.rs

Kakva je bezbednost SSL enkripcije portala eUprava?

Početkom decembra pojavila se vest da je na portalu eUprava počela primena najnovijeg sertifikata. Naime, usled promene algoritama za enkripciju od početka 2016. godine, stari sertifikat koji je izdala „Pošta Srbije” vodeći internet pretraživači više nisu prepoznavali kao bezbedan i svim korisnicima se pojavljivalo upozorenje da konekcija nije obezbeđena. Pre proglašenja starih algoritma za nebezbedne, prema testu „SSL Labs”, portal je imao ocenu B, a sada, nakon implementacije novih sertifikata, ocenu A.

Prema rečima direktora Direkcije za elektronsku upravu, Dušana Stojanovića, tokom ovog perioda od jedanaest meseci razmena podataka bila je zaštićena prema svim priznatim propisima, iako su iskakale poruke. Takođe, veoma se vodi računa o zaštiti podataka korisnika kao i o zaštiti komunikacije tokom razmene podataka organa javne uprave. Do sada se nije desio ni jedan bezbednosni incident.

Vratimo se malo u prošlost. Pre desetak godina kada se počelo sa elektronskim uslugama, prvo u bankarskom sektoru pa kasnije i po raznim institucijama, smatralo se da svako može sam da kreira SSL sertifikat. Na taj način komunikacija je bila na jedan način zaštićena, ali niko nije mogao da bude siguran da li se našao na pravom sajtu ili nekom lažnom. Vremenom su prvo banke počele da kupuju sertifikate od inostranih firmi koje se bave tom delatnošću i tako rešavale svoje probleme. Međutim, kod nas je u to vreme nekoliko domaćih sertifikacionih tela priznato od države počelo sa radom. Praktično su sva tri koja su prva počela na neki način u državnom vlasništvu. Onda su počeli da izdaju razne tipove sertifikata, a među njima i SSL sertifikate za web sajtove. Tada su mnogi korisnici, pa među njima i državni portali, krenuli u nabavku SSL sertifikata – sve se završavalo lako u zemlji i domaćem platnom prometu.

Međutim, ono što je najavljivano a zapravo nikada nije urađeno (jer to zapravo uopšte nije jednostavno), je to da root sertifikati naših sertifikacionih tela nisu nikada uvršteni na pravi način u operativne sisteme i web pregledače. Bez toga, da bi korisnik SSL konekcije ka sajtu koji ima „domaći” SSL sertifikat video oznaku bezbedne veze, mora da importuje u svoj sistem (OS ili pregledač) javne root sertifikate sertifikacionog tela koje je izdalo SSL sertifikat.

Dakle, dobra ideja po kojoj kontrola i novac od sertifikata ostaje u zemlji i kojim se rešava i sistem autentifikacije čitave populacije u digitalnoj komunikaciji (kroz personalne sertifikate), zapravo nikada nije u potpunosti ostvaren. Zbog toga sada polako svi prelaze na „strane” SSL sertifikate. Stanje još uvek nije zadovoljavajuće, jer veliki broj sajtova i dalje koristi „domaće” sertifikate ili ih pogrešno upotrebljava. Naime, SSL sertifikat se izdaje za određenu web adresu ili skup web adresa definisanih kroz poddomene. Čest je slučaj da je sertifikat izdat za jednu adresu ili poddomen, a da se koristi na drugoj adresi unutar istog domena ili drugog poddomena i da izaziva sumnju u bezbednost čitave konekcije. Veoma dobar primer predstavlja pregled koji je dostupan na portalu security-net.biz, autora Ivana Markovića. Na adresi https://goo.gl/Agngk4 nalazi se pregled stanja SSL sertifikata na web servisima državnih organa. Pogledajte spisak i vidite koji sve ključni e-servisi državne uprave koriste „domaće” SSL sertifikate.

Vratimo se ponovo glavnom portalu elektronske uprave. I pored implementacije novog SSL sertifikata još uvek nije podešeno da se http zahtevi za pristup automatski prebacuju na https obezbeđene zahteve. To potencijalno dovodi do bezbednosnog problema pri kom lozinka korisnika može biti kompromitovana.

Mala pretraga po ključnoj reči „SSL Labs”, koja je pomenuta u izjavi koju navodimo, dovela nas je na https://www.ssllabs.com/ssltest/ gde smo uneli sajt naše eUprave. No, rezultat je, usled nedostatka TLS 1.2 protokola, ocena „C” a ne „A” kako je saopšteno. Dakle, nije sve ni u SSL sertifikatu, već ima nečega i u samom serveru. Po svemu sudeći, problem je u IIS/7.5 i Windows Serveru 2008 koji su odgovorni za portal eUprava.

Isti problem se može videti i recimo iz samog Google Chrome brauzera, iako on vezu ipak proglašava za bezbednu. Nadamo se da će update verzije servera tako da podržava TLS 1.2 biti obavljen brže nego nabavka novog SSL sertifikata za koju je trebalo gotovo jedanaest meseci. Da li su tu zamenu usporile procedure, recimo, javnih nabavki ili nešto drugo, nije ni bitno, ali zbog nabavke čija je vrednost reda veličine stotine dolara imali smo gotovo jedanaest meseci potencijalnih problema.

Da li mi sada ovim tekstom zapravo bez razloga uzbunjujemo javnost? Kolika je verovatnoća da će se nešto loše desiti? Verovatnoća takvog događaja nije velika, ali ovaj sajt je od najvećeg značaja u Srbiji. I u budućnosti njegov značaj će rasti sa porastom upotrebe elektronske uprave. Zbog toga smo mišljenjada zaslužuje vrhunski tretman i vrhunsku bezbednost.

Činjenice koje potkrepljuju ove tvrdnje su izjave aktuelnih organa vlasti koje smo zabeležili u proteklih mesec dana. „Srbija je od svih država u Evropi zabeležila najbrži rast elektronske uprave u poslednje dve godine, pokazala je Studija UN za 2016. godinu”. „Elektronska uprava će naredne godine biti jedan od oslonaca Vlade Srbije u reformi i modernizaciji rada državne uprave”. Želja je „eUprava – Srbija bez redova i šaltera”. Onda mora da se ozbiljno tretira i bezbednost glavnog portala.

I osvrnimo se i na jedno, po svemu sudeći, neispunjeno obećanje. Za 2016. godinu jedna od najava noviteta na portalu elektronske uprave bilo je uvođenje plaćanja platnim karticama. Tokom godine precizirano je da će ovo zaživeti 24.12.2016. godine. Ovaj članak završavamo samo dan pre najavljenog datuma i nema nikakvih informacija da li će servis zaživeti. Pominjali smo već verovatnoću, a u ovom slučaju ona nije velika. A ukoliko se ipak i dogodi, usluga će biti dostupna samo pet radnih dana... Ja bih to već uračunao u neispunjeno obećanje, a i tako se u jednoj skorašnjoj izjavi ova usluga najavljuje za 2017. godinu.

Za 2017. godinu najavljuju se i usluge opravdanja za školsku decu, plaćanje poreza, eVrtić za celu Srbiju a ne samo Beograd kao što je bilo do sada, plaćanje registracije vozila uz promenu taksi, uverenje o vojnoj obavezi...

Dušan DINGARAC