Hlavní navigace

ČPS upozornila na možné problémy s datovými schránkami již před 4 měsíci

[Tisková zpráva] Tisková zpráva České pirátské strany ze dne 27.11.2009

O nebezpečnosti nezabezpečené distribuce certifikátu pro připojení k projektu Datové schránky se ví již delší dobu. Včerejší názorná demonstrace průniku do datových schránek, zveřejňená v médiích, ukázala, že je to velmi snadné. Principem útoku je obecně známá metoda ‚man-in-the-middle‘, která se vyučuje na všech informatických vysokých školách. Její velkou výhodou je velmi obtížná zjistitelnost.

Někdo u poskytovatele připojení může nastavit svou síťovou proxy tak, aby filtrovala spojení na web PostSignum a Datové schránky. Při pokusu o stažení kořenového certifikátu PostSignum proxy spojení zachytí a odešle uživateli podvržený certifikát. Ten si jej následně nainstaluje a místo jednoho zabezpečeného spojení se rázem používají dvě. Jedno k poskytovateli připojení, kde dochází k dešifrování a sběru dat, které se pak znovu zašifrují správným certifikátem PostSignum. Odvoláváme se proto na 2. a 3. bod naší tiskové zprávy ze 14.7.2009, kde jsme na toto nebezpečí důrazně upozorňovali. Petr Stiegler, šéf eGovernmentu České pošty, byl na tento fakt upozorněni i na serveru podnikatel.cz, kde se účastnil on-line diskuse k projektu Datové schránky. O nebezpečí tedy prokazatelně věděl.

Jaroslav Kučera, předseda jihomoravské ČPS, přidal tento komentář: „Je s podivem, že bezpečnostní díra, o které se ví již minimálně několik měsíců, nebyla odstraněna před ostrým spuštěním projektu. Datové schránky mají podléhat poštovnímu tajemství stejně jako dopisy a je tedy na místě zajistit důvěrnost sdělovaných informací.“

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: 7 druhů hotových těst na vánoční cukroví

7 druhů hotových těst na vánoční cukroví

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?