Sunday, June 05, 2011

Passord - 2 Eksempler til #DLD & Advarsel

7-8 Juni arrangerer jeg for andre gang det jeg tror er verdens eneste konferanse som utelukkende handler om passord og PIN koder, kalt Passwords^11. Dette gjøres i samarbeid med Professor Tor Helleseth ved Selmer senteret, Universitetet i Bergen, og med finansiell støtte fra NISNET (Fra Norges Forskningsråd). Din første tanke etter de to første setningene er kanskje "er det mulig?". Det er det, og det er en sikkerhetskonferanse som  er mer aktuell enn noensinne å arrangere. Her skal du få 2 konkrete eksempler fra min hverdag som forhåpentligvis aktualiserer konferansen også for deg.

1. Bergen Bompengeselskap (Bro- og Tunnelselskapet AS)
Jeg bor i Bergen, og kjører til jobb daglig. Det samme gjør kjæresten min, og innebærer daglige passeringer gjennom bompengeringen i Bergen. Bro- og Tunnelselskapet AS er ansvarlig selskap for bompengesystemet, og de benytter Q-Free sine løsninger. På websidene til Bro- og Tunnelskapet AS kan jeg logge inn for å se og endre mine abonnementsdetaljer, samt se alle mine passeringer de siste 6 måneder. Ja, jeg kan til og med se alle passeringene som min kjæreste har foretatt også, om ønskelig. Akkurat det kan jo naturlig nok unngås ved at hun har egen avtale, men det er en annen historie.
Bro- og Tunnelselskapet har en SKREMMENDE DÅRLIG sikkerhet tilknyttet passord i sin løsning. Det er svært enkelt for andre å oppnå uautorisert tilgang til ditt abonnement, inkludert registrere andre kjøretøy på ditt abonnement, slik at du betaler for dem. Ikke minst, som et innlegg til debatten om Datalagringsdirektivet: De kan få sett alle dine passeringer de siste 6 måneder.
Jeg har tatt skjermbilder for å illustrere tydelig hva jeg mener (du kan klikke på bildene for å full størrelse):

Standard innloggingsbilde for Bergen Bompengeselskap AS
Bildet over viser standard pålogging når man skal logge seg inn hos Bro- og Tunnelselskapet AS. Her klikker jeg på "Forgot password" (glemt passord), og får opp bildet under:

Skriv inn e-post adresse eller kundeID ved glemt passord
Jeg skriver inn min e-post adresse, alternativt kundenummer, for å få tilsendt mitt eksisterende brukernavn og passord via ukryptert e-post!

Bekreftelse etter å ha tastet inn min e-post adresse
Etter å ha skrevet inn min e-post adresse, så får jeg bekreftelsen over om at jeg får en e-post ganske straks. Og helt riktig, e-post kommer på få sekunder:

Ukryptert mail fra Bro- og Tunnelselskapet...
E-posten som kommer er ubeskyttet. Den inneholder min brukeridentitet (kundenummer), mitt passord og all annen informasjon som gjør andre i stand til å misbruke mitt abonnement, samt overvåke mine bompasseringer (samt min kjæreste). Det er ikke mulig for meg å undersøke hvor mange mennesker som ulovlig og uten spor kan plukke opp denne e-posten og misbruke informasjonen. Svært snill gjetting tilsier noen titalls personer. Minst. (Ja, passordet som vises i bildet over er faktisk det passordet jeg brukte tidligere hos Bro- og Tunnelselskapet AS...)

Alternativt skriv inn registreringnr + brikkeID
Dersom du ikke husker hverken kundenummer, passord eller din egen e-post adresse, eventuelt har fått ny eller har aldri registrert noen e-post adresse hos Bro- og Tunnelselskapet, så kan du skrive inn registreringsnummeret på bilen, samt BrikkeID. Men vent nå litt; hvor finner jeg det? Her:

Plassering av Q-Free brikke i frontvindu på bil
Eller nærmere bestemt, når jeg flytter meg nærmere med kameraet:

Q-Free BrikkeID lett synlig gjennom frontvindu på bil
Det å finne registreringsnummeret på en bil er jo ingen kunst, for å si det enkelt. Ei heller er det noe vanskelig å identifisere eieren når du har registreringsnummeret. Sist men ikke minst noterer man seg brikkeID'en, slik den er trykket klart og tydelig på brikken slik du ser på bildet over.

Dersom eieren ikke har registrert en e-post adresse, eller du kontakter selskapet på telefon, så kan du få tilsendt alle nødvendige opplysninger i et vanlig brev. En antatt enda enklere metode for enhver skurk som ønsker å utnytte de muligheter denne mangelen på sikkerhet faktisk gir.

Det er svært vanskelig for meg å tro at det er gjort noen skriftlig risikoanalyse som tilsier at denne måten å gjøre det på er innenfor akseptable grenser. Det er lite - om noe - i deres løsning som tilfredsstiller dokumentert god praksis fra anerkjente og nøytrale institusjoner på Internett, inkludert den Norske stat selv (NorSIS.no og Nettvett.no).

Bro- & Tunnelselskapet AS er eid av Hordaland Fylkeskommune (ca 27%) og Bergen Kommune (ca 24%), øvrige 49% av andre finansielle institusjoner. Jeg vil varsle både kommune og fylkeskommune om ovenstående.

Jeg kunne skrevet enda mer, men ovenstående bør være mer enn nok for å få Datatilsynet på banen. Det er fristende å tro at dette også har interesse for Stopp Datalagringsdirektivet? Et søk i Offentlig Elektronisk Postjournal på søkeordet passord avdekker flere konkrete tilfeller av samme type - og fortsatt finnes det utallige tilsvarende eksempler bare innen Norges grenser.

----

2. Selvbetjente innsjekkingsautomater på Norske flyplasser
Bildet under har jeg fått fra en venn som tok bildet på Bergen Lufthavn Flesland, høsten 2010. Det viser skjermen på en selvbetjent innsjekkingsautomat i avgangshallen som har startet på nytt, og hvor man må trykke Ctrl+Alt+Delete for å logge på. Skjermbildet i bakgrunnen har en tabell oppe til høyre med brukernavn, passord og tidligere brukte passord.

Jeg vil ikke gi her noen ideer eller utdype hvordan dette kunne blitt utnyttet, av naturlige årsaker. Det er bare å slå fast at en slik praksis, dersom den stemmer overens med skjermbildet, ikke er i tråd med regulatoriske krav til en slik løsning. Det verste er at jeg ikke vet hvem som er ansvarlige for disse innsjekkingsautomatene, men antagelig ikke Avinor selv.

Skjermbilde fra innsjekkingsautomat på Flesland, Bergen.
Posted by

5 comments:

  1. AnonymousJune 5, 2011 at 2:25 AM

    Automatene leveres av SITA (http://www.sita.aero/), mye på lik linje som et annet stort selskap forvalter mye av landets ifnrastruktur for banker.

    -A

    ReplyDelete
  2. KlingsJune 5, 2011 at 11:19 AM

    Ref høyaktuelle Sony-saker hvor klartekstpassord har kommet på avveie. Det at du får tilsendt ditt selvvalgte passord betyr at enten:

    - Lagres passordene i klartekst
    - Lagres passordene kryptert (som betyr at de kan dekrypteres og sendes på e-post)

    Ingen av disse alternativene gir et fornuftig sikkerhetsnivå siden samtlige passord kompromitteres hvis passordlageret (med evt krypteringsnøkkel) kommer på avveie.

    Passordene burde vært "lagret" via en énveisfunksjon (hash/MAC). Dette ville også medført at et nytt passord måtte genereres når man hadde glemt passordet, nettopp fordi man ikke kunne lese ut passordet fra "passord"-tabellen.

    ReplyDelete
  3. securitynirvanaJune 5, 2011 at 11:30 AM

    Takk til A for interessant info. Antar at SITA leverer systemene med et standard oppsett som muligens er dårlig, og så er det opp til eier/forvalter å konfigurere "god" sikkerhet?

    Klings: ...og NETTOPP derfor burde så mange flere utviklere, sikkerhetssjefer, revisorer og andre delta på Passwords^11: for å lære mer! :-)

    ReplyDelete
  4. AnonymousJune 5, 2011 at 10:24 PM

    Link til en interessant diskusjon på dataforeningen.no sitt interne forum, som det var lett å få tilgang til. De snakker om passord i klartekst, og det var til og med lett å legge inn kommentar der...(ca januar 2010):

    http://www.picamatic.com/view/7607727_dataforeningen.no-the-truth-bites/

    ReplyDelete
  5. AnonymousJune 6, 2011 at 5:29 PM

    AutoPASS sender ikke lenger eksisterende passord på mail. Er endret nå.

    ReplyDelete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.

Subscribe to: Post Comments (Atom)