Bezpečnost | eObčanka | Česko

Přihlašování skrze eObčanku je děravé. Virus vám může ukradnout identitu

Přihlašování skrze eObčanku je děravé. Virus vám může ukradnout identitu

Bezpečnostní experti z Auxilium Cyber Security a WardenSec upozornili na potenciální zranitelnost v systému NIA při přihlašování pomocí čipových eObčanek, píše E15.

NIA, tedy Národní Identitní Autorita je uzel, který různými způsoby řeší ověření identity a přihlášení třeba do webového Portálu občana, aplikací sociálního zabezpečení atp. NIA dnes nabízí hromadu ověřovacích způsobů počínaje prostým loginem, heslem a kódem v SMS (dvoufaktor) a konče právě eObčankou, její hardwarovou čtečkou a speciální aplikací nainstalovanou na PC. Nově pak přibyla také možnost přihlášení skrze MojeID, které provozuje CZ.NIC.

Klepněte pro větší obrázek
Přihlášení různými způsoby do českého e-governmentu, ale skrze jednotný uzel

Podle expertů je problém právě v přihlašování skrze eObčanky a aplikaci, která se spustí z webového prohlížeče a po zadání pinu ověří identitu skrze čip na eObčance. V rámci tohoto spojení se mezi servery NIA a počítačem přenáší identifikátor spojení, který lze nahradit vlastním záškodnickým identifikátorem a převzít tak kontrolu nad úspěšně přihlášeným uživatelem, který nebude mít ani páru, že se něco děje.

Klepněte pro větší obrázek
Standardní způsob přihlášení k NIA (Portál občana aj.) na PC pomocí eObčanky

Co k tomu potřebujete? Třeba podvrhnutou a upravenou knihovnu OpenSSL, kterou používá klientská aplikace na PC a kterou by mohl na cílový počítač dopravit nějaký cílený malware. Pokud by se to podařilo, záškodník může s identitou uživatele napříč podporovaných e-governmentem pracovat, jak se mu zlíbí, aniž by si uživatel čehokoliv všiml.

Klepněte pro větší obrázek
Podvržení transakčního ID při použití zavirované klientské aplikace eObčanky pro PC. Detailní popis najdete v PDF v závěru článku. 

Elektronická občanka jakožto hardwarový klíč se speciální aplikací pro PC je tedy při tomto scénáři vlastně děravější, než prostý a už zmíněný dvoufaktor, tedy kombinace loginu, hesla a ověřovací SMS, která dorazí na mobil.

Jak už tom ubývá, celý systém je pouze tak bezpečný, jak bezpečné jsou koncové body, které se účastní výměny dat. Pokud bude jakýmkoliv způsobem infikovaný PC oběti, zabezpečení eObčanek může být naprosto k ničemu.

Experti navrhli několik způsobů. Jak lze celý systém zabezpečit, nelze tedy než doufat, že se vše opět spraví.

Celý popis potenciálního útoku v češtině:

eObčanka

Elektronický průkaz totožnosti – eObčanka – obsahuje čip, který umožňuje občanům bezpečně se identifikovat a komunikovat s úřady online.

Přečtěte si:

Diskuze (47) Další článek: AMD představuje nové procesory Ryzen, sledujte premiéru online

Témata článku: Portál občana, Bezpečnost, Internet, eObčanka, Česko, eGovernment, Přihlášení, Uzel, Identita, NIA, Cyber Security, Virus, Aplikace, Počítač, Přihlašování, SMS


Určitě si přečtěte

Podívejte se, co dokáže vyrobit jedna z nejexotičtějších 3D tiskáren v Česku

Podívejte se, co dokáže vyrobit jedna z nejexotičtějších 3D tiskáren v Česku

** Na jaře tiskla unikátní české respirátory ** Používá ji třeba Škoda Auto, a.s. ** Zajeli jsme se podívat do pražského showroomu 3Dees

Jakub Čížek | 12

Google mapy, Seznam mapy, Apple mapy... Velké srovnání šesti internetových map. Kdo to dělá nejlépe?

Google mapy, Seznam mapy, Apple mapy... Velké srovnání šesti internetových map. Kdo to dělá nejlépe?

** Která klasická webová mapa se vám líbí nejvíce? ** Srovnali jsme šest velkých služeb v několika situacích ** Hlasujte v anketě

Jakub Čížek | 81


Aktuální číslo časopisu Computer

Velký test fitness náramků

Levné záložní zdroje

Jak si zabezpečit domov

Nejlepší monitory na trhu