Hlavní navigace

Správa základních registrů nedbá základních bezpečnostních pouček

Marek Janouš

„Bílý klobouk“ Roman Kümmel alias „.cCuMiNn.“ se díky „pilotnímu provozu“ základních registrů prošel vnitřkem systému InfoPORT, který má být přístupný jen úředníkům, jak dnes popsal v článku na Soom.cz. Anonymní přístup, kterého využil, už mezitím z živého webu zmizel. Zato na webu Správy základních registrů je dosud zveřejněna (pro vývojáře a správce) řada technických podrobností o systému, včetně uživatelských a správcovských manuálů a demo klientů i se zdrojovým kódem. A to zásadně ohrožuje…

„Bílý klobouk“ Roman Kümmel alias „.cCuMiNn.“ se díky „pilotnímu provozu“ základních registrů prošel vnitřkem systému InfoPORT, který má být přístupný jen úředníkům, jak dnes popsal v článku na Soom.cz. Anonymní přístup, kterého využil, už mezitím z živého webu zmizel.

Zato na webu Správy základních registrů je dosud zveřejněna (pro vývojáře a správce) řada technických podrobností o systému, včetně uživatelských a správcovských manuálů a demo klientů i se zdrojovým kódem. A to zásadně ohrožuje bezpečnost celých registrů, upozorňuje ve svém článku .cCuMiNn.

Našli jste v článku chybu?
19. 7. 2012 20:52

Vážený pane redaktore, než příště budete na Lupě odkazovat nějaký blábol* z oblasti bezpečnosti, něco si o dané problematice nastudujte, ať můžete sám dané dílo kriticky posoudit.

Cesta "security through obscurity" nikdy nevedla k ničemu dobrému a to platí i pro ISZR. Bezpečnostní zranitelnosti (XSS, upload souborů) zmíněné v odkazovaném článku jsou to zajímavé, na co jste měl upozornit místo bezpečnostně zcela irelevantní dokumentace architektury.

Navíc dle mého skromného názoru u systému jak…

19. 7. 2012 23:14

Uznávám, že jsem se nevyjádřil dostatečně přesně: Přístupový certifikát (tzn. podepsaný veřejný klíč) se teoreticky může uživateli někde povalovat a méně podezíravý uživatel ho tudíž klidně nahraje kamkoli. Jak již název napovídá, jeho získání nikomu nijak nepomůže, protože je už sám o sobě v principu veřejný (viz například běžně používané seznamy databáze veřejných klíčů na bázi LDAP pro X.509 PKI nebo PGP keyservery).

Útočníka by zajímal privátní klíč, jenže 99 % uživatelů systému vůbec netuš…