Nieudolnie zamaskowana dokumentacja systemu e-sądu ujawnia hasła dostępu

dodał 18 lipca 2018 o 18:51 w kategorii Wpadki  z tagami:
Nieudolnie zamaskowana dokumentacja systemu e-sądu ujawnia hasła dostępu

Dokumentacja techniczna systemów e-sądu, zawierająca hasła administratorów, adresację serwerów, architekturę sieci i pliki konfiguracyjne, była dostępna na stronie MS, a dane poufne chroniły czarne prostokąty w PDF-ach. Naprawdę.

Czarne prostokąty nakładane na dokumenty PDF to chyba jeden z najcięższych przypadków analfabetyzmu technologicznego w obszarze bezpieczeństwa. Ich nakładanie to sporo pracy, za to usuwanie to jedno kliknięcie + klawisz „Delete”. Co więcej, obecność czarnych prostokątów bardzo ułatwia ustalenie, które miejsca w dokumencie są interesujące – nie trzeba czytać całego, bo autor fikcyjnego zaciemnienia sam wskazuje nam ciekawe fragmenty. I wszystko jest bardzo zabawne, dopóki nie dotyczy szczegółowej dokumentacji technicznej jednego z najważniejszych systemów informatycznych Ministerstwa Sprawiedliwości, dostępnej dla każdego internauty.

Z Google na tropie wpadki

Jeden z naszych Czytelników (dzięki, Jacku!) szukał czegoś w sieci za pomocą Google – i znalazł na stronie Biuletynu Informacji Publicznej Ministerstwa Sprawiedliwości. Był to fragment dokumentacji technicznej systemu EPU, czyli Elektronicznego Postępowania Upominawczego, popularnie zwanej e-sądem.

Gdy Jacek zajrzał do dokumentu, na pierwszy rzut oka nie znalazł tam fragmentu, który wskazała wyszukiwarka. Nie znalazł, bo fragment był przykryty czarnym prostokątem. Wystarczyło jednak zaczerniony fragment zaznaczyć, skopiować i voilà – co było zakryte zostało odkryte. Jacek dał znam znać, a my odpaliliśmy edytor plików PDF i zaczęliśmy przeglądać dokumentację. Wyglądało to tak.

Fragment dokumentu opublikowanego:

Ten sam dokument po dwóch kliknięciach (wrażliwe fragmenty sami zamazaliśmy…)

Dokument opublikowany:

Dokument po dwóch kliknięciach:

Dokument opublikowany:

Dokument po dwóch kliknięciach (także sami zaciemniliśmy):

Plus drobne wyjaśnienie, czego dotyczą pola z obrazka powyżej:

Skala problemu

Na stronie Ministerstwa Sprawiedliwości znaleźliśmy następujące dokumenty zaciemnione w identyczny sposób:

  • Dokumentacja Techniczna Infrastruktury Sieciowej Systemu EPU SR Lublin
  • Dokumentacja Techniczna Infrastruktury Serwerowej EPU SR Lublin
  • Dokumentacja Techniczna Telefonia IP – EPU SR Lublin
  • Dokumentacja Techniczna Procedury Backup-u – EPU SR Lublin
  • Dokumentacja Techniczna Pamięci masowe – EPU SR Lublin
  • Dokumentacja techniczna przeznaczona dla administratorów systemu teleinformatycznego EPU

Łącznie dokumenty te obejmowały kilkaset stron. Poniżej kilka odkrytych fragmentów różnych plików, aby lepiej zobrazować zakres informacji dostępnych dla każdego zainteresowanego.

Było tego więcej. Dużo więcej. Pełne schematy logiczne i fizyczne systemów, struktura sieci, adresacja wewnętrzna, przegląd infrastruktury telefonicznej wraz z numerami telefonów wewnętrznych, dokładnie udokumentowane modele i wersje urządzeń i oprogramowania, hasła dostępu, pliki konfiguracyjne – to był faktycznie komplet dokumentacji technicznej infrastruktury e-sądów.

Co ciekawe, były to dokumenty autorstwa dwóch różnych firm, a „zaciemnione” były identycznie, co sugeruje, że za „anonimizację” danych odpowiadał jeden podmiot.

Walka o naprawienie problemu

Gdy tylko zorientowaliśmy się, na co trafiliśmy, zaczęliśmy próbować problem usunąć. Poniżej chronologia wydarzeń, zakończona prawie happy endem.

  • 6 lipca wieczorem – informujemy Ministerstwo Sprawiedliwości oraz CERT ABW o odkrytym problemie.
  • 6 lipca wieczorem – znając realia, zaczynamy poszukiwanie alternatywnego kanału komunikacji z Ministerstwem.
  • 7 lipca rano – otrzymujemy informację, że CERT ABW przekazał zgłoszenie w odpowiednie miejsce. Pliki nadal są dostępne.
  • 7 lipca przed południem – dzięki pomocy Czytelników nawiązujemy kontakt prywatnymi kanałami, przekazujemy zgłoszenie.
  • 7 lipca wieczorem – znika indeks plików, pliki nadal są dostępne.
  • 9 lipca rano (poniedziałek) – znikają pliki. Upewniamy się, że dane w nich zawarte nikomu nie zaszkodzą w razie publikacji, otrzymujemy zapewnienie, że hasła zostały zmienione w trakcie wdrożenia systemu.
  • 10 lipca – wysyłamy pytania dotyczące incydentu do rzecznika prasowego Ministerstwa.
  • 16 lipca – wobec braku odpowiedzi wysyłamy przypomnienie do rzecznika prasowego Ministerstwa. Otrzymujemy informację, że odpowiedzi dotrą najpóźniej 17 lipca rano.
  • 18 lipca wieczorem – publikujemy artykuł, nie doczekawszy się odpowiedzi od Ministerstwa Sprawiedliwości.

Podsumowanie

Usuwanie poufnych fragmentów plików PDF nie jest trudne – trzeba tylko użyć do tego odpowiednich narzędzi i dane wrażliwe faktycznie usunąć. Metoda „chałupnicza” to wydrukowanie dokumentu, zamazanie/zaklejenie wrażliwych fragmentów i zeskanowanie dokumentu do formatu PDF. Niestety w ten sposób traci się możliwość wyszukiwania i kopiowania, dlatego zalecamy użycie profesjonalnych narzędzi edytorskich. Większość dostępnych edytorów PDF ma funkcję „redakcji”, która tekst czy obrazy usuwa skutecznie. Warto zawsze sprawdzić efekt działania takiej funkcji w końcowym produkcie – chociażby zaznaczając i kopiując to, co miało być ukryte.

Jeśli natraficie gdzieś na poufny dokument lub jego fragmenty przykryte czarnymi prostokątami, to spróbujcie je po prostu zaznaczyć myszką i wkleić do notatnika. Jeśli się uda, piszcie do nas, może wspólnie wyedukujemy cenzorów – amatorów. Tymczasem miejmy nadzieję, że dokumentacja e-sądów nie trafiła w niepowołane ręce, a hasła zostały faktycznie zmienione.

Aktualizacja 2018-07-19 14:42

Zespół Prasowy Biura Komunikacji i Promocji MS w odpowiedzi na nasze zapytanie przesłał dziś następującą odpowiedź:

Brak skutecznego usunięcia poufnych informacji w publikowanych dokumentach nie wpłynął na bezpieczeństwo systemu, ponieważ anonimizacji dokonano po zmianie haseł do systemów ujętych w dokumentacji. Anonimizacja dokumentów została wykonana przez pracownika Ministerstwa Sprawiedliwości w lutym 2016 roku na użytek komisji przetargowej pracującej w tamtym czasie nad zamówieniem.