Berta Sándor

Biztonsági hibák az osztrák e-igazolványban

Évek óta lobbizik az e-okmányok bevezetése mellett az osztrák kormány. A feladatot nehezíti, hogy az amúgy is gyenge bizalom egy jelentés miatt most végképp megrendült.

A Bécsi Műszaki Egyetem laboratóriumának kutatási eredményei szerint a kormány és a programban résztvevő vállalatok, például az A-SIT minősítőcég, a 2006 óta ismert hibákat nem hozták nyilvánosságra. Mindez azt eredményezte, hogy a rendszer ellen az elmúlt években számos sikeres támadást hajtottak végre ismeretlenek.

Az első támadás során 2006-ban egy a kártya prototípusa és a FinanzOnline nevű pénzügyminisztériumi oldal között létrehozott titkosított kapcsolatot sikerült megszakítani, majd egy másik számítógépről helyreállítani. A honlapot elektronikus adóbevallásokhoz és beadványok eljuttatására használják. A támadók belenézhettek a titkosított e-mailekbe anélkül, hogy ebből később a címzettek bármit is észrevettek volna. De volt példa adatcserére, amikor megtévesztettek egy állampolgárt és egy teljesen más dokumentumot írt alá, mint amit kellett volna. Ő végig abban a hiszemben volt, hogy jól járt el.

A bécsi kutatók még egy példát említettek. A FinanzOnline rendszere az e-igazolvánnyal való bejelentkezések után ugyan mindig elküldött egy sütifájlt, azonban azt már nem ellenőrizte, hogy ezek az adatok valóban arra a számítógépre érkeztek-e, amelyikről az illető bejelentkezett. vagyis a támadónak elég volt csak ezt a fájlt átmásolnia egy másik gépre és - egy hamis személyazonosság mögé bújva - máris hozzáférhetett a FinanzOnline adatbázisához.

A kérdés még nyitott, hogy a biztonsági hibákat sikerült-e kijavítani. Nem lehet tudni azt sem, hogy a hibákért kik a felelősek, nincs nyilvánosan elérhető forráskód, sem pedig verzióinformációkról szóló adatok. Mivel az A-SIT minősítette az osztrák felsőoktatási hallgatói önkormányzati választásokon alkalmazott rendszert is, így a szakemberek komolyan aggódnak az adatlopások és szavazat-manipulálások miatt. A céget az osztrák pénzügyminisztérium, a nemzeti bank és a Grazi Műszaki Egyetem közösen alapította. Az A-SIT tudományos vezetője és az elnökség tagja Reinhard Posch, aki az osztrák kormány vezető információs tanácsadói posztját is betölti.

Szintén kijátszható az e-igazolványokhoz kapcsolódó digitális aláírás szolgáltatás is, amely az A-Trust nevéhez fűződik. A szakemberek ugyanis bebizonyították, hogy megváltoztathatják egy e-mail tartalmát úgy, hogy még a digitális aláírás is érvényes marad. Ehhez csupán egy SMTP-proxyszerverre és az úgynevezett hash-utasítások átirányítására volt szükség. A felhasználónak a manipuláció csak akkor tűnne fel, hogy ha megvizsgálná a már elküldött e-mailjein lévő digitális aláírásokat.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Darth Sith #3
    Én komolyan nem értem, hozzáértő emberek, hogy tudnak ilyen szart tervezni? Szinte még a laikusoknak is szemetszúró hibák, hogy hogy nem tűnnek fel tervezéskor, vagy tesztelésnél?
  • KillerBee #2
    Engem ez annyira nem vigasztal és nem is nyugtat meg.

    http://www.fn.hu/belfold/20090519/egyre_rafinaltabban_sibolnak_partok/

    http://www.fn.hu/hetilap/gazdasag/20090511/taskas_emberek_kopogtatnak/

  • Turdus #1
    Na, jól van, megnyugodtam, hogy nemcsak nálunk balf*szok odafent.