Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
novice
Objavljeno: 27.2.2017 19:00

Hude luknje v AJPES-ovem programju in spletišču

V AJPES-ovem informacijskem sistemu so že drugič v istem mesecu odkrili hude varnostne ranljivosti, ki jih lahko zlonamerni napadalci izkoristijo. V začetku meseca je portal Slo-Tech razkril, da imajo AJPES-ove spletne strani težave s SQL-vrivanjem (SQL injection), zaradi česar so bili sicer javnosti nedostopni registri dostopni na internetu. Dostopnih je bilo vsaj 59 baz. Danes razkrivajo, da je luknjičasta tudi podpisna komponenta mdSign, saj je podpisovanje v njem implementirano nepravilno, zato rabo odsvetujejo.

AJPES se je na februarsko razkritje odzval z besedami, da so v zadnjem času izvedli več zunanjih varnostnih pregledov, ki niso odkrili tovrstnih ranljivosti. Portal PodČrto jih postavlja na laž, saj je iz javnih informacij o transakcijah razvidno, da je AJPES zadnje testiranja plačal leta 2012. Podjetje, ki ga je izvajalo, je dejalo, da so testiranje izvajali še leta 2013, potem pa ne več.

To je absolutno premalo, saj moderne smernice (varnostna priporočila PCI DSS) določajo, naj se tovrstni testi (penetration testing) opravljajo vsaj enkrat letno in ob vsaki večji spremembi informacijskega sistema. Še pogosteje, vsake tri mesece, bi se moral izvajati zunanji varnostni pregled (vulnerability scan). Tedaj sta se na fiasko odzvala Informacijski pooblaščenec, ki je uvedel preiskavo, ter SI-CERT, ki je prevzel vlogo koordinatorja za razkrivanje varnostnih ranljivosti. Ob tem povejmo, da je vrivanje SQL eden najosnovnejših napadov, ki je posledica površnega programiranja in ki je prizadel že na milijone strani, zato so dobro znane tudi metode za obrambo.

Najnovejša ranljivost pa je več kot zgolj hrošč. Podpisna komponenta mdSign, s katero zavezanci podpisujejo dokumente, je ranljiva na napad s posrednikom (MITM), saj lahko napadalec žrtev pretenta v podpis kakršnegakoli dokumenta. Komponenti je namreč moč podtakniti katerkoli dokument, ki ga bo uporabnik nevede podpisal, saj ni ustreznih kontrol. To pa ni edina ranljivost. Izkazalo se je, da komponenta ne podpisuje sam dokument, temveč zgolj enolični identifikator dokumenta na strežniku. To predstavlja prekinitev verige zaupanja, saj se lahko dokument na strežniku kdo spremeni (recimo AJPES-ov administrator), pa bo njegov identifikator (ki ni zgoščena vrednost – hash) ostal enak. To postavlja pod vprašanj verodostojnost vseh doslej podpisanih dokumentov.

AJPES se na najnovejša razkritja še ni odzval. Slo-Tech medtem priporoča takojšnjo prekinitev uporabe podpisne komponente mdSign, saj imajo po slovenski zakonodaji elektronsko podpisani dokumenti enako pravno veljavo kakor ročno podpisani.

Več novic

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Google zapira zadnja vrata za blokiranje oglasov

    Google zapira zadnja vrata za blokiranje oglasov

    Google bo s prihajajočimi posodobitvami spletnega brskalnika Chrome dokončno onemogočil delovanje priljubljenih razširitev za blokiranje oglasov, kot je uBlock Origin.

    novice
    Objavljeno: 16.6.2026 10:00
  • Trumpov telefon je skoraj popolna kopija HTC-jevega

    Trumpov telefon je skoraj popolna kopija HTC-jevega

    Razstavljanje težko pričakovanega pametnega telefona Trump Mobile T1, ki so ga opravili strokovnjaki pri iFixit, je potrdilo prejšnje sume ocenjevalcev opreme, da je naprava skoraj popolna kopija obstoječega modela HTC U24 Pro.

    novice
    Objavljeno: 12.6.2026 09:00
  • Google nam bo zaklenil ekosistem Android

    Google nam bo zaklenil ekosistem Android

    Dolgo vrsto let je bila ena izmed glavnih prednosti ekosistema Android njegova odprtost, saj za razliko od konkurenčnega Applovega iOS-a ni imel omejitev za nameščanje aplikacij. Resda je Google preverjal aplikacije, ki jih je uvrstil na svojo tržnico Play Store, a vsakdo je lahko mimo te tržnice namestil karkoli, če je z interneta prenesel namestitveno datoteko. Postopek se imenuje sideloading in je na primer na iOS onemogočen. To se bo zdaj zgodilo tudi na Androidu.

    novice
    Objavljeno: 19.6.2026 05:00
  • Droni bodo po novem leteli brez GPS-a in zemljevidov

    Droni bodo po novem leteli brez GPS-a in zemljevidov

    Raziskovalci z nizozemske Tehnološke univerze v Delftu so po vzoru čebel razvili učinkovit navigacijski sistem za drone Bee-Nav.

    novice
    Objavljeno: 9.6.2026 10:00
  • Apple z najcenejšim MacBookom v zgodovini podrl vse rekorde

    Apple z najcenejšim MacBookom v zgodovini podrl vse rekorde

    Odziv kupcev na novi prenosnik MacBook Neo je popolnoma presegel vsa pričakovanja, kar je podjetje spodbudilo k drastičnemu povečanju proizvodnje.

    novice
    Objavljeno: 5.6.2026 10:00
  • Nova Philipsova svetilka je umetno sonce za sobe brez oken

    Nova Philipsova svetilka je umetno sonce za sobe brez oken

    Podjetje Philips je predstavilo novo stropno svetilko Philips Skylight, ki s pomočjo napredne LED tehnologije in sistema NatureConnect uspešno posnema videz ter globino prave strešne linije in v prostore prinaša ritem naravne sončne svetlobe.

    novice
    Objavljeno: 11.6.2026 09:15
Naroči se na Monitor Spletni nakup Naroči se na tedenske novice

Arhiv

Najnovejša številka revije

Posebna 2026 Prelistaj! Spletni nakup Arhiv številk
Posebna 2026

Uvodnik
Ko tehnologija postane magija

Fokus
Neznosna lahkost teorij zarote Svet, v katerem nič ni naključje Uvodnik: Tehnološke teorije zarote

Dosje
Pametni dom - Ko dom postane naprava 5G, pet let kasneje Denar, ki ga je mogoče izklopiti Kaj pa, če je vse res? Telefoni - Najboljši mikrofon je tisti, ki ga sploh ne potrebuješ Windows - Vrata, ki jih ne vidimo

Na zvezi
Kako razbiti teorije zarote Neomajni pesimisti napovedujejo pogubo Zakaj je tako težko ovreči teorijo zarote o nadzoru nad vremenom

Kupite dostop do aktualne številke:

5,99 EUR mesečni zakup

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji