HTTPS na spletišču UKC Ljubljana je zanič

Po naših razkritjih o zamolčani varnostni ranljivosti na eni izmed spletnih strani UKC Ljubljana ter po razkritju, da spletišče, ki je hranilo občutljive zdravstvene osebne podatke tudi po inšpekcijskem postopku Informacijskega pooblaščenca ni bilo ustrezno zavarovano, saj ni uporabljalo HTTPS šifrirane povezave, so v UKC Ljubljana obljubili, da bodo spletišče zaščitili s HTTPS.

To so danes res storili, vendar pa na način, ki kaže, da varnost podatkov na UKC Ljubljana verjetno dojemajo bolj kot neko nujno zlo. Nekaj, kar je treba storiti, da se znebimo zoprne javnosti in nadležnih inšpekcijskih organov, in ne nekaj, v kar je smiselno in potrebno vlagati.

Spletišče https://napotnica.kclj.si/, namenjeno prijavam na preglede preko spleta, je od danes sicer res dostopno zgolj preko HTTPS. Vendar pa analiza HTTPS šifriranja kaže precej katastrofalno stanje.

Za začetek, spletišče za šifriranje uporablja šifrirni protokol SSL3, ki naj se že dlje časa ne bi uporabljal več, saj je kriptografsko razbit in popolnoma ne-varen. Po drugi strani pa spletni strežnik ne podpira uporabe novejših šifrirnih protokolov TLS1.1 in TLS1.2.

Spletni strežnik vsebino privzeto šifrira z algoritmom RC4, ki ravno tako že vsaj od leta 2013 ne velja za varnega, saj je bilo v njem najdenih kar nekaj resnih ranljivosti. Problematična je tudi uporaba ostalih kriptografskih mehanizmov, zato ne preseneča, da je zaradi napačne konfiguracije na HTTPS šifriranje možnih še nekaj dodatnih kriptografskih napadov.

Digitalno potrdilo je sicer ustrezno sestavljeno (2048 bitni ključ in uporaba SHA-256), a je podpisano s strani GeoTrust SSL CA. Gre za overitelja digitalnih potrdil v lasti Symanteca, za katerega je znano, da je imel v zadnjih treh letih precejšnje težave pri procesu overjanja digitalnih potrdil. Povedano drugače – zaradi slabega procesa overjanja, so dopustili lažno overjanje digitalnih potrdil. Stvari so prišle tako daleč, da so se pri Googlu odločili za postopno zmanjševanje zaupanja v digitalna potrdila izdana s strani tega izdajatelja. Od septembra dalje, tako digitalna potrdila izdana s strani GeoTrust SSL z veljavnostjo več kot 9 mesecev ne bodo več smatrana za varna. Mozilla trenutno o tem še razmišlja, a precej verjetno je, da bodo sledili Googlu.

Seveda pa je digitalno potrdilo spletišča Napotnica veljavno do 20. marca 2020 (torej slaba 3 leta – že samo to dejstvo predstavlja slabo prakso), kar pomeni, da bodo naši brskalniki od septembra dalje to digitalno potrdilo zavračali kot ne dovolj varno.

Poleg tega spletna stran teče na strežniku Apache različice 2.2.16. Trenutna stabilna različica tega spletnega strežnika je 2.4.25 iz 20. decembra 2016, na spletišču Napotnica uporabljena različica spletnega strežnika pa ima vsaj 21 varnostnih ranljivosti.

Vse skupaj teče na operacijskem sistemu Debian, najverjetneje različice 6 (Sqeeze) ali celo 5 (Lenny), za katera že od februarja 2016 ni več na voljo varnostnih posodobitev. Je pa zato za ta operacijski sistem na voljo nekaj varnostih ranljivosti.

In za piko na i. Strežnik je lociran na IP naslovu 89.212.53.246, ki se nahaja v omrežju T-2. Na njem pa teče – prav neverjetno – poštni strežnik mail.zejn.si. Komu je prišlo na misel, da na strežniku na katerem se hrani občutljiva zdravstvena dokumentacija tečejo še druge storitve, ni povsem jasno, a to gotovo ni primer dobre prakse.

Začuda je poštni strežnik vsaj približno spodobno konfiguriran, (pa čeprav ne dovolj), a kot kaže, je žal neposodobljen in zato ranljiv.

 

Vse to seveda zgolj kaže na miselnost, ki očitno prevladuje na UKC Ljubljana. Informacijska varnost ni nekaj, v kar bi resno vlagali. To ni področje, ki bi ga resno in vsakodnevno spremljali. Dovolj je, da se zadosti tistim res minimalnim standardom, pa še to zgolj, če jih na to kdo opozori ali če to od njih zahteva regulator.

In potem se lahko samo še vprašamo kaj vse bi odkril resen, poglobljen in celovit varnostni pregled njihove celotne infrastrukture. Najbolj žalostno pri vsem skupaj pa je, da je tak “pregled” morda kdo že opravil. Naši najobčutljivejši podatki pa so tako skoraj dobesedno v božjih rokah.