neprihlásený Sobota, 7. decembra 2024, dnes má meniny Ambróz
Štátny softvér pre eID vážne ohrozil bezpečnosť občanov, umožnil ovládnuť ich PC

V oficiálnom a povinnom softvéri eID klient pre využívanie elektronických funkcií elektronického občianskeho preukazu eID sa nachádzali vážne bezpečnostné zraniteľnosti, ktoré vážnym spôsobom ohrozili bezpečnosť občanov. Umožnili útočníkom mazať súbory užívateľov ale najmä spúšťať nimi zvolený kód na počítačoch užívateľov a tým infikovať a získať kontrolu nad týmito počítačmi. Chyby odhalila a nahlásila spoločnosť Binary House, boli opravené vo verziách novších ako eID klient 3.0.0.

Značky: eIDštáte-government

DSL.sk, 11.7.2019


V oficiálnom a povinnom softvéri eID klient pre využívanie elektronických funkcií elektronického občianskeho preukazu eID sa nachádzali vážne bezpečnostné zraniteľnosti, ktoré vážnym spôsobom ohrozili bezpečnosť občanov.

Elektronické funkcie a tento softvér od štátu pritom musia viacerí občania používať povinne bez možnosti alternatívy.

Zraniteľnosti boli identifikované na prelome februára a marca a vyústili do znefunkčnenia prihlasovania pomocou elektronických občianskych preukazov eID pomocou dovtedajších verzií aplikácie eID klient bez predchádzajúceho avíza. Vydané boli nové verzie 3.1.2 pre Windows a 3.0.2 respektíve následne 3.0.3 pre Mac a Linux a štát následne označil ako dôvod tohto kroku "možné bezpečnostné ohrozenie" so zverejnením základnej charakterizácie problému bez dostatočných podrobností.

Tie boli zverejnené až aktuálne, so správou jednotky CSIRT a správou spoločnosti Binary House, ktorá zraniteľnosť identifikovala. Zraniteľnosť konkrétne identifikoval Marek Alakša zo spoločnosti.

Zraniteľnosti

V softvéri eID klient sa do marca nachádzali dve zraniteľnosti, hlavná umožňujúca útok na všetkých troch podporovaných platformách Windows, macOS a Linux a druhotná umožňujúca útok voči macOS a Linuxu dokonca z Internetu bez akejkoľvek súčinnosti užívateľa.

eID klient je softvér pristupujúci k elektronickým funkciám eID a sprístupňujúci tieto funkcie aj štátnym webovým aplikáciám. S nimi komunikuje cez webové rozhranie pomocou integrovaného lokálneho webservera počúvajúceho na počítači užívateľa na TCP porte 15480.

eID klient nemá vlastnú implementáciu webového servera, integruje open source server civet-webserver a ten mal štandardne odpovedať len na dotazy cez sedem špecifických URL.

Podľa správy Binary House z "dôvodu zlej implementácie civet-webservera do eID klienta" a teda nie chybe v samotnom civet-webserver ale tento zabudovaný webserver obsluhoval aj ďalšie požiadavky. A to ľubovoľné HTTP požiadavky metódami DELETE a PUT a zároveň po vyžiadaní spracuvával prípadné dynamické skripty typu SSI a CGI, ak sa nachádzali v súboroch s koncovkami shtml a shtm respektíve cgi, pl a php. Zraniteľnosť dostala označenie CVE-2019-13028.

Webserver má podľa CSIRT nastavený ako domovský adresár adresár s používateľskými súbormi užívateľa. Na Linuxe je to domovský adresár užívateľa, pre macOS a Windows oznámenie konkrétny adresár neavizuje.

Metóda DELETE umožňovala zmazať súbory na počítači užívateľa, metóda PUT kvôli implementácii neumožňovala nahrať ľubovoľný súbor ale umožňovala tiež zmazať obsah ľubovoľného súboru. Podpora SSI a CGI zase umožňovala spustiť útočníkom zvolený kód, ak ho nejakým spôsobom vedel dostať na počítač užívateľa.

Druhá zraniteľnosť bola prítomná v prípade Linuxu a macOS. V tomto prípade webserver nepočúval iba na localhost rozhraní a neobsluhoval požiadavky iba z lokálnych aplikácií ale odpovedal aj na požiadavky prichádzajúce cez sieť. Ak bol počítač pripojený priamo na Internet bez firewallu a NAT, pristupovať na eID klient bolo možné v prípade užívateľov na týchto OS aj z Internetu.

Dopady

Zraniteľnosti umožňovali útoky dvoch typov. V prípade macOS a Linuxu v prípade počítačov s TCP portom 15480 dostupným z Internetu mohli útočníci útočiť na eID klient a jeho primárnu zraniteľnosť aj z Internetu bez akejkoľvek súčinnosti užívateľa.

Útočiť sa vzhľadom na webové rozhranie eID klienta ale dalo na užívateľov všetkých OS, pomocou škodlivého JavaScript skriptu na ľubovoľných internetových stránkach otvorených napríklad vo webovom prehliadači užívateľa komunikujúceho následne lokálne s eID klientom na PC. Takýto typ útoku sa síce považuje za útok so súčinnosťou užívateľa, keď užívateľ musí navštíviť stránku s podvrhnutým skriptom, skript ale môže byť podvrhnutý na ľubovoľnej stránke.

Proti takýmto útokom síce chráni politika Cross-Origin Resource Sharing zabraňujúca skriptu pristupovať na URL na iných doménach, tá sa dá ale obísť technikou DNS rebinding.


Demonštrácia zmazania súboru užívateľa cez zraniteľnosť eID klient na Windows (video: Binary House)



Podpora metód DELETE a PUT následne pri oboch typoch útoku umožnila zmazať súbory užívateľa.

Podpora spúšťania SSI a CGI zase umožnila útočníkovi spustiť kód, ak vie dostať svoj kód predtým na PC užívateľa a spustiť ho pomocou zabudovaného civet-webserver. To bolo možné v prípade útoku cez skript na stránke, ktorý môže takýto kód najskôr automaticky stiahnuť. Binary House to demonštruje na Linuxe, kde prehliadač ukladá sťahované súbory pod domovský adresár užívateľa nastavený ako domovský adresár pre civet-webserver. Pre zvyšné dva OS bližšie informácie o útoku tohto typu neuvádza.


Demonštrácia získania kontroly nad PC cez zraniteľnosť eID klient na Ubuntu (video: Binary House)



Kód útočníka bol spúšťaný s právami užívateľa softvéru eID klient a mohol samozrejme získať kontrolu nad PC rovnako ako užívateľ, okrem iného zrejme pristupovať k jeho súborom a prípadne zabezpečiť aj trvalú infekciu PC.

Harmonogram

Spoločnosť Binary House kontaktovala GOV CERT SK dňa 27. februára, o deň neskôr boli poskytnuté informácie o zraniteľnostiach a o ďalšie dva dni 2. marca boli vydané opravené verzie eID klienta. Štát informoval o aktualizácii o ďalšie dva dni 4. marca.

Bližšie informácie je možné nájsť v oznámení CSIRT a správe Binary House (PDF).


      Zdieľaj na Twitteri



Najnovšie články:

Pripravuje sa nová verzia systému pre routery OpenWrt 24.10, k dispozícii kandidát na vydanie
HAMR disky sa majú začať konečne masovo dodávať
Linuxové jadro 6.12 označené za LTS, piatim LTS verziám skončí podpora naraz
NASA opäť posunula termín pristátia posádky na Mesiaci
Chrome na Androide za menej ako dva roky zdvojnásobil výkon
Vydaný minimalistický Alpine Linux 3.21
Microsoft nezmierni HW požiadavky pre Windows 11, bude stále vyžadovať TPM 2.0
V Španielsku navrhujú smartfóny nedávať deťom a dať na ne upozornenia na zdravotné riziká
Bitcoin dosiahol novú rekordnú cenu nad 100-tisíc dolárov
Novým šéfom NASA bude vesmírny turista cestujúci so SpaceX


Diskusia:
                               
 

a koľik ten softwarovy paskvil danovych poplatnikov stal ?
Odpovedať Známka: 8.4 Hodnotiť:
 

To sa da lahko zratat... Webserver je open source takze gratis, plus gui nadtavba od studenta za kredit ku skuske a 100e na chlast + trochu kodu co to zlepil do hromady...

Takych 20-30 milionov tipujem
Odpovedať Známka: 9.9 Hodnotiť:
 

Tiež mi napadlo, že je po skúškovom a sú prázdniny, tak to rýchlo fixli. Nechcel som sa ale do tých IT-čkárov príliš navážať - nepracujú zrejme v ideálnych podmienkach, ani za kráľovské platy. Každému je myslím jasné, že prachy putovali inam.
Odpovedať Známka: 9.0 Hodnotiť:
 

No jo vlada si objednala backdoor a prevalilo sa to :D :D :D

Odpovedať Známka: 7.9 Hodnotiť:
 

It was not a bug, it was a feature!

Inými slovami: teraz musia implementovať iný backdoor.
Odpovedať Známka: 9.0 Hodnotiť:
 

Mozno tam aj bol a aj stale je - staci spravne zaklopat na par portov s pravnom poradi a casovy rozostupoch a Sezam ti otvori dvere. :P Bez dekompilacie toho bazmeku na to neprides. Teda prides, ak by si hladal taky kod a snifoval jeho spravanie na tisickach PC uzivatelov....
Odpovedať Hodnotiť:
 

*ma napadlo. Napadnut moze len vlastnikovi, takze pri dodrziavani stavajucich podmienok pouzivania stranky by to tu s ohladom na autorsky zakon bez oficialnej deklaracie zmeny licencie pre prispevok priekazne neslo napisat.
Odpovedať Známka: -5.0 Hodnotiť:
 

trapne
Odpovedať Známka: 0.0 Hodnotiť:
 

Iba skoro dve miliardy, ale lekar prisiel ozdravit IT a uz uz to coskoro bude . Soon.
Odpovedať Známka: 6.5 Hodnotiť:
 

Nato, ze je to stat atd. ta reakcia bola rychla podla mna. Imho by som ich pochvalil tentoraz ked ich uz tolko hanime.
Odpovedať Známka: 7.3 Hodnotiť:
 

lebo to bol backdoor o ktorom uz vopred vedeli
Odpovedať Známka: 3.3 Hodnotiť:
 

To podla mna by rychlost reakcie kvoli objektivite trebalo porovnat s rychlostou podania navrhu na blizsie preskumanie suladu obsahovania webového SERVERA v softvéri eID KLIENT zo Zákonom č. 250/2007 Z. z. o ochrane spotrebiteľa Ministerstvom hospodárstva Slovenskej republiky.
Odpovedať Známka: -2.9 Hodnotiť:
 

Ale stale mi nejde vycentrovat!
Odpovedať Známka: 10.0 Hodnotiť:
 

Ten software nerobí štát ale štátom dobre zaplatená firma
Odpovedať Známka: 10.0 Hodnotiť:
 

Tak nejak som to myslel. Ale v duchu statneho IT to mohlo dopadnut ovela horsie (vid certifikaty). Tu sme aspon tentokrat dostali sluzbu za tie peniaze.
Odpovedať Známka: 7.8 Hodnotiť:
 

To je ako s mojim známym, ktorý raz zmenil svoj dlhoročný autoservis, lebo sa presťahoval, a v tom sa mu začalo auto kaziť. A vôbec nebolo nápadné, že už keď prišiel, tak v tom novom servise hneď vedeli, čo treba opraviť.
Odpovedať Známka: 5.0 Hodnotiť:
 

Naozaj nezvykle rýchla oprava problému, ďakujeme štátik Slovenský
Odpovedať Známka: 6.4 Hodnotiť:
 

Pisu, ze na Mac by mala prist verzia 3.3 Pustil som eID, ale ziadny autoupdate neprisiel :/
Odpovedať Hodnotiť:
 

No vzhladom na to, ze zijeme na Slovensku, tak cely ten paskvil je taky typicky Slovensky. Stalo to kopu penazi a je to na hovno. Take nase...
Odpovedať Známka: 0.4 Hodnotiť:
 

Vezmi mi borovičku keď sa pôjdeš vyšťať ...
Odpovedať Známka: 0.6 Hodnotiť:
 

to bol aj dovod, preco som to doteraz nikdy nenaistaloval. instalovat to na windows je samovrazda, a cakal som na ten linux klient co dodali 2 roky po termine. a dodavali to len ako binarku a nic viac. reku mj

a teraz sa to pekne ukazalo
Odpovedať Známka: 5.6 Hodnotiť:
 

Ak bola zranitelna Win verzia samovrazda, co bola potom Linuxova a Mac verzia, ktore obsahovali este lepsiu dieru?
Odpovedať Známka: 7.6 Hodnotiť:
 

Zdravim,
nema niekdo realne skusenosti ohladom naistalovania tohto eID klienta do virtualu ?
Skusal som cez VMWare Pro, Win7 32 bit ( posledne updaty), ale nijak sa nechel rozbehnut.
USB sa chitlo , ale druha cast driveru ani za boha.
SmartCard service fungoval

DIK za skutocnu pomoc
Odpovedať Známka: 7.1 Hodnotiť:
 

ak ma niekto skusenosti sem s nimi .. skusam to vo virtualboxe s W8.1 a velmi sa nedari .. nevie precitat kartu .. resp. rozumne pripojit usb s citackou ..
Odpovedať Známka: 5.0 Hodnotiť:
 

Z virtualizovaneho prostredia sa da uniknut, aj ked lahke to nie je a tie chyby sa zaplatavaju...
Odpovedať Hodnotiť:
 

Pouzivam citacku aj vsetok soft k eID vo virtualboxe s Win 10, system mi bezi na linux fedore. Samozrejme treba mat aj virtualbox extensions pack nainstalovany vo Windowse.
Odpovedať Hodnotiť:
 

virtualbox je nefunkcna sracka, nikdy mi tam nefungovali USB porty. Zacni pouzivat VMware.
Odpovedať Známka: -6.4 Hodnotiť:
 

Nemyslím, že by to bola chyba virtualboxu, ale skôr toho, kto ho obsluhoval.
Odpovedať Známka: 6.0 Hodnotiť:
 

virtualbox je FOSS (free and open source software) a ma kopec problemov. Pouzival som ho pri vyvoji aplikacie cez Vagrant.
Problemy boli od passtrough USB portov az po vselijake random divne sracky a errory.
FOSS vacsinou nedokaze konkurovat platenemu softveru ktory vyvija nejaka firma. A to na ziadnej urovni, ci uz je to kvalita, design, bugy, support...
Odpovedať Známka: 3.3 Hodnotiť:
 

po prechode na VMware vsetky problemy jednoducho zmizli.
Odpovedať Hodnotiť:
 

Pravdepodobne sa Ťa to netýka ale pre istotu uvádzam info zo Slovensko.sk:
Upozornenie: čítačka IDBridge CT30 nie je podporovaná vo virtualizovanom prostredí pre OS Linux.
Odpovedať Hodnotiť:
 

A to je ta statom predavana na Kalinakovych pobockach, cize ju ma 99% uzivatelov? A preco nefunguje sa nepise? If naša čítačka a nevieme sa dostať na disk používateľa so súkromnými datami, then exit.
Odpovedať Známka: 10.0 Hodnotiť:
 

Priatelu, v IT svete nedporovane neznamená nefungujuce. Známe to len, ze na danej konfigurácii/platforme netestuju, nerucia za funkcionalitu, resp. support neregistruje incidenty. Inak to moze fungovať úplne bez problémov.
Odpovedať Hodnotiť:
 

kup si nejaky stary srot a nahod tam len eID a problem vyrieseny.
Odpovedať Známka: -3.3 Hodnotiť:
 

A teraz si predstavte ze u nas niekedy spustia elektronicke volby.
Odpovedať Známka: 9.3 Hodnotiť:
 

Aký problém - "eHealth" už fičí...
Stačí najať skúsenejších Indov a máš detailné zdravotné informácie o kom len chceš.
Nakupovať orgány už bude možné pekne vo webshope, s filtrami podľa kritérií, z pohodlia domova.
Odpovedať Známka: 8.4 Hodnotiť:
 

> eID klient je softvér pristupujúci k elektronickým funkciám
> eID a sprístupňujúci tieto funkcie aj štátnym webovým
> aplikáciám. S nimi komunikuje cez webové rozhranie pomocou
> integrovaného lokálneho webservera počúvajúceho na
> počítači užívateľa na TCP porte 15480.

To u nešťastného občana nainštalujú malý webový server a očakávajú, že sa naň dá pripojiť zvonka? A ako to funguje pre ľudí za NAT?
Odpovedať Známka: 4.3 Hodnotiť:
 

Pre ľudí za NAT to funguje úplne v pohode. Osobne som služby štátu cez eID prvýkrát reálne využil pred vyše dvomi rokmi a bez problémov. Taktiež vo firme to reálne využívame už cez dva roky za NATom a firewallom úplne bez problémov.
Odpovedať Známka: -2.0 Hodnotiť:
 

Ono sa to asi len lokalne pripaja. Kvoli niecomu nejakym volaniam to maju tak vyriesene.
Odpovedať Hodnotiť:
 

Ono to funguje asi tak, ze prides na slovensko.sk

Slovensko.sk urobi (javascriptom, lokalne z browsera) request na localhost:15480 co vyvola spustenie aplikacie komunikujucej s citackou a nasledne mozes podpisat dokument.
Odpovedať Známka: 10.0 Hodnotiť:
 

Plus do februara 2019 to fungovalo tak, ze si mohol odpísať užívateľov dokument z disku. Úplne v pohode.

Už sa teším, ako to bude Raši bagatelizovať. Kali bagateizoval chybu v generovaní certifikátov pre podpis a to bola tiež sranda, keď chcel, aby ho podpísali, ale podpísaný dokument dať nechcel.
Odpovedať Známka: 10.0 Hodnotiť:
 

tak to nefunguje, nastuduj si nieco ohladom CSRF, staci by si dostal mail s html kodom v ktorom bude napr img tag so src http://locahost.... alebo navstivis web page s podobnym odkazom, nikto sa nijak nemusi k tebe pripajat z vonka a pod ;)
Odpovedať Hodnotiť:
 

+ eID
+ D.launcher
+ Disig Web Signer

tieto kokotiny som odinstaloval z macu, ked tie kokotiny niekedy budem potrebovat tak jedine cez virtualku

Odpovedať Známka: 2.0 Hodnotiť:
 

A? Zavedenim poplatkov za pamatove media je de jure prostiustavne* uz ukladanie https certifikatu strankou statnej institucie, takze povinna instalacia softveru je priekazne leda zakonodarsky mokry sen.
*pravo vlastnit
Odpovedať Známka: -4.3 Hodnotiť:
 

Redakcia by mohla zistiť cenu, či to bolo vybavené ako reklamácia, alebo či sme za opravu zaplatili 158 428€?

Možno by sa tu viacerí ďakovači spamätali z toho ďakovania. Ste nevedeli, že tieto projekty, aj keď majú amatérske chyby sú preplatené desaťnásobne??? Štát tu obmedzuje súťaž kto môže dielo dodať len aby to vyšlo na 5 certifikovaných firmiečiek, tí to dodajú aj tak šuplikantsky a keď si to opravia tak možno dostanú ďalšie prachy.
Zaujímavé, že opraviť generovanie privátneho kľúča na eID tak rýchlo nešlo. To mi proste nesedí.
Odpovedať Známka: 6.0 Hodnotiť:
 

Samozrejme to je velka chyba, ale popisujete to tu, ako keby si teraz kazdy mohol zmazat dokument aky chce, komu chce... 90 percent beznych uzivatelov nema ani verejnu IP a je za firewallom a NAT internet providera. Chcel by som vidiet, ako niekto zisti presne tvoju IP a posle request na zmazanie suboru, pripadne konkretnemu userovi. To je vysoko nepravdepodobne. Navyse demonstracia od Binary House je zjavne len localhost request
Odpovedať Známka: -4.3 Hodnotiť:
 

ale zvysuje to moznost utoku. staci ti obsadit jeden stroj v LAN a mozes napadnut vsetky ktore maju signer spusteny...
Odpovedať Hodnotiť:
 

> popisujete to tu, ako keby si teraz kazdy mohol
> zmazat dokument aky chce, komu chce

Predstav si, že ideš na nejakú nevinnú stránku (napr. dsl.sk) a tá má v sebe reklamu, ktorá má v sebe obrázok <img src="http://localhost:15480/eID?delete=oops.pdf"> čo ti tam pomôže nejaké NAT?
Odpovedať Známka: 8.2 Hodnotiť:
 

nerozumies ako to funguje. Nikto sa ti nenapaja na IP. Ty otvoris podstrcenu stranku a tvoj lokalny eID webserver vykona to co utocnik chce.
Odpovedať Známka: 10.0 Hodnotiť:
 

Plus na Linuxe a Macu to fungovalo aj v LAN sieti. Ak je niekto u velkeho providera, ma doma len jeden PC na kabli u toho providera, tak bol ohrozeny aj ked si nic neotvoril.
Odpovedať Hodnotiť:
 

nikto ti request neposle na IP, to tvoj browser vykona HTTP request na tvoj lokalny webserver, staci ked ten browser precita stranku ktora sa na ten lokalny webserver odkazuje so skodlivymi URL parameterami
Odpovedať Hodnotiť:
 

vyjadrujes sa k niecomu comu vobec nerozumies
Odpovedať Hodnotiť:
 

Na Windowse som mal dlho problém so zapínaním Wifi adaptéra. Neskôr som ho už nevedel zapnúť ani cez iservices. Nakoniec som zistil, že spolu eID sa nainštaluje aj nejaký loopback adaptér. Ten sa spúšťa automaticky pri štarte a blokuje spustenie wifi adaptéra. Tiež som zistil, že ak sa mi aj podarilo wifi spustiť, išlo pomalšie ako by malo. Tento problém môžu mať aj iní používatelia eID. Je potrebné zakázať spúšťanie Loopback pri štarte.

Odpovedať Známka: 10.0 Hodnotiť:
 

Presne ten istý problém mám aj ja. A tiež som s veľkým znepokojením a nevôľovou zistíl, že za môj problém s wifi pripojením môže ten hlúpy sofvér na digitálne podpisovanie. Je nejaký kontakt niekam na GOV CERT, ktorý môžem bombardovať s týmto problémom, aby to dali do poriadku? Lebo zablokovanie Dlauncher.loopback pomôže WIFI, ale následne nefunguje podpisovnie.
Odpovedať Hodnotiť:
 

Zatiaľ jediným riešením je mať loopback vypnutý a zapínať ho len pri využívaní eID. Potom zase vypnúť. Loopback nájdete medzi adaptérmi. Loopback zrejme vytvoril Disig. Na www.slovensko.sk by mali byť kontakty. Môžte skúsiť zavolať. Predpokladám, že si Vás budú pohadzovať ako horúci zemiak. Tak to je u nich zvykom.
Odpovedať Hodnotiť:
 

To je tak ked softver co ma byt vysoko doveryhodny je plny dier a vcelku dobra ukazka ako to nerobit..
Bezpecnost isto riesil nejaky geroj plny sviezich napadov...
Odpovedať Hodnotiť:
 

Hned ako som to nainstaloval zacalo pc jebat

Odpovedať Známka: 3.3 Hodnotiť:
 

Objavené prekérne háklivosti mali byť gvaltom vyjavené i zábezpeka včaššie zhotovená.
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár