Vad Riksdagens IT-avdelning pysslar med
Det har varit en del rabalder de senaste dagarna om Rick Falkvinges postning om att Riksdagens IT-avdelning tittar på ledamöternas trafik.
Enligt artikeln använder IT-avdelningen en proxy som trafiken måste gå igenom. Proxyn terminerar trafiken och sätter sedan upp en ny förbindelse mot de riktiga målmaskinerna. Därmed kan avdelningen titta på trafiken även om den är krypterad.
För att detta skall fungera borde det krävas att ledamöterna ställt in proxyn i sina system. Vidare borde ledamöternas webb- mail- och chatt-verktyg (etc) skrika i högan sky när inte certifikaten matchar längre stämmer. Rent tekniskt är det möjligt att göra, men det borde inte vara så j-kla osynligt. (Rick Falkvinge har skrivit en Så fungerar riksdagsledamöterna-text där han tar upp att det inte behöver vara en proxy och att ledamöternas system inte behöver ändras. Men certifikaten borde larma - om ledamöterna använder vettiga verktyg)
Det dyker upp flera frågor när jag funderar på detta, ingen av dom har egentligen med tekniken att göra. För det första undrar jag varför man tycker att detta krävs? Hur ser hotbilden ut och vad är det man tror sig lösa? En annan fråga är naturligtvis på vilka sätt systemet kan fallera och leda till problem - och har det utvärderats när man valde att ta in lösningen? Men sedan kommer det hela ner till det alla organisationer borde ha: IT-policy.
Jag kan på tok för lite förvaltning för att bedöma vad som gäller - är riksdagsledamöterna att betrakta som anställda av riksdagen? Finns det en IT-policy och/eller en IT-säkerhetspolicy som ledamöterna skrivit på? Vad står det i den/de dokumenten och är dom offentlig handling?
Är det så att ledamöterna är att betrakta som anställda, har läst och godkänt en (drakonisk) policy som ger riksdagens IT-avdelning och de dom rapporterar till att läsa och pilla på deras trafik är det bara att köpa läget. Men om det inte finns en policy - då är det dags att sparka bakut för snyggt är det inte.
Tags: Internet, IT och integritet, Krypto, Politik
November 24th, 2008 at 4:39 pm
Vad jag förstår innehåller proxyn en CA (som användarnas klienter är inställda att lita på), som on-the-fly-genererar egna certifikat för de servrar som klienterna försöker ansluta till. Tricksigt.
November 24th, 2008 at 5:56 pm
Metoden som _kan_ användas finns beskriven här (en kommentar till ovanstående blogpost): http://rickfalkvinge.se/2008/11/21/riksdagens-it-avdelning-inkompetent/#comment-13920
Det tarvar förstås att man har proxyn inställd i sin browser, men det utgår jag ifrån att alla rikadagsledarmöter har. Det vore onekligen intressant att få vet ifall deras proxy verkligen har en dylik “generera certs run-time”-grej och isf vilket CA cert de använder? Har t.ex ledamöterna installerat något CA cert för riksdagen?
November 24th, 2008 at 9:23 pm
Om man följer länkarna bakåt till Lage Rahms inlägg på http://lagen.net/index.php/2008/11/storebror-ser-mig/ ser man att certifikatet för en https-site är utfärdat av “RDF-ProxySG-S”, vilket är vad som får mig att tro att det faktiskt handlar om on-the-fly-certifikat.
November 24th, 2008 at 9:26 pm
…närmare bestämt från en sån här burk: http://www.bluecoat.com/products/sg
November 24th, 2008 at 10:32 pm
Aloha!
Tack för kommenterar och tips Nixon och grävlingen - mycket intressant. En genuint otrevlig burk Bluecoats ProxySG. Att den säljs med motivering att man får bättre säkerhet och bättre webbprestanda är närmast skrattretande.
Vad är det som gör att IT-avdelningen på Riksdagen behöver kunna se in i ledamöternas trafik på det viset?
Jag skall blogga lite till om detta. Stort tack!
November 24th, 2008 at 11:05 pm
[...] plockar upp Falkvinges spaning om osäkerhetsfaktorn i riksdagsledamöternas digitala [...]
November 24th, 2008 at 11:22 pm
[...] was reported by some Swedish bloggers, and I found out thanks to kryptoblog, it seems the members of the Swedish parliament all access the internet via a HTTP proxy. And not [...]
November 25th, 2008 at 1:23 am
Om det inte nämndes i Rick Falkvinges klargörande inlägg så nämner jag det här för de som vill ha mer teknisk terminologi som man kan googla vidare på:
Det är jättelätt att skapa en implicit proxy om man är administratör på ett nätverk. Ta all data på port 80 samt 443 - där 100% av alla webservrar som riksdagsledamöterna besöker finns - och skicka till proxyn.
Vips behöver man inte konfigurera varje enskild dator (…som förvisso nog bara är ghostade identiskt eller motsvarande), förutsatt att man inte vill ha samma säkerhet även utanför Riksdagens egna nätverk.
En implicit proxy går inte att “konfigurera bort” utan behöver undvikas specifikt genom verktyg som inte brukar stå med på en vanlig Svenssons IT-CV.
Sannolikheten att en organisation som Riksdagen administrerar en egen certifikatutfärdare (CA, Certificate Authority). Denna är lämpligen förinstallerad på samtliga Riksdagens datorsystem (administreras t.ex. genom en Windows-domän/LDAP).
Detta innebär att vem som helst med rättighet att signera certifikatförfrågningar (CSR, Certificate Sign Request) kan skapa en krypterad kommunikation som _samtliga_ Riksdagsdatorer litar blint på. Inklusive en proxy som gör det automagiskt genom att kapa SSL-anslutningar.
Att jämföra och märka att _alla_ webservrar i hela världen använder _samma_ ursprungliga root-CA är inte något ordinarie säkerhetssystem för persondatorer (eller ens mer avancerade skulle jag tro) gör.
Hade riksdagsledamöterna installerat Firefox (eller bara tagit med en egen dator kanske…) och surfat så hade man omedelbart fått upp flertalet varningar om felaktiga certifikat. Det bör ha väckt misstankar.
Har någon testat fristående datorsystem på Riksdagens nät?
November 25th, 2008 at 9:50 am
Det är väl inte så himla konstigt? Generellt sett är all information som når användarnas datorer ett potentiellt hot. Det är därför man har virusscanning av inkommande post, virusscanning av filer och det är därför många företag och organisationer har restriktioner på användandet av USB-minnen.
*Om* man gör bedömningen att man vill virusscanna *all* trafik innan den når användarnas datorer så är SSL naturligtvis ett stort problem; krypterade förbindelser öppnar en fet tunnel för elak kod att nå användarnas datorer ostört. Notera till exempel incidenten nyligen där angreppskod injicerades via mouseover() i annonserna i Gmails högerspalt.
Nu vet jag väl inte om det här ändå är en särskilt bra idé, men jag förstår motiveringen.