Největší slabina v ochraně hlavy státu? Oficiální web

PRAHA, 21. ledna 2013 – Současná či budoucí hlava státu nemusí být ohrožena pouze plastovými kuličkami. V dnešní době, kdy stále více informací získáváme z internetu, lze uškodit i jinými způsoby. Lukáš Vondráček, partner v konzultační společnosti ELAT a specialista na ICT bezpečnost, analyzoval oficiální webové prezentace Václava Klause i kandidátů na jeho úřad. Většina jich v testu neobstála. Mezi nejčastější chyby patřily zastaralé verze operačních systémů a nízká odolnost vůči napadením typu XSS (cross-site scripting) či DoS útokům na SSL. (TZ)

Při srovnání webových prezentací Václava Klause, Miloše Zemana a Karla Schwarzenberga obdržel nejhorší hodnocení web současného prezidenta. Podpora operačního systému, na kterém prezentace běží, byla ukončena před mnoha měsíci, a systém tak vykazuje nedostatky využitelné při pokusech o DoS útoky na webserver engine (Byte Range DoS) nebo MitM útok na SSL či FTP AUTH TLS Plaintext Command Injection.

„Většina kandidátů na prezidenta – respektive jejich volební týmy – svěřily zhotovení a provoz své prezentace někomu, o kom se domnívají, že je v dané problematice profesionálem. Z našich závěrů však vyplývá, že v této oblasti je z čeho vybírat a výsledky mohou být různorodé, a to dokonce i při podobných nákladech. Že jsou na tom čeští poskytovatelé různých hostingových služeb v této věci všelijak není tajemstvím,“ říká Vondráček.

Obě oficiální prezentace Karla Schwarzenberga dopadly o poznání lépe, přesto i na nich se našly nedostatky. Dojem kazí například serverové certifikáty, jejichž platnost vypršela už v září, nebo plaintext autentizace uživatelů. Nejlépe tak ze srovnání vychází web Miloše Zemana. Konfigurace serveru je přiměřeně optimalizována a modifikována z výchozího stavu k doporučeným volbám pro bezpečné produkční prostředí. Server by s výjimkou možných DoS útoků na SSL zřejmě celkem obstál, ale i zde se nachází řada nedostatků.

Nejlepší Fischer, nejhorší Franz

Z webových prezentací již vyřazených kandidátů dopadl nejlépe Jan Fischer, jehož zabezpečení bylo prakticky bezchybné. Většina ostatních kandidátů dopadla o poznání hůře.

„Server, na kterém jsou umístěny stránky Jana Fischera, nevykazuje z pohledu vnějšího útočníka naprosto žádná slabá místa. Chování infrastruktury kromě toho naznačuje, že je zde pravděpodobně implemetována i nějaká další účinná dodatečná ochrana ve formě nějakého aktivního IDS. Web Vladimíra Franze je naproti tomu provozován na zastaralé verzi operačního systému, která zjevně nebyla už nějakou dobu záplatována a je za svým bezpečnostním zenitem. Server vykazuje závažné nedostatky, které mohou znamenat úspěch útočníka při pokusech o útoky typu XSS neboli tzv. cross-site scripting, DoS útoky na SSL, ale i vzdálené vykonání kódu útočníka prostřednictvím chyb v CGI,“ vysvětluje Vondráček.

Při zkoumání zranitelnosti byly použity běžné i profesionální nástroje a řešení

Pro otestování jednotlivých webových prezentací byly použity nástroje a postupy, jež jsou dostupné a veřejně známé. Z použitých prostředků lze zmínit open source nástroje Nmap, OpenVAS, webscarab, resp. ZAP a další, jež umožňují efektivně provádět podobná testování téměř komukoliv. Vedle toho byla pro ověření výsledků použita i profesionální řešení pro testy zranitelnosti.

Během vlastního testování, které trvalo přibližně týden, byl kladen důraz i na zaznamenání případného posílení či aktualizace bezpečnostních nástrojů, u kterých byly v průběhu testování vydány nové verze. I to potvrdilo prvotní zjištění, že zabezpečením webových prezentací byla věnována ve většině případů jen průměrná či podprůměrná pozornost.

O společnosti ELAT

ELAT, s.r.o., je ryze českou, vysoce specializovanou poradenskou společností. Na tuzemském trhu je firma etablována od roku 2003 jako společnost s rozsáhlými zkušenostmi, kompetencemi a znalostmi v oblasti řízení velkých korporátních ICT a FM prostředí nebo také informační bezpečnosti. Zkušenosti s různorodým prostředím, od malých firem, přes veřejnoprávní instituce, až po nadnárodní korporace, umožňují vzájemnou kombinaci pružnosti a dynamického způsobu fungování malých firem se standardy a procesy i těch skutečně velkých. Společnost ELAT využívá organizační strukturu vlastních a prověřených externích lidských zdrojů. Jasná a kompaktní vlastnická a řídicí struktura umožňuje mimořádnou flexibilitu ve vztahu k přáním našich zákazníků.