Sunday, November 11, 2012

Sikker tilgang til offentlige data

[Hvorfor sensurere eller kryptere? Det er offentlig tilgjengelig...]

Oppdatert 4. April 2013: Gule Sider / Eniro har forlengst fikset SSL og oppdatert sine apper. Stor takk til dem for rask respons på min kontakt + bloggpost.

Denne er til deg Eivind, selv om jeg tror andre vil finne dette interessant også. Du spurte meg tidligere om jeg/vi (www.vsc.no) hadde sett nærmere på sikkerheten i de mest populære appene. Vi har sett på en del taxi apper, og resultatet presenteres på DND medlemsmøte i Bergen den 20 November. (Presentasjon derfra vil bli gjort tilgjengelig i etterkant.)

Jeg installerte Gule Sider appen for Android på min Samsung Galaxy SII for kort tid siden, og ble litt nysgjerrig på den. Litt pakkesniffing, litt lesing på nett og litt sammenligning mot andre, og her er noen enkle observasjoner, risiko og anbefalinger:

Gule Sider appen sjekker automatisk nummeret på alle innkommende samtaler, en veldig grei funksjon å ha. Når jeg går inn på listen over anrop så søker den også opp navn/info på alle numre jeg ikke har navn på. Den gjør det også særdeles enkelt å legge dem til som kontakter. Oppslag av ukjente numre er som standard skrudd på, men du har mulighet til å skru den av om ønskelig:


Det får holde med positiv omtale, og over til det jeg er best til å grave frem: dårlig sikkerhet.

Gule Sider appen kommuniserer med HTTP mot api.eniro.com for å gjøre oppslag av navn/nummer og annen info. Ikke noe galt i det vel? Tja.... Se for deg følgende scenario:

Jeg sitter på en flyplass eller et annet sted hvor også du befinner deg, og jeg har overhodet ikke noen problemer (Vidar Sandland, NorSIS på VGtv) med å avlytte internett trafikken til og fra din telefon eller nettbrett. Dersom noen ringer til deg, du ringer til et nytt nummer eller du går inn på listen over f.eks. tapte anrop, så kan jeg se hvilke navn og numre appen søker opp for deg. Jeg tror det vil være nok til at Datatilsynet vil rynke litt på nesen.

Eniro tilbyr nemlig et API som er gratis og åpent for alle på adressen api.eniro.com:


Dette APIet tilbys via HTTP, men kan også benyttes via HTTPS. Dersom Gule Sider appen hadde benyttet sistnevnte, så hadde oppslagene gått kryptert, og det hadde straks krevd mye mer arbeid på min side for (om mulig) å få innsyn i dine søk. 

Med en gang jeg så at trafikken fra Gule Sider appen benyttet HTTP, så sjekket jeg i en vanlig browser om jeg også nådde siden ved å taste inn HTTPS://api.eniro.com/. Det fungerte like bra. Det neste jeg da alltid gjør er å sjekke SSL sikkerheten på serveren. Der benytter jeg gratistjenesten fra Qualys, og den gir meg bl.a. følgende resultat (testet søndag 11. November 2012):


Oversatt til forståelig norsk: 
  1. Serveren til Eniro ser ut til å ha rimelig standard oppsett for kryptering av kommunikasjon 
  2. Den er sårbar overfor noen bestemte typer angrep (mulighet for avlytting & innsyn i kryptert trafikk)
  3. Den benytter SSL sertifikat fra billigst mulig tilbyder (Go Daddy)
I mitt hode blir ovenstående punkter til manglende kompetanse, dårlig kvalitetssikring før produksjonssetting, lite vedlikehold, og tjenesteutvikling basert på at billigste tilbyder vinner. Eniro er hjertelig velkommen til å motbevise meg på samtlige punkter ved å oppdatere serverkonfigurasjonen sin, det tar ikke lang tid for kompetent personell.

Basert på ovenstående skal jeg:
  1. Avinstallere Gule Sider appen fra min egen telefon
  2. Sende en høflig mail til Gule Sider og Eniro hvor jeg henviser til denne bloggposten
  3. Vente på en oppdatert versjon som gjør ting sikrere (eller finne meg en annen tilbyder)

Oppsummert kan vi enkelt si:
Tilgang til offentlige data bør gå gjennom en sikker kanal.
----

I forbindelse med taxi appene som vi i VSC har sett på, så fant vi også at Avinor tilbyr gratis flydata via sine nettsider, dog med noen enkle vilkår for bruk. Disse dataene er jo så absolutt ikke personlige slik data fra Eniro er, men like fullt kan de gi en angriper nytteverdi når de kobles opp mot dine søk i informasjonen.

... Men på serveren til Avinor (flydata.avinor.no) er det ikke satt opp HTTPS (SSL) støtte enda, så Avinor har litt mer arbeid å gjøre der.

No comments:

Post a Comment

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.