fortsättning tråd (del 2) om DN:s granskning av säkerheten på SR.
Som jag tidigare skrivit så kanske inte det man har gjort (lagt ut i molnet) det värsta, utan vad man *inte gjort* - i princip allt som görs vid IT-utveckling, sånt som är viktiga systemkomponenter och sånt som görs för att nå hygiennivå för IT-säkerhet
Andra saker som saknades eller är dåligt i lösningen: Det finns inget PKI (1980-talet ringde och ville få tillbaka sin IT), det är dåligt med logging och spårdata, ingen incidentplan, inget SLA, mm
kanske nåt av detta är på plats nu (SLA?), men definitivt inte allt
Att allt bara är gammalt och förpassat till historien visar återigen att SR inte förstår. Om lösningen blev hackad när den sjösattes (kom ihåg: man kravade inget säkerhet, man testade inte säkerheten) så kan man fortfarande vara drabbad av detta. Hur ska man kunna veta status?
I samband med DN:s artiklar har jag kunnat skicka med frågor till både källan och till SR. Lika rimliga och sansade svar som jag fått från källan, lika oprecisa och missvisande svar har kommit från SR
några exempel på detta: Att kunna skicka information som VMA-utsändaren, vilket SR hävdar inte går. I dokumentation finns API-nycklar, URL, lösenord mm till externa tjänster för SMS, minicall mm. Kom ihåg nu att dokumentationen märkt ”intern” är spridd till många inom och utom SR
Om man vet vilken extern tjänsteleverantör som det är för SMS, eller minicall och har all autenticeringsinformation, så kan man koppla sig dit, inte mot VMA-apit, inte blanda in sändningsledningens processer, och skicka minicall och sms. Som SR. Eftersom man använder deras konto
Det är möjligt att SR i del har rätt i de halvkväden som nu kommer, ”att det inte längre går”. Jag skulle själv snabbt fixat ny API-nyckel eller bytt lösenord om jag fick frågor från media om just detta
Vad det gäller VMA via rakel så skriver SR att det inte går att missbruka pgr behov av fysiska terminaler. Hade de gjort sin hotmodellering så hade de tänkt på att inkräktaren kunnat skicka AT-kommando + meddelanden via en hackad SR-server som har anslutning till SR:s modem
Och kommer ett VMA via Rakel, då tror mottagarna garanterat att det är riktigt.
Källan hävdar att det går att missbruka, om man väl har ”presence” (dvs hackar/äger/pwnar). Jag skulle säga att det hade varit mer av en hypotetisk fråga om servern var härdad, det fanns en säkerhetsarkitektur mm som var testad av FRA eller andra. Nu gjordes inte det vid uppstart
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Del 3 i tråden om DN-granskningen av SR:s säkerhet
I de tidigare trådarna ville jag lägga fram fel och problem som granskningen visat, så att en läsare kan ställa detta mot vad SR kommunicerar och själva därefter göra en bedömning om SR:s eller DN:s ståndpunkt håller
Om man har någon självbevarelsedrift så ska man inte bara påstå saker utan att ha på fötterna. Det gäller givetvis mig också.
Jag har därför bollat svar jag fått från DN och källan mot andra duktiga IT-experter, säkerhetsexperter och experter på säkerhetsskydd
OK, dags att lägga ut texten lite om Sveriges Radio och DN:s granskning av deras säkerhet som man inte kan i ett intervjuformat i TV med korta instick. Mega-tråd del 1 följer)
Jag har alltså blivit tillfrågad av DN att verifiera trovärdigheten i utsagor från en av flera källor. DN och källan har beskrivit innehållet i systemdokumentationen (vilket SR anmärkningsvärt sade sig inte ha i SVT-intervjun!)
Jag har också haft möjlighet att ställa frågor rörande teknik, utveckling, säkerhet, processer och rutiner under flera sessioner med källan direkt. Kontakten har varit via säkra voice-funktioner och burner-telefon. Så jag vet inte vem det är eller hur man kontaktar hen.