Apoteket och autentisering

I Metro i torsdags fanns en artikel om att illegala läkemedel säljs på Internet. (Ni minns väl t ex Original Pharma?) Läsare varnades för att köpa från apotek som inte är godkända av Läkemedelsverket och "för att vara säker på att en webbsida tillhör ett godkänt svenskt apotek bör man leta efter den nationella apotekssymbolen".


Kom igen. Att använda en digital bild på en hemsida som autentisering är ju t o m svagare än att sätta en broderad krokodil på en tröja.


Efter en kortare undersökning kan vi konstatera att både den här bloggen och DocMorris är kända svenska apotek medan Familjeapoteket inte är det.

Underligt nog har Läkemedelsverket lagt betydligt mer energi på att underlätta verifiering av fysiska butiker, de har en lista på godkända Apotek (länk till Excel-dokument) på sin sida. På listan finns strax över 1 000 adresser till butiker. Det ter sig lite udda; risken att någon skulle sätta upp ett rogue-apotek inne i stan under några veckor för att sälja stulna eller fejkade läkemedel borde vara rätt liten. För webbplatser är detta däremot snarast rutin.

Varför kan de inte använda samma metod med webbplatser? Det skulle ju vara ännu enklare eftersom varje Apotek bara har en domän, listan skulle bara vara ett par rader lång. Dessutom kommer listan inte att behöva uppdateras lika ofta. Kombinera med krav på EV-cert om ni vill.

Bruce Schneier skrev om samma problem häromdagen angående förfalskade myndighetslegg (rapporten han hänvisar till är underhållande).

Man kan inte låta någon autentisera sig genom att bara visa upp en token som är lätt att kopiera; metallbricka, JPG-bild eller broderad krokodil. Säkerheten i sådana system måste vila på att det är omöjligt eller åtminstone svårt att kopiera. Jämför med sedlar, Riksbanken har en sida som beskriver vilka egenskaper som gör dem svåra att tillverka och det är dessa man använder för att avgöra om den är autentisk.

Tyvärr är det dyrt att tillverka tokens som är svåra att kopiera, det kanske till och med inte är värt det. Alternativet är att sköta autentiseringen out-of-band; som med kreditkort. Det viktiga är inte att Visakortet har ett hologram utan att det tillhör personen som håller i det (kolla kortet mot legitimation och personen) och att banken inte har något problem med det (kolla kortet mot banken). Out-of-band är precis vad man använder när man kollar Excel-dokumentet på Läkemedelverkets sida innan man går in i Apotek Hjärtat i Kista galleria eller Kronans droghandel i Kallinge.

Läkemedelsverket borde ha en lista på vilka domännamn som har deras godkännande att sälja läkemedel över Internet.

Se också en två år gammal post på samma ämne; Armani och autentisering.

Uppdatering: Berättade jag förresten att IT-säkerhet enligt HPS blev utnämnd till Sveriges bästa blogg 2010? Du behöver inte ta mitt ord för det, här är den digitala plaketten jag fick:


--
Stefan Pettersson

Kommentarer
Postat av: Carl-Johan Bostorp

Touché!

2011-01-17 @ 13:10:59
URL: http://halkrisk.blogspot.com
Postat av: Fredric

Så ska en slipsten dras. Din slutkläm sammanfattar hela posten galant. Duktig pojke..

2011-01-28 @ 16:29:25
Postat av: Astrid

Det som är mest skrattretande är väl ändå att så många tycker det är jättebra med just den där listan på godkända apotek, inte för att de just är godkända, utan för att då vet de precis vart de kan hitta ett apotek...

2011-02-03 @ 15:12:42
URL: http://safetyfirst.blogg.se/
Postat av: Stefan Pettersson

...vilket i o f skulle ha varit en bra selling point för att införa listan från början, hade det inte varit en sådan värdelös "säkerhetsfunktion".



Kul att du bloggar om säkerhet förresten! En gammal kollega till mig (han med första kommentaren här ovanför f ö) har skrivit om just brandvarnare tidigare och varför folk inte vill lägga pengar och energi på det.



http://highperformance.blogg.se/2009/november/det-hande-en-av-oss-da-tar-jag-till-mig.html

2011-02-03 @ 15:34:48
URL: http://highperformance.blogg.se/

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0