Αδυναμία XSS στο site των Εκλογών 2014

Η ημέρα των αυτοδιοικητικών εκλογών εκτός από τα απρόοπτα, φαίνεται ότι έχει  ιδιαίτερο ενδιαφέρον και από πλευράς ασφάλειας συστημάτων και κυρίως αναφορικά με την ασφάλεια της επίσημης ιστοσελίδας ανακοίνωσης των αποτελεσμάτων ekloges.ypes.gr.

Πλέον η αδυναμία έχει επιδιορθωθεί αποδεικνύοντας την εγρήγορση των υπευθύνων έστω και για μια χαμηλής σημαντικότητας αδυναμία. 

Οφείλουμε να αναφέρουμε ότι η αντίδραση ήταν άμεση (εντός ελαχίστων λεπτών) από τους ιθύνοντες ακόμα και για μια αδυναμία XSS που δεν δημιουργεί πρόβλημα ή διαρροή δεδομένων! Σαφώς λοιπόν το σύστημα προστασίας που έχει δομηθεί για την διενέργεια των εκλογών επέδειξε εξαιρετικά ταχύτατα αντανακλαστικά, όπως είχε γίνει και στο παρελθόν με εξίσου μεγάλη επιτυχία, με αποτροπή εκατοντάδων επιθέσεων!

Σύμφωνα με ΑΠΟΚΛΕΙΣΤΙΚΕΣ πληροφορίες που κοινοποιήθηκαν στην συντακτική ομάδα του SecNews, Έλληνας ερευνητής εντόπισε αδυναμίες ασφάλειας στην ιστοσελίδα ανακοίνωσης των αποτελεσμάτων του Υπουργείου Εσωτερικών!

Οι πληροφορίες που απεστάλησαν στην συντακτική ομάδα του SecNews, μερικές ώρες από Έλληνα ερευνητή ασφάλειας -τα στοιχεία του οποίου παραμένουν στην διάθεση του SecNews- αναφέρουν την ύπαρξη αδυναμιών XSS, που μπορούν να χρησιμοποιηθούν από εξωτερικούς επιτιθέμενους για αλλοίωση των δεδομένων στον browser του χρήστη.

Ως γνωστόν οι αδυναμίες XSS είναι χαμηλής επικινδυνότητας χωρίς να είναι εφικτό να οδηγήσουν άμεσα σε αλλοίωση της ιστοσελίδας ή πρόσβαση στον εξυπηρετητή αλλά μπορούν να χρησιμοποιηθούν έμμεσα για αλλοίωση του περιεχομένου σε επίπεδο χρήστη (user-session). 

Σε ιστοσελίδες συγκεκριμένης κατηγορίας (όπως E-shops, Μηχανές αναζήτησης ή ιστοσελίδες που επιτρέπουν αυθεντικοποίηση χρηστών) όπου το Phishing μπορεί να αποφέρει ανακατεύθυνση επισκεπτών, πρέπει να λαμβάνονται σοβαρά υπόψη και να επιδιορθώνονται άμεσα.

Η ύπαρξη της εν λόγω αδυναμίας είναι ιδιαίτερα σημαντική λόγω της φύσης της ιστοσελίδας και της ακρίβειας αποτελεσμάτων που απαιτείται να εμφανίζονται προς τους χρήστες της. Συνεπώς στην συγκεκριμένη περίπτωση η αδυναμία XSS κρίνεται ως εξαιρετικά σημαντική για την ακρίβεια των απεικονιζόμενων δεδομένων. 

Διευκρίνηση αναφορικά με αδυναμίες XSS. Δεν επηρεάζουν το σύστημα των εκλογών!

Ευπάθειες τύπου XSS χρίζουν αντιμετώπισης σε περιπτώσεις Δικτυακών Πυλών (sites), στις οποίες η ευαισθησία των δεδομένων τους επιβάλει την εφαρμογή μηχανισμών διατήρησης της εμπιστευτικότητάς τους και κατ’ επέκταση οι χρήστες τους αποκτούν δικαιώματα χρήσης σε αυτά με μηχανισμούς αυθεντικοποίησης και εξουσιοδότησης.

Αναφερόμενοι στην περίπτωση της επίσημης ιστοσελίδας των Εκλογών θα πρέπει να αναφερθεί με κατηγορηματικό τρόπο ότι δεν ισχύει τίποτα από τα προαναφερθέντα. Συγκεκριμένα:

1) Τα δεδομένα της ιστοσελίδας είναι δημόσια και επομένως δεν χρίζουν ενεργοποίησης μηχανισμών Εμπιστευτικότητας (Confidentiality)

2) Για τον παραπάνω λόγο, δεν προβλέπονται δικαιώματα χρήσης του περιεχομένου της ιστοσελίδας, που σημαίνει ότι δεν υπάρχουν απαιτήσεις, ούτε ενεργοποιούνται μηχανισμοί αυθεντικοποίησης (Authentication) και εξουσιοδότησης (Authorization)

Η μοναδική απαίτηση ασφάλειας στην οποία εμπίπτουν τα δεδομένα της επίσημης ιστοσελίδας των Εκλογών είναι αυτή της ακεραιότητας (Integrity), η οποία με κανένα τρόπο δεν προσβάλλεται με ευπάθειες τύπου XSS.

Πηγή: SecNews.gr
via:nooz.gr