Úspěšné útoky na datovou schránku s certifikátem nejsou iluze

Datová schránka je pro naprostou většinu uživatelů černou skříňkou. Nějakým způsobem se naučí vybírat a posílat dokumenty, naprosto nic však nevědí o jejím fungování a ani o tom, jaká rizika z používání schránky vyplývají.


Přitom právě na nich a na jejich chování nejvíce záleží to, zda jim někdo neodcizí nebo nezneužije jejich přihlašovací údaje či identitu, což může vést k milionovým škodám i pokutě od státních orgánů.

Zatímco přímé překonání zabezpečovacích mechanismů Informačního systému datových schránek (ISDS) je podle odborníků velmi obtížné ne-li vyloučené, protože by to stálo obrovské nasazení techniky, času i peněz, útoky na uživatele datových schránek se dají očekávat a jsou reálně potvrzené v praxi.

Jeden z možných útoků na uživatele předvedla v prosinci v Praze firma Trusted Network Solutions (TNS). Její experti předvedli (a řádně vysvětlili) jeden konkrétní druh útoku, který využil špatné návyky v chování uživatele při práci s počítačem.

Uživatel si  do svého prohlížeče nainstaloval plug-in, o kterém ale nevěděl, že kromě své řádné funkce ještě někomu přeposílá  obsah cookies dosud neukončených (neuzavřených) relací, čímž vlastně „krade“ SSL relace. Pak už stačilo, aby se uživatel takto napadeného browseru přihlásil do své datové schránky (klidně i pomocí certifikátu) – ale po skončení své práce se schránkou se z ní řádně neodhlásil, ale místo toho jen zavřel svůj prohlížeč.

Právě to byla příležitost pro „cinknutý“ plug-in: na signál o zavírání stránky odeslal obsah cookie k dosud neuzavřené relaci s ISDS na jiný počítač. Pro ten už pak nebylo těžké v neuzavřené relaci pokračovat dále. Tedy vlastně pracovat s cizí datovou schránkou, bez nutnosti se znovu přihlašovat.

To, že je nejsnadnější zaútočit na bezpečnost systému datových schránek přes jejich uživatele, potvrzuje i Radek Smolík, bezpečnostní expert projektu ISDS. „Devadesát devět procent běžných uživatelů nedodržuje správně pravidla bezpečnosti,“ řekl Smolík. „Předvedený útok je toho klasická ukázka, a proto k němu může dojít.“

 

Jaké jsou možné útoky na ISDS?

Uživatelé datových schránek by měli mít aspoň základní povědomí o tom, jaké druhy útoků na datové schránky vůbec připadají v úvahu, jak jsou náročné na kvalifikaci (na straně útočníka), jak malá či velká je příležitost k jejich uskutečnění, a jaké je riziko, že skutečně budou provedeny.

Základní sdělení je takové, že nabourat se skutečně do samotného ISDS je relativně nejtěžší. Snazší je vést útok přes uživatele, resp. přes klienta a jeho vybavení. A i zde jsou nejjednodušší takové  útoky, které míří na jeho znalosti a aktivity: na to, že uživatel musí nebo naopak nesmí něco udělat, že neví jak přesně to udělat atd..

Samozřejmě nejde o žádné převratné zjištění, je všeobecně známo, že nejslabší článek řetězu je lidský faktor. Takže je určitě na místě očekávat, že většina útoků na datové schránky povede právě přes něj, tedy přes samotné uživatele. I proto je ale smutné, že z pohledu jakési „péče o bezpečnost“ je tomu přesně naopak: zřizovatelé a provozovatelé ISDS sice nějak řeší bezpečnost svého systému (serverů, databází atd.), ale osvětě a vzdělávání koncových uživatelů je věnováno minimum pozornosti. Na druhou stranu tento stav o to více otevírá prostor pro komerční subjekty, aby nabídly řešení zvyšující bezpečnost.

 

Jak funguje Bezpečná schránka?

Uživatel, který chce zvýšit bezpečnost své vlastní práce s datovými schránkami, dnes ještě nemá mnoho možností na výběr. Může například sáhnout po produktu Bezpečný klíč, který nabízí Česká pošta. Ten ale řeší jen jednorázové přihlášení k datové schránce, prostřednictvím certifikátu na USB tokenu. Pro zabezpečení  celé relace (celého průběhu komunikace s datovou schránkou) je zatím na trhu zřejmě jen jeden produkt, a to řešení Kernun – bezpečná schránka (KBS), postavené na míru právě datovým schránkám, a to na bezpečnostní platformě Kernun.

Princip fungování KBS není nepodobný klasickému útoku zvanému „Man in the Middle“. Samozřejmě s tím rozdílem, že v něm nejde o to někoho podvést, ale naopak ochránit.

Koncový uživatel si myslí, že pracuje přímo s datovou schránkou přes její webové rozhraní. Iluze je dokonalá i v tom, že k tomu potřebuje nainstalovaný 602XML Filler. Ve skutečnosti ale jeho browser komunikuje s prostředníkem (KBS), který se vůči jeho browseru chová jako SSL proxy.

Díky tomu dokáže upravovat průběh relace s ISDS takovým způsobem, že jakoby „překládá“ přihlašovací údaje: uživatel zadává určitou sadu přihlašovacích údajů (jméno a heslo), na obrázku zelené -  ale KBS do datové schránky posílá jiné přihlašovací údaje (ty „ostré“, na obrázku červené).

To má ten významný efekt, že i když by někdo koncovému uživateli jakkoli ukradl jeho přihlašovací údaje (ty „zelené“), stejně by mu byly k ničemu – protože kdyby se s nimi chtěl následně přihlásit k datové schránce uživatele (již přímo, a nikoli přes KBS), pak neuspěje.

„Při tvorbě produktu jsme vycházeli z reálného chování běžného uživatele, který má většinou k dodržování všech bezpečnostních pravidel poměrně liknavý přistup. I když je uživatel lajdák, napíše si přihlašovací údaje na papírek a ten mu někdo vezme, přesto o obsah své schránky nepřijde, protože tyto údaje jsou při použití našeho zařízení pro zloděje nepoužitelné,“ vysvětluje ředitel společnosti TNS Roman Pavlík.

Zajímavé také je, že Kernun Bezpečná schránka si nepamatuje „ostré“ přihlašovací údaje (aby se nedostal do konfliktu se zákony). Místo toho si vytvoří a pamatuje funkci, která po zadání správného (zeleného) jména a hesla vypočítá správné ostré (červené) přihlašovací údaje.

Dalším prvkem, zvyšujícím bezpečnost, je možnost kdykoli se podívat na historii přístupů k datové schránce přes KBS. V tomto ohledu je samotné prostředí webového rozhraní ISDS mnohem skromnější: při úvodním přihlášení vám sice řekne, kdy jste byli přihlášení naposledy. Ale už vám třeba neřekne, z jaké IP adresy, natož abyste viděli nějakou hlubší historii aktivit kolem své datové schránky, a mohli třeba i jen ex-post poznat nějaký (ne)oprávněný přístup odjinud.

A jak Kernun chrání proti kradení cookies a celých relací, jaké předvedli jeho autoři? Na stejném principu, jako proti krádeži přístupových údajů, i před jinými útoky: relace mezi koncovým uživatelem a KBS je jiná, než mezi KBS a datovou schránkou. Takže i když by ji někdo „ukradl“ a chtěl v ní pokračovat, již přímo vůči ISDS, opět mu nebude k ničemu, protože v ní nedokáže pokračovat.

 

 

Reálný útok na uživatele datových schránek

  1. Z veřejné webové stránky stáhneme volně dostupné rozšíření webového prohlížeče a přidáme k němu velmi jednoduchou úpravou funkci, která zaznamenává a odesílá cookies.

  2. Upravené rozšíření prohlížeče umístíme na webových stránkách, odkud si uživatelé bezplatně stahují software, a počkáme, až si ho uživatel nainstaluje.

  3. V okamžiku, kdy se napadený uživatel přihlásí k datové schránce, odešle nám tím své cookies.

  4. Získané cookies vložíme do svého webového prohlížeče a tím se dostaneme do otevřené datové schránky.

 

Tento článek vyšel v tištěném SecurityWorldu 1/2001.Komentáře