Gå till innehåll

Om man undrar var våra svenska myndigheter registrerar sina domännamn för deras primära webbar, och samtidigt undrar hur många av dessa zoner som per registrar är signerad (har DNSSEC), så är ovanstående diagram eventuellt det man vill titta på. Målgruppen för detta är nog ganska liten.

Blandade kommentarer:

  • 237 myndigheter har samsats på 197 domännamn/webbplatser.
  • 99 domäner har aktiverat DNSSEC, 98 har det inte. Precis över 50 % således! Kanske något för IIS att fira, om det inte vore för att...
  • Den digitala agendan från 2011 hade bland annat målet "Dessutom bör alla myndigheter senast 2013 använda sig av DNSSEC och vara nåbara med IPv6.". Kraftfulla åtgärder har här vidtagits för att fokuserat på ordet "bör", och ingen kan hävda ett misslyckade på den punkten!
  • Den enda domänen om SCB listar som inte ligger under .se är ilo.org för Ilo-kommittén. (Jag undrar om inte SCB borde peka på http://svenskailo-kommitten.se/ i stället. Buggrapport skickad.)

Bonusmaterial! En bra grej är att det endast tycks vara 3 myndigheter som tar emot sin e-post utanför EU:

  • Mittuniversitetet (miun.se): Primärt till Irland (Microsoft), i andra hand till USA (Junk Email Filter Inc.).
  • Sameskolstyrelsen (sameskolstyrelsen.se): USA (Google).
  • Statens Fastighetsverk (sfv.se): USA (FireEye).

(Det förekommer dock att man tar in e-post på en annan domän än den som webbplatsen har. Dessa har jag inte kollat upp. Dessutom kan mycket väl trafiken passera EU-gräns även om målservern står inom EU. Traceroute och GeoLocation skulle kunna hitta detta, men resultatet blir mycket osäkert.)

Fler avslöjanden på ungefär samma rafflande nivå i kommande bloggposter... 🙂

2

Lördagsnöje: Ladda hem listan med myndigheter från SCB och skriva ett litet script som som hämtar hem vad alla myndigheters webbservrar påstår sig vara av för sort. Alla servrar ville inte berätta, men de flesta. Jag fick sedan patcha resultatet lite för hand, men det blev nog ganska rätt. Nåväl, här är en fördelning av vilka servar som används på våra myndigheter, med versionsnummer borttagna så att det blir läsbart.

Några  kommentarer om de mer ovanliga systemen:

  • Någon har obfuskerat HTTP-servernamn på Finansinspektionen till FI. Där hostas även Bokföringsnämnden som fått webbservernamn satt till BFN.
  • Försäkringskassan har den lustiga webbservern Wooga-Woo/8.4, vilket tycks bero på att de kör Apache med mod_security och har klippt och klistrat ett konfigureringsdirektiv från Apache Cookbook eller en webbsida. Inget ont i detta.
  • Något så märkligt som Oracle-Application-Server-11g används av ILO-kommittén, vilket tycks vara en dålig idé även om CVE Score inte är höga. Servern står för övrigt i Schweiz.
  • Roxen/6.1.203-r1 tycks vara den enda Roxen i bruk. Den som var så populär en gång i tiden... Körs nu av Nordiska Afrikainstitutet. Det finns en "r2" sedan 2017-02-13, men den tycks inte ha rättat något säkerhetsproblem.
  • Linneuniversitetet har en server som kallar sig för Puffy, vad nu det är för något.
  • Lotus-Domino, vem tusan kör detta? Jo, Södertörns högskola. Kul för er.

Nedan är en lista på de flesta övriga serverversioner som hittades. Jag har inte gjort någon djuplodande undersökning, men kommenterar ändå vissa detaljer.

Webbservertyp (i lite knäpp ordning) Förekomster Kommentar
Apache/2.2.12 (Linux/SUSE) 1 Apache från 2009. Flera problem kan finnas.
Apache/2.2.15 1 Apache från 2010. Flera problem kan finnas.
Apache/2.2.15 (CentOS) 2 Apache från 2010. Flera problem kan finnas.
Apache/2.2.15 (Red Hat) 1 Apache från 2010. Flera problem kan finnas.
Apache/2.2.22 (Debian) 1 Apache från 2012. Flera problem kan finnas.
Apache/2.2.22 (Ubuntu) 1 Apache från 2012. Flera problem kan finnas.
Apache/2.4.12 (Ubuntu) 1 Apache från 2015. Flera problem kan finnas.
Apache/2.4.18 (Ubuntu) 1 Apache från 2015. Flera problem kan finnas.
Apache/2.4.6 (CentOS) 1 Apache från 2013. Flera problem kan finnas.
Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/5.4.16 1 Apache från 2013. Flera problem kan finnas. Vissa PHP buggar finns från 2013.
Apache/2.4.6 (Red Hat Enterprise Linux) OpenSSL/1.0.1e-fips PHP/5.4.16 1 Apache från 2013. Flera problem kan finnas. OpenSSL/1.0.1e verkar vara rutten. Vissa PHP buggar finns från 2013.
Apache/2.4.7 (Ubuntu) 10 Apache från 2013. Flera problem kan finnas.
Apache/2.4.7 (Ubuntu) PHP/5.5.9-1ubuntu4.22 OpenSSL/1.0.1f 1 Apache från 2013. Flera problem kan finnas. OpenSSL/1.0.1f är trasig. Många PHP-buggar från 2014 men kanske är versionsnummer missvisande.
Apache-Coyote/1.1 28 Inget "roligare" än en XSS med CVE 4.4.
Microsoft-IIS/10.0 1 Myndigheten för delaktighet är de enda som tydligt kör på Windows Server 2016.
Microsoft-IIS/6.0 2 End Of Life 2015!
Microsoft-IIS/7.0 3 Extended Support möjlig.
Microsoft-IIS/7.5 37 Extended Support möjlig.
Microsoft-IIS/8.0 6 OK
Microsoft-IIS/8.5 72 OK. De flesta tycks köra använda IIS 8.5 på Windows Server 2012 R2. Detta har vanlig support till 2018-10-09, och utökad till 2023-10-10, för den som vill lägga pengar på fel saker.
nginx/1.1.19 1 CVE 5.0, no biggie.
nginx/1.10.0 (Ubuntu) 1 CVE 7.2, no biggie.
nginx/1.12.1 1 OK
nginx/1.6.2 1 CVE 7.2, no biggie.

Roligare än så här blev det inte. Ett par avslutande kommentarer dock:

  • Att uppdatera programvaror är uppenbarligen ganska svårt för rätt så många.
  • Vi kanske skulle inrätta en myndighet för säkerhetsuppdateringar? OBS! Ironi...
  • Säkerhetsfixar eller andra åtgärder kan ha tillämpats även på gammalt skrot.
  • Det behöver inte vara möjligt eller lätt att utnyttja eventuella sårbarheter.
  • Wooga-Woo!

3

UK government’s National Technical Authority for Information Assurance (CESG) har motiverat varför de slutat rekommendera påtvingat lösenordsbyte: https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry

Även sammanfattat här: https://kryptera.se/uppmaning-tvinga-inte-regelbundna-losenordsbyten/

Kommentar till detta:

Rent krasst kommer ingen att byta lösenord om det inte upplevs viktigt. Men att förmedla vad som faktiskt är viktigt kommer organisationer med största sannolikhet att misslyckas med på samma sätt som insatser inom "security awareness" vanligtvis misslyckas med att ändra användarnas beteenden1.

Dessutom kommer mycket få organisationer att ta till sig och agera på sista stycket i inlägget. Det om att utreda och implementera alternativa kontroller.

Säger inte att rådet är fel, men vi inom "säk" måste styra upp detta!

1

Nyfiken på vad som ändrats i MSB:s "MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter" efter remissrundan1? Då behöver du nog fundera över prioriteringarna i livet, men till dess den utredningen är klar så har jag hackat ihop en enkel "diff": https://drive.google.com/file/d/0B1nhZoc6TUUvWkhCS0N1Nk1RcU0/view?usp=sharing.

Det finns en del intressant! Exempelvis att undantagen för vissa myndigheter borttaget. Innebär detta något i praktiken?

1

Några träffar från enkel googling:

  • "... har tecknat SUA-avtal (Säkerhetskyddsavtal) med FMV"1
  • "Vi har SUA-avtal med Rikspolisstyrelsen och FMV"2
  • "... har undertecknat SUA-avtal (Säkerhetsskyddsavtal) med FMV"3
  • "... har haft säkerhetsskyddsavtal med FMV sedan 1991"4
  • "Säkerhetsskyddsavtal med klass 1 mellan FMV och ..."5

Pinsamt och mindre bra.

Från http://www.fmv.se/sv/Verksamhet/Sakerhetsskydd/Sakerhetsskyddsavtal/Fragor-och-svar-om-sakerhetsskyddsavtal/

Fråga 1: Det vore bra marknadsföring om vårt företag hade ett säkerhetsskyddsavtal.

FMV svarar: ... Säkerhetsskyddsavtal får i sig aldrig användas som argument vid marknadsföring; ett företag får heller inte tala om att man har ett sådant avtal med FMV

Leverantörer borde läsa sina avtal och någon på FMV borde öva upp sin Google-fu!

Ett par kommentarer till seminariet "Staten och cybersäkerheten – klarar vi IT-angreppen?" från Almedalen 1 juli 2015:

Helena Lindberg (GD MSB) kommenterar inrikesminister Anders Ygeman: "glädjande besked om obligatorisk it-incidentrapportering för den statliga sektorn". Detta är alltså en nyhet för MSB och GD:n "blir nyfiken på att få höra mer om vem rapporteringen ska ske till".

Det flesta har väl antagit att det ska bli MSB, men man kan ju undra vilken myndighet som verkligen får ansvaret när just MSB:s GD (till skillnad från SÄPO:s) ansåg att beskedet var en nyhet...

Om det ändå blir MSB, och detta alltså meddelas mindre än ett halvår innan funktionen ska vara igång (1 januari 2016), ja då blir det ju nästan omöjligt att komma igång i tid! Helena Lindberg nämnde att CERT-SE i dag endast har "ett embryo till digital lägesbild", så det är naturligtvis en hel del jobb kvar innan frågor är utredda och rutiner på plats. Kan tänka mig att det t.ex. finns en del intressant juridik att förhålla sig till.

Annars gillar Anders Ygemans självklara utsaga: "För att informationen ska vara relevant så måste den vara anpassad för mottagaren". Jag tror inte att man kan påminna sig nog ofta om detta! Exempelvis undrar vad man tänkt sig för målgrupp för seminariet.

Ny laboration med Google Trends... Fick för mig att intresset för BYOD var på väg att dö ut, men icke!

trend-byod-v2Intresset för BYOD över tid
(http://www.google.se/trends/explore#q=byod)

Kurvan stiger brant hösten 2011, vilket noteras sammanfalla med att iPhone 4S släpps.

correlation-byod-iphone-v2Intresset för iPhone och BYOD över tid
(http://www.google.com/trends/correlate/search?e=byod&e=iphone&t=weekly)

Det kanske finns viktigare orsaker till att funderingar runt BYOD tog fart efter julen 2011 än att denna något bättre telefon släpptes, men det är en teori i alla fall. Inte för att det spelar någon roll egentligen, och man kan ju inte klaga på Apple bara för att de tar fram en användbar produkt...

Alltså, detta med BYOD...

Jag tycker själv att BYOD är ganska ointressant (det var därför jag felaktigt förutsatte att intresset hade svalnat). Något trivialiserat, men det finns som jag ser det endast två rimliga strategier för att hantera frågan:

  • Antingen tillhandahåller man vettiga och av organisationen ägda och förvaltade enheter,
  • eller så tydliggör man för medarbetarna att det inte är tillåtet att hantera intern information på privat utrustning1.

Om detta betyder att det behövs en central infrastruktur samt smarta mobiler för många tusentals kronor per anställd och att dessa byts med regelbundenhet för att medarbetarna ska vara mobila och nöjda, ja då får man bita ihop och betala!

2

intresse-ransomware-backup
Lekte lite med Google trends1. Det ser ut som om ransomware kommer att vara en lukrativ bransch ett bra tag till!

Att hantera ransomware borde i princip vara identiskt med att hantera en hårddiskkrasch, när det väl smäller. Men säkerhetskopiering är inget som uppstår av sig själv, det krävs insikt och kunskap för att få till det. Och med brist på detta väljer många att i stället stödja kriminell verksamhet för att få tillbaka sina filer, vilket gör att problemet kommer att öka... Dystert!

Uppdaterat och tillagt 2016-12-04: Detta var väl rätt tänkt om man bara tar hänsyn till tillgänglighet. Sekretess är en annan femma. Ungefär samtidigt som jag skrev detta inlägg så dök utpressningstrojanen Chimera upp, vilken hotar med "doxing". Verkar dock som om det är svårt (eller onödigt) att tjäna pengar med denna metodik, för den tycks inte ha tagit fart. Slutsats: Glöm inte bort CIA-triaden! 🙂

1

nils_funcke_yttrandefrihet

Föredrag om offentlighetsprincipen från en journalists perspektiv, men generellt intressant!

"Nils Funcke är en av Sveriges främsta experter på offentlighetsprincipen. Här berättar han om hur man som journalist kan använda offentlighetsprincipen och vilka möjligheter lagen ger. Inspelat den 21 mars på Elmia i Jönköping. Arrangör: Föreningen grävande journalister."

Det finns en massa bra saker på UR Samtiden. Synd bara att det marknadsförs så lite och förmedlas så dåligt i stora ogreppbara block i vanlig TV av SVT. UR Play är dock toppen, när man/jag väl hittar dit.

Se detta föredrag: http://urplay.se/Produkter/189104-UR-Samtiden-Grav-2015-Offentlighetsprincipen

 

DN går ut hårt i dag med en artikel om att Hemlig kod spionerar på svenskars surfvanor. Det står bland annat att:

  • "information om användarens surfvanor ”läcker”"
  • "Informationen tankas vidare till en server i USA."
  • "Ägaren säger till DN att han säljer vidare uppgifter om surfbeteende."
  • "dold spionkod" (dolt och okänt för vanliga användare)
  • "Varje minut skickas information om användarnas surftrafik vidare till en server som är registrerad i USA"

Exakt som när man surfar till DN.se alltså!

Bara genom att ladda startsidan för http://www.dn.se/ så kommer nästan 400 webbanrop att göras från din dator till olika destinationer runt om i världen. Anropen görs till företag som tar del av våra surfvanor på DN.se för att göra pengar på uppgifterna. DN lär få en del av kakan, och det är alltså våra surfvanor som vi betalar med när vi tar del av DN.se "gratis".

Nedan visas en graf över de anrop som görs (dagsnotering) till olika länder via startsidan på DN.se. Färgförklaring:

  • Grön: Den webbsajt man förväntar sig ansluta till med ett domännamn under dn.se, oavsett geografisk placering.
  • Orange: Annan webbsajt inom Sverige som tar del av våra surfvanor. (Kanske driftas vissa av DN.)
  • Röd: Våra "surfvanor" sprids genom DN.se utanför Sverige, t.ex. till USA.

www.dn.se-v2

Inte undra på att "AD Blockers" är populära...

__
Uppdatering 7/4 kl 21.17: Uppdaterat min Geolocation DB och skapat om bilden.