Elisa iseteeninduse turvalisuse paha praktika
Elisa iseteenindusse MobiilID-ga sisse logides avaneb kummaline nähtus, mida võib nimetada turvalisuse pahaks praktikaks. MobiilID üks turvalisuse tagavatest elementidest põhineb asjaolul, et audentimisel näidatakse sisselogitaval lehel (arvutis) ning eraldiseisval seadmel (mobiilis) kontrollkoodi. Kontrollkoodid peavad olema identsed ja koosnevad neljast numbrist. Kontrollkood võib olla seega vahemikus 0000-9999, ehk 10 000 erinevat võimalust.
Selline lähenemine aitab tagada, et kurja ja karvase käega häkkeril (V. Praust™) on tunduvalt keerulisem trikitada ja petta kasutajat, suunates teda audentima vale veebilehekülje vastu.
Proovisin 10. minuti jooksul järjepidevalt siseneda Elisa iseteenindusbüroosse. Mulle pakutud kontrollkoodid olid alljärgnevad:
| 1709 1783 1615 1585 1864 | 1743 1740 1704 1890 1606 | 1795 1567 1695 1696 1705 | 1547 1732 1775 1568 1619 | 1642 1632 1549 1604 1613 |
Ilmselt, ei ole vaja väga tähelepanelikku silma, et märgata teatavat mustrit:
- esimene number on alati üks
- teine number on 5-8
Seega kasutusel on 10000 võimalikust kontrollkoodist ainult 400 koodi, ehk 4% kõigist võimalikest kontrollkoodidest. Tegin korduvalt katseid ka teise brauseriga ning teisel kellaajal, kuid eelnimettaud kaks omapära jäid kehtima.
Miks see nii on, ei oska öelda. Ilmselt on tegu mingi tarkvaraarenduse käigus tekkinud veaga või piiranguga, mis on peale pandud ajutiselt ning ununenud muuta.
Kas see on kriitiline turvaauk?
Ei ole. Antud juhul pole tegu turvaauguga, kui kindlasti lihtsustab selline kontrollkoodi omapära võimalikke potentsiaalseid ründeid, mistõttu tuleks see kiiremas korras parandada.
Edastasin teavituse antud postituse kohta ka Elisale ja Serifitseerimiskeskusele.
Sertifitseerimiskeskus andis teada, et peale kollektiivpuhkust suhtlevad nad ka ise Elisaga, kui selleks ajaks see probleem juba Elisa poolt parandatud pole.
Täiendus 31.07.201428. juuli teavitas Elisa kirja teel, et viga on nüüdseks parandatud. Ka reaalsed katsed iseteenindusega näitasid seda ja tundub, et süsteem töötab nii nagu see peaks toimima. Täna helistati ekstra Elisast ja tänati sellele asjale tähelepanu osutamast ning ühtlasi sooviti mind tänada Elisa meenega, mis on minu poole teel. Väga meeldiv neist ja kindlasti 5+ käitumine klienditeeninduse seisukohalt.
Täiendus 18.07.2014
Nüüd, kui postitusest on nädal aega möödas saan öelda järgmist. Elisa teavitas mind esmaspäeval (14.07) automaatteavitusega, et "Seoses päringute mahuga lõplik vastus viibib." Uut, täiendavat vastust ei ole laekunud. Reedel iseteenindussüsteemi testides tuvastasin, et olukord on jätkuvalt nagu kirjeldatud.
Sertifitseerimiskeskus vastas mulle esmaspäeval (14.07). Kuna nende vastus oli huvitav siis toon olulisema siinkohal ka välja. Nimelt moodustatakse MobiilID kontrollnumber e-teenusepakkuja ja Sertifitseerimiskeskuse poolt genereeritud numbritest. Kusjuures esimesed kaks numbrit loob teenusepakkuja (antud juhul Elisa) ja viimased kaks Sertifitseerimiskeskus.
Ka teavitas Sertifitseerimisekeskus, et nad on sarnasest olukorrast teadlikud, ning on kirjeldanud seda ka SK aastakonverentsil (Slaidid on siin (https://www.sk.ee/upload/files/AK2013_Urmo%20Keskel.pdf) ja salvestus siin (https://soundcloud.com/sertifitseerimiskeskus/urmo-keskel_l-petamata). Ajaliselt tutvustab Urmo muret salvestusest ~18:30 ajal.).
Sertifitseerimiskeskus andis teada, et peale kollektiivpuhkust suhtlevad nad ka ise Elisaga, kui selleks ajaks see probleem juba Elisa poolt parandatud pole.
Kommentaarid