Daily Archives: July 8, 2014

I lyset af de mange utrættelige artikler og diskussioner her på Version2 er det vel egentlig ikke overraskende, at arrangørerne af Goto Copenhagen i år har valgt at afslutte med en keynote om overvågning – nærmere bestemt Erik Dörnenburg og Martin Fowler, der har tænkt sig at belære os allesammen om “Our responsibility to defeat mass surveillance.”

Foto af nolifebeforecoffee

Jeg spekulerer dog på, om det overhovedet er muligt at finde en softwareudvikler blandt publikum, som ikke allerede har taget stilling til, hvor på spektret mellem sølvpapirshat og Minority Report, deres foretrukne samfundsmodel befinder sig? Kommer d’herrer så ikke bare til at prædike for koret?

Interessant er dog deres tanke om, at “We believe that this engagement requires greater knowledge of a user’s goals and also responsibility for the user’s welfare and our impact on the world.” Hvem er “the user” i denne sammenhæng; er der ikke ofte mere end en enkelt slags bruger involveret, har de altid sammenfaldende interesser, og hvis side bør softwareudvikleren så stå på, hvis de ikke har det?

Lad os tage eksemplet med gymnasiernes Lectio-system, der nu har fået et modul til at forudsige elever, der er i væsentlig risiko for at droppe ud. Er det altid i elevens interesse at blive “opdaget” og “hjulpet”, eller kan man f.eks. risikere at Rosenthal-effekten sætter ind, når lærernes forventninger til eleven påvirkes af systemets stempling? Får rektorerne et uheldigt incitament til hurtigt at skaffe sig af med “håbløse” elementer, eller er det her netop det, der skal til for at modvirke den sociale arv? Det er ikke nemt at forudsige.

Overskriften på keynoten trækker det meget sort/hvidt op. Jeg håber, at selve foredraget bliver noget mere nuanceret – ligesom den virkelige verden er.

Her til formiddag holdt alle sjællandske regionaltog stille på grund af en teknisk fejl i Banedanmark it-systemer.

»Vi har endnu ikke de præcise tekniske analyser, men vi ser fejlen i dag, som en følge af et strømudfald, vi havde i går,« siger Søren Boysen, direktør for teknisk drift hos Banedanmark.

Strømafbrydelsen har skadet it-systemerne, og direktøren mener, at det har været grunden til at alle regionaltog på Sjælland holdt stille tirsdag formiddag.

»Vi havde ingen driftsforstyrrelser i går. Strømudfaldet gik ud over vores indre linjer, som radiokommunikation,« siger han til Ingeniøren.

Banedanmark har endnu ikke status over den præcise årsag. De holder løbende deres hjemmeside opdateret.

Togdriften skulle nu være ved at være tilbage til normal.

Den 15. juli udsender Oracle den næste sikkerhedsopdatering af det Java-plugin, som kræves for anvende NemID. Men opdateringen kommer ikke til Windows XP, og det betyder, at 250.000 danskere får problemer med at anvende deres NemID.

Det betyder, at der blandt andet kan blive problemer med udbetaling af dagpenge, fordi dagpengemodtagere eksempelvis ikke kan registrere de jobsøgninger , som er dem påkrævet. Det skriver Avisen.dk.

A-kasserne frygter at det vil betyde en masse bøvl for de modtagere, der skal have udbetalt penge i slutningen af juli. De opfordrer derfor til, at folk erhverver sig et nyt styresystem.

6,1 procent af de, der bruger NemID, har et XP-styresystem – svarende til 256.000 danskere. Dem der ikke har mulighed for, eller lyst til, at skifte styresystem, kan download en blanket, som ganske langt må udfyldes i hånden og sendes til a-kassen.

Selvom der fra 1. juli kommer en udgave af NemID til smartphones, som ikke er afhængig af Java, har Digitaliseringsstyrelsen gentagne gange opfordret til, at brugerne af XP skifter system. De er nemlig langt mere udsat for virus og hackerangreb, da XP ikke bliver tilstrækkeligt sikkerhedsopdateret.

Jeg har tidligere skrevet, hvordan jeg på to aftener fandt to store sikkerhedshuller på to offentlige sites.

Det første site lækkede authentication cookien over http og dermed mulighed for, at en Man-In-The-Middle kunne aflæse cookien og overtage brugerens identitet.

Det andet site kan udsættes for et Cross site scripting angreb.

Cross site scripting (XSS)

Det går i al sin enkelthed ud på, at man ved at manipulere med input kan indsætte JavaScript på et site og dermed kan eksekvere JavaScript kode på sitet. Problemet skyldes at input parametre til en webside ikke saniteres og kontrolleres og dermed kan hackeren forsøge at manipulere parametrene til sitet og dermed prøve at få injectet noget Javacript.

Der er to typer cross site scripting: Reflected Cross Site Scripting hvor angrebet typisk udføres ved at sende links eller lignende til ofrene, som så ved at klikke på linket får aktiveret angrebet. Et stored Cross Site Scripting derimod er mere alvorligt, da serveren i modsætning til reflected gemmer angriberens data i databasen og dermed bliver langt flere brugere udsat for angrebet.

De første forsøg

Hvis et site har en søgefunktionalitet så er det et godt udgangspunkt at forsøge at sætte at reflected XSS angreb ind først. Det gjorde sig også gældende på dette site. Søgefunktionaliteten er implementeret ved, at der kaldes en url med en query parameter “SearchTerm”, som indeholder søgeordet.

Jeg forsøger først at søge på

. Dette medfører en fejl på sitet. Jeg prøver lidt forskellige kombinationer (med eller uden <, / og >) og alle medfører en fejl på sitet.

Herefter forsøger jeg bare at søge på rubbish. Det giver en fejlfri søgning. Jeg prøver herefter at se sidens kildekode og søger på rubbish, for at finde de steder på siden, hvor søgetermen benyttes.

Og voila: Den benyttes i noget JavaScript kode:

Nu har vi noget

Så kunne jeg bruge et søgekriterie, hvor jeg injectede noget JavaScript kode? Og ville det have en effekt. Ja for længere nede i JavaScript koden blev searchTerm skrevet ud i et html element:

Nu skulle jeg bare finde ud af, hvordan jeg kunne injecte JavaScript ind i variablen searchTerm. Da indholdet af variablen sættes server-side og jeg kan se, at den udskrives html encodet, så kan jeg jo bare indsætte ved at JavaScript encode mit JavaScript:

Ovenstående bliver i JavaScript til

Og det skrives ud i div tagget og dermed bliver det eksekveret af browseren. Og resultatet er en alert boks med indholdet pwnd by kbt [pile_of_poo] (jeg kan desværre ikke indsætte unicode karakterer i blogposten).

Hvad kan det bruges til

Man kunne jo sende et link til en masse potentielle brugere af sitet og håbe at de klikker på det. Hvis de samtidigt er logget ind på sitet, kan man altså udføre en masse handlinger på deres vegne. Hvis det havde været en webbank kunne man instruere browseren i at submitte en formular, der fx overførte penge. Hvis det havde været en webbaseret email løsning kunne man jo slette alle personens emails eller overtage kontoen.

Et af de mest grelle eksempler på XSS er Samy MySpace worm. Her brugte en ung mand XSS til at lave en orm, der sendte en masse venneforespørgsler af sted på det sociale site MySpace.

Hvordan kan man sikre sig?

Angrebet kan udføres fordi udviklerne af sitet ikke har været opmærksomme nok på at validere input parametre samt at sørge for den korrekte encoding af input parametre, som udskrives igen. I dette tilfælde havde udviklerne sikret, at man ikke kunne bruge < tegnet i søgestrengen. De havde også sørget for at html encode søgetermen inden den blev skrevet ud i “du har søgt på rubbish”, men de havde glemt at JavaScript encoding er noget helt andet end html encoding.

Man kan bruge de forskellige frameworks måder at encode på. Fx understøtter ASP.NET MVC automatisk html encoding, så når en variabel skrives ud i html sikrer frameworket, at der automatisk encodes og dermed umuligt at injecte fx scripts. ASP.NET MVC understøtter også JavaScript encoding igennem brug af AjaxHelper klassen. Hermed sikres at det ikke er muligt at udføre ovenstående XSS angreb.

Epilog

Som jeg skrev i mit første indlæg så har jeg ikke udnyttet sikkerhedshullerne og har været i kontakt med ansvarlige for de to sites. XSS sårbarheden blev hurtigt fikset på Sundhed.dk og kan ikke længere udnyttes, men desværre er det endnu ikke lykkedes det andet site at rette op på fejlen.

Vi må som udviklere tænke sikkerhed ind i løsningen og de to viste sikkerhedshuller er ikke besværlige at sikre sig i mod. Vi skal tænke sikkerhed ind i vores kode reviews, så det bliver en naturlig del af Definition-of-done: Har vi husket at sanitere input parametre? Encoder vi korrekt når vi viser output på skærmen?

SSL everywhere

Hvorfor ikke bruge https over alt på vores sites? Specielt hvis vi tillader folk at logge ind og have personificeret indhold! Der eksisterer mange myter om SSL og rigtigt mange sidder stadig tilbage med indtrykket af, at det er dyrt at anskaffe og har så stor indvirken på performance, at det er nødvendigt at anskaffe dedikeret hardware til kryptering. Ilya Grigorik fra Google har lavet sitet Is TLS fast yet, hvor myterne aflives. Ved at bruge SSL overalt vil vi sikre vores brugeres privatliv og vi sikrer os i mod Man-In-The-Middle attacks, hvor indholdet fra vores site manipuleres på vej mod brugeren.

Tog på hele Sjælland har holdt stille her til formiddag på grund af fejl hos Banedanmarks it-systemer, skriver Berlingske.

Både skilte og højtalere på stationerne er også ude af drift, forklarer DSB til Berlingske.

Ifølge DR Nyheder ved Banedanmark ikke, hvornår problemerne er løst, men DSB oplyser, at der også er problemer med fejl på skilte og højttalere på stationerne.

Tog fra Sverige vendes i Kastrup, mens togtrafikken i Vestdanmark ikke er ramt af problemerne. S-tog i København kører dog som normalt.

DSB har bestilt togbusser til, at køre mellem Klampenborg-Helsingør og Holbæk-Kalundborg.

S-togene samt regionaltog mellem Roskilde – Næstved via Køge kører normalt oplyser DSB. Heller ikke Københavns Lufthavn – Malmö er påvirket. Metroen til Københavns Lufthavn kan benyttes, og derfra kan man komme videre til og fra Sverige.

Samsung, Intel og Dell forsøger sammen med en række andre it-, chip- og elektronikvirksomheder at skabe en standard for, hvordan elektroniske husholdningsapparater og gadgets skal kommunikere på nettet.

Sammen med chipproducenten Broadcom og flere har de skabt The Open Interconnect Consortium, hvis mål er at levere specifikationer, en open source implementering og et certificeringsprogram for trådløst opkoblede enheder fra mobiltelefoner til lamper, elmålere og køleskabe – det der er døbt Internet of Things.

Det ny konsortium, der blev lanceret i går mandag, står overfor flere andre magtfulde virksomheders forsøg på at definere standarden for fremtidens kommunikation blandt enheder på nettet. AllSeen Alliance, der er støttet af chipproducenten Qualcomm og i sidste uge fik sin medlem nummer 51 i Microsoft er en af konkurrenterne.

En Intelchef, Doug Fisher, fra det ny konsortium siger til Reuters at The Open Interconnect Consortium har fokus på nogle sikkerhedsforhold og andre områder, han ikke mener bliver behandlet godt nok i AllSeen-gruppen.

Endelig har både Apple og Google selvstændige initiativer. Apple lancerede i sidste måned HomeKit til styring af lys og termostater i hjemmet, mens Google ved opkøbet af Nest Labs tidligere i år, der producerer termostater, har udvidet dette samarbejde med selskaber som Whirlpool Corp og LIFX, der producerer lys-pærer for at skabe et integreret miljø for elektronik i hjemmet.

Det gradvise forfald af PC-industri forårsaget af tablets fortsætter. Det skriver techcrunch.com.

Gartner har netop udgivet deres seneste prognoser for globale PC-, tablet- og mobilforsendelser. De står til at runde 2,4 milliarder enheder, og næsten 88 procent kan tilskrives mobiltelefoner og tablets. Googles Androidsystem står for næsten 1,2 milliarder enheder.

Mens mange påstår, at tablets bliver ”den nye PC”, er vi ikke nået dertil endnu.

256 millioner tablets udsendes i år mod 308 millioner PC’er. Gartner forudsiger at tablets overhaler PC’er i 2015, hvor der vil være næsten 321 millioner tablets solgt, mod snart 317 millioner PC’er.

Interessant nok er det ellers uundgåelige fald i PC-salg bremset. Efter et fald på 9,5 procent i 2013 er det i 2014 kun på 2,9 procent.

Mens Apples iPad i den dyre ende af tabellen i form af funktioner og pris længe har domineret markedet, synes denne udvikling at skifte og i øget takt.

Samtidig udgør smartphones 66 procent af alle mobiltelefonsalg i 2014.

Google har nu udsat sin plan om at blokere uafhængige musikproducenter, som ikke vil vedkende sig søgegigantens foreslåede aftale, men det er usikkert hvor længe, skriver The Register.

Små uafhængige musikvirksomheder nægter nemlig at indgå nye pro forma aftaler med Google, som offentligt har meddelt, at firmaet agter at blokere musik videoer fra YouTube, hvis indie-selskaberne nægter at indgå nye aftaler med YouTube.

Repræsenterende grupper fra de mindste firmaer har allerede indgivet en formel klage og opfordret amerikanske myndigheder til at undersøge og annullere alle foreløbigt underskrevne kontrakter.

FT skriver desuden, at YouTube har udskudt de varslede blokeringer. I stedet for at forsøge at forhandle med indieproducenterne, sendte YouTube proformakontrakter ud til de uafhængige labels med truslen om at pengestrømmen fra videoerne blev standset såfremt de ikke indgik aftale.

Indieselskaberne kalder disse aftalevilkår for det rene selvmord.

Under den nye aftale er indieselskaberne tvunget til at opgive såvel prissættelsesrettigheder som distributionsfrihed til Google; hvis de udgiver en sang på en hvilken som helst service, skal YouTube også have sangen.

Ifølge The Register betyder den nuværende version af aftalen desuden, at indieselskaberne også må opgive retten til nogensinde at sagsøge hverken Google eller et medlem af offentligheden, der ulovligt uploader selskabets musik til YouTube. Dette kombineret med DMCA, ville teoretisk set sikre at YouTube fortsætter med at generere profit fra indiemusikken uanset om selskaberne underskriver den stiblede linje eller ej.

Lige nu sidder to såkaldte superhackere varetægtsfængslet i Danmarkshistoriens største hackersag. De er sigtet for at have hacket sig ind i CSC’s mainframe og stjålet en stor mængde personfølsomme data.

Men nu det viser sig, at man ikke behøver at være hacker for at få adgang til CSC’s server. Et hul i sikkerheden gjorde det nemlig muligt for softwareudvikler Anders Jensen at få adgang til CSC’s mainframe, hvor han blandt andet kunne downloade kildekoden til Polsag. Hullet stod på vid gab i en længere periode fra 2011 til 2012. Her fortæller Anders Jensen sin historie til Version2:

»Pludselig opdagede jeg til min store overraskelse, at jeg kunne se roden af CSC’s server. Der var blandt andet det der lignede kildekoden til Polsag, et pensionssystem og andre store CSC-projekter,« siger Anders Jensen, der indtil oktober sidste år var ansat som teknisk ansvarlig i en jysk virksomhed, der leverer software til de danske kommuner. En virksomhed, der i kraft af sin position som leverandør til kommunerne, har adgang til blandt andet CPR-data og kommunale notater via CSC.

I 2011 fik Anders Jensen dog adgang til en hel del mere end det, da han af uransagelige årsager endte blandt massevis af mapper på CSC’s server. Normalt har hver enkelt bruger eller kunde, om man vil, kun adgang til én mappe – sin egen.

Den dag sad Anders Jensen og rodede med kommandoer. Virksomheden skulle ændre FTP-klient, og fordi der ikke er mange klienter, der understøtter den FTP-server, CSC opererer med, ville han selv kigge efter data, der kunne fortælle hvilken FTP-klient, der kunne bruges.

Og med en simpel “/”-kommando fik han pludselig adgang til indhold, der i hvert fald ikke var beregnet til ham.

»Jeg kunne se roden af CSC’s interne server. Ikke bare, hvilke kunder, der var oprettet på FTP’en,« siger Anders Jensen, som efter eget udsagn var rødglødende af raseri over CSC’s behandling af personfølsomme data. Han tilkaldte sin chef, og de to kunne ved nærmere eftersyn konstatere, at de blandt andet kunne downloade en kopi af kildekoden til Polsag – Politiets nu skrottede it-system.

»Vi kunne se en mapperne, men vi rodede ikke så meget rundt. Vi ville ikke snage,« siger Anders Jensen, der efterfølgende kontaktede CPR-kontoret, som henviste ham til CSC.

CSC: ‘Vi lukker hullet’

Her nåede sagen underdirektøren, der lovede at hullet ville blive lukket – og så tænkte Anders Jensen ikke mere over det. Indtil året efter.

I foråret 2012 var den igen gal med virksomhedens FTP-klient, og Anders Jensen gik samme vej for at finde data til en ny. Til endnu større overraskelse end første gang eksisterede hullet stadig.

Sammen med sin chef overvejede Anders Jensen nu, hvorvidt de skulle gå til Datatilsynet eller medierne med sagen, men virksomheden ville ikke risikere sit fremtidige virke med CSC, og i stedet nøjedes de med at henvende sig direkte til CSC igen.

Et par dage senere var hullet lukket.

»Min naivitet fik mig til at glemme alt om sagen. De havde jo lovet at rydde op,« siger Anders Jensen, der først nu står frem af hensyn til sin gamle arbejdsplads, som han har bedt Version2 om at lade være anonym.

Version2 har desuden talt med Anders Jensens daværende kollega, Mads Thomsen, som bekræfter historien. De to sad på samme kontor i virksomheden, og Mads Thomsen var vidne til både opdagelsen af FTP-serveren og den efterfølgende kontakt til CSC, som ifølge Mads Thomsen behandlede henvendelsen med noget, ‘der virkede som ligegyldig.’

Mange har adgang til data

Siden har CSC ændret sit system, så der ifølge Anders Jensen er mere styr på sikkerheden. Men han er dybt forarget over, hvor lemfældig CSC’s håndtering af sikkerheden er.

»Rigtig mange virksomheder har adgang til data ved CSC – for eksempel udtræk af CPR. Men FTP’en, som CSC brugte til at gøre data tilgængelig for sine kunder, var end ikke krypteret, den er kun ‘beskyttet’ af en IP-adressebegrænsning«, påpeger han.

Det betyder, at alle ansatte i en af CSC’s kunde-virksomheder har adgang til de personfølsomme data fra CSC, hvis bare de har et brugernavn, som altid består af et bogstav efterfulgt af firmaets navn og et kort password. Udover navne og CPR-numre kan det være oplysninger om forældremyndighed, fødselsoplysninger, civilstand, kommunale notater og så videre.

»Selv om jeg reelt ikke ved, hvad de fleste af mapperne på den server indeholdt, illustrerer det her, at sikkerheden hos CSC er helt hen i vejret. Det indbyder til, at man udnytter systemet,« siger Anders Jensen.

Det er ikke første gang der er rejst kritik af at CSC ikke har krypteret sin FTP-servere. Sidste år skrev Version2 om internetaktivisten Torben Andersen der med en søgning på domænet csc.dk med værktøjet ShodanHQ fandt frem til flere FTP-servere hos CSC, der ikke var beskyttede.Han kunne få adgang til serverne uden at skulle bruge brugernavn eller password og ’kiggede ind’ på en af dem. Torben Andersen fik uforvarende rettigheder til at ændre, kopiere og slette filer.

Version2 har gentagende gange forsøgt at få en reaktion fra CSC på Anders Jensens historie men indtil videre forgæves.

Fakta

• Anders Jensen har bedt Version2 om at lade sin tidligere arbejdsplads forblive anonym. Vi er bekendt med virksomheden og dens rolle som leverandør til kommunerne, ligeså vel som Anders Jensens tidligere chef er bekendt med vores dækning af sagen.
• Anders Jensens tidligere kollega, Mads Thomsen, sad på daværende tidspunkt på samme kontor og har over for Version2 bekræftet Anders Jensens historie.
• CSC var ifølge Anders Jensen klar over, at deres FTP ikke var krypteret, selvom det normalt forholder sig sådan for sikkerhedskritiske FTP’er.
• Anders Jensen sagde selv op fra sit daværende arbejde.