reklama

Dvě IT ostudy státu: Policisté mají nechráněný web a účtenková loterie má v sobě díry

Bezpečnostní svodka
  • Policie ČR špatně chrání svůj web a mlží o možných dopadech, přitom by stačilo málo.
  • Účtenkovka vzbudila bouři odporu kvůli obavám ze šmírování, má ale větší problém.
  • Bezpečný vyhledávač cenzuruje internet tak, že zabrání i snaze nahlásit znásilnění.
Policie ČR získala nový hybridní vůz BMW i8. Policie ČR získala nový hybridní vůz BMW i8. Foto: HN - Tomáš Škoda

Oficiální webové stránky Policie ČR a ministerstva vnitra jsou dostupné pouze přes HTTP, ne přes zabezpečený protokol HTTPS. Proč je to problém? HTTPS má tři hlavní cíle: zajistit důvěrnost, integritu a autenticitu přenášených informací. V případě státních institucí by důvěrnost a hlavně hodnověrnost přenášených informací měla být samozřejmostí.

U prostého protokolu HTTP komunikace je relativně snadné pomocí síťového útoku podvrhnout informace. Například tedy u ověřování kradených vozidel či dokladů vrátit nesprávnou odpověď. A to už lze reálně zneužít.

Na situaci upozornil server Root.cz, jemuž se ze strany Policie ČR dostalo kouzelné odpovědi, která je dílem nesrozumitelná, dílem lživá a dílem nesmyslná. V případě bonzovacího formuláře prý není nutné HTTPS zavádět, neboť údaje jsou "vyplňovány do formulářového rozhraní s jednoznačnou identifikací". To je ta nesrozumitelná část.

K systému se prý nepřipojují žádní uživatelé vyplňující jakékoliv údaje. To je ta lživá část, neboť k aplikacím na webu Policie ČR se připojují uživatelé, kteří zadávají údaje jako SPZ a VIN při kontrole, zda vozidlo není kradené, IMEI mobilních telefonů nebo čísla občanských průkazů, pasů a zbrojních průkazů. Kromě toho na adrese http://www.policie.cz/admin se nachází cosi, co vypadá jako přihlašovací formulář do administrace.

Stejně tak není pravdivá informace o nákupu certifikátů, které musí nakoupit konkrétní organizace. Ačkoliv by bylo vhodné, aby organizace typu PČR a MVČR disponovaly EV certifikátem, z technického hlediska zcela postačí bezplatný certifikát vydaný certifikační autoritou Let's Encrypt.  Weby MVČR a PČR jsou provozovány minimálně částečně na platformě Windows a IIS, kam lze Let's Encrypt bez obtíží implementovat.

Prohlášení o tom, že prostředí reverzní proxy není na HTTPS výkonově připraveno a že by byla pro jeho zavedení nutná výměna hardwaru, hodnotí autor článku na základě svých bohatých zkušeností jako nesmyslné. Zavedení HTTPS představuje typicky pouze zvýšení procesorové zátěže v jednotkách procentních bodů, přičemž zrovna procesorového výkonu je obvykle spíše nadbytek než nedostatek. Nelze samozřejmě vyloučit, že systémy vnitra a policie jedou na nějakém exotickém muzeálním hardwaru a softwaru, leč není to pravděpodobné.

Abychom vyjasnili tuto poněkud záhadnou odpověď, otázal se autor Bezpečnostní svodky zdvořile policie podle zákona o svobodném přístupu k informacím, žádaje vyjasnění zveřejněných informací; o výsledcích budeme bezodkladně informovat.

Účtenkovka plná chyb a omylů

O ministerstvo vedle, MFČR spustilo účtenkovou loterii a dopadlo to přesně tak, jak bychom od státního IT projektu očekávali: aplikace pro Android vyžadovala příliš mnoho údajů, včetně identity telefonu a údajů o telefonních hovorech, a obsahovala tolik chyb, že se ji mnohým uživatelům nedařilo vůbec používat. Celý systém navíc umožňuje zadávat účtenky bez registrace automatizovaným způsobem, takže lze snadno obejít omezení účasti. Aspoň že web Účtenkovky podporuje HTTPS. Ale ani to nedělá pořádně, protože má chybně nastavené parametry algoritmu Diffie-Hellman.

Sociální sítě jsou plné spekulací, jak chtějí finance přes aplikaci sledovat uživatele, ale vyplatí se zde použít Hanlonovu břitvu. Ta říká, že není dobré předpokládat zlý úmysl tam, kde je stejně dobrým vysvětlením neschopnost. A neschopnost, nedostatek kvalifikace a péče, je leitmotivem českého státního IT dlouhodobě. Bez ohledu na to, kdo je aktuálně u moci, zůstává konstantou, že naprostá většina IT projektů českého státu nabízí mizernou kvalitu za astronomickou cenu.

Je to způsobeno tím, že peníze jsou utráceny špatným způsobem. Že stát nedisponuje kvalitními IT odborníky, neboť jim není schopen zajistit slušné pracovní podmínky. Nejde jenom o plat, jakkoliv ten je součástí problému také, ale i o celkové zázemí, přístup k zaměstnancům i jakousi prestiž.

V důsledku toho státní IT realizují vesměs třetiřadí neumětelové. Převládající trend je, že ti nejlepší nastoupí do velkých firem nebo inovativních start-upů, další vrstvu si rozeberou běžné a menší firmy a do státních služeb nastupují často ti, kdo se jinde neuchytí.

Krátce ze světa bezpečnosti 

Kiddle  je další z mnoha projektů, které mají dát rodičům falešný pocit bezpečí, že se jejich ratolesti na internetu nedozvědí věci, o nichž jim doma neřeknou. Jedná se o vykastrovaný vyhledávač, který má být "bezpečný pro děti". To se v praxi projevuje tak, že když dítě hledá informace týkající se sexuálního zneužívání, antikoncepce, homosexuality a podobně, hledaný obsah zablokuje. Linkovaný článek zvedl vlnu odporu, které provozovatel podlehl a některá témata vzal na milost. Spíše však jako gesto pro umlčení odpůrců, protože ačkoliv jsou whitelistovány některé dotazy uvedené v článku, stačí je často jenom mírně přeformulovat a cenzura znovu zasáhne. Tento případ opět dokazuje, že cenzura nefunguje a nadělá víc škody než užitku – ať už na úrovni státu nebo rodiny.

Používání nebo jenom stažení nesprávného programu pro instant messaging vás může dostat do vězení. Alespoň tedy v Turecku. Tamní úřady retroaktivně prohlásily za nelegální IM aplikaci ByLock a její uživatele začaly masově zatýkat. Čína zase zablokovala WhatsApp, čímž fakticky ukončila aktivity Facebooku v zemi.

Pokud vám tyto země přijdou příliš exotické, stačí se podívat do Španělska. Tamější úřady provedly razii u provozovatele domény první úrovně .cat, která je určena pro domény týkající se Katalánska a katalánštiny. V rámci boje proti hlasování v referendu o samostatnosti Katalánska španělské úřady blokují stovky webových stránek, ovlivňují výsledky vyhledávání Googlu a dělají spoustu zábavných věcí. Výrazně jim v tom pomohlo, že španělský soud před časem přikázal blokovat The Pirate Bay. Opět se tedy potvrzuje, že jakmile je jednou cestička pro cenzuru vyšlapaná, dá se rychle rozšířit v dálnici, využitelnou třeba i ve vnitropolitickém boji.

Twitter pro některé uživatele zvedl maximální délku tweetu na dvojnásobek, tedy 280 znaků. Pokud nepatříte mezi vyvolené, můžete delší tweety psát s trochou úsilí také. Blogpost na webu Errata Security ukazuje jak. Nejedná se vyloženě o bezpečnostní zranitelnost, přesto pokládám za velice užitečné se o tomto článku zmínit. Podrobně a pro laika srozumitelně popisuje techniky, které se běžně používají při útocích na různé webové aplikace, a umožňuje realistický náhled na to, jak se to "hackování" vlastně dělá.

Originální inkoust do tiskáren je v jednotkových cenách dražší než ryzí zlato. Možná právě proto HP vydal update firmwaru pro některé své tiskárny, který označuje za "bezpečnostní" aktualizaci. Problém je, že tiskárna po instalaci updatu odmítne pracovat s neoriginálními náplněmi. HP podobnou věc zkusil už před rokem, poté ustoupil a nyní to zkouší znovu. Věc je nepříjemná i z hlediska kybernetické bezpečnosti, protože podobné zneužívání povede k ještě nižší instalaci aktualizací. Uživatelé se budou bát firmware aktualizovat třeba i u skutečných bezpečnostních aktualizací – a že právě tiskárny jsou oblíbeným nástrojem mnoha útoků.

Nově zveřejněné informace naznačují, že útok na Ccleaner, o kterém informovala minulá Bezpečnostní svodka, byl cílen nejen hned na několik velkých technologických firem.

Google našel sedm bezpečnostních děr v Dnsmasq. To je software, který umožňuje provoz DHCP serveru, DNS serveru a několika dalších důležitých síťových služeb. Je hodně využíván v domácích routerech a podobných zařízeních. Zranitelnosti umožňují celou řadu útoků, od DoS po RCE - vzdálené vykonání kódu útočníka, což může vést k úplné kompromitaci zařízení. Chyba je již opravena, ale to nijak nepomůže majitelům milionů routerů, k nimž se jejich výrobce už nehlásí a pro které není a nikdy nebude dostupná aktualizace firmwaru.

 

Michal Altair Valášek
Přeposlat
Diskuse
reklama

Spojuje průzkumy a sázkařské kurzy. ČSSD slábne, stoupá SPD a piráti. Babiš asi nesestaví vládu sám, říká

Banky ve třetím čtvrtletí zpřísnily podmínky úvěrů na bydlení, i tak ve zbytku roku čekají zvýšení poptávky

Nastala nová éra astronomie. Vědci poprvé pozorovali zdroj gravitačních vln v místě, kde splynuly neutronové hvězdy

Česká měna je už téměř na úrovni jako před intervencemi. Na konci příštího roku může euro stát 25 korun, odhadují analytici

Narcos a další seriály Netflixu přilákaly za čtvrt roku 5 milionů uživatelů. Tržby vzrostly meziročně o třetinu

reklama