Valus meldt til Datatilsynet

Publiceret: 16. oktober 2002
Sidst revideret: 18. oktober 2002

Snakeoil.dk har den 16. oktober meldt Valus til Datatilsynet.

Den 23. maj 2002 blev mikrobetalingssystemet Valus.dk åbnet for offenligheden, og i timerne efter blev mindst 2 sikkerhedsfejl fundet i systemet. Den mest alvorlige bestod i en pinlig programmeringsfejl, som tillod, at samtlige besøgende på Valus.dk kunne kommunikere direkte med den bagvedliggende database ved at tilpasse en del af adressen i URL feltet:

http://www.valus.dk/publisering/default.asp?Cid=3%01SHUTDOWN

Ovenstående URL blev postet i Computerworld's debatforum på åbningsdagen, og ved et enkelt klik kunne enhver besøgende uden noget teknisk kendskab bede Valus's databasesystem om at lukke ned. Der var tilsyneladende mange der trykkede, og fornyligt blev der rejst sigtelse mod 2 personer, der vel nærmest troede, at det var løgn, at sådanne basale fejl kunne være tilstede i et kommercielt website udviklet af en bank og to konsulenthuse.

At denne form for manipulering var mulig skyldes, at input fra besøgende på websiden ikke blev filteret før udførsel af databasekaldet. Denne filtering af brugerinput kaldes 'input validering'. Teknikken kræver, at udvikleren af et system definerer en række uskadelige værdier i det omfang, det nu er krævet, for at webfunktionen kan fungere. Kun udviklerne af Valus systemet kan fastlægge, hvad der skal anses som valid input i dette tilfælde, men det blev altså ikke gjort før åbningen af Valus tjenesten.

Valus hævdede i forbindelse med hændelsen i maj, at databasen med personoplysninger ikke på noget tidspunkt var udsat. Kommandoen SHUTDOWN, som var indeholdt i ovenstående URL, kræver administratorrettigheder, hvilket betyder, at det har været muligt for enhver med kendskab til det benyttede databaseprodukt at slette og oprette hele databaser, tilgå og ændre vilkårlige dele af Valus's database, inklusive eventuelle personoplysninger.

Den manglende input validering og benyttelsen af en databasebruger med administratorrettigheder tyder på manglende vurdering og formulering af sikkerhedsmæssige krav til implementationen af systemet. Valus hævder, at systemet er blevet gennemgået for sikkerhedsfejl, men en sådan aktivitet giver kun mening, hvis ønsket opførsel er blevet dokumenteret. Hvordan skal en 3. person ellers vide, om koden han undersøger opfører sig, som det var tiltænkt af udviklerne?

I debatten i Computerworld's forum kom det yderligere frem, at Valus i maj 2002 benyttede en version af WebLogic, som havde kendte sikkerhedsfejl. WebLogic er en komponent, som f.eks. bruges til at binde webserver og databaseserver sammen.

En standard HTTP forespørgsel viser hvilken webserver version www.valus.dk benytter for tiden:

HTTP/1.0 302 Found
Date: Wed, 16 Oct 2002 08:38:03 GMT
Server: Apache/1.3.26 (Unix) mod_ssl/2.8.9 OpenSSL/0.9.6
Location: /publisering/default.asp
Connection: close
Content-Type: text/html; charset=iso-8859-1

OpenSSL biblioteket i versioner tidligere end 0.9.6e har en sikkerhedsfejl. Valus benytter version 0.9.6. Apache webserveren i versioner tidligere end 1.3.27 har tilsvarende en sikkerhedsfejl. Valus benytter version 1.3.26.

Baseret på ovenstående antages det, at Valus den 23. maj 2002 var i overtrædelse af persondataloven paragraf 41, stk. 3 samt paragraf 42, stk. 1, og det frygtes, at de stadigt er det. Loven stiller krav til, hvordan følsomme persondata skal behandles blandt andet, at den dataansvarlige og databehandleren tager de fornødne skridt i form af at udforme og håndhæve en tilstrækkelig sikkerhedspolitik.

Sagen forstærker snakeoil.dk's overbevisning om, at der er behov for produktansvar, når det kommer til software: Vi efterlyser lovgivning, der gør det strafbart at udvikle og sælge software af lav kvalitet. Ligeledes er der behov for mere lovgivning, der gør det strafbart at misvedligeholde en server, da sådan en forsømmelse giver mulighed for uautoriseret adgang til oplysninger, eller til misbrug af serveren med andre formål, f.eks. deltagelse i DDoS angreb.

Valus burde have brugt tid og penge på at uddanne deres udviklere i stedet for nu at bruge tid på at anmelde tilfældige borgere, der tilfældigvis var fjollede nok til at trykke på et link, de burde have holdt fingrene fra.

Kilder