Kontraverzna odluka Srpske vlade I Uprave za zajednicke poslove.

Kontraverzna odluka Srpske vlade I Uprave za zajednicke poslove.

Prevod sa Blog-a: https://www.certic.info/serbiaitcapitulation.php

Vlada Srbije, zastitila je najsenzitivnije informacije gradjana sertifikatima izdatim od strane Americkog / Britanskog regulatornog tela Comodo i Thawte. Ovo se odnosi na sajt EUprava, i Narodna Banka.

Putem ovih servisa mozete:

  • Da popunite svoje poreske prijave, i Americka agencija ce im pristupiti lakse nego srpska agencija.
  • Produziti pasos, socijalno i zdrastveno osiguranje, pa cak i prijaviti vase dete u vrtic. Americka agencija ce imati te podatke ukoliko ih zeli.

Euprava je obezbedjena od strane Comodo kopanije, dok je Narodna Banka je obezbedjena od strane Thawte kopanije.

 

Ni jedna od ovih kopanija nije registrovana u Srbiji kako bi u slucaju zloupotreba mogla da odgovara.

Sajt Narodne Banke Srbije obezbedjuje, izmedju ostalog pretragu baza svih racuna kod poslovnih banaka.

SSL enkripcija, koja bi trebalo da zastiti podatke od presretanja, dok u ovom slucaju teoretski radi sledece:

  • Omogucava dekriptovanje i presretanje (takozvani man in the middle attack) stranoj kompaniji, i onima kojima ta kompanija to dopusti.
  • Onemogucava nasim organima da u slucaju potrebe za forenzicim dokazima dekriptuju podatke, bez da za to "Zamole" ove americke kompanije, kod kojih nasi sudski nalozi nisu vazeci, pa zavise od njihove dobre volje.

Iz sajta EUprava odgovaraju putem svog twitter naloga da su se na ovaj korak odlucili zbog potrebe za 'boljom zastitom' te zamenili sertifikat poste koji nije bio javno priznat u razlicitim browserima, medjutim, potpuno nesvesni kako enkripcija funkcionise, i cinjenice da bio on priznat ili ne, onaj ko poseduje 'Root' certifikat, ima mogucnost da presrece i dekriptuje.

Sa stanovistva bezbednosti, daleko je bolje da ovakvo 'oruzije' bude u posedu Poste, nego strane kompanije koja cak nije ni registrovana na teritoriji Srbije.

Iz mog ugla gledano, ovo je katastrofalan udarac na bezbednost gradjana.

Cini se, slucajan, usled nedovoljnog poznavanja enkripcije od strane onih koji bi trebalo biti kompetentni.

Zelim da verujem da je tako, jer bi sve ostalo znacilo da nas tretiraju kao gomilu nepismenih ljudi, kojima se moze servirati bilo sta, a takvo vredjanje inteligencije niko ne bi voleo.

Inace, ovo se moglo resiti vrlo lako koriscenjem intermediate sertifikata, koji be E-uprava koristila za izdavanje sopstvenih sertifikata. Na ovaj nacin bi se onemogucilo presretanje od strane Comodo-a, koji poseduje ROOT certifikat, ali ne poseduje i sam sertifikat izdat koriscenjem intermediate sertifikata. Primer je Ruski portal https://sputniknews.com/ Koji je problem resio na ovaj nacin.

 

Prema nezvanicnim saznanjima, Privredna Komora Srbije, koja poseduje resurse i izuzetno kvalitetan kadar iz ove oblasti, ponudio je resenje ovim institucijama i to cak BESPLATNO, ali su odbijeni uz obrazlozenje "da nisu dovaljno bezbedni".

Zbog ovog incidenta, i cinjenice da su moguci zakonski propusti i na nivou nekih drugih zemalja cime je ugrozena bezbednost internet zajednice, pokrenuli smo inicijativu na nivou Linux Fondacije i CA/Browser Foruma, da se kao izuzetak, uvede politika za sve vladine domene bilo koje zemlje, uslov, da sertifikaciono telo mora biti registrovano na teritoriji za koju izdaje sertifikat.

Nadamo se da cemo ovom inicijativom poboljsati sigurnost internet zajednice, kako u Srbiji, tako i u ostalim afektiranim zemljama.

Leave a Reply

Close
Close

Please enter your username or email address. You will receive a link to create a new password via email.

Close

Close