Wednesday, February 13, 2013

Kjære Dataforeningen

Kjære Dataforeningen.

I dag skulle jeg melde meg inn i Dataforeningen. www.dataforeningen.no, og linken "Bli medlem".

Første observasjon: Linken går til en HTTP side. Ved å taste inn https i adressen kommer jeg til samme siden, men denne gang slik det skal være med HTTPS.

Det stopper dessverre ikke der, og det jeg ser er dårlig praksis. På grensen til ren slurv, eller en webtjeneste som er forsømt i mange år på driftssiden er min påstand.

Ved å bruke tjenesten SSLLABS får dere karakteren F for oppsettet av SSL. Det er dårligst mulig karakter.  Webserver oppsettet er sårbart for flere typer angrep, den støtter krypteringsalgoritmer som nesten knekkes med kalkulatorer i dag, og viser alle tegn til mangelfullt vedlikehold av sikkerheten.

Etter å ha fylt inn de nødvendige opplysninger om meg selv får jeg beskjed om at brukernavn og passord vil bli tilsendt via mail. Informasjon på skjerm ser slik ut:


Ingen mail kom inn til meg i løpet av få minutter, ei heller havnet den i noe spam filter. Jeg har kjørt "glemt passord" slik dere anbefaler i slike tilfeller. Fortsatt ingen mail mottatt.

En automatisk registreringsprosess ville normalt sendt mailen i løpet av sekunder, så jeg tipper dere har en manuell kontroll i bakkant før mailen kommer. Det burde dere i så tilfelle opplyse om, ellers blir jeg (og andre?) sittende og lure på om vi har gjort noe galt.
...
Og DER, en 20-30 minutter etter at jeg kjørte passord reset, kom mailen. Med en tidsbegrenset HTTP (usikker) link for å sette nytt passord på min konto. Fascinerende, jeg har enda ikke mottatt mail med initielt brukernavn og passord. Jeg vil jo gjette at min mailadresse er mitt brukernavn, men det er heller ingen informasjon om det fra dere.
...
Jeg har nå logget meg inn på "Min side", og har i den prosessen også observert at passordkrav er implementert godt under anbefalt minimum. Funksjonen for "glemt passord" er lite informativ, det mangler informasjon om passordkrav, fornuftige tilbakemeldinger dersom man gjør feil og mere til.

Jeg vil anbefale at dere tar utgangspunkt i OWASP anbefalingene. Start gjerne ut i fra deres anbefalinger for autentisering, der ligger det også anbefalinger for bruk av SSL/TLSpassordlagring og -tilbakestilling. Vil anbefale at dere tar en alvorsprat med deres CMS/driftsleverandør Custompublish i Oslo.

Dere har kanskje en standardkontrakt med dem som stiller krav til design, installasjon og kontinuerlig vedlikehold av sikkerhet?

----

Skulle det vise seg at Custompublish har svin på skogen, så kan man jo stille spørsmål om sikkerheten hos deres øvrige kunder også. Faren ved å publisere offentlig lange referanselister bør ikke være en ukjent risiko for tjenestetilbydere?

4 comments:

  1. Og hva føler du om informasjonen de forvalter om deg? Sikkerit ikke så mye info, men allikevel.

    ReplyDelete
  2. Et viktig poeng å ta med i risikovurderingen, uten tvil.

    Først og fremst er det en prinsippsak for meg. De registrerer info fra meg, og lagrer den. Da forventer jeg et minimum av sikkerhet - noe som er i tråd med generell anbefalt praksis. (Velg selv en standard...). Etterlevelsen av en-eller-annen "standard" ser jeg på som vel så viktig som den risikoanalysen de *kanskje* har utført, hvor de muligens har konkludert med "Personvern? Nah, vi trenger ikke slikt, vi har jo ingen hemmeligheter."

    Så over til mitt favoritt tema: passord.
    Vi vet at over 60% av oss gjenbruker passord på tvers av ulike tjenester. Dataforeningen gir deg et passord via klartekst e-post, og så er det valgfritt om du vil endre det eller ikke. Dårlig praksis bare der. Gitt at ... 10% av brukerne på Dataforeningens websider skifter passordet sitt, så tror jeg nok noen av dem har samme passord på andre tjenester også. blir Dataforeningen kompromittert (fordi de har slapp sikkerhet), så kan det få direkte konsekvenser for deres kunder (=brukere) på andre tjenester.

    Det kan de ikke lastes for øknomisk eller juridisk etter alt jeg vet. Greit nok, men mulighetene for ekstra kostnader, negativ omtale og kanskje kundeflukt er vel strengt tatt heller ikke ønskelig?
    --
    Mulig jeg kaster litt stein i glasshus. Linkedin hadde elendig sikkerhet da de ble hacket i fjor. De har ikke sagt noen ting om hva som skjedde, eller hva de har gjort for å fikse det. Nå har de passert 200mill brukere, og aksjekursen stiger som aldri før. Negativ omtale kan visst være positiv omtale også. ;-)

    ReplyDelete
  3. Hei Per og tusen takk for at du gjorde oss oppmerksom på dette. Stor takk også til Erlend Dyrnes, i IT-sikkerhetsfaggruppen i Bergen, som fulgte oss opp i går, torsdag 14. februar.

    Fra jeg leste blogginnlegget ditt i 9-tiden i går gikk det kun et par timer før CustomPublish hadde gjort nødvendige endringer.

    Vi gjorde følgende:
    - SSL-config er nå oppgradert og er på B (Trustworthy) på SSLlabs.com
    https://www.ssllabs.com/ssltest/analyze.html?d=www.dataforeningen.no
    vi vil løfte denne videre til A snarest.

    - HTTPS lenker standard er satt i alle utgående eposter.

    - Passordkravene er høynet.

    - Auto-innloggingslenker leder nå til innlogging med kun brukernavn (epost) fyllt ut.

    - Tekster er litt mer informative (passordbytte etc)

    Vi vil arbeide ytterligere med informasjonen våre medlemmer og kunder får. Det være seg om de melder seg på en aktivitet, kjøper en sjekkliste eller vedlikeholder egen informasjon.

    Jeg setter pris på alle innspill og håper flere kommer med konstruktive innspill.

    Mvh

    R. Christian Torp
    IT-direktør
    Den Norske Dataforening
    www.linkedin.com/in/rctorp

    ReplyDelete
  4. Meget bra svar Christian Torp! Sånt liker man!

    ReplyDelete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.