13:49
14/2/2013

Jeden z naszych czytelników (dane do wiadomości redakcji) zwrócił nam uwagę na błąd bezpieczeństwa w serwisie informacyjnym EWUŚ (Elektroniczna Weryfikacja Uprawnień Świadczeniobiorców) należącym do NFZ i Ministerstwa Zdrowia.

Katalog /admin w głębokim ukryciu

Nasz czytelnik zauważył, że pewne katalogi (np. css czy js) w portalu informacyjnym www.ewus.csioz.gov.pl nie mają wyłączonego listingu plików. To zachęciło go do sprawdzenia, czy przypadkiem serwis nie udostępnia zawartości także innych popularnych katalogów. Jak pisze czytelnik:

Zaczalem testowac config, lib, include, includes, panel… i w koncu doszedlem do admin, ktory przerzucil mnie na:
http://www.ewus.csioz.gov.pl/admin/users/login
z ciekawosci obcialem “login” i [zauważyłem, że pod adresem]:
http://www.ewus.csioz.gov.pl/admin/users/
widac userow, ok, fajnie… a teraz co jest najciekawsze- mozna edytowac dane uzytkownikow… W TYM ADMINA.

Oto, co jeszcze wczoraj można było zauważyć pod ww. adresem:

eWUŚ - Portal Informacyjny Strona administracyjna_ Users

eWUŚ – Portal Informacyjny Strona administracyjna_ Users

Jak widać, na skutek błędu programistycznego, każdy wchodzący na ten URL zdaje się wchodzić w aktywną sesję (być zalogowanym) i ma możliwość wykonywania akcji zarezerwowanych dla administratora serwsiu.

Zanim wszyscy pacjenci wpadną w panikę, warto zauważyć, że serwis informacyjny EWUŚ jest platformą do zadawania pytań dot. działania systemu EWUŚ. Mamy więc nadzieję, że w serwis ten nie ma połączenia z bazą danych pacjentów, a jedyne dane jakie zawiera, to dane osobowe tych, którzy wysyłali pytania w sprawie EWUŚ-ia do NFZ. Formularz kontaktowy serwisu wymaga uzupełnienia pól dot.

  • tożsamości zadającego pytanie,
  • jego miasta
  • jego adresu e-mail.

Spodziewamy się więc, że w najgorszym przypadku potencjalny atakujący mógłby wykonać atak typu deface (edycja pytań/odpowiedzi publikowanych na stronie portalu informacyjnego EWUŚ) i unieruchomić na pewien czas portal (usunięcie kont administratorów lub zmiana ich haseł).

Co na to NFZ/CSIOZ?

O luce poinformowaliśmy wczoraj NFZ / CSIOZ (dziś rano zauważyliśmy, że została ona usunięta). Zdaliśmy też NFZ / CSIOZ następujące pytania:

    1. Kto jest twórcą/producentem systemu EWUS (strony internetowej pod adresem: http://www.ewus.csioz.gov.pl/)?

    2. Ile kosztowało stworzenie ww. serwisu internetowego i kto finansował prace związane z powstaniem serwisu?

    3. Czy serwis przed premierą przeszedł testy bezpieczeństwa?
    Jeśli nie, to dlaczego?
    Jeśli tak, kto je przeprowadzał?

    4. Czy w Państwa opinii możliwość modyfikowania (w tym usuwania) pytań oraz kont moderatorów serwisu EWUS przez dowolnego internautę jest poważnym błędem?

    5. Czy na skutek tej dziury potencjalny atakujący mógł wejść w posiadanie jakichkolwiek danych osobowych pacjentów lub np. osób które podsyłały pytania?

Oto odpowiedzi Pani Katarzyny Maćkowskiej, Kierowniczki Wydziału Informacji i Promocji CSIOZ:

Przede wszystkim strona, która znajduje się na serwerach CSIOZ jest jedynie portalem informacyjnym. Pełni funkcję pomocniczą i służy dodatkowemu informowaniu o systemie EWUŚ, jednak z samym systemem nie jest połączony. Jest to portal informacyjny, który nie jest połączony z systemem EWUŚ. W takiej więc sytuacji stwierdzenie o błędzie bezpieczeństwa w systemie EWUŚ jest słownym nadużyciem.

Odpowiadając na pytania precyzuję więc, że portal informacyjny przygotowała firma, która została wyłoniona w postępowaniu na drodze zapytania ofertowego, przeprowadzonego zgodnie z regulaminem udzielania zamówień w CSIOZ. Wykonawca przygotował dla CSIOZ portal informacyjny za kwotę siedmiu tysięcy złotych.

Wszystkie działania z zakresu zarządzania użytkownikami i pytaniami wymagają logowania. Jest to zdefiniowane w globalnej bibliotece i nie ma możliwości obejścia bez zalogowania się do systemu. Atakujący musiałby albo złamać mechanizm autoryzacyjny albo przechwycić dane logowania dowolnego użytkownika. Jeżeli więc ktoś przeprowadził taką operację to jest to działanie bezprawne, mające na celu obejście zabezpieczeń, które powstały po to, aby zapewnić dostęp do systemu tyko wybranym użytkownikom. (art. 296 b KK)

Po sygnale, który otrzymaliśmy od Państwa, ponownie przejrzeliśmy wszystkie zabezpieczenia, wprowadzając mechanizmy, które powinny maksymalnie utrudnić ewentualny atak osób nieupoważnionych na portal informacyjny. Jednocześnie zabezpieczenia te powinny ograniczyć do minimum szkody, jakie mógłby wyrządzić ewentualny atak.
W systemie nie ma danych osobowych jako takich, użytkownicy zadając pytania mogą wpisać dowolną wartość w polu „Kto pyta?”.

Obecnie, po wprowadzonych dziś rano przez CSIOZ poprawkach, kliknięcie na przycisk Zarządzaj wymaga uwierzytelnienia — nie jest już możliwe podejrzenie ani edycja danych administratorów serwisu informacyjnego EWUŚ. Miejmy nadzieję, że oprócz naszego czytelnika nikt inny, o mniej szczerych zamiarach, nie dotarł wcześniej do panelu administracyjnego.

Wszystkim twórcom webaplikacji sugerujemy schowanie interfejsów admnistracyjnych za VPN-em oraz zaimplementowanie ochrony przed atakami zgadywania haseł (zwanymi także atakami bruteforce).

PS. Wykonany przez czytelnika test nosi miano “forceful browsing” i polega na odwoływaniu się do popularnch nazw katalogów. Jest to jedna z najłatwiejszych i podstawowych czynności wykonywanych w ramach testów bezpieczeństwa serwisów internetowych. W trakcie naszych szkoleń z bezpieczeństwa webaplikacji prezentujemy m.in. świetne narzędzia typu DirBuster czy też wfuzz, które służą do automatyzacji wykonywania tego typu testów. Jak pokazuje przykład EWUŚ-ia, warto przed wypuszczeniem systemu na produkcje z nich skorzystać, to nic nie kosztuje, a czasami może uratować przed fatalnym przeoczeniem…

Przeczytaj także:


48 komentarzy

Dodaj komentarz
  1. Też to chciałem sprawdzić, ale zapomniałem :P

  2. Jak mówi nam favicon, portal stoi na CakePHP

    • Tak, CakePHP i backend stworzony za pomocą scaffoldingu,
      nie rozumiem natomiast dlaczego nie zaimplementowali tak prostego
      mechanizmu autoryzacji jaki jest dostępny w CakePHP. Warto też
      zwrócić uwagę na zakomentowany fragment HTML pod adresem:
      “div.actions li:last” :-) Myślę że to jeden z tych “szybkich
      projektów”.

    • A kto by się chciał męczyć za 7kzł? ;)

    • To że nie potrafili zaimplementować zabezpieczeń korzystając z gotowego frameworku to dowód na totalną amatorszczyznę. Swoją drogą ciekawe, czy wersja Cake’a aktualna, czy jakaś z dziurami ;)

  3. i taki fajny bug spalony ,echhhh niebezpieczniku.
    mozna bylo robic edit pytan z FAQ i zakladac konta fejkowych adminow , wieczorem podesle screeny ;];]
    pozdro z wykopu

  4. W WSDL-ach ewusia widnieje kamsoft.pl

    • Pewnie łatwiej sprawdzić po wynikach przetargów ;-)

    • @Marek zależy , niektóre przetargi są ustawiane i wogóle ciężko cokolwiek się o nich dowiedzieć

    • Nie dyskutuję z praktyką, ale zgodnie z ustawą o zamówieniach publicznych, wyniki przetargów muszą być publikowane.

  5. no ok ale lepsza zabawa może być tutaj
    https://ewus.nfz.gov.pl/ap-ewus/

  6. Odpowiedź na pytanie trzecie jest tak precyzyjna, tak
    dokładna i tak politycznie poprawna że aż zacytuję… aby każdy
    mógł się z nią wczytać i zrozumieć. 3. Czy serwis przed premierą
    przeszedł testy bezpieczeństwa? Jeśli nie, to dlaczego? Jeśli tak,
    kto je przeprowadzał? Wszystkie działania z zakresu zarządzania
    użytkownikami i pytaniami wymagają logowania. Jest to zdefiniowane
    w globalnej bibliotece i nie ma możliwości obejścia bez zalogowania
    się do systemu. Atakujący musiałby albo złamać mechanizm
    autoryzacyjny albo przechwycić dane logowania dowolnego
    użytkownika. Jeżeli więc ktoś przeprowadził taką operację to jest
    to działanie bezprawne, mające na celu obejście zabezpieczeń, które
    powstały po to, aby zapewnić dostęp do systemu tyko wybranym
    użytkownikom. (art. 296 b KK)

    • Szkoda, że ludzie (w tym Pani Katarzyna Maćkowska) nie
      potrafią zrozumieć i odpowiedzieć na proste pytanie… :-(

    • Bo rolą rzecznika prasowego, lub każdego kto się nim staje (chociażby na chwilę) jest wypowiadanie się poprawnie politycznie :>

  7. EWUŚ-ia – co to za koszmarek ortograficzny? :)

    • Jest to robocza, skrócona nazwa nowej telenoweli,
      czekającej nas wszystkich. Pełnej absurdu, bólu, cierpienia i
      czystej abstrakcji. A nazywa się “Ewuś i Ja”. Więcej szczegółów w
      najbliższej przychodni, lub placówce NFZ. Zdrowia życzę!

  8. “portal informacyjny przygotowała firma, która została
    wyłoniona w postępowaniu na drodze zapytania ofertowego” – czytaj:
    wykonała zaprzyjaźniona firma z pominięciem Ustawy Prawo Zamówień
    Publicznych ;-)))

    • No właśnie. Poza tym przetargi zaczynają się od 14k€ więc
      wzięli znajomków. Ogólnie widzę, że Kamsoft działa na tej samej
      zasadzie co moje ulubione Asseco…

    • Ja mam na co dzień do czynienia z systemami Kamsoftu i Asseco i po prostu czasami szlag człowieka trafia na niektóre “kombinacje alpejskie”…

    • Organizowales lub brales kiedys udzial w zamowieniach
      publicznych? Zeby napisac dobrego, przewidujacego kazdy szczegol
      SIWZa na nieskomplikowany projekt tak, zeby sie ow projekt nawet w
      przypadku zlej woli/lenistwa oferenta do czegos nadawal, trzeba de
      facto caly ten projekt opisac w pseudokodzie, czyli musi to zrobic
      ktos, kto sie na tym zna. Bedzie go (czyli zamawiajacego) to
      kosztowalo wiele godzin pracy, w efekcie koszt obslugi przetargu
      zblizy sie do wartosci samego zamowienia. Do tego, jak ujmiesz w
      SIWZie, ze “projekt graficzny ma byc estetyczny a struktura
      nawigacji przejrzysta”? Oczywiscie, mozemy tez rozpisac projekt
      tego portaliku na kilka etapow, np. przetarg na agencje, ktora
      przeprowadzi badania focusowe dot. usability, potem przetarg na
      projekt GUI, ktory wczesniej wyloniona agencja zbada, potem
      przetarg na przygotowanie projektu dokumentacji technicznej, a na
      koncu przetarg na wykonawce i wdrozeniowca tego wszystkiego. Wtedy
      cale koszty obslugi wyniosa nie 7, a 70k a procedury beda ciagnac
      sie przez 2 lata. A tak naprawde nic z tego nie bedzie, bo zaden
      oferent przy budzecie projektu 7k nie bedzie biegal po aktualny
      odpis z KRSu, analizowal tasiemcowego SIWZa, dostarczal pisemnych
      referencji, gwarancji bankowych, gromadzil oswiadczen o zdolnosci
      do nalezytego wykonania zamowienia i wplacal wadium, zeby zlozyc
      oferte w przetargu. A to, czy 7k to duzo, czy malo za ten projekt i
      czy zostal on prawidlowo wdrozony i odpowiednio sprawdzony przed
      odebraniem, to inna rzecz.

    • W odpowiedzi na wpis Marka i Gwoździa. Panowie odczepcie się od Kamsoftu i Asseco. W pełni zgadzam się z opinią “ehicalhack”. Potraficie tylko krytykować. Spróbujcie spełnić kryteria przetargowe albo przygotować dobrze SIWZA o samym wykonaniu systemu i testach nie wspomnę.

  9. kazdy u kogo znajdziesz dziure twierdzi, ze jego system nie
    jest polaczony z systemem. co za debile.

  10. Naprawili błąd? mv admin admin123 naprawione!

  11. taki serwis za 7tys, z tak mało wyszukanymi dziurami?
    Chciałbym dostawac takie zapytania ofertowe.

  12. a co z XSS …

  13. art. 296 b KK Hmm Czytaliście co to za paragraf? ;)

    • btw art. 296b kk został uchylony ustawą z dnia 25 czerwca 2010 roku, która weszła w życie w dniu 16 października 2010 roku.

  14. za 7 000 zł ? przeciętna buda dla psa jest lepiej
    zabezpieczona… tak właśnie gospodaruje się publicznymi pieniędzmi
    =( Co do odpowiedzi: Art. 296b KK ? na pewno o to chodzi? Art. 296b
    KK § 1. Kto, organizując profesjonalne zawody sportowe lub w nich
    uczestnicząc, przyjmuje korzyść majątkową lub osobistą albo jej
    obietnicę w zamian za nieuczciwe zachowanie, mogące mieć wpływ na
    wynik tych zawodów, podlega karze pozbawienia wolności od 3
    miesięcy do lat 5. …

  15. Chodzi zapewne o art. 267 KK

  16. Wystarczy przeczytać kwotę: 7000 i to już wystarczy za odpowiedź na pytanie o poziom bezpieczeństwa. Śmiechu warte.

    • Ale że 7k to za mało czy za dużo wg Ciebie?

    • Za mało, jak za zrobienie portalu dla takiego “giganta”.

      A że przy korycie wybierają co najtańsze, nie licząc się z jakością, to tak już potem jest… Wisła płynie metrem na Bielany, autostrady nie dość że dwupasmowe, to pękają, 7km Trasy Toruńskiej budują dwa lata… i tak można wymieniać w nieskończoność… a potem dla załatania dziury budżetowej ustawią kilka fotoradarów :>

    • No ale tak na pierwszy rzut oka, to cały serwis polega na:
      1. zapytaniu do bazy zus (lub zrzutu bazy zus) czy dany pesel ma opłacone składki
      2. pokazaniu wyniku
      3. nie dać sobie podmienić kodu, wyglądu przez wstrętnych hackerów.
      Jak dla mnie 7k to wystarczająca kwota za taką usługę.

  17. Art. 296b. § 1. Kto, organizując profesjonalne zawody sportowe lub w nich uczestnicząc, przyjmuje korzyść majątkową lub osobistą albo jej obietnicę w zamian za nieuczciwe zachowanie, mogące mieć wpływ na wynik tych zawodów,podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

  18. Chodzi dokładnie o artykuł 296b. § 1.. NIE O 267 KK tylko o 296b. § 1.
    Przecież pani odpowiadająca wyraźnie podała że o 296b więc po co sugerować że jakiś inny.
    W razie włamań będzie można podać że nie organizowało się żadnych zawodów sportowych.

  19. Czekałem na to czekałem – w sumie długo eWUŚ wytrzymał…

    • “Co na to NFZ/CSIOZ” – dobrze byłoby odróżniać te
      instytucje, bo przynajmniej na razie nie mają nic ze sobą
      wspólnego, jeśli chodzi o zależność prawną. I nie mylcie również
      (łącznie z autorami artykułu) systemu eWUŚ, zarządzanego przez NFZ,
      ze stroną informacyjną o eWUŚ, prowadzoną przez CSIOZ i niemającą
      żadnego styku z bazą eWUŚ. Może system ma własne dziury – wiele
      “pewnych” systemów już legło gruzach, ale na pewno dziury systemiku
      informacyjnego CSIOZ nie przenoszą się na NFZ-owy eWUŚ.

  20. Śmieszna sprawa, witryna ma zbierane statystyki przez
    Google Analytics, niestaty ktoś kto wykonywał stronę dosyć niedawno
    nie potrafił przeczytać chociażby o miejscu umieszczenia kodu
    trakingowego … ciężka sprawa z tą stroną, szkoda kasy

  21. Testy typu “forceful browsing” lepiej jest wykonywać
    właśnie na “produkcji”, niż na środowisku testowym. Na produkcji
    stanowią większe zagrożenie, a podczas przenoszenia danych ze
    środowiska testowego do produkcyjnego często wiele się zmienia.
    Najczęściej atak będzie skierowany w środowisko produkcyjne i w tym
    miejscu taka podatność stanowi większe zagrożenie :]

  22. Czemu mnie to nie dziwi że system ma błędy? Sprawdzamy czy hasło to admin1 ? :D

  23. Panel wygląda jakby upieczono go w cakephp ;D szczyt możliwośći programistów ?

  24. Witam!Czytałem powyższy artykuł i musze powiedzieć,że stym
    wyszła ładna afera.Nawet osoby nieuprawnione będą mogły się
    włamywać i manewrować naszymi danymi

  25. Naprawili tą lukę, czy tylko teoretyzują na ten temat, że
    naprawili? Pytam poważnie

  26. A może by im tam pomóc tym z ewusia bo po co ktoś miałby
    tobie lub mnie wpisać chorobę, której nie miałeś przez którą nie
    dadzą ci urlopu lub nie dadzą prac, albo wyrzucą z pracy jak będą
    sprawdzać bazy. Nie chodzi o sprawdzenie podatności na ddos, ale o
    luki w całej stronie. Ja nie chciałbym by ktoś podglądał lub
    wypuścił to czy owo, kiedy ja byłem u lekarza, a kiedy nie, a wy
    chcielibyście? Jest tu ktoś pokroju white hat, co by też pomógł, a
    nie tylko korzystał ze skryptów do wieszania strony?
    pankowalski05@gmail.com

    • “po co ktoś miałby tobie lub mnie wpisać chorobę, której nie miałeś przez którą nie
      dadzą ci urlopu lub nie dadzą prac, albo wyrzucą z pracy jak będą sprawdzać bazy…” Człowieku poczytaj wpierw do czego ten portal – eWUŚ – służy, nim napiszesz w jego sprawie kolejne posty. Wydaje mi się, że niektórzy czytelnicy tej strony lubią bardziej zaistnieć w komentarzach, nawet wtedy gdy nie znają dokładnie tematu.

  27. Widzę panowie, że do krytykowania jesteście pierwsi, ale do pomocy to żaden. Poza tym zapsuć potrafi każy, ale pomóc widzę żaden haha tacy jesteście fachowcy, że nawet boicie się to skomentować. Tylko piszecie ale jazda, ale dym, i tak długo wytrzymali… wstyd

  28. 7 tys, i na stronie głównej nie ma górnego menu, lol, aż boję się pomyśleć co by było, gdybym zrobił analizę. Błąd 404 sugeruje, że zmienili ścieżkę, przesuneli admina do innego katalogu

  29. Ja tej strony nie ruszam. Uważam, że jeżeli strona jest uboga w kbajty danych to musi stać za tym jakiś cel. Dalej, słąbo graficznie strona nie oznacza, że mają słabe zabezpieczenia. Zresztą na pewno dyski z danymi są archiwizowane, więc nawet jakby coś tam padło, to idzie to odzyskać, a dane tamtych osób na pewno są szyfrowane, bo nie wierzę, by nie były, a deszyfrować to sobie można 2 cyfrowe hasło.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: