Bezpečnostní firma se nabourala do cizí datové schránky

Praha – Od zahájení ostrého provozu systému datových schránek uplynulo teprve 24 dní a už se objevují závažné pochybnosti o jeho bezpečnosti. Ministerstvo vnitra i Česká pošta stále trvají na tom, že systém je bezpečný. Počítačová firma ale tvrdí pravý opak, a proto demonstrovala prolomení cizí datové schránky. Nový uživatel se poprvé přihlásil a jen několik okamžiků na to už bez jeho vědomí útočník přesměrováním získal jeho jméno i heslo. Napsání programu, který data od uživatele získá, zabere podle programátora Ondřeje Flídra průměrnému hackerovi maximálně dva dny práce.

Odborníci upozorňují především na to, že nezávislý bezpečnostní audit ještě stále probíhá a není jasné, s jakým výsledkem skončí. Problém vidí i v tom, že pro řadu uživatelů jsou datové schránky povinné. „Nebylo zde přechodné období, během kterého by se vychytaly dětské nemoci tohoto systému a posílila jeho bezpečnost,“ řekl ČT IT konzultant Jiří Peterka. Podle technického ředitele bezpečnostní firmy 4 Safety Miroslava Ludvíka tak existují tisíce lidí, kteří mohou získat přístupové údaje majitelů schránek a jejich jménem pak posílat úřadům dokumenty.

Společnost 4 Safety tvrdí, že například správci sítě poskytovatelů internetu dokážou podvrhnout uživateli datových schránek falešný certifikát, který si musí nainstalovat pro aktivaci schránky. U již zaregistrovaných uživatelů pak prý dokáží přesměrovat majitele schránky z webu ministerstva na svoje internetové stránky a získat přístupová data. Majitel schránky tak následně není jediným člověkem, který může číst došlé zprávy nebo odesílat dokumenty. Vetřelec může podle Ludvíka i zastavit odeslání zprávy a vyměnit ji za jinou.

Video Rozhovor s Radkem Smolíkem
video

Rozhovor s Radkem Smolíkem

Vnitro: Nebezpečí hrozí pouze tomu, kdo nedodržel postup instalace

Radek Smolík, který se pro ministerstvo vnitra stará o bezpečnost systému datových schránek, to ale důrazně odmítá. Takový postup je podle něj nemožný. Podvrhnout falešný certifikát lze pouze někomu, kdo nedodržel postup, jakým se má certifikát instalovat. „Vždy existují nějací lidé, kteří se nechají podvést,“ řekl ČT. Po nahrání certifikátu pak údajně žádný útočník nemůže certifikát vyměnit. Přesměrovat uživatele na jinou webovou stránku pak zbrzdí výrazné varování, které se díky certifikátu majiteli schránky na počítači objeví. Sám uživatel si pak musí všimnout, že se mu internetová stránka změnila.

Bezpečnostní firma ale vidí jediné řešení problému ve výměně certifikátů provozovaných Českou poštou za certifikáty, které jsou z mezinárodního hlediska bezpečné. Stát by to podle Ludvíka stálo zhruba 10 tisíc korun ročně. Bylo by ale nutné změnit legislativu.

Portál www.datoveschranky.info
Zdroj: ČT24
Autor: ČT24