„2014 novemberében a SEARCH-LAB Kft. biztonsági hibát talált több hivatalos elektronikus aláírást ellenőrző alkalmazásban. A sérülékenység az e-akta formátumú állományokat érintette, meg lehetett kerülni a védelmet, a dokumentumokat a hivatalos aláírás után is módosítani lehetett.
Az elektronikus aláírásról szóló 2001-es törvény óta Magyarországon közokirat, teljes bizonyító erejű magánokirat, valamint egyéb, az írásba foglalás követelményének megfelelő bizonyító erejű irat is előállítható elektronikus formában. A közigazgatásban a hiteles elektronikus iratok kezelésére az e-akta formátum terjedt el leginkább: ezt használják a cégbíróságok, a bankok, az ügyvédek, a Földhivatal, felszámoló biztosok, de e-számlázásnál is gyakori. 2008 óta a cégeljárás Magyarországon kötelezően elektronikusan zajlik: minden változásbejegyzési, cégalapítási kérelem csak elektronikus úton intézhető és az ezzel kapcsolatos iratok is kizárólag elektronikus formában tekinthetőek hiteles közokiratnak.
A SEARCH-LAB kutatói olyan hibát találtak, amivel megoldható az elektronikus közokiratok hamisítása. Egy rosszindulatú támadó a cégbírósági bejegyző végzés nála lévő példányában utólag észrevétlenül megemelhette volna a törzstőke összegét úgy, hogy a számlanyitáskor a banki ellenőrzés az iratot kibocsátó cégbíró aláírását továbbra is hitelesnek találta volna.
Nem az elektronikus aláírás rendszere és nem maguk az elektronikus akták lyukasak, csak az érintett szoftverek hibájáról van szó. Maga az elektronikus aláírás technológiája és a kriptográfiai eljárás változatlanul erős. Vagyis a biztonsági hiba nem érinti a dokumentumok elektronikus aláírását, illetve az e-akták érvényességét, csak egyes e-akták megjelenítésére, feldolgozására szolgáló alkalmazások korábbi verzióit. A manipuláció minden e-akta esetében utólag kimutatható. Az archívumokban tárolt több mint 37 millió e-akta hitelességét megvizsgálták az érintettek, de nem találtak visszaélést.
A hibát a Microsec e-Szignó és a NetLock MOKKA alkalmazásában is megtalálták, de 2014. decemberben javították a szoftvereket. Ezeket a szoftverek rendszeresen ellenőrzik, így a két tanúsító szervezettel együtt összességében négy egymástól független piaci szereplő figyelmét is elkerülte ez a speciális támadási lehetőség. A javításban részt vett a Magyar Elektronikus Aláírás Szövetség (MELASZ) és a kormányzati elektronikus veszélyek feltárásával foglalkozó GovCERT-Hungary is.”
———————-
„2014. novemberében a Search-Lab Kft egy olyan biztonsági hibát fedezett fel az e-akta formátum legnépszerűbb implementációiban, mely lehetővé tette az elektronikus aláírással védett tartalom manipulációját anélkül, hogy az aláírás-ellenőrzés észlelte volna a módosítást.
A hiba kihasználásával a „klasszikus” papíralapú okirat hamisítások elektronikus verziója valósítható meg. Egy szemléletes példa: egy rosszindulatú támadó a cégbírósági bejegyző végzésben megemelhette a törzstőke összegét úgy, hogy a számlanyitáskor a banki ellenőrzés az iratot kibocsátó cégbíró aláírását továbbra is hitelesnek találta.
Az informatikai biztonság szakmán belül a hiba kategóriáját tekintve XML aláírás eltérítésnek (XML Signature Wrapping) minősül, ami azt jelenti, hogy az aláírást ellenőrző szoftver a verifikációt nem ugyanazokra az adatokra végzi el, mint ami a felhasználó számára megjelenik. A vizsgálatot a Search-Lab Kft a két legnagyobb gyártó termékében, a Microsec e-Szignó és a Netlock MOKKA alkalmazásában vizsgálta meg. A hiba mindkettő szoftverben jelen volt, egészen a decemberben megjelent frissítésekig.
A hibához rendelt CVE azonosítók a következőek
Microsec e-Szigno: CVE-2015-3931
Netlock Mokka: CVE-2015-3932A javítást már tartalmazó szoftverek
Microsec e-Szignó, 3.2.7.12 vagy magasabb
Netlock MOKKA, 2.7.8.1204 vagy magasabb…”
Forrás:
Hekkelhető volt 37 millió magyar e-akta; Index.hu; 2015. június 17.
E-akta XSW hiba; Search-Lab Kft.
Az e-akta aktuális változata
