Bezpečnostní experti z Auxilium Cyber Security a WardenSec upozornili na potenciální zranitelnost v systému NIA při přihlašování pomocí čipových eObčanek, píše E15.
NIA, tedy Národní Identitní Autorita je uzel, který různými způsoby řeší ověření identity a přihlášení třeba do webového Portálu občana, aplikací sociálního zabezpečení atp. NIA dnes nabízí hromadu ověřovacích způsobů počínaje prostým loginem, heslem a kódem v SMS (dvoufaktor) a konče právě eObčankou, její hardwarovou čtečkou a speciální aplikací nainstalovanou na PC. Nově pak přibyla také možnost přihlášení skrze MojeID, které provozuje CZ.NIC.
Přihlášení různými způsoby do českého e-governmentu, ale skrze jednotný uzel
Podle expertů je problém právě v přihlašování skrze eObčanky a aplikaci, která se spustí z webového prohlížeče a po zadání pinu ověří identitu skrze čip na eObčance. V rámci tohoto spojení se mezi servery NIA a počítačem přenáší identifikátor spojení, který lze nahradit vlastním záškodnickým identifikátorem a převzít tak kontrolu nad úspěšně přihlášeným uživatelem, který nebude mít ani páru, že se něco děje.
Standardní způsob přihlášení k NIA (Portál občana aj.) na PC pomocí eObčanky
Co k tomu potřebujete? Třeba podvrhnutou a upravenou knihovnu OpenSSL, kterou používá klientská aplikace na PC a kterou by mohl na cílový počítač dopravit nějaký cílený malware. Pokud by se to podařilo, záškodník může s identitou uživatele napříč podporovaných e-governmentem pracovat, jak se mu zlíbí, aniž by si uživatel čehokoliv všiml.
Podvržení transakčního ID při použití zavirované klientské aplikace eObčanky pro PC. Detailní popis najdete v PDF v závěru článku.
Elektronická občanka jakožto hardwarový klíč se speciální aplikací pro PC je tedy při tomto scénáři vlastně děravější, než prostý a už zmíněný dvoufaktor, tedy kombinace loginu, hesla a ověřovací SMS, která dorazí na mobil.
Jak už tom ubývá, celý systém je pouze tak bezpečný, jak bezpečné jsou koncové body, které se účastní výměny dat. Pokud bude jakýmkoliv způsobem infikovaný PC oběti, zabezpečení eObčanek může být naprosto k ničemu.
Experti navrhli několik způsobů. Jak lze celý systém zabezpečit, nelze tedy než doufat, že se vše opět spraví.
Celý popis potenciálního útoku v češtině: