Det har varit en del rabalder de senaste dagarna om Rick Falkvinges postning om att Riksdagens IT-avdelning tittar på ledamöternas trafik.
Enligt artikeln använder IT-avdelningen en proxy som trafiken måste gå igenom. Proxyn terminerar trafiken och sätter sedan upp en ny förbindelse mot de riktiga målmaskinerna. Därmed kan avdelningen titta på trafiken även om den är krypterad.
För att detta skall fungera borde det krävas att ledamöterna ställt in proxyn i sina system. Vidare borde ledamöternas webb- mail- och chatt-verktyg (etc) skrika i högan sky när inte certifikaten matchar längre stämmer. Rent tekniskt är det möjligt att göra, men det borde inte vara sÃ¥ j-kla osynligt. (Rick Falkvinge har skrivit en SÃ¥ fungerar riksdagsledamöterna-text där han tar upp att det inte behöver vara en proxy och att ledamöternas system inte behöver ändras. Men certifikaten borde larma – om ledamöterna använder vettiga verktyg)
Det dyker upp flera frÃ¥gor när jag funderar pÃ¥ detta, ingen av dom har egentligen med tekniken att göra. För det första undrar jag varför man tycker att detta krävs? Hur ser hotbilden ut och vad är det man tror sig lösa? En annan frÃ¥ga är naturligtvis pÃ¥ vilka sätt systemet kan fallera och leda till problem – och har det utvärderats när man valde att ta in lösningen? Men sedan kommer det hela ner till det alla organisationer borde ha: IT-policy.
Jag kan pÃ¥ tok för lite förvaltning för att bedöma vad som gäller – är riksdagsledamöterna att betrakta som anställda av riksdagen? Finns det en IT-policy och/eller en IT-säkerhetspolicy som ledamöterna skrivit pÃ¥? Vad stÃ¥r det i den/de dokumenten och är dom offentlig handling?
Är det sÃ¥ att ledamöterna är att betrakta som anställda, har läst och godkänt en (drakonisk) policy som ger riksdagens IT-avdelning och de dom rapporterar till att läsa och pilla pÃ¥ deras trafik är det bara att köpa läget. Men om det inte finns en policy – dÃ¥ är det dags att sparka bakut för snyggt är det inte.
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
Vad jag förstår innehåller proxyn en CA (som användarnas klienter är inställda att lita på), som on-the-fly-genererar egna certifikat för de servrar som klienterna försöker ansluta till. Tricksigt.
Metoden som kan användas finns beskriven här (en kommentar till ovanstående blogpost): http://rickfalkvinge.se/2008/11/21/riksdagens-it-avdelning-inkompetent/#comment-13920
Det tarvar förstÃ¥s att man har proxyn inställd i sin browser, men det utgÃ¥r jag ifrÃ¥n att alla rikadagsledarmöter har. Det vore onekligen intressant att fÃ¥ vet ifall deras proxy verkligen har en dylik “generera certs run-time”-grej och isf vilket CA cert de använder? Har t.ex ledamöterna installerat nÃ¥got CA cert för riksdagen?
Om man följer länkarna bakÃ¥t till Lage Rahms inlägg pÃ¥ http://lagen.net/index.php/2008/11/storebror-ser-mig/ ser man att certifikatet för en https-site är utfärdat av “RDF-ProxySG-S”, vilket är vad som fÃ¥r mig att tro att det faktiskt handlar om on-the-fly-certifikat.
...närmare bestämt från en sån här burk: http://www.bluecoat.com/products/sg
Aloha!
Tack för kommenterar och tips Nixon och grävlingen – mycket intressant. En genuint otrevlig burk Bluecoats ProxySG. Att den säljs med motivering att man fÃ¥r bättre säkerhet och bättre webbprestanda är närmast skrattretande.
Vad är det som gör att IT-avdelningen på Riksdagen behöver kunna se in i ledamöternas trafik på det viset?
Jag skall blogga lite till om detta. Stort tack!
Om det inte nämndes i Rick Falkvinges klargörande inlägg så nämner jag det här för de som vill ha mer teknisk terminologi som man kan googla vidare på:
Det är jättelätt att skapa en implicit proxy om man är administratör pÃ¥ ett nätverk. Ta all data pÃ¥ port 80 samt 443 – där 100% av alla webservrar som riksdagsledamöterna besöker finns – och skicka till proxyn.
Vips behöver man inte konfigurera varje enskild dator (...som förvisso nog bara är ghostade identiskt eller motsvarande), förutsatt att man inte vill ha samma säkerhet även utanför Riksdagens egna nätverk.
En implicit proxy gÃ¥r inte att “konfigurera bort” utan behöver undvikas specifikt genom verktyg som inte brukar stÃ¥ med pÃ¥ en vanlig Svenssons IT-CV.
Sannolikheten att en organisation som Riksdagen administrerar en egen certifikatutfärdare (CA, Certificate Authority). Denna är lämpligen förinstallerad på samtliga Riksdagens datorsystem (administreras t.ex. genom en Windows-domän/LDAP).
Detta innebär att vem som helst med rättighet att signera certifikatförfrågningar (CSR, Certificate Sign Request) kan skapa en krypterad kommunikation som samtliga Riksdagsdatorer litar blint på. Inklusive en proxy som gör det automagiskt genom att kapa SSL-anslutningar.
Att jämföra och märka att alla webservrar i hela världen använder samma ursprungliga root-CA är inte något ordinarie säkerhetssystem för persondatorer (eller ens mer avancerade skulle jag tro) gör.
Hade riksdagsledamöterna installerat Firefox (eller bara tagit med en egen dator kanske…) och surfat sÃ¥ hade man omedelbart fÃ¥tt upp flertalet varningar om felaktiga certifikat. Det bör ha väckt misstankar.
Har någon testat fristående datorsystem på Riksdagens nät?
Det är väl inte så himla konstigt? Generellt sett är all information som når användarnas datorer ett potentiellt hot. Det är därför man har virusscanning av inkommande post, virusscanning av filer och det är därför många företag och organisationer har restriktioner på användandet av USB-minnen.
Om man gör bedömningen att man vill virusscanna all trafik innan den når användarnas datorer så är SSL naturligtvis ett stort problem; krypterade förbindelser öppnar en fet tunnel för elak kod att nå användarnas datorer ostört. Notera till exempel incidenten nyligen där angreppskod injicerades via mouseover() i annonserna i Gmails högerspalt.
Nu vet jag väl inte om det här ändå är en särskilt bra idé, men jag förstår motiveringen.