Share this page!

Robert Malmgren Profile picture
Twitter logo
Jul 21 12 tweets 2 min read
fortsättning tråd (del 2) om DN:s granskning av säkerheten på SR.
Som jag tidigare skrivit så kanske inte det man har gjort (lagt ut i molnet) det värsta, utan vad man *inte gjort* - i princip allt som görs vid IT-utveckling, sånt som är viktiga systemkomponenter och sånt som görs för att nå hygiennivå för IT-säkerhet
Andra saker som saknades eller är dåligt i lösningen: Det finns inget PKI (1980-talet ringde och ville få tillbaka sin IT), det är dåligt med logging och spårdata, ingen incidentplan, inget SLA, mm
kanske nåt av detta är på plats nu (SLA?), men definitivt inte allt
Att allt bara är gammalt och förpassat till historien visar återigen att SR inte förstår. Om lösningen blev hackad när den sjösattes (kom ihåg: man kravade inget säkerhet, man testade inte säkerheten) så kan man fortfarande vara drabbad av detta. Hur ska man kunna veta status?
I samband med DN:s artiklar har jag kunnat skicka med frågor till både källan och till SR. Lika rimliga och sansade svar som jag fått från källan, lika oprecisa och missvisande svar har kommit från SR
några exempel på detta: Att kunna skicka information som VMA-utsändaren, vilket SR hävdar inte går. I dokumentation finns API-nycklar, URL, lösenord mm till externa tjänster för SMS, minicall mm. Kom ihåg nu att dokumentationen märkt ”intern” är spridd till många inom och utom SR
Om man vet vilken extern tjänsteleverantör som det är för SMS, eller minicall och har all autenticeringsinformation, så kan man koppla sig dit, inte mot VMA-apit, inte blanda in sändningsledningens processer, och skicka minicall och sms. Som SR. Eftersom man använder deras konto
Det är möjligt att SR i del har rätt i de halvkväden som nu kommer, ”att det inte längre går”. Jag skulle själv snabbt fixat ny API-nyckel eller bytt lösenord om jag fick frågor från media om just detta
Vad det gäller VMA via rakel så skriver SR att det inte går att missbruka pgr behov av fysiska terminaler. Hade de gjort sin hotmodellering så hade de tänkt på att inkräktaren kunnat skicka AT-kommando + meddelanden via en hackad SR-server som har anslutning till SR:s modem
Och kommer ett VMA via Rakel, då tror mottagarna garanterat att det är riktigt.
Källan hävdar att det går att missbruka, om man väl har ”presence” (dvs hackar/äger/pwnar). Jag skulle säga att det hade varit mer av en hypotetisk fråga om servern var härdad, det fanns en säkerhetsarkitektur mm som var testad av FRA eller andra. Nu gjordes inte det vid uppstart

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Robert Malmgren

Robert Malmgren Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @mitt_nya_nym

Robert Malmgren Profile picture
Jul 21
fortsättning (del 4) av kommentarer till DN:s granskning av SR:s säkerhet
istället för att bara vara gnällgubbe så är det på sin plats med ”hur kan man göra bättre?”

Så om jag var chef på stängselnämnden och detta hände mig - prel TODO-lista:

1) Undersöka om säkerhetsskyddsincident fortgår, skydda+agera därefter

2) Gör en seriös menbedömning
3) Begär samråd med SÄPO i frågor om säkerhetsskydd.

4) Se över och förbättra vårt säkerhetsskydd + jobba av teknik- och säkerhetsskuld

5) Anmäl oss själva (inte DN) till vår tillsynsmyndighet för säkerhetsskydd att göra tillsyn samt hantera utfall/resultat av tillsynen
Read 7 tweets
Robert Malmgren Profile picture
Jul 21
Del 3 i tråden om DN-granskningen av SR:s säkerhet
I de tidigare trådarna ville jag lägga fram fel och problem som granskningen visat, så att en läsare kan ställa detta mot vad SR kommunicerar och själva därefter göra en bedömning om SR:s eller DN:s ståndpunkt håller
Om man har någon självbevarelsedrift så ska man inte bara påstå saker utan att ha på fötterna. Det gäller givetvis mig också.

Jag har därför bollat svar jag fått från DN och källan mot andra duktiga IT-experter, säkerhetsexperter och experter på säkerhetsskydd
Read 13 tweets
Robert Malmgren Profile picture
Jul 21
OK, dags att lägga ut texten lite om Sveriges Radio och DN:s granskning av deras säkerhet som man inte kan i ett intervjuformat i TV med korta instick. Mega-tråd del 1 följer)
Jag har alltså blivit tillfrågad av DN att verifiera trovärdigheten i utsagor från en av flera källor. DN och källan har beskrivit innehållet i systemdokumentationen (vilket SR anmärkningsvärt sade sig inte ha i SVT-intervjun!)
Jag har också haft möjlighet att ställa frågor rörande teknik, utveckling, säkerhet, processer och rutiner under flera sessioner med källan direkt. Kontakten har varit via säkra voice-funktioner och burner-telefon. Så jag vet inte vem det är eller hur man kontaktar hen.
Read 27 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(