Det står ikke veldig bra til med IT-sikkerheten hos norske partier, mener Per Thorsheim. Arkivfoto.
Det står ikke veldig bra til med IT-sikkerheten hos norske partier, mener Per Thorsheim. Arkivfoto. (Bilde: Marius Jørgenrud)
EKSTRA

Sikkerhet i valgåret 2019

Stortinget og norske partier står uten beskyttelse mot angrep med falsk e-post. SV er best i klassen

Uten anbefalte tiltak gjør norske partier det enkelt for svindlere å misbruke domenenavn. Mange kommuner har også til gode å følge anbefalingene fra norske myndigheter.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

– I et valgår som 2019 vil dette kunne få større konsekvenser. Både påvirkningsoperasjoner og målrettede angrep med falsk e-post blir enklere å utføre for fremmede makter, konstaterer sikkerhetsekspert Per Thorsheim.

Digi.no har undersøkt IT-sikkerheten til politiske partier, folkevalgte, byråkrater og ansatte i de største kommunene i Norge. 

Kort fortalt er mye ugjort.

De færreste har tatt i bruk relativt enkle tekniske tiltak, selv om rådene har vært anbefalt fra myndigheter og sikkerhetseksperter i en årrekke.

Kun to partier følger myndighetenes anbefalte sikkerhetstiltak

I vår kartlegging har vi sjekket hvem som har innført blant annet DMARC (Domain-based Message Authentication Reporting and Conformance).

Det er et teknisk tiltak for å motvirke falske avsendere av e-post, og en klar anbefaling fra både Nasjonal sikkerhetsmyndighet (NSM) og Direktoratet for forvaltning og IKT (Difi).

SV og Senterpartiet utmerker seg positivt. Som de eneste stortingspartiene har de tatt i bruk DMARC for å stanse falske avsendere. Begge har også innført SPF (Sender Policy Framework), en annen protokoll som validerer avsenderdomenet eller «konvolutten» til e-postmeldingen.

Uten slike mekanismer kan uvedkommende ta seg til rette og misbruke adresser og domenenavn etter eget forgodtbefinnende.

– Det kan dreie seg om å sende epost som ser ut til å komme fra et politisk parti, hvor noen ber om pengestøtte, eller innhold med politiske budskap som ikke er sant – men likevel troverdig nok til at folk lar seg provosere. Over tid kan slike angrep påvirke opinionen, sier Thorsheim.

Vi har brukt tjenesten Hardenize, utviklet av sikkerhetsekspert Ivan Ristic, tidligere gründer av SSL Labs. Han er også forfatter av flere sikkerhetsbøker, blant annet «Bulletproof SSL and TLS».

I Danmark har en lignende sjekk utført av fagbladet Ingeniøren nylig avdekket at både Folketinget og politiske parter er utsatt for hacking via phishing-angrep, fordi de mangler DMARC.

For at DMARC skal fungere må teknologien være implementert både på avsenderdomenet og mottakerens mailserver. Jo større utbredelse, desto bedre beskyttelse. De store tilbyderne av epostjenester som Google, Microsoft og Yahoo anvender alle DMARC, ifølge Version2.dk.

 «Verdiløs» eller deaktivert implementering

Vår undersøkelse viser at verken Ap, Frp, Krf eller Venstre har implementert DMARC på sine respektive domenenavn.

Arbeiderpartiet vurderer å ta i bruk DMARC. Det skriver kommunikasjonssjef Ingrid Langerud i en kort melding til digi.no.

Alle vi sjekket har innført SPF. Venstre har imidlertid en konfigurasjon hvor de overgår antall tillatte DNS-spørringer. SPF-spesifikasjonen har satt en begrensning på maksimalt 10 DNS-spørringer per SPF-sjekk for å unngå misbruk i form av DDoS-angrep. Se RFC 4408, punkt 10.1.

De tre partiene Høyre, MDG og Rødt har innført DMARC-teknologien, men uten å angi at forfalskede meldinger skal stanses eller settes i karantene, altså en helt passiv konfigurasjon. Stortinget er i samme kategori for sitt domenenavn stortinget.no, som også benyttes til e-post for stortingspolitikere og -ansatte uansett partitilhørighet.

Hardenize er streng i bedømmelsen av de som har tatt i bruk DMARC i en konfigurasjon der håndteringen av falske eposter er satt til ikke å gjøre noe med problemet. Da konstaterer tjenesten at DMARC-beskyttelsen i praksis er «deaktivert og verdiløs».

Thorsheim deler ikke oppfatningen at passive DMARC-konfigurasjoner er verdiløse. Det hjelper litt da også.

– Du får fortsatt innsyn i hvem som sender mail i ditt navn, eller hvem som misbruker ditt domene, men det er ennå ikke satt opp slik at det kan «hjelpe på problemet» med falske avsendere, forklarer han.

Teknisk sett snakker vi da om DMARC-konfigurasjoner hvor P-attributtet er satt til «none», ifølge protokollens spesifikasjon. Skal sikringen ha noen reell effekt mot angrep, så må verdien være satt til enten «quarantine» eller «reject». Først da kan epost som feiler sjekken bli avvist eller markert som mistenkelig, slik at den for eksempel kan plasseres i en mappe for søppelpost eller sjekkes grundigere.

– Naivt å tro noe annet

Senterpartiet har likhet med SV en gyldig og aktiv DMARC-implementering i vår test.

Partiets nettsider har likevel et alvorlig problem, ifølge Hardenize, som skyldes at server foretar en omdirigering fra HTTPS til HTTP. Det kan potensielt ødelegge for krypteringen og i verste fall eksponere besøkende for sniffing av innhold og aktive nettverksangrep.

Sosialistisk Venstreparti har en syntaksfeil i konfigurering av hvilke domener det er tillatt å inkludere i en iframe eller frame på webserveren, som de etter beskjed fra digi.no nå skal følge opp.

Samlet sett går partiet til topps i vår undersøkelse, som best i klassen.

Marius Ramsland er IT-ansvarlig ved partikontoret til SV. Han har selv sørget for å implementere blant annet DMARC og SPF.

– Er det ledd i en bevisst strategi for å være mer robust mot hackere, påvirkningsoperasjoner og falske avsendere?

– Det er det absolutt. Vi følger med på det som skjer i verden. Det blir gjort forsøk på å manipulere e-post fra politiske partier og politiske aktører. Det har tidligere skjedd rundt omkring i Europa, og det er naivt å tro at det ikke kan skje i Norge, sier Ramsland til digi.no.

– I hvilken grad er SV spesielt på vakt mot hacking og falske e-post nå i et valgår?

– Vi følger nok litt ekstra med på hvor spoofingen kommer fra. Samtidig er det selvsagt begrensninger i hva vi som en liten organisasjon kan få til.

Ramsland mener at slike tekniske tiltak kan være enkle og effektive. Videre gir han det råd at man bør sørge for at eposttjener kan merke mistenkelig innhold som «ikke autentisert». Dette legges inn i epostheader. Slik kan mottakerne bli mer bevisst på at de har å gjøre med en melding som potensielt kan være svindel.

Ble positivt overrasket

– Hvordan er omfanget av phishing-meldinger sendt til dere?

– Det er vanskelig å være helt konkret. Vi har heller ikke holdt på med DMARC så lenge, men ser at det går litt periodevis. Plutselig får du en oppsving en uke. Noen ganger er det bare generell spoofing. Andre ganger virker det mer målrettet, og rettes mot enkeltpersoner i organisasjonen, sier Ramsland i SV.

DMARC kan settes opp til å gi også personifiserte rapporter helt ned på enkeltindividers e-post. Det kunne ha gitt IT-staben bedre muligheter, men de kan ikke gjøre det ut ifra hensynet til personvern, forklarer han.

– Hvis vi kunne benyttet oss av personaliserte DMARC-rapporter kunne vi ha gjort mer, men det kan vi ikke gjøre av personvernhensyn. Vi får kun informasjon basert på domenet.

– Hvor stort problem vil du si at phishing og falsk e-post er for dere?

– Jeg vet ikke om jeg vil si at det er noe større enn for andre. Du har for det første ting som ren vinningskriminalitet og forsøk på pengeutpressing og den typen ting. Samtidig er jo vi interessante for andre aktører. Vi er bevisst på det. Jeg ble positivt overrasket etter en intern undersøkelse vi utførte. Folk i organisasjonen er stort sett flinke til å være bevisst om hva de klikker på.

– Er arbeid med IT-sikkerhet viktig for partiet?

– Det er jo en av mine arbeidsområder, så jeg vil si det er viktig. Jeg prøver å holde meg oppdatert og gjør i hvert fall det som jeg kan gjøre av basis sikring. De mest sofistikerte angrepene er det vanskelig å gjøre noe med, men jeg prøver i alle fall å få til basissikkerheten gjennom enkle tiltak som for eksempel SPF og DMARC, DNSsec og som å teste for SQL-injisering når man lager løsninger.

Blandet drops hos kommunene

En rask sjekk viser at Oslo og Kristiansand kommune også har en passiv DMARC-konfigurasjon, som ikke er egnet til å stanse misbruk med forfalskede avsendere.

Bergen og Drammen kommune har ikke innført DMARC overhodet.

Da står det bedre til i kommunene Trondheim og Stavanger, som begge får tommel opp for å ha innført SPF og DMARC for håndtering av falske avsendere. Begge har imidlertid nettsider som mangler secure-attributtet for «session cookies», som som gir rød advarsel hos Hardenize, fordi det kan åpne for angrep.

Sistnevnte er et problem som ser ut til å gjelde mange av de vi sjekket, inkludert nettsidene til Høyre, Frp, Krf og Oslo kommune.

Hvis en server ikke angir secure-attributtet for sesjonsavhengige informasjonskapsler, så vil beskyttelsen som den sikre HTTPS-forbindelsen tilbyr i stor grad falle bort. Det fremgår av spesifikasjonen RFC 6265, punkt 8.3. Det innebærer at en nettverksangriper relativt enkelt kan kapre brukersesjonen.

Frp har som eneste i vår undersøkelse nettsider med støtte for SSL versjon 3.0. Dette er en eldre og sårbar kryptografisk protokoll, som åpner for avlytting av ellers antatt «sikker» kommunikasjon, inkludert såkalte POODLE-angrep.

– Mer ballonger enn sikkerhet

Per Thorsheim husker tilbake til forrige korsvei ved stortingsvalget i 2017. Det er ikke første gang han mener at altfor lite blir gjort med sikring av e-post.

– Jeg grafset i dette ved forrige valg, da jeg kikket på både epost- og websikkerheten. Under en kaffe med en IT-ansvarlig i et av partiene kom vedkommende med den politiske klassikeren at «når vi kommer til makten, da skal vi ta tak i dette, bare husk å stemme på oss». I år kommer samtlige av partiene, inkludert Rødt, antakelig til å bruke mer penger på ballonger med logo under valgkampen enn de bruker på kompetent IT-sikkerhetspersonell til å skaffe seg en grunnsikring i tråd med anbefalingene fra NSM og Difi. Og de vil sikkert forsvare seg med at de må få stemmer for å komme til makten, før de kan omdisponere penger til å bedre sikkerheten. Men den leksen har vi jo hørt før, uansett hvem som styrer, avslutter sikkerhetseksperten.

Kommentarer (2)

Kommentarer (2)
Til toppen