7:00
21/9/2012

Jak informuje nas dwójka czytelników, Łukasz i Kuba, na forum tdhack.com 8 sierpnia pojawił się opis błędu w popularnym systemie wykorzystywanym w wielu rządowych organizacjach. Błąd pozwala na poznanie danych osobowych (w tym PESEL-u) oraz haseł obywateli, którzy kontaktowali się z Agencją Nieruchomości Rolnych.

Anr.gov.pl

Błąd znajduje się w oprogramowaniu OfficeObjects dostarczanym przez firmę Rodan. Oprogramowanie to służy jako e-Urząd, czyli w uproszczeniu skrzynka kontaktowa pozwalająca na przesyłanie dokumentów pomiędzy obywatelem, a daną instytucją.

www.anr.gov.pl - wyciek danych obywateli

www.anr.gov.pl – zakodowane dane obywatela

Błąd w Office Objects pozwala każdemu internaucie na pobranie najprawdopodobniej danych należących do innych użytkowników, którzy skorzystali z tego systemu — i choć dane te na pierwszy rzut oka wyglądają na zaszyfrowane, to szybko okazuje się, że to po prostu kodowanie base64

rodan anr.gov.pl

rodan anr.gov.pl – dane obywatela rozkodowane

Co mogą/mogli odczytać internauci, którzy od ponad miesiąca wiedzą o tym błędzie?

  • imię i nazwisko
  • hasło (w jawnym tekście)
  • PESEL
  • adres e-mail
  • numer telefonu
  • adres zamieszkania

Jak sugeruje autor oryginalnego postu, za pomocą tych danych można następnie zalogować do ESP (Elektronicznej Skrzynki Podawczej) i przeglądać wszystkie wnioski i odpowiedzi danego użytkownika.

Firma Rodan na swoich stronach chwali sie wdrozeniem oprogramowania Office Objects w kilkudziesięciu poważnych instytucjach. Wcześniej w tym miejscu była umieszczona lista niektórych z tych instytucji, ale firma Rodan zażądała jej usunięcia a tego artykułu. Wyjaśnienia w ostatniej aktualizacji.

Czy ktoś uzyskał dostęp do moich danych?

Przyjmij wariant pesymistyczny i załóż, że ktoś poza urzędnikiem zdążył przez ostatni miesiąc (kiedy to opis wykorzystania błędu był publicznie dostępny), odczytać twoje dane. Zwróć uwagę, czy wybrane przez Ciebie hasło nie zostało użyte w innym miejscu w sieci — jeśli tak, zmień je natychmiast.

Według naszych informacji, temat na forum w którym po raz pierwszy opisano błąd przeczytano “jedynie” 30 razy — nie można jednak wykluczyć, że informacja o tym błędzie jest rozpowszechniana innymi kanałami…

Poprosiliśmy firmę Rodan o komentarz w tej sprawie, jak tylko otrzymamy odpowiedź, opublikujemy ją tutaj.

PS. O błędzie już 8 sierpnia powiadomił nas czytelnik Kuba. Kiedy zaczęliśmy weryfikować podane URL-e, serwery ANR nie odpowiadały. Założyliśmy wtedy, że błąd szybko załatano po jego upublicznieniu na forum i z braku namacalnych dowodów zaniechaliśmy publikacji. Wczoraj napisał do nas Łukasz. Z tym samym błędem (identyczny “przykładowy” URL). Tym razem serwery ANR zwróciły zakodowane dane przykładowego obywatela. Czyżby brak testów regresji?

Aktualizacja 10:11
Zgłosiliśmy błąd do rządowego CERT-u i został on został błyskawicznie poprawiony. Strona ANR nie udostępnia już danych w opisany sposób.

Aktualizacja 12:43
Firma Roban nadesłała następujące oświadczenie:

Informujemy, że opisany błąd zgłoszony w dniu 8 sierpnia 2012, został wyeliminowany w ciągu kilku godzin. Niezwłocznie przeprowadzono również weryfikację systemów działających u naszych klientów pod kątem występowania tego rodzaju podatności. Z uwagi na specyficzny charakter rozwiązania dla ANR problem nie był powszechny wśród naszych klientów. Wykryto jedynie podobną podatność w systemach w fazie produkcji i ją
wyeliminowano.
Ponownie błąd w systemie ANR pojawił się w wyniku prac konserwacyjnych prowadzonych ostatnich dniach ale został usunięty w ciągu godziny od momentu zgłoszenia. Z uwagi na zaistniałą sytuację zweryfikujemy procedury konserwacyjne, aby podatność więcej nie powróciła. Aktualnie weryfikujemy liczbę prób dostępu do danych w czasie istnienia luki w systemie. Zapewniamy, że problem nie dotyczy żadnej innej instytucji wykorzystującej oprogramowanie OfficeObjects®.

Aktualizacja
Jak twierdzi firma w kolejnym oświadczeniu przesłanym do Niebezpiecznika — “Publikację listy referencyjnej w kontekście błędu w oprogramowaniu dla jednego klienta oraz sugestie, że problem pojawił się u innych klientów Rodan Systems odczytujemy jako działanie na szkodę spółki i jako czyn nieuczciwej konkurencji.” Jak dodaje przedstawicielka firmy Rodan: “Na liście referencyjnej znajdują się urzędy, które korzystają z innych systemów zbudowanych w oparciu o platformę OfficeObjects więc nie można łączyć nazw tych instytucji z omawianą sprawą.

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. Niestety nie 30 a więcej dlatego że ktoś 8 sierpnia wrzucił to na kilka for dyskusyjnych a nie tylko na tdhack.

  2. O zdaje się tu było 8 sierpnia…
    http://haxnet.pl/

  3. tylko spokojnie, kolejno święta idą prawie, może złoczyńcy nie zauważa bo urzędy nie maja do tego głowy ww. przed świetami a potem walentynki i wielkanoc .. moze w okolicach wakacji cos sie poprawi :)

  4. Zastanawiam się, jak to się dzieje, że przetargi na realizacje takich projektów wygrywają firmy, które nie są w stanie “ogarnąć” tematu zabezpieczeń.

    No ale cóż, cytując klasyka: “rzecz się dzieje w Polsce, czyli nigdzie”, resztę można sobie dopowiedzieć samemu…

    • W przetargach publicznych wygrywa cena, nie jakość produktu

    • Przetargi wygrywają najtańsi -to nie ma co się spodziewać profesjonalnego systemu.

    • To było pytanie retoryczne :)

    • Chcecie powiedzieć, że przetargi za 10 milionów na rzeczy w stylu strona z formularzem + przeglądarka to najtańsze oferty?… Panowie, nie od dziś wiadomo, że przekręty i defraudacje najłatwiej ukryć w branży IT – bo 99.999% społeczeństwa i rządzących nie ma o IT pojęcia, a na codzień potrzebuje i używać musi. Więc systemik za 10 mln tu, aplikacyjna za 5 mln tam, itd…

    • SIWZ – mówi to panu coś? w nim się zapisuje minimalne wymagania odnośnie jakości, dopiero po spełnieniu tego warunku następuje wybór najniższej ceny

    • @Ewa: Gdybym miał dostać złotówkę za każdy urząd, któremu trzeba było poprawiać SIWZ, bo zawierał oczywiste bzdury, to bym był dziś bogaty ;).

      Wygląda na to, że to kolejna firma działająca a la Comarch, zatrudnić studentów do pisania, dużo sprzedać, a później latami robić aktualizacje, które można wykonać w godzinę pracy razem z testami. Oczywiście dużo kasować za te aktualizacje (lub roczną subskrypcję).

    • @ewa
      Właśnie o to chodzi, że te wymagania ustawia się pod konkretne firmy.
      Wystarczy w wymaganiach nowego rządowego smartfona napisać, że ma się natywnie łączyć z apstorem, albo, że limuzyna powinna mieć popielniczkę konkretnego kształtu, który dziwnym trafem pasuje tylko do jednego modelu.

    • @bl4de:
      Dziwię się za każdym razem gdy widzę takie ujadanie na Polskę. Jeśli coś jest źle, ktoś inny nie potrafi zrobić dobrze, to zamiast pomstować na kraj trzeba robić swoje lepiej. A jeśli się da, to zastąpić partacza. Jeśli brak chęci czy odwagi, to można wyjechać za granicę i nie oglądać się więcej. Jakoś powszechnie udziela się syndrom ofiary i dziwne kompleksy.
      A w przetargach znaczącą rolę gra cena. Poza tym która z firm tworzących oprogramowanie potrafi ustrzec się błędu.

  5. waga: 100% cena.
    i dziękuję – takie przetargi to masakra jeśli mają dotyczyć JAKIEJKOLWIEK usługi związanej z dostawą.

  6. Bo każdego programistę można zastąpić skończoną ilością student

  7. Ktoś chce się założyć?
    Mówię że będzie jakiekolwiek realnych konsekwencji lub podjętych działań które mogą coś w przyszłości poprawić.

    Jeżeli istnieją ABI w tych instytucjach to prawdopodobnie w zdecydowanej większości poruszają się po płaszczyźnie czysto teoretycznej/biurokratycznej. Na widok kodu panikują.
    O możliwości testowania kodu lub wykonawcy na okoliczność sprawdzania kodu pod względem bezpieczeństwa nikt pewnie nawet nie pomyślał.

    • Mówię że nie będzie jakiekolwiek realnych konsekwencji lub podjętych działań które mogą coś w przyszłości poprawić.

    • Samo pomyślenie przez ABI o konieczności przeprowadzenia audytu kodu takiego oprogramowania jak np. OfficeObject pod kątem jego bezpieczeństwa to nie wszystko. Taki audyt kosztuje i to niemałe pieniądze. Niestety osoby decyzyjne w instytucjach rządowych/samorządowych najczęściej znajdują potrzebną kwotę dopiero PO jakimś incydencie wedle zasady “mądry Polak po szkodzie”.
      Drugi problem to wyłonienie odpowiedniego wykonawcy. Przy dużych projektach szacunkowa kwota zamówienia może obligować do przeprowadzenie kolejnego przetargu – tym razem na przeprowadzenie audytu. I tu kółko się zamyka. Prawo zamówień publicznych jest tak skonstruowane, że w praktyce może być ciężko wygrać takie postępowanie firmie z dużym doświadczeniem i świetnymi specjalistami, bo będzie droższa niż ta z małym doświadczeniem i specjalistami nie najwyższych lotów. A ja bym wolał akurat w tym przypadku zapłacić więcej tej lepszej firmie. Tyle, że nie mogę.

  8. Ktoś testował w ogóle to zgłoszenie? Tylko ANR podatny był przez jakiś czas na tę lukę.

  9. do poprawki: “i został on został błyskawicznie poprawiony.” bo za dużo zostanie ;)

  10. ciekawy jestem czy w Rodanie nadal pracuje imć [nazwisko usunięte na prośbę właściciela — red.] – jezeli tak to nie dziwie sie, ze ten blad wystapil ….. (a z tego co wiem, to jeszcze jakies 2 lata temu byl jednym z ich najbardziej zasluzonych pracownikow).

    U nas wslawil sie miedzy innymi:
    – migracja danych z ponad 4mln rekordow dale niecale 200 (testowal to na kopiach baz produkcyjnych ….)
    – problem konfliktu narzeczy miedzy Oraclem i Weblogicem chcial rozwiazac poprzez …. przepisanie OJDBC ….
    – zamiast mapy (w javie) uzyl 400 liniowego if-elsa

    • LOL… hm… ale to wiele tłumaczy.

  11. Mimo usunięcia luki, dalej hasła są w plaintekście i za jakiś czas znowu wypłyną…

    • Jak to przeglądałem to wyglądało to raczej jako jakiś zrzut przesłanego formularza. Zauważ, że są tam pola “password” i “password confirmation. A w adresie była fraza send_file_to_applet.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.