Εντοπισμός αδυναμίας στην ιστοσελίδα του TaxisNet από τον «lmator»

Με στόχευση εναντίον της Γενικής Γραμματείας Πληροφοριακών Συστημάτων (ΓΓΠΣ) έκανε το «ντεμπούτο του» ο νεοεμφανιζόμενος hacker με το ψευδώνυμο «lmator».
Σύμφωνα με πληροφορία που απέστειλε ο «lmator» στη συντακτική ομάδα του SecNews και την οποία μεταδίδουμε με κάθε επιφύλαξη μιας και δεν την έχουμε επιβεβαιώσει μέχρι αυτή την στιγμή, ο «Imator» εντόπισε αδυναμία XSS στην ιστοσελίδα πρόσβασης της Γενικής Γραμματείας Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών. Είναι γνωστό οτι η Γενική Γραμματεία Πληροφοριακών Συστημάτων έχει υλοποιήσει και λειτουργεί παραγωγικά το Ολοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας, γνωστό ως TAXIS (TAX Information System). Το TAXIS αποτελεί το μεγαλύτερο έργο πληροφορικής στην Ελλάδα.

Όπως διαβάζουμε στην ιστοσελίδα της Γενικής Γραμματείας, η τεχνολογική υποδομή του TAXIS αποτελείται από ένα ολοκληρωμένο on line δίκτυο 282 περιφερειακών υπολογιστών (ένας υπολογιστής-server για κάθε Δ.Ο.Υ.), 8.600 θέσεων εργασίας κατανεμημένων στις Δ.Ο.Υ. ανάλογα με το μέγεθός τους και ενός κεντρικού υπολογιστικού εξοπλισμού στη Γ.Γ.Π.Σ. Οι εφαρμογές του TAXIS δημιουργήθηκαν με σκοπό να αυτοματοποιήσουν και να μηχανογραφήσουν το σύνολο των εργασιών των Δ.Ο.Υ. και εγκαταστάθηκαν σταδιακά σε παραγωγή από το Μάρτιο του 1998 έως τον Σεπτέμβριο του 2001 στο σύνολο των Δ.Ο.Υ. (282).

Σύμφωνα με τον «lmator», ο ίδιος χρησιμοποίησε κατάλληλα ρυθμισμένο proxy μεταξύ server-client όπου με κατάλληλη τροποποίηση των δικτυακών αιτημάτων (web requests) διαπίστωσε την ύπαρξη XSS αδυναμίας. Σύμφωνα με τον «lmator» η αδυναμία επιβεβαιώνεται απο τα παρακάτω Screenshots που μας απέστειλε:

Με κατάλληλες επιλογές και ρυθμίσεις στο Search Bar της ιστοσελίδας όπως δηλώνει o «lmator» επέστρεψε το κάτωθι αποτέλεσμα στην ιστοσελίδα της ΓΓΠΣ:

To SecNews διαπίστωσε την αδυναμία XSS στην ιστοσελίδα. Οφείλουμε να παρατηρήσουμε οτι είναι η πρώτη φορά που Hacker αναφέρει εντοπισμό αδυναμίας στην ιστοσελίδα του TAXIS. Όπως έχουμε τονίσει επανειλημμένα οι επιθέσεις XSS, από μόνες τους, μπορεί να μην είναι ιδιαίτερα σημαντικές και να μην αποτελούν άμεσο κίνδυνο για την ιστοσελίδα. Σε ιστοσελίδες συγκεκριμένης κατηγορίας όμως (όπως Τράπεζες, Μηχανές αναζήτησης, Συστήματα με προσωπικά δεδομένα χρηστών ή συστήματα Booking κ.α.) όπου μέσω XSS μπορεί να επιτευχθεί Phising με ταυτόχρονη ανακατεύθυνση επισκεπτών προς κακόβουλους προορισμούς, πρέπει να λαμβάνονται σοβαρά υπόψη και να επιδιορθώνονται άμεσα.
Το ανησυχητικό στην συγκεκριμένη περίπτωση,σύμφωνα με δήλωση του Έλληνα Hacker «Imator» είναι πως θεωρεί ότι με παρόμοιο τρόπο μπορεί να τροποποίησει αρχεία στον Server της ΓΓΠΣ, κάτι που όμως δεν έχει πραγματοποιήσει, όπως αναφέρει, μέχρι τώρα.Αξίζει να σημειωθεί οτι ο «lmator»μάλιστα δηλώνει ενεργό μέλος των Anonymous.
Το SecNews δεν μπορεί να επιβεβαιώσει την παραπάνω πληροφορία δηλαδή αν είναι εφικτή η αλλοίωση δεδομένων στον εξυπηρετητή και άρα το μεταφέρουμε με κάθε επιφύλαξη μιας και δεν μας έχει κοινοποιηθεί κάτι τέτοιο μέχρι στιγμής. Θεωρούμε ότι μετα την κοινοποίηση της παραπάνω αδυναμίας οι αρμόδιοι διαχειριστές της ιστοσελίδας πρέπει να εστιάσουν στην επίλυση της αδυναμίας που υποδυκνείει ο hacker στο Search bar της ιστοσελίδας.

http://www.secnews.gr/