Rekonstrukce státu

MKP: po upozornění IuRe zavedli nová opatření pro zabezpečení dat na opencard

12. 7. 2010 | 14:52

Jak jsme již informovali, IuRe 8. června upozornilo vřejnost (tady a tady), že v zabezpečení dat na opencard existuje závažný nedostatek, který útočníkovi umožňuje „odcizit“ elektronickou identitu uživatele karty coby průkazky do Městské knihovny Praha a zjistit také jeho další osobní data. V reakci na zjištění IuRe knihovna slíbila, že na problém upozorní čtenáře a učiní takové kroky, aby byla data čtenářů v bezpečí. Informace o slabinách opencard se čtenáři nedočkali, knihovna ale zavedla pravidlo, že čtenář, který nemá konto s opencard kryté heslem musí při přihlášení do čtenářského katalogu v knihovně opsat část logického čísla karty. Podle slov ředitele MKP Tomáše Řeháka "To (logické číslo karty, pozn. IuRe) nelze z karty přečíst jinak než vizuálně a máme tedy za to, že je-li hodnota správně zadána, drží čtenář svojí kartu fyzicky v ruce. Tímto opatřením se čtenářská konta s opencard dostala na minimálně stejnou úroveň zabezpečení, jako konta využívající klasickou legitimaci MKP s čárovým kódem. Důvod k neprodlenému informování o slabinách (byl-li kdy jaký) padá." Knihovna také zvažuje, že v budoucnu čtenářská konta bez hesla vůbec nepovolí. IuRe bude situaci i nadále sledovat. Bude třeba prověřit, zda jsou zavedená opatření dostačující a zajišťují bezpečí dat čtenářů.

Celou korespondenční výměnu mezi IuRe a ředitelem MKP Tomášem Řehákem si můžete pročíst níže.

 

Otevřený dopis řediteli MKP ze dne 7. 6. 2010
Reakce ředitele MKP ze dne 16. 6. 2010
Odpověď IuRe ze dne 18. 6. 2010
Odpověď MKP ze dne 1. 7. 2010

 


 

On 8 Jun 2010 at 9:41, Iuridicum Remedium wrote:
Vážený pane řediteli,

obracíme se na Vás se závažným zjištěním, které se týká bezpečnosti osobních údajů uživatelů služeb Vaší knihovny.

Naše nevládní organizace Iuridicum Remedium (www.iure.org) se řadu let zabývá ochranou osobních údajů především v souvislosti se zaváděním nových technologií. Toto naše zaměření nás také v minulých letech vedlo k evaluaci zabezpečení dat v souvislosti se zaváděním RFID karet opencard, jež využívají i čtenáři Vaší knihovny. Již v dubnu 2007 IuRe upozornilo, že na bezkontaktním čipu karty je bezdůvodně umístěná řada osobních údajů, které držitel odevzdal při registraci (jméno, příjmení, pohlaví, datum narození). Čip karty byl navíc nedostatečně zabezpečen, neboť přístupový klíč pro ochranu uvedených údajů byl nastaven na takzvanou veřejnou hodnotu, která je všeobecně známa a běžně dostupná například na internetu.

Magistrát následně přistoupil na výzvu IuRe k výměně celého čipu za model, který lépe splňuje bezpečnostní požadavky moderní elektronické společnosti. Deklaroval také odstoupení od praxe uchovávání osobních údajů na čipu karty v nezašifrované podobě - zůstává pouze datum narození držitele, údajně kvůli ověření věku žadatele o slevový kupón PID.

V současné době IuRe usiluje o zavedení anonymních karet opencard za nediskriminačních podmínek pro uživatele, staví se proti prodeji databáze získaných osobních údajů (kmene držitelů) komerčním subjektům a proti plánu na zavádění turniketů v pražském metru, které by RFID karty využívaly.

V souvislosti s prověřováním bezpečnosti aplikací umístněných v současné době na kartě, jsme byli vážně znepokojeni aktuálním zjištěním prezentovaným kryptologem Tomášem Rosou. Ve své přednášce na téma Vybrané aspekty bezpečnosti RFID konané 17. května 2010 na semináři Ústavu telekomunikací FEKT VUT v Brně kryptolog mimo jiné upozornil, že z karet opencard založených na čipech MIFARE DESFire využívaných Vaší knihovnou je možné přes rádiové rozhraní bez vědomí držitele získat volně dostupná identifikační data, která lze následně pomocí jednoduchého emulátoru zadat do čteček na Vašich pobočkách. Pokud čtenář postižený touto krádeží identity nemá aktivované doplňkové přihlašovací heslo (což podle našich zjištění řada čtenářů nemá), získává útočník přístup k celému souboru osobních dat čtenáře i  k využívání některých služeb.

Domníváme se, že zjištěný nedostatek v zabezpečení dat čtenářů může mít vážné důsledky jak pro čtenáře samotné, tak i pro Vaši knihovnu. Žádáme Vás tedy, abyste neprodleně informoval Vaše čtenáře:
1) že v současném zabezpečení dat při využívání opencard existuje vážná slabina,
2) že je nutné, aby si k účtu vytvořili své dostatečně silné přihlašovací heslo,
3) že vytvoření tohoto hesla stanovila Vaše knihovna jako striktní podmínku využívání služeb prostřednictvím opencard,
4) že Vaše knihovna pracuje na dalších opatřeních, které by posílily zabezpečení dat Vašich čtenářů
Vzhledem k tomu, že ochrana heslem se díky citované slabině v implementaci opencard stává velmi důležitým článkem bezpečnosti, žádáme zároveň prověření bezpečnosti celého heslového mechanizmu s
cílem odhalit včas jeho případné slabiny. Lze se totiž právem domnívat, že vývojáři knihovních aplikací považovali použití opencard za silnější garanci bezpečnosti, než tomu bohužel ve skutečnosti je. Věříme, že sdílíme v této věci společný zájem na ochraně dat uživatelů Vašich služeb a žádáme Vás, abyste nás informoval o provedených opatřeních.

S pozdravem,
Mgr. Filip Pospíšil, PhD.

 



2010/6/16 RNDr. Tomas Rehak

Vážený pane doktore,

pozorně jsem přečetl Váš dopis a samozřejmě i články, které jste iniciovali ve sdělovacích prostředcích. Přiznám se, že Vašemu postupu nerozumím. Pokud se domníváte, že jste našli cestu, kterou lze protiprávně ohrozit bezpečnost osobních údajů našich čtenářů, proč se s tímto problémem na nás obracíte otevřeným dopisem, tiskovou zprávou a videoreportáží? Proč jste prostě nezvedli telefon a nespojili se mnou, nebo mi neposlali mail? Váš postup takto poněkud připomíná bulvární hon za senzací; v horším případě pak by ho někdo mohl chápat i jako návod k použití.

Vážený pane doktore, jak jste si jistě vědom, KAŽDÝ bezpečnostní systém je potenciálně prolomitelný - je to jen otázka vynaložených prostředků a úsilí. Bezpečný je takový systém, u kterého jsou náklady na jeho prolomení nepoměrně vyšší, než je předpokladatelná motivace k takové akci. Byl jsem přesvědčen, že náš systém bezpečný je. Nyní už si tím jist nejsem -především proto, že Vámi publikovaná story svým návodným a motivačním charakterem pravděpodobnost případného útoku výrazně zvýšila. Snížila totiž jednak náklady na útok (alespoň rámcový popis zařízení, postup a taktika útoku), jednak zvýšila motivaci k němu (celá akce vyznívá jako povedený husarský kousek, který má výrazný mediální ohlas). To je samozřejmě skutečnost, na kterou jsme museli reagovat adekvátním opatřením. Dovolím si pozastavit se nad tím, proč nás úkolujete, o čem a jak máme informovat své čtenáře; nebo dokonce jak máme nastavit parametry našich služeb, přičemž ve Vašem dopise nacházím jen velmi málo relevantních údajů, ze kterých bychom při svém rozhodování mohli vyjít. V podstatě po nás chcete, abychom svá rozhodnutí opřeli o neověřené informace, které nám sdělujete prostřednictvím médií.  Čímž chci říct, že samozřejmě přivítám, pokud nám sdělíte bližší podrobnosti o Vašem experimentu, které by umožnily verifikovat jeho výsledky a na jejich základě případně přijmout další opatření.

Vážený pane doktore, závěrem bych Vám chtěl poděkovat za péči a starost o práva našich čtenářů. Nehledejte v tom ironii - myslím to vážně. Jakkoliv si myslím, že Vámi zvolený postup byl kontraproduktivní, úmysl samotný je jistě chvályhodný. Jsem si vědom, že naše organizace v minulosti již spolupracovaly a věřím, že prostor pro spolupráci zůstává otevřený i nadále.

S pozdravem,
RNDr. Tomáš Řehák,
ředitel MKP

 


On 18 Jun 2010 at 14:42, Iuridicum Remedium wrote:

Vážený pane řediteli,

děkuji Vám za Váš email z 16.června,kterým reagujete na otevřený dopis, který Vám naše organizace zaslala dne 8.6.2010.

V našem otevřeném dopise jsme Vás upozornili na závažný nedostatek v zabezpečení osobních dat Vašich čtenářů, které souvisí s využíváním opencard. Požádali jsme Vás také o neprodlené kroky k nápravě,jimiž mělo být informování Vašich čtenářů o existujícím nebezpečí,nastavení hesla jako striktní podmínky využívání služeb prostřednictvím opencard a přijetí dalších opatření, které by vedly k zabezpečení dat Vašich čtenářů.

Ve Vaší odpovědi ze 16.června chybí informace o tom,zda Vaše instituce podnikla nezbytné požadované kroky k zabezpečení dat Vašich čtenářů.Vyjadřujete ovšem podiv nad naším postupem při upozornění na nedostatek v zabezpečení a také žádáte o další informace.

Dovolte, abych se nejprve vyjádřil k Vaší kritice našeho postupu. Rozhodnutí o tom, že problém budeme medializovat zároveň upozorněním, které jsme Vám zaslali, bylo vedeno mimo jiné naší předchozí zkušeností s provozovateli projektu opencard. Ti námi v minulosti zjištěné závažné nedostatky v zabezpečení karty bagatelizovali, popírali, případně se problém snažili zamlžit. Tím uváděli v omyl uživatele karty i širokou veřejnost. Ke stejnému postupu se zástupci společnosti rozhodli i tentokrát a dali tak za pravdu správnosti našeho postupu,který měl za cíl jednak dostat informaci o existujícím nebezpečí k uživatelům karty a také působit preventivně k dalším možným provozovatelům podobných systémů.Bohužel musíme konstatovat,že k výše uvedenému neodpovědnému postupu provozovatelů opencard se připojila i Vaše instituce, když do dnešního dne řádně neinformovala držitele karty o nebezpečí, kterému byli vystaveni.

Vaše argumenty, v nichž se pokoušíte přenést odpovědnost za riziko napadení dat Vašich čtenářů na naši organizaci , jsou zcela zavádějící. Systém nebyl bezpečný od samého začátku a Městská knihovna (a její dodavatelé) svou hrubou neznalostí problematiky či nedbalostí ohrozili bezpečnost svých čtenářů dávno předtím, než IuRe publikovalo své upozornění. Odvolávat se na to,že je bezpečnost snížena kvůli zveřejnění slabiny, neobstojí. Slabina systému byla v tomto případě zcela zjevná a prvoplánová. V systému totiž žádný bezpečnostní mechanizmus vůbec nebyl zaveden. Využívání hodnoty UID je standardem jasně deklarováno jako užití "pro služební účely"a nikoliv k zajištění bezpečnosti. Naše demonstrace tak nebyla ve skutečnosti prolomením systému bezpečnosti, ale jen demonstrací zásadně špatné koncepce celé aplikace.

 Obecný problém založení bezpečnosti na statické hodnotě UID byl již i v českém prostředí dávno popsán. Odkázat Vás v této souvislosti mohu například na studii publikovanou již v lednu 2009 ve Sdělovací technice (http://crypto.hyperlink.cz/files/ST_2009_01_12_13.pdf ). Ve světě je ovšem tento problém znám ještě delší dobu. Co se týče dalších technických informací o problému, které ve svém dopise žádáte, mohu Vás znovu odkázat na prezentaci, v níž je problém popsán a kterou jsme zmiňovali již v našem otevřeném dopise (http://secreg.utko.feec.vutbr.cz/sites/default/files/RFID_rosa_v2.pdf ), případně na komentář k prezentaci posledního problému opencard, který lze nalézt na https://www.nethemba.com/blog/-/blogs/aktualne-postrehy-z-bezpecnostnej-....

Postup naší organizace je veden zájmem ochrany osobních dat čtenářů a i přes výše uvedené výhrady, máme zájem na další spolupráci s Vaší institucí. Těšíme se proto na Vaši odpověď na žádost, kterou Vám naše organizace adresovala ve svém otevřeném dopise.

S pozdravem,
Mgr.Filip Pospíšil, PhD.
Za Iuridicum Remedium o.s.
 


From: RNDr. Tomas Rehak Date: 2010/7/1 Subject: Re: Bezpečnost dat čtenářů ohrožena kvůli opencard To: Iuridicum Remedium <iure@iure.org> Vážený pane doktore, v názorech na vhodnost a prospěšnost vaší akce se zjevně rozcházíme, polemika na toto téma by byla snad zajímavá, ale pravděpodobně by nás nedovedla k jasnému výsledku. Zcela prakticky k vašim "úkolům". Zejména jsme bezodkladně "splnili" bod 4, což jste jistě zaznamenali - čtenář, který nemá konto s opencard kryté heslem musí při přihlášení do čtenářského katalogu v knihovně opsat část logického čísla karty. To nelze z karty přečíst jinak než vizuálně a máme tedy za to, že je-li hodnota správně zadána, drží čtenář svojí kartu fyzicky v ruce. Tímto opatřením se čtenářská konta s opencard dostala na minimálně stejnou úroveň zabezpečení, jako konta využívající klasickou legitimaci MKP s čárovým kódem. Důvod k neprodlenému informování o slabinách (byl-li kdy jaký) padá.

O vhodnosti a výhodách existence hesel u čtenářských kont informujeme naše čtenáře dlouhodobě a opakovaně, jeho existencí podmiňujeme samozřejmě přístup ke kontu prostřednictvím Internetu. Variantu vůbec nepovolit čtenářská konta bez hesla jsme v minulosti (zcela bez souvislosti s IuRe a dávno před objevem opencard) už několikrát diskutovali a zatím jsme ji vždy zavrhli. Budeme o tomto kroku nadále uvažovat, ale nepřipravená hurá akce by v tuto chvíli přinesla více škody než užitku.

S přáním pěkného dne
Tomáš Řehák, ředitel MKP

 

 

Kdo jsme

  • Tento web provozuje iure, neziskovka zabývající se ochranou lidských práv.
     
Logo IuRe

 

Naše další weby

IuRe je členem

Internet Defense League 

 EDRi logo