Svenskt telenät vidöppet för attack - lösen okrypterade

25.04.2015 21:40
Det svenska telenätet är mycket sårbart för riktade attacker och avlyssning från främmande makt. Enligt DN:s granskning har ett konsultbolag i Indien fått tillgång till centrala servrar hos Telia Sonera, som mejlat känsliga lösen­ord helt okrypterat.
 

SÄKERHET Problemen gäller enligt DN den fasta telefonin som används av nästan 3,9 miljoner abonnenter.

Konsulterna skulle enligt DN:s källor enkelt kunna slå ut hela det svenska telesystemet. Servrarna som indierna jobbar med finns i Sverige och uppkopplingen sker via fjärranslutning.

 

"Att skicka lösenord i klartext i  mejl borde vara ”big no-no” för en teleoperatör, säger experten Leif Nixon till tidningen.

Håkan Kvarnström, säkerhetschef på Telia Sonera, ser allvarligt på uppgifterna.'

"Att mejla lösenord är ett brott mot våra säkerhetsregler. Det är allvarligt. Lösenord får aldrig skickas i klartext. Det får absolut inte ske", säger han till DN.

 

Telias slarv öppnar nätet för avlyssning

Det svenska telenätet kan vara sårbart för såväl riktade attacker som avlyssning från främmande makt. Ett konsultbolag i Indien har getts unik tillgång till centrala servrar hos Telia Sonera. DN kan avslöja att känsliga lösen­ord mejlas okrypterade.

 

Dagens Nyheter kan i dag visa på allvarliga brister i den svenska tele­infrastrukturen. Det handlar om den fasta telefonin som används av nästan 3,9 miljoner abonnenter. Förutom vanliga privat- och företagskunder använder även svensk statsförvaltning, det vill säga myndigheter, fast telefoni.

Telia Sonera ansvarar fort­farande i praktiken till stor del för kopparnätet. Sedan ett par år tillbaka har delar av underhållet av de underliggande it-systemen lagts ut på ett konsultbolag i Indien.

Att svenska företag anlitar konsulter i låglöneländer är inte ovanligt. Det speciella i detta fall är att personalen i Indien har djup och direkt tillgång till flera centrala datorer i  Sverige. Dit hör driftsystem, till exempel telefonväxlar och DSLAM:ar som är de system som styr ADSL-anslutningar (bredband över kopparnätet), på stationssidan.

Konsultbolaget har även tillgång till det svenska nummerportabilitetssystemet som reglerar att abonnenter kan byta mellan olika teleoperatörer.

Dagens Nyheters källor, som har god insyn i Telia Soneras IT-säkerhet, berättar att konsulterna relativt enkelt till exempel skulle kunna:

• Avlyssna samtal genom att styra om ett nummer så att det går via ett annat nummer.

• Slå ut hela det svenska telesystemet eller skapa kaos som kan ta tid att reda upp.

• Ändra så att ett nummer utger sig för att vara ett annat än det är.

• Stänga av larm som använder sig av telenätet.

Servrarna som konsulterna i Indien ansluter sig till finns fysiskt i Sverige. De kopplar först upp sig genom att fjärransluta till en Windows-dator. Därefter ansluter de sig till datorerna, till exempel via ett program som heter SSH som används för att styra servrar. Både användarnamn och lösenord skickas ofta okrypterade via e-post, enligt DN:s källor.

Att mejla känsliga uppgifter är mycket olämpligt, enligt it-säkerhetsexperten Leif Nixon. Det är särskilt olämpligt om det sker till personer som befinner sig i andra länder eftersom trafiken sannolikt tas upp av utländska underrättelsetjänster.

– Att skicka lösenord i klartext i  mejl borde vara ”big no-no” för en teleoperatör, säger Leif Nixon.

I Snowden-dokument framgår att den amerikanska underrättelsetjänsten NSA och dess brittiska motsvarighet GCHQ har visat stort intresse för teleoperatörer.

Enligt DN:s källor finns det program i systemen i Sverige som loggar alla åtgärder som genomförs, men konsulterna har i några fall också behörighet att rensa dessa loggar. I vissa fall är användar­namnen i systemen inte heller knutna till specifika personer, vilket skulle försvåra en granskning.

DN har tillsammans med källorna suttit ner vid en dator och fått se hur systemen ser ut ”under huven”. Vi har även fått se exempel när lösenord skickats okrypterade över mejl.

Håkan Kvarnström, säkerhetschef på Telia Sonera, tycker inte att det spelar någon roll om systemen administreras från Sverige eller utlandet.

– Vi har strikta avtal som reglerar krav på säkerhet med alla våra underleverantörer. De lyder under samma säkerhetskrav som vi har för våra egna medarbetare.

Det görs en bedömning från fall till fall av vilka system som underleverantörer ska ha tillgång till. Kvarnström vill däremot inte gå in på vilka system som är tillgängliga från utlandet, till exempel om ett utländskt konsultbolag har behörighet att avlyssna samtal.

Hur ser du på att lösenord mejlas okrypterade?

– Det är inget jag känner till har inträffat. Att mejla lösenord är ett brott mot våra säkerhetsregler. Det är allvarligt. Lösenord får aldrig skickas i klartext. Det får absolut inte ske, säger Håkan Kvarnström.

Post- och telestyrelsen har tillsynsansvar för teleoperatörerna. Myndigheten ville på torsdagen avvakta med att ge kommentarer.

– Det är svårt att säga i nuläget om man har gjort rätt eller fel. När det gäller lösenordshanteringen är det förstås viktigt att Telia agerar. Det finns föreskrifter om att lösenord ska hanteras på ett säkert sätt och att personerna ska ha fått erforderlig utbildning. Det ska finnas en bra behörighetshantering, säger Staffan Lindmark.

Förtydligande 2015-04-25 13:16
Företaget Skanova ansvarar för kopparnätet, precis som DN skrivit i granskningen om Telia. De ansvarar däremot enbart för själva kopparledningarna, det vill säga inte den utrustning som berörs av säkerhetsbristerna.

 

Ämne: Svenskt telenät vidöppet för attack - lösen okrypterade

Inga kommentarer hittades.

Ny kommentar