Včera, ve středu 25. listopadu, se v médiích objevila řada článků o tom, že datové schránky nejsou dostatečně bezpečné a je možné je relativně snadno prolomit. Například:
- Datové schránky: lidé si musí ověřit svůj certifikát (Lidovky.cz)
- Datové schránky nejsou podle firmy bezpečné (České noviny)
- Datové schránky nejsou tak bezpečné, jak tvrdil stát (denik.cz)
- Podle odborníků lze získat přístup k soukromým údajům v datových schránkách (mediafax)
- Bezpečnostní firma se nabourala do cizí datové schránky (ČT24)
- Do datových schránek se dá vloupat, tvrdí odborníci (novinky.cz)
- Mají Datové schránky bezpečnostní problém? (emag.cz)
Zdrojem informací se přitom stala tisková konference, kterou toto úterý uspořádala společnost Averia (mj. vydavatel magazínů ICT Secutiry a NetGuru, z oblasti bezpečnosti). Svá zjištění ohledně bezpečnosti datových schránek zde prezentovala společnost 4Safety, která také k celé kauze vydala svou tiskovou zprávu.
Sám jsem se této tiskové konference bohužel nemohl zúčastnit, protože ve stejné době jsem vystupoval na konferenci Teleinformatika. V tomto článku tedy budu vycházet z výstupů z této tiskovky, a také z jejího zvukového záznamu (tímto děkuji kolegovi za zprostředkování) – a budu se snažit popsat svůj pohled na to, co zde bylo prezentováno.
Mám-li to shrnout v kostce, pak nedošlo k žádnému prolomení informačního systému datových schránek. Jednalo se o dvě ukázky toho, jak „oblafnout“ uživatele, tak aby sám poskytl své přihlašovací údaje. Což rozhodně není nic nového pod sluncem: různé hrozby phishingu existují už nějaký ten pátek, navíc zcela nezávisle na datových schránkách. Jenže, a to je právě to podstatné: zde bylo předvedeno takové „oblafnutí“, kterému nedokázalo zabránit ani přesné dodržení „oficiálního“ doporučeného postupu.
Považuji proto za správné poopravit autory celé ukázky v tom ohledu, že nejde ani tak o bezpečnostní problém datových schránek v užším slova smyslu, jak to prezentují ve své tiskové zprávě, ale o problém „okolí“ datových schránek, do kterého patří jak osvěta, včetně různých oficiálních doporučení a návodů, tak i otázka adresace systému datových schránek a způsob přístupu k nim.
Co bylo předvedeno?
Podstata toho, co společnost 4Safety předvedla novinářům, byla v principu velmi jednoduchá: zavedla uživatele na jiné stránky, než kam si mysleli, že jdou (podle zadaného URL, resp. doménové adresy). Pak už (v první ukázce) stačilo jen postupovat striktně podle oficiálního návodu: nainstalovat kořenový certifikát CA PostSignum, aplikaci 602XML Filler, a pak se přihlásit do datové schránky. Ve skutečnosti to ale nebyl skutečný kořenový certifikát CA PostSignum, ale certifikát nepravý, který následně „odsouhlasil“ jako pravý i serverový certifikát na nepravé přihlašovací stránce k datovým schránkám. Důsledky snad už nemusím rozvádět: nepravá přihlašovací schránka si snadno odposlechla přihlašovací údaje, které se tak dostaly do rukou útočníka. Tedy: dostaly by se, pokud by nešlo o řízenou ukázku, za účelem osvěty …..
Ve druhé ukázce to bylo o něco jednodušší: uživatel se díky „odvedení jinam“ dostal rovnou na nepravé přihlašovací stránky (jinak sídlící na doméně mojedatovaschranka.cz), a zde musel přímo odkliknout nepravý serverový certifikát. Pak už také zadával své přihlašovací údaje do úplně jiné stránky, než si myslel.
Stále to ale není nic nového pod sluncem: je to scénář, který najdete snad v každém základním textu o bezpečnosti v on-line prostředí. Podstatná je jiná věc: že když už byli uživatelé zavedeni na jiné stránky, než si mysleli (což je samozřejmě důležitý moment, viz dále), pak „oficiální“ doporučený postup neumožnil toto „odvedení jinam“ rozpoznat a uživatele před ním ochránit. Nebo, v případě druhé ukázky, jakýkoli návod chyběl úplně. Alespoň podle mého názoru toto mělo být hlavním sdělením celé akce.
Jak to bylo provedeno?
Pojďme nyní přeci jen k větším detailům: tím hlavním, čím vše začalo, je ono „odvedení jinam“, než si uživatel myslí. Tak aby se dostal na stránky, ze kterých si již standardním postupem stáhne (nepravý) kořenový certifikát – ale nepozná to.
Jelikož jsem nebyl přímo na místě, a dostupné zdroje o tom explicitně nehovoří, nevím, zda autoři dosáhli potřebného „odvedení jinam“ pomocí DNS spoofingu, nebo přesměrováním na síťové vrstvě (na svém směrovači) či ještě nějak jinak. Podstatné je, že se (pro účely ukázky) uživatel dostal na nepravé stránky CA PostSignum, s nepravým kořenovým certifikátem této autority, resp. na nepravé přihlašovací stránky ISDS – a to aniž by si to uvědomoval.
A teď to druhé podstatné: v první ukázce musel být uživatel „vmanipulován“ do toho, aby si z nepravých stránek instaloval nepravý kořenový certifikát CA PostSignum – ale přitom nezkoumal jeho pravost. K tomu ale nebyla zapotřebí žádná speciální „manipulace“, protože stačilo jen dodržet oficiální návod. Ten totiž – a to je to podstatné – vůbec nenabádá k ověření pravosti kořenového certifikátu.
Pak už to mohlo jít ráz na ráz, a opět se striktním dodržováním oficiálního postupu: uživatel se přihlásí na (nepravou) přihlašovací stránku, kterou mu nainstalovaný kořenový (ale nepravý) certifikát posoudí jako pravou. A tak uživatel zadá své přihlašovací údaje …
Jaký oficiální návod?
Dalším důležitým momentem předchozího popisu je „oficiální“ návod, kterým autoři ukázky opakovaně argumentovali. O co jde?
Jedná se o instruktážní video, které svého času bylo dostupné na informačním webu datoveschranky.info, v sekci videoarchiv. Ale teď už tam není. Pokud ho chcete shlédnout, možná ho ještě najdete na (zcela veřejné) testovací verzi informačního portálu datoveschranky.info – než si provozovatel přečte tyto řádky a tuto verzi znepřístupní.
Toto instruktážní video sice ukazuje, že při instalaci kořenového certifikátu je třeba „odsouhlasit“ jeho pravost – ale už neříká, že je více než vhodné ji skutečně ověřit, a ne pouze odkliknout. Pokud byste si video přehráli, pak po celou dobu instalace jen hraje hudba, a komentář žádný.
Na druhou stranu je třeba říci, že právě v tomto momentě by instruktážní video umožňovalo odhalit nepravý kořenový certifikát: jak vidíte i na snímku, je na něm uvedena (správná) hodnota otisku – a ta by neměla souhlasit s otiskem nepravého certifikátu. Jenže to by si divák musel domyslet sám, protože komentář k tomu nedostane žádný.
A když už jsme u videí: existují ještě další instruktážní videa k instalaci certifikátů, i když již „neoficiální“ (od sdružení Egon Academy). Najdete je na YouTube, zde pro Firefox a zde pro Internet Explorer. A obě obsahují stejnou chybu – zcela zapomínají na potřebu ověření pravosti certifikátu.
Podcenění elementárních zásad bezpečnosti?
V souvislosti s výše uvedenými skutečnostmi mi to nedá, abych znovu nepřipomněl svůj článek zde na Lupě z 13. července (Stalo se: Česká pošta neradila správně). Zde jsem poprvé popisoval problém se serverovými certifikáty a s nutností instalovat je. Z dnešního pohledu musím konstatovat, že tehdy byla situace vlastně ještě horší než ta, na kterou upozorňuje společnost 4Safety.
Když to hodně zjednoduším: dnes je problémem to, že oficiální návod neupozorňuje (přesněji: neupozorňoval) na nutnost ověření pravosti certifikátu. Tehdy, v červenci, byl problém v tom, že Česká pošta dokonce říkala, že žádné ověřování pravosti certifikátu není zapotřebí.
Připomeňme si, viz uvedený článek, co tehdy viselo na www.datoveschranky.info:
Při pokusu o přihlášení do systému ISDS se může objevit varování, upozorňující na problém s bezpečnostním certifikátem stránky. Toto je způsobeno nepřítomností certifikátu ve standardní instalaci MS Windows či jiných operačních systémů. Upozornění je nutno ignorovat; vstup na stránku je zcela bezpečný, neboť používaný certifikát je vydán kvalifikovanou českou certifikační autoritou. Volbou přidání certifikátů k důvěryhodným certifikátům či pokračováním na stránku ISDS nevzniká žádné bezpečnostní riziko.
Ve druhé ukázce pak bylo názorně předvedeno právě toto: uživatel prostě vše odklikal – a jelikož byl předtím odveden na nepravé stránky, odklikl nepravý certifikát a dostal se na nepravé stránky, které si odposlechly jeho přihlašovací údaje.
Později už Česká pošta dostala rozum a své varování poupravila. Na třetí pokus (viz chronologie v původním článku) se už podařilo dostat do textu alespoň obecnou zmínku o potřebě ověření pravosti certifikátu.
Teprve mnohem později Česká pošta dala na informační web (www.datoveschranky.info) ucelenější návod na instalaci kořenových certifikátů do Firefoxu a Internet Exploreru, který již potřebu ověření jejich pravosti náležitě akcentuje.
Mimochodem, když v nedávných dnech (vlastně minulý týden) konečně došlo k „přestěhování“ oficiálního vstupu do datových schránek z adresy datoveschranky.info na mojedatovaschranka.cz, návod na instalaci kořenových certifikátů zase zmizel, viz následující obrázek (a zůstal jen návod na instalaci Filleru). Zřejmě tedy lidé kolem datových schránek znovu seznali, že kolem instalace certifikátů není třeba někomu radit, co a jak má dělat.
Naštěstí dnes už je odkaz na návod zase zpět.
Shrnutí
Udělejme si nyní malé shrnutí toho, co výše popisovaná ukázka naznačila a co vlastně znamená. Ukázala na něco nového, čeho bychom se měli bát?
Osobně se domnívám, že nic nového nepřinesla ani neodhalila. Jen názorně předvedla, jaké důsledky může mít nedostatečná – až chybná – osvěta. Může se ale popisovaný scénář stát někomu v praxi? Či spíše: jak moc je tento scénář pravděpodobný?
Zde je nutné si uvědomit, že popisovaný scénář má dva nutné předpoklady, a k jeho naplnění musí být splněny oba dva. Prvním je neznalost (nevědomost, resp. neinformovanost) uživatele, který si neověří, zda si instaluje pravý kořenový certifikát, či nějaký podvržený certifikát. Nebo jeho lenost, v situaci kdy ví, že by tak učinit měl, ale neudělá to.
Druhá nutná podmínka je ono „odvedení jinam“, neboli přesměrování uživatele na podvržené stránky. Zde existuje více možností, včetně přesměrování přímo na síťové vrstvě (nějakým směrovačem) či možnosti „hacknutí“ různých prokliků (viz nedávná kauza se změnou oficiální „vstupní“ adresy do datových schránek). Další možností je tzv. DNS spoofing, popisovaný výše. Ten může hrozit obecně všude, kde se váš browser ptá nějakého DNS serveru.
DNSSEC jako obrana proti spoofingu
Proti DNS spoofingu existuje obrana, kterou je řešení DNSSEC. Jde vlastně o nadstavbu nad systémem DNS, která jeho fungování zabezpečuje a dokáže kontrovat DNS spoofingu. Zájemce o technické podrobnosti si dovolím odkázat například na www.dnssec.cz, či na tento článek zde na Lupě.
Důležité přitom je, že dnes jsou systémem DNSSEC zabezpečeny i datové schránky. Tedy ty skutečné, na doméně mojedatovaschranka.cz. Sice ne dlouho (konkrétně od 12.11.2009 od 17:02:33), ale buďme rádi i za to (když už byly datové schránky tak dlouho – od 1.7.2009 – spuštěny bez tohoto zabezpečení).
Jak ale tohoto konkrétního zabezpečení může využít i běžný uživatel, který na svém počítač nejspíše nemá validující resolver (tedy „řádné“ řešení pro práci s DNSSECem)? Pomoci mu může alespoň plug-in pro jeho browser, který ověřuje správnost odpovědí DNS serveru alespoň pro potřeby browseru (ale již ne třeba emailu či dalších aplikací). A jelikož doména mojedatoveschranky.cz již několik dnů DNSSEC podporuje, může vás takovýto plug-in ochránit i před spoofingem této domény.
Potřebný plug-in, vytvořený laboratořemi správce tuzemské TLD domény (sdružení CZ.NIC) si můžete stáhnout na této adrese. K dispozici je zatím pouze pro Firefox, a jen v alfa verzi (která by ale už měla být dostatečně stabilní a reálně použitelná).
Způsob, jakým vám plug-in indikuje řádně ověřenou doménu, ukazuje následující obrázek (viz zelený klíč v adresní řádce).
Kdo bude instalovat nové certifikáty?
Celá kauza má ještě jeden zajímavý aspekt: kdo si bude muset instalovat nový kořenový certifikát CA PostSignum, aby se mohl stát obětí výše popisovaného scénáře?
Samozřejmě všichni „noví“ uživatelé, kteří s datovými schránkami začínají teprve pracovat. Ale co ti stávající, kteří již své browsery „naučili“ důvěřovat správným certifikátům? Mohou oni být nějak dotlačeni k nové instalaci (nepravých) kořenových certifikátů?
Pokud by se stali obětí DNS spoofingu či nějakého jiného „odvedení jinam“, pak by je podvržené stránky nejspíše znovu vyzvaly k vyjádření důvěry nepravému serverovému certifikátu, případně k instalaci nepravého kořenového certifikátu. A pokud by si pravost těchto certifikátů neověřili, pak by se jich scénář týkal. Jinak by ale k nové instalaci vyzývání být neměli (do skončení platnosti kořenových certifikátů CA PostSignum v roce 2030).
Je zde ale ještě jedna důležitá souvislost: serverový certifikát, kterým se webové stránky na mojedatovaschranka.cz prokazují, platí jen do 19.6.2010. Nejpozději k tomuto dni bude muset být nahrazen novým serverovým certifikátem. Možná ale, že se tak stane ještě dříve, dokonce ještě letos. V příštím roce by se totiž už muselo jednat o certifikát, používající hashovaní funkci SHA2 (místo dosavadní SHA1). Jenže řada uživatelských počítačů, zejména se staršími operačními systémy, bude mít problém s vyhodnocením takovéhoto certifikátu, protože jejich OS nepodporuje SHA2. Proto považuji za možné, že provozovatel datových schránek si nechá vystavit nový serverový certifikát ještě letos, a ještě se SHA1.
A teď: pokud má uživatel řádně nainstalován kořenový certifikát CA PostSignum, i podřízené (vydávající) certifikáty, pak by jeho počítač měl nový serverový certifikát rozpoznat automaticky, aniž by musel cokoli dělat (či jen něco poznat).
Určitě ale existují takoví uživatelé, kteří si místo instalace kořenových certifikátů CA PostSignum nainstalovali jen samotné serverové certifikáty datových schránek, a tím jim vyjádřili svou důvěru. Například pokud postupovali podle prvního doporučení České pošty (viz výše). A jakmile si pak datové schránky pořídí nový serverový certifikát, jejich browser ho nebude znát – a vše začne od začátku.
Captcha ex-post?
Na závěr ještě jedna perlička. V pondělí 23. listopadu se znovu změnil způsob přihlašování k datovým schránkám, tentokráte přidáním jednoduchého prvku CAPTCHA (resp. Turingova testu, podle autorů) – jako dalšího prvku zabezpečení, tentokráte proti robotům, viz obrázek.
Nová Captcha ale kupodivu není nasazena tam, kam roboti útočí nejvíce. Tedy ještě před úspěšným přihlášením, v situaci kdy se teprve zadávají přihlašovací údaje (a CAPTCHA brání tomu, aby to roboti dělali jak na běžícím pásu a zkoušeli různé kombinace). Zde je Captcha aplikována AŽ PO úspěšném přihlášení, a tedy již při znalosti platných přihlašovacích údajů.
Jaký to ale má smysl – zkoumat zda je někdo robot ve chvíli, kdy už má něčí přihlašovací údaje? Nebo to nějak souvisí s výše popisovanými scénáři a má to snad ztížit činnost skutečných podvržených stránek, které jen „tiše poslouchají“ průchozí provoz a jinak na něm nic nemění? Nevím.