Kommuner och e-tjänster

Efter att nyligen ha läst tidningen “Di Dimension – De stora cyberhoten” (En bilaga som följde med Dagens Industri för någon vecka sedan) så inspirerades jag att teckna ned följande text. Den beskriver vikten av att göra saker rätt i alla led för att det slutligen ska bli bra och säkert.

Eller om man så vill – Bara för att webbläsaren visar https betyder det tyvärr inte att allt är säkert och bra.

De brister som lyfts fram i följande text är enkla och billiga att åtgärda, ibland till och med utan någon kostnad alls. En del åtgärder åligger kommunerna själva att göra och en del måste ägaren av inloggningstjänsten utföra.

Låt oss titta närmare på två kommuner, avsikten är alls inte att hänga ut dessa utan snarare påvisa dem som exempel för något som förmodat gäller generellt för de flesta av landets kommuner. Dessa två kommuner har en gemensam portal för sina e-tjänster på https://www.e-halsingland.se/. Låt oss ta en titt på hur det ser ut när man loggar in på den tjänsten.

Båda kommunernas huvuddomäner är sedan många år signerade med DNSSEC. Domänen bollnas.se har två auktoritativa namnservrar i Sverige medan soderhamn.se bara har en. Tittar vi närmare på domänen för deras e-tjänster, e-halsingland.se, så har den ingen namnserver i Sverige och den är heller inte signerad med DNSSEC. Om vi ska följa skolboken för hur vi sätter upp domäner för svenska myndigheter och kommuner så bör e-halsingland.se signeras med DNSSEC och åtminstone ha två namnservrar som är placerade i Sverige.

Vi går vidare och tittar på http://www.e-halsingland.se/ där vi väljer att logga in.

Vi blir direkt omdirigerade till en krypterad förbindelse mellan klient (användaren) och server (webbtjänsten). Vi tittar närmare på certifikatet och krypteringen via ett öppet tillgängligt verktyg som ger följande resultat:

https://www.ssllabs.com/ssltest/analyze.html?d=idp.e-halsingland.se
idp.e-halsingland.se
Certifikatet och krypteringen får tyvärr ett lågt betyget och rekommendationen blir därmed att den som ansvarar för sajten snarast bör förnya certifikat och åtgärda brister. Som tillägg här kan nämnas att Chrome och Firefox inom kort kommer varna för certifikat som använder algoritmen SHA1.

Men med det så slutar inte problemen. En inloggning innebär att vi hamnar på CGI:s inloggningstjänst på m06-mg-local.idp.funktionstjanster.se.

https://www.ssllabs.com/ssltest/analyze.html?d=m06-mg-local.idp.funktionstjanster.se
funktionstjanster

Här är det då full pott på tjänstens certifikat, vilket är bra. Men hur ser det ut med DNS och DNSSEC på den då?
https://zonemaster.se/test/13849 visar att funktionstjanster.se brister på så sätt att namnservrarna för DNS bara finns hos en Internetoperatör samt att signaturlivslängderna är på 656 dagar, vilket är långt över vad .SE rekommenderar.
Just livslängden för signaturer är ett ganska vanligt problem då de som hanterar DNSSEC inte verkar kunna skilja på livslängd för nycklar och för signaturer. Namnservrarna står alla i Sverige men de ligger i samma IPv4/24-nät så förmodligen står alla på samma plats vilket innebär att det blir sårbart vid avbrott.

idp.funktionstjanster.se är sedan delegerad till helt andra namnservrar och den https://zonemaster.se/test/13847 visar på många brister.
Certifikatshanteringen på m06-mg-local.idp.funktionstjanster.se är bra men namnservrarna lämnar alltså en hel del övrigt att önska. Ett stort plus ges dock för namnservrarna och m06-mg-local.idp.funktionstjanster.se då dessa har IPv6 aktiverat, vilket inte är fallet för de övriga inblandade domänerna.

Efter en lyckad inloggning hamnar vi sedan på https://www.e-halsingland.se/mycases/ där vi återigen kan se stora säkerhetsproblem.

https://www.ssllabs.com/ssltest/analyze.html?d=e-halsingland.se
e-halsingland

De här kommunerna är inte unika på något sätt utan det här är ett vanligt problem att säkerheten inte kontrolleras överallt. Även tjänsteleverantörer visar stora brister i certifikatshanteringen som ni kan se på exemplet nedan.

https://www.ssllabs.com/ssltest/analyze.html?d=ticket.siriusit.net

Sirius
Och återigen för att kommunerna i det här exemplet inte ska känna sig utpekade så listar vi några andra kommuner och tjänsteleverantörer som också bör kamma till sig.

https://www.ssllabs.com/ssltest/analyze.html?d=procapita.net.umea.se
https://www.ssllabs.com/ssltest/analyze.html?d=portal.gavle.se
https://www.ssllabs.com/ssltest/analyze.html?d=service.huddinge.se
https://www.ssllabs.com/ssltest/analyze.html?d=e-tjanster.tyreso.se
https://www.ssllabs.com/ssltest/analyze.html?d=boras.dexter-ist.com
https://www.ssllabs.com/ssltest/analyze.html?d=lomma.ist-asp.com
https://www.ssllabs.com/ssltest/analyze.html?d=m03-mg-local.login.sundsvall.se

 Hur går man vidare

DNS:en för e-halsingland.se bör bytas/kompletteras och signeras med DNSSEC + att CGI bör fixa till sina signaturslivslängder.

Certifikaten för idp och www.e-halsingland.se bör uppgraderas från SHA1 till SHA256 och de flesta certifikatsutgivare gör det gratis. OBS! Det gamla certifikatet dras tillbaka inom några dygn så det måste bytas på alla platser som det används!

För övriga inblandade produkter så går det att Googla sig till lösningen, men då idp.e-halsingland.se är en Portwiseserver så visar jag hur man kan få den A-rankad.
https://www.ssllabs.com/ssltest/analyze.html?d=portal.interlan.se

portal.interlan

Vår uppsättning av TLS i Portwise.
Tls

Då man tar bort gamla protokoll gäller det att komma ihåg att äldre OS/plattformar inte kommer kunna ansluta till tjänsten. I detta exempel är det Android 2.3.7 och Windows XP med Internet Explorer 6 och 8 som inte kan använda tjänsten. Tas TLS 1.0 bort så är det för många plattformar som inte kan ansluta överhuvudtaget.
plattformar

www.e-halsingland.se är en Microsoft IIS och hur man fixar till den kan ni läsa om på https://support.microsoft.com/en-us/kb/245030.

En bra och förklarande text om hur man säkrar TLS finns på https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html
Den är skriven för Apache2 men det går att applicera metoden på valfri webbserver.

Mitt mål med den här texten är att påvisa att man måste undersöka hela kedjan av alla inblandade produkter och leverantörer för att nå den önskade säkerheten hela vägen. Och som ni också ser så går de flesta synpunkter jag har att åtgärda utan några stora, om ens några, kostnader. Så var så god och genomför!

Leave a Reply