Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Vad Riksdagens IT-avdelning pysslar med » Kryptoblog

Vad Riksdagens IT-avdelning pysslar med

November 24th, 2008 by Joachim Strömbergson Leave a reply »

Det har varit en del rabalder de senaste dagarna om Rick Falkvinges postning om att Riksdagens IT-avdelning tittar på ledamöternas trafik.

Enligt artikeln använder IT-avdelningen en proxy som trafiken måste gå igenom. Proxyn terminerar trafiken och sätter sedan upp en ny förbindelse mot de riktiga målmaskinerna. Därmed kan avdelningen titta på trafiken även om den är krypterad.

För att detta skall fungera borde det krävas att ledamöterna ställt in proxyn i sina system. Vidare borde ledamöternas webb- mail- och chatt-verktyg (etc) skrika i högan sky när inte certifikaten matchar längre stämmer. Rent tekniskt är det möjligt att göra, men det borde inte vara så j-kla osynligt. (Rick Falkvinge har skrivit en Så fungerar riksdagsledamöterna-text där han tar upp att det inte behöver vara en proxy och att ledamöternas system inte behöver ändras. Men certifikaten borde larma – om ledamöterna använder vettiga verktyg)

Det dyker upp flera frågor när jag funderar på detta, ingen av dom har egentligen med tekniken att göra. För det första undrar jag varför man tycker att detta krävs? Hur ser hotbilden ut och vad är det man tror sig lösa? En annan fråga är naturligtvis på vilka sätt systemet kan fallera och leda till problem – och har det utvärderats när man valde att ta in lösningen? Men sedan kommer det hela ner till det alla organisationer borde ha: IT-policy.

Jag kan på tok för lite förvaltning för att bedöma vad som gäller – är riksdagsledamöterna att betrakta som anställda av riksdagen? Finns det en IT-policy och/eller en IT-säkerhetspolicy som ledamöterna skrivit på? Vad står det i den/de dokumenten och är dom offentlig handling?

Är det så att ledamöterna är att betrakta som anställda, har läst och godkänt en (drakonisk) policy som ger riksdagens IT-avdelning och de dom rapporterar till att läsa och pilla på deras trafik är det bara att köpa läget. Men om det inte finns en policy – då är det dags att sparka bakut för snyggt är det inte.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

9 comments

  1. Nixon says:

    Vad jag förstår innehåller proxyn en CA (som användarnas klienter är inställda att lita på), som on-the-fly-genererar egna certifikat för de servrar som klienterna försöker ansluta till. Tricksigt.

  2. daniel says:

    Metoden som kan användas finns beskriven här (en kommentar till ovanstående blogpost): http://rickfalkvinge.se/2008/11/21/riksdagens-it-avdelning-inkompetent/#comment-13920

    Det tarvar förstås att man har proxyn inställd i sin browser, men det utgår jag ifrån att alla rikadagsledarmöter har. Det vore onekligen intressant att få vet ifall deras proxy verkligen har en dylik “generera certs run-time”-grej och isf vilket CA cert de använder? Har t.ex ledamöterna installerat något CA cert för riksdagen?

  3. Nixon says:

    Om man följer länkarna bakåt till Lage Rahms inlägg på http://lagen.net/index.php/2008/11/storebror-ser-mig/ ser man att certifikatet för en https-site är utfärdat av “RDF-ProxySG-S”, vilket är vad som får mig att tro att det faktiskt handlar om on-the-fly-certifikat.

  4. Nixon says:

    ...närmare bestämt från en sån här burk: http://www.bluecoat.com/products/sg

  5. Aloha!

    Tack för kommenterar och tips Nixon och grävlingen – mycket intressant. En genuint otrevlig burk Bluecoats ProxySG. Att den säljs med motivering att man får bättre säkerhet och bättre webbprestanda är närmast skrattretande.

    Vad är det som gör att IT-avdelningen på Riksdagen behöver kunna se in i ledamöternas trafik på det viset?

    Jag skall blogga lite till om detta. Stort tack!

  6. MMN-o says:

    Om det inte nämndes i Rick Falkvinges klargörande inlägg så nämner jag det här för de som vill ha mer teknisk terminologi som man kan googla vidare på:

    Det är jättelätt att skapa en implicit proxy om man är administratör på ett nätverk. Ta all data på port 80 samt 443 – där 100% av alla webservrar som riksdagsledamöterna besöker finns – och skicka till proxyn.
    Vips behöver man inte konfigurera varje enskild dator (...som förvisso nog bara är ghostade identiskt eller motsvarande), förutsatt att man inte vill ha samma säkerhet även utanför Riksdagens egna nätverk.

    En implicit proxy går inte att “konfigurera bort” utan behöver undvikas specifikt genom verktyg som inte brukar stå med på en vanlig Svenssons IT-CV.

    Sannolikheten att en organisation som Riksdagen administrerar en egen certifikatutfärdare (CA, Certificate Authority). Denna är lämpligen förinstallerad på samtliga Riksdagens datorsystem (administreras t.ex. genom en Windows-domän/LDAP).
    Detta innebär att vem som helst med rättighet att signera certifikatförfrågningar (CSR, Certificate Sign Request) kan skapa en krypterad kommunikation som samtliga Riksdagsdatorer litar blint på. Inklusive en proxy som gör det automagiskt genom att kapa SSL-anslutningar.

    Att jämföra och märka att alla webservrar i hela världen använder samma ursprungliga root-CA är inte något ordinarie säkerhetssystem för persondatorer (eller ens mer avancerade skulle jag tro) gör.

    Hade riksdagsledamöterna installerat Firefox (eller bara tagit med en egen dator kanske…) och surfat så hade man omedelbart fått upp flertalet varningar om felaktiga certifikat. Det bör ha väckt misstankar.
    Har någon testat fristående datorsystem på Riksdagens nät?

  7. Nixon says:

    Det är väl inte så himla konstigt? Generellt sett är all information som når användarnas datorer ett potentiellt hot. Det är därför man har virusscanning av inkommande post, virusscanning av filer och det är därför många företag och organisationer har restriktioner på användandet av USB-minnen.

    Om man gör bedömningen att man vill virusscanna all trafik innan den når användarnas datorer så är SSL naturligtvis ett stort problem; krypterade förbindelser öppnar en fet tunnel för elak kod att nå användarnas datorer ostört. Notera till exempel incidenten nyligen där angreppskod injicerades via mouseover() i annonserna i Gmails högerspalt.

    Nu vet jag väl inte om det här ändå är en särskilt bra idé, men jag förstår motiveringen.

Leave a Reply

You must be logged in to post a comment.