{"id":1846,"date":"2017-02-02T13:19:25","date_gmt":"2017-02-02T12:19:25","guid":{"rendered":"http:\/\/www.datasikkerhetsboka.no\/blogg\/?p=1846"},"modified":"2017-02-03T08:45:58","modified_gmt":"2017-02-03T07:45:58","slug":"ae-ha-itj-gjort-no-galt","status":"publish","type":"post","link":"http:\/\/www.datasikkerhetsboka.no\/blogg\/2017\/02\/02\/ae-ha-itj-gjort-no-galt\/","title":{"rendered":"\u00c6 ha itj gjort no galt&#8230;???"},"content":{"rendered":"<div class=\"709ff53d6c15c9c917a4f0a93ff21be9\" data-index=\"1\" style=\"float: none; margin:10px 0 10px 0; text-align:center;\">\n<script async src=\"\/\/pagead2.googlesyndication.com\/pagead\/js\/adsbygoogle.js\"><\/script>\r\n<!-- annonser - blogg -->\r\n<ins class=\"adsbygoogle\"\r\n     style=\"display:block\"\r\n     data-ad-client=\"ca-pub-3643033126981971\"\r\n     data-ad-slot=\"5209152447\"\r\n     data-ad-format=\"auto\"><\/ins>\r\n<script>\r\n(adsbygoogle = window.adsbygoogle || []).push({});\r\n<\/script>\n<\/div>\n<p>11. januar ble Rema gjort oppmerksom p\u00e5 et alvorlig sikkerhetshull i sin nye storsatsning: appen \u00c6.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"en\">\n<p dir=\"ltr\" lang=\"en\">Security by obscurity != security. I requests til <a href=\"https:\/\/t.co\/10ebdDBkin\">https:\/\/t.co\/10ebdDBkin<\/a> kunne man velge brukerid selv. <a href=\"https:\/\/twitter.com\/hashtag\/security?src=hash\">#security<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/mitmproxy?src=hash\">#mitmproxy<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/rema1000?src=hash\">#rema1000<\/a> <a href=\"https:\/\/t.co\/ZIINbAvOi1\">pic.twitter.com\/ZIINbAvOi1<\/a><\/p>\n<p>\u2014 Hallvard Nyg\u00e5rd (@hallny) <a href=\"https:\/\/twitter.com\/hallny\/status\/826768877363331072\">February 1, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\nHallvard Nyg\u00e5rd hadde oppdaget at man fritt kunne ettersp\u00f8rre informasjon fra appens\u00a0bakenforliggende systemer, for vilk\u00e5rlige kunder, helt uten noen form for autentisering. Med andre\u00a0ord: kvitteringer og personopplysninger som telefonnummer og deler av kortinformasjonen l\u00e5 fritt tilgjengelig p\u00e5\u00a0Internett.<\/p>\n<p>Dette er en feil som REMA og apputvikler Shortcut i aller h\u00f8yeste grad burde\u00a0ha styrt greit unna&#8230;<\/p>\n<p>Tre uker senere kommer hendelsen ut i offentligheten, og REMA kommer med en <a href=\"https:\/\/www.rema.no\/artikler\/presse\/\">pressemelding <\/a>for \u00e5\u00a0informere om situasjonen.<\/p>\n<p>Denne pressemeldingen er stort sett\u00a0bortforklaringer og uriktigheter. REMA inntar den dessverre alt for vanlige holdningen om \u00e5 forskyve skylden over p\u00e5 varsleren:<\/p>\n<blockquote><p>\n&#8220;REMA 1000 ble gjort oppmerksom p\u00e5 sikkerhetsbruddet av en varsler som selv gikk inn og skaffet seg informasjon p\u00e5 ulovlig vis.&#8221;<\/p><\/blockquote>\n<p>Dette innlegget skal ikke g\u00e5 inn p\u00e5 hvorvidt uthentingen av den\u00a0tilgjengelige informasjonen er ulovlig eller ikke. I denne situasjonen spiller det uansett ingen\u00a0rolle. Det som er viktig er: <em>At noe skal v\u00e6re ulovlig er p\u00e5 ingen m\u00e5te en sikkerhetsmekanisme.<\/em> Det blir som \u00e5 la\u00a0banken og bankhvelvet st\u00e5 ul\u00e5st utenom \u00e5pningstiden, fordi det jo er ulovlig \u00e5 stjele pengene som\u00a0ligger der. At REMA tyr til slike argumenter vitner om en sikkerhetsmessig umodenhet som er\u00a0urovekkende.<\/p>\n<p>Videre fors\u00f8ker REMA \u00e5 dysse ned alvorligheten av sikkerhetshullet, ved \u00e5 fremheve at det <em>kun <\/em>var\u00a0informasjonen for et f\u00e5tall brukere \u2013 eller 3400 som det ogs\u00e5 heter \u2013 som ble hentet ut. Mye\u00a0tyder imidlertid p\u00e5 at informasjonen for samtlige brukere l\u00e5 fritt tilgjengelig, og at\u00a0det &#8220;begrensede omfanget&#8221; var ren flaks fra REMA sin side.<\/p>\n<p><a href=\"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-content\/uploads\/2017\/02\/ae.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-1848\" src=\"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-content\/uploads\/2017\/02\/ae-196x300.png\" alt=\"\" width=\"196\" height=\"300\" srcset=\"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-content\/uploads\/2017\/02\/ae-196x300.png 196w, http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-content\/uploads\/2017\/02\/ae.png 536w\" sizes=\"auto, (max-width: 196px) 100vw, 196px\" \/><\/a><\/p>\n<p>S\u00e5 kommer den mest bisarre setningen i hele pressemeldingen:<br \/>\n&#8220;Dataen var kryptert og det kreves spesifikk kunnskap for \u00e5 kunne hente ut informasjonen og dekryptere denne.&#8221;<br \/>\nHvorvidt REMA bevisst lyver, eller om det kun er d\u00e5rlig\u00a0formidling av de faktiske forhold vites\u00a0ikke. Om man lar tvilen komme de til gode, og antar at de ikke bevisst lyver, s\u00e5 mangler de som skrev pressemeldingen den n\u00f8dvendige tekniske kompetansen til \u00e5 komme med tekniske uttalelser. \u00a0Ingen med den n\u00f8dvendige kompetansen kontrollerte heller pressemeldingen f\u00f8r den ble sluppet. For som\u00a0klart synlig i informasjonen Nyg\u00e5rd har frigitt: dataene som ble hentet ut var overhodet ikke\u00a0kryptert, og det var f\u00f8lgelig ingenting \u00e5 &#8220;dekryptere.&#8221;<\/p>\n<p>Det at det ogs\u00e5 skulle v\u00e6re n\u00f8dvendig med &#8220;spesifikk kunnskap for \u00e5 kunne hente ut\u00a0informasjonen&#8221; er ogs\u00e5 rent sludder, spesielt som argument for sikkerhet. Selv om ikke en hver\u00a0nordmann med datamaskin i hus ville visst hvordan man henter ut denne informasjonen, s\u00e5 er slik\u00a0aktivitet p\u00e5 et relativt lavt teknisk niv\u00e5. Det krever heller ikke noen spesiell kunnskap om hvordan\u00a0systemene fungerer utover det man enkelt kan observere fra utsiden. Hva sikkerhet ang\u00e5r, blir dette\u00a0som \u00e5 etterlate seg bilen sin med n\u00f8klene i, fordi det kreves &#8220;spesifikk kunnskap&#8221; for \u00e5 sette seg\u00a0inn og kj\u00f8re av g\u00e5rde.<\/p>\n<p>N\u00e5r kommunikasjonsdirekt\u00f8ren s\u00e5 p\u00e5peker at det &#8220;ikke er grunn til bekymring&#8221;, fremst\u00e5r dette som\u00a0heller tomme ord. De fokuserer p\u00e5 at fullstendig betalingskortinformasjon ikke kom p\u00e5 avveie, og at man derfor er trygg. Lite nevnes det at koblingen mellom varer som er handlet og det identifiserende telefonnummeret er informasjon de har lovt brukeren \u00e5 holde hemmelig, men ikke klart. Ikke alle vil synes det er like lite &#8220;grunn til bekymring&#8221; at venner og familie vet de har handlet \u00f8l, graviditetstester, inkontinesbind osv. \u00a0REMA glemte \u00e5 gj\u00f8re leksene sine, og n\u00e5 skylder de p\u00e5 hunden&#8230;<\/p>\n<p>Det er viktig \u00e5 p\u00e5peke at hensikten med dette innlegget ikke er \u00e5 henge ut REMA 1000 eller Shortcut generelt. Det er heller ingen kritikk av appen \u00c6 som produkt. Det \u00f8nskes derimot \u00e5 belyse hvordan slike sikkerhetsavsl\u00f8ringer alt for ofte &#8220;tulles bort&#8221; av bedrifter gjennom pressemeldinger som f\u00f8rst og fremst er laget for \u00e5 redde sitt eget skinn&#8230; Da var dette et glimrende eksempel&#8230;<\/p>\n<!--CusAds0-->\n<div style=\"font-size: 0px; height: 0px; line-height: 0px; margin: 0; padding: 0; clear: both;\"><\/div>","protected":false},"excerpt":{"rendered":"<p>11. januar ble Rema gjort oppmerksom p\u00e5 et alvorlig sikkerhetshull i sin nye storsatsning: appen \u00c6. Security by obscurity != security. I requests til https:\/\/t.co\/10ebdDBkin kunne man velge brukerid selv. #security #mitmproxy #rema1000 pic.twitter.com\/ZIINbAvOi1&#46;&#46;&#46;<\/p>\n","protected":false},"author":3,"featured_media":1848,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[81],"tags":[132],"class_list":["post-1846","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kronikk","tag-rema-1000"],"aioseo_notices":[],"jetpack_featured_media_url":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-content\/uploads\/2017\/02\/ae.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/posts\/1846","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/comments?post=1846"}],"version-history":[{"count":12,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/posts\/1846\/revisions"}],"predecessor-version":[{"id":1859,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/posts\/1846\/revisions\/1859"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/media\/1848"}],"wp:attachment":[{"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/media?parent=1846"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/categories?post=1846"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/tags?post=1846"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}