Brittiska parlamentet inte att lita på för IT-säkerhetsfrågor
(Publicerad 2009-09-03)
Det brittiska parlamentet råkade nyligen ut för ett angrepp. En rumänsk cracker stal via SQL Injection inloggningsuppgifter som var lagrade i klartext. Incidenten betonade vidare administrativa brister då hålet inte stängdes förrän The Register gått ut med en artikel där hålet öppet pekades ut.
The Registers artikel är ovanlig i det att det varken tidningar eller säkerhetsforskare sällan går ut med så detaljerad information om sårbarheter som ännu inte är patchade. Så vad fick The Register att göra något sådant? Svaret finns i artikeln - det hade redan skickats minst 4 meddelanden under loppet av 48 timmar utan någon som helst respons. Därmed kommer lite extra betoning på de administrativa brister som låg bakom den här incidenten. Några lärdomar man kan dra:
Brittiska myndigheter har tidigare visat sig vara ovanligt usla på IT-säkerhet. I maj bloggade jag om hur Mi6 - en organisation som borde vara van vid att hantera topphemligt material - tappade bort ett okrypterat USB-minne och därmed riskerade livet på ett antal "under cover"-agenter och man fick ställa in antidrogoperationen man höll på med.
Nu ska vi inte tro att britterna är ensamma, vi har ju sett liknande exempel bland svenska politiker och myndigheter. Två exempel på detta är SAPnet-skandalen och Riksrevisionens rapport från 2007 där slutsaten var just att regeringen inte kontrollerade IT-säkerheten tillräckligt.
Tyvärr saknar Sverige ännu någon vettig styrning från regeringsnivå som kan åtgärda detta. Föregångarna heter istället USA, även det bloggade jag om tidigare i år, då Obama satte upp informationssäkerhet på home land security's agenda.
När Sverige kan tänkas åstadkomma något vettigt här? Vi får väl se om något parti tar med det i sitt program inför nästa val...
--
Carl-Johan "CJ" Bostorp
Det brittiska parlamentet råkade nyligen ut för ett angrepp. En rumänsk cracker stal via SQL Injection inloggningsuppgifter som var lagrade i klartext. Incidenten betonade vidare administrativa brister då hålet inte stängdes förrän The Register gått ut med en artikel där hålet öppet pekades ut.
The Registers artikel är ovanlig i det att det varken tidningar eller säkerhetsforskare sällan går ut med så detaljerad information om sårbarheter som ännu inte är patchade. Så vad fick The Register att göra något sådant? Svaret finns i artikeln - det hade redan skickats minst 4 meddelanden under loppet av 48 timmar utan någon som helst respons. Därmed kommer lite extra betoning på de administrativa brister som låg bakom den här incidenten. Några lärdomar man kan dra:
- SQL Injection är en välkänd sårbarhet, den hade troligen hittats om man gjort ens grundläggande säkerhetstestning. Lärdom: lägg ett minimum vid att säkerhetstesta applikationerna. Diskutera gärna med applikationsleverantörerna om säker utveckling.
- Lösenord skall inte lagras i klartext. Endast en saltad hash av den skall lagras.
- När någon söker kontakt för att rapportera en säkerhetsbrist måste det vara klart och tydligt vem som skall vara mottagare för informationen.
- En informationsmottagare behöver ge säkerhetsrapporter högsta prioritering. Bedöms det senare som mindre riskabelt kan man prioritera ner. Default måste dock vara högsta prioritering.
Brittiska myndigheter har tidigare visat sig vara ovanligt usla på IT-säkerhet. I maj bloggade jag om hur Mi6 - en organisation som borde vara van vid att hantera topphemligt material - tappade bort ett okrypterat USB-minne och därmed riskerade livet på ett antal "under cover"-agenter och man fick ställa in antidrogoperationen man höll på med.
Nu ska vi inte tro att britterna är ensamma, vi har ju sett liknande exempel bland svenska politiker och myndigheter. Två exempel på detta är SAPnet-skandalen och Riksrevisionens rapport från 2007 där slutsaten var just att regeringen inte kontrollerade IT-säkerheten tillräckligt.
Tyvärr saknar Sverige ännu någon vettig styrning från regeringsnivå som kan åtgärda detta. Föregångarna heter istället USA, även det bloggade jag om tidigare i år, då Obama satte upp informationssäkerhet på home land security's agenda.
När Sverige kan tänkas åstadkomma något vettigt här? Vi får väl se om något parti tar med det i sitt program inför nästa val...
--
Carl-Johan "CJ" Bostorp
Kommentarer
Trackback
