SAFESIDE SOLUTIONS AB

Intrång hos Socialstyrelsen och farlig samt felaktig rapportering i medierna

Blogginlägg   •   Okt 03, 2012 09:45 CEST

Uppdatering (05:41): Igår kväll fick jag e-post från Stefan, i vilket han berättar för mig att det endast handlar om en XSS. Besökare måste enligt Socialstyrelsen själva använda sig av en speciell adress för att se budskapet. Att kalla det intrång är med andra ord att ta i. Jag vill nog nu påstå att allting talar för att Anders faktiskt hade delvis rätt i sitt tidigare påstående hos Nyheter24. Jag håller inte med om att XSS skulle vara ett ofarligt hål, men i sammanhanget av Socialstyrelsen kan det nog anses vara ett korrekt påstående.

Det är dock inte klart om det handlar om en persistent XSS, eller den enklare typen som nämns ovan, sannolikt den senare. Och vidare måste jag erkänna att jag själv började spekulera i att det handlade om ett intrång, utan att kunna bekräfta det. Åtminstone så sa jag inledningsvis att allting är spekulation, och så även mitt eget inlägg ;)

Läste precis hos DN att Socialstyrelsen har haft besök av Anonymous som också vänligt nog lämnat en lapp, på hemsidan. Detta angrepp skiljer sig väsentligt från övriga rapporterade överbelastningsattacker.
Märk väl att DN också kontaktat Anders Hansson, tillförordnad chef på CERT-SE, för att kommentera incidenten. Det är tydligt att Anders är felinformerad eftersom han talar om överbelastningsattacker, och inte det faktum att det faktiskt handlar om ett intrång.

I skrivande stund är detaljerna få, vi vet inte hur Anonymous lyckats med sitt angrepp. Allt som publiceras om intrånget är spekulationer och ska inte tolkas som något annat. Det finns självklart mer eller mindre kvalificerade gissningar om hur intrånget skett, men ingenting är ännu bekräftat. Vad vi kan konstatera som fakta är att besökare av hemsidan möts av ett budskap från Anonymous, det är dock oklart hur detta sker.

Dessvärre nämner DN ingenting mer om det faktiska intrånget utan fortsätter artikeln i tron om att det handlar om överbelastningsattacker. Varför man väljer att blanda ett angrepp mot Domstolsverket och Socialstyrelsen vet jag inte, speciellt när angreppen är av helt olika karaktär. Däremot rapporterar nyheter24.se helt korrekt att angreppet handlar om ett faktiskt intrång.

Utan att veta exakt vad Anders Nilsson har sagt, är åtminstone det som rapporteras via Nyheter24.se beklagligt. Anders N. hävdar att säkerhetshålet som utnyttjats i detta läge inte är särskilt farliga.

(EDIT: Då vart det ju bekräftat att en XSS har utnyttjats, som i sig är en av de allvarligaste sårbarheterna i moderna webb-applikationer. Dock I sammanhanget av Socialstyrelsen var det kanske inte speciellt allvarligt. Jag drog samtidigt igång på hög växel om att det kanske handlade om ett intrång, mist lika mycket spekulation. Detta gjorde jag utifrån en bild på Nyheter24.se. Får nog erkänna att jag har en del att lära mig också…

Hmm… Ett säkerhetshål har utnyttjats i Socialstyrelsens-hemsida, vars konsekvens är att hemsidan fullständigt förändrats. Hur exakt kan detta inte vara särskilt farligt? Om de har de här möjligheterna, vad talar för att de inte också har möjligheten att prata med bakomliggande databaser, eller andra delar av Socialstyrelsens it-infrastruktur?

Om hemsidan är helt fristående och huserar hos en extern leverantör, så är kanske intrånget begränsas i den skada som kan uppstå, men vet vi det? Nej, det vet vi inte. Socialstyrelsen har inte sagt att hemsidan befinner sig på ett webb-hotell. Vi vet ingenting om hur infrastrukturen ser ut hos Socialstyrelsen.

Artikeln går sedan vidare i att diskutera inloggningstjänster, cookies… mer spekulationer som inte är grundade i fakta. Jag är också bekymrad över att Anders säger ”[...] att folk i allmänhet dock inte behöver känna sig oroliga.” Hur vet han det?

Tänk om intrånget inte bara påverkar hemsidan? Utan även bakomliggande databaser? Det kanske är så att Anonymous även har gjort en dump av vilka som får socialbidrag, personnummer eller andra känsliga personuppgifter. Det är ett extremt farligt påstående att göra innan vi vet mer om intrånget och dess omfattning. Har vi tur är det endast hemsidan som påverkas, har vi otur har hela Socialstyrelsen blivit komprometterat.

Spekulationer är riktigt farliga och i detta fall kan de vara rent skadliga. Jag ställer mig inte bakom mina branch-kollegor i sådana här uttalanden.

Artikeln hos DN.

Artikeln hos Nyheter24.

Uppdatering: Gjorde en enklare verifiering av var hemsidan huserar, och utifrån resultatet konstaterar jag att Socialstyrelsen har hemsidan ”hemma” hos sig själva. http://www.socialstyrelsen.se har IP: 192.137.163.136 vilket tillhör nätsegmentet 192.137.163.0/24 vilket ägs av SOCIALSTYRELSEN, Ralambsvagen 3, Stockholm. Detta innebär alltså att intrånget SKULLE kunna vara mer omfattande än en enkel deface, men det vet vi inte.