MonitoringFondov.eu  

Reakcia na vyjadrenia ministra Štefanova:
Analýza bezpečnosti webových stránok operačných programov

(2.12.2009)   Ondrej Jombík

URL: http://www.monitoringfondov.eu/article.php?211

Dňa 30. novembra 2009 prezentoval Konzervatívny inštitút M. R. Štefánika na tlačovej konferencii nehorázne obstarávacie ceny webstránok operačných programov. Dve najdrahšie – www.nsrr.skwww.ropka.sk – patria pod Ministerstvo výstavby a regionálneho rozvoja SR. Zo včerajšieho vyjadrenia pána ministra Štefanova, ktorým sa snažil obhájiť opodstatnenosť vynaložených financií vyplýva, že uvedené webstránky boli drahé najmí¤ kvôli svojmu zabezpečeniu.

Túto obhajobu považujeme za chabú a nedostatočnú. Stránky sú neuveriteľne predražené, a kee minister argumentoval bezpečnosťou, pozreli sme sa aj túto stránku veci. Našimi zisteniami sme boli šokovaní! V ich kontexte ešte výraznejšie vidieť plytvanie verejnými zdrojmi a navyše aj neprofesionalitu vybraných dodávateľských firiem.

  1. Prvé zistenie bolo prezentované už na tlačovej konferencii – stránky operačných programov sú umiestnené na serveroch v Českej republike1. A to aj napriek tomu, že vláda disponuje vlastnou kvalitnou IT infraštruktúrou, resp. obdobné služby je možné poľahky zabezpečiť aj na Slovensku. Kee stránky sú určené primárne pre slovenských návštevníkov, ich umiestnenie v susednom štáte považujeme za neefektívne a nerozumné.

  2. Podľa vyjadrenia ministra stránka obsahuje tiež dôležitý rezervačný systém. Napriek jeho dôležitosti, nie je tento systém ani žiadna iná časť webstránky chránená zabezpečeným protokolom HTTPS. Ak sa nepoužíva HTTPS, všetky dáta (napr. login a heslo) sú prenášané v nekryptovanej forme a môže poľahky dôjsť k ich odchyteniu a následnému zneužitiu potenciálnym útočníkom.

    Protokolom HTTPS sú už dnes už chránené nielen stránky internetového bankovníctva, ale aj tie úplne najobyčajnejšie weby, ako sú napr. mailové alebo chatové servery. Použitie HTTPS protokolu je základným pilierom internetového zabezpečenia. Je poľutovaniahodné, že sa na tento dôležitý pilier bezpečnosti pri obstarávaní akosi pozabudlo.

    Kee ani samotné administračné rozhranie2 webstránky nie je chránené a zabezpečené, existuje reálne riziko zneužitia prístupov do tohto rozhrania. To môže mať za následok až to, že ministerstvo stratí kontrolu nad obsahom vlastnej webstránky. Ako sa však ukáže v ďalšom bode, žiaľ ministerstvo už túto kontrolu stratilo.

  3. Tretí bod predstavuje naše najzávažnejšie zistenia, o ktorých si myslíme, že sú až také zlé, že by mohli byť dokonca dôvodom na reklamáciu diela alebo odstúpenie od kúpnej zmluvy. Webstránky totiž obsahujú viaceré chyby typu XSS3, ide o tzv. „Cross-Site Scripting“ chyby.

    Kvôli uvedeným chybám môže do stránok operačných programov ktokoľvek vkladať ľubovoľné obrázky, texty a komponenty. Nie sú nato potrebné žiadne špeciálne hackerské ani programátorské znalosti. Vloženie vykonať ľubovoľný používateľ internetu zo svojho počítača, dôkazom čoho je, že upozornenie na túto markantnú chybu sa objavilo aj v diskusii pod článkom na www.sme.sk4. V predmetnom príspevku vložil neznámy diskutér obrázok železničného tunela5 do stránky www.ropka.sk, pričom rovnakou chybou trpí aj www.nsrr.sk (viz príloha 1,2) a je možné, že aj ďalšie stránky od rovnakého dodávateľa.

    Ví¤čším problémom však je, že tu nejde len o nevinné hrátky s obrázkom. Do stránky je rovnakým spôsobom možné vložiť aj vírusový komponent alebo iný škodlivý kód. Rovnako tak môže potenciálny útočník vykonať presmerovanie na vlastnú kópiu stránky (tzv. phishing stránka6), ktorú bude vydávať za originálnu stránku. Takto môže prezentovať falošné či nepresné údaje alebo sa snažiť získať údaje návštevníkov (osobné údaje, obchodné informácie, loginy, heslá), ktorí budú v omyle, že sa nachádzajú na správnej stránke.

Uvedené chyby predstavujú závažné bezpečnostné riziká a svedčia o neprofesionalite dodávateľských firiem a nedostatočnej kontrole dodaného diela na ministerstve. Stránky nie sú odolné proti triviálnym typom útokov a pokiaľ nedôjde k urýchlenému odstráneniu spomenutých nedostatkov, je len otázka času kedy ich niekto zneužije závažným spôsobom.

Myslíme si, že je čas skončiť s presvedčovaním národa o výhodnosti a kvalite tohto produktu, ale je nutné začať konať. Tieto webstránky za vyše dva milióny korún sú totiž ako auto bez bÅ•zd: funguje, jazdí, ale je pre vás veľmi veľmi nebezpečné.


Ondrej Jombík
IT expert, OZ Platon

V Bratislave dňa 2. decembra 2009

Menovaný bol účastníkom tlačovej besedy organizovanej Konzervatívnym inštitútom M. R. Štefánika.


Poznámky

  1. Umiestnenie stránok v Českej republike:
    - ropka.sk
    - nsrr.sk

  2. Adminsitračné rozhranie webstránky:
    - http://www.nsrr.sk/admin (funkčné, bez zabezpečenia HTTPS)
    - https://www.nsrr.sk/admin (HTTPS nefunkčné)

  3. Podrobný popis chyby typu XSS:
    http://en.wikipedia.org/wiki/Cross-site_scripting

  4. Žartík neznámeho diskutéra:
    http://www.sme.sk/diskusie/dpl/11522067/Ministerstva-obstarali-webstranky-draho-najdrahsie-kupoval-rezort-vystavby.html

  5. Žartík neznámeho diskutéra - odkazy:
    - http://tinyurl.com/yboe98p
    - http://tinyurl.com/yagp9uy

  6. Vysvetlenie a možnosti zneužitia tzv. "phishing" stránky:
    http://en.wikipedia.org/wiki/Phising

Prílohy

Pozmenené stránky operačných programov:
(kliknite na obrázky pre zobrazenie plných verzií)