Platon Technologies
neprihlásený Prihlásiť Registrácia
SlovakEnglish
open source software development oslavujeme 10 rokov vývoja otvoreného softvéru! Utorok, 19. marec 2024
O nás
Magazín
Otvorený softvér
CVS
Služby
Index  »  Tlačové správy  »  Analýza bezpečnosti webových stránok operačných programov

Analýza bezpečnosti webových stránok operačných programov
(Reakcia na vyjadrenia ministra Štefanova)

Autor: Ondrej Jombík | Sekcia: Tlačové správy | Dátum: 2009-11-02

Dňa 30. novembra 2009 prezentoval Konzervatívny inštitút M.R.Štefánika na tlačovej konferencii nehorázne obstarávacie ceny webstránok operačných programov. Dve najdrahšie – www.nsrr.skwww.ropka.sk – patria pod Ministerstvo výstavby a regionálneho rozvoja SR. Zo včerajšieho vyjadrenia pána ministra Štefanova, ktorým sa snažil obhájiť opodstatnenosť vynaložených financií vyplýva, že uvedené webstránky boli drahé najmä kvôli svojmu zabezpečeniu.

Túto obhajobu považujeme za chabú a nedostatočnú. Stránky sú neuveriteľne predražené, a keďže minister argumentoval bezpečnosťou, pozreli sme sa aj túto stránku veci. Našimi zisteniami sme boli šokovaní! V ich kontexte ešte výraznejšie vidieť plytvanie verejnými zdrojmi a navyše aj neprofesionalitu vybraných dodávateľských firiem.

  1. Prvé zistenie bolo prezentované už na tlačovej konferencii – stránky operačných programov sú umiestnené na serveroch v Českej republike1. A to aj napriek tomu, že vláda disponuje vlastnou kvalitnou IT infraštruktúrou, resp. obdobné služby je možné poľahky zabezpečiť aj na Slovensku. Keďže stránky sú určené primárne pre slovenských návštevníkov, ich umiestnenie v susednom štáte považujeme za neefektívne a nerozumné.

  2. Podľa vyjadrenia ministra stránka obsahuje tiež dôležitý rezervačný systém. Napriek jeho dôležitosti, nie je tento systém ani žiadna iná časť webstránky chránená zabezpečeným protokolom HTTPS. Ak sa nepoužíva HTTPS, všetky dáta (napr. login a heslo) sú prenášané v nekryptovanej forme a môže poľahky dôjsť k ich odchyteniu a následnému zneužitiu potenciálnym útočníkom.

    Protokolom HTTPS sú už dnes už chránené nielen stránky internetového bankovníctva, ale aj tie úplne najobyčajnejšie weby, ako sú napr. mailové alebo chatové servery. Použitie HTTPS protokolu je základným pilierom internetového zabezpečenia. Je poľutovaniahodné, že sa na tento dôležitý pilier bezpečnosti pri obstarávaní akosi pozabudlo.

    Keďže ani samotné administračné rozhranie2 webstránky nie je chránené a zabezpečené, existuje reálne riziko zneužitia prístupov do tohto rozhrania. To môže mať za následok až to, že ministerstvo stratí kontrolu nad obsahom vlastnej webstránky. Ako sa však ukáže v ďalšom bode, žiaľ ministerstvo už túto kontrolu stratilo.

  3. Tretí bod predstavuje naše najzávažnejšie zistenia, o ktorých si myslíme, že sú až také zlé, že by mohli byť dokonca dôvodom na reklamáciu diela alebo odstúpenie od kúpnej zmluvy. Webstránky totiž obsahujú viaceré chyby typu XSS3, ide o tzv. „Cross-Site Scripting“ chyby.

    Kvôli uvedeným chybám môže do stránok operačných programov ktokoľvek vkladať ľubovoľné obrázky, texty a komponenty. Nie sú nato potrebné žiadne špeciálne hackerské ani programátorské znalosti. Vloženie vykonať ľubovoľný používateľ internetu zo svojho počítača, dôkazom čoho je, že upozornenie na túto markantnú chybu sa objavilo aj v diskusii pod článkom na www.sme.sk4. V predmetnom príspevku vložil neznámy diskutér obrázok železničného tunela5 do stránky www.ropka.sk, pričom rovnakou chybou trpí aj www.nsrr.sk (viz príloha 1,2) a je možné, že aj ďalšie stránky od rovnakého dodávateľa.

    Väčším problémom však je, že tu nejde len o nevinné hrátky s obrázkom. Do stránky je rovnakým spôsobom možné vložiť aj vírusový komponent alebo iný škodlivý kód. Rovnako tak môže potenciálny útočník vykonať presmerovanie na vlastnú kópiu stránky (tzv. phishing stránka6), ktorú bude vydávať za originálnu stránku. Takto môže prezentovať falošné či nepresné údaje alebo sa snažiť získať údaje návštevníkov (osobné údaje, obchodné informácie, loginy, heslá), ktorí budú v omyle, že sa nachádzajú na správnej stránke.

Uvedené chyby predstavujú závažné bezpečnostné riziká a svedčia o neprofesionalite dodávateľských firiem a nedostatočnej kontrole dodaného diela na ministerstve. Stránky nie sú odolné proti triviálnym typom útokov a pokiaľ nedôjde k urýchlenému odstráneniu spomenutých nedostatkov, je len otázka času kedy ich niekto zneužije závažným spôsobom.

Myslíme si, že je čas skončiť s presvedčovaním národa o výhodnosti a kvalite tohto produktu, ale je nutné začať konať. Tieto webstránky za vyše dva milióny korún sú totiž ako auto bez bŕzd: funguje, jazdí, ale je pre vás veľmi veľmi nebezpečné.


Pre viac informácií a odbornejších detailov kontaktujte:

Menovaný bol účastníkom tlačovej besedy organizovanej Konzervatívnym inštitútom M.R.Štefánika.


Poznámky

  1. Umiestnenie stránok v Českej republike:
    - ropka.sk
    - nsrr.sk

  2. Adminsitračné rozhranie webstránky:
    - http://www.nsrr.sk/admin (funkčné, bez zabezpečenia HTTPS)
    - https://www.nsrr.sk/admin (HTTPS nefunkčné)

  3. Podrobný popis chyby typu XSS:
    http://en.wikipedia.org/wiki/Cross-site_scripting

  4. Žartík neznámeho diskutéra:
    http://www.sme.sk/diskusie/dpl/11522067/Ministerstva-obstarali-webstranky-draho-najdrahsie-kupoval-rezort-vystavby.html

  5. Žartík neznámeho diskutéra - odkazy:
    - http://tinyurl.com/yboe98p
    - http://tinyurl.com/yagp9uy

  6. Vysvetlenie a možnosti zneužitia tzv. "phishing" stránky:
    http://en.wikipedia.org/wiki/Phising

Prílohy

Pozmenené stránky operačných programov:
(kliknite na obrázky pre zobrazenie plných verzií)

Príloha 1

Príloha 2

Čo je Platón?
Platón bol veľmi doležitý filozof starovekého Grécka, študent Sokratesa a učiteľ Aristotela. viac info...

Platon Group zastrešuje slovenskú skupinu vývojárov otvoreného softvéru. Vyvíja, spravuje, dokumentuje niekoľko úspešných open-source projektov.

Platon Technologies, s.r.o. je mladá a dynamicky rozvíjajúca sa spoločnosť, ktorá má za cieľ prinášať otvorené technológie do komerčnej a verejnej sféry.

Podporte nás

Výkonný webhosting
a multihosting

Platon Webhosting

Super rýchle servery
a profesionálna administrácia

Virtuálne, dedikované a manažované servery

Vývoj
Diskusia k článku
vajcak predmet prispevku 2009-12-02 20:35
Lza     trosku pokoja.... 2009-12-02 22:25
Lukas analyza ... 2009-12-03 00:09
Plavec ... analyza ... 2009-12-03 01:43
Igor Mino     RE: ... analyza ... 2009-12-03 02:48
Plavec         RE: ... analyza ... 2009-12-03 15:18
            RE: ... analyza ... 2009-12-03 17:11
Lza     RE: ... analyza ... 2009-12-03 10:31
Plavec         RE: ... analyza ... 2009-12-03 14:32
Lza             RE: ... analyza ... 2009-12-03 17:40
P Jombo na hrad !! 2009-12-19 21:53
jennrani0804 geek squad 2019-11-07 12:21
jennrani0804 geek squad 2019-11-07 12:22
Pure Melda College Research Paper Services 2019-11-20 08:00
WWW.AVG.COM/REGISTRATION WWW.AVG.COM/REGISTRATION 2020-01-06 12:31
i have kaspersky activation code i have kaspersky activation code 2020-01-06 13:01
WWW.AVG.COM/RETAIL WWW.AVG.COM/RETAIL 2020-01-06 13:02
WWW.AVG.COM/RETAIL WWW.AVG.COM/RETAIL 2020-01-06 13:05
www.bitdefender.com/central www.bitdefender.com/central 2020-01-06 13:06
download kaspersky using activation code download kaspersky using activation code 2020-01-06 13:07
AVG DOWNLOAD PAID VERSION AVG DOWNLOAD PAID VERSION 2020-01-06 13:08
install webroot with key code install webroot with key code 2020-01-06 13:09
download bitdefender free download bitdefender free 2020-01-06 13:10
reinstall kaspersky internet security reinstall kaspersky internet security 2020-01-06 13:11
INSTALL AVG WITH LICENSE NUMBER INSTALL AVG WITH LICENSE NUMBER 2020-01-06 13:11
INSTALL AVG WITH LICENSE NUMBER INSTALL AVG WITH LICENSE NUMBER 2020-01-06 13:24
bitdefender sign in bitdefender sign in 2020-01-06 13:30
asshidiq jasa aqiqah 2020-01-09 07:14
the impossible quiz I need your love 2020-03-25 05:06
cancel netflix subscription RE: Antispam Test 2020-11-24 17:11
Events 2021 Happy New Year 2021 Images 2020-12-22 14:53
Events 2021 Happy New Year 2021 Images 2020-12-22 14:56
Werneree Awesome! 2021-05-15 08:07
lewis rex Xfinity.com/authorize - Activate Xifinity Beta on Roku. 2021-07-12 09:50
Sonju Ghosh Puff Sleeve Blouse Designs 2022-04-19 12:46
Sonju Ghosh CBD Lead Generation 2022-05-17 16:04
lizazampa Web Application Firewall (WAF) 2022-05-26 09:05
Text Message Marketing India's No. 1 Bulk SMS Service Provider in Bangalore (Get Upto 40% Extra) - GetItSMS 2022-06-14 08:44
99 Pandit North Indian Pandit In Bangalore 2022-06-16 09:07
getitsms Book a Pandit Online 2022-07-01 12:36
Legion The best way to find your home. 2022-08-03 07:47
Malik wildcraft mod apk 2022-09-25 13:01
99 Pandit Book Online Pandit & Astrologer in all over India. 99 Pandit is providing amazing services of puja you need. Register Now to get online pandit for puja 2022-09-28 13:53
hinditsolution hinditsolution 2022-10-13 08:34
mkamanaew iboga for sale 2022-10-21 14:45
bulk sms hinditsolution 2022-11-02 12:56
Ahmedali Best Informative Articles 2022-11-07 10:52
Url Opener SEO 2022-11-17 16:15
baccaratcommunity baccaratcommunity 2023-01-05 10:39
saksham yadav vs4u 2023-03-10 15:21
saksham yadav With track record of 100 percent visa approvals Visa Solutions 4u is renowned name in top 10 best immigration consultants in Janakpuri, Delhi Ncr, India 2023-03-10 15:24
XiaoLiZhang Web Kami Terbaik 2023 2023-05-23 06:13
메이저사이트 메이저사이트 2023-06-22 03:50
메이저사이트 메이저사이트 2023-07-24 07:38
totochips totochips 2023-08-03 08:35
Laxmi Tour & Travels Car Rent in Bikaner 2023-08-22 10:52
DENTURES99 DENTURES99 2023-10-11 12:20
Thor Flash Check the appropriate promotions before starting 2023-12-22 05:40
seo SEO 2024-01-08 11:26
seo SEO 2024-01-08 11:27
seo seo 2024-01-08 11:28
Junette Kearns@gmail.com Spotify Insider 2024-01-20 15:27
Cyber City Model Dial our number. Escort Service in Manesar 2024-03-07 10:13
allan https://dahlcore.com/concert-security 2024-03-12 15:49
allan https://dahlcore.com/concert-security 2024-03-12 15:50
giovannirocky https://www.rockymountainoils.com/blogs/essential-oil-basics/what-are-essential-oils 2024-03-12 17:48
Simpli RFP Simplifying contracts 2024-03-15 16:53

   

 
Copyright © 2002-2006 Platon Group
Stránka používa redakčný systém Metafox
Na začiatok · Odkazový formulár · Prihláška
Upozorniť na chybu na PLATON.SK webstránke · Podmienky použitia · Ochrana osobných údajov