladna organizacija oz. mogoče celo oddelek vojske za boj proti cyber napadim - slišal sem gostilniško debato - je na tem kaj resnice?

Načeloma bi lahko SI_CERT ekipo okrepili ter malce rekonstruktirali in bi bilo to to.


Dej nehaj bluziti. Kaj ma tukaj veze CERT? Obveščeni so bili, ampak oni posredujejo, ko gre za napade, ne pa za potencialne ranljivosti. Ne more iti CERT malo na spletno stran od Ajpesa popravljati kodo, zato ker se jim tako zdi. Pa kot je že kolega pred mano omenil, preberi novico, SI-CERT je bil o vsem skupaj obveščen.

Saj tudi zadnjič ni šlo za napad, temveč za najdeno ranljivost. Kako pa lahko vemo, da ranljivost ni bila izkoriščena?
Težko.

brbr21 ::

Dokler bo znesek ponudbe edino merilo pri javnih naročilih bo situacija taka kot je. Že tako se kvaliteten ponudnik rešitev težko prebije skozi labirint lobijev, provizij, čudnih doncaij, zasebnih vrtičkov in podobnega sranja, na koncu pa bi moral projekt narediti še za drobiž, ker mu konkurira dvorni dobavitelj ali pa Garaža d.o.o. z dvema zaposlenima in petimi študenti. Ne hvala.

Na drugi strani pa marsikdo v javni upravi niti ne želi narediti projekta, ker mora pogosto na koncu kupiti najceneše skrpucalo in zanj še odgovarjati.

Boli to, da na koncu vso to mlakužo plačujemo mi vsi, pa žal ne samo z denarjem!

Looooooka ::

next3steps je izjavil:

SaXsIm je izjavil:

next3steps je izjavil:

matijadmin je izjavil:

In glede na to, da smo vsi ogroženi, ki to nucamo ter, da so dosedanje prakse AJPES-a ob mnogih drugih, po neprimernem pristopu k takim incidentom, podobvnih državnih tvorbah, je takojšnje objavljanje dobrodošlo. Odjebvite s pometanjem pod preprogo.

next3steps je izjavil:

A ste kontaktirali
https://www.cert.si/en/contact/
?
Niste?
Marš v plinsko celico, to je največji zločin!

A si pismen? Je že njihov vir to storil.

Saj je zadnjič bilo isto. CERT je bil obveščen, a so vseeno jokali. Njih mora vsak medij 2x obvestiti, če ne, si kriv genocidnega detomora.

AnotherMe je izjavil:

Čist mimo grede - baje se v SLO ustanavlja neka nova vladna organizacija oz. mogoče celo oddelek vojske za boj proti cyber napadim - slišal sem gostilniško debato - je na tem kaj resnice?

Načeloma bi lahko SI_CERT ekipo okrepili ter malce rekonstruktirali in bi bilo to to.


Dej nehaj bluziti. Kaj ma tukaj veze CERT? Obveščeni so bili, ampak oni posredujejo, ko gre za napade, ne pa za potencialne ranljivosti. Ne more iti CERT malo na spletno stran od Ajpesa popravljati kodo, zato ker se jim tako zdi. Pa kot je že kolega pred mano omenil, preberi novico, SI-CERT je bil o vsem skupaj obveščen.

Saj tudi zadnjič ni šlo za napad, temveč za najdeno ranljivost. Kako pa lahko vemo, da ranljivost ni bila izkoriščena?
Težko.

Ah ce majo vsaj interno poslihtano logiranje dostopanje podatkov zlorabe verjetno ni bilo, se posebej ce tisti, ki ima cez bazo/podatke ne ve, da se pospis ne nanasa na vsebino pac pa samo podpis.
Bi blo pa fino vedet kaksne tipe dokumentov se je s tem vse podpisovalo. Hvala bogu smo tko zadaj, da je za skoraj vse se zmeraj treba ma 200 uradov, da upravicimo obstoj uradnikov... elektronsko se pa na koncu podpise zgolj zaradi kksne EU direktive.
Ampak vseno bi morale glave padat. Tole zihr ni stalo samo par 100 eur.

Jst ::

KONČNO!!!

Glede .md5sign sem se jaz dobesedno kregal in drl na njihovo tehnično pomoč. Moja mati, ki uporablja tole na veliko, sploh sedaj, ko se oddajajo LP, ji podpisovanje ni delalo pravilno. Ko sem jim "dokazal", da bluzijo, so mi rekli, da če bom še kdaj "zlorabil" in "vdrl" v njihov sistem, me bodo prijavili policiji, ker gre za kaznivo dejanje. For fuck sake, dobesedno sem se začel dreti prek telefona, če me niso poslušali zadnjih 10 minut. Za njih je kaznivo dejanje, če poženeš NJIHOV .exe z NJIHOVO GENERIRANO .md5sign datoteko in ti javi napako.

Jaooo...
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Piston ::

Kot zunanji izvajalec sem delal na enem projektu za Ajpes, ko sem videl kako moramo implementirati podpisovanje (z navodili ki nam jih dal Mojdenar d.o.o.) sem se samo smejal
Kawaaabangaaa

krneki0001 ::

Looooooka je izjavil:

Hvala bogu smo tko zadaj, da je za skoraj vse se zmeraj treba ma 200 uradov, da upravicimo obstoj uradnikov... elektronsko se pa na koncu podpise zgolj zaradi kksne EU direktive.


Ne drži. Firmo lahko odpreš samo preko Ajpesove strani in vse kar narediš se "podpiše" na način, ki je sedaj dokazano slab.

Če naredimo en tak pesimističen povzetek:
- nekdo vdre v ajpes in pobere podatke iz baz, vključno z CRP in registrom transakcijskih računov.
- glede na CRP gre in odpre 500 sp-jev na imena iz CRP-ja
- pa recimo še ukine 50.000 v bazi transakcijskih računov

Kakšne bodo posledice tega?

poweroff ::

Jst je izjavil:

Ko sem jim "dokazal", da bluzijo, so mi rekli, da če bom še kdaj "zlorabil" in "vdrl" v njihov sistem, me bodo prijavili policiji, ker gre za kaznivo dejanje.

Zanimivo. Lahko poveš več informacij o tem?

Ker tole podpira mojo tezo, da AJPES ni pripravljen delovati dobroverno, pač pa da je bolj na strani pristopa "shoot the messenger".
sudo poweroff

M.B. ::

krneki0001 je izjavil:



Ne drži. Firmo lahko odpreš samo preko Ajpesove strani in vse kar narediš se "podpiše" na način, ki je sedaj dokazano slab.


Mislim da to ne drži. Se da firmo in S.P. ustanovit tudi preko E-Vem portala, ki ima svoj način podpisov - ProXSign.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

krneki0001 ::

Ne govorim o tem da lahko firmo odpreš izključno preko ajpesove strani, ampak da vse kar rabiš lahko narediš preko ajpesove strani. Torej ni treba nikamor hodit.

Lahko pa še na druge načine odpreš firmo - fizično na okencu in preko E-Vem portala.

c3p0 ::

Daleč smo prišli, da se razni security eksperti morajo skrivati za TOR omrežjem, da naša vrla oblast ne more iti v kill-the-messenger mode. Žalostno.

.mdsign je tudi na UJP. Moj denar, kdo pa drug. Strokovnjaki, a očitno le v sodelovanju z državo. Know-how o varnosti pa jim je zgleda španska vas.

matijadmin ::

MisterR je izjavil:

Bo pa zanimivo videt kako se bosta sedaj odzvala SI-CERT in IP. Pa seveda AJPES, kaj bo njihova uradna razlaga, verjetno da ne gre za nič hujšega, ker se tiče manjšega kroga uporabnikov spleta.

Glede samih IS, problem je v tem, da je vsak izvajalec sistem zasnoval tako, da ga nobena druga firma ne more prevzeti in upravljati z njim. So bili že projekti, ki so v pogodbah imeli zapisano, da je koda last izvajalca in ne naročnika. In seveda imaš potem doživljensko rento iz strani države (dokler ne ukinejo tvojega IS). Zdaj si pa predstavljajte koliko IS je postavljenih, ogromno.

Hudo je predvsem to, da smo poslovali z AJPES (vsi mi v gospodarstvu) na podlagi kogentnih določili zakonodaje, pa je kljub slednjim vse izpodbojno in (z njihove strani) nedokazljivo, ker nimajo nobenega podpisanega dokumenta!
Vrnite nam techno!

MisterR ::

In zakaj še ta novica ni na 24ur in rtvslo?

matijadmin ::

avister je izjavil:

mdSigNetSetup.exe je očitno "spet" od podjetja Mojdenar. A niso bili tile že zadnjič na tapeti?

Če je temu tako, jih nekdo na vsak način hoče izriniti s položaja. Seveda s pomočjo etičnih hekerjev.

Vsi (skrbni državljani) jih hočemo izriniti, saj ne obvladajo svojega posla in delajo samo škodo proracunu.
Vrnite nam techno!

AndrejO ::

MisterR je izjavil:

In zakaj še ta novica ni na 24ur in rtvslo?

Ker STA ni še nič objavila, da bi lahko študenti naredili copy-paste.

čuhalev ::

Moja domneva je, da je odkrita ranjivost posledica razdraženega Linux uporabnika, ki si je začel sam pisati podpisno komponento in si za začetek pogledal, kako deluje z namenom posnemanja.

Zgodovina sprememb…

  • spremenil: čuhalev ()

AndrejO ::

Moja domneva je, da so s svojo (ne)odzivnostjo v prvem primeru pokazali, da vidijo varnost predvsem v prikrivanju podatkov, s tem pa so si na svoje hrbte narisali precej veliko tarčo za vsakega nadebudnega raziskovalca varnosti.

Rezultati očitno niso izostali.

TESKAn ::

Reference. Kar nekaj strank.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

Zgodovina sprememb…

  • spremenil: TESKAn ()

c3p0 ::

avister je izjavil:


Če je temu tako, jih nekdo na vsak način hoče izriniti s položaja. Seveda s pomočjo etičnih hekerjev.


Ali pa imajo hudo zanič/luknjasto kodo? Potem bi jih zdrav trg sam po sebi moral izriniti iz položaja, brez zarot.

Invictus ::

Looooooka je izjavil:


Ah ce majo vsaj interno poslihtano logiranje dostopanje podatkov zlorabe verjetno ni bilo, se posebej ce tisti, ki ima cez bazo/podatke ne ve, da se pospis ne nanasa na vsebino pac pa samo podpis.
Bi blo pa fino vedet kaksne tipe dokumentov se je s tem vse podpisovalo. Hvala bogu smo tko zadaj, da je za skoraj vse se zmeraj treba ma 200 uradov, da upravicimo obstoj uradnikov... elektronsko se pa na koncu podpise zgolj zaradi kksne EU direktive.
Ampak vseno bi morale glave padat. Tole zihr ni stalo samo par 100 eur.

Daj no mir.

Kako napredno logiranje, če padejo že na osnovah varnosti...

Šef IT oddelka je preprosto navaden šalabajzer, ki je dobil službo po vezah...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

dronyx ::

MisterR je izjavil:

In zakaj še ta novica ni na 24ur in rtvslo?

Na rtvslo je nekaj na to temo. V bistvu lekcija, kako delajo pravi "etični hekerji".

A način razpletanja zgodbe prek medijev ni pravi. Etični hekerji ne smejo "bombastično" udariti prek medijev, ker prav to lahko povzroči množične zlorabe, ampak se na varnostne luknje diskretno opozori, v tem primeru Ajpesu, da problem rešijo. Zadeva se lahko javno objavi pozneje, je komentiral Gabor in dodal, da načeloma etični heker, ki nima slabih namenov, svoje identitete ne skriva za različnimi kriptiranimi povezavami, kar naj bi se v primeru napada na Ajpes prav tako zgodilo.

Zgodovina sprememb…

  • spremenil: dronyx ()

Putr ::

Vsebina, ki se podpisuje, pa kot rečeno (v nekaterih primerih) ni vsebina dokumenta, pač pa njegov identifikator (domnevno vsaj na primeru pooblastil za vlaganje dokumentov), ki se nahaja v elementu XML ...


Zelo dobro in zelo pomembno bi bilo vedeti v katerih primerih! Kajti ti podpisi potem niso veljavni :/.

čuhalev ::

Zveza "Etični heker" mi zveni tako kot "hipser".

Samo teli na rtvslo pa imajo jajca: "Če računalnik odklopimo s spleta, postane precej neuporaben kos železa." Ja,seveda jedrske elektrarne poganjajo neuporabni kosi, itak.

Zgodovina sprememb…

  • spremenil: čuhalev ()

poweroff ::

c3p0 je izjavil:

Moj denar, kdo pa drug. Strokovnjaki, a očitno le v sodelovanju z državo. Know-how o varnosti pa jim je zgleda španska vas.

Ni nujno. Lahko da so zgolj delali po specifikacijah.

Point ni v tem. Point je v tem, da je zadevo treba čim prej zrihtat in zagotovit, da bodo podpisi taki kot to zahteva zakonodaja.
sudo poweroff

MisterR ::

kaj pa za nazaj?
«
1
2 3
...
5


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20180773 (63327) jukoz
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432287 (22594) Furbo
»

AJPES-ova alternativna dejstva (strani: 1 2 )

Oddelek: Novice / Varnost
7628100 (20370)          
»

Storitve E-uprave

Oddelek: Programska oprema
137245 (6920) qwzyx

Več podobnih tem