ePUAP miał ciężką awarię. Minister mówi o systemie "bez backupu" i do zaorania
Marcin Maj, 2016-05-09
Platforma e-administracji miała w weekend ciężką awarię, a teraz ma "czkawkę". Minister cyfryzacji po raz kolejny przyznała, że system za 120 mln zbudowano kiepsko i właściwie należałoby go zaorać. Niestety nie można tego zrobić ot tak.
Pod koniec ubiegłego tygodnia miała miejsce kolejna awaria ePUAP, czyli elektronicznej państwowej platformy do załatwiania spraw urzędowych. Wiele osób powie, że to żaden news! Przecież ePUAP ma awarie niemal regularnie. On potrafi płynnie przejść z jednej w drugą. Z punktu widzenia obywatela te awarie można podzielić na "zwykłe" oraz "bardziej dokuczliwe", czyli występujące akurat wtedy, gdy musisz coś załatwić. Dobrym przykładem awarii dokuczliwej była ta z 2014 roku gdy trzeba było składać oświadczenia OFE.
Ciężkie #tangodown
Czy ta ostatnia awaria była dokuczliwa? Tak, ale była również poważna. Ta awaria jakby przelała czarę goryczy. Minister Anna Streżyńska, która przecież stara się uporządkować e-administrację, przy okazji tej awarii  "powiedziała" kilka rzeczy dających do myślenia. Słowo "powiedziała" piszemy w cudzysłowie, bo właściwie chodzi o wypowiedzi z serwisów społecznościowych.
Przejdźmy do rzeczy. 6 maja Centralny Ośrodek Informatyki poinformował na Twitterze, że "System ePUAP. zaliczył ciężkie #tangodown" i raczej nie uda się go podnieść przed niedzielą.  

Samo użycie słów "ciężkie #tangodown" wskazuje nie tylko na specyficzne poczucie humoru kogoś w COI. Tym razem awaria była naprawdę poważna. COI dodał, że wszystkie ręce były na pokładzie i trzeba było ściągnąć pewnych pracowników z weekendu. COI przypomniał też, że ePUAP został przez niego przejęty dopiero 4 kwietnia.
Nie było backupu? Co to znaczy?
Jeszcze tego samego dnia minister Anna Streżyńska napisała na Twiiterze w odpowiedzi dla pewnej kancelarii, że "mamy do czynienia z uszkodzeniem fizycznym", a ponadto jej zdaniem ePUAP "został zbudowany bez backupu".

Ta wypowiedź mogła zszokować wiele osób. Bez backupu? Czy to ma oznaczać, że ePUAP może zaliczyć awarię równie poważną jak niedawno 2be.pl? Tak w ogóle bez backupu?
Sprawę backupu już wyjaśnił Niebezpiecznik.pl. Pod facebookowym wpisem jednego z redaktorów Niebezpiecznika Anna Streżyńska wyjaśniła, że nie chodziło o tzw. "zimny" backup danych, ale o brak "gorącej" kopii środowiska. Innymi słowy ePUAP nie może w czasie awarii przełączyć się na środowisko zapasowe.
Streżyńska: "Obywatele nie mogą mieć litości"
W jeszcze innym wpisie wskazanym przez Niebezpiecznika minister Streżyńska napisała, że...
...awaria jest zbyt poważna, żeby wystarczyło pogonienie ludzi. Sposób w jaki zbudowano ePUAP może być przedmiotem habilitacji. Pisałam już kiedyś, że gdyby nie środki UE to należałoby go zaorać (...) audyt wykazał mnóstwo podstawowych błędów, niekorzystną umowę z wykonawcą, brak backupu. COI ma czas do września poprawić ten system i migrować go na stabilną infrastrukturę.
Godne uwagi było jeszcze inne spostrzeżenie pani minister.
...państwo się nie lituje nad obywatelem spóźnionym ze świadczeniem lub obowiązkiem i obywatele też nie mogą mieć nad takim systemem i jego właścicielem, czyli administracją państwową, żadnej litości. Poza tym coś, na co wyłożyliśmy 120 mln zł, musi działać bezawaryjnie; to nie są żadne grosze tylko bardzo duże pieniądze z naszych kieszeni.
Powyższy wpis zawiera pewną inspirującą myśl. Może należałoby stworzyć prawo "litujące się nad obywatelem", które np. przesuwa wszystkie terminy opłacania świadczeń w razie wystąpienia awarii ePUAP? To mogłoby działać tak. Jeśli w poprzednim miesiącu ePUAP był niedostępny przez dwie doby, termin opłacenia określonych deklaracji przesuwa się o dwa dni. Czemu nie? Być może w tej sytuacji państwo zaczęłoby się przejmować awariami?
Oczywiście to bardzo luźny pomysł, ale w jakiś sposób ciekawy.
Audyt ePUAP
W marcu wspominaliśmy w Dzienniku Internautów, że Minister Cyfryzacji zwróciła się do Centralnego Ośrodka Informatyki o przeprowadzenie audytu technicznego systemu e-PUAP. Audyt miał na celu weryfikację zakresu nieprawidłowości i możliwości i terminu ich usunięcia. Niebezpiecznik otrzymał od kogoś ten dokument i opisał niektóre jego elementy. To całkiem ciekawe.
Spytaliśmy Ministerstwo Cyfryzacji, czy i kiedy będzie można oczekiwać publikacji raportu z audytu ePUAP?
ePUAP wstał... i upadł
Dziś koło godz. 7 rano serwis ePUAP był dostępny. W chwili, gdy kończę pisać ten tekst, serwis jest niedostępny. Odwiedzający mogą zobaczyć poniższy komunikat.
Od czasu do czasu udaje się wejść na ePUAP. Najwyraźniej system "ma czkawkę".
 
http://di.com.pl/epuap-mial-ciezka-awar ... ania-54886

ePUAP miał ciężką awarię. Minister mówi o systemie "bez backupu" i do zaorania

6 maja Centralny Ośrodek Informatyki poinformował na Twitterze, że "System ePUAP. zaliczył ciężkie #tangodown" i raczej nie uda się go podnieść przed niedzielą.  Samo użycie słów "ciężkie #tangodown" wskazuje nie tylko na specyficzne poczucie humoru kogoś w COI. Tym razem awaria była naprawdę poważna.

Ta wypowiedź mogła zszokować wiele osób. Bez backupu?
Czy to ma oznaczać, że ePUAP może zaliczyć awarię równie poważną jak niedawno 2be.pl? Tak w ogóle bez backupu?
Pod facebookowym wpisem jednego z redaktorów Niebezpiecznika Anna Streżyńska wyjaśniła, że nie chodziło o tzw. "zimny" backup danych, ale o brak "gorącej" kopii środowiska. Innymi słowy ePUAP nie może w czasie awarii przełączyć się na środowisko zapasowe.

Sposób w jaki zbudowano ePUAP może być przedmiotem habilitacji.
Pisałam już kiedyś, że gdyby nie środki UE to należałoby go zaorać (...) audyt wykazał mnóstwo podstawowych błędów, niekorzystną umowę z wykonawcą, brak backupu.

Godne uwagi było jeszcze inne spostrzeżenie pani minister.
...państwo się nie lituje nad obywatelem spóźnionym ze świadczeniem lub obowiązkiem
i obywatele też nie mogą mieć nad takim systemem i jego właścicielem, czyli administracją państwową, żadnej litości.

Poza tym coś, na co wyłożyliśmy 120 mln zł, musi działać bezawaryjnie; to nie są żadne grosze tylko bardzo duże pieniądze z naszych kieszeni.

Powyższy wpis zawiera pewną inspirującą myśl. Może należałoby stworzyć prawo "litujące się nad obywatelem", które np. przesuwa wszystkie terminy opłacania świadczeń w razie wystąpienia awarii ePUAP? To mogłoby działać tak. Jeśli w poprzednim miesiącu ePUAP był niedostępny przez dwie doby, termin opłacenia określonych deklaracji przesuwa się o dwa dni. Czemu nie? Być może w tej sytuacji państwo zaczęłoby się przejmować awariami?
Oczywiście to bardzo luźny pomysł, ale w jakiś sposób ciekawy.

19/7/2016
Obejście dwuskładnikowego uwierzytelnienia w ePUAP

Autor: Marcin Maj | Tagi: COI, ComArch, ePUAP, fail, Ministerstwo Cyfryzacji  

Kosztowny państwowy system ePUAP dba o bezpieczeństwo obywateli implementując zalecane mechanizmy bezpieczeństwa. Serwis, jak przystało na kosztujący 120 milionów projekt, oferuje m.in. dwuskładnikowe uwierzytelnienie. Aby się dostać do konta, poza loginem i hasłem, od obywatela wymagany jest dodatkowy kod wysyłany e-mailem lub SMS-em. Problem w tym, że ominięcie wymogu podania kodu jednorazowego podczas logowania jest banalnie proste. Jeszcze w maju problem zgłosiliśmy do COI (Centralnego Ośrodka Informatyki działającego pod kontrolą Ministerstwa Cyfryzacji), ale pomimo wielu zapewnień, że dziurę usunięto, do dziś wymóg podania kodu jednorazowego wciąż można ominąć…

“ePUAP należałoby zaorać”

Wspominaliśmy już na łamach Niebezpiecznika, że obecna Minister Cyfryzacji najchętniej “zaorałaby” projekt ePUAP. Ze swoich źródeł wiemy, że doradcy w Ministerstwie Cyfryzacji jeszcze za czasów ministra Trzaskowskiego doradzali podobnie drastyczne rozwiązanie problemu — “wrzucenie granatu”. Niestety, to niewykonalne i na ePUAP obywatele są po prostu skazani. Trzeba go więc sukcesywnie łatać, ale jak pokazuje ta historia, nawet z tym jest duży problem…

Logowanie prawie dwuskładnikowe

Pewien Czytelnik w drugiej połowie maja zgłosił nam, że w ePUAP-ie można bardzo łatwo ominąć logowanie dwuskładnikowe. Wystarczyło wejść na stronę ePUAP, podać login i hasło, a gdy wyskoczyło okno proszące o podanie jednorazowego kodu (przesyłanego e-mailem lub SMS-em), wystarczyło to okienko zamknąć krzyżykiem… Potem trzeba było odczekać kilkadziesiąt minut i… voila! Po ponownym klinięciu na “Zaloguj” uzyskiwało się dostęp do konta bez konieczności podania kodu autoryzacyjnego.

epuap

Powodem takiego a nie innego zachowania systemu może być błędna obsługa wyjątku. System czeka X czasu na podanie kodu, a kiedy się nie doczeka, mimo wszystko kontynuuje proces logowania lub zmienia stan sesji użytkownika tak, że podczas kolejnego logowania ta sesja jest już traktowana jako uwierzytelniona.

Co ciekawe, w czasie jednego z naszych testów nastąpiło jakieś opóźnienie w wysyłaniu e-maili z kodami — e-mail z kodem w ogóle nie przyszedł. Ale dzięki wykorzystaniu luki i tak udało się uzyskać dostęp do konta!

Kilka razy w trakcie testów zdarzyło się też, że po zalogowaniu z użyciem wspomnianej luki strona ePUAP traciła fason (nie ładował się CSS). Niezależnie od tego, można jednak było wykonywać operacje na koncie.

epuap_po_zalog

Poprawka w (długiej) drodze

Będąc pewnymi co do istnienia błędu, skontaktowaliśmy się z Centralnym Ośrodkiem Informatyki (to oni są obecnie odpowiedzialni za ePUAP, choć nie oni go popsuli). Rzeczniczka COI, Katarzyna Jedlińska, powiedziała nam, że ośrodek wie o problemie i zamówił stosowną poprawkę od “zewnętrznego podmiotu”. Poproszono nas również o nieopisywanie sprawy, dopóki luka nie będzie załatana. To było jeszcze w maju.

Skończył się maj, przeleciał czerwiec, zaczął się lipiec. Mieliśmy być powiadomieni o załataniu luki, ale COI się do nas nie odezwał. Tymczasem, luka wciaż była niezałatana. 11 lipca wciąż udało nam się skutecznie zalogować do ePUAP z pominięciem wymaganego kodu jednorazowego. Wtedy też ponownie zwróciliśmy się z pytaniami do COI. Jego przedstawiciel, Marek Rozbicki, powiedział nam, że firma Comarch wreszcie przygotowała poprawkę:


Otrzymaliśmy poprawkę, która przeszła wszystkie niezbędne testy. Wdrożenie poprawki jest zaplanowane na dzień najmniej inwazyjny, będzie to sobota 16 lipca

I choć poprawka powinna być już dawno wdrożona, to w poniedziałek dalej byliśmy w stanie logować się na konto ePUAP bez podawania kodu jednorazowego. Różnica polegała na tym, że przy logowaniu w ogóle nie padało pytanie o kod jednorazowy. Wystarczyło, że podaliśmy login, hasło i zalogowało nas do systemu, mimo iż w ustawieniach konta wciąż zaznaczona jest opcja “Dodatkowo potwierdzaj logowanie do ePUAP kodami do autoryzacji”.

Dziś system znów pyta o kod jednorazowy, ale dalej można pominąć jego podawanie, dokładnie w ten sposób, jaki w maju opisaliśmy COI. Łatka Comarchu chyba mimo wszystko jednak coś naprawiła — teraz style CSS ładują się bez problemów…

Ta dziura może pomóc niektórym użytkownikom ePUAP-u doświadczającym innego błędu systemu

Skoro dziury nie da się usunąć, spróbujmy doszukać się w niej jakiegoś pozytywnego aspektu. Ta luka może przydać się osobom, które całkowicie utraciły dostęp do konta ePUAP ze względu na stratę dostępu do swojej skrzynki e-mail lub telefonu, które wykorzystały podczas rejestracji w systemie.

Problem takich nieszczęśników był poruszany w Dzienniku Internautów — w razie utraty dostępu do telefonu lub e-maila (tego używanego do autoryzacji) nie da się bowiem odzyskać swojego konta nawet idąc do urzędu i stając przed urzędnikiem. Można tylko unieważnić profil zaufany w jednym z punktów potwierdzających, następnie trzeba założyć nowe konto oraz złożyć nowy wniosek o profil zaufany, który trzeba potwierdzić kolejną wizytą w urzędzie. Niestety traci się w ten sposób dostęp do dokumentów zgromadzonych na pierwszym koncie. Osobną sprawą jest czasochłonność tej procedury.

Korzystajcie więc, póki możecie, zablokowani użytkownicy ePUAP-u. Po ominięciu dwuskładnikowego uwierzytelnienia, wyłączcie je w ustawieniach konta — możecie to zrobić bez dostępu do telefonu i e-maila. Potem na spokojnie możecie zgrać dokumenty z konta.

Pozorne zabezpieczenia w ePUAP…

“Niezałatanie” luki zajęło COI i Comarchowi dokładnie 54 dni od czasu, gdy my się o niej dowiedzieliśmy. Sama luka istniała jednak już wcześniej i została do ePUAP-u zgłoszona przez naszego czytelnika. Zdajemy sobie sprawę, że logowanie dwuskładnikowe nie jest obowiązkiem na ePUAP, niemniej część użytkowników życzy sobie tego dodatkowego zabezpieczenia i nie jest dobrze, jeśli to zabezpieczenie jest jedynie pozorne.

Na koniec przypomnijmy, że Ministerstwo Cyfryzacji zleciło audyt systemu ePUAP. Wykazał on wiele nieprawidłowości, które opisaliśmy w artykule “ePUAP należałoby zaorać“, bazując na fragmentach ministerialnego raportu, jakie wpłynęły do redakcji Niebezpiecznika.

Jakiś czas temu, członek stowarzyszenia Sieć Obywatelska, Karol Breguła (vel Adam Dobrawy) złożył wniosek o dostęp do informacji publicznej, którego celem było pozyskanie pełnego raportu z wspomnianego wyżej audytu. Z Ministerstwa Cyfryzacji Karol otrzymał ocenzurowaną kopię raportu, bez podania podstawy prawnej usunięcia poszczególnych fragmentów. Z tego powodu, Karol złożył skargę do sądu, w odpowiedzi na którą otrzymał od pełnomocnika COI pismo, w którym COI twierdzi, że adres e-mail Karola według CERT i McAfee jest w złośliwej domenie .tk, a w dodatku utrzymuje on kontakty z hackerspace.pl (brzmi groźnie, prawda?).

missing_filename
missing_filename-1

Idąc tym tokiem myślenia, ostrzegamy, że BMW to samochód gangsterów. A Karolowi radzimy pobranie plakietki McAfee “Hackerproof” — wystawiają ją każdemu. Jej wstawienie na stronę powinno udowodnić, że domena jest wolna od zagrożeń. O ile oczywiście pełnomocnicy COI nie mają w umysłach zahardcodowanego regexa, że każde wystąpienie ciągu .*hacker.* == zło. Gdyby mieli, to do każdego pisma sugerujemy dołączać ten kamień antywirusowy (działa, potwierdzone info!)

Przeczytaj także:
•* Centralny Ośrodek Informatyki widzi zło w Hackerspace’ach domenach .tk
•[Aktualizacja] Kolejna awaria ePUAP-u. Minister Cyfryzacji: projekt należałoby zaorać, gdyby nie środki z UE
•* ePUAP(ka)

Skoro dziury nie da się usunąć, spróbujmy doszukać się w niej jakiegoś pozytywnego aspektu. Ta luka może przydać się osobom, które całkowicie utraciły dostęp do konta ePUAP ze względu na stratę dostępu do swojej skrzynki e-mail lub telefonu, które wykorzystały podczas rejestracji w systemie.

Problem takich nieszczęśników był poruszany w Dzienniku Internautów — w razie utraty dostępu do telefonu lub e-maila (tego używanego do autoryzacji) nie da się bowiem odzyskać swojego konta nawet idąc do urzędu i stając przed urzędnikiem. Można tylko unieważnić profil zaufany w jednym z punktów potwierdzających, następnie trzeba założyć nowe konto oraz złożyć nowy wniosek o profil zaufany, który trzeba potwierdzić kolejną wizytą w urzędzie. Niestety traci się w ten sposób dostęp do dokumentów zgromadzonych na pierwszym koncie. Osobną sprawą jest czasochłonność tej procedury.

Korzystajcie więc, póki możecie, zablokowani użytkownicy ePUAP-u. Po ominięciu dwuskładnikowego uwierzytelnienia, wyłączcie je w ustawieniach konta — możecie to zrobić bez dostępu do telefonu i e-maila. Potem na spokojnie możecie zgrać dokumenty z konta.

Otrzymuje się dziwną paczkę , która może zawierać kilka załączników i dotyczyć 1 (z kilku załączników) lub 100 TW (z jednego lub kilku załączników zip ). To się bardzo źle obrabia i integruje z żadnym programem w US.