Berta Sándor
Biztonsági hibák az osztrák e-igazolványban
Évek óta lobbizik az e-okmányok bevezetése mellett az osztrák kormány. A feladatot nehezíti, hogy az amúgy is gyenge bizalom egy jelentés miatt most végképp megrendült.
A Bécsi Műszaki Egyetem laboratóriumának kutatási eredményei szerint a kormány és a programban résztvevő vállalatok, például az A-SIT minősítőcég, a 2006 óta ismert hibákat nem hozták nyilvánosságra. Mindez azt eredményezte, hogy a rendszer ellen az elmúlt években számos sikeres támadást hajtottak végre ismeretlenek.
Az első támadás során 2006-ban egy a kártya prototípusa és a FinanzOnline nevű pénzügyminisztériumi oldal között létrehozott titkosított kapcsolatot sikerült megszakítani, majd egy másik számítógépről helyreállítani. A honlapot elektronikus adóbevallásokhoz és beadványok eljuttatására használják. A támadók belenézhettek a titkosított e-mailekbe anélkül, hogy ebből később a címzettek bármit is észrevettek volna. De volt példa adatcserére, amikor megtévesztettek egy állampolgárt és egy teljesen más dokumentumot írt alá, mint amit kellett volna. Ő végig abban a hiszemben volt, hogy jól járt el.
A bécsi kutatók még egy példát említettek. A FinanzOnline rendszere az e-igazolvánnyal való bejelentkezések után ugyan mindig elküldött egy sütifájlt, azonban azt már nem ellenőrizte, hogy ezek az adatok valóban arra a számítógépre érkeztek-e, amelyikről az illető bejelentkezett. vagyis a támadónak elég volt csak ezt a fájlt átmásolnia egy másik gépre és - egy hamis személyazonosság mögé bújva - máris hozzáférhetett a FinanzOnline adatbázisához.
A kérdés még nyitott, hogy a biztonsági hibákat sikerült-e kijavítani. Nem lehet tudni azt sem, hogy a hibákért kik a felelősek, nincs nyilvánosan elérhető forráskód, sem pedig verzióinformációkról szóló adatok. Mivel az A-SIT minősítette az osztrák felsőoktatási hallgatói önkormányzati választásokon alkalmazott rendszert is, így a szakemberek komolyan aggódnak az adatlopások és szavazat-manipulálások miatt. A céget az osztrák pénzügyminisztérium, a nemzeti bank és a Grazi Műszaki Egyetem közösen alapította. Az A-SIT tudományos vezetője és az elnökség tagja Reinhard Posch, aki az osztrák kormány vezető információs tanácsadói posztját is betölti.
Szintén kijátszható az e-igazolványokhoz kapcsolódó digitális aláírás szolgáltatás is, amely az A-Trust nevéhez fűződik. A szakemberek ugyanis bebizonyították, hogy megváltoztathatják egy e-mail tartalmát úgy, hogy még a digitális aláírás is érvényes marad. Ehhez csupán egy SMTP-proxyszerverre és az úgynevezett hash-utasítások átirányítására volt szükség. A felhasználónak a manipuláció csak akkor tűnne fel, hogy ha megvizsgálná a már elküldött e-mailjein lévő digitális aláírásokat.
A Bécsi Műszaki Egyetem laboratóriumának kutatási eredményei szerint a kormány és a programban résztvevő vállalatok, például az A-SIT minősítőcég, a 2006 óta ismert hibákat nem hozták nyilvánosságra. Mindez azt eredményezte, hogy a rendszer ellen az elmúlt években számos sikeres támadást hajtottak végre ismeretlenek.
Az első támadás során 2006-ban egy a kártya prototípusa és a FinanzOnline nevű pénzügyminisztériumi oldal között létrehozott titkosított kapcsolatot sikerült megszakítani, majd egy másik számítógépről helyreállítani. A honlapot elektronikus adóbevallásokhoz és beadványok eljuttatására használják. A támadók belenézhettek a titkosított e-mailekbe anélkül, hogy ebből később a címzettek bármit is észrevettek volna. De volt példa adatcserére, amikor megtévesztettek egy állampolgárt és egy teljesen más dokumentumot írt alá, mint amit kellett volna. Ő végig abban a hiszemben volt, hogy jól járt el.
A bécsi kutatók még egy példát említettek. A FinanzOnline rendszere az e-igazolvánnyal való bejelentkezések után ugyan mindig elküldött egy sütifájlt, azonban azt már nem ellenőrizte, hogy ezek az adatok valóban arra a számítógépre érkeztek-e, amelyikről az illető bejelentkezett. vagyis a támadónak elég volt csak ezt a fájlt átmásolnia egy másik gépre és - egy hamis személyazonosság mögé bújva - máris hozzáférhetett a FinanzOnline adatbázisához.
A kérdés még nyitott, hogy a biztonsági hibákat sikerült-e kijavítani. Nem lehet tudni azt sem, hogy a hibákért kik a felelősek, nincs nyilvánosan elérhető forráskód, sem pedig verzióinformációkról szóló adatok. Mivel az A-SIT minősítette az osztrák felsőoktatási hallgatói önkormányzati választásokon alkalmazott rendszert is, így a szakemberek komolyan aggódnak az adatlopások és szavazat-manipulálások miatt. A céget az osztrák pénzügyminisztérium, a nemzeti bank és a Grazi Műszaki Egyetem közösen alapította. Az A-SIT tudományos vezetője és az elnökség tagja Reinhard Posch, aki az osztrák kormány vezető információs tanácsadói posztját is betölti.
Szintén kijátszható az e-igazolványokhoz kapcsolódó digitális aláírás szolgáltatás is, amely az A-Trust nevéhez fűződik. A szakemberek ugyanis bebizonyították, hogy megváltoztathatják egy e-mail tartalmát úgy, hogy még a digitális aláírás is érvényes marad. Ehhez csupán egy SMTP-proxyszerverre és az úgynevezett hash-utasítások átirányítására volt szükség. A felhasználónak a manipuláció csak akkor tűnne fel, hogy ha megvizsgálná a már elküldött e-mailjein lévő digitális aláírásokat.