#Φάκελος 6: GOV.GR: Κενό ασφαλείας ή κενό νοοτροπίας;
Ο θόρυβος που ξέσπασε για την ασφάλεια της κεντρικής κυβερνητικής πύλης gov.gr ανέδειξε ένα υπαρκτό πρόβλημα, ήταν όμως άστοχος στην ουσία του. Εξηγούμε γιατί
Στην γλώσσα της Πληροφορικής ως κενό ασφαλείας περιγράφεται συνήθως κάποια προγραμματιστική παράλειψη ή αστοχία ρύθμισης, που μπορεί να χρησιμοποιηθεί για την μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα.
Στην περίπτωση του gov.gr δεν προκύπτει από πουθενά το συμπέρασμα ότι συμβαίνει κάτι τέτοιο. Από μια αμιγώς τεχνική σκοπιά, η πλατφόρμα φαίνεται ότι είναι ασφαλής.
Από την άλλη, δεν μπορει να προσπεράσει κανείς εύκολα τις παρατηρήσεις της Ένωσης Πληροφορικών Ελλάδος, η οποία κατήγγειλε ζητήματα που εκτιμά ότι θέτουν σε κίνδυνο τα προσωπικά δεδομένα των πολιτών.
Οσα έφερε στην επιφάνεια, όπως κι αν τα ονομάσει κάποιος, μπορούν θεωρητικά να οδηγήσουν σε μείζονα προβλήματα ασφαλείας, εάν δεν εφαρμόζονται... ευλαβικά οι βέλτιστες πρακτικές ασφάλειας.
Αν κανείς συνυπολογίσει το πρόβλημα του “ψηφιακού αναλφαβητισμού” και την περιορισμένη εξοικείωση των μεγαλύτερων σε ηλικία με τις σύγχρονες τεχνολογίες, τότε μπορεί να καταλάβει την έκκληση για άμεση λήψη μέτρων.
Διαβάστε σχετικά: Σοβαρό πρόβλημα ασφάλειας στην πλατφόρμα gov.gr
Το «πρόβλημα» ασφάλειας του gov.gr
Κάθε υπεύθυνη δήλωση που εκδίδεται μέσω του gov.gr και συγκεκριμένα από την διεύθυνση https://dilosi.services.gov.gr/create/q/templates, συνοδεύεται από ενσωματωμένη ψηφιακή υπογραφή και έναν μοναδικό κωδικό επαλήθευσης, ο οποίος εμφανίζεται στο έγγραφο με δύο τρόπους: μια σειρά αλφαριθμητικών χαρακτήρων (γνωστή και ως “hash key”) στην επάνω αριστερή γωνία του εγγράφου και ένα QR code στην επάνω δεξιά γωνία, που μπορεί να αναγνωστεί από κατάλληλο λογισμικό σάρωσης.
Ο κωδικός αυτός μπορεί να χρησιμοποιηθεί σε οποιαδήποτε μορφή του από τον παραλήπτη μιας υπεύθυνης δήλωσης, ώστε να επαληθευτεί η αυθεντικότητα του εγγράφου. Η επαλήθευση καθίσταται εφικτή μέσω της εφαρμογής στο https://dilosi.services.gov.gr/show/q/validate, όπου παρέχεται δυνατότητα τόσο πληκτρολόγησης του hash key, όσο και ανάγνωσης του QR code.
H Ένωση Πληροφορικών Ελλάδος ισχυρίζεται ότι εάν η μοναδική “ταυτότητα” μιας υπεύθυνης δήλωσης περιέλθει στην κατοχή κάποιου τρίτου, εσκεμμένα ή τυχαία, τότε μπορεί να αξιοποιηθεί για την μη εξουσιοδοτημένη άντληση προσωπικών δεδομένων από το gov.gr, συμπεριλαμβανομένων του ΑΔΤ, του τηλεφώνου και της διεύθυνσης κατοικίας του δηλούντος – όλων δηλαδή των στοιχείων που αναγράφονται σε μια υπεύθυνη δήλωση!
Επίκληση στην ατομική ευθύνη
Το Υπουργείο, επικαλούμενο την γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και πιο ουσιαστικά την ατομική ευθύνη των πολιτών, θεωρεί ότι οι ισχυρισμοί περί κενού ασφαλείας είναι ανυπόστατοι. Αναφέρει χαρακτηριστικά:
«Ο μοναδικός κωδικός, όπως και τα άλλα προσωπικά στοιχεία της δήλωσης, είναι γνωστά μόνο στον ιδιοκτήτη-αποστολέα της δήλωσης και στον παραλήπτη, οι οποίοι έχουν και την ευθύνη διασφάλισής τους, ακριβώς όπως συμβαίνει και στην έντυπη δήλωση».
Διαβάστε σχετικά: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης
Η ΕΠΕ εξηγεί όμως με δεύτερο σημείωμα της ότι δεν μπορεί να αποκλειστεί η πιθανότητα ανάκτησης ευαίσθητων δεδομένων από κόμβους δικτύου ή μη ασφαλή τερματικά – όπως δυνητικά είναι οι κοινόχρηστοι υπολογιστές μιας υπηρεσίας του δημοσίου, καθώς χρησιμοποιείται η μέθοδος http/https GET «για την πρόσβαση στη φόρμα ελέγχου της πλατφόρμας gov.gr και την εμφάνιση του αποτελέσματος».
Διαβάστε σχετικά: «Διευκρινίσεις ως προς τη δημοσιοποίηση επιστολής σχετικά με σοβαρό πρόβλημα ασφάλειας στην πλατφόρμα gov.gr»
Η χρήση της συγκεκριμένης προγραμματιστικής μεθόδου μπορεί να αποτελέσει “δούρειο ίππο” για την μη εξουσιοδοτημένη επανάληψη αποστολής αιτημάτων προβολής έγκυρων υπεύθυνων δηλώσεων. Για παράδειγμα, εάν το ιστορικό ενός web browser σε έναν κοινόχρηστο υπολογιστή δεν διαγραφεί μετά το αρχικό αίτημα, οποιοσδήποτε με πρόσβαση στο σύστημα μπορεί θεωρητικά να προσπελάσει τα δεδομένα μιας υπεύθυνης δήλωσης που “φορτώθηκε” νωρίτερα, ανατρέχοντας στο ιστορικό του browser και ανακαλώντας το σχετικό αίτημα προς τον διακομιστή.
Επιπλέον όταν ένας web browser προβάλει μια υπεύθυνη δήλωση, στην γραμμή διευθύνσεων εμφανίζεται το URL https://dilosi.services.gov.gr/show/ ακολουθούμενο από το μοναδικό hash key του εγγράφου, καθιστώντας το κατ’ αυτό τον τρόπο ορατό.
Θωρακισμένο το gov.gr απέναντι στο brute force… ή όχι;
Με αφορμή σχετική αναφορά στο δελτίο τύπου του Υπουργείου, η ΕΠΕ επισημαίνει ότι η εκτίμηση των αρμοδίων για την ασφάλεια των hash keys στις υπεύθυνες δηλώσεις απέναντι σε επιθέσεις τύπου brute force, είναι μάλλον αισιόδοξη. Τι σημαίνει όμως αυτό και πόσο πιθανό είναι να συμβεί στην περίπτωση των υπεύθυνων δηλώσεων που εκδίδονται από το gov.gr;
Μια επίθεση brute force είναι μια εξαιρετικά απλή ως προς την σύλληψη τεχνική: Ο επιτιθέμενος προσπαθεί απλά να μαντέψει μια σειρά χαρακτήρων, όπως ένα password ή, εν προκειμένω, το hash key της υπεύθυνης δήλωσης, δοκιμάζοντας είτε τυχαίους συνδυασμούς χαρακτήρων, είτε αξιοποιώντας παράλληλα ειδικά “λεξικά” – βάσεις δεδομένων δηλαδή με συγκεκριμένες συλλαβές, λέξεις ή φράσεις, που πιθανόν να χρησιμοποιούνται στον κωδικό.
Φυσικά, ένας αξιόπιστος κωδικός, που διαθέτει την απαραίτητη έκταση και περιλαμβάνει τυχαία γράμματα – πεζά και κεφαλαία, αριθμούς και σύμβολα, είναι εξαιρετικά δύσκολο να εξαχθεί κατ’ αυτό τον τρόπο, ακόμα και αν οι αλγόριθμοι αποκρυπτογράφησης τρέχουν σε ισχυρούς σύγχρονους υπολογιστές. Το Υπουργείο απαντά πως όλα τα hash keys που ενσωματώνονται στις υπεύθυνες δηλώσεις είναι ασφαλή:
Ο μοναδικός κωδικός κάθε εγγράφου με τα χαρακτηριστικά ασφαλείας του gov.gr αποτελείται από 22 χαρακτήρες που προκύπτουν με την κωδικοποίηση base64 (διαφορετικοί χαρακτήρες Α-Ζ, a-z, 0-9) ενός μη ανιχνεύσιμου αριθμού μήκους 128 bits (2^128 διαφορετικοί αριθμοί).
Ομως η ΕΠΕ διαφωνεί, εξηγώντας ότι:
Εφόσον πρόκειται για μόνιμα αναγνωριστικά εγγράφων, για ως και 10 εκατομμύρια πολίτες, καθένας από τους οποίους εκδίδει σε βάθος χρόνου τουλάχιστον 10 τέτοια έγγραφα στην πλατφόρμα, το σύνολο διερεύνησης είναι τουλάχιστον δύο τάξεις μεγέθους μικρότερο από το αναφερόμενο ως προς τον κωδικό ενός μόνο εγγράφου ενός συγκεκριμένου πολίτη, καθώς αρκεί μία και μόνο σωστή εύρεση hash key με οποιονδήποτε τρόπο (όχι απαραίτητα brute force attack) για να τεκμηριωθεί παραβίαση ασφάλειας στο σύστημα.
Ακόμα κι αν η εκτίμηση της ΕΠΕ είναι περισσότερο ρεαλιστική πάντως, μια brute force επίθεση στο portal επαλήθευσης του gov.gr παραμένει, μάλλον, μάταιος κόπος. Πέραν των πρακτικών περιορισμών αυτής της μεθόδου, είναι σχεδόν απίθανο να αντιστοιχιστεί ένα τυχαίο hash key σε έναν συγκεκριμένο πολίτη, γεγονός που καθιστά αμελητέο τον πραγματικό κίνδυνο από από μια τέτοιου τύπου επίθεση.
Εστιάζοντας στην πραγματική πρόκληση
Το καίριο πρόβλημα, ωστόσο, δεν είναι τεχνικό αλλά αφορά, για μια ακόμα φορά, την αντιμετώπιση του πολίτη από το Κράτος: Όσο ασφαλές κι αν είναι σε επίπεδο υποδομών το gov.gr, η διαρροή του hash key μιας υπεύθυνης δήλωσης, τυχαία ή ως αποτέλεσμα κακόβουλης ενέργειας, είναι ένα υπαρκτό ενδεχόμενο.
Σε μια τέτοια περίπτωση ο πολίτης θα μείνει ανυπεράσπιστος, αφού δεν υπάρχει συμπληρωματικός μηχανισμός ταυτοποίησης (έστω με την χρήση των στοιχείων εισόδου στο taxis), ώστε να περιορίζεται η προβολή παλαιότερων υπεύθυνων δηλώσεων αποκλειστικά σε εξουσιοδοτημένους φορείς, ενώ δεν παρέχεται ούτε, έστω ως ύστατη λύση, η δυνατότητα διαγραφής τους από την πλατφόρμα. Ιδανικά πάντως, θα ήταν καλό να ενσωματωθεί στην εφαρμογή δυνατότητα ταυτοποίησης δύο παραγόντων, που θεωρείται βέλτιστη πρακτική και αξιοποιείται ευρέως στο διαδικτυο.
Ο ισχυρισμός ότι το gov.gr είναι “τρύπιο” κρίνεται ανυπόστατος και υπερβολικός.
Σε επίπεδο υποδομών τουλάχιστον, φαίνεται ότι έχουν ληφθεί τα απαραίτητα μέτρα για την “στεγανοποίηση” της πλατφόρμας από διαδικτυακές απειλές, εφαρμόζοντας τις βέλτιστες πρακτικές ασφαλείας.
Είναι όμως διακριτές οι σχεδιαστικές παραλείψεις που επισημαίνονται.
Μια στείρα μεταφορά των αντιλήψεων του γραφειοκρατικού δημοσίου από τον γκισέ στο διαδίκτυο, δεν συνάδει με το αφήγημα περί “ψηφιακού μετασχηματισμού”.
Η υποβάθμιση της σημασίας όσων επισημαίνει η ΕΠΕ είναι επικίνδυνη. Οι αλλαγές που προτείνονται καλό θα ήταν να ενσωματωθούν στο gov.gr, ενώ μακροπρόθεσμα πρέπει να υπάρξει μέριμνα για την καταπολέμηση του “ψηφιακού αναλφαβητισμού”, αφού τελικά η γνώση και η κατανόηση των κινδύνων είναι το αποδοτικότερο μέσο αντιμετώπισης των προκλήσεων της ψηφιακής εποχής.
Τι να θυμάμαι:
· Το gov.gr δεν είναι σε καμία περίπτωση “τρύπιο” και μπορώ να το χρησιμοποιώ άφοβα, εφόσον λαμβάνω τα μέτρα μου
· Ο προβληματισμός της ΕΠΕ είναι βάσιμος και οι αλλαγές που προτείνει θα ήταν καλό να ενσωματωθούν στην πλατφόρμα
· Δεν θα δημοσιοποιήσω ποτέ μια υπεύθυνη δήλωση που εκδόθηκε ηλεκτρονικά, ενώ θα φροντίσω το hash key (επάνω αριστερά) και το QR code (επάνω δεξιά) να μην κοινοποιηθούν ποτέ σε τρίτους που δεν εμπιστεύομαι
· Εφαρμόζω πάντα πρακτικές ασφαλούς πλοήγησης στο διαδίκτυο. Αν θέλω να διαχειριστώ μια ψηφιακή υπεύθυνη δήλωση, φροντίζω είτε να χρησιμοποιώ την λειτουργία ιδιωτικής περιήγησης του browser, είτε να διαγράφω το ιστορικό μετά από την χρήση
Διαβάστε ακόμα:
ΕΦΣΥΝ: «Τρύπιο» το GOV.GR - Η ΕφΣυν ανέδειξε το θέμα με πρωτοσέλιδο τίτλο της
Τάκης Μπουγιούρης: Είναι το gov.gr τρύπιο; - Μια καλογραμμένη ανάλυση από έναν γνώστη του θέματος