DSB ID kontrol, cloud og iPhone

Lad mig med det samme understrege at jeg ikke har været indblandet i udviklingen af app eller har andre oplysninger end de idag offentliggjorte.

Warning work in progress, er stadig ved at tilføje, men tænker folk allerede nu kan have glæde af at læse de første afsnit. YMMV.

ny updates sættes nederst, scrooooool down

Godt nytår - ID kontrollen er igang og Radio247 har gjort meget ud af at rapportere, tak! Nye kan evt. starte her: https://www.facebook.com/sofierye/posts/10153369458547547?comment_id=101...

og os der følger Sofie på twitter fik også via denne kanal informationer.

Næste er så at internet, primært facebook og twitter koger over. Der er få fakta og mange spekulationer. Det burde DSB have forudset og straks - faktisk inden lanceringen, have imødegået ved at skrive detaljer offentligt.

... og det med at skrive detaljer offentligt skader ikke sikkerheden!

Eksempelvis er det jo et udmærket fakta "data opbevares i Danmark" - uden at man behøver at sige det ligger på en stationær nede i informationen på hovedbanegården. Det er nok sandsynligt at det gemmes på egne servere i et datacenter i Danmark, med rimeligt sikkerhedsniveau - altså fysisk set. Mit gæt er umiddelbart et sted i Bagsværd.

Trusler

Inden vi går igang, jeg forventer at I kender CIA triaden, fortrolighed, integritet og tilgængelighed. Det er også værd at bemærke at der som ofte er en lille forskel på hvem man er - når man siger "systemet er sikkert".

Sikkert for hvem, og hvad er beskyttet imod hvad.

DSB vil formentlig sætte integritet højt, de skal kunne genfinde et billede, at der blev vist gyldigt ID når en person står i Sverige. Til gengæld er de tilsvarende "ligeglade" med om fortroligheden ryger fløjten, for udover lidt dårlig omtale - så er bøderne i Danmark alt for små - og det var jo et hændeligt uheld.

Vi andre synes så det er hovedrystende at man sådan uden videre lader en transportør, via en 3-part endda, opsamle billeder af vores pas ... bemærk at vi jo ikke har et nationalt ID-kort, så mange vil benytte pas. Interesserede kan genfinde oversigter over HVAD et pas rent faktisk indeholder idag, og så kan vi tage den senere!

TL;DR burde vi tillade en privat aktør, hvadenten det er DSB eller SAS at opsamle vores Pas-informationer, NEJ.

Hack the planet - misbrug

Nu er hack jo efterhånden lidt slidt, og diskuteres jævnligt i version2 debatten også, så lad os istedet fokusere på misbrug. Misbrug af vores oplysninger er en oplagt trussel imod os som rejsende.

Misbruget kan ske af flere årsager, og nedenstående trusler starter miseren

  • Securitas medarbejder med kamera optager mens han står med pas og optager med den sikre app
  • Andre optager mens Securitas medarbejder står med den sikre app
  • CPH Airport optager mens Securitas medarbejder står med den sikre app

Så vi er ikke engang kommet til den sikre app, eller opbevaringen men har allerede 1.000-vis af personer som potentielt kan misbruge data.

Lad mig dog lige straks sende et internet kram til Securitas og alle de gode vagter jeg kender, I er dejlige, flinke, servicemindede, men sikkerheden i en løsning er sjældent større end hvad man giver i løn til dem som skal opretholde den. Til de mere teknisk mindede som tænker om der kan optages med kamera, altså skjules kameraer, så find gamle Brian Krebs artikler om ATM skimmers, så kan I få viden om HVOR små kameraer idag kan laves.

OK, så er vi ligesom igang, så lad os fortsætte lidt, og husk der er ingen garanti for at jeg er kreativ nok i dette indlæg, så kom gerne med flere ideer nedenfor. Så vi står med pas fremme, i køen, fordi der kommer kø! Helt sikkert.

Køen er et af de foretrukne steder at gå i lommerne på folk, som lommetyv - og da pas er en lækkerbisken - så kommer der til at være en forøget risiko for lommetyve, samt at vi straks viser hvor vi gemmer værdier, og har taskerne åbne, osv. osv. Vil CPH airport afsætte resourcer til at holde øje med dette? vil DSB, vil Kbh politi?

Det er heller ikke alle som går rundt med pas hele tiden, men det skal flere gøre nu - så hele vejen på arbejde, i byen, pendlere, vil nu fremover HELE TIDEN have pas på sig.

Trussel

  • Lommetyve stjæler vores pas

Bemærk: DSB er som transportør pænt ligeglade med om du mister dit pas, det må du jo selv holde øje med og betale for.

Sikker cloud

Godt, vi må hellere komme igang med lidt positivt - billede og opbevaringen af samme. Her ved vi pt. at der tages billede med iPhone - og det er fakta at iPhone iOS har gode muligheder for at opbevare data sikkert. Nyere enheder kan kryptere indholdet, som jo ihvertfald ligger på telefonen indtil det er uploadet. Det er også muligt at lave apps som eksempelvis bruges til medicinske data, sundhedsdata er et helt fokus område for Apple. Full-Disclosure jeg arbejder for Patientsky Danmark og har været i kontakt med Apple om samme.

Da vi pt. ikke ved ret meget om app'en vil jeg således lave følgende antagelser, kan ske jeg kan rette i dem.

  • App'en der tager billede bruger kameraet, gemmer kortvarigt og uploader straks, eller så snart som muligt
  • Data overføres sikkert til en server/serverfarm under DSB's kontrol

men hov, det er jo nogle gigantiske - og formentlig urealistiske antagelser, lad mig lige uddybe

  • App'en tager et billede
  • App'en gemmer billedet midlertidigt - måske længe, hvis der ikke er adgang til netværk
  • App'en uploader billedet via en kendt teknologi, måske SSL/TLS - som igennem FUCKING HELE SIDSTE ÅR havde problemer på næsten ALLE populære platform. Heartbleed anyone.
  • App'en sender over en ikke specificeret internetforbindelse, som måske/måske ikke forlader Danmark. Det er ikke urealistisk at forbindelsen krydser over til Sverige, og dermed kan opsnappes af FRA, eller over et knudepunkt i Danmark hvor NSA har adgang til data.
  • App'en bruger måske istedet for SSL/TLS VPN - lol, måske bruger de Netscreen? - der er muligheder for fejl
  • App'en - eller telefonen sender over en ikke specificeret netværksteknologi data, Wifi? Mobildata, 3G, 4G? Det varierer lidt hvad truslerne er med de forskellige.

Når listen således vokser, og det er endda uden specifikt kendskab til denne app! Så ER der grund til bekymring.

Server sikkerhed

Samme øvelse kan vi også starte på for serveren der modtager data, men da vi har relativt få oplysninger så bliver det ikke et komplet billede, men

  • Serveren modtager data fra app'en, måske lukket ned til kun at komme fra CPH Airport, eller en specifik udbyder, who knows?
  • Serveren har sikkerhedsfejl i softwaren fra leverandøren af operativsystem og webserver - antager der bruges HTTP(S) og der ER fejl i software
  • Serveren har formentlig yderligere fejl i det kode der specifikt er skrevet til dette projekt - håber de kender til OWASP, men mere sandsynligt så er det lavet af nogen som aldrig har lavet netop denne type applikation før, som ikke er eksperter i kryptografi, som ikke helt ved hvad PFS kan stå for
  • Serveren gemmer data krypteret, er der sagt, men hvad kryptering og hvem har adgang - læs + X*100 personer kan opnå adgang
  • Serveren er i FM-drift hos en leverandør som er presset på pris, og derfor er sikkerheden ikke altid /helt i top/, men cheferne forsikrer at der altid arbejdes efter ISO9001 og der ER en DS484 sikkerhedspolitik. Driller ved at henvise til den gamle, alle ved jo at ISO27001 som leverandøren har er iværksat og indført 110%
  • Der er backup af serveren

Nogle spørgsmål jeg gerne så besvaret fra DSB er:

  • Hvor lang tid har leverandøren været om udviklingen
  • Hvem er leverandør af software, app og server
  • Hvor - specifikt hos hvilken leverandør er det i drift - forhåbentlig ikke CSC vel?

og jeg glæder mig til at der kommer flere detaljer, selvom pressechefen synes det er nørdet.

Værdien af data tiltrækker angreb

Hvad er værdien af data?

Det spørgsmål er der alt for få i Danmark der spørger om, når de opsamler data. Faktisk burde det være første spørgsmål man stiller hver gang der skal sættes en ny applikation i søen, hvad koster det at opsamle, beskytte, gemme, behandle og sikre.

Når man samler MANGE data, så er forøger det risikoen for angreb, og der er interesse i at bruge flere resourcer til at angribe.

I den forbindelse er det en god start kun at gemme data en måned, men kunne man opnå samme effekt ved kun at gemme en uge, eller gemme 14 dage? Politikere og andre må meget gerne udspørge DSB meget konkret hvad overvejelser der ligger til grund for 1 måned, fremfor 3 uger, fremfor 2 uger ...

Pyyyh, det var lidt blandede bolcher, og jeg vil tillade mig at tilføje og håber I vil tage det konstruktivt at se "work in progress", og jeg vil vældigt gerne inkorporere flere ting fra jer ovenfor, med navn og kilde naturligvis. Så fortæl mig hvad er det værste ved den her løsning?

Changes:

20150104 ca. 22:25

iPhone ude - det er Samsung telefoner der bruges med en app Mptjek fra Mobile people - der uploader data via 4G på TDCs netværk - formentlig til Mobile People servere.

@torbrob på twitter har downloadet app og decompileret, ligger på Google Drive, link via https://twitter.com/torbrob/status/684100821634707460

20150105 ca. 19:10

Fuck en vild dag. Der er sket masser af ting, og folk har været helt ekceptionelle. Specielt tak til Torben Andersen @torbrob som dekompilerede koden til app'en - selvom rygterne siger at de måske bruger en speciel udgave, så er det ihvertfald skelettet - og jeg har selv kigget lidt rundt. Det er slemt, som i LOGIN URL som er skrevet ind med https:// ender i en funktion til et API, vist nok https://hc.apache.org/httpcomponents-client-ga/httpclient/apidocs/org/ap... , som forventer en streng - summasummarum username og password sendes i klar tekst over http. Det er sgu flot nok.

Samtidig er der også nyt fra DSB, og tak for det. De vigtigste er at vi ikke blot har fået gentaget feel good, Trust Us!, men rent faktisk har fået adgang til både Bech Bruun notat dokument, detaljer omkring affotografering - som bekræfter en del vi vidste, samt at DSB nu har lukket så databasen ikke kan tilgås direkte fra internet. Re det sidste der, så blev upload af billeder foretaget til en server over "internet", men der er nu lukket for adgangen, tror vi nok, måske, visse vasse, Trust US! ;-)

Det har været lidt sjovt at se at fordi der manglede tekniske detaljer så har crowden poolet resourcer og givet hinanden hints, som tillsammen på mindre end 24 timer har afklædt, afkræftet og gennemhullet mange af de tidlige argumenter fra DSB!

Så hvis vi skal opsummere, så er der flere ting der stikker i øjnene, som i min optik diskvalificerer denne applikation til den brug, overføring og opbevaring af personfølsomme data. Vi burde lige samle penge og sende et par kopier af 24 Deadly Sins of Software Security: Programming Flaws and How to Fix Them til dem - der er brug for viden om sikkerhed i firmaet Mobile People!

Upload sker til en sikker server, over en krypteret forbindelse - ja, altså efter at login fra app'en er sket med standard http, der som minimum er gået igennem TDCs netværk. PS Jeg stoler ikke på ALLE TDC medarbejdere

Mobile People kodekvalitet er ikke sikker nok, og både app'en og deres server sikkerhed lader noget tilbage at ønske. Pro tip: server tokens PROD til Apache skjuler at man eksempelvis bruger Debian Apache 2.4.18. Ja, det er sgu petitesser, men hvis man ikke engang gider gøre det, så er man IMHO ikke de rette til at lave en så kritisk app.

De siger at der er blevet testet, men af hvem? - det er ikke til at sige, men da vi kan se udtalelser fra en del sikkerhedsfolk, så er det nok ikke deres firmaer.

BTW Hvis du føler dig lidt tyk ovenpå Jul og Nytår, så bliver det sgu ikke bedre af at Mobile People Mptjek lægger billeder af dig under "vehicles" :-D ... fortsættelse følger

20150106 ca. 11:41

DSB ændrede igår - el dvs Mobile People og DSB?, ændrede således at adgangen til serveren efter sigende ikke kan nås fra internet https://www.dr.dk/nyheder/indland/dsb-lukker-netadgang-til-server-med-pa...

- Den kan ikke nås fra internettet længere. Den kan kun modtage data fra den app, vi har fået udviklet. Skal man have adgang til data, skal man stå lige ved siden af maskinen, siger han.

Mit gæt kunne være et af flere alternativer, bedste ville være at TDC tilbyder en lukket gruppe til de abbonnementer/brugere/telefoner - så de er adskilt fra andre TDC kunder. Det giver en vis isolation, og et eget IP-scope-routing-domain-vlan (hvad hedder det i telesprog?). Dernæst vil leverandøren Mobile People på deres firewall lave IP restriktioner på dette. Det giver en klar forbedring, en positiv udvikling, men ikke helt nok - der er stadig flere leverandører af netværk indblandet som vil kunne aflytte trafikken, og måske lave man-in-the-middle.

Der er også kommet en artikel med nogle detaljer fra Mobile People: http://www.version2.dk/artikel/kun-en-medarbejder-har-adgang-til-omstrid...

Dejligt med flere detaljer, selvom det straks giver anledning til nye spørgsmål.

  • Fysisk sikkerhed, indbrudsikring, kontorlokaler i industrikvarter i Herlev ...
  • Fysiske parametre som fiberføring - er der redundant internet, er der redundant strøms, UPS, Generator osv.
  • Netværksmæssige parametre er der mere end 100Mbit fiber til huset? 1Gbit? DDoS trussel - specielt fordi app KUN virker med internet iflg. ovenstående
  • Netværk een leverandør Telia som leverer internet, og 4G data fra en lukket gruppe hos TDC? - som stadig skal over noget peering - hvor, hvordan

NB: Det er ikke en opfordring til at blokere for ID kontrollen med et $10 DDoS booter! ... men er det en trussel der er overvejet, og løsning på vej, eller noget som kommer som en overraskelse pludselig når det sker? (De fleste danske virksomheder gør først noget ved DDoS når de oplever det)

Der er også en masse praktiske spørgsmål som, hvis Sverige vil have data præsenteret, så skal en DSB medarbejder køre til Herlev, og derefter til Sverige med data? Hvordan skal det leveres til Sverige - hvad er forventningen? Når der også kun er eeen medarbejder, har vedkommende så vagt fra nu af? skal stå til rådighed døgnet rundt? ... eller skal han kun til Herlev, og kan forwarde billederne fra sin PC med email?

Afledt af dette, hvordan hives data ud fra systemet, på en USB pen som er inficeret med malware?

Det er også interessant hvis man gennemgår alle artiklerne, udtalelserne osv. at fordi denne sag bliver presset som den gør, så har vi udtalelser fra dag 1 $X, $Y og $Z, som så dagen efter bliver udspecificeret og ikke /helt/ er rigtige. Nogle af disse er selvfølgelig fejlopfattelse, men andre igen er begreber som efter min mening er fremsat for at indgyde sikkerhed, troværdighed og tryghed i befolkningen. Det er OK at en pressechef ikke kender AES256 og SHA384, men svarene har været direkte forkerte i flere tilfælde.

Eksempel: "Serveren er hos DSB" http://www.dsb.dk/kampagner/id-kontrol/ skriver

DSB opbevarer et foto af billed-ID fra de gennemførte ID-kontroller for at kunne dokumentere udført ID-kontrol over for de svenske myndigheder.

Fakta, serveren står fysisk på en lokation i Herlev som ejes og bestyres af Mobile People. Denne formulering er fra deres egen side, men det samme postulat er fremsat flere steder, og først med version2 artiklen fik vi at vide hvor serveren er.

Måske et job for en journalist at samle den slags oplysninger, sammenligne, og følge op?

Opgave, Panton? Torben? Har I set om app'en eller det library den bruger checker certifikatet ordentligt på HTTPS - altså når den bruger HTTPS?

Henrik Kramshøjs billede
Henrik Kramshøj er internet-samurai. Han elsker netværkspakker tcpdump, wireshark, BackTrack, Metasploit og andre hackerværktøjer og blogger om sikkerhed, netværk og unix.

Kommentarer (16)

Erik Hougaard

Al informationen er jo tilgængelig via NFC med mindre det er et meget gammelt pas, der er jo også billede via NFC ?
(Og ja, så vil det så ikke kunne gøres med iPhones - men det er vel ikke platformen der har valgt metoden?)

Henrik Kramshøj Blogger

Der er kommet sindsygt mange fakta via Twitter hvor diverse har kigget billeder, downloadet app, decompiled app osv.

Jeg synes der var rigeligt kød på til en start, eftersom mange af truslerne er uafhængigt af teknologien, men jeg skal gøre mit bedste for at opdatere lidt.

Erik Hougaard

Nu er der jo andre former for gyldig legitimation som ikke har NFC, som f.eks. kørekort, der også ønskes registreret.

Ahh, bor i Canada, så jeg har ikke helt fulgt så meget med i detaljerne :)

Kan se i app'en at ens position også bliver registreret (SubmitResponseTask.java linje 84)

URLs i koden:

private static final String BASE_URL = "https://mptjek.dk/";  
private static final String BASE_URL_DEMO = "http://mptjek01.mobilepeople.com/";  
private static final String BASE_URL_DEV = "http://10.3.74.106:5000/";  
private static final String BASE_URL_PROD = "https://mptjek.dk/";  
public static final String CLIENT_PROTOCOL_VERSION = "3";  
public static final String IMAGE_URL = "https://mptjek.dk/photos";  
public static final String RPC_ADD_FAVORITE_URL = "https://mptjek.dk/rpc/user/favorite/add";  
public static final String RPC_BASE_URL = "https://mptjek.dk/rpc";  
public static final String RPC_FILE_UPLOAD_URL = "https://mptjek.dk/rpc/raw/upload";  
public static final String RPC_LOGIN_URL = "https://mptjek.dk/rpc/login";  
public static final String RPC_REMOVE_FAVORITE_URL = "https://mptjek.dk/rpc/user/favorite/delete";  
public static final String RPC_REST_PASSWORD_URL = "https://mptjek.dk/rpc/password/reset";  
public static final String RPC_SUBMIT_RESPONSE_URL = "https://mptjek.dk/rpc/response";  
public static final String RPC_USER_DATA_URL = "https://mptjek.dk/rpc/user/data";

De giver umiddelbart svar (selv herovre fra Canada) :)

Uli Fahrenberg

Kan jeg ved DSBs ID-kontrol lovligt nægte dem at tage billede af mit pas/kørekort? De har vel kun hjemmel til netop ID-/kontrol/, ikke umiddelbart til affotografering?

Jan Gundtofte-Bruun

Ja, det er meget interessant at vide, hvor langt borgernes rettigheder rent faktisk strækker sig!

Det nærmer sig efterhånden en stavnsbinding, hvis man ikke kan forlade sin ø uden at skulle give afkald på grundlæggende principper.

Uli Fahrenberg

Eneste officielle info jeg kan finde er på http://www.dsb.dk/kampagner/id-kontrol/ : "DSB tager billeder af dit billed-ID, fordi de svenske myndigheder kræver, at DSB dokumenterer den gennemførte kontrol. Håndteringen sker i henhold til persondataloven, og billederne vil maksimalt blive opbevaret i 30 dage."

Det er da fint nok, men efterlader stadig spørgsmålet om under hvilken hjemmel de tillader sig at affotografere folks ID.

Jan Gronemann

> Gætterier og småt med bekræftede fakta. Kom igen når der er kød på sagen.

Det står da i toppen af artiklen:

> Lad mig med det samme understrege at jeg ikke har været indblandet i udviklingen af app eller har andre oplysninger end de idag offentliggjorte.

> Warning work in progress, er stadig ved at tilføje, men tænker folk allerede nu kan have glæde af at læse de første afsnit. YMMV.

> Der er få fakta og mange spekulationer.

Det er altså ikke katten i sækken.

René Hytting

Kunne man også tænke sig at nedenstående "pinde" har en relevans.:

  • Hvordan sikre DSB, at medarbejderen ikke uploader billederne til medarbejderes egen "sky" eller mobiltelefon via NFC eller Bluetooth.

  • Er der en logfil som kigges igennem hverdag, om hvilke aktiviteter der har været på den enkelte mobiltelefon.

  • Bliver telefonen nulstillet når den ikke bruges efter endt arbejdsdag (tyveri, uautoriseret software osv.).

Stephan Kaas Johansen

Et spørgsmål som jeg mangler lidt svar på i denne diskussion er hvem ejer telefonen/enheden som bruges til at foretage denne kontrol med? Jeg håber ikke at svaret er at det er Securitas medarbejderens private telefon... (men frygter at det er svaret).

Får de svenske myndigheder uden videre indsigt i alle ID billeder? Eller kommer en sådan kontrol til at blive lavet af de danske myndigheder?

Hvad sker der hvis et billedet af et ID mangler, og hvordan vil man tjekke dette? Vil man samkøre overvågningskamera og billederne af ID?
Det kunne jo ske at et billede ikke uploades (pga en teknisk fejl) eller at en medarbejder "glemmer" at bruge den sikre app og i stedet bruger telefonens kamera (måske samler vedkommende på pas). Hvordan kan man som borger sikre sig at det er den rigtige enhed og app som anvendes??

Mads Bendixen
Tajs Brandt

Er der nogen der kan forklare hvorfor DSB har brug for at tage et billede af mit pas for at dokumentere at de har checket det?

Kommer et tog til Sverige, med 101 passagerer, og kun 100 pas billeder, så har DSB et problem, og billederne har ingen værdi til yderligere efterforskning/dokumentation.

Kommer et tog til Sverige, med 100 passagerer, og 100 pas billeder, men et af dem var ugyldigt, så har DSB et problem, og billederne har ingen værdi til yderligere efterforskning/dokumentation.

Hvis DSB i stedet, efter at have kontrolleret passet, tog et billede af den kontrollerede person med deres deres lukkede pas holdt op ved hovedet, så kan DSB dokumentere hvilke personer de har kontrolleret, i stedet for hvilke pas de har kontrolleret. Ingen personlige oplysninger er gemt, og kontrollen er stadig dokumenteret.

Den største ulempe med denne løsning er at NSA skal lave ansigtsgenkendelse på de personer der krydser broen, hvor de med den nuværende løsning kan nøjes med lidt OCR før data gemmes.

Ole Tange Blogger

Transport og opbevaringsproblemet burde kunne løses med GnuPG:

Når fotoet er krypteret, så kan det såmænd sendes via ukrypteret SMTP til serveren i Herlev (eller anden usikker protokol), og når det ikke igennem lige nu, så er der ikke noget problem i, at fotoet ligger i udbakken på telefonen.

Hvis vi ikke har tillid til Samsungs version af Android, så er Replicant.us en mulighed. Replicant har sine begrænsninger, men hvis telefonen kun skal køre denne ene app, så kunne man nok arbejde uden om dem.

Til slut er der det sociale aspekt: at andre tager et foto. Den har jeg ikke lige en løsning på.

Kim Henriksen

Vil det sige man kan stoppe passager togtrafikken mellem Danmark og Sverige, ved at gå rundt på togstationen med en mobil jammer i tasken eller boot Mobile People i Herlev ?

Log ind eller opret en konto for at skrive kommentarer