Vlákno názorů k článku Kernun proti útokům na datové schránky od Filip Jirsák - Současné datové schránky využívají certifikát jen v momentě...
-
Ano, DS tohle maji narozdil treba od CSOB implementovane spravne. A protoze to maji spravne, tak me prekvapuje, ze clanek tvrdi, ze je mozne pouziti session z jineho pocitace. To totiz bezne pri pouziti overeni certifikatem mozne neni, ledaze by plugin ukradl krome session jeste certifikat uzivatele. Mam pocit, ze demonstrace byla ponekud prilis marketingova a nebyl tam nikdo, kdo by podrobne prozkoumal, jestli ten uspesny utok nebyl fingovany. -
Kernun (neregistrovaný)Součástí prezentace byla „živá“ ukázka ukradení relace. Pro přihlášení do datové schránky byl dokonce použitý USB token s certifikátem (tj. bezpečný klíč). Přesto bylo možné pomocí „malware“ (upraveného pluginu, který má paradoxně zvyšovat bezpečnost) relaci ukradnout. Současné datové schránky využívají certifikát jen v momentě autentizace a nikdy potom.
-
Aha, toz to potom maji iplementovane spatne. Cekal jsem, ze jim nekdo omlati o hlavu, ze nemaji extra hostname pro pristup s certifikatem, takze jsou nachylni na renegotiation utok. Ale necekal jsem, ze pote co provedou renegotiation na spojeni s klientskym certifikatem, provedou dalsi a zase se ho zbavi.
Na druhe strane podpora spojeni s klientskym certifikatem je ve vsech prohlizecich v tak hroznem stavu, ze bych nechtel sedet na hotline a vysvetlovat lidem, proc skoncili na bile strance s chybou -310. -
OOK (neregistrovaný)To s tou nemožností kontroly IP adresy kvůli KIVSu je IMHO nesmysl. KIVS funguje tak, že to je síť s neveřejným adresním rozsahem. Maximálně lze tvrdit, že navenek se veřejná správa jeví jako jedna nebo několik málo IP adres, protože pro připojení uživatelů veřejné správy k internetu se používají proxy servery KIVS. Ale to by oběť i útočník museli být z veřejné správy. Pokud vím (a mělo by se to ke mě dostat), interní KIVS adresa datových schránek (tj. ta z privátního adresního prostoru, aby se nemuselo chodit přes internet) nebyla zveřejněna, takže se těžko dá využívat.
Mimochodem, nejsem si jistý jestli je zcela košer použití *kvalifikovaného* systémového certifikátu pro SSL při komunikaci s DS, měl jsem dojem, že podle ZoEP lze kvalifikovaný (systémový) certifikát použít pouze pro elektronický podpis (značku). Myslím, že z tohoto důvodu např. na CzechPointu musí pro uvěřování uživatelů používat komerční certifikáty a ne kvalifikované. Proč je to tady jiné? -
PP (neregistrovaný)Sucastou prezentacie bola "ziva" ukazka ukradnutia relacie. Pre prihlasovanie bol dokonca pouzity USB token s certifikatom (tj. bezpecny kluc). Napriek tomu bolo mozne pomocou "malware" (Firefox plugin-u) relaciu ukradnut. Sucasne datove schranky vyuzivaju certifikat iba v momente autentizacie a nikdy potom.
ČLÁNKY DO MAILU