IT-sikkerhet valg 2019

Studenter brukte sommeren på å hacke politiske partiers nettsider 

Studentenes sommerjobb i Mnemonic førte til at partiene gjorde forbedringer og tiltak.

Sommerstudenter i Mnemonic: Lise Millerjord, Jonathan Komada Eriksen og Jon Breivik Smebye. Fjerdemann Eivind Standal var ikke til stede.
Sommerstudenter i Mnemonic: Lise Millerjord, Jonathan Komada Eriksen og Jon Breivik Smebye. Fjerdemann Eivind Standal var ikke til stede. (Foto: Mnemonic)
EKSTRA

Studentenes sommerjobb i Mnemonic førte til at partiene gjorde forbedringer og tiltak.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

Hvordan står det til med sikkerheten på de politiske partienes nettsider, nå før valget? Fem partier sa ja til å få en sjekk av sommerstudenter ansatt av sikkerhetsselskapet Mnemonic. 

Studentene brukte ti uker på å gjøre jobben gratis for partiene i forkant av kommunevalget. Bakgrunnen var først og fremst at et sikkerhetsbrudd kan påvirke en valgkamp. Medlemslister regnes også som sensitive opplysninger etter personopplysningsloven.

– I teorien er det en måte å forskyve valgresultatene på, sier NTNU–student Lise Millerjord.

– Hvis man kan bryte seg inn og det fører til et omdømmetap for partiet, vil det være en måte å angripe partiets integritet på, sier Millerjord.

Hun studerer matematikk og tar en mastergrad i kryptografi, der hun lærer om matematikken bak det å kryptere informasjon i teknologi som BankID og Whatsapp.

Les også

Fant sikkerhetshull som ble lukket 

Sammen med tre andre studenter har Millerjord i løpet sommeren forsøkt å bryte seg inn i partienes innlogging via deres offisielle hjemmesider, uten brukernavn og passord.

Studentene har også vært inne i partienes lukkede medlemssider der ulike brukere har ulik tilgang, for å teste hvor vanntette tilgangene er. 

– Det er vanskelig å si noe konkret om hva vi fant. Alle funn er selvfølgelig hemmelige, sier Millerjord.

Det hun kan si, er at de fant sikkerhetshull som partiene nå har lukket, og at de fleste feilene som ble oppdaget er representert på OWASP topp ti.

Testet ti ulike IT-systemer

De fire studentene har testet til sammen ti ulike IT–systemer på vegne av partiene. Til det har de først og fremst brukt OWASP, i tillegg til åpne verktøy som Kali Linux og kommersielle sikkerhetsverktøy Mnemonic bruker i oppdrag.

 – De fleste av funnene vi har gjort er i tilknytning til det rammeverket. Det går ofte på at en bruker kan gjøre mer enn det den personen skal kunne, enten ved å skrive ondsinnet kode eller bruke funksjonalitet på siden, sier Millerjord. 

Et vanlig sikkerhetshull er at logikken i applikasjonen er svak.

– Du har husket å stenge den åpenbare veien inn, men andre veier har du glemt å stenge, sier Millerjord.

Les også

Venstre: Kan ha økt bevisstheten internt

Venstre var et av partiene som fikk nettsidene sine gjennomgått. Kommunikasjonsrådgiver i Venstre, Ole Bruseth, sier at han tror initiativet har vært med på å øke bevisstheten om IT-sikkerhet internt.

– Det er ekstra hyggelig at testingen ble profesjonelt gjennomført av studenter og derfor samtidig var med å gi verdifull arbeidserfaring for fremtidige sikkerhetseksperter, sier Bruseth.

Merete  Elle, sikkerhetskonsulent hos Mnemonic, har hatt ansvar for å lede studentenes arbeid. Hun har sett at det har vært bratt læringskurve hos studentene. 

– For dem er det en helt ny måte å jobbe på. De tar den teoretiske kunnskapen de har og gjør den om til praktisk kunnskap, sier Elle.

Les også

Leverte sluttrapporter til partiene 

Sammen med studentene var hun med på å levere en sluttrapport til fire av partiene på ulike partikontorer og på Stortinget.

Nivået på sikkerheten hos norske partier er representativt for nivået generelt i samfunnet, forteller sikkerhetsekspert i Mnemonic Tor Erling Bjørstad. 

– Det jeg er aller mest fornøyd med fra sommeren, er at det har skjedd helt konkrete forbedringer og tiltak som følge av studentenes innsats. Så studentene har virkelig vært med på å gjøre en forskjell, sier Bjørstad.

Mnemonic har totalt tatt inn rundt ti sommerstudenter i år, fordelt på fire ulike prosjekter. I fjor fikk de inn over 150 søknader til sommerjobb, og de merker at interessen har vært økende de siste årene. 

Grunnen til at de tar inn såpass mange sommerstudenter, er fremtidig rekruttering.

 – Det er veldig etterspørsel etter folk innenfor sikkerhetsområdet, og det er en mulighet for at de vil jobbe hos oss i etterkant, sier Bjørstad. 

Les også

 

Kommentarer (0)

Kommentarer (0)
Til toppen