Socialdemokraternas itsäkerhet= Ett hot mot rikets säkerhet?

Som alla andra svenskar har jag följt debatten vad gäller den sä kallade spionskandalen och naturligtvis är det mycker allvarligt att ett etablerat politiskt parti som Folkpartiet ängnar sig åt en sådan verksamhet.

Dock ser jag i egenskap av itsäkerhetskonsult även en annan allvarlig sida av debatten.Socialdemokraterna sitter vid makten och leder Sverige idag. Därmed förvaltar dom naturligtvis känslig information i sina system. Ett av dom systemen är ju intranätsportalen SAPnet. Det är ju denna som utnyttjats i spionerihärvan.

SAPnet är direkt exponerad mot internet och kan accessas från vilken dator som helst i hela världen. Autenticeringsmekanismen som används är klassiskt användarnamn/lösenord. Dessutom i dess svagaste form. Det framgår av utredningen att det inte ställs några som helst kvalitetskrav på lösenorden och att dom mycket sällan eller aldrig behöver bytas ut.

Det är ju allmänt känt i itbranchen sen flera år att denna lösenordsimplementation är rent förkastlig och den skall ju inte ens användas intent. Socialdemokraterna har denna lösning exponerad på internet, nåbar från alla internetanslutna datorer i hela världen.
Att det under lång tid varit möjligt att komma åt känslig information från Socialdemokraternas nät genom att surfa in på SAPnet (http://fc.sap.se/) och ange användarnamnet "sigge" med lösenordet "sigge" är ju näst intill en skandal!

Jag vill lyfta upp ett par frågor till bordet ang. detta:

1) Hur svårt hade det varit att ta sig in i systemet utan att någon ens hade lämnat ut lösenordet till att börja med?

Svar: Mycket enkelt. En automatiserad inloggningsattack där en ordlista med svenska namn och motsvarande lösenord hade knäckt detta konto på kort tid. Färdiga verktyg och ordlistor finns att ladda ner gratis från internet* (Se slutet av inlägget). Vidare kan man ju logga in från vilken dator som helst så det är ju direkt möjligt att betrodda partimedlemmar loggat in från internetcaféer och andra publika eller lånade datorer där tangentbordstryckningarna enkelt kan spelas in och därmed läsa ut användarnamn och lösenord.

2) Var och är detta det enda kontot i systemet med dåligt lösenord?

Svar: Sannolikt inte. Mina erfarenheter som säkerhetskonsult säger mig att när det inte finns tekniska krav på starka lösenord tenderar över 50% att vara mycket lättgissade. Detta skulle innebära att ett stort antal viktiga konton är enkla att bryta sig in i, och sannolikt har exponerats under lång tid.

Vidare ställer jag mig frågan: Om nu en icke speciellt datakunnig ungdomspolitiker kommit över detta konto, hur stor sannolikhet är det då att exempelvis främmande makt haft åtkomts till systemen?

Om Socialdemokraterna har en sådan naiv syn på säkerhetsskyddet av sin information, hur ser det då ut i andra system som Socialdemokraterna/regeringen förvaltar? Denna fråga är att ta på högsta allvar då det faktiskt handlar om riktets säkerhet.

Jag vill inte göra detta till ett angrepp mot endast Socialdemokraterna då jag vet att dom inte är ensamma om detta, men det är graverande att en sådan organisation som förvaltar över så pass viktig information inte skyddar denna på ett korrekt sätt. (I detta fall ett rent förkastligt sätt)

I min roll som säkerhetskonsult har jag granskat säkerheten i ett stort antal Svenska företag och organisationer vars verksamhet är av betydande roll för rikets välmående. Tro mig när jag säger att det finns ett stort behov av att stärka upp motståndskraften mot angrepp.

Som svensk är man ju uppfortrad med den goda egenskapen att tro gott om andra, vem skulle vilja spionera på/angripa oss. Hur abstrakt det en må låta för oss svenskar så har ett stort antal regeringar rena cyberarmeer idag bestående av dataexperter vars primära uppgift är att kunna ta sig in i system. Dessa cyberarmeer finns såväl hos USA (Som anses ha världens största) som hos Nordkorea (Som sägs ha ett eget universitet för att utbilda hackers som sedan automatiskt anställs av staten)

Frågan som jag ställer mig är vad som kommer hända när någon hår ett steg längre. Att läsa information är en sak. Dålig itsäkerhet öppnar upp för ännu mer allvarliga scenarion, särskilt om angriparen inte har Sveriges bästa i sitt intresse.

Obehörig access till den här typen av system kan mycket väl ge möjligheter till att manipulera data och därigenom sprida desinformation. Vidare kan data förstöras. Dessutom kan en vanlig webbbaserad intranätsinloggning som denna skapa en utmärkt plattform för att senare ta över hela den underliggande infrastrukturen och ta sig vidare in i och kontrollera andra interna nätverk.

Jag vill belysa att det finns gott om mogna säkerhetsteknologier och mekansismer som kan användas för att säker upp alla typer av system.
Anledningen som jag ser det till att dessa inte implementeras i den omfattning de borde är vanligvis en kombination av avsaknat fokus på itsäkerhet från verksamhetens ledning, avsaknad av kompetens hos interna tekniker, samt en tröghet då det krävs en del initialt arbete att införa nya säkerhetsmekanismer.

Om jag hade haft uppdraget att granska just Socialdemokraternas SAPnet så hade ett par av åtgärdspunkterna varit att behörighetskategorisera samtliga roller och sätta autenticeringskrav utifrån den känsligaste typ av information som respektive kategori kan tänkas komma i kontakt med.
För samtliga konton som skall accessa känsligt data hade jag rekommenderat att man inför PKI-baserad** inloggning med exempelvis smarta kort. Dessutom hade jag satt rekommenderat att inte bara användaren, utan även datorn skall autenticera.
Vidare så finns det säkert ett antal andra saker som borde åtgärdas, en modern med säkerhetskrav ska ju även exempelvis ha loggning, monitorering och larm som går när avvigande aktivitet initieras. Även detta verkar ju ha saknats..

Övrigt:

* Gratisverktyg för utföra automatiserade lösenordsattacker mot bl. a webbinloggning: HYDRA http://thc.org.segfault.net/thc-hydra/ (Obs! olaglig att använda mot system man inte äger, vill bara belysa att dom existerar)

** Förklaring om vad PKI är: http://sv.wikipedia.org/wiki/PKI

Så här enkelt hittar man SAPnet: http://www.google.se/search?hl=sv&q=sapnet+logga+in&meta=

Mitt mål med detta inlägg är att det skall öka medvetenheten, dels hos Socialdemokraterna, men även alla andra organisationer som tror sig ha liknande problem. Jag hoppas att vi tillsammans kan driva utvecklingen framåt så att vi får ett säkrare IT-Sverige, och därmed en tryggare framtid.