Kaj naj storijo uporabniki ranljivega Ajpesovega informacijskega sistema

Ljubljana – Tako hude napake, kot so se pojavile na več točkah Ajpesovega informacijskega sistema, kažejo, da so pri njegovi zasnovi zelo premalo razmišljali o varnosti, pravi strokovnjak za informacijsko varnost Matej Kovačič. Kaj naj storijo uporabniki Ajpesovega sistema?

Kovačič je na portalu Slo-Tech razkril varnostne pomanjkljivosti na spletišču Agencije za javnopravne evidence in storitve (Ajpes). Objavili so, da je prek tako imenovanega SQL-vrivanja mogoče iz zalednih podatkovnih baz pridobiti tudi tiste podatke, ki javno niso dosegljivi. Ranljivi so tudi osebni podatki, denimo davčne in EMŠO številke lastnikov, zastopnikov in nadzornikov vseh poslovnih subjektov v poslovnem registru.

To pomanjkljivost smo odpravili, je dejal vodja službe za informacijsko tehnologijo na Ajpesu Marjan Babič. Pojasnil je, da so pomanjkljivost odkrili na dveh aplikacijah, na eni od teh se je vdor tudi dejansko zgodil.

Poleg tega je neimenovan varnostni raziskovalec odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja Ajpes. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo Ajpesu. Zaradi napake v podpisni komponenti lahko napadalec pretenta žrtev, da podpiše dokument, ki ga podtakne napadalec.

To podpisno komponento Ajpes še vedno uporablja, ker jim izvajalci zagotavljajo, da ni resne nevarnosti za zlorabo, je dejal Babič. Za zlorabo te ranljivosti je treba vdreti v računalniško omrežje uporabnika, spremljati njegovo delo, v pravem trenutku nadomestiti dokument, ki ga namerava podpisati uporabnik z drugim dokumentom in ga prelisičiti, da bo ta dokument podpisal, je rekel Babič: »Možnosti so zelo majhne. Taki scenariji niso zelo verjetni, ker mora biti izpolnjenih veliko pogojev.«

Vendar je Kovačič opozoril, da lahko virusi preustrezajo promet in podtaknejo lažne certifikate.

Ranljivost Ajpesovega spletišča je še posebej aktualna, ker morajo gospodarske družbe in samostojno podjetniki v treh mesecih po koncu poslovnega leta, to večinoma pomeni do konca tega meseca, Ajpesu oddati letna poročila. »Letno poročilo lahko oddajo tudi na papirju, če kdo dvomi. Vendar v dolgoletni zgodovini nismo imeli težav z veljavnostjo elektronskih podpisov,« je rekel Babič.

Kovačič je dejal: »Če lahko dokumente oddaš po pisni poti, bi jih osebno tako oddal.« Sicer pa je po njegovih besedah zelo slabo, da morajo uporabniki koristiti sistem, ki ni varen: »Vse kar lahko narediš je, da pritiskaš na upravljalca sistema, naj ga popravi.«

Vodja centra za obravnavo incidentov s področja varnosti elektronskih omrežij SI-CERT Gorazd Božič je dejal, da trenutno ne razpolagajo s podatkom, ki bi kazal, da je zaradi razkritih ranljivosti na Ajpesu prišlo do zlorabe podatkov uporabnikov. Vendar preiskava še ni končana.