Tekniken bakom IT-skandalen hos Transportstyrelsen

Han kanske har erfarenhet av vpnbook.
I vilket fall som helst är det ointressant. Tror inte någon tekniker hade börjat tanka ner något om de ville komma åt informationen. Enklare att med kompetens om lösningarna skicka den vidare till <valfri säkerhetspolis> och deras cyberenhet. I värsta fall hade man kanske varit tvungen att lägga in någon bakdörr. Det sista man vill är ju att det ska kunna spåras tillbaka till dig. Och en av de större cyberenheterna kan med lätthet sopa undan spåren eller skylla på Nordkorea.

Antagligen hänger det på medborgarskapet. Grundregeln är att säkerhetsklassad personal skall vara svensk. Säpo kan göra undantag för enskilda personer, men inte för hela avdelningar. Därför skulle IBM ha behövt ha hela it-avdelningen som jobbade med projektet i Sverige. Då hade det inte blivit lika billigt som att ha den i Serbien och Tjeckien.

Vad är din källa till påståendet? Det låter rimligt, men det nämns inte i FUP:en t.ex.


Det stämmer. Dock försvåras arbetet av att all data är på svenska, ett språk som teknikerna inte behärskade. Vad vi vet så rör sig upphandlingen om över 1 000 servrar och en okänd mängd databaser. Det måste ha rört sig om hundratals terabyte med data eftersom det rörde sig om samtliga databaser som Transportstyrelsen hade.

Alltifrån interna tidrapporteringssystem, till databaser för hemsidor, till register med militära fordon. En tekniker som inte kan svenska kan ju knappast veta att en databas som heter "intern-tidsredovisning-2012.db" är helt värdelös att kopiera medans en som heter "alla-körkort-2015.db"
är mycket värdefullare. Teknikern skulle ha väldigt svårt att skilja agnarna från vetet.

Vi vet heller inte vad för information teknikerna har fått från IBM om vad för typ av information de hanterar. Det är inte säkert att de visste om att det var känslig information de hade att göra med.


Var har du fått den informationen ifrån? Det är rimligt att de satt på en snabb länk, men hur snabb den var vet vi inte. Dessutom skulle den ju delas av alla tekniker på kontoret i Belgrad. Enligt detta (inte helt vetenskapliga) test ligger de snabbaste uppkopplingarna på 50 MBit/s: http://testmy.net/city/belgrade_rs


Var har du fått den informationen ifrån?

IBM lade över driften på en serbisk underleverantör som heter NCR. IBM sitter på snabba linor, men det innebär inte att deras underleverantörer gör det.


Ja, så är det rimligast att göra om servrarna som har databaserna har åtkomst till internet. Då kan man åtminstone tanka 40 mb/s och kan på 74 dagar få ut runt 250 tb. Servrarna borde i och för sig inte vara anslutna till internet, men det kanske de var.

Informationen kommer ifrån upphandlingsmaterialet (som jag gick igenom i samband med upphandlingen).
Tyvärr beskrivs väldigt tydligt i deras dokumentation vilka servrar som innehåller känslig information.
Man kan mao lätt konstatera vilka servrar man ska välja och vilka databaser man sedan ska inrikta sig på.

Det ända sättet att få fram några bevis är om de har sparat loggar. Antingen sql loggar, netflow data, eller andra audit loggar...

Om de nu har valt att kopiera ut en databas är det för det första inte säkert att den är extremt stor (i förhållande till att kopiera över). Den behöver ju inte innehålla bild-data, men kanske bara text.

Internethastigheten spelar ju väldigt lite roll, vem säger att de åkt hem till farmor och hennes serbiska 512kbps DSL och kört upp VPN direkt till databasservern? Det låter inte så troligt. Mest sannolikt kopplar de till någon terminalserver och kör remoteception därifrån. Jag skulle isåfall gissa att den ondsinta personen har kopierat eventuell sql-dump på det lokala nätverket i sverige för att så vid rätt tillfälle kopiera över till serbien.

Dessutom har säkert IBM dedikerade fiberlinjer med hög hastighet till kontoret i serbien, speciellt om de också kör servrar i serbien/tjeckien.

.

https://minfil.org/y2V1Y4bdb9/2017-16343-2.pdf

Vilket språk skrevs upphandlingsmaterialet på? Vad tyder på att de serbiska it-teknikerna visste om att upphandlingsmaterialet fanns och läste det? Om de inte gjorde det, hur skulle de då kunna veta vilka databaser som var intressanta och vilka som inte var det?

Det är inte troligt att man medvetet stjäl data till sin egen dator/server. Man skulle ju alla gånger slanga över allting någon annan stans.
Samt är man ingenjör och gör detta med uppsåt så är det enormt enkelt att hitta alternativa servrar. Du skulle till och med kunna använda dig av AWS och en full propp mot internet. Så även 100MBit/s är lågt räknat.
Du behöver bara en proxy, eller två, för att sopa igen spåren. Heller inga problem att fixa med hög bandbredd för en ingenjör. Vardagsmat.

Samt är det otroligt att VPN'et använder en server som är direkt seg i dagens mått. Det är inget skydd i sig utan enbart jobbigt för de som arbetar med VPN'et. Så inte troligt man sitter med en sketen uppkoppling och får max 1Mbit/s. För 10 år sedan kanske.

Men en sak kan man vara hyffsat säker på och det är att säkerhetsavdelningen för dessa system har någon sorts övervakning av trafiken på systemet.
En polare som konsultade på Skatteverket fick sparken inom 6h från att han använde SSH protokollet. Och blev helt utlåst.

Däremot är ju flödet krypterat så an skulle dra i handbromsen på onornmalt hög konstant belastning av uttrafiken.

Vet man något om säkerhetsavdelningen dragit i någon broms? Eller har man ens haft adekvat säkerhet för att kunna se onormala beteenden/accesser i systemen?
Hoppas man åtgärdar om så inte är fallet.

Det stämmer. Men det förutsätter också att servrarna man arbetar med är anslutna till internet. Servrar innehållandes extra känslig information ska naturligtvis inte vara anslutna till internet. Om servrarna var ansluta till internet eller inte framgår inte av förundersökningsmaterialet.


10Mbit/s räknades det på. Hur snabb deras lina var om man räknar in VPN-overhead är väldigt svårt att säga eftersom vi inte vet tillräckligt om deras infrastruktur. Jag har sett system där man vpn:ar in i ett annat vpn och sedan ssh:ar in i olika maskiner. Då blir det segt vill jag lova.

Ja det här bör vara praxis för mycket hemlig information. Men i detta fallet vet vi att man haft access till data. Samt används ju registren för uppslagning så nog bör vi kunna anta det finns en koppling mot internet på något sätt.


VPN blir segt om man inte har bra hårdvara. Något vi även bör kunna anta man haft råd med i detta fall.