Thursday, January 24, 2013

Skryt til blogg.no

[Logo elegant kopiert rett fra blogg.no...]
Updated post - english summary at the bottom.

"Jeg er streng, men rettferdig."

Ordene sitter fortsatt spikret, over 20 år etter rekruttskolen. Fantastisk troppsjef, og jeg forsøker å leve opp til de ordene. Nå skal jeg gjøre noe jeg ikke har gjort før: jeg skal skryte av en rosablogg, nemlig blogg.no. For å være helt korrekt; jeg skal skryte av firmaet Bootstrap AS som står bak tjenesten.

De har på svært kort tid fikset det jeg anså som svært alvorlige sikkerhetssvakheter, etter at jeg sendte dem mail om det. Her er historien:

Jeg har i veldig mange år jobbet med å finne, påpeke og fikse sikkerhetshull, svakheter og feil i alle mulige IT-løsninger. Jeg tror til og med jeg er veldig flink til det. Gjennom litt utvidet bekjentskapskrets kjenner jeg folk som "rosablogger" - jeg har til og med gjort det selv en gang - og har vært litt nysgjerrig på hvorvidt rosabloggerne tenker på IT-sikkerhet noen gang. Så jeg gikk motsatt vei, og kikket litt på Norges angivelig tiende mest besøkte nettsted, nemlig blogg.no. Noen få minutters uskyldig surfing på sidene deres, og nok funn til å sende en mail, slik jeg gjør med jevne mellomrom til ulike tjenester i inn- og utland.

Merk: for å verne de uskyldige rosabloggerne og ikke gi unødvendige tips til de moralsk enkelt utstyrte blant oss, så gjengir jeg ikke alle funn eller detaljer her.

Mandag 14. januar klokken 13:52 sendte jeg mail til styreleder og daglig leder i Bootstrap. Jeg hadde da gjort mine observasjoner, sjekket dem opp i proff.no, Google og Linkedin, for å vite litt mer om hvem det er jeg henvender meg til.

Jeg påpekte 4 forhold som jeg anså som svært alvorlige:

  1. Manglende SSL støtte (Ingen kryptering av datatrafikk når man blogger)
  2. Utdaterte og dårlige passordkrav / begrensninger (Fare for kompromittering pga dårlige passord)
  3. Dårlig logikk i funksjon for tilbakestilling av passord (Mulighet for tjenestenekt angrep)
  4. Dårlige systemgenererte passord ved tilbakestilling (økt fare for kompromittering av kontoer)
Klokken 14:30 samme dag svarte daglig leder Kjetil Manheim. Han takket for mitt engasjement, og hadde videresendt mine innspill til utviklingsansvarlig. WOW!

(Jeg legger til her at styreleder i mellomtiden hadde kikket på Linkedin profilen min. Alltid interessant å kunne se hvem som sjekker deg opp, for å si det slik... :-))

Jeg forsøker alltid å gjøre en god vurdering av fremgangsmåte, og hvor lang tid jeg skal gi en produsent/leverandør/tjenestetilbyder for å respondere og eventuelt korrigere de ting jeg påpeker. Noen ganger er det ingen som svarer, noen nekter for alt, andre fikser det stille i bakgrunnen over tid og noen veldig få korrigerer raskt og effektivt. Responstiden her var *imponerende*, enda mer imponerende var tiden de tok dem å korrigere disse tingene. Sist men ikke minst: en *hyggelig* daglig leder som tok seg tid til å snakke med meg på telefon da jeg tok kontakt i går, onsdag 23 januar.

Da ringte jeg for å si at jeg hadde sjekket sidene for å se om noe var skjedd - og til min store overraskelse var de ovennevnte punktene korrigert. Alle som en. Ikke bare var det korrigert, men det var korrigert på en slik måte at det vitnet om god kompetanse og lang planlegging.

Da var det også hyggelig å høre fra daglig leder Kjetil Manheim at jeg hadde påpekt ting som de selv var godt klar over. Min mail hadde ikke servert noen overraskelser, men den hadde medført en rimelig rask omprioritering av enkelte planlagte oppgaver. Slikt blir jeg veldig glad for å høre!

Dette er altså en POSITIV bloggpost med SKRYT fra undertegnede, til et navngitt norsk selskap og daglig leder som har vist å ta sikkerhet på alvor. 

Så da avslutter jeg denne bloggposten med den gode følelsen av å ha gjort rosabloggernes lille bobleverden til et tryggere sted å være. Vi snakker tross alt om 1,5 million blogger, hvorav 50K+ som oppdateres ukentlig. Direkte risiko for Bootstrap og deres eiere i Nettavisen, samt ringvirkninger for brukerne og andre dersom en slik tjeneste ble kompromittert skal ikke undervurderes.

----
English version
blogg.no is the 10th largest website in Norway, according to their own traffic stats. Currently hosting 1,5Million+ blogs with more than 50k blogs updated at least weekly, I got curious. A few minutes, and I sent them an e-mail, highlighting 4 serious issues:

  1. No SSL support configured
  2. Outdated & weak passord requirements & limitations
  3. Bad logic in their password reset solution (made account lockout DoS easy)
  4. Short random system generated password reset implemented, no need to change at logon
I reported this at Monday Jan 14, 13:52, and they responded 14:30 the same day (after viewing my Linkedin profile first). CEO contacted me. 9 days later I talked to the CEO again, everything was fixed. That is very good, and very rare to see such fast and professional response. Which is why I wrote this blog post - even though the fashionistas aged 15+ will probably never read, understand or know their world just got a bit more secure. Oh well, I can live with that. :-)

Oh: and TLS v1.2 support configured as well! Not too many of those yet!


1 comment:

  1. Helt supert! Stor skryt til Bootstrap. Det er mange som burde lære av dere!

    ReplyDelete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.