Webgalamb sérülékenység: a fejlesztő szerint biztonságos a rendszer

Webgalamb sérülékenység: a fejlesztő szerint biztonságos a rendszer

Január elején a Kiberblog publikálta, hogy az angol nyelvű Full Disclosure lista egyik felhasználója több súlyosnak tűnő sérülékenységet is talált a Webgalamb hírlevélküldő szolgáltatásban. A Webgalambot számos hazai webshop használja, ezért a felfedezett hiányosságok akár komoly problémát okozhatnak számos webkereskedőnek. A szolgáltatás fejlesztői szerint a helyzet nem ennyire súlyos, és már befoltozták a biztonsági réseket.

Daniel Jones eredeti publikációjára hivatkozva a Kiberblog több konkrét támadási lehetőséget felvázol. Többek között azt állítják, megkerülhető a rendszer hitelesítése, miáltal hozzá lehet férni az összes felhasználó adataihoz, adott esetben akár az adminisztrátor gépéhez, vagy azon keresztül akár a teljes céges hálózathoz. Azt is hozzáteszik, hogy a támadó akár fájlokat is feltölthet a hírlevélküldő szerverre, ezáltal a szervert akár malware terjesztésére is felhasználhatják. A blogposzt arra is kitér, hogy a javításról, illetve az érintett ügyfelek értesítéséről egyelőre semmit nem lehet tudni.

Az ügyben információkat kértünk a Webgalambot fejlesztő E.N.S. Informatikai és Rendszerintegrációs Zrt-től. Kérdéseinkre Daróczi Gábor termékfejlesztési igazgató válaszolt.

A Kiber blog szerint elismertétek ezeket a sérülékenységeket, ezt meg tudjátok-e erősíteni?

Részünkről a sajtóval, így a kiber.blog.hu-val semmiféle kommunikáció nem volt a cikkük megjelenése előtt. Meglátásunk szerint egy etikus szerzőnek kötelessége lenne az állításai valódiságáról előzetesen meggyőződni, és még a publikáció előtt megkeresni a cikkben érintett szoftvertermék kiadóját. Természetesen, ha ilyen megkeresést kaptunk volna, soron kívül válaszolunk, és elmondtuk volna, hogy már régen publikáltuk a sérülékenységek javítását.

A kiber.blog.hu kiadójával már felvettük a kapcsolatot, kérve a sajtóhelyreigazítást. Bízunk benne, hogy legalább utólag etikus hozzáállásnak nézünk elébe, és mielőbb a valóságnak jobban megfelelő tartalom jelenhet meg a blogon.

De ezek szerint valóban fennálltak ezek a sérülékenységek?

Az eredeti, angol nyelvű anyag szerzőjétől valóban kaptunk értesítést vélt sérülékenységekről, ezeket azonnal, még a tavalyi évben soron kívül megvizsgáltuk, és intézkedtünk is a javítások elkészítéséről.

Az első teljeskörű javítócsomag (hotfix), már 2018. november 13-án elérhető volt a felhasználók számára. Ez önmagában megoldott minden felmerült problémát, még hónapokkal azelőtt, hogy egyáltalán a vélt sérülékenységek nyilvánosságra kerültek volna.

Másrészt a kiadott gyorsjavítás után elkészítettünk és 2019. január 7-én kiadtunk egy újabb frissítést, ami számos kényelmi, illetve funkciójavítás mellett ismételten tartalmazza a biztonsági frissítéseket. Ezzel egyrészt még vonzóbbá szerettük volna tenni a felhasználók számára a telepítést, másrészt ez a véglegesnek szánt telepítőcsomag már olyan megoldásokat tartalmaz, ami nem csak kizárja a visszaélést, de egy magasabb szintű technológiai választ ad a felmerült problémákra. Ez a verzió az, amelyikről a továbbiakban a bejegyzést szerző hackerrel, illetve más szakmai szereplőkkel egyeztetünk, de ez egy külön háttérfolyamat.

Készült-e közlemény az ügyfelek számára, amelyben tájékoztattátok őket a helyzetről?

Mivel mi magunk is rendszeresen készítünk hibajavításokat, funkcionális és biztonsági területen, ezekről a megszokott módon a Webgalamb szoftverén keresztül értesítettük a felhasználókat. A Webgalambba belépve a felhasználó azonnal és automatikusan értesül arról, hogy frissítés érhető el, valamint arról is, hogy az mit tartalmaz.

A felhasználók védelme érdekében addig nem állt szándékunkban a sajtót bevonni a tájékoztatásba, amíg nem győződtünk meg arról, hogy a felhasználók a lehető legteljesebb körben frissítettek, vagy megoldották ettől függetlenül az előírtaktól eltérő program, illetve szerverbeállításokat.

Mivel a január elején megjelent, túlzó blogposzt hatására felkapottá vált az ügy, ez rendkívüli intézkedésre is okot adott, ezért az az ügyfeleinket közvetlenül, emailben is értesítettük, amelyben külön felhívjuk a figyelmüket a frissítés telepítésének szükségességére. Emellett további tájékoztatást is végzünk folyamatosan telefonon, közösségi médián keresztül, gyakorlatilag bárhol annak érdekében, hogy mindenkit megnyugtassunk. E körben szeretnénk kiemelni és megköszönni az ügyfeleink és a szakma részéről is azt az általánosnak mondható korrekt hozzáállást, hogy támogatnak bizalmukról és erős kritikával kezelik a megjelent információkat, érzékelve benne a sajtószenzációt.

Mennyire súlyos problémát jelentenek ezek a sérülékenységek az ügyfelek számára?

Az a helyzet, hogy a közlésben szereplő sérülékenységek egymásra épülnek, kvázi dominó elven. Csakhogy az érvelés legelején egy olyan állítás szerepel, ami nem egzakt: feltételezésre, nem bizonyítottságra épül, speciális esetekben, kivételesen igazolható. Ha ezt kihúzzuk a képletből, a többi állítás is megdől.  Ezen kívül az eredeti riport is megemlíti, hogy sok esetben a Webgalamb-tulajdonosok sem jártak el helyesen a rendszer beüzemelésekor, amivel elismeri, hogy ez a figyelmetlenség jelentősen megkönnyíti, illetve lehetővé teszi az esetleges visszaélést.

Ezzel együtt természetesen mind a szakmai kétségeket, mind a lehetséges kritikákat félretéve valamennyi közölt sérülékenységeket időben kijavítottuk, elsősorban az ügyfeleink védelme érdekében, másodsorban pedig szakmai elkötelezettségből, és – bevalljuk – szakmai hiúságból.

Azt ugyanakkor el kell ismerni, hogy nagyon ügyes, jó észrevételeket kaptunk, amik a többszintű belső ellenőrzési folyamatok, illetve a külső biztonságtechnikai szakértők által elvégzett audit sem tárt fel, és így különösen elismerésre érdemes.

A konkrét eset kapcsán milyen tennivalója van az ügyfeleknek?

Ügyfeleinknek ettől az esettől függetlenül is mindig azt tanácsoljuk, hogy a szoftver frissítéseket rendszeresen telepítsék, hasonlóan az élet más területén használt szoftverekhez. Azt is mindig kiemeljük, hogy kizárólag olyan tárhelyre telepítsék a webgalambot, ami biztonságtechnikailag helyesen konfigurált, jól karbantartott és rendszeresen ellenőrzött. Természetesen lehetőséget biztosítunk arra is, hogy az ügyfeleink a Webgalamb példányaikat nálunk, a saját infrastruktúránkon üzemeltessék. Így egyszerűbb a működtetés, mivel díjmentesen telepítjük számukra a programot, hibajegy, támogatás kérése esetén teljeskörűen tudunk segíteni, külső körülményektől mentesen, nem kell külső cégre várni.

Jelenleg tehát a legfontosabb tennivaló, hogy mindenki telepítse a frissítés, és legalább webgalamb 6.0.4, vagy 7.0.2 verzióval rendelkezzen. Azok az ügyfelek, akik ettől alacsonyabb 4.X, vagy 5.X főverzióval rendelkeznek, mindenképpen keressenek meg minket, hiszen nekik ettől a mostani ügytől függetlenül is számtalan okból kell frissíteni. Ezek a verziók biztonsági támogatással már nem csak nálunk, hanem a futtatást végző keretprogramok oldaláról sem rendelkeznek, így biztonságosan nem üzemeltethetők.

A felhasználókat ezen kívül csak a szokásos odafigyelésre bíztatjuk: a munkájuk végeztével jelentkezzenek ki a programból, a hozzáféréseiket ne adják ki másoknak, a jelszavukat úgy válasszák meg, hogy az ne legyen könnyen kitalálható, ne mentsék el, az ne egyezzen meg más jelszavaikkal (különösen ne a postafiók jelszavukkal), illetve semmiképpen ne adják meg azt adathalász oldalakon. Mi sosem végzünk adategyeztetést a Webgalambon kívüli csatornán, ezért ha valaki ilyesmivel próbálkozik a nevünkben, az biztosan kárt akar okozni.

Biztonsági probléma esetén ki a felelős?

Egy webáruház tulajdonosa számára fontos szempont, hogy ha egy szoftver sérülékenysége miatt adatvédelmi incidens történik, akkor azért kit terhel a felelősség. Dr. Székely Gergely ügyvéd, a Székely Legal alapító partnere szerint ez attól is függ, hogy az adott szoftver felhőből, folyamatosan nyújtott szolgáltatásként érhető el (Software-as-a-Service, SaaS), vagy pedig az e-kereskedő megvásárolja, és saját szervére telepítve üzemelteti a szoftvert.

Bár mindkét esetben a webáruház az adatkezelő, és a vásárlók felé nekik kell felelősséget vállalnia, ugyanakkor az SaaS modellben a szoftverszolgáltatást nyújtó cég adatfeldolgozóként jelenik meg. Az adatkezelő és feldolgozó viszonyát a GDPR precízen szabályozza, vagyis a kettejük között létrejövő szerződésnek rendelkezésben rögzített kötöttségei vannak. Például az adatfeldolgozó nem háríthatja át a teljes felelősséget az adatkezelőre, a saját szolgáltatásának hibáiért ő maga felel.

Egy szoftver megvásárlása és saját üzemeltetése esetén már más a helyzet. Ezen a téren 2014. március 15. óta nagyobb a szerződési szabadság, ezért a szerződő feleken múlik, hogy milyen szavatossági és felelősségi feltételekben állapodnak meg. A szoftver fejlesztője ilyenkor általában arra törekszik, hogy a szoftver funkcionalitásáért vállaljon garanciát, az adatvédelmi felelősséget viszont áthárítsa arra hivatkozva, hogy nem ő üzemeltet, ezért egy adatszivárgás akár tőle teljesen függetlenül is megtörténhet.

Egy ilyen szerződés aláírása előtt nagyon fontos, hogy a cég üzleti vezetője és jogi szakértője együtt végezzenek egy kockázatelemzést. Egyrészt azt kell mérlegre tenni, megéri-e megkötni egy olyan megállapodást, amelyben a felelősség limitáltan vagy sehogy sem hárítható át. Másrészt pedig azt, hogy ha a felelősség áthárítható, akkor elegendő-e a kártérítés mértéke, illetve az adott cég méretét, megbízhatóságát tekintve reálisan érvényesíthető lesz-e a követelés vele szemben – mondta dr. Székely Gergely.

mm
Juhász György

A Kosárérték vezető szerkesztője, a Tartalomgyár egyik alapítója. Húsz évet dolgozott médiában, többek között az Origo.hu főszerkesztő-helyetteseként és a Ringier Kiadó online divíziójának vezetőjeként.

Üzenet a szerzőnek

Kérdésed van?
Hozzászólnál?

Vedd fel a kapcsolatot a szerzővel, várjuk az üzenetedet!