Security Audit Of Trondheim Folkebibliotek's Public-facing IT systems

Abstract

Tidligere studier av datasikkerhet på biblioteker har hatt fokus på sosial manipulasjon og egenrapportering av biblioteker. Det eksisterer rapporter om kriminelle som har utnyttet offentlige datamaskiner på biblioteket og svindlet brukerne. I dette studiet ble penetrasjonstesting brukt for å undersøke hvor godt Trondheim Folkebiblioteks IT-systemer opprettholder brukernes dataintegritet og personvern og sikrer autentisering til systemene som er i bruk. Omfanget av denne rapporten inkluderer webgrensesnitt, applikasjon til smarttelefon, Wi-Fi og offentlige datamaskiner. OWASP Web Security Testing Guide v4 ble brukt til å teste web grensesnittet. Nærmere 30 problemer ble funnet på web grensesnittet. Den verste utnyttelsen ble utført ved å injisere TCL-kode; det var mulig å utføre kommandokjøring eksternt og dermed overta hele serveren. Flere av loggfilene som ble funnet på webserveren, brøt den generelle personvernforordningen (GDPR), med overdreven logging av brukeratferd og lagring av informasjon som passord i ren tekst. Kunde Wi-Fi hadde ingen kryptering, og noe observert trafikk fra brukere ble sendt over HTTP. Tidligere samlede data viste muligheten for å omgå innlogging til de offentlige dataene med mulighet for å kompromittere datamaskinene. Anbefaling for å fikse problemer ble gitt til systemenes eier som en del av koordinert varsling av sårbarhetene.

Previous user data security studies of libraries have had a focus on social engineering and self-reporting of libraries. There have been reports of criminals exploiting library public computers and scamming the users. In this study, penetration testing was used to examine how well Trondheim Folkebibliotek (Trondheim public library) IT systems maintain its users’ data integrity and privacy and ensures secure authentication to the systems in use. The scope of this paper includes web interface, smartphone application, Wi-Fi and public computers. The OWASP Web Security Testing Guide v4 was used for testing the web interface. Close to 30 issues were found on the web interface. The worst exploit was performed by injecting TCL code; it was possible to perform command execution remotely and thus to take over the entire server. Several of the log files found on the web server, violated the General Data Protection Regulation, with excessive user behavior logging and storage of information such as password in plaintext. The customer Wi-Fi had no encryption, and some traffic from users were sent over HTTP. Earlier collected data showed that the login of the library's public computers were easily bypassed and the possibility to compromise the computers existed. Recommendation for fixing issues was provided to the systems' owner as part of the coordinated vulnerability disclosure.