Vulnerabilitati in econsulat.ro

In urma cu aproximativ o luna de zile am intrat pe econsulat.ro fiindca voiam sa vad care-i procedura si ce acte sunt necesare pentru emiterea unui pasaport si de indata ce s-a incarcat siteul m-am trezit cu o notificare privind certificatul SSL:

Curios din fire l-am trecut prin testul de la Qualys SSL Labs de unde am aflat ca certificatul in sine era OK, dar exista o problema la configurarea serverului web unde erau activate o serie de protocoale declarate deja nesigure si cunoscute ca fiind posibil vulnerabile:

Astfel, conform configuratiei incorecte a serverului web, siteul econsulat.ro era vulnerabil la atacuri de tip MiTM (Man-in-The-Middle) fiindca suportul pentru SSL 3 expunea serverul la vulnerabilitatea POODLE.

O alta problema majora era utilizarea suitei de criptare RC4 ce se dovedise extrem de slaba, fiind deja nerecomandata inca de prin 2013.

Apoi, fiindca uitandu-ma peste rezultate am remarcat ca HSTS era dezactivat ceea ce putea sa expuna siteul unor atacuri de phising cu ajutorul unui DNS poisoning m-am gandit sa verific si headerele de securitate ale serverului web pe Security Headers, iar rezultatul il aveti mai jos:Astfel, headerele de securitate confirmau faptul ca la nivel de server web nu exista niciun fel de protectie impotriva atacurilor XSS (Cross Site Scripting), atacuri ce puteau sa expuna date confidentiale asociate atat cu personalul consular care se ocupa de site cat si cu cetatenii ce utilizau sistemul online pentru servicii consulare.

Pentru ca eram constient de importanta unor astfel de vulnerabilitati si pentru ca sistemele informatice ale MAE au mai fost tinta unor atacuri de spear phishing, de indata ce am compilat toate datele privind nivelul de securitate de pe econsulat.ro i-am scris un mail cuiva din MAE cu rugamintea sa trimita mailul meu mai departe la departamentul de IT care stie cu siguranta ce sa faca cu informatiile primite.

Am mentionat in email faptul ca urmeaza sa public un articol pe subiect, dar ca o s-o fac abia dupa 15 iunie pentru a le acorda celor de la departamentul de IT al MAE sa faca ce considera mai bine in acest caz.

A doua zi am primit un raspuns de la persoana pe care am contactat-o si in acel raspuns mi se confirma atat primirea emailului cat si transmiterea lui mai departe. Ba mai mult mi se multumea pentru interesul acordat.

Doua zile mai tarziu am refacut testele de curiozitate si am constatat cu surprindere ca toate aspectele pe care le-am semnalizat anterior au fost analizate, iar recomandarile mele au fost puse in practica:

Cum au rezolvat si problema relationata cu HSTS am verificat si headerele de securitate si am remarcat faptul ca acolo treburile stateau mult mai bine

Desigur mai erau cateva aspecte minore demne de luat in calcul si pe care sunt sigur ca baietii de la IT al MAE le-au luat deja in calcul, insa atunci cand vrei sa oferi compatibilitate cu infrastructuri mai vechi esti obligat sa faci oaresce compromisuri si sa lasi un oarecare nivel de flexibilitate ceea ce justifica de altfel o parte dintre aspectele ce au ramas nerezolvate.

Astea fiind zise, in cazul in care vreti un server web configurat corect in ceea ce priveste certificatul SSL si criptarea traficului, dar si protectia impotriva atacurilor de tip XSS la nivel de headere atunci va recomand sa utilizati configuratia furnizata de Chiperli.st, configuratie ce va confera un grad de siguranta A+ la Qualys:

Leave a Reply

Your email address will not be published. Required fields are marked *