CIA-tips bedret sikkerheten i Notes

USAs spionorganisasjon CIA har hatt Notes som standard e-post og gruppevare siden 1991. - Våre klager har bidratt til å bedre sikkerheten i Notes, fastslår CIAs sjef for adgangskontroll, Carl J. Schwab.

Schwab fikk en av de største salene til disposisjon da han under Lotusphere holdt en åpen orientering om "Lotus Notes sikkerhet hos CIA". Hans offisielle tittel er Chief of Identification, Authentication and Access.

- Vi er en middels stor offentlig organisasjon. Vårt produkt er informasjon. Vi er underlagt en mengde lover og regler, og har strenge direktiver for hvordan intern informasjon skal behandles, betrodde han forsamlingen på flere hundre sikkerhetseksperter, samt en norsk journalist som må innrømme at jeg ikke alltid fikk med meg nyansene og sarkasmene som fra tid til annen fikk de mer kunnskapsrike tilhørerne til å bryte ut i rå latter.

Faktum er at CIA (Central Intelligence Agency) fikk "data" tidlig på 1970-tallet og fikk sitt første interne e-postsystem på stormaskin i 1981. I 1989 ble det bestemt å satse på et distribuert miljø, altså PC-er og tjenere i et lokalnett. Notes kom inn i miljøet i 1991 da man valgte systemet for å ivareta e-post og arbeidsflyt. I dag holder man fast ved at Notes er CIAs standard plattform for e-post og gruppevare, og at Domino er grunnlaget for det lille som finnes av web-teknologi internt.

- Egentlig liker vi ikke web-teknologi, sier Schwab. - I hvert fall ikke ennå.

Av annen standard programvare nevner Schwab, på spionens indirekte måte, [Microsoft] Office.

- Når det gjelder arbeidsstasjoner er det helt opp til den enkelte, bare de velger enten NT eller Unix. Alle diskettstasjoner fjernes, vi liker ikke at folk skal ta med seg ting ut av huset. Nettverket er i ferd med å standardiseres på TCP/IP.

Den interne sikkerheten bygger på enkle prinsipper.

- Nettverket er delt opp i fem ulike domener, tilsvarende den administrative strukturen, samt en felles domene for ting av allmenn intern interesse. Notes er konfigurert slik at vi har full kontroll over akkurat hvordan informasjonen flyter. I noen få tilfeller er det tillatt for Notes-brukere å aksessere informasjon lagret under andre systemer, vesentlig stormaskiner. Tjenere, prosesser, informasjon og så videre eies på det lavest mulige nivået i hierarkiet. Alle dokumenter, også e-post, skal signeres for å kunne spores tilbake til eieren. Det er en meget streng forvaltning av brukernavn og passord, streng føring av adgangskontrollister og full autentisering ved hver pålogging. Alle tjenere er fysisk avlåst, og tjenerrommene er beskyttet av alarmsystemer, kameraer og egne adgangskontrollsystemer med avlesing av id-kort.

CIA har egne maler for alle dokumenter. Alle dokumenter som sendes internt, kopieres til et sentralt og strengt kontrollert lager. Blant de strengest kontrollerte tjenerne, er dem som lagrer medarbeidernes Notes-id-filer og tilsvarende passord. Tilgang til alle dokumenter er regulert etter prinsippet at ingen skal ha tilgang til mer enn det som er nødvendig for å gjøre jobben, men heller ikke mindre. Notes-sikkerhet er en del av den formelle opplæringen alle medarbeidere må gjennom. En egen intern publikasjon - "Agency Policy for the Notes Network" - lar alle vite hva som er lov og hva som er forbudt.

Schwab gjennomgikk tjue konkrete tilfeller der sikkerhetsegenskapene i Notes er blitt endret i det siste som følge av problemer som CIA har støtt på i sin tillemping. I karakteristisk stil slo han fast etter presentasjonen at han ikke tok på seg noe ansvar for sikkerheten i Notes, og avviste formelt enhver medvirkning fra CIAs side.

De tjue konkrete tilfellene gikk blant annet på problemer knyttet til:

  • tilgangskontroll ved replikering av databaser
  • oppfanging av passord,
  • bruk av offentlige og private krypteringsnøkler
  • avskjæring av muligheten til å fange opp informasjon i krypterte databaser ved bruk av fritekstsøk
  • hvordan hindre at e-post sendes til feil adresse
  • ordninger der informasjonen er så følsom at minst to medarbeidere må oppgi hver sin del av det samlede passord for å få tilgang
  • avverging av automatisk dekryptering av e-post når mottakeren ikke hadde riktig privat dekrypteringsnøkkel
  • ufullstendig sletting av dokumenter slik at det som ble slettet kunne gjenfinnes ved hjelp av andre verktøy som leser Notes' databaseformat
  • avverging av metoder som en stund gjorde det mulig å sende e-post under en annens brukernavn
  • mangelfull signering av dokumenter

Schwab etterlot et inntrykk av CIA som en organisasjon der medarbeiderne gjerne er tilbøyelige til å utforske alle sikkerhetssperrene i sine dataverktøy. Han understreket at datasikkerhet til sist er avhengig av at folk holder seg til regelverket og gjør som de blir bedt om.

- 2048 biters kryptering er et minimum. Skal du ha ordentlig sikkerhet, kan du ikke holde deg til Lotus' innebygde kryptering.

Alle i CIA pålegges å skifte passord en gang i året. Schwab har ennå ikke funnet noen ordning hvor Notes kan settes til automatisk å sjekke at folk faktisk følger opp denne regelen. Det han har greid, er å sikre regler for hvordan passord bør se ut, for eksempel minimumslengde og uventede kombinasjoner av store og små bokstaver.

På spørsmål fra salen bekreftet Schwab at CIA følger med i smartkortteknologien og tilsvarende ordninger som i den sivile sektoren lover bedre adgangskontroll. Det virket ikke som han tror smartkort er noe essensielt redskap i så måte.

Se også digi.nos øvrige dekning fra Lotusphere:


8,5 millioner nye Notes-brukere i fjerde kvartal
Tre typer klienter for Notes
Øyeblikksmeldinger integreres i Notes-klienten
Raven lansert i Orlando
Et vell av produktnyheter fra Lotus

Til toppen