Napi Online
Informatikai szörnyszülött az Ügyfélkapu
Nem biztonságos a magyar elektronikus közigazgatás zászlóshajójának, a kormányzati portálon elér-hető Ügyfélkapunak a használata - állapították meg dolgozatukban Krasznay Csaba és Szigeti Szabolcs, a Budapesti Műszaki és Gazdaságtudományi Egyetem Informatikai Központjának munkatársai.
Szakmai körökben az Ügyfélkaput egyesek olyan portálnak tekintik, amely az országban található, egymástól függetlenül fejlődő e-közigazgatási rendszerek elérhetőségeit tárolja, mások szerint egy single sign-on (SSO) beléptető rendszer. A szerzők szerint azonban a két funkciónak olyan ötvözete, amelyek közül technikailag egyiket sem oldja meg tökéletesen.
A szakmai problémák már a hitelesítésnél kezdődnek. Az informatikai biztonság egyik alaptétele a kétlépcsős hitelesítés. Ez olyan protokollt jelent, amely két egymástól független módon állapítja meg a személyazonosságot és a jogosultságokat. Az Ügyfélkapun korábban kétféle módszert alkalmaztak. Az egyik az egylépcsős jelszó, amelyet okmányirodai azonosítás után lehet megkapni, a másik a kétlépcsős, jelszónak és elektronikus aláírásnak vagy más birtokalapú eszköznek a kombinációja.
Bár a második megoldás a biztonságosabb, az Ügyfélkapu üzemeltetői nem hangsúlyozzák a második módszer biztonságosabb voltát sőt, meg is szüntették azt, hiszen az ügyfeleknek úgy tűnt, hogy az elektronikus aláírás csak megkeseríti az életüket. A szerzők tapasztalatai szerint az Ügyfélkapu elektronikus aláíró szoftverének rendelkezésre állása minősíthetetlenül alacsony volt, ráadásul adminisztratív eszközökkel még nehezítették is a felhasználását.
Ezek után nem csoda, hogy az Ügyfélkapu felhasználóinak 99 százaléka az egylépcsős hitelesítést használta. Napjainkban már nem is tud mást használni, így bizonyos támadások ellen teljesen védtelen lett a rendszer. Az APEH 2005/4-es tájékoztatója, mely "Veszélyes lehet a túlzott bizalom" címmel jelent meg, időben figyelmeztet arra a veszélyre, hogy ha egy állampolgár Ügyfélkapu-azonosítója kikerül idegen személyhez, azaz megadja a jelszavát a könyvelőjének, az nemcsak az adóbevallását nyújthatja be, hanem az ő nevében más államigazgatási eljárásokat is kezdeményezhet.
Ha az Ügyfélkapu felhasználóinak száma elér egy kritikus pontot, nagy valószínűséggel megjósolható egy olyan, ún. adathalász (phising)-támadás bekövetkezése, amikor a magyar felhasználók tömegével kapnak olyan e-maileket, melyek ügyfélkapus fejléccel közlik a címzettekkel, hogy egy rendszerhiba miatt eltűntek a jelszavak az adatbázisból, ezért legyenek szívesek az e-mailben található linkre kattintatni, és az ott található űrlapon beírni a felhasználónevüket és jelszavukat. Az elemzés szerzői szerint az első támadás bekövetkezésének ideje csak attól függ, hogy mikor lehet nagy haszonnal végrehajtani az információszerzést, ezért el kell kezdeni az áttérést a kétlépcsős hitelesítésre.
A kétlépcsős hitelesítés az Ügyfélkapun korábban az elektronikus aláíráson alapult. A felhasználó beírta a jelszavát, majd egy felugró ablakban elektronikusan aláírt egy űrlapot, amellyel elismerte, hogy belépett a rendszerbe. Ez elméletileg jó megoldás, hiszen tudás- és birtokalapú a hitelesítés. Két gond van azonban: az egyik, hogy a digitális aláírást ilyen esetben nem így szokták használni, a másik, hogy a szerzők saját, majdnem egyéves tapasztalatai alapján a lehető legritkábban működött az elektronikus aláíró szoftver.
Véleményük szerint az Ügyfélkapu korábbi megoldása fából vaskarika. Mivel az elektronikus aláírásról szóló törvény szerint az elektronikus aláírásra szolgáló titkos kulcsot ilyen megoldásra nem lehet használni, a hagyományos challenge-response helyett egy űrlap aláírása lett az autentikáció alapja. Ehhez természetesen külön szoftverre volt szükségük a rendszerfejlesztőknek, ahelyett hogy egy bármely operációs rendszerből elérhető, mindegyik böngészőbe beépített szolgáltatást használtak volna fel. A regisztráció során jelenleg is alkalmazott elektronikus aláíró szoftver így csak Microsoft Internet Explorer alól érhető el, meglehetősen sztochasztikusan, ami feltehetőleg a rendszer üzemeltetőinek a felelőssége.
Miután ezt a lehetőséget is megszüntették, kimondható, hogy az Ügyfélkapu egy nem biztonságos hitelesítési megoldást tartalmaz. A rendszer tervezőinek, üzemeltetőinek ezért komoly a felelősségük abban, hogy az esetleges támadásokat kivédjék. Az, hogy jelenleg ilyen a rendszer, elsősorban nem a műszaki tervezők hibája, hanem a magyar adatvédelmi szabályozásnak, valamint a közigazgatáson belüli szétoszló hatásköröknek és felelősségeknek köszönhető. Ahelyett, hogy a jó műszaki gyakorlatokhoz igazították volna a jogszabályokat, a jogszabályokhoz kellett kitalálni egy informatikai "frankensteini szörnyszülött" - állítják a szerzők dolgozatukban.
A jó, a rossz és a legrosszabb Nem az Ügyfélkapu a legrosszabb megoldás Magyarországon. Az Egységes Magyar Munkaügyi Adatbázis, amelyben elvileg a magyar munkavállalók jelentős részének személyes adatai szerepelnek, az Ügyfélkapunál lényegesen gyengébb hitelesítési technikát használ. A felhasználónév a cég adóazonosítója, amely nyilvános adat. A jelszó egy öt számjegyből álló PIN-kód. Ez összesen százezer lehetséges kódot jelent, melyet célzott támadással néhány perc alatt brute force (nyers erő) módszerrel fel lehet törni. Mivel a rendszer látszólag semmi védelmet nem nyújt ez ellen, azaz nem tilt le három próbálkozás után, nem növeli a próbálkozások közötti időt, ideális terep egy kezdő hackernek. Még szerencse, hogy megszüntetésre ítélték a rendszert.
Pozitív magyar példa Angyalföld és Ferencváros önkormányzata, ahol az elektronikus aláírást úgy használják, ahogy rendeltetésszerűen kell. Kitöltött elektronikus űrlapokat lehet elektronikusan aláírni, így azok hitelesek lesznek. Ezzel a papíralapú kommunikáció megszűnhet állampolgár és hivatal között - olvasható az elemzésben.
Szakmai körökben az Ügyfélkaput egyesek olyan portálnak tekintik, amely az országban található, egymástól függetlenül fejlődő e-közigazgatási rendszerek elérhetőségeit tárolja, mások szerint egy single sign-on (SSO) beléptető rendszer. A szerzők szerint azonban a két funkciónak olyan ötvözete, amelyek közül technikailag egyiket sem oldja meg tökéletesen.
A szakmai problémák már a hitelesítésnél kezdődnek. Az informatikai biztonság egyik alaptétele a kétlépcsős hitelesítés. Ez olyan protokollt jelent, amely két egymástól független módon állapítja meg a személyazonosságot és a jogosultságokat. Az Ügyfélkapun korábban kétféle módszert alkalmaztak. Az egyik az egylépcsős jelszó, amelyet okmányirodai azonosítás után lehet megkapni, a másik a kétlépcsős, jelszónak és elektronikus aláírásnak vagy más birtokalapú eszköznek a kombinációja.
Bár a második megoldás a biztonságosabb, az Ügyfélkapu üzemeltetői nem hangsúlyozzák a második módszer biztonságosabb voltát sőt, meg is szüntették azt, hiszen az ügyfeleknek úgy tűnt, hogy az elektronikus aláírás csak megkeseríti az életüket. A szerzők tapasztalatai szerint az Ügyfélkapu elektronikus aláíró szoftverének rendelkezésre állása minősíthetetlenül alacsony volt, ráadásul adminisztratív eszközökkel még nehezítették is a felhasználását.
Ezek után nem csoda, hogy az Ügyfélkapu felhasználóinak 99 százaléka az egylépcsős hitelesítést használta. Napjainkban már nem is tud mást használni, így bizonyos támadások ellen teljesen védtelen lett a rendszer. Az APEH 2005/4-es tájékoztatója, mely "Veszélyes lehet a túlzott bizalom" címmel jelent meg, időben figyelmeztet arra a veszélyre, hogy ha egy állampolgár Ügyfélkapu-azonosítója kikerül idegen személyhez, azaz megadja a jelszavát a könyvelőjének, az nemcsak az adóbevallását nyújthatja be, hanem az ő nevében más államigazgatási eljárásokat is kezdeményezhet.
Ha az Ügyfélkapu felhasználóinak száma elér egy kritikus pontot, nagy valószínűséggel megjósolható egy olyan, ún. adathalász (phising)-támadás bekövetkezése, amikor a magyar felhasználók tömegével kapnak olyan e-maileket, melyek ügyfélkapus fejléccel közlik a címzettekkel, hogy egy rendszerhiba miatt eltűntek a jelszavak az adatbázisból, ezért legyenek szívesek az e-mailben található linkre kattintatni, és az ott található űrlapon beírni a felhasználónevüket és jelszavukat. Az elemzés szerzői szerint az első támadás bekövetkezésének ideje csak attól függ, hogy mikor lehet nagy haszonnal végrehajtani az információszerzést, ezért el kell kezdeni az áttérést a kétlépcsős hitelesítésre.
A kétlépcsős hitelesítés az Ügyfélkapun korábban az elektronikus aláíráson alapult. A felhasználó beírta a jelszavát, majd egy felugró ablakban elektronikusan aláírt egy űrlapot, amellyel elismerte, hogy belépett a rendszerbe. Ez elméletileg jó megoldás, hiszen tudás- és birtokalapú a hitelesítés. Két gond van azonban: az egyik, hogy a digitális aláírást ilyen esetben nem így szokták használni, a másik, hogy a szerzők saját, majdnem egyéves tapasztalatai alapján a lehető legritkábban működött az elektronikus aláíró szoftver.
Véleményük szerint az Ügyfélkapu korábbi megoldása fából vaskarika. Mivel az elektronikus aláírásról szóló törvény szerint az elektronikus aláírásra szolgáló titkos kulcsot ilyen megoldásra nem lehet használni, a hagyományos challenge-response helyett egy űrlap aláírása lett az autentikáció alapja. Ehhez természetesen külön szoftverre volt szükségük a rendszerfejlesztőknek, ahelyett hogy egy bármely operációs rendszerből elérhető, mindegyik böngészőbe beépített szolgáltatást használtak volna fel. A regisztráció során jelenleg is alkalmazott elektronikus aláíró szoftver így csak Microsoft Internet Explorer alól érhető el, meglehetősen sztochasztikusan, ami feltehetőleg a rendszer üzemeltetőinek a felelőssége.
Miután ezt a lehetőséget is megszüntették, kimondható, hogy az Ügyfélkapu egy nem biztonságos hitelesítési megoldást tartalmaz. A rendszer tervezőinek, üzemeltetőinek ezért komoly a felelősségük abban, hogy az esetleges támadásokat kivédjék. Az, hogy jelenleg ilyen a rendszer, elsősorban nem a műszaki tervezők hibája, hanem a magyar adatvédelmi szabályozásnak, valamint a közigazgatáson belüli szétoszló hatásköröknek és felelősségeknek köszönhető. Ahelyett, hogy a jó műszaki gyakorlatokhoz igazították volna a jogszabályokat, a jogszabályokhoz kellett kitalálni egy informatikai "frankensteini szörnyszülött" - állítják a szerzők dolgozatukban.
A jó, a rossz és a legrosszabb Nem az Ügyfélkapu a legrosszabb megoldás Magyarországon. Az Egységes Magyar Munkaügyi Adatbázis, amelyben elvileg a magyar munkavállalók jelentős részének személyes adatai szerepelnek, az Ügyfélkapunál lényegesen gyengébb hitelesítési technikát használ. A felhasználónév a cég adóazonosítója, amely nyilvános adat. A jelszó egy öt számjegyből álló PIN-kód. Ez összesen százezer lehetséges kódot jelent, melyet célzott támadással néhány perc alatt brute force (nyers erő) módszerrel fel lehet törni. Mivel a rendszer látszólag semmi védelmet nem nyújt ez ellen, azaz nem tilt le három próbálkozás után, nem növeli a próbálkozások közötti időt, ideális terep egy kezdő hackernek. Még szerencse, hogy megszüntetésre ítélték a rendszert.
Pozitív magyar példa Angyalföld és Ferencváros önkormányzata, ahol az elektronikus aláírást úgy használják, ahogy rendeltetésszerűen kell. Kitöltött elektronikus űrlapokat lehet elektronikusan aláírni, így azok hitelesek lesznek. Ezzel a papíralapú kommunikáció megszűnhet állampolgár és hivatal között - olvasható az elemzésben.