MICHAL DENÁR  michal.denar@ceska-trebova.cz

JOSEF MORAVEC  josef.moravec@gmail.com

(Velký test kvalitativní úrovně zabezpečení online knihovních katalogů v ČR)

V době, kdy knihovny každodenně obhajují své místo v informační společnosti, hraje důležitou roli také schopnost instituce udržet krok s technickým pokrokem, a především zachování vysoké míry důvěryhodnosti. Takových cílů lze dosahovat různě. V tomto textu se zaměříme na dílčí opatření v online prostředí, konkrétně použití zabezpečeného protokolu HTTPS a proaktivní nastavení pro zabezpečení webových aplikací proti jejich zneužití. Nejde o nějaké technické zbytečnosti, jak by se snad mohlo zdát. Každý provozovatel online aplikace, který to myslí s ochranou informací svých uživatelů vážně, by je měl již používat. Knihovny by neměly být výjimkou, pokud si chtějí udržet stávající míru reputace.

O co jde a proč se tomuto tématu věnovat?

Pravděpodobně se shodneme, že veřejná síť internet je úžasný prostor, který nabízí nepřeberné množství užitečných služeb. Denně v této síti putuje jen těžko představitelné množství informací. Část z nich má povahu osobních údajů či dokonce citlivých údajů. Minimálně tato část síťového provozu si zaslouží zvlášť pečlivé zacházení, protože jakékoli neoprávněné přečtení takových informací může mít pro jejich majitele neblahé následky. A provozovateli služby, která takovému úniku informací nezabránila, hrozí nejen nechtěná publicita, ale kvůli GDPR pravděpodobně i zájem Úřadu pro ochranu osobních údajů. Bavíme se totiž o osobních datech, finančních informacích, ale i například o přihlašovacích údajích a heslech. Pokud informace protékají sítí v nezašifrované podobě, mohou je číst neoprávněně třetí osoby a případně je i zneužít. Odcizené uživatelské údaje jsou poměrně často předmětem nelegálního obchodu a nezřídka se používají k další činnosti za hranou zákona. Část uniklých údajů se nakonec objeví online, jako se to loni stalo portálu Mall.cz.¹

Knihovny na svých webových stránkách a především prostřednictvím online katalogů poskytují elektronické služby. Při tom dochází také ke zpracovávání osobních údajů uživatelů. Pokud knihovny chtějí udržet doposud vysokou míru důvěryhodnosti, musí věnovat odpovídající pozornost zabezpečení svých online aplikací a datového provozu.

Internetové prohlížeče již dnes poměrně jasně informují v adresním řádku uživatele o stavu zabezpečení (zeleným zámkem nebo slovem „zabezpečeno“) a například prohlížeč Google Chrome od verze 68 (vyšla 24. 7. 2018) dokonce začal označovat webové stránky bez HTTPS štítkem „nezabezpečeno“. Každý uživatel tedy na první pohled vidí, je-li komunikace s danou stránkou či službou chráněná. Po rozkliknutí detailu prohlížeč uživatele varuje, aby nezadával na dotčený web žádné citlivé a osobní údaje nebo hesla. Je zjevné, že tato a podobná varování důvěryhodnost provozovatelů webových stránek příliš neposilují.

Plošné testování online katalogů knihoven

Obr. 1: Příklady označení nezabezpečených a zabezpečených webových stránek prohlížečem Google Chrome (od verze 68)

Způsoby testování

Naším plánem bylo postupně otestovat co nejvyšší počet knihovních katalogů a zjistit u nich nejen přítomnost protokolu HTTPS, ale zároveň otestovat kvalitu použitého certifikátu a úroveň nastavení serveru.

Vzhledem k vysokému počtu odkazů bylo nutné použít automatizovanou metodu. Částečně jsme se inspirovali u projektu Hlídač státu, který se věnuje mimo jiné také testování úrovně zabezpečení portálů státní správy.³ Stejně jako tento projekt jsme využili online nástroj SSL Server Test⁴, který zdarma poskytuje společnost Qualys, a dalším užitým prostředkem se stala Mozilla Observatory.⁵ Ta umožňuje získat představu o nastavení webových serverů a použitých preventivních opatřeních proti nejčastějším typům hackerských útoků.

Z různých zdrojů jsme sestavili seznam adres 2038 katalogů a z nich vybrali domény nebo subdomény, které jsou svázány s unikátním SSL certifikátem. To v praxi znamenalo, že jsme odstranili například dílčí adresy regionálních katalogů, které fungují na jednom serveru a používají jednu URL adresu. V seznamu je reprezentuje jedna „hlavní adresa“.

Protože jsou důvěryhodné certifikáty svázány vždy s konkrétní doménou, nebylo možné otestovat ani desítky katalogů používajících místo doménových jmen IP adresy. Seznam se takto zredukoval na 779 položek. Obsahuje katalogy knihoven místních, městských, krajských a také několika speciálních. Abychom mohli posoudit vývoj v čase, proběhlo testování ve dvou kolech: na konci února a v polovině června 2018.

Metodika hodnocení

Každý testovaný katalog získával body za dílčí testy a na základě výsledného počtu byl ohodnocen v obou testech písmeny „A“ až „F“ (ekvivalent známky výborně až nedostatečně). Server test zjišťoval především podporu šifrovacích protokolů (Protocol support), délku použitého klíče (Key exchange aspect) a sílu šifry (Cipher Strength). Mozilla Observatory hodnotila způsob práce s cookies, implementovanou podporu mechanismu HSTS⁶ a ochranu před některými praktikami hackerů. Podrobné informace pro technicky zdatné zájemce jsou k dispozici v anglické dokumentaci SSL Server Testu⁷ a Mozilla Observatory.⁸

Výsledky serverového testu SSL Labs

Aktuálním globálním trendem je masivní opouštění nezašifrovaného protokolu HTTP. Podle statistik počtu načtených stránek v prohlížečích Chrome⁹ se objem datového provozu přeneseného zašifrovaně přes HTTPS pohybuje kolem 70 %. Rok po vydání doporučení ÚKR, ve kterém vyzvala k přechodu na HTTPS, české knihovny za globálním trendem stále výrazně zaostávají. Kdo by očekával, že dnes již bude většina katalogů zabezpečovat spojení mezi nimi a uživatelem, bude pravděpodobně skutečným stavem překvapený.

Poslední červnové testování ukázalo, že pouhých 109 ze 779 (necelých 14 %) katalogů získalo v testu certifikátů (SSL Labs) hodnocení „A“ nebo lepší, naopak drtivých 571 (cca 73 %) používá nadále nešifrovaný protokol. Zajímavostí je, že 19 katalogů sice již používá HTTPS, ale certifikát či webserver jsou nastaveny nevhodně a jejich hodnocení bylo „F“. V uživatelích takové katalogy vzbuzují falešný pocit bezpečí v podobě zeleného zámku zobrazeného v adresním řádku, ale ve skutečnosti přenášeným informacím poskytují ochranu jen velmi chatrnou. Jedna knihovna využívá k zabezpečení katalogu certifikát, kterému nedůvěřuje žádný z aktuálních prohlížečů, což při načtení katalogu uživatele spíše mate. Je totiž informován o tom, že certifikát je nedůvěryhodný, a je vyzván k opuštění stránek. Případně musí potvrdit, že souhlasí s použitím takového certifikátu. Třiadvacet knihovních katalogů používalo certifikáty, kterým v září 2018 přestávají důvěřovat prohlížeče Google Chrome a Mozilla Firefox (a pravděpodobně i další). Certifikační autorita¹⁰, která je vystavovala, totiž porušila stanovená pravidla, prohlížeč proto bude uživatele na použití takového nedůvěryhodného certifikátu upozorňovat.

Čísla z obou cyklů měření ukazují na snahu HTTPS zavádět. V červnu počet dosaženého hodnocení „A“ vzrostl na 90 z 58 v únoru. Za hraničně pozitivní výsledek lze považovat i nárůst počtu „B“ (ze 7 na 63 případů). Tím však dobré zprávy bohužel končí. Narostl totiž počet nesprávně nastavených serverů s hodnocením „C“ a „F“. Hodnocení „C“ se převážně týkají katalogů, které využívají komerčně vydávané certifikáty s dlouhou dobou platnosti (dva nebo tři roky). Výsledky dokazují, že taková doba je příliš dlouhá a certifikáty mohou mít problém vyhovět měnícím se bezpečnostním požadavkům. Čím dál častěji totiž dochází k objevům nových bezpečnostních děr, na které musí nastavení serverů či dokonce samotné certifikáty reagovat. S tímto fenoménem se vypořádávají například bezplatně vydávané certifikáty Let‘s Encrypt¹¹ tím, že se obnovují automaticky již po třech měsících.

Abychom získali přesnější představu o tom, jak jsou na tom katalogy českých knihoven v zavádění protokolu HTTPS ve srovnání s globálním trendem, porovnali jsme je s výsledky všech 138 874 testů uskutečněných na SSL Labs za měsíc červen 2018¹² – 59,2 % tamtéž otestovaných certifikátů získalo hodnocení „A“ a lepší. Stejnou známku získalo pouze již zmíněných 13,9 % českých knihovních katalogů. Hodnocení „B“ je pak v poměru 8,1 % ku 22,6 % v neprospěch našich knihoven.

 

Obr. 3: Graf ukazující dosažené hodnocení při obou kolech testování 

Výsledky testu Mozilla Observatory

Parametry nastavení serverů, které tento test prověřuje, mohou – při správném použití – přispět ke zvýšení úrovně zabezpečení webových aplikací. V praxi je to pomyslný další krok po úspěšném nasazení protokolu HTTPS. Následující tabulka ukazuje naměřené výsledky z obou běhů:

Přímo na stránkách projektu mohou zájemci zjistit, jak výsledky svých katalogů vylepšit. Případně je možné inspirovat se některým z návodů¹³, kterých je na internetu nepřeberné množství.

Co s tím?

Nepříliš lichotivé výsledky testování mohou mít řadu příčin. Rozhodně se na nich podílí nedostatek odborníků, kteří by přímo v menších knihovnách byli schopni zajišťovat údržbu, rozvoj a bezpečnost IT systémů. Podle vyjádření několika knihovníků jsou časté také „kompetenční“ spory o to, kdo se o zabezpečení katalogu má postarat v situaci, kdy knihovní systém/katalog dodává firma a server spravuje například zaměstnanec zřizovatele knihovny. Tyto a další podobné otázky bude nutné řešit stále častěji, protože zajištění bezpečnosti systémů a jejich technologický rozvoj vyžadují neustálou evaluaci a rychlé řešení zjištěných nedostatků. V sázce je i schopnost knihoven udržet si potřebnou budoucí technologickou úroveň a alespoň minimální míru inovací, které umožní reagovat na vývoj úrovně služeb poskytovaných v oblasti zpřístupňování informací a trávení volného času.

V každém případě by se vedení knihoven, které zatím HTTPS nepoužívají, mělo zasadit o jeho urychlené nasazení a následné otestování kvality certifikátů. Technicky jde o stav, který lze řešit poměrně snadno, a zavedení šifrování komunikace nevyžaduje ani vysoké finanční náklady. Zvláště pokud bude využito řešení Let’s Encrypt.

Doporučení lze shrnout do několika kroků:

— nasadit HTTPS tam, kde dosud není;

— otestovat kvalitu certifikátu (např. na https:// www.ssllabs.com/ssltest/);

— opravit případné problémy s certifikátem;

— otestovat nastavení serveru (např. na https:// observatory.mozilla.org/);

— opravit případné problémy s nastavením serveru.

Následné pravidelné testování by mělo být součástí běžné správy.

Ačkoli projekt plošného testování vznikl původně jako volnočasový vedlejší produkt ověřování kvality webových projektů našich domovských knihoven, považujeme jej za funkční a jeho výsledky za průkazné. Protože oblast bezpečnosti v knihovnách vnímáme jako důležitou a máme k dispozici vyzkoušené funkční řešení, chceme se k testům v budoucnu vracet. Bude-li ze strany knihovnické komunity zájem o zveřejnění dalších výsledků, rádi tak učiníme. Předpokládáme, že do konce roku 2018 proběhne minimálně ještě jedno kolo plošného testování.

1  Viz např. https://technet.idnes.cz/mall-heslo-hacker-0eb-/sw_internet.aspx?c=A170828_104617_ekonomika_bur

2  https://ipk.nkp.cz/docs/legislativa/Prechodzhttpnahttps_Doporuceni_UKR_2017.pdf

3  https://www.hlidacstatu.cz/StatniWeby/Https

4  https://www.ssllabs.com/ssltest/

5  https://observatory.mozilla.org/

6  Více o tomto mechanismu např. zde https://cs.wikipedia.org/wiki/HTTP_Strict_Transport_Security

7  https://github.com/ssllabs/research/wiki/SSL-Server-Rating-Guide

8  https://github.com/mozilla/http-observatory/blob/master/httpobs/docs/scoring.md

9    Viz https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html?m=1

10  Viz https://www.bleepingcomputer.com/news/security/google-outlines-ssl-apocalypse-for-symantec-certificates/

11  Viz https://letsencrypt.org/how-it-works/

12  Více na https://dev.ssllabs.com/ssl-pulse/

13  Viz například https://bit.ly/2A7UeYs