A Chrome böngésző elkezdte letiltani az állami Ügyfélkaput, és helyette egy lopásveszélyre figyelmeztető feliratot tölt be. Most még csak a Google böngészőjéből elérhetetlen az oldal, de hamarosan a többi böngészőből is az lesz, ha a kezelői nem javítanak egy hibát, amelyről már jó ideje tudni lehet, hogy probléma lehet belőle. A szakértő szerint most még nincs közvetlen veszély, de ha a helyzet nem változik, abból még baj lehet. A kormány honlapja is titkosítatlan.
Az állami Ügyfélkapu üzemeltetője nem cserélte le az oldal tanúsítványát, amely igazolja, hogy az oldal biztonságosan működik. Pedig már legalább egy éve tudni lehet, hogy az összes nagyobb böngésző le fogja tiltani azokat az oldalakat, amelyek ilyen tanúsítványt használnak, mert annak a kiadóját megbízhatatlannak ítélték.
Előbb gyorsan elmagyarázzuk, miről is van szó, miért jó, ha egy oldal titkosított, és miért fogtak össze a böngészők fejlesztői egy tanúsítványokat kiállító cég ellen. Aztán rátérünk a lényegre, vagyis hogy mi a helyzet az Ügyfélkapuval, és ha használja, veszélyben vannak-e az adatai.
Aki úgy érzi, képben van a webes titkosításban, nyugodtan ugorja át a következő két alcímet vagy kattintson ide.
A nagyobb biztonság érdekében a weboldalak egyre gyakrabban titkosítva érhetők el. Ha beírunk egy címet a böngésző címsorába, és nyomunk egy entert, a betöltődő oldal címe előtt jobb esetben egy kis lakat és a https felirat jelzi, hogy titkosított csatornán látogattuk meg. Rosszabb esetben, ha az adott oldal nem használ titkosítást, a lakat hiánya (illetve böngészőtől függően a “Nem biztonságos” felirat) mutatja, hogy sima http kapcsolatról van csak szó.
Ami a https-t megkülönbözteti a http-től, vagyis a biztonságos oldalakat a nem biztonságosaktól, az a TLS vagy leánykori nevén SSL protokoll. Ez a protokoll garantálja a böngészőnk és a weboldalak közötti kapcsolat védelmét: titkosítja a kettő között áramló adatforgalmat, amivel egyrészt védi a mi adatainkat (például ha az oldalon személyes információkat adunk meg), másrészt biztosítja, hogy senki ne piszkálhasson bele az oldalak nálunk megjelenő tartalmába.
Azt, hogy az oldalak tényleg használnak titkosítást, és az megfelelően van beállítva, SSL tanúsítvánnyal igazolják. Ilyen tanúsítványokat alapesetben csak bizonyos szervezetek, úgynevezett hitelesítésszolgáltatók (Certificate Authority, CA) írhatnak alá, ezért ezeknek a szolgáltatóknak fontos szerepük van abban, hogy az internet valamivel biztonságosabb hely legyen.
Az egyik legnagyobb hitelesítésszolgáltató a Symantec biztonsági cég volt, de tavaly év elején kiderült, hogy megkérdőjelezhető módon állított ki egyes tanúsítványokat, illetve olyan cégeknek is kiszervezte ezt a feladatot, akiket nem ellenőrzött megfelelően. A teljes bűnlajstromot itt lehet böngészgetni, de a lényeg, hogy év közepére az összes böngészőfejlesztő összezárt a Google kezdeményezése mögött, és megvonták a bizalmat a cégtől – márpedig anélkül ebben a bizniszben nem maradt keresnivalója.
Bár a Symantec eleinte vitatta, hogy ez a lépés mennyire jogos, végül térdre kényszerült, és belement abba, hogy eladja a CA-üzletágát egy másik hitelesítésszolgáltatónak, a DigiCertnek, amely vállalta, hogy fokozatosan lecseréli a problémás tanúsítványokat. Nemcsak a Symantec neve alatt futó tanúsítványok érintettek, hanem az egykor a Symantechez tartozó többi tanúsítványbrand (GeoTrust, Thawte, RapidSSL, VeriSign, Equifax) is.
Ezzel párhuzamosan a böngészők fejlesztői is belefogtak a tisztogatásba. A Google a Chrome április 17-én kiadott 66. verziójától elkezdte kivezetni a problémásnak ítélt tanúsítványok támogatását, az október 16-án megjelent 70. verziótól pedig már az összes ilyen tanúsítványt használó oldalt megbízhatatlannak ítéli. A Chrome legújabb verziói tehát már nem is engedik megnyílni az érintett oldalakat (bár a tiltás csak fokozatosan jelenik meg, és nem csak a böngésző verziószámától függ, hogy mikor).
A Mozilla is több lépcsőben vezeti be a tiltást, eredetileg szintén októberben, a Firefox 63-mal érték volna el a zéró toleranciát, de októberben közölték, hogy mivel rengetegen – a top egymillió oldal több mint 1 százaléka – még mindig nem váltottak, ezért a nagyobb felfordulás elkerülése érdekében haladékot adnak, és még idén, de valamivel később számolnak le végleg a kockázatosnak tartott tanúsítványokkal.
Az Apple és a Microsoft is fokozatosan megszünteti a tanúsítványok támogatását a maga böngészőiben.
Most tehát ott tartunk, hogy azok az oldalak, amelyek még mindig a megbízhatatlannak ítélt tanúsítványokat használják, könnyen kicsúszhatnak az időből, sőt Chrome alatt már most is sok felhasználónak állhatja útját az elrettentő figyelmeztetés, miszerint “Az Ön kapcsolata nem privát. A támadók megpróbálhatják ellopni a(z) [...] webhelyen lévő adatait (például jelszavait, üzeneteit és hitelkártyaadatait).”
Márpedig ilyen oldalból a magyar interneten is akad, ráadásul nem is akárhol:
az Ügyfélkapu honlapja is megbízhatatlan tanúsítványt használ.
Erről jó eséllyel ön is meggyőződhet, ha egy friss Chrome böngészőből próbálja meglátogatni az oldalt, de egy olvasónk Facebook-bejegyzésben is megörökítette a dolgot.
A címmező melletti lakatra, vagy annak hiányában a helyén olvasható figyelmeztetésre kattintva ellenőrizhető, hogy milyen tanúsítvánnyal rendelkezik az adott oldal, már ha van neki. Az Ügyfélkapu esetében itt ez látható:
Az oldal alján, a Chrome óva intő üzenete alatti “Speciális” feliratra kattintva egyébként kikerülhetjük a figyelmeztetést, és az állítólagos veszély ellenére felkereshetjük az oldalt, ha úgy gondoljuk, okosabbak vagyunk, mint a böngészőnk.
Ahogy fentebb írtuk, a Mozilla adott némi haladékot az elaludt adminisztrátoroknak is, így Firefoxban az Ügyfélkapu egy ideig még biztonságosként jelenik meg.
Érdekesség, hogy míg az Ügyfélkapu legalább https kapcsolatot kínál, a magyar kormány hivatalos oldalának, a kormany.hu-nak, illetve a parlament honlapjának még csak ilyen bizalmat vesztett tanúsítványuk sincs, mert egyszerű, titkosítatlan http kapcsolatot használnak, így ezek az oldalak minden böngésző szerint sebezhetőek. Ugyanez a helyzet a kormányzati elektronikus szolgáltatások, így az Ügyfélkapu üzemeltetéséért is felelős Nemzeti Infokommunikációs Szolgáltató (NISZ), illetve a kormányzati IT-infrastruktúra kibervédelmét ( még) ellátó Kormányzati Eseménykezelő Központ (GovCERT) honlapjával is. Sőt a NISZ által nyújtott kormányzati hitelesítési szolgáltatás honlapja sincs hitelesítve:
Mivel az Ügyfélkapun keresztül személyes adatok megadásával hivatalos ügyeket intézhetünk, nem kifejezetten megnyugtató élmény, ha egy ártalmatlannak tűnő időpontfoglalás előtt a böngészőnk az arcunkba ordítja, hogy tolvajok leselkednek a jelszavunkra. Felmerül a kérdés, hogy tényleg ekkora-e a baj.
Azt nem mondanám, hogy ma kiemelt veszélyt jelent, hogy nem cserélték le a tanúsítványokat, abból viszont már komoly bajok lehetnek, ha ez egy év múlva is így marad
– mondta az Indexnek Kocsis Tamás, a Secure Networx nevű IT-biztonsági cég vezetője, de hozzátette, valószínűbbnek tartja, hogy az illetékesek még időben kezelni fogják a helyzetet az Ügyfélkapu esetében.
További probléma szerinte, hogy ha az emberek hozzászoknak, hogy elvileg biztonságos oldalakon folyton veszélyre panaszkodik a böngészőjük, ezek a figyelmeztetések inflálódnak, és a valódi adathalász támadásokra is kevésbé fognak felfigyelni a felhasználók. “Mindenképpen kockázatos játék ezzel sokáig várni” – mondja.
A titkosítatlan állami oldalak kapcsán Kocsis szerint elsőre sokan azt gondolhatják, hogy nem is probléma a védtelen kapcsolat, mert az csak azoknál az oldalaknál fontos, amelyeken jelszót vagy valamilyen adatokat adunk meg, vagyis egyáltalán van mit védeni vele.
“Ugyanakkor azt is érdemes figyelembe venni, hogy a titkosítatlan adatforgalmakba – főleg nyílt, publikus hálózatokon – elég könnyű belenyúlni, és mondjuk megváltoztatni a kormany.hu oldal tartalmát. Ha valaki kapcsolódik az én hálózatomhoz, és módosítja a nekem betöltődő kormany.hu-t, a linkeket átírva egy másik oldalra navigálhat engem. Miközben én azt feltételezem, hogy a kormany.hu-n kattintva biztonságos oldalra kerülök, valójában veszélyes oldalon kötök ki” – mondja.
Ezért Kocsis szerint ahol csak lehet, érdemes https kapcsolatot beállítani, még akkor is, ha magának az oldalnak a tartalma nem kifejezetten érzékeny, és azt is jó gyakorlatnak tartja, hogy a böngészők, keresők az ilyen oldalakat részesítik előnyben.
Azt ugyanakkor ő is elismeri, hogy nagy és összetett rendszerek alatt nem olyan egyszerű művelet a https beállítása vagy a tanúsítványcsere.
Az éremnek több oldala is van, és azzal nem szoktak számolni, hogy ha egy szervernek, amin mondjuk van ezer oldal, minden látogatót SSL-el kell kiszolgálnia, az sokkal több erőforrást emészt fel, mint a sima http.
A másik probléma éppen abból az előnyből fakad, hogy a titkosított kapcsolatokba nehezebb belenézni: ez a tartalomszűrést is megnehezíti, például a kártevők azonosítását (bár erre is vannak már újabb módszerek), és nemzetbiztonsági okokból a hatóságok öröme se felhőtlen az egyre elterjedtebb titkosítás miatt.
Kérdéseinkkel kerestük a NISZ-t. Arra voltunk kíváncsiak, miért nem cserélték még le az Ügyfélkapu tanúsítványát és várhatóan mikor fogják, illetve tervezik-e a kormany.hu https-es védelmét. Cikkünk megjelenéséig nem kaptunk érdemi választ, ha ez változik, beszámolunk róla.
Egy olvasónk hívta fel a figyelmünket, hogy bár az érintett oldal, az ugyfelkapu.magyarorszag.hu tanúsítványa valóban nincs rendben, viszont ezen az oldalon még nem kell közvetlenül személyes adatokat megadnunk. Arra már ezen az oldalon kerül sor, illetve a Központi Azonosítási Ügynök felületén, ezeknek pedig rendben van a tanúsítványuk. A cikk állításai ezzel nem vesztik érvényüket, de fontos pozitívum, hogy ez jelentősen megnehezíti a közvetlen adatlopást.
A NISZ végül cikkünk megjelenése után válaszolt kérdéseinkre, az alábbiakat írták:
Az Ügyfélkapu működése jelenleg biztonságos. A böngésző alkalmazások egy része (Chrome) minősíti nem megfelelőnek az eddig használt „https” protokollt, ami nem jelenti azt, hogy az azon keresztül folytatott adatcsere ne lenne biztonságos, erre a NISZ kiemelt figyelmet fordít.
"Az új tanúsítvány beszerzése már korábban megtörtént, annak telepítése az állami érdekeltségű rendszerekben folyamatosan zajlik. Az Ügyfélkapu tanúsítvány cseréjére tervezetten 2018. november 24-25-i hétvégén kerül sor, a teljes átállás – a jelenleg még „http”-t használó kormányzati honlapok tekintetében is – 2018. év végéig lezajlik. Ennek megfelelően valamennyi honlap tekintetében a legbiztonságosabb tanúsítvánnyal ellátott protokoll lesz használva az államigazgatásban" – zárul a válasz.