Stor säkerhetslucka i Stockholms stads it-system – sårbart för attacker

Artikeln är uppdaterad

Säkerhetsluckan omfattar alla inloggningar på sajten stockholm.se. När användaren loggar in sparas en cookie med information i webbläsaren. Vid explicit utloggning raderas cookien, men om fliken bara stängs ner sparas kakan i webbläsaren och fortsätter att spåra användaren under lång tid. Detta gör systemet sårbart för en typ av it-attack som kallas för Cross Site Request Forgery (vi återkommer till vad det är).

Den som bara stänger fliken i webbläsaren snarare än att logga ut riskerar att, om de utsätts för en attack, få möten avbokade, bygglovsärenden ändrade, personuppgifter läckta, med mera. Detta enligt uppgifter till Ny Teknik, som tidningen har kunnat bekräfta genom interna mejl från Stockholms stads it-enhet.

Säkerhetsbristen är allvarlig, enligt Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen och en av Sveriges ledande säkerhetsexperter, som har tittat på koden och på de interna mejlen som Ny Teknik har tagit del av.

– Det kan exempelvis handla om att kod göms i en bild, så när bilder på papperskorgar skickas till parkförvaltningen finns där gömt ett skript som tar sig in och modifierar andra delar av förvaltningen. Det här är problem som inte borde finnas i ett modernt it-system, säger hon.

Sårbarheten är lätt att hitta och utnyttja

Cross Site Request Forgery (CSRF) är en typ av it-attack som använder en användares auktorisering för att göra saker utan dennes vetskap. Till exempel kan ett skript, som göms i en fil som användaren laddar ner, användas för att komma åt eller ändra uppgifter på sidor där personen är inloggad.

Ett exempel: Gösta vill gå in på Stockholms stads skolplattform för att läsa sitt barns veckobrev. När han gör det skickas vad som kallas för en request från hans webbläsare till Stockholms stads server. Men eftersom plattformen är sårbar för CSRF öppnas möjligheten för hackaren Lars, som vill få ut information om Göstas barn, som har skyddad identitet.

Lars skriver ett skript som skickar en request till servrarna om att hämta ut all information om barnet och skicka den till Lars. Så länge Gösta fortfarande är inloggad i Skolplattformen handlar det bara om att få in skriptet på Göstas dator eller mobiltelefon. Det kan till exempel göras genom att dölja skriptet i en bild som mejlas till Gösta. När Gösta öppnar mejlet märker han inget, men webbläsaren skickar en request till Stockholms stads servrar.

Ny Tekniks källa menar att säkerhetshålet både är allvarligt och lätt att hitta och utnyttja. Det upptäcktes i Stockholms stads skolplattform, men eftersom samma inloggningsförfarande gäller hela stadens sajt är säkerhetsluckan inte begränsad dit.

Luckan kvar efter snart fyra månader

Ytterligare ett säkerhetshål finns specifikt i Skolplattformen. När en lärare skickar information, till exempel ett nyhetsbrev, från sin dator till Skolplattformen görs det via webbverktyget Sharepoint. De skickas som HTML, men för att bilderna ska visas korrekt skickas det också med en token – ett slags informationsbärande tillägg. Denna token kan av en angripare användas för att få tillgång till allt annat som finns i Sharepoint, eftersom den har rättighet att läsa och skriva allting på servern.

Källan upptäckte sårbarheterna i början av december 2020 och rapporterade det anonymt till Stockholms stad. Men snart fyra månader senare finns luckan fortfarande kvar. Anmärkningsvärt, enligt Anne-Marie Eklund Löwinder.

– Fel finns i all kod, det är inte märkligt, men man måste hantera det på ett bra sätt. Hade jag sett det här i ett system jag ansvarade för hade jag sett till att täppa till luckan så fort som möjligt, försökt att se tecken i loggarna på om någon har utnyttjat sårbarheten, och tackat den som rapporterat in det, säger hon.

”Har vägts mot enkelheten”

En tjänsteman på utbildningsförvaltningens it-enhet beskriver problemet i ett mejl till sina kollegor, daterat till den 10 december 2020:

”Sårbarheten med kakor berör mycket mer än bara skolplattformen då den är kopplat till stadens idPortal. Inom Stockholms stad och alla system under domänen stockholm.se gäller så kallad SSO (Single Sign On) med inloggning via stadens idPortal”, skriver tjänstemannen.

I samma mejl framgår varför staden inte täppt till luckan: ”Säkerhetsbristen är känd hos SLK (Stadsledningskontoret, reds anm), men har bedömts som en låg risk/skada, och har vägts mot enkelheten som SSO medger.”

Huruvida risken är låg eller inte råder det delade meningar om. I ett mejl från en annan tjänsteman på utbildningsförvaltningens it-enhet, skickat den 17 december, kallas problemet permanent och enormt.

”Med permanent hål avses att alla vårdnadshavare går omkring med en redan inloggad enhet i fickan. Hålet blir permanent eftersom alla redan är inloggade, och enormt eftersom det är många vårdnadshavare. Information som en person kan komma åt är personuppgifter, information om åtgärdsprogram och liknande”, skriver tjänstemannen.

I samma mejl uppges it-arkitekturen i Skolplattformen utgöra ett stort hinder för att göra något åt saken.

”Skolplattformen är uppbyggd av flera olika system som hanterar olika uppgifter. Inom systemen går det inte att dela upp informationen utifrån informationssäkerhetsklassning. Skolplattformen är uppbyggd av olika system som i sig innehåller information med olika informationssäkerhetsklassning och därmed är arkitekturen ett stort hinder”, skriver en tjänsteman.

Ingen anmälan till myndigheten

En struktur där ”alla har rättigheter till allt”, snarare än att dela in det i olika säkerhetszoner beroende på hur känsliga eller sårbara uppgifterna är, är enligt Anne-Marie Eklund Löwinder en dålig lösning.

– Den som har kodat det här har gjort det lätt för sig. Man har inte tagit höjd för riskerna. Det finns bra moderna lösningar för att hantera den här typen av problem, säger hon.

I mejlet från 10 december som Ny Teknik har begärt ut och fått ta dela av tas tre potentiella lösningar upp av Stockholms stad. Den första är maskad med hänvisning till sekretess. Den andra är att informera användarna om att begränsa inloggningstiden, och att lägga upp en informationssida som uppmanar användaren att logga ut. Den tredje är att lämna dagens SSO-design, men det konstateras att ”det är ett stort och omfattande jobb som troligen inte kan göras under överskådlig framtid”.

Om personuppgifter har kommit i orätta händer ska en anmälan inom 72 timmar göras till Integritetsskyddsmyndigheten (före detta Datainspektionen). Stockholms stad har gjort en rad sådana anmälningar sedan i december, men ingen som rör den här säkerhetsluckan.

"En teoretisk sårbarhet"

När Ny Teknik når Stefan Carlson, enhetschef på Stockholms stads centrala it-avdelning, är två åtgärder för att täppa till sårbarheten på väg ut.

– Sedan vi fick veta det här i december har vi utrett och testat två åtgärder för att minska sårbarheten. Båda är på gång att driftsättas den här veckan. Inte för att du hörde av dig, utan för att det är så planen sett ut, säger Stefan Carlson på eftermiddagen torsdag den 25 mars.

Vilka åtgärder det är som staden nu vidtar vill Stefan Carlson inte uppge, av säkerhetsskäl. Om de täpper till hela luckan eller bara gör mindre ändringar går alltså inte att avgöra.

Anledningen till att det har tagit nästan fyra månader att få dem på plats är, precis som uppges i det interna mejlet, att risken bedöms som låg.

– Vi tar sårbarheter på största allvar. Men det här handlar om en teoretisk sårbarhet, som går att utnyttja men det är väldigt specifika tekniska aktiviteter som någon måste utföra för att det skulle kunna bli någon form av incident av det. Det brinner inte, om man säger så. Vi har därför prioriterat att göra rätt saker systematiskt och kontrollerat.

Är ni säkra på att det inte skett några incidenter kopplade till den här sårbarheten?

– Jag uttrycker mig aldrig tvärsäkert, men vi har inga kända incidenter kopplat till den här sårbarheten. Vi och våra leverantörer har en kontinuerlig övervakning av detta.

Är det rimligt att stadens it-system ska vara sårbara i flera månader utan åtgärd?

– Ja, tyvärr är det så. Hade vi konstaterat en akut incident så hade vi omedelbart åtgärdat, men nu bedömdes inte detta som akut. Det finns ingen absolut säkerhet, bara kontrollerad osäkerhet. Sårbarheter finns alltid i alla it-system, och vi jobbar hela tiden systematiskt med att upptäcka och täppa till dem. Men när vi utvecklar nya tjänster uppstår nya sårbarheter, så det är ett ständigt pågående säkerhetsarbete.

Efter att artikeln publicerats har det framkommit nya uppgifter om säkerhetsluckan, som visar att den var mindre allvarlig än vad Ny Tekniks källor tidigare misstänkt.