11 juuli, 2014

Elisa iseteeninduse turvalisuse paha praktika


Elisa iseteenindusse MobiilID-ga sisse logides avaneb kummaline nähtus, mida võib nimetada turvalisuse pahaks praktikaks. MobiilID üks turvalisuse tagavatest elementidest põhineb asjaolul, et audentimisel näidatakse sisselogitaval lehel (arvutis) ning eraldiseisval seadmel (mobiilis) kontrollkoodi. Kontrollkoodid peavad olema identsed ja koosnevad neljast numbrist. Kontrollkood võib olla seega vahemikus 0000-9999, ehk 10 000 erinevat võimalust.


Selline lähenemine aitab tagada, et kurja ja karvase käega häkkeril (V. Praust™) on tunduvalt keerulisem trikitada ja petta kasutajat, suunates teda audentima vale veebilehekülje vastu.

Proovisin 10. minuti jooksul järjepidevalt siseneda Elisa iseteenindusbüroosse. Mulle pakutud kontrollkoodid olid alljärgnevad:

1709
1783
1615
1585
1864
1743
1740
1704
1890
1606
1795
1567
1695
1696
1705
1547
1732
1775
1568
1619
1642
1632
1549
1604
1613

Ilmselt, ei ole vaja väga tähelepanelikku silma, et märgata teatavat mustrit:
  • esimene number on alati üks
  • teine number on 5-8
Seega kasutusel on 10000 võimalikust kontrollkoodist ainult 400 koodi, ehk 4% kõigist võimalikest kontrollkoodidest. Tegin korduvalt katseid ka teise brauseriga ning teisel kellaajal, kuid eelnimettaud kaks omapära jäid kehtima.

Miks see nii on, ei oska öelda. Ilmselt on tegu mingi tarkvaraarenduse käigus tekkinud veaga või piiranguga, mis on peale pandud ajutiselt ning ununenud muuta.

Kas see on kriitiline turvaauk?

Ei ole. Antud juhul pole tegu turvaauguga, kui kindlasti lihtsustab selline kontrollkoodi omapära võimalikke potentsiaalseid ründeid, mistõttu tuleks see kiiremas korras parandada.


Edastasin teavituse antud postituse kohta ka Elisale ja Serifitseerimiskeskusele.

Täiendus 18.07.2014

Nüüd, kui postitusest on nädal aega möödas saan öelda järgmist. Elisa teavitas mind esmaspäeval (14.07) automaatteavitusega, et "Seoses päringute mahuga lõplik vastus viibib." Uut, täiendavat vastust ei ole laekunud. Reedel iseteenindussüsteemi testides tuvastasin, et olukord on jätkuvalt nagu kirjeldatud.

Sertifitseerimiskeskus vastas mulle esmaspäeval (14.07). Kuna nende vastus oli huvitav siis toon olulisema siinkohal ka välja. Nimelt moodustatakse MobiilID kontrollnumber e-teenusepakkuja ja Sertifitseerimiskeskuse poolt genereeritud numbritest. Kusjuures esimesed kaks numbrit loob teenusepakkuja (antud juhul Elisa) ja viimased kaks Sertifitseerimiskeskus. 

Ka teavitas Sertifitseerimisekeskus, et nad on sarnasest olukorrast teadlikud, ning on kirjeldanud seda ka SK aastakonverentsil (Slaidid on siin (https://www.sk.ee/upload/files/AK2013_Urmo%20Keskel.pdf) ja salvestus siin (https://soundcloud.com/sertifitseerimiskeskus/urmo-keskel_l-petamata). Ajaliselt tutvustab Urmo muret salvestusest ~18:30 ajal.). 

Sertifitseerimiskeskus andis teada, et peale kollektiivpuhkust suhtlevad nad ka ise Elisaga, kui selleks ajaks  see probleem juba Elisa poolt parandatud pole.

Täiendus 31.07.201428. juuli teavitas Elisa kirja teel, et viga on nüüdseks parandatud. Ka reaalsed katsed iseteenindusega näitasid seda ja tundub, et süsteem töötab nii nagu see peaks toimima. Täna helistati ekstra Elisast ja tänati sellele asjale tähelepanu osutamast ning ühtlasi sooviti mind tänada Elisa meenega, mis on minu poole teel. Väga meeldiv neist ja kindlasti 5+ käitumine klienditeeninduse seisukohalt. 

Kommentaare ei ole: