Softvér pre eID má bezpečnostný problém, aktualizujte

Značky: bezpečnosťeID

DSL.sk, 4.3.2019

Zvláštny postup so znefunkčnením prihlasovania pomocou elektronických občianskych preukazov eID pomocou doterajších verzií aplikácie eID klient bez predchádzajúceho avíza, na ktorý sme upozornili v raňajšom článku, mal nakoniec bezpečnostný dôvod.

Ministerstvo vnútra o tom informuje tlačovou správou.

Ako sme upozornili ráno v článku o výpadku Slovensko.sk, podľa oznámenia prevádzkovateľa portálu NASES prihlásenie s doterajšími staršími verziami eID klient prestalo fungovať a vyžadované sú nové verzie 3.1.2 pre Windows a 3.0.2 pre Mac a Linux.

Oznámenie neuvádza dôvod a NASES za celý deň neodpovedala na naše otázky, čo je dôvodom tohto kroku.

"Ide o tzv. vynútený update aplikácie - ministerstvo vnútra ho spustilo z dôvodu možného bezpečnostného ohrozenia, na ktoré rezort vnútra upozornil CSIRT na základe oznámenia zraniteľnosti etickými hackermi vo štvrtok 28. februára 2019," informuje teraz ministerstvo v tlačovej správe.

Charakterizácia bezpečnostného ohrozenia ale nie je dostatočne detailná a nie je jasné či sa nejak špecificky týkala aj mechanizmu prihlasovania pomocou eID alebo ide o chybu v aplikácii nesúvisiacu s jej hlavnou funkčnosťou.

Tlačová správa totiž v otázke bližšieho popisu uvádza len "Analýza popísanej hrozby ukázala, že ohrozenie sa týkalo používateľov všetkých podporovaných platforiem (Windows, Linux, Mac OS). Škodlivý skript by za istých okolností mohol prostredníctvom aplikácie pre občianske preukazy byť dopravený a inštalovaný do počítačov a následne by mohol zablokovať obsah počítačov, ovládnuť ho alebo odosielať informácie z dotknutých počítačov."

Nové verzie aplikácie eID klient je možné okrem iného sťahovať zo stránok ministerstva.




Najnovšie články:



Diskusia:

vladne spehovatka Od: jebe jebe jebe | Pridané: 4.3.2019 17:35 iba hlupak si nainstaluje softver od statu nativne na svoj hlavny operacny system. Komu zalezi na sukromi si taketo spehovatka nainstaluje do virtualky s pristupom na usb port. Odpovedať Známka: -0.9 Hodnotiť:

Re: vladne spehovatka Od: martincc | Pridané: 4.3.2019 17:56 Ty si taky mudry ze musis byt minimalne inzinier z FEI/FIIT Odpovedať Známka: 0.6 Hodnotiť:

Re: vladne spehovatka Od: hihihi_ | Pridané: 4.3.2019 19:39 zrejme to FEIkari kodili ako bakalarku za 3 piva taze bacha na to koho urazas :D :D :D Odpovedať Známka: 8.9 Hodnotiť:

Re: vladne spehovatka Od: konspirator8 | Pridané: 4.3.2019 20:41 keby si bol v obraze, tak by si vedel, ze ani virtualka nezvysuje zabezpecenie, nakolko existuju virusy, ktore sa vedia pohybovat medzi oboma OS. Odpovedať Známka: -3.6 Hodnotiť:

Re: vladne spehovatka Od: huger | Pridané: 4.3.2019 21:44 ci pana, tak toto meni vsetko Odpovedať Známka: 10.0 Hodnotiť:

Re: vladne spehovatka Od: asdfa | Pridané: 5.3.2019 6:43 musim prehodnotit cely doterajsi zivot Odpovedať Známka: 10.0 Hodnotiť:

Re: vladne spehovatka Od: bitboy | Pridané: 5.3.2019 8:54 My, co sme v obraze, vieme, ze softvér je.nutné vzdy bežať pod alpine limuzín v docker image ako instanciu v kontajneri nad virtualizovanym os vo virtualke nad hypervizorom. To je jediná možnosť. A ako vraví ten miestny pablb, tak priekazne. Odpovedať Známka: 4.5 Hodnotiť:

Re: vladne spehovatka Od: jebe jebe jebe | Pridané: 5.3.2019 11:07 hluposti. Staci Qubes OS. Tam sa ziadna virtualka k host OS nedostane ani ku surodeneckym virtualkam. Odpovedať Známka: 10.0 Hodnotiť:

Re: vladne spehovatka Od: tfhygjhukjikl | Pridané: 5.3.2019 9:15 spehovatko? Nie su schopni rozchodit poriadne ani to co to ma robit, nie to este tam prilepit spehovatko Odpovedať Známka: 10.0 Hodnotiť:

Re: vladne spehovatka Od: kadernik | Pridané: 5.3.2019 13:07 Skus vysvetlit neIT cloveku o com hovoris. Som zvedavy ako dlho vydrzis, aby si sa nezblaznil. Odpovedať Hodnotiť:

Re: vladne spehovatka Od: sensei-san | Pridané: 5.3.2019 13:18 Kde je šéfredaktor Macko, keď ho potrebujeme? Odpovedať Známka: 6.0 Hodnotiť:

Situacia sa postupne stabilizuje. Od: Gizelka | Pridané: 4.3.2019 17:38 Musime si uvedomit, ze stranka je rozcestnik pre mnohe sluzby, je velmi zlozita na pozadi a tym padom sa nieco moze pokazit a zahltit. Ale postupne, s kazdym takymto pripadom sa vychytavaju drobne musky a zlepsuje sa uzivatelsky komfort. Casom sa to dopracuje k idealnemu stavu, ked bude fungovat vsetko a nikto nebude moct atakovat zaskodnicky stranky. Odpovedať Známka: -7.6 Hodnotiť:

Re: Situacia sa postupne stabilizuje. Od reg.: Uhlik | Pridané: 4.3.2019 18:12 To je tak krásne napísané, až som slzu vyronil. Odpovedať Známka: 10.0 Hodnotiť:

rerere Od: bt4w | Pridané: 5.3.2019 9:49 nepísal to ondrej macko? Odpovedať Hodnotiť:

Re: Situacia sa postupne stabilizuje. Od: mrtvy alzak | Pridané: 4.3.2019 18:27 Ale prdlajs. Utoky budu vzdy, systemy treba chranit. Pozitivne je to, ze nas o tom informovali a nezatlkali. So Sakovou mozno viac politickej kultury prislo. A kto su eticki hekri ktori to objavili? Odpovedať Známka: 5.7 Hodnotiť:

ničivý praktik S005E00109 Od: syntaxterrorXX. X | Pridané: 4.3.2019 19:14 Formulácia "tzv. vynútený update" podprahovou implikáciou akéhosi abstraktného činiteľa ale predstavuje pri určovaní prieniku zrovna s nezatĺkaním priekazne značnú etickú výzvu. Odpovedať Známka: -2.5 Hodnotiť:

Re: ničivý praktik S005E00109 Od: mrtvy alzak | Pridané: 4.3.2019 19:24 Čeho? Odpovedať Známka: 5.7 Hodnotiť:

ultraradikalny empatizmus Od: syntaxterrorXX. X | Pridané: 4.3.2019 19:51 Presne tak. Teho, kerého meno sa nevyslovuje ... Odpovedať Známka: -0.9 Hodnotiť:

Re: ultraradikalny empatizmus Od: letovparku | Pridané: 5.3.2019 7:40 trapne Odpovedať Známka: 10.0 Hodnotiť:

Re: ničivý praktik S005E00109 Od: Gizelka | Pridané: 4.3.2019 21:22 Vynuteny update je aj vo Windows, kazdy utorok, druhy tyzden v mesiaci a niekedy aj mimoriadne. Musime si uvedomit, ze je Muz v strede utoku, to je MITM, ale predbehol ho dobry muz v strede utoku, cize GMITM. Takze ten, koho sa nesmie menovat je Bad muz, cize BMITM a ten, kto to odhalil je Good, ba az God muz, cize GMITM. Pokial by sme vklzli do konfesialnej problematiky, tak ten zly je Satan a ten dobry JHWH. Suvahou celej problematiky je, ze dobro a laska zvitazila nad lzou a nenavisti. Odpovedať Známka: 5.0 Hodnotiť:

Re: ničivý praktik S005E00109 Od: bitboy | Pridané: 5.3.2019 8:58 A to ked príde Žena v strede utoku, to bude len pruser. Odpovedať Hodnotiť:

Re: ničivý praktik S005E00109 Od: Libuse | Pridané: 5.3.2019 9:23 Každý si musí položiť otázku: Koľko riadkov kódu som napísala, aby som prispela k hladkému chodu stránky? Koľko solárnych panelov som osadila na energetickú sebestačnosť uzla a koľko riek som prehradila na dodávku energie pre dátové centrum? Kritika áno, ale konštruktívna s dôrazom na pridanie ruky k dielu. Iba takto sa da zapísať do análov pre budúce generácie. Odpovedať Známka: 10.0 Hodnotiť:

Re: ničivý praktik S005E00109 Od: slecna.l | Pridané: 6.3.2019 13:37 Tie rieky su ojeb, navratnost malych vodnych elektrarni je zabezpecena len vdaka eurofondom a dotaciam na energie a dopady na zivotne prostredie su ovela vaznejsie, ako sa tvrdi v dopadovych studiach (ak sa vobec robia). Ked ti storocna voda vytopi serverovnu a admin nebude mat co jest, mozes listovat v analoch. Odpovedať Hodnotiť:

Re: ničivý praktik S005E00109 Od: pucka_ | Pridané: 5.3.2019 14:01 nikto nevie o co melies iba jhaaaaa Odpovedať Hodnotiť:

Re: Situacia sa postupne stabilizuje. Od: fvfdbdfb | Pridané: 5.3.2019 2:19 to je tajne. 001000100111011101110001 Odpovedať Známka: 3.3 Hodnotiť:

Je to pekne, ale diskutabilne... Od: pomocny osvetlovac | Pridané: 4.3.2019 18:19 Mna by skor potesilo, keby ten ich IMAP pristup aj fungoval, a nie ze mi mail klient kazdy treti den pise "nedostupne", "neplatne heslo" a ine kraviny... Odpovedať Známka: 8.0 Hodnotiť:

Re: Je to pekne, ale diskutabilne... Od: pripalovac_ | Pridané: 4.3.2019 19:33 ja by radsej keby tie love co corkli na henten miliardovy humbuk pekne krasne vracili naspac lebo kazdy gdo to uziva sa nepriamo zucastnuje jednu z najvacsich kradezi v historii loovenska Odpovedať Známka: 4.4 Hodnotiť:

dylan Od: :Pjetro de | Pridané: 4.3.2019 20:34 zomrel dylan, nech mu je bh 90210 lahke Odpovedať Známka: -1.4 Hodnotiť:

Re: dylan Od: Xmen | Pridané: 4.3.2019 21:21 A Prodigy nic, do pice? Hlavne ze nejaky US supak ta zaujima! Odpovedať Známka: 4.0 Hodnotiť:

Re: dylan Od: Ján Mokrý Kokot | Pridané: 5.3.2019 6:59 Lol, ty si aký šašo. Mám v piči aj celé Prodigy. Odpovedať Známka: -5.6 Hodnotiť:

Statna tragedia Od: Statna tragedia | Pridané: 4.3.2019 21:58 To je amaterizmus. Povodna verzia 3.0.0 nefunguje, ale tak, ze crashne. To nevedia tak spravit, ze v pripade nutnosti odstavit stare verzie dat userovi hlasku? Kebyze neprecitam clanok na DSL.sk tak vobec netusim preco zrazu EID aplikacia nefunguje. No ok, nainstaloval som novu 3.12.2 a velky prd... nefunguje, nedokazem sa prihlasit, pada stale po spusteni, potom pise, ze uz bezi, ale neda sa prihlasit do schranky. Prebieha start aplikacie 3.1.2 a nic sa nestane, ked kliknem do okna aplikacie, tak not responding a hned crashne. Takze musim vsetko zejme od nuly pomazat a instalovat odznova. Nechapem ako toto tokaze BUFU user. TO je cista tragedia tie softy... Toto vsetko sa instaluje... bordel... eID eID Certificate Propagator D.Signer/XAdES (x86) D.Viewer .NET (x86) D.Launcher (x86) D.Signer/XAdES .NET so zásuvnými modulmi (x86) D.Suite/EiDAS (x86) Odpovedať Známka: 10.0 Hodnotiť:

Re: Statna tragedia Od: Statna tragedia | Pridané: 4.3.2019 22:16 Link na screen ako to crashne: https://i.imgur.com/saUovRE.png Odpovedať Známka: 10.0 Hodnotiť:

Re: Statna tragedia Od: pripalovac_napekac | Pridané: 5.3.2019 0:08 tak ked za takýmito projektami stoja kesice papagaje a ich kamarati dlhane hadice z nedalekeho mestova, tak co sa cudujete ze to tak dobre funguje, budte radi ze aspon obciansky sa do citacky vojde Odpovedať Známka: 2.0 Hodnotiť:

Re: Statna tragedia Od reg.: Richard F. | Pridané: 5.3.2019 7:54 ...na podivnom OS, netreba sa diviť... Odpovedať Známka: 3.3 Hodnotiť:

Re: Statna tragedia Od reg.: vrtak_das_osmicka | Pridané: 5.3.2019 10:23 Este aj gramaticku chybu tam maju. To si snad robia pizdu z toho... Odpovedať Známka: 10.0 Hodnotiť:

Re: Statna tragedia Od: dudlik je už zaregistrovaný | Pridané: 5.3.2019 14:50 aktualizuj windows 2000 na nieco novsie, potom to pojde Odpovedať Známka: -3.3 Hodnotiť:

Re: Statna tragedia Od: majster sveta si | Pridané: 5.3.2019 22:53 majster sveta si, to je windows 7. Profici si tie aero a transparentne a vyshejdovane a vyanimovane blbosti vypinaju kvoli efektivite a performance... takze je tam simple tema, ktora sa podoba na stare windowsy Odpovedať Známka: 3.3 Hodnotiť:

Re: Statna tragedia Od: dudlik je už zaregistrovaný | Pridané: 7.3.2019 15:21 profici nepouzivaju windows 7 :) :-* Odpovedať Hodnotiť:

Re: Statna tragedia Od: bt4w | Pridané: 5.3.2019 10:00 BFU pouziva windows a tam to dalo normalnu hlasku s dovodom a linkom na stiahnutie novej verzie Odpovedať Hodnotiť:

Re: Statna tragedia Od: kadernik | Pridané: 5.3.2019 13:11 tento posledny update je fakt nejaky divny, mne pomohol restart pc Odpovedať Hodnotiť:

Situácia sa stabilizuje. Od: Libuse | Pridané: 5.3.2019 8:39 Po drobnom incidente sa situácia bezodkladne stabilizovala. Orgán zareagoval účinne a razantne. Takto to má fungovať vo všetkých sférach sociálnej interakcie a nie hneď sa biť, breptať a vyjadrovať občiansku nekázeň. Odpovedať Známka: -2.0 Hodnotiť:

Softvér eID Od: pod lipou | Pridané: 6.3.2019 14:56 Softvér eID pod lupou :D Odpovedať Hodnotiť:

Pridať komentár