5 years ago

Tchap - (nie)bezpieczny francuski rządowy WhatsApp

Tchap jest aplikacją na Androida, którą każdy użytkownik może pobrać z sklepu Google Play, jednakże nie każdy będzie mógł z niej korzystać. Aplikacja została stworzona na potrzeby wewnętrznej bezpiecznej komunikacji dla pracowników francuskiej administracji rządowej. Pomimo ciągłych prac na poprawą bezpieczeństwa aplikacja została oficjalnie udostępniona użytkownikom tydzień temu przez DINSIC (francuska międzyministerialna dyrekcja systemów informacyjnych). Chodziło o to, żeby dostęp do w miarę bezpiecznego systemu komunikacji urzędników administracji rządowej był możliwy mobilne i stacjonarnie, bez inwestowania dziesiątków milionów w infrastrukturę zabezpieczającą i urządzenia do komunikacji.

tchap.png

Czym wyróżnia się ta aplikacja od innych?

No właśnie chodzi o to, że nie wyróżnia się, powstała w oparciu o aplikację Riot.im chat z projektu Matrix.org, czyli znany od lat Open Source komunikator został zaadaptowany dla rządowych potrzeb. Celem takiego działania było uwolnienie się od potrzeby używania WhatsApp i Telegram, które było powszechne wśród rządowych pracowników. Z założenia Tchap nie ma być systemem komunikacyjnym służącym do wymiany niejawnych informacji, aplikacja działa również na prywatnych telefonach z systemem Android i wykorzystuje publiczny Internet. Ale zdaniem DINSIC, Tchap "jest komunikatorem pozwalającym pracownikom rządowym na wymianę informacji w czasie rzeczywistym na temat codziennych spraw zawodowych, zapewniając, że rozmowy pozostają prowadzone na terytorium kraju". Innymi słowy, Francuzi dbają o dyskrecję i nie chcą, żeby jakakolwiek oficjalna działalność urzędników państwowych znajdowała się poza granicami kraju szczególnie na serwerach Facebooka czy Telegramu.

2.png

Wpadka, czy celowe działanie?

Według DINSIC aplikacja jest wciąż w fazie beta, jednakże została ona udostępniona użytkownikom. Jak wspomniałem, na początku przeznaczona jest dla administracji publicznej, dlatego, żeby móc z niej korzystać trzeba posiadać adres e-mail zarejestrowany w domenie rządowej (np. gouv.fr), w założeniu twórców tylko posiadacze adresów rządowych będą mogli się rejestrować i korzystać z komunikatora. Każda aplikacja rządowa, szczególnie wypuszczona w fazie beta przyciąga uwagę zarówno hackerów, tych złych i dobrych. Francuski analityk bezpieczeństwa Baptiste Robert należy do tych drugich, w niespełna dwa dni udało mu się zarejestrować do aplikacji i uzyskać dostęp do wszystkich wewnętrznych "publicznych" grup dyskusyjnych obsługiwanych przez serwer, które z założenia miały być niedostępne dla zwykłego obywatela.

Jakiej sztuczki użył Robert

Bez wchodzenia w szczegóły, bo nie każdego to może interesować, serwery domen utworzone przez departamenty i ministerstwa francuskiej administracji rządowej, posługujące się kodem Matrix, przetwarzały adresy e-mail nowych użytkowników aplikacji w celu sprawdzenia ich zgodności z istniejącymi adresami e-mail w ramach usług katalogowych. Baptiste Robert przeprowadził analizę kodu aplikacji Tchap ogólnodostępnej w sklepie Google Play, przy użyciu narzędzia Frida proxy, zmienił zgłoszenie o nowe konto z aplikacji, aby przekazać spreparowaną wartość adresu e-mail, który przeszczepił swój własny adres na znane konto na docelowym serwerze katalogowym - presidence@elysee.fr (domena elysee.fr jest oficjalną domeną rządowa rezydencji francuskiego prezydenta). Wartość wysłana na serwer użyła symbolu @ do oddzielenia dwóch adresów (anaddress@protonmail.com@presidence@elysee.fr).

Ze względu na sposób, w jaki serwis katalogowy potwierdzał adres e-mail, odpowiadał on adresowi w drugiej połowie pary ze znanym adresem, czyli presidence@elysee.fr. Ale kod, który przetworzył adres do walidacji poczty elektronicznej po stronie serwera, został wysłany na pierwszym ważny adres, czyli anaddress@protonmail.com. Co oznacza, że Robert otrzymał odpowiedź zwrotną do potwierdzenia konta na swój prywatny (cywilny) adres e-mail, a serwer aplikacji uznawał go za poprawne konto rządowe. W przeciągu dwóch godzin od zainstalowania aplikacji analityk stał się posiadaczem zatwierdzonego konta w aplikacji, a ponieważ wszystkie konta w systemie są powiązane bezpośrednio ze służbowymi kontami poczty elektronicznej francuskich urzędników państwowych, miał on w konsekwencji dostęp do informacji o pracownikach w wielu ministerstwach.

Finał

Analityk skontaktował się z administracją pałacu prezydenckiego, a ci z kolei skontaktowali go z DINSIC. W ciągu godziny od zgłoszenia zawieszono zakładanie nowych kont w aplikacji, następnie przygotowano "łatkę", która usunęła tę podatność i nieco ponad trzy godziny później przywrócono pełną funkcjonalność aplikacji. Francuzi podkreślili, że Robert miał dostęp wyłącznie do wewnętrznych publicznych grup widocznych dla wszystkich użytkowników, nie miał natomiast dostępu do prywatnych czatów czy poufnych informacji.

Jak pokazuje ten przykład DINSIC zareagowała bardzo szybko, a deweloperzy odpowiedzialni za aplikację równie szybko poradzili sobie z łatką. Jednak prawdopodobnie jak w przypadku wielu projektów z zakresu "rządowych cyfrowej transformacji", projekt został zrealizowany i wypuszczony przy presji politycznej, przy nie wystarczającym czasie na odpowiednie zaplanowanie i wykonanie testów w zakresie bezpieczeństwa.

Swoją drogą ciekawe czy polski rząd pracuje nad podobnymi rozwiązaniami, urzędników są tysiące, nie każdy ma służbowy telefon, ale pewnie każdy ma prywatny, więc przy odpowiednim podejściu można by ich wszystkich w łatwy sposób skomunikować i nie wysyłać wszystko na serwery amerykańskie lub rosyjskie.

Post powstał w oparciu o materiały prasowe i twitterowe wyznania Baptiste Roberta aka. Elliot Alderson, zainteresowanych szczegółami odsyłam do jego artykułu na Medium.


Pierwotnie opublikowano na LesioPM. Blog na Steem napędzany przez DBLOG.

  • 96Upvotes
  • $2.76Reward
  • 3Comments

Comments

You can login with your Hive account using secure Hivesigner and interact with this blog. You would be able to comment and vote on this article and other comments.

Reply

No comments