Professor, Script Kiddie eller Mediehora?
Lokalbladet har idag slagit upp "skandalen" att "vem som helst" minsann kan logga in och boka/avboka/ändra tider för någon annan hos Bilprovningen. Uppgifterna kommer från professor Nahid Shahmehri på LiU's institution för datavetenskap och minsann "expert på datasäkerhet". Bah!
All säkerhet handlar ju om en balans mellan säkerhet, användbarhet och värdet av det man vill skydda. För att kunna ändra bokningar hos Bilprovningen måste man känna två faktorer, bilens registreringsnummer och ägarens fyra sista siffror i personnumret. För en person i vänkretsen kanske enkelt att få tag i men för utomstående betydligt krångligare och det låter sig framförallt inte enkelt göras i större mängd på en gång.
Så användbarheten är hög för den som äger bilen. Värdet av det som skyddas är lågt. I värsta fall kunde man tänka sig att några hundra inloggningar med dessa två kända faktorer möjligen skulle kunna skada en enskild station en viss dag genom en massa falskbokningar. Säkerhetsnivån är med andra ord en tillräckligt bra kompromiss och dessutom så känner Bilprovningen inte till att detta skulle ha missbrukats (än). Annat blir det kanske nu när professorn hjälpt till att sprida kunskapen om svageheten till allmänheten. Kanske även finns rutiner på plats för att slå larm om misstänkta användningsmönster i systemet.
Hade någon "attackerat" Bilprovningen med denna metod så hade den i bästa fall kallats för script kiddie och hela hackervärlden hade hånlett åt den som gjort det. Den tekniska komplexitetsgraden på detta "hack" är på dagisnivå och jag undrar om Nahid hittade sin professorstitel i flingpaketet en morgon och vad jag fått för mina skattepengar när hon släpper ifrån sig "larm" av en karaktär som bara drar ett löjets skimmer över hela LiU:s datavetenskapliga institution.
All säkerhet handlar ju om en balans mellan säkerhet, användbarhet och värdet av det man vill skydda. För att kunna ändra bokningar hos Bilprovningen måste man känna två faktorer, bilens registreringsnummer och ägarens fyra sista siffror i personnumret. För en person i vänkretsen kanske enkelt att få tag i men för utomstående betydligt krångligare och det låter sig framförallt inte enkelt göras i större mängd på en gång.
Så användbarheten är hög för den som äger bilen. Värdet av det som skyddas är lågt. I värsta fall kunde man tänka sig att några hundra inloggningar med dessa två kända faktorer möjligen skulle kunna skada en enskild station en viss dag genom en massa falskbokningar. Säkerhetsnivån är med andra ord en tillräckligt bra kompromiss och dessutom så känner Bilprovningen inte till att detta skulle ha missbrukats (än). Annat blir det kanske nu när professorn hjälpt till att sprida kunskapen om svageheten till allmänheten. Kanske även finns rutiner på plats för att slå larm om misstänkta användningsmönster i systemet.
Hade någon "attackerat" Bilprovningen med denna metod så hade den i bästa fall kallats för script kiddie och hela hackervärlden hade hånlett åt den som gjort det. Den tekniska komplexitetsgraden på detta "hack" är på dagisnivå och jag undrar om Nahid hittade sin professorstitel i flingpaketet en morgon och vad jag fått för mina skattepengar när hon släpper ifrån sig "larm" av en karaktär som bara drar ett löjets skimmer över hela LiU:s datavetenskapliga institution.
Kommentarer (om du inte klarar av att skriva ditt namn, skit i att kommentera!)
Postat av: Åsa
Nahid är ett kvinnonamn.
Postat av: Bengt
Jag såg det när jag läste en större variant av artikeln i Extra Östergötland på vägen hem, rättat nu :)
Trackback
