Halkrisk: Säkerhet snubblande nära verkligheten

Cyberterrorism och arrogansens pris

2012-03-02T13:46:00.002+01:00

Årets RSA konferens har nu kommit till sitt slut. Ett av ämnena som diskuterades på konferensen var kring cyberterrorism. Under en paneldebatt lär det dock ha framkommit att framstående amerikanska namn så som Eric Rosenbach (håller i Cyber Policy frågor för amerikanska försvaret) och Martin Libick (som bl.a. skrivit Cyberdeterrence and Cyberwar) spelar ned riskerna att någon annan än en nation skulle kunna åsamka någon större skada för USA. Inte heller Iran anses utgöra något större hot.

Från min sida så håller jag Martin Libick som en av de mest insatta i cyberkrigsfrågor. Till skillnad från många andra så tycks han ha bra kunskap även om tekniska detaljer. Trots det ser jag på deras inställning i den här frågan som anmärkningsvärd. Jag ser spår av ignorans och arrogans i det. Varför det?

Vi har under rätt många år nu fått exempel på exempel där ungdomar, så långt ner i åldern som 12 år, begår dataintrång. Det är enkelt, även för en ensam tonåring, att skaffa sig kunskap om dataintrång och sedan omsätta det i praktik. Det krävs ingen djup specialkunskap. Det krävs inte flera års studier på hög akademisk nivå. Det krävs inte att man är någon stor grupp människor med gemensam agenda.

Pratar vi 0-day buffer overflows och den typen av sårbarheter vi såg i samband med Stuxnet, så jovisst, det kräver lite mer. Även det är fortfarande inom räckhåll för en ensam person. Men faktum är att man inte ens behöver det eftersom nivån på IT-säkerhet tillräckligt ofta är så löjligt låg att det aldrig ens är aktuellt att gå in så djupt! Ifall man inte ens behöver ett lösenord, eller kan använda ett och samma bakdörrslösenord på samtliga enheter av en viss typ, så är det ju kört redan där, eller hur?

Nivån är så låg att en ensam person kan göra stor skada, något som uppmärksammats de senaste veckorna i bland annat Ny Teknik, som skrev om hur enkelt elnätet kan sänkas. Det är knäppt att vi inte ens kan komma förbi tröskeln där vi är överens om det, trots år efter år med utvärdering efter utvärdering, och vittnesmål efter vittnesmål, som alla säger samma sak.

Läsarfrågan den här veckan blir därför:

===> Har någon sett ens EN enda utredning som inte summerar sårbarheten som katastrofal? <===

Ifall man inte erkänner den sårbarhet som finns, lär man ju knappast göra något åt den heller.

Adobe Flash och Cross Site Scripting (XSS)

2012-02-16T13:01:00.003+01:00

Dags för ännu en uppdatering av Flash då. Det hör numera till vardagen att Adobe's prylar och Java behöver uppdateras ganska tätt, ofta på förekommen anledning när man har hittat att någon utnyttjar sårbarheterna in the wild. En intressant sak den här gången som skiljer från alla tidigare är dock att det som utnyttjas in the wild är en Cross Site Scripting (XSS)-sårbarhet. (bra video som förklarar XSS)

Cross Site Scripting sårbarheter är väldigt vanligt förekommande (enligt White Hat's scanning statistik från 2011 så har 64% av apparna de testar minst en XSS-sårbarhet), men sårbarheten tas i min erfarenhet ofta inte särskilt allvarligt, eftersom det man angriper är klienten och inte servern. Ifall enstaka användares konto blir komprometterat är något man räknar med - en viss andel av användarna loggar säkerligen in på sajten från komprometterade datorer, eller har enkla lösenord som har läckt från andra intrång. Behöver inte skada din business så allvarligt.

Men faktum är att vi då och då ser intrång där XSS använts som en del av angreppet som sedermera har lett till root-åtkomst.

XSS är också en bra attackvektor om man vill plocka ut specifik information som en specifik individ har tillgång till. Och det är just så som den här Flash sårbarheten används nu. Och i och med att den ligger i Flash, så innebär det att den gäller universellt för alla sajter.

Hade jag använt mig av en sådan sårbarhet hade jag dels förmodligen haft specifik data jag vill ha ut från specifika personer, men när jag ändå upptäckt möjligheten och haft gott om tid att förbereda mig (det är en 0-day attack), så hade jag sett till att min attack som minst gav mig möjligheten att kolla igenom användarens historik samt surfa runt som användaren. Woo!

Videokonferensen: När chefer och tekniker inte möts

2012-01-23T13:22:00.002+01:00

New York Times har publicerat en artikel om osäkerheten i videokonferenssystem. Detta efter att HD Moore, mest känd för sitt arbete med Metasploit, gjort en undersökning ute på Internet med videokonferenssystem som har autosvar påslaget och är öppet för hela Internet. Han hittade flera högprofilorganisationer med gott om pengar och som man väntar sig en hög säkerhet från, men som uppenbarligen varken har brandväggsregler eller lösenord som skydd.

Teknikern i mig tänker: Ja, det var inga överraskningar där. Jag är totalt ointresserad, det är simpelt att konfigurera bort, och är trivialt att utnyttja. Vem jag än berättar det här för kommer förstå sårbarheten och hur lätt den är att åtgärda. Förmodligen kan jag inte heller använda mitt intrång för att ta mig vidare till organisationens andra system eller utföra nätverksavlyssning. Rakt igenom ointressant.

Från ett managementperspektiv är det desto intressantare. Till skillnad från sårbarheter i vissa andra delar av verksamheten tror jag att ledningsgrupper och styrelser känner ett distinkt obehag om jag berättar för dem att spionera på deras möten är så trivialt att till och med deras teknikfientliga mormor skulle kunna göra det. Och ur det perspektivet är det här mycket, mycket intressant.

Jag gissar på att ledningsgrupp och styrelse reagerar med starkt obehag för de ser vilken skada som skulle kunna komma ur ett sådant spionage. Teknikern däremot, ser det inte på samma sätt. Angriparen som skulle utnyttja en sådan sårbarhet är tydligt ute efter information just från sådana möten och exakt det mötet, och i allmänhet är det inte vad tekniker är intresserade av. Teknikern vill gärna använda teknik för att samla och styra, men vill varken granska ljud eller video.

För att bedöma risken en sådan här sårbarhet ger skulle man därför behöva fråga sig vad är sannolikheten att vi har en angripare som förstår värdet av vad det pratas om på mötet? Jag kan tänka mig att den största risken i det läget kommer komma från de som vid något tillfälle har ringt in till videokonferens och tänkt på att de aldrig behövde ange något lösenord. Alternativt så är det ett angrepp som styrs av någon med sådan förståelse, men utförs av en tekniker. En sådan duo har jag själv stött på tidigare, så jag kan intyga att de finns även utanför den statliga spionverksamheten.

Med tanke på vad som står på spel och att man de facto visar upp sårbarheten för fler och fler personer allteftersom man håller videokonferenser, tycker jag det är ganska allvarligt. Jag skuldbelägger gärna konferenssystemstillverkarna som skeppar utrustning där sådana här saker är möjligt, och i synnerhet de som skeppar utrustning som har de här inställningarna förinställda(!). Men i slutändan handlar det om att systemet införskaffas, installeras och driftas av någon som inte har koll på säkerhet, att ledningen/styrelsen inte tänker på det eller har förutsatt att säkerhet finns och fungerar trots att så inte är fallet. Kanske har konferenssystemet setts som en separat del av IT-miljön som inte granskar och regleras. Min erfarenhet är att utrustning som använder IP, men inte marknadsförs som en klient eller server, faktiskt hamnar utanför ordinarie arbete.

Endast en liten, liten andel tror jag väljer att låta det vara helt öppet med argumentet att "det är bekvämt att ha det öppet, och ingen skulle göra så ändå".

Ett annat sätt att se på det: om din motståndare samarbetar bra med de sina, och du inte samarbetar bra med de dina, kommer du att förlora.

T-Mobile utsatt för politiskt motiverat intrång

2012-01-16T15:58:00.002+01:00

T-Mobiles webbplats har haft intrång. Inget nytt i det, men det är ännu ett i raden av politiskt motiverade angrepp.

“They are known to be supporting the Big Brother Patriot Act law. Any cell phone company doing so I would see as a target,” said one of the hackers.

“One of the main reasons for the hack is because they are corrupted, but we also wanted to show how weak their security is.”

Man ska nog ta påstående med en nypa salt, T-Mobile är nog inte handplockat som den enda man varit intresserad av. Men kanske är det så att man utgått från en lista.

Från min synvinkel är det intressant eftersom jag tycker mig se en tätare integration mellan vad som händer utanför cyberarenan (organisationers handlingar, politiska vindar) och vad som sedan drabbar organisationer på cyberarenan. Många företag har beteenden som är lätta att uppfatta som svinaktiga. Många politiska beslut har starka meningsmotståndare. Den arabiska våren, Anonymous och Occupy-rörelsen har visat ett annat politiskt klimat där de som känner sig representera folket vill ha en större påverkan.

Att åsamka skada i den fysiska världen kanske inte många tänker på då av flera anledningar, men inom cybervärlden är spelfältet ett annat. Jag förväntar mig att den här typen av angrepp kommer öka markant de kommande fem åren.

Kreditkortsstöld är terrorism, Israel fäller upp taggarna

2012-01-09T12:34:00.005+01:00

Efter att kreditkortsdata tillhörande Israeler vid ännu ett tillfälle har stulits och lagts ut av en och samma person kommer en kraftig reaktion från Israels vice utrikesminister. Tonläget är markant aggressivt:

“It is necessary to send a message to everyone who attacks or tries to attack Israel, including in cyberspace, that they are putting themselves in danger and that they will not benefit from any immunity against reprisal actions from Israel. Cyber-attacks amount to terrorism that must be treated as such."

Det hela följs också av något vi nu hört från relativt många länder, nämligen att Israel har en offensiv cyberstyrka:

"In cyberspace, we have active capacities and we can hit those who try to hit us. Israel has active capabilities for striking at those who are trying to harm it, and no agency or hacker will be immune from retaliatory action"

Det här är det klart taggigaste jag hittills träffat på i cybersammanhang från statligt håll.
Uttalandet visar en genomtänkt strategi där man behandlar flera väldigt svåra frågor kring cyber:

Att militären har svårt att skydda alla
Att det är svårt att avgöra vem som ligger bakom en cyberattack
Att det finns tredje parter
Att vad som står på spel varierar med spelarna

Det finns flera knepiga frågor kvar som inte behandlas, men det här uttalandet är den i särklass tydligaste behandlingen jag sett. Att man behöver ta det här på allvar understryks om man dessutom vet att Israel har en historia av att mörda personer i andra länder sedan tidigare, där mordet i Dubai 2010 är det kanske mest spektakulära i det att man "åkte fast" och det uppdagades att åtminstone 28 personer var inblandade i det.

Att avslöja allt - modifierat H5N1-virus under luppen

2011-12-21T13:59:00.007+01:00

Frågan om full disclosure, att avslöja allt eller inte, har under åtminstone 20 år pågått på IT-säkerhetsscenen. Det handlar om man som forskare skall avslöja sådant som kan hjälpa "the bad guys". Från den sidan som propagerar för full disclosure använder man två argument:

Utan att sårbarheten är allmänt känd kommer leverantören inte åtgärda den (inom rimlig tid)
Utan att känna till sårbarheten kan man inte skydda sig mot den

På punkt 2 skrev jag 2006 ett inlägg på daily-dave som förklarade min syn på det då Microsoft valde att i tysthet patcha ett säkerhetshål tillsammans med andra patchar.

På punkt 1 finns åtskilliga historier, men i princip så ser vi samma sak spela upp sig på andra områden där IT nu gjort och gör intåg, som vi såg för 10-20 år sedan inom den generella IT-sfären. Leverantören går in i förnekelseläge och blir arg på den som hittat deras smuts under mattan, kallar den som publicerar info om smutsen som oansvarig och lägger all skuld på denne ifall något skulle inträffa. (Ja, skitsamma om sårbarheten finns där på grund av leverantörens slarv, ifall ingen känner till det så finns den ju inte? Och ifall inte välmenande säkerhetsforskare letar, så skulle ingen annan heller leta...)

För en månad sedan har den här full disclosure-debatten tagit ett saftigt steg in i "verkligheten" då holländska forskare har labbat fram en variant av influensa (H5N1, som både fågelinfluensan och svininfluensan tillhör) som sprider sig lätt mellan människor. Forskarna vill publicera sin metod för att ta fram den smittsamma versionen, men det finns en stor oro för vad det kommer innebära. Ska man verkligen ge den informationen till "the bad guys" sådär öppet?

Men i det här fallet försvinner ett argument. Vi har inte så himla lätt att patcha människan, även om vaccin skulle kunna liknas vid det. Alla har inte tillgång till vaccin, det är inte ett 100-procentigt skydd och det är definitivt inte gratis. Å andra sidan har vi den här gången också en tydlig antagonistisk motståndare - det är en rätt hög risk att det förr eller senare kommer ett virus som sprider sig på det här sättet och då har vi mycket att vinna på att vara beredda.

En anledning till att man på IT-säk sidan valde full disclosure var att alla sårbarheter inte är så enkla att fixa på kort tid. Så är fallet även här - vi kan inte ta fram ett bra vaccin på 0-tid.

Lösningen borde därför vara densamma även här. Ge tillgång till information om hur viruset framställs enbart till de som har en historia av att forska och tillverka vaccin. Gå inte ut med det publikt förrän ett vaccin är klart, och i det här fallet så behövs ju faktiskt inte ens det - vaccinet finns ju redan och vi vill inte utsätta jordens befolkning för onödig risk, allra minst de som inte har råd med vaccinet.

Och i annat fall borde vi luta oss mer åt hållet att inte avslöja just eftersom det är så svårt att "patcha" människan.

Drönaren kapades med hjälp av GPS-spoofing

2011-12-16T21:44:00.003+01:00

Allt tyder nu på att Iran stal den amerikanska drönaren genom att spoofa GPS-positionen. Det hävdas åtminstone i en artikel där man säger sig ha pratat med en icke-namngiven Iransk ingenjör. Genom att störa ut planets kommunikation med kommandocentralen och sedan lura planet att tro att det var på andra koordinator så lyckades man få en näst intill intakt Drone att landa på en plats i Iran när planet i själva verket trodde att det hade flugit hem till sin ordinarie bas.

Samtidigt har det läckt ut en rapport från april 2011 som innehåller citat som verkar bekräfta att amerikanerna känner till hur sårbara drönarna är för just spoofingattacker:

Spoofing or hijacking links can lead to damaging missions, or even to platform loss.

Ja, det verkar onekligen så. Jag måste erkänna att den här teorin ter sig klart mer trovärdig än min foliehatt-teori från igår :) Men de som gillar att spekulera har fortfarande massor med brickor att spela med. Chanserna för en sån här attack att först bli kläckt och sedan lyckas är grymt mycket större om man på förhand vetat hur planet reagerar i olika situationer och att man känner till dess svagheter. Förutom det direkta virusangreppet mot drönarnätverket har det också börjat spekuleras i en Iransk inblandning i intrågen mot RSA och Lockheed-Martin.

Det är svårt att få allt bekräftat, men jag får själv känslan av att vi nu kan se vissa inriktningar när det kommer till cyberkrig. Det framstår som allt tydligare att den som inte hänger med i det här kommer hamna så rejält på efterkälken att fiendens informationsövertag kommer räcka för att göra den överlägsen. Kanske att det till och med kommer gå att använda ägarens vapen mot ägaren själv.

Amerikanska drönare går i backen - utslagna av virus?

2011-12-14T09:32:00.008+01:00

För cirka en vecka sedan hamnade en amerikansk RQ-170 spaningsdrönare på Iransk mark. Hur det gick till? Iran hävdar att det var genom en cyberattack. Från amerikanska sidan är man skeptisk till det. Pentagon säger att "”If this happened, it is a 95 percent chance that it just malfunctioned,". Och Iran har all anledning att säga att de har stora cyberfärdigheter med tanke på att de blivit utsatta för angrepp tidigare. Klart är i alla fall att Iran fick vantarna på en intakt drönare.

Nu har ett andra plan gått i backen, och jag kan inte annat än att fundera på om dessa incidenter har något samröre med det virusangrepp som drönarna brottades med tidigare i höst. Enligt det amerikanska flygvapnet så var det virusangreppet designat för att stjäla inloggningsuppgifter, och enligt en inofficiell källa till AP sades det att det var riktat mot spel som pokersajter och Mafia Wars (sic).

Kanske gav flygvapnet en sanning med modifikation. De tidigare läckta uppgifterna vittnade om lite kaotiskt, men flygvapnet hävdade att allt var lugnt. Om de läckta uppgifterna stämde kanske det vore så illa som att det stals "inloggningsuppgfiter" i form av exempelvis kryptonycklar.

Nu åker foliehatten på, men för allt vi vet så kan det här vara en tredje part som lyckats stjäla kryptonycklarna och nu försöker profitera på det. Till exempel genom att först sälja en RQ-170 till Iran, och sedan landa en drönare på en säker plats för att sedan övertyga en andra köpare (eller USA?) om att denna part verkligen HAR kontroll över drönarna.

En annan teori är att det faktiskt är Iran som ligger bakom det hela, att de plockade hem RQ-170:an och när man från amerikansk sida tvivlade på att det var en cyberattack skickade man tillbaka en signal om att så verkligen var fallet. Att man inte stal även det andra planet kan förklaras med att det skulle vara svårt för allmänheten att inte se en andra stöld av ett plan som en krigshandling, till skillnad från det första planet som "råkade" vara över Iranskt territorium när det plockades ner. Tänk bara vilken avskräckande effekt det skulle ha för att Iran skulle utsättas för fler cyberattacker: "Ni kan störa vårt kärnvapenprogram, men vi kan stjäla era drönare. Håll er borta, OK?".

Vad vi vet med säkerhet är att säkerhetsvärlden står frågande och undrar vad sjutton det är som händer och hur det alls kan hända. Att någon stulit kryptonycklarna skulle förklara allt.

MSBs utredning av Tieto-incidenten är meningslös?

2011-12-04T10:18:00.005+01:00

Ingen kan väl vid det här laget ha undgått det stora haveriet hos Tieto. Det har påverkat mångas vardagsliv när system för instanser som apoteken (alla) och bilprovningen plötsligt får stora problem som i sin tur som propagerar ut sig till slutkunderna.

Olikt för mig så har jag hittills varit rätt tyst om det, för mig har det här inte varit några nyheter och jag har ställt mig vid sidan av för att se på spektaklet och vad omvärlden kommer fram till. Men efter dagens artikel i DN kan jag bara inte hålla mig längre från att säga någonting.

Flera parter har i samband med haveriet börjat skriva om att MSB nu utreder haveriet som om det vore något förmildrande. För läsare kan det också tyckas att "å så bra att någon gör något!". Låt mig då framföra en motsatt spekulation i den frågan. Att MSB utreder det här kommer resultera i ... ingenting. Inget nytt kommer komma fram. MSBs rekommendationer före incidenten kommer vara exakt de samma som efter. MSBs krav på myndigheter likaså. Vad utredningen kommer säga är att det är viktigt att tänka på riskerna när man lägger ut sin data, vilket (you guessed it) inte är några nyheter!

MSBs stora problem är nämligen att de inte når ut i verkligheten. Jag har skrivit om det tidigare, och kommer sannolikt få skriva om det igen eftersom man från myndighetshåll visat sig tvärdöva för den kritiken. Mitt favoritexempel på det är från i somras då Fredrik Sand och Patrik Fältström i en debatt gång på gång berättar att nuvarande arbete inte når ut, nuvarande krav inte följs och på mottagarsidan i den debatten sitter Marita Ljung från näringsdepartementet och Richard Oehme, chef för enheten för samhällets informationssäkerhet. Ifall ni inte vill se hela, kolla från 29 minuter in och framåt (särskilt 53.30 in är också intressant). Från myndighetssidan bemöts inte det här misslyckandet med annat än en attityd av att "jaja, det tar ju tid" och "det måste varje myndighet följa, det är inte upp till oss", men avsaknaden av handling är påtaglig.

Istället kan skönjas en förnekelse av att det ens finns några problem. Exempel: I sammanhanget att säkerhetsarbetet bland myndigheterna är en stor soppa med alldeles för många kockar som har oklara uppgifter, säger Marita bland annat att "Det viktiga är väl att vi upptäcker de hot som finns och kan identifiera de hot som finns". Jag håller inte med. Det viktiga är att riskerna identifieras, riskerna omhändertas, att det vidtas åtgärder och att det finns uppföljning. Det hela är mycket symtomatiskt för hur långt efter myndigheterna ligger i det här tänket. Att känna till hot som man varken värderar eller agerar på är ... inte särskilt mycket värt.

Och sedan konferensen i somras har MSB fortsatt i sitt spår att skriva dokument som är enkla att förkasta eftersom de är fortsatt verklighetsfrämmande och inte gör vad som behövs för att de ska vara underlättande för säkerhetsarbetet. Jag har framfört mina synpunkter om vad jag anser skulle underlätta, men håller inte andan för att de omhändertas, just med tanke på MSBs historik av att gräva ner sig i sin position och vara döva för synpunkter utifrån.

Och det är tyvärr i allt det här problemet ligger. Från departements och styrningshåll tycker man att allt är bra - trots att det uppenbart saknas åtgärder, trots att det uppenbart saknas uppföljning, trots att det uppenbart saknas konsekvenser för ledningen som inte omhändertar de risker som finns.

Som medborgare är jag inte alls nöjd över hur informationssäkerhetsarbetet bland svenska myndigheter bedrivs.

För det privata så anser jag som tidigare att det skall sköta sig självt. Om ett företag vill ta riskfyllda beslut skall det vara fritt fram att göra det. Men myndigheter måste ha en gräns för hur oförsiktiga de får vara, det måste finnas krav för hur man ska bygga samhällskritiska system och jag vet inte hur mycket det behöver fumlas bland myndigheterna innan det framstår som självklart.

Till MSB: jag vet att ni läser, och jag skulle bli glad om ni visar att jag har missuppfattat situationen. Kom fram och kommunicera!

Det privata skall sköta sig självt

2011-11-28T10:32:00.005+01:00

Hotbilden mot svenska företag och myndigheter är mycket påtaglig, men staten skall inte lägga sig i hur det privata hanterar de hot som finns. Vill regeringen visa vägen skall det göras främst för de egna myndigheterna.

Det är tveklöst så som John Daniels skriver i DI-debatt 21/11, att det idag bedrivs verksamheter som är direkta hot mot Sveriges välstånd. Det behöver vi bekräfta på ett tydligare sätt. Men inom cyberområdet finns det flera egenskaper som gör det direkt olämpligt för staten att gå in och ta på sig en skyddande roll. Risken är enorm att man istället för att ha någon verklig effekt istället börjar jaga hägringar.

Det jag vill se från statligt håll är främst tre saker:

För det första behövs ett lagstiftande som lägger kostnaden för intrången hos den som brustit i skyddet. För att exemplifiera varför det behövs så kan man se på hur halkbekämpningen fungerat de senaste vintrarna. Kostnaden av en otillräcklig halkbekämpning bärs av helt andra aktörer än de som har hand om halkbekämpningen. Hade kostnaden burits av de som kunnat förbättra halkbekämpningen hade dessa haft starka ekonomiska incitament att göra ett bättre jobb. Det handlar om miljarder i extra samhällskostnader. Därför anser jag det vara mycket viktigt att skapa den situationen kring all säkerhet – oavsett om det gäller halkrisk eller informationsskydd.

För det anrdra efterfrågar jag att incidenter offentliggörs. Vårt största problem idag är nämligen att hotbilden bara ses som ett spöke som någon drar fram i budgettider, men som inte så många egentligen tror på. Medvetenheten om hotbilden hos svenska företag och myndigheter ÄR låg, men den är det för att det lilla som sipprar fram inte känns relevant. Exempelvis producerar redan myndigheten för samhällsskydd och beredskap (MSB) information, men den har varken formatet eller tyngden som gör att tillräckligt många beslutsfattare anser den användbar.

För det tredje anser jag det nödvändigt att man ställer säkerhetskrav på samhällskritiska system. Idag är det upp till varje aktör att följa sitt eget godtycke efter befintlig förmåga, och det är inte tillräckligt när det byggs system med livslängder på 15-30 år. Ser man bara 10 år bakåt i tiden inser man hur snabbt hotbilden förändras, och jag kan garantera att förändringen av de samhällskritiska systemen inte hänger med i det tempot vi nu ser. Idag är det fritt fram att köpa in system som tillverkaren vet har säkerhetsbrister som är så allvarliga de kan bli, men där tillverkaren varken åtgärdar ellersäger ett knyst om det till sina kunder. Det skall vara självklart att våra samhällskritiska system inte skall byggas på sådant skräp.

Svenska myndigheter måste sedan låta det privata sköta sig självt. Visst vill vi att brott som sträcker sig över landsgränder fortsätter bekämpas, men när det kommer till skyddet vill vi inte ha en tung statlig apparat som jagar hägringar. Vill regeringen visa sin duglighet får de börja med sina myndigheter. Först när man hittat ett bra recept för att säkra upp dem är det läge att vända sig till det privata.

EU förbjuder hälsofarlig "säkerhet" - NEJ till helkroppsröntgen

2011-11-18T12:01:00.003+01:00

Jag har tidigare varit kritisk till användandet av de helkroppsskanners som används på vissa (främst amerikanska) flygplatser. Främst för att jag menat att pengarna kunnat användas mycket bättre, kostnaden för dessa maskiner är hög och det har inte kommit fram några siffror på hur många incidenter man anser att dessa förhindrat. Övriga "kostnadsaspekter" (privacy, hälsa) kan också vägas in i dessa beslut.

Nu har EU-kommisionen varit vänliga nog att förbjuda en typ av helkroppsskanners på samtliga flygplatser i Europa, och gör så med hänvisning till hälsoskäl. Väv in min teori i det och få fram (tillspetsat): vill ni slösa pengar så lägger vi oss inte i, men ni får inte äventyra medborgarnas liv medan ni gör det.

Skönt att någon drar en gräns till slut, även om jag kan tycka att gränsen dras rätt långt bort ifall den placeras först där människor dör. Samtidigt är det talande att det alls behöver göras. Att det här behöver göras på EU-nivå är ju på grund av att det finns för många på lokal nivå som har ett sådant tunnelseende att de inte ser att vad de håller på med är sjabbig, ineffektiv säkerhet som förutom sin höga kostnad i andra aspekter, dessutom kostar fler liv än det räddar.

Duqu dropper väntade tills användaren gick ifrån datorn

2011-11-15T15:24:00.004+01:00

Informationen om Duqu fortsätter rulla in. Tidigare inlägg om hur Duqu installerats får därför ännu ett tillägg nu. Duqu har inte bara installerats med begränsningar om när i kalendertiden, utan även hur länge användaren varit inaktiv. Då worddokumentet öppnats har koden bara lagt sig i minnet, och därefter väntat på att användaren skall vara inaktiv i 10 minuter innan ändringar börjar skrivas till olika permanenta delar av systemet. Alltså ännu ett exempel på hur det designat för att försvåra upptäckt.

Vid det här laget har det också ansamlats tillräckligt mycket indicier för att på goda grunder dra slutsatsen att det var Duqu som Iran hade hittade tidigare i år, det "virus" som de kallade för "Stars". Både namn och datum matchar väldigt väl vad man hittat för Duqu:

The dates of the incident correlate with the history of discovery in Iran of a virus called Stars. At that time Iranian specialists didn’t share samples of the discovered virus with any of the anti-virus companies, and this, it has to be said, was a serious mistake, which gave rise to all subsequent events in this saga. Most probably, the Iranians found a keylogger module that had been loaded onto a system and which contained a photo of the NGC 6745 galaxy. This could explain the title Stars given to it.

Intressant är ju också konstaterandet att eftersom den här informationen inte delades, så drabbades inte bara andra stater och organisationer fortsättningsvis, utan även Iran. D'oh!? Ibland blir hemlighetsmakeriet för stort då de som har behov av informationen för att skydda sina system inte får den.

Min syn på frågan är att det nästan alltid är den defensiva sidan som tjänar på en stark informationsdelning, Risken är naturligtvis att om man delar allt man hittar, så ligger det viktig information i vad som INTE delas, eftersom en angripare då kan dra slutsatser om vad som inte upptäckts. Så det är inte helt uppenbart...

Steam databasen stulen - 35 miljoner gamerkonton påverkas

2011-11-11T10:01:00.006+01:00

Just nu håller omfattning på intrånget mot Steam forums på att rulla upp. Intrånget på forumen konstaterades redan i söndags, men nu har Valve gått ut och sagt att hela Steam databasen har tagits av hackare.

We learned that intruders obtained access to a Steam database in addition to the forums. This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.

We don’t have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely.

Precis som i fallet med Sony's Playstation Network har formulering valts som att man säger att man inte hittat några tecken på... alltså inte "det är inte så" utan "vi har inte sett att det skulle vara så". Det gör det svårbedömt, för man kan undra vilken motivation Valve själva har till att hitta om det vore så.

Ett exempel på några andra som också formulerade sig på detta vis var DigiNotar, där det efter att ett andra extern forensicsteam varit inne uppdagades att omfattning var väldigt mycket större än vad man först upptäckt. DigiNotar lades efter det intrånget ner, eftersom förtroendet i och med intrånget var helt förbrukat och deras certifikat plockade bort från de stora webbläsarna.

Konsekvenserna i det här fallet kommer förstås inte vara lika allvarliga. Steam användare har ända sedan i mars kunnat använda sig av Steam Guard för att förhindra angrepp mot just deras konton. Steam har också sin sida med Account Security Recommendations. Men det här är förstås en stor händelse. Samtidigt kan man undra varför angriparna valde att defacea forumet, när de hade kunnat ta konton från databasen och sälja dem för upp till 1000 dollar styck. Lite märkligt...

Åtgärda sårbarheterna? Nix, kostar pengar och är jobbigt...

2011-11-08T15:56:00.004+01:00

DigitalBond har uppmärksammat ett ärende hos ICS-CERT, där en tillverkare av ett industrisystem har sagt att de inte tänker åtgärda en sårbarhet trots att det finns en färdig exploit för att köra kod.

Jaha, och vad gör man då om man nu sitter med nyköpta grejer som man budgeterat skall hålla i 15 år? Verkar ju uppenbarligen som att man får leva med sårbarheten i 15 år också då. Vad än värre - att de fortsätter sälja produkten utan någon som helst information om sårbarheten.

Läsarfrågan: Tycker du att det är ok att vi i Sverige köper in och installerar sådan utrustning i samhällskritisk infrastruktur?

Om inte så kanske du som jag tycker att det ligger på MSB att använda sitt bemyndigande enligt 2006:942, 34 §, och kräva att så inte sker.

Duqu installatör mer än bara zero day i Windows

2011-11-04T12:42:00.006+01:00

De senaste dagarna har nyhetsflödet kring Duqu fått en nytändning i och med att även installationsprogrammet hittats. Duqu levererades via ett Word-dokument som var tydligt skräddarsytt för exakt den organisationen som drabbades, och använde sig av en 0-day sårbarhet i Windowskärnans TrueType fontparsning.Symantec levererade ett blogginlägg som mer ingående beskrev hur installationen gick till.

Bäst rapportering i övrigt har F-Secure i sin Duqu Q&A, men jag upplever att man ändå har missat en aspekt som jag själv tycker är väldigt intressant. Visst, användandet av en 0-day sårbarhet i Windowskärnan är klart anmärkningsvärd, och sammantaget med det väldigt fåtalet organisationer som har bekräftats drabbade gör att det inte finns något rimligt tvivel om att en nation ligger bakom Duqu. Men det är några andra saker som Symantec skrev om som jag anser förtjänar lite extra uppmärksamhet.

Exploiten skulle bara installera Duqu under en 8-dagars period. Skulle man därefter försöka analysera dokumentet med diverse metoder (Virtuella maskiner, Minnesallokeringar, etc.) skulle man inte hitta ett smack! Det är i min bok mycket anmärkningsvärt och det första publika exemplet av sitt slag.
Duqu skulle inte nödvändigtvis kommunicera med en C&C server ute på Internet. Flera installationer konfigurerades att kommunicera med en servern intern på nätverket. Även detta är mig veterligen ett första publikt exempel.
Duqu skulle avinstallera sig själv efter 30 dagar, såvida inte C&C servern sa till den något annat. Om mitt minne servar mig korrekt så var Stuxnet uppsatt likadan.

Sammantaget visar det på att Duqu designades för att vara "stealth" utöver det vanliga. Man skulle in, samla informationen, sedan ut igen, och det var väsentligt att ingen upptäckte det. Ändå upptäcktes den, och exakt hur det gick till lär det dröja innan vi får veta. Tummen upp för ännu ett klockrent exempel på vad statsaktörer håller på med på området!

Larminstallatör OCH hälare? Så får man ju inte göra!

2011-10-29T21:33:00.003+02:00

Idag kablar TT ut en notis om att en larminstallatör har blivit häktad misstänkt för att i flera år haft en sidoverksamhet i form av häleri.

Ja, i ljuset av det kanske det är värt att återaktualisera min fundering från i maj: Lägg extranycklarna hos en främling och bli säkrare?

IT-säkerhet som gör skillnad, att hjälpa och inte stjälpa

2011-10-20T15:50:00.007+02:00

När man arbetar på den defensiva sidan av säkerhet upptäcker man att det inte bara är sårbarheterna som räknas. Faktum är att sårbarheterna spelar en ganska liten roll, så länge sannolikheten att de utnyttjas är låg och konsekvenserna också är små, behöver vi helt enkelt inte bry oss. Vad man behöver tänka på handlar alltså om risk, som ska balanseras mot verksamhetsnytta och kostnad att åtgärda risken.

Som säkerhetsgranskare kan risktänket vara lätt att glömma bort. Med en stark detaljorientering ser man sårbarheterna och vad det skulle kunna leda till om bara någon som var i samma position som man själv skulle vilja göra något. Det är ett önskvärt synsätt för att hitta sårbarheter - och utan det har risksynen inte något vettigt att fatta beslut på - men när det sedan ska komma något som verkligen har påverkan gör man gott i att omedelbart gå över till risksynen.

För att illustrera vad jag menar tänker jag använda mig av myndigheten för samhällsskydd och beredskap (MSB) och deras vägledning för smarta telefoner och surfplattor. Det är i skrivande stund ett dokument de önskar synpunkter på, så ha lite kul, läs igenom, och om du håller med om vad jag skriver härnäst: låt MSB få höra samma sak från dig!

Att jag väljer det dokumentet är inte ur det blå. För lite mindre än ett år sedan kom nämligen ENISA ut med en rapport om top 10 risker för smartphones. ENISA hade bedömt risken för olika sårbarheter, och då också tagit hänsyn till att risken är olika stor beroende på vilken angripare du kan tänkas ha. HMMM! Låter rätt förnuftigt skulle jag säga. Må hända kan det ha kommit med inspiration från OWASP Top 10 2010 som mycket tydligt visar att det handlar om en topp 10 lista för störst risk, inte värst konsekvens.

MSB har däremot kört in på ett helt annat spår. Deras vägledning blandar högt och lågt och det är minst sagt oklart vilken målgrupp de riktar sig till.

Här är några av de rekommendationer som ges för användarna av privata enheter anslutna till företagsnätet:

Lösenordskydda enheterna så att de är låsta när skärmsläckaren är aktiv.
Använd starka lösenord.
Undvik att använda telefonen för att surfa på osäkra Internetsidor.

Här blandas verkligen högt och lågt. Det självklara som vem som helst förstår, blandas med att användaren ska kunna avgöra om en sida är "osäker". Say what? Hur ska Bert 37 år kunna avgöra om en sida är osäker? Jag är inte ens övertygad om att lösenordet behöver vara "starkt", så länge det inte är uppenbart är det OK i min bok. För vem skyddar man sig mot och i vilka scenarion? Vidare till nästa exempel...

Stäng av de tjänster du inte behöver för stunden, t.ex. WLAN, Bluetooth, GPS, Datatrafik etc. Detta minskar telefonen och surfplattas exponering och sparar dessutom batteri.

Återigen, vem riktar man sig till och har man över huvud taget funderat över risken? Visst, stänga av funktioner minskar angreppsytan, men hur många angrepp per år händer på det här sättet i HELA VÄRLDEN?? Är det verkligen värt att be om uppmärksamhet för så små risker när det finns gapande hål på annat håll? För ett litet, litet antal personer är det här rådet förmodligen värt något, men för en förkrossande majoritet av MSB:s målgrupp är det bara obskyrt. Vidare till nästa exempel...

Installera inga applikationer (appar) som det inte finns något behov av.
Stäm av med IT-avdelningen vilka applikationer som är godkända att
använda. Ladda endast ned applikationer från kända och välrenommerade
bibliotek. Undvik reklamfinansierade applikationer och var medveten om
vilken information applikationer kräver tillgång till.

Slösa IT-avdelningens resurser på att gå igenom vilka appar som är ok för någon användare att ha installerat på sin privata telefon? Tror inte MSB har stämt av detta med NÅGON IT-avdelning, inte ens deras egna.

Koppla inte upp enheten mot okända oskyddade trådlösa nätverk.

Mitt förslag: Koppla bara upp enheten mot kända trådlösa nätverk som har WPA2-skydd.

... och så vidare. Enligt min mening har MSB helt missat målet. Säkerhetsråd skall finnas till för att hjälpa människor göra säkra och förnuftiga beslut. Har man dyra, krångliga åtgärder så kommer de med rätta avvisa det med minskat förtroende för källan som konsekvens. Min rekommendation till MSB är att ta ett steg bakåt, ta några djupa andetag och fundera igenom vilka realiserbara råd som ska ges till vem och varför. Ett dåligt dokument gör mer skada än vad saknaden av ett dokument gör. Ett par hjälpsamma frågor som ett dokument skall kunna svara på:

Vilka 5 risker bör bemötas först?
Var finns brytpunkten där åtgärderna börjar bli "dyra" i förhållande till deras riskreducering?
Vad baserar sig sannolikhetsbedömningen på? Finns det verkliga siffror? Är det uppskattningar? Är det kopplat till svenskt territorium?
Vad baserar sig konsekvensbedömningen på? Uppskattat worst-case scenario? Verkliga angrepp? Vad som är enkelt att automatisera och profitera på?

Ser mycket gärna att dessa frågor även besvaras för det andra dokumentet MSB nu har ute som de önskar synpunkter på, vägledning för USB minnen. Det finns ett stort behov av vägledning på dessa områden, så jag hoppas att MSB kan göra något bra för det.

DHS: Anonymous intresserar sig för industrikontrollsystemen

2011-10-17T13:55:00.004+02:00

Den löst sammansatta gruppen "Anonymous", som tidigare tagit på sig ansvaret för en mängd IT-angrepp, har nu börjat intressera sig för industrikontrollsystem. Det säger en bulletin från ICS-CERT, en del av DHS (Department of Homeland Security, USA).

Mina tidigare inlägg har poängterat just vad den här bulletinen nu aktualiserar (men inte nämner ett ord om): hotbilden kan snabbt förändra sig, och vad gör man då? Sådana här system köps med ett tidsperspektiv på kanske 20-30 år, det finns inte på kartan att byta ut dem och de kan hantera processer som är av yttersta betydelse för dess ägare - något man mycket ogärna pillar på alltså.

Just system som inte byts ut eller uppdateras så lätt behöver göras säkra från början. Är det en privat aktör som köper in osäkra system så är det upp till var och en. För samhällskritiska system bör det dock finnas regler. Myndigheten för samhällsskydd och beredskap(MSB) är den solklara mottagaren för en sådan uppgift, men MSB har tidigare bara visat oförståelse för att det inte går att höja säkerheten på en dag.

Med det sagt så anser jag ändå att det är MSB som bör ta på sig uppgiften, och implicit har de redan fått den. För stunden kanske MSB prioriterar sina resurser annorlunda, och i mina ögon så är det inte så konstigt. MSB ligger helt enkelt efter på flera frågor, och prioriteringen måste vara att släcka bränderna först, planera för brandskydd senare. Mer resurser behöver till, men man ska naturligtvis vara försiktigt med att ge mer resurser om man anser att de resurser som redan ges inte resulterat i mycket valuta för pengarna. Hade varit intressant att höra hur diskussionerna går i de där kretsarna...

Drönarna har fått virus - Incidenthantering the Wrong Way

2011-10-10T12:43:00.006+02:00

USA har på senare tid använt sig allt flitigare av drönarflyg för att spana och angripa specifika mål. Dessa fjärrstyrs från bland annat ett litet ställe i Nevada. Fjärrstyrningen tycks ske bland annat med hjälp av VNC, och av allt att döma så kör systemen Microsoft Windows.

Obekräftade uppgifter hävdar nu att drönarna har hamnat i strid med ett virus, som DoD inte är riktigt säkra på varken var det kommer ifrån eller vad det gör. Och av rapporterna att döma inte heller hur det sprids. Faktum är att rapporteringen som kommit hittills gör att de framstår som amatörer i sin hantering av situationen. Eller vad sägs om följande "godbitar":

“We keep wiping it off, and it keeps coming back,” says a source familiar with the network infection, one of three that told Danger Room about the virus. “We think it’s benign. But we just don’t know.”

...

At first, they followed removal instructions posted on the website of the Kaspersky security firm. “But the virus kept coming back,” a source familiar with the infection says. Eventually, the technicians had to use a software tool called BCWipe to completely erase the GCS’ internal hard drives. “That meant rebuilding them from scratch” — a time-consuming effort.

Jag har tidigare skrivit om hur otroligt svårt det är att kasta ut malware, och framhållit de som rensar ordentligt som föredömen. Vad som verkar ske kring den här incidenten är att massor med saker som görs fel, inklusive informationsläckan som visar allt kaos. Att man har en period av osäkerhet då man inte vet hur viruset beter sig är normalt, men den perioden skall vara kort och hållas intern. Att man sedan plötsligt börjar rensa diskarna utan att ha kommit fram till VARFÖR viruset kommer tillbaka gång på gång är ... ineffektivt. Vad väntar de sig kommer hända när de ansluter den färskinstallerade datorn på nytt?

Jag tror att det inte är riktigt så illa som media framställer det. Jag tror de har något bättre koll än vad som kommit fram. Men det skapar knappast förtroende när debatten rasar vild om hur de här drönarna används - att de sedan inte är säkra nog och att incidenter hanteras på sättet det gör... inte så lyckat.

En twist på det är att det finns indikationer på att det här spridit sig genom informationsdelning mellan olika nätverk. Well, vad som mer hände i helgen var att president Obama har beordrat en ny organisation för att hantera "responsible sharing and safeguarding of classified information". Inga lätta frågor det inte...

iPad och smartphones för militära tillämpningar

2011-10-03T09:44:00.004+02:00

iPad blev tidigare i år godkänd av amerikanska luftfartsmyndigheten för att ersätta kartor i flygplan. Något som även har hänt inom amerikanska militären visar det sig. En helikopterpilot berättar i en artikel om hur han började använda sin personliga iPad för att plocka fram kartor, och tiden för att hitta målet minskade från 3 minuter till 30 sekunder. Det är en signifikant tidsperiod när liv står på spel.

Som säkerhetsmänniskor är det viktigt att vi har en konstruktiv, hjälpande dialog snarare än den klassiska hindrande synen. Ja, det kommer med risker men det kommer också med vinster. Just att kunna få fram kartor snabbt i stridens hetta lär vara värt risken alla gånger - ens om fienden ser var du tar fram är skadan liten. Bruce Schneier skrev om det här för ett par år sedan när det var rubriker om att videoströmmarna från obemannade övervakningsplan sändes ut i klartext.

Men om risken är värd att ta beror förstås också på användningen. Ifall samma appar skulle användas i planeringssyften kan det läcka information som ger betydlig allvarligare konsekvenser. För att inte nämna risken för avlyssning! Och för att vara tydlig: säkerhet säljer inte många iPad och lär därför inte vara någon prioritering hos Apple. Så det är inte undra på att det finns oro bland militärens strateger:

There are concerns among military strategists about passing military secrets on a device that can easily be hacked.

Exempelvis skulle jag tänka mig för både en, två och tre gånger innan jag rekommenderade att någon sån här lösning kör på en iPad (eller smartphone):

"Imagine that you're dropped in an unknown location on a moonless night," McCarthy said. "You open this app, and through its GPS coordinates it shows you where you are. It shows you where your adjacent units are."

Men behoven finns onekligen där, och innovation skall man naturligtvis uppmuntra och ta till vara på. Som säkerhetsrådgivare är uppdraget att göra idéerna möjliga, på ett säkert sätt.

DHS: SCADA-säkerheten så dålig att vi inte längre kan larma om allt

2011-09-28T13:18:00.001+02:00

Industriella kontrollsystem har så dålig säkerhet kring sig att amerikanska Department of Homeland Security (DHS) nu byter strategi hur de informerar om sårbarheterna. De anser att de inte längre kan skicka larm om den kategorin problem som är så osäkra och djupt invävda att tillverkaren inte snabbt kan åtgärda dem. Vilket enligt experter är upp emot 90% av problemen.

Jag stämmer in delvis i den siffran. Som jag skrev i måndags så är tillverkare av industrisystem ofta så brutalt okunniga att även enkla saker som autentisering är raketforskning för dem. Men jag tror också att på grund av att sårbarheterna är på en sådan simpel nivå, så kollar de flesta inte ens bortom dem.

Att en myndighet backar från att larma är ingen fara, givet att de fortsätter dokumentera och publicera sårbarheterna på andra sätt. De som har störst möjlighet att göra något åt det här träsket är nämligen just myndigheterna. Industrisystemens köpare har inte kunskapen för kravställning och även om de skulle hyra in kompetens för att prioritera säkerhet i den kravställningen är det inte säkert att det ens finns något system att köpa. Finns bara ett fåtal leverantörer och om alla de är lika usla hjälper det inte mycket att kravställa. Men kravställa ska man förstås ändå göra, för att skicka signaler och att möjliggöra konkurrensfördelar för dem som har bra koll på sin teknik.

Hela situationen påminner mig lite grann om Lyxfällan. När vissa personer konstaterar att de har det kämpigt med ekonomin ger de upp helt och skiter i att göra något alls åt situationen. Vilket naturligtvis bara förvärrar det hela ytterligare, och till slut så blir det FETKRASCH eller om man har tur så kommer Charlie och Mattias (eller vad de nya nu heter?) och hjälper till att ställa dem mot väggen, förklara läget för dem och sedan hjälper dem att ta tag i problemen.

Min fråga är då.. om inte myndigheterna är Charlie och Mattias, vem tar då den rollen?

De mörkaste hörnen av knarkarkvarten: SCADA system online

2011-09-26T09:17:00.003+02:00

Kommer nästa terrorangrepp ske genom att någon telnettar in till motorn på en 747:a?

Det vet vi inte, men det ter sig troligare nu än för 10 år sedan. En debatt håller på att blossa upp om huruvida skyddet av SCADA-system verkligen förtjänar någon uppmärksamhet. Bakgrunden är återigen Stuxnet, och att Ralph Langner, en av de som ägnat mest tid åt att förstå Stuxnet, nu får mothugg när han säger att ingen lyssnat och att inga åtgärder har kommit. Tyvärr kommer mothugget i form av personangrepp, men i princip kan man säga att motpoängerna skulle vara:

Att människor inte pratar med Ralph om det betyder inte att ingen gör något (i.e. "Vi arbetar på det, men utan dig och i tystnad!")
SCADA system är ändå inte online
Det finns andra system online som därför behöver mer uppmärksamhet
Skulden till Stuxnet finns att skylla på säkerhetsforskare som alls har pratat om att SCADA-system är sårbara. (i.e. "Om alla bara hållit tyst så hade ingen märkt något och ingen tänkt på det, och då hade allt varit ok.")

Svaret på mothugget? Kommer från tredje part och riktar in sig främst på att SCADA system inte finns online. En bloggpost som grundar sig på personliga erfarenheter i Australien visar den verkligheten de flesta har svårt att föreställa sig. Jo, många system kopplas upp och risker ignoreras. Och ja, precis som så mycket annat försummas det sedan och blir en del av knarkarkvarten. Kan det vara värre? Ja, SCADA-systemens startpunkt är så mycket sämre eftersom kunskapsnivån hos tillverkarna är brutalt usel. Blogginlägget hintar om det; system som kör Windows 98 och nätverk som inte får ha några brandväggar för att tillverkarna är rädda och inte känner sig komfortabla med att deras prylar klarar av det. Ehh... wtf?

Mina egna erfarenheter är liknande. De diskussioner jag haft med tillverkare av industrisystem har visat på att de inte ens förstår sig på fundamentala tekniker som TCP/IP. När jag frågat om saker som autentisering och hur de hanterar användarnamn och lösenord tittar de flesta på mig som om jag vore från en annan planet. "Man trycker på knappen här så kopplar den upp". Någon har sträckt sig till att ha en PIN-kod på fyra siffror, utan brute-force skydd (yay?).

Hela poängen är dock det här: kunskapen hur vi kan säkra upp finns redan. Men efterfrågan finns inte. Det är därför knarkarkvarten ser ut som den gör. Och det är därför Ralph Langner upplever det som att ingen lyssnar. Skaran människor som är intresserade är mycket liten, och när marknaden bestämmer vad som ska prioriteras är säkerhet inte en av de sakerna.

Och så kan det väl få vara!? Ja, återigen så är det ok under de flesta omständigheter. Vi säkerhetsmänniskor tenderar att alltför ofta bli "poliser" och besserwissrar. Men det är varken vårt ansvar eller vår befogenhet att tvinga på omvärlden våra prioriteringar, även om vi tror oss ha rätt. Men när system som har livslängder på 20 år byggs som om det vore 1980 känns det helt enkelt inte bra. Vi vet att många oskyldiga kan drabbas, samtidigt som de som gagnats av att prioritera bort säkerhet kommer stå utan större konsekvenser. Moral hazard anyone?

Min åsikt? Vrid ekonomin rätt om det är privata aktörer som tar smällen när den kommer, eller lagstifta om det är samhället som behöver ta den smällen.

Incidenthantering the Right Way - Kernel.org utsatta för intrång

2011-09-01T09:31:00.004+02:00

Serien med intrång mot olika open source projekt fortsätter. För ett par dagar sedan upptäcktes ett angrepp mot kernel.org, Linuxkärnans hemvist. Sannolikt är motivationen att placera in bakdörrar i koden, eftersom man genom det skulle nå miljontals installationer världen över.

Och återigen, till skillnad från kommersiella och statliga organisationer så är open source organisationerna väldigt öppna med vad de vet och vad de gör. Väldigt värdefullt för oss andra som då får information avseende intrångsmetod, fungerande metoder för att upptäcka intrång samt hur det intrången hanteras när det väl upptäckts. Verklighetsanknytningen är min främsta anledning till att "samla" på dessa incidenter.

Så vad kan vi lära oss den här gången? Man kan plocka lite av varje, här är några av mina punkter:

Intrånget gick via en utvecklares personliga dator där inloggningsuppgifter stals. Angrepp behöver alltså inte ske direkt mot målsystemet, det kan gå via något annat system eller någon annan persons privata dator. Det här är i min erfarenhet något som många organisationer missar helt och hållet. Man satsar exempelvis på att en viss webapp ska vara säker, men missar att även miljön och all inloggning till appen behöver göras från minst lika säkra system.
Intrånget upptäcktes på grund av en avvikande loggrad - en komponent som inte var installerade loggade plötsligt ett felmeddelande. Logganalys fungerar och upptäckta avvikelser skall undersökas av någon som är väl förtrogen med systemet.
Att i smyg ändra på källkoden till Linux kärnan är ingen enkel grej. Säkerhetsarkitekturen kring kodens lagring och versionshanternig gör det väldigt lätt att upptäcka den typen av modifieringar. Det fungerar att tänka efter före och designa säkerhet i flera lager. Ibland måste man ta steget tillbaka och göra stora arkitekturella förändringar.

Kernel.org visar dessutom exemplarisk hantering på att städa upp. En inkräktare som en gång tagit sig in kan i regel hålla sig kvar även efter rensningsförsök såvida inte omfattande arbete görs. Sådant omfattande arbete görs nu av kernel.org - samtliga system tas ner, installeras om från grunden och samtliga användare behöver byta sina lösenord och ssh-nycklar.

Nice work, men oj vad nära angriparna var att komma undan oupptäckta :x

Huvudet i sanden? Hackad CA plockas bort från IE och FF

2011-08-31T09:52:00.007+02:00

Ja, på tal om strutsreaktioner så har de senaste dagarna rullat upp en intressant story. Holländska CA:n DigiNotar har utnyttjats för att göra MITM-attacker i Iran. Ett wildcard-certifikat för *.google.com upptäcktes av en medborgare tack vare certifikatpinning, en feature som implementerades i Chrome för inte så länge sedan, som en reaktion på att flera CAs den senaste tiden uppvisat bristande säkerhet.

Certifikatet för *.google.com gavs ut den 10:e juli i år, men flera spår visar att DigiNotar har haft oupptäckta intrång av flera parter sedan åtminstone 2009. Reaktionerna från omvärlden har inte låtit vänta på sig; både Microsoft och Firefox har plockat bort DigiNotars rootcertifikat från sina webbläsare, vilket i praktiken gör att ingen kommer vilja köpa certifikat från dem längre eftersom webbläsaren ändå kommer ge varning. Att Google kommer göra detsamma med Chrome är väl knappast någon vild gissning. (UPDATE: Kanske, kanske inte. Enligt källkoden till Chrome så har Google nu invaliderat 247 certifikat från DigiNotar)

Så vad är DigiNotars ägares reaktion på det? Ja, för det första så tog det dem 1½ dag att över huvud taget kommentera från det att det blivit allmänt känt. De gjorde en utredning och drog tillbaka ett antal certifikat, men senare visade det sig att utredningen inte var komplett. De blev uppmärksammade på det av holländska GovCert, och upptäckte det alltså inte själva (intressant fakta: en majoritet av intrång som upptäcks rapporteras till offret av en tredje part, rätt så tänkvärt vad det betyder för andelen intrång som alls upptäcks...). Och responsen som kommer?

VASCO expects the impact of the breach of DigiNotar’s SSL and EVSSL business to be minimal

Verkligen? Ja, det beror förstås på vilket perspektiv man väljer. DigiNotar står inte för några stora inkomster i förhållande till VASCO i övrigt, vars största inkomst kommer från autentiseringsdosor för tvåfaktorsautentisering. Så jag håller nog med dem, och anser att VASCO hanterar det rätt ok. DigiNotar kanske försvinner, men VASCO kommer inte ta några större smällar. Men efter RSA-hacket så undrar nog många med mig om VASCO är så mycket pålitligare. Kan de mycket väl vara, men hela den här incidenten betraktar jag som "Strike 1".

Sjukvårdsutrustning behöver ingen säkerhet

2011-08-22T09:58:00.008+02:00

... det tycker åtminstone Medtronic, som kommenterar att deras insulinpump kan styras trådlöst till att ändra dosering samtidigt som den fortsätter rapportera normala värden.

"To our knowledge, there has never been a single reported incident outside of controlled laboratory experiments in more than 30 years of device telemetry use, which includes millions of devices worldwide,"

Strutsmentaliteten är påtaglig, och så brukar den faktiskt vara. Till och med då liv står på spel alltså. Jag har genom åren stött på åtskilliga diskussioner där tillverkaren går in i förnekelseläge. Några exempel på kommentarer:

"Det är inget som kravställts."
"Vi levererar bara det våra kunder efterfrågat."
"Vi har inte hört att det skulle vara några problem." (+1 exempel)
"Ingen kommer göra så."
"Det är bara ett felmeddelande, inte en säkerhetsbrist." (SQL Injection)
"Vår produkt är avsedd att köras bakom brandvägg."

Jag brukar bemöta dessa genom att prata om kundernas förväntningar, visa på att det visst händer saker(publika incidenter), och göra proof of concepts. Kan ta ett tag, men så småningom trillar poletten ner. Ofta sitter jag dessutom i positionen att jag har en irriterad kund som stöd, eftersom jag sällan rapporterar något privat eftersom risken är att förnekelsereaktionen åtföljs av en polisanmälan.

Och precis som i de fall jag varit inblandade i så visar sig omvärlden även i detta fall reagera på ett helt annat sätt än leverantören när de får höra hur verkligheten ser ut. Hur förbluffande det än må vara för en tillverkare av sjukvårdsutrustning, så får de nu från statligt håll höra att man faktiskt ser på det som mycket viktigt att livsviktig utrustning också är säker. *gasp* Who could have known!? Det har de ju aldrig framfört som något krav tidigare!

P.S. Det här är symptomatisk för all utrustning som numera kan kommunicera via IP. De har tidigare levt i en skyddad verkstad, gör det inte längre. Fungerar till en början, men allteftersom uppmärksamhet riktas mot de här enheterna så upptäcks att säkerheten är så usel att man tappar andan. Inga problem så länge det inte inträffar några incidenter? Problemet är att de här enheterna kan ha en livstid på upp till 20 år. Att det inte hänt något under de tre första åren är ett väldigt dåligt argument för de kommande 17. Hur gör man då med alla de tusentals enheter som redan är i drift när väl incidenter börjar inträffa? Säkerheten höjs inte på en dag.

DHS fortsätter anlita amatörer

2011-08-19T10:02:00.003+02:00

På tal om vad Bruce Schneier sagt i åratal... Kolla in det här för lite humor:

Department of Homeland Security (DHS) har precis släppt en ny informationskampanj som ska göra det amerikanska folket mer uppmärksamt. Till tonerna av dramatisk musik och med dramatiskt snabba vinklar och klipp ber man amerikaner rapportera in "misstänkta aktiviteter" till lokala myndigheter.

Oh boy! Gissa om de kommer få in samtal!

800 000 dollar för att de inte orkade byta lösenord

2011-08-18T15:11:00.003+02:00

Jag är ju en stor fan av incidenter som görs publika eftersom de så tydligt kan visa på vad som gått fel och vilka konsekvenserna varit. Man kan lära sig något från det, och det är lätt att visa andra en koppling mellan sårbarhet X och konsekvens Y.

När nu ytterligare ett av så många fall inträffat där person A som känner till alla adminlösenorden blir sparkad, kopplar upp sig mot systemen en tid senare och förstör (raderar filer, konfigurerar om, etc..), så kan man ju fråga sig vad som egentligen finns att lära av det. Det är inte direkt raketforskning att förstå det scenariot i förväg.

Jo, det vi kan lära oss om det handlar om den lathet som finns i vår natur. Även om vi förstår att det innebär en risk, så GÖR vi ändå inte något åt det om vi upplever att det är jobbigt/svårt och samtidigt ser sannolikheten(inte risken!) som liten. Vilket långsiktigt faktiskt är fair enough, det är trots allt något människan har utvecklats till de senaste miljoner åren. Right?

Problemet är att människans riskmodell är utvecklad just under väldigt lång tid, under de förutsättningar som funnits under denna långa tid. När det kommer nya tekniska språng - och för den delen nya "snabba" förändringar som fenomenet storstäder - så hinner inte den biologiska utvecklingen med.

Bruce Schneier har de senaste åren snöat in rätt hårt i psykologin kring risk och beskriver det som att det finns tre olika domäner; känsla, modell, verklighet. Vi kan ha en känsla av att det är säkert, oavsett hur verkligheten ser ut. Och i vårt intellekt, vårt förnuft... så kan vi bygga upp en modell av hur saker fungerar. Medan verkligheten i sig kan vara fristående från både vår känslomässiga och intellektuella förståelse. Och det tar en del tid innan de börjar närma sig varandra.

Stories som denna är utmärkt exempel på hur de skiljer sig åt, och hur långt bort vi är från att de sammanfaller när det kommer till informationssäkerhet. Vi är helt enkelt omogna på området.

Å andra sidan så har vi också väldigt svårt att över huvud taget agera på sådant som är rent abstrakt för oss. Även på den fronten spelar incidenter en mycket viktig roll för oss att så vi verkligen förstår insatserna. Här är mitt blogginlägg från 2009 om vad som till slut fick mig att skruva upp brandvarnarna där hemma, som jag inte gjorde förrän då, trots att människan levt med eld sedan tidernas begynnelse...

Ny typ av keylogger på din smartphone

2011-08-18T09:33:00.006+02:00

Det här slår mig som innovativt. Forskare har undersökt möjligheten att göra en keylogger som använder sig av rörelsesensorer i telefonen. De har konstruerat en PoC för Android som har en träffsäkerhet på 70%, som fungerar utan några särskilda rättigheter. Man installerar alltså en app som ser helt oskyldig ut på alla sätt och vis, och åker då på en keylogger. Ouch!

Det här blir särskilt intressant i sammanhanget att W3C har släppt ett förslag på hur man via javascript ska kunna nå telefonens accelerometer och gyroskop. Trillar allt det här igenom utan att någon uppmärksammar det kommer det alltså kunna hamna i läget att om man skulle gå till en webbsida och sedan gå över till en annan app, kan den webbsidan köra en keylogger som lyssnar av t.ex. SMS, mail, chatt och lösenord.

Och tycker man att 70% är lite för lite så kan man ha i tankarna att det här bara är en första studie, som säkerligen kan förfinas. Forskarna nämner exempelvis att använda fler sensorer, och själva skulle jag nog vilja lägga till någon sorts mönstermatchning mot ord som dels skulle kunna hitta orden, dels lära upp mer fingranulärt när en viss "tangent" används. Very cool!

Sydkorea utsatt för riktat angrepp via bakdörr

2011-08-12T08:50:00.003+02:00

Det här är en intressant story. Från en kinesisk IP-adress tog sig någon in hos en sydkoreansk mjukvarutillverkare. Genom att sedan använda deras uppdateringsfunktion för mjukvaran kom de åt en specifik kunds datorer och från den kunden stals det uppgifter om 35 miljoner sydkorean.

Det senaste året har det offentliggjorts ett tiotal fall där någon har gett sig på utvecklingskedjan, och vem vet hur många fler som inte offentliggjorts. Vem vet hur många som har lyckats plantera bakdörrar som aldrig upptäckts? En fråga som jag tycker är intressant är vilka det är som står för de här angreppen.

Medan det vore ruskigt effektivt för en statssponsrad aktör att plantera in bakdörrar i kod så måste de samtidigt vara försiktiga med att inte göra det egna landet sårbart. Alternativt vara villiga att ta risken. Eller kunna styra vilket land som får vilka paket, eller på något vis centralt kunna skydda sitt eget land mot just den sårbarheten. Eller inte köra programvaran alls (tänk: Kina utvecklar sitt eget Linux), eller ta en trade-off där de eventuella egna systemen som drabbas inte är av lika stor vikt som de man vill åt...

Just det här senaste med sydkorea var ju tydligt riktat, men så har det inte alltid varit tidigare (vad som framgått). Men som jag skrivit tidigare, många länder har all anledning att skynda på en snabbare hantering där riskerna kring att använda externt producerad hård- och mjukvara sänks.

Google hjälper USA spionera i Europa

2011-08-09T09:57:00.006+02:00

Google har nu även de medgett att de förser amerikanska underrättelsetjänster med data från och om deras användare. Även sådan data som ligger på europeiska servrar. Ingen överraskning eller något nytt i sig, särskilt inte eftersom det krävs av amerikansk lag, men ytterligare ett exempel på vikten av att inte lägga ut allt i molnet, utan hålla värdefull data för sig själv, inom sitt eget land. Också värt att komma ihåg att Microsoft gör samma sak med exempelvis Office 365. Trots att detta strider mot Europeisk lag.

Jag är en stor vän av att ha konkreta, offentliga exempel att peka på när jag säger "det här händer på riktigt just nu, det är något ni behöver ha med i beräkningen", istället för att behöva säga "lita på mig, det händer" eller poängtera att det är möjligt kopplad till någon grad av spekulation av hur ofta eller när det händer.

Faktum är att det är precis incidenter och artiklar som denna jag vill lyfta fram när jag talar med de som är mindre insatta i säkerhet. För mig fungerar det nämligen jättebra när någon annan förklarar sitt expertområde genom att peka på konkreta händelser, och jag tror de flesta har lättast att ta till sig av budskapet då.

Operation Shady RAT - inget nytt under solen, men...

2011-08-05T13:01:00.003+02:00

Ingen intresserad lär väl ha missat McAfees publicering av information angående en serie intrång som McAfee kallat Operation Shady RAT. Precis som skrivs tidigt i rapporten är det här inget nytt, men ändå reagerar media och stora delar av världen med förvåning som om det vore det.

.. och det är förstås just det som jag tycker är det intressanta i sammanhanget. Och så är det förstås bra att ha ytterligare offentliga exempel från verkligheten att visa. Så nu när problemet börjar uppmärksammas på bred skala, då kommer vi väl få det löst ganska fort? Korta svaret: knappast.

Vägen framåt går förvisso genom medvetandegörande av de risker och sårbarheter och motverkande åtgärder som finns . Men på rikigt - säkerhetsnivån blir inte bättre över natten oavsett vad som händer. Den ofantliga mängden sårbarheter som finns "där ute" skulle inte kunna åtgärdas över natten ens om det fanns färdig perfekt programvara, eller ens om en majoritet av de utsatta plötsligt fick ett abnormt stort säkerhetsmedvetande. Det finns så mycket där ute som är designat, implementerat och exponerat utan någon vidare förståelse för säkerhetsprinciper.

För tillfället kan vi dessutom med god säkerhet säga att det är stor kompetensbrist. Det är ett allvarligt problem i sammanhanget, så pass allvarligt att det finns en uppfattning om att den genomsnittliga kunskapsnivån för de som arbetar med informations och IT-säkerhet är på väg neråt istället för uppåt, eftersom många uppgifter nu ges till personal som inte har kunskapen för att hantera uppgifterna. En uppfattning som fick vatten på sin kvarn i sommarens underhållningstråd på ServerFault: "Our security auditor is an idiot, how do I give him the information he wants?"

Kortsiktigt sitter vi alltså fortfarande rejält i skiten. Långsiktigt så kan vi se att säkerhet nu i allt större grad klättrar i organisationers medvetande. Förhoppningsvis är det något vi i branschen kan använda som grogrund till en konstruktiv, realistisk dialog. Där ligger det stort ansvar på oss som redan har stor erfarenhet och varit i branschen länge att producera bra, balanserat material som är lätt för gemene man att ta till sig.

Slipp inbrott under semestern

2011-07-04T20:15:00.002+02:00

Underbara semester! När nu semestern börjar och många åker bort tänkte jag passa på & länka till ISECOM's semestertips. Alltså inte vart man ska åka, utan hur man håller tjuven borta när man själv åkt iväg nånstans. Ja, förutom det uppenbara med larm då förstås, men det hjälper mycket mindre än vad de flesta tror. Så jag rekommenderar alltså att ögna igenom den här:

The Home Security Methodology Vacation Guide

Låt er inte skrämmas av de första sidorna, när man väl passerat dem så kommer man till en trevlig liten "checklista" där man kan välja de som passar en själv =)

Musen som kommer med en bakdörr

2011-06-30T09:59:00.003+02:00

Det är alltid lite kul när någon till slut gör en proof-of-concept på vad som tidigare bara varit teorier, eller åtminstone saknat offentliga PoC:s. Ett pen-test företag har nu använt sig av en modifierad mus för att ta sig in på det interna nätverket hos en kund. Musen kom med en flash-drive och en mikrokontroller som 60 sekunder efter inkoppling började sända "tangentbordsnedtryckningar" som körde programvaran på flashdriven. Boom!

Hur försvarar man sig mot något sådant? Enda sättet jag kan komma på är att tänka större än teknik. Stoppa inte in okända USB-prylar i datorn. Praktiskt så är det här en attackvektor som kommer fungera mot förkrossande många, och vi har för stunden dåligt med tekniska lösningar som garanterar säkerhet från angreppen. Närmst kan man komma genom att begränsa vilka USB ID:s som är tillåtna. Ytterligare alternativ är att fysiska begränsa USB-portarna.

Citibank, 2.7 miljoner dollar stulna och PCI DSS

2011-06-28T10:13:00.007+02:00

För ett par veckor sedan tillkännagav Citibank ett intrång i sina system där delar av 360 000 kunders information förlorades. Informationen som stals saknade viktiga detaljer så som CVV-kod och utgångsdatum för kortnummer, men har alltså trots det resulterat i att 2,7 miljoner dollar försvunnit från kundernas kort. Pengar som Citibank naturligtvis nu ersätter.

Det är inte första gången som Citibank råkat ut för intrång. Vad som gjorde mig förbluffad den här gången var dock sättet det gjordes på, och de senaste veckorna har många i min omgivning fått höra mig försöka komma till freds med att en bank ännu år 2011 kan ha såna rudimentära sårbarheter. Det där är liksom inte några avancerade buffer overflows vi pratar om, det är grejer som är så konceptuellt enkla och genomförbara att jag på 2 minuter kan lära min svärfar göra det!

Hur som helst, som min gamla kollega Stefan Pettersson sa så kanske bankerna har tjänat massor på att skita i att ta tag i såna här problem och istället ta eventuella kostnader i efterhand. Vi vet helt enkelt inte. Men det är i det här sammanhanget som kortbolagens sätt att hantera sin ekonomi på blir så intressant.

Sedan ett antal år tillbaka har kortbolagen ett gemensamt regelverk (PCI DSS) för hur informationssäkerheten runt kortnummer skall skötas. Att få alla spelare att leva upp till de kraven är en historia i sig, men för sakens skull kan vi säga att de påtryckningsmedel som används alla syftar till en och samma sak: att kortbolagen ska tjäna pengar och slippa kostnader eller uteblivna inkomster relaterade till dålig säkerhet kring korthantering. Det finns förstås diverse avtal runt ämnet också, och dessa utnyttjas både i förebyggande syfte, och i händelse av en incident.

Kortbolagen ser numera till att om en incident sker som skadar kortbolagen ekonomiskt, så kommer kortbolagen se till att skjuta ner den här kostnaden på den som hade kunnat förhindra incidenten. Genom det så eliminerar kortbolagen en externalitet.

Vad betyder det rent praktiskt för korthanterarnas approach till riskhantering? Jo, att även om det en gång i tiden varit lönsamt för dem att skita i säkerheten, så kommer det nu vara mindre lönsamt för dem om det kommer en incident. Frågan är vad som kommer vara Citibanks största kostnad när räkningen för den senaste incidenten summeras: utredningen, åtgärderna, de stulna pengarna, eller... kortbolagens "böter".

Det är fortfarande möjligt att det är ekonomiskt lönsamt för Citibank att fortsätta på samma väg som tidigare, och då är det något vi som samhälle skall omfamna för det kommer sannolikt vara den bästa vägen för samhället i stort. Det vi ska slå ner på är externaliteter, inte enskilda aktörers brist på säkerhet.

Intrång hos StartSSL - är nuvarande PKI på väg utför?

2011-06-21T12:50:00.007+02:00

Ja, man får väl säga att Google hänger med rätt bra i sina satsningar. Dagen efter Chrome tillkännagett möjligheter till certifikat-pinning så får ännu en betrodd CA intrång i sina system.

Jag skulle vilja framhålla i det här sammanhanget att oavsett om det inte går att ha tillit till alla CAs eller inte, så har det systemet vi har idag ändå ett värde. Visst, tittar man på tunga aktörer så finns det förmodligen möjlighet för dem att ordna sina egna betrodda certifikat. Men tittar man på de webbsajter och hotaktörer som finns ute i världen så tillför ändå nuvarande PKI ett mycket stort värde.

Klart man skulle föredra en effektiv, billig och perfekt lösning som alla kan köra och förlita sig på. Men i brist på det får vi bygga ihop en helhet som är tillräckligt bra för just oss i vår situation.

Kommande säkerhetsfeatures i Chrome

2011-06-20T16:53:00.004+02:00

Förra veckan postade Google om några nya säkerhetsfeatures som tillkommer i Chrome framöver.

Den mest nytänkande featuren tycker jag är den här:

Chromium 13: built-in certificate pinning and HSTS
...
As of Chromium 13, all connections to Gmail will be over HTTPS. This includes the initial navigation even if the user types “gmail.com” or “mail.google.com” into the URL bar without an https:// prefix, which defends against sslstrip-type attacks.

The same HSTS technology also prevents users from clicking through SSL warnings for things such as a self-signed certificate. These attacks have been seen in the wild, and users have been known to fall for such attacks. Now there’s a mechanism to prevent them from doing so on sensitive domains.

In addition in Chromium 13, only a very small subset of CAs have the authority to vouch for Gmail (and the Google Accounts login page). This can protect against recent incidents where a CA has its authority abused, and generally protects against the proliferation of signing authority.

Tre saker händer alltså:

Gmail kommer bara gå att komma åt via SSL-anslutning oavsett vad. Kommer detta bara vara så för gmail, eller kan man "ansöka" hos Google om att få sin site med på listan? Kanske Paypal vore nice, som för tillfället är inblandat i att stämma Google i ett helt annat ärende?
Självsignerande cert b-gone. Google har säkerligen väldigt bra (och hög) statistik som tydligt visar att användare inte ses som pålitliga i det här avseendet. Yay!
Gmail.com kommer bara acceptera SSL-certifikat från ett mycket litet antal CAs. Jag utgår från att det här är modifierbart på klienten så att även företag som MITM:ar https kan fortsätta göra det. Även det här väcker frågan hur "pinning" av SSL-certs ska skötas långsiktigt.

Rätt så intressant över huvud taget med punkt 3. Det tar i frågan hur pålitliga CAs verkligen är. Det finns idag en stor inbyggd tillit i att de är pålitliga, men som Comodo visade så kan den tilliten vara felplacerad. Vad gör man då? Försöker rätta problemet hos varje CA? Eller gör som Google och minskar angreppsytan och pekar ut att specifikt "de här" CA är de vi kommer använda oss av. Vad händer då om "alla" börjar göra så? Kommer vi få se en utrensning av CAs? Eller spelar det mindre roll vilken CA man går till så länge man stänger ute de flesta - det är ju hur som helst minskad angreppsyta.

Jag skulle säga att Google gör vad de kan med de resurser som finns inom deras direkta kontroll. Och det ska bli intressant att se hur övriga aktörer på Internet nu reagerar på det.

In it for the Lulz: Vilka bryr sig den här gången?

2011-06-16T15:09:00.005+02:00

Den senaste tiden har vi sett flera uppmärksammade angrepp utförda av "Lulz Sec". Dit hör Fox News, Sony, PBS, Amerikanska senaten och nu senast CIA's hemsida.

För mig som är "old like the hills" triggar den senaste attacken förstås minnen av då CIA fick sin hemsida utbytt 1996. I samband med en rättegång mot medlemmar i Swedish Hacker Association defacades sidan som döptes om till Central Stupidity Agency och fick texten "Stop Lying Bo Skarinder" (åklagaren i målet). På den sidan av det glada 90-talet kom en allmän boom i hemside-defacements som sedan klingade av vid millenieskiftet.

Angrepp som detta görs för uppmärksamhetens skull och för att ge underhållning. Men vad som är tänkvärt är att det såhär 15 år senare görs samma sak. Vad kan vi lära oss av det? Förmodligen mycket beroende på vilken aspekt man väljer att titta på. Ett par saker som jag tänker på är att...

IT-säkerheten är fortfarande klart bristfällig överlag.
De som direkt drabbas idag kan få lida betydligt större ekonomiska konsekvenser än på 90-talet.

Punkt 2 är det som kan få punkt 1 att ändra sig. Länder som USA har numera lagar som tvingar fram ekonomiska konsekvenser av en helt annan dignitet än vad samma incident skulle resultera i om angreppet skett i exempelvis Sverige. All mediatäckning som det här ger, kombinerat med kännbara kostnader för de drabbade gör att läget kan förändras.

IMF utsatta för intrång, men har "förstärkt säkerheten" nu.

2011-06-12T00:05:00.003+02:00

Internationella valutafonden (IMF) upptäckte i onsdags ett stort intrång i sitt nät ("very major breach"). TT-Reuters har rapporterat en kort notis om det som nu har dykt upp i svensk media, men vill man ha lite till gör man klokt i att googla eller gå till NY Times artikel.

TT-Reuters innehåller uppgifter från lördagen där IMF säger att man nu "förstärkt säkerheten". Yeah, right... Jag hänvisar till mitt tidigare inlägg om intrånget hos fastighetsbolaget i Motala - att signifikant höja säkerhetsnivån görs inte på en dag. Att de har patchat sina klienter så att angripare inte längre kommer in med 2 år gamla flash exploits imponerar inte.

Jag skulle någon gång vilja höra en ansvarig person säga något i stil med det här:

"Vi blev tagna på sängen av det här. Vi har inte spenderat så mycket tanke eller resurser på de här frågorna för vi har aldrig haft några problem med det tidigare. Men efter det här måste vi naturligtvis se över situationen, vi förstår att även vi kan utsättas för angrepp som i värsta fall slår ut våra möjligheter att bedriva en effektiv verksamhet. Vi ser mycket allvarligt på läget."

Det skulle öka mitt förtroende. Att låtsas som att det är något som går att göra på en dag... sänker det rätt rejält - har de verkligen varit så försummande att de utsatt sin verksamhet för så allvarliga risker när det bara tar en dag att fixa!?

Summering OWASP AppSec EU 2011

2011-06-11T17:48:00.002+02:00

Sitter då till slut på planet på väg hem från OWASP AppSecEU 2011 och det har blivit dags att summera och känna efter hur vindarna blåste under konferensen.

Jag tyckte mig se två huvuddrag som återkom under flera presentationer.

Det ena har fallit ut från att vi nu kan läsa om allt fler angrepp i mainstream media. Det är angrepp av två typer;
1. Angrepp som drabbar stora kommersiella aktörer som förmodligen ligger alldeles för lågt i sin säkerhetsnivå, och som nu råkar ut för skador som kostar dem flera hundra miljoner kronor eller till och med miljarder. Detta har gett upphov till att de "högre lagren" i allt fler storbolag nu börjat skruva på sig. Det är en risk de tidigare inte tänkt på, men som de nu inser att den kan kosta stora belopp om den inte hanteras.
2. Riktade angrepp mot särskilt känsliga mål. De som drabbats av detta tvingas i ökande grad in i insikten att säkerhetsmedvetandet måste vara högt inom hela organisationen, med ansträngningar som riktar sig utöver traditionella skydd så som brandvägg, IDS, antivirus och även det nyare "patcha". Incidenthantering, anomalidetektering och pålitliga, fingranulära mätpunkter är ledstjärnor.

Det andra som jag återkommande sett är ett mognadssteg i HUR vi ska uppnå en högre säkerhetsnivå. Det var ett ämne jag var inne på i en debattartikel redan efter AppSecEU 2009: till stor del har vi det tekniska kunnandet, men vi saknar det övriga runtikring. Vi behöver satsa mycket mer på att sälja och marknadsföra oss mot beslutsfattare och utvecklingsorganisationer som ännu inte "sett ljuset". Vi är i stort behov av metrics och andra enkla sätt att kommunicera till företagsledningen varför IT-risker behöver hanteras. Kommunikationen måste kretsa kring affärsrisk, inte teknisk sårbarhet X. Passande nog var just det här ämnet mycket närvarande både i keynoten som inledde konferensen, och i keynoten som avslutade konferensen.

Sammanfattningsvis tycker jag det har varit kul och givande med ännu en AppSec EU. Nästa år kommer AppSec EU hållas i Aten, under namnet AppSec Research 2012. Tack vare initiativet från vår egen pionjär John Wilander kommer nämligen varannan AppSec EU vara en AppSec Research där den akademiska världen särskilt bjuds in. AppSec Research 2012 går av stapeln den 9-13 juli. Tills dess får vi hålla tillgodo med våra lokala OWASP-kvällar, och kanske ses vi även på SEC-T i höst?

Bloggande från AppSec EU 2011

2011-06-09T12:15:00.002+02:00

Jag sitter för stunden på AppSec EU 2011 i Dublin och kommer blogga om de presentationer jag går på. Men de publiceras inte här, utan på OWASP Sweden bloggen.

Sitter just nu och lyssnar på APT in a Nutshell. Ett ämne väldigt nära cyberkrig.

F-Secure Antivirus nu tillgängligt även för Mac OS X

2011-06-01T10:06:00.003+02:00

Som jag skrev i början av maj har det blivit dags att börja köra antivirus på Mac. F-Secure har varit inne på samma spår ett tag och har nu till slut släppt F-Secure Antivirus till Mac OS X efter att ha observerat ett kraftigt stigande antal infektioner.

Även L-3 drabbade: Kontakta RSA och byt tokens!

2011-06-01T09:44:00.003+02:00

Som jag skrev om i måndags så har intrånget hos Lockheed Martin kopplats till RSA:s tvåfaktorsautentisering. Nu kommer det nya uppgifter om att en annan stor leverantör till Pentagon, L-3 Communication, redan i april blev drabbade och pekade ut RSA-intrånget som källa. Ett meddelande som gick ut till alla L-3 anställda den 6 april berättade att:

"L-3 Communications has been actively targeted with penetration attacks leveraging the compromised information" [from the RSA intrusion]

.. och hur svarar RSA på de här nya uppgifterna?

Asked if the RSA intruders did gain the ability to clone SecurID keyfobs, RSA spokeswoman Helen Stefen said, “That’s not something we had commented on and probably never will.”

Det är förstås fullkomligt oförsvarligt. Antingen står RSA rena och skall då klargöra det för att inte tappa miljarder i intäkter. RSA har idag cirka 290 miljoner tokens ute i världen, och det är inte otänkbart att hälften skulle försvinna på grund av utvecklingen vi nu ser. Det är starka motiv att förneka att intrånget hos RSA skulle kunna resultera i sånt här.

Så det ser just nu ut som att RSA faktiskt tappade vital information som gör att deras kunder i högsta grad hamnat i skottgluggen. Att då inte gå ut och säga det, ta ansvar och byta ut alla tokens... är helt enkelt inte ok. Under alla omständigheter jag ser har RSA gjort en serie rejäla misstag och de förtjänar i dagsläget inte någon tillit.

Är du kund till RSA rekommenderar jag att du konfronterar RSA med de här uppgifterna och kräver svar

Intrånget hos Lockheed knutet till RSA SecurID?

2011-05-30T08:17:00.004+02:00

Helgen har bjudit på rapporter om att Lockheed Martin, världens största vapentillverkare, har drabbats av en cyberattack. Till skillnad från svensk media har utländsk media varit något mer långtgående i spekulationer om vad som egentligen har hänt. Åtminstone Lockheed Martin själva tycks övertygade om att RSA SecurID är inblandat, och håller på att byta ut samtliga sina tokens. Antingen är Lockheed Martin oroliga över att inkräktaren kommit åt deras seeds genom intrånget hos dem, eller så... är de oroliga över att intrånget hos RSA tidigare i år innebar att vital SecurID data stals.

RSAs sätt att hantera informationen angående intrånget tidigare i våras har tidigare fått kritik från flera håll. Efter att Lockheed Martin nu så tydligt visar att de inte litar på sina tokens längre kan man milt säga att det kommer ge ytterligare konsekvenser för RSA. Vilka vågar lita på sina RSA tokens nu? Och kommer kunderna verkligen våga fortsätta lita på RSA, eller kommer de byta till någon konkurrent? Och om RSA skulle erbjuda nya tokens till alla kunder, vad kostar det RSA? Skulle det innebära att RSA medger att de blev av med frödata?

Positionen verkar omöjlig för RSA och det ser ut som om förluster från intrånget nu kommer klättra upp mot miljardklassen. Precis som Sony och deras Playstation Network. Med den ökande rapporteringen både från privata och offentliga organisationer om intrång och intrångsförsök, och en ökande mängd företag som får känna på ekonomiska konsekvenser i miljardklassen (+ fallande börskurser), så är frågan om tiden nu inte är mogen för att informationssäkerhet ska bli en seriös prioritering i större kretsar än vad det tidigare varit. Vi är många som vet att sårbarheten är stor, och uppenbarligen så har flera antagonistiska aktörer nu fått upp farten i sitt agerande på det.

Spammarnas topp 3 banker är från Azerbadjan, Karibien och ... Norge!?

2011-05-25T14:22:00.002+02:00

Ja, ibland blir man förvånad. En studie som publicerats av University of California har kikat närmre på hela kedjan av aktörer som tjänar på spamannonserad försäljning, däribland banker. Studien visade att tre banker tillsammans står för 96% av alla utbetalningar till spammarna. Dessa banker tjänar förstås fina pengar på det, men man kan ifrågasätta bankernas agerande både etiskt och juridiskt.

Att Karibien och Azerbadjan finns med i lite skumma sammanhang lär inte förvåna, men att en norsk bank så öppet är med förvånar åtminstone mig. Jag tog därför kontakt med den norska banken för att höra hur de ställde sig till att tjäna pengar på sådan verksamhet.

Svaret kom snabbt att det var via uppköp av en lettisk bank som de fått med sig en viss kund, och att kunden redan sagts upp efter en intern genomgång. Så världen fortsätter vara lite bekant trots allt :)

Lägg extranycklar hos en främling och bli säkrare?

2011-05-06T09:56:00.002+02:00

På väg till jobbet brukar jag lyssna på Rix Morronzoo. Tyvärr är det en kommersiell radiokanal så man behöver stå ut med reklamen, men det är en trade-off jag är villig att göra i det här fallet givet alternativen :) Ibland kan det till och med visa sig underhållande och tankeväckande...

Just nu har nämligen ett larmföretag en rätt intressant reklamspot. De förespråkar att man ska ge dem sina nycklar. Motiveringen på hemsidan är att "de ska kunna utföra en inre kontroll av bostaden och återställa säkerheten" när larmet går. Som en bonus hjälper de en dessutom om man låst sig ute eller glömt sina nycklar.Wow, tänker jag... kommer det verkligen göra mig säkrare att jag har en nyckel liggande hos ett företag någonstans? Hur skyddar de min nyckel? Hur många har tillgång till den? Vore inte det jävligt grymt om jag vore lite shady, fixade anställning där, började kopiera nycklar och gjorde lite business? Eller säg att jag redan är anställd och ser möjligheten till lite extra "business on the side"?

Känner mig rätt osäker på om det där är en bra idé alltså. Å andra sidan ska det vägas mot potentiell nytta. Hur som helst, de säljer säkert bra. För att jag ska bli kund skulle jag dock önska lite bättre transparens om hur de skyddar mina nycklar. Men jag förstår att de inte gör det, sannolikt är en förkrossande majoritet av deras kunder inte insatta i säkerhet i alla fall och helt inställda på att det är bekvämt att helt enkelt lita på larmföretaget.

Vad jag undrar då är hur ansvarsfrågan reds ut om något skulle hända? Sannolikt kommer det inte kunnat bevisas tillbaka till larmföretaget, utan det är först efter ett större antal inbrott som polisen skulle upptäcka ett mönster, jobba med larmföretaget för att hitta den skyldiga personen och skulle något läcka till media skulle larmföretaget dra igång det vanliga ursäktsmaskineriet med "se över våra rutiner". Men vad kommer det innebära för dig som privatperson? Hur ser försäkringsbolagen på det?

Mac-användare, start your engines!

2011-05-03T12:09:00.003+02:00

Mac användare har länge levt med lägre risk än Windows användare. Det har pratats om att Mac skulle vara säkrare - men det korrekta ordet är förstås just att de utsätts för lägre risk. Men sedan ett par månader tillbaka har det dykt upp screenshots och information om att crimeware kit - mjukvara som används för att bygga upp botnät - varit på gång även till Mac.

Nu är dagen här då det finns att köpa. Och fler är på väg. Och det är mååånga Mac-ägare som förmodligen tror att de inte behöver oroa sig för antivirus till Mac alls.

"Behöver jag antivirus om jag kör Mac?"
Min svärmor var på en elkedja och skulle prata laptops och säljaren menade på att "Köp en Mac! De kan inte få virus" .. nu hade ju svärmor hört mig prata och trodde inte på det, men hur många går inte på det när en hip ung kille (som uppenbarligen är jätteinsatt!?) säger det?

Ja, nu är det dags att skaffa antivirus till Mac!
Well... Min analys är att tiden utan antivirus på Mac nu närmat sig sitt slut. Om det rör sig om dagar, veckor eller ett par månader vet jag inte, men det handlar inte längre om år. Ladies and gentlemen... Start your engines!

Iran utsatt för en andra cyberattack

2011-04-26T09:49:00.004+02:00

Reuters rapporterar om att officiella källor i Iran har meddelat att de förutom Stuxnet, nu också hittat ett andra virus med namn "Stars". Inga uppgifter ges om vad Stars gör, utan istället anges bara att Stars nu håller på att undersökas i laboratoriet. Enligt uppgifterna så skall inga större skador ha skett innan Irans "unga experter" hittade viruset. Det ser dock ut som om det är ännu en spear phishing attack som har varit sättet att leverera koden på.

Ett av de mer intressanta citaten är hur Irans regering uppmanas agera på angreppen:

"Perhaps the Foreign Ministry had overlooked the options to legally pursue the case, and it seems our diplomatic apparatus should pay more attention to follow up the cyber wars staged against Iran," Jalali said.

Enligt artikeln så har officiella källor i Iran redan pekat ut Israel och USA som ansvariga bakom Stuxnet, trots svårigheterna förknippade med att avgöra var en cyberattack har sitt ursprung.

Hur Iran verkligen svarat på angreppen vet vi dock inte. Det officiella är bara en del av det hela. Vad som händer bakom kulisserna vet vi inte. Värt att komma ihåg är hur som helst att Iran har en mängd framstående personer inom datalogin och vi vet också säkert att amerikanska myndigheter och bolag regelbundet drabbas av angrepp. Om Iran ligger bakom något av dessa vet vi inte.

Det står dock allt mer klart att cyberkrig börjat bli en alltmer påtaglig verklighet för flertalet nationer. Vilka effekter kommer det i sin tur att få? En striktare intern styrning? Kanske flyttas gränsen där organisationer inte längre vågar ha sina system anslutna till Internet? Kanske är Internetanslutning så värdefullt att fokus snarare hamnar på intelligentare försvar? Upp till spekulation...

Spear phishing fortsätter drabba stater

2011-04-21T14:24:00.003+02:00

Wired har en intressant artikel uppe om hur ett statligt topplab i USA för andra gången drabbades av en spear phishing-attack. En 0-day Internet Explorer-attack användes tillsammans med ett mailutskick till 500+ personer. Knappt man kan kalla det spear phishing, men attacken var tydligt riktad mot exakt det här labbet. Som för övrigt specialiserade sig på bland annat.... cybersäkerhet!

Några saker gör den här gången extra intressant:

Datamängden som stals tros vara väsentligt mycket mindre. Skadan bedöms därför vara mindre.
Trots att man forskade om cybersäkerhet kunde inte attacken förhindras.
Trots att man råkat ut för det tidigare kunde man inte förhindra att det hände igen.

Det visar mycket tydligt på att det går inte att lita på mjukvaran även om den är fullt patchad. Visst, det är viktigt att lägga krut på patchningen men lägg inte allt krut där. Vi ser gott om 0-day attacker. Är man i en högriskverksamhet med motiverade angripare måste man även lägga mycket krut på att upptäcka det lyckade angreppet och minimera skadeverkningarna.

Cyberkrig: När ges ordern att trycka på knappen?

2011-04-14T20:52:00.007+02:00

Redan 1983 tog filmen Wargames upp ett scenario där ett kärnvapenkrig var på väg att bryta ut. Enligt datorsystemet så hade Sovjetunionen skickat iväg kärnvapen mot USA, men tack och lov tryckte aldrig amerikanerna på knappen för att skicka vedergällningsmissiler åt andra hållet. Vilket man i filmen var väldigt lättade över när det visade sig vara en tonåring som spelade ett spel, helt ovetandes om vilka konsekvenserna hade kunnat bli.

För ett par veckor sedan skrev jag om svårigheterna att identifiera en angripare vid en cyberattack. Förra veckan var jag i Paris, och stötte där på militärer som patrullerade runt några av Paris sevärdheter. Vår guide - som visade sig lika skeptisk som jag till deras nytta - förklarade att bakgrunden till det var att Frankrike var på väg att införa ett "burkaförbud" och man upplevde därför en förhöjd hotbild. Nedan är en bild tagen på militärer utanför Notre Dame.

Men vad gör militärerna där egentligen? Beväpnade med automatkarbiner, vad kan de egentligen göra för nytta för att avstyra ett självmordsattentat? Mina tankar går så här: varje år kommer miljontals turister till Paris. Förutom stolthet ger det också Frankrike flera miljarder euro per år. Men vad skulle hända med det antalet om en turist blev skjuten? Vad skulle det innebär politiskt och ekonomiskt? Förmodligen skulle det vara KATASTROF, och de politiska konsekvenserna skulle bli mycket stora.

Det borde vara säkert att säga att någon militär inte kommer klämma på avtryckaren såvida han inte är absolut 100% säker på att det är en terrorist han skjuter.

Så i "cyberrymden", där det i princip inte går att vara 100% säker, vem trycker egentligen på knappen då? Well, konsekvenserna av en knapptryckning behöver inte vara lika allvarliga. Svaret behöver varken vara symmetriskt i storlek, eller för den delen innebära att man skickar iväg alla sina kärnvapen. Det kan lika gärna bli ett diplomatiskt svar i form av höga tullavgifter, ett veto i något FN-råd eller vad som helst.

Det kan också vara så att den som utfört attacken VILL avslöja sin identitet i syfte att visa upp sina muskler. En sorts vapenrustning: "You can hack me, but you should remember I'm probably better at that sort of thing than you are" (TBob).

Ett sådant tillfälle där musklerna flexades var 2008 då Kina visade sin kapacitet genom att ösa ut uppsnappade amerikanska meddelanden på en kanal där Kina visste att NSA skulle se det. Uppenbarligen hade Kina lyckats VÄLDIGT väl med att ta hand om ett NSA-plan som efter en kollision hade tvingats nödlandat i Kina 2001. Något som amerikanerna inte bedömde vara möjligt 2003, men som Kina fem år senare visade upp.

---

Den andra sidan av myntet är förstås att det blir mycket lättare att trycka på knappen för offensiva angrepp. Om risken för konsekvenser är låga, varför inte ta chansen? Något knepigare i demokratiska länder där offensiva operationer behöver vara sanktionerade på ett annat sätt, men på det hela taget något man bör vara väl medveten om när det handlar om cyberoperationer. Att det är svårt att identifera angriparen ökar sannolikheten för angrepp. Den enda motkraften kan vara att det krävs en viss kompetensnivå att utföra dem. Hur mycket beror helt på hur väl skyddat målet är.

Läsarfrågan: Hur många mål som är värda något för en stat kan idag nås av en scriptkiddie? Hur många är redan ägda?

Största kreditkortsstölden: Godkänd av Secret Service?

2011-04-12T08:19:00.006+02:00

Albert Gonzales, dömd till 20 års fängelse för bland annat kreditkortsstölder hos TJX och Heartland Payment Systems och Seven Eleven, har lämnat in en överklagan på grunden att hans gärningar skulle varit godkända av Secret Service.

Att Secret Service skulle godkänt något sådant verkar orimligt. Även om Gonzales vid tidpunkten faktiskt jobbade undercover för Secret Service och kanske behövde hantera stulna kortnummer för att ha kvar sin kredibilitet bland dem han infiltrerat, skulle sättet de gjorde det på osannolikt vara det här. Gonzales själv tjänade stora pengar på det, både amerikanska privatpersoner och företag blev drabbade och allt jag sett tidigare om USAs myndigheter som godkänner hemliga operationer är att de är väldigt försiktiga med att godkänna sådana operationer på hemmaplan.

Däremot är det värt att ha i minnet att man i USA faktiskt har sökt stöd rätt nyligen för att utföra offensiva cyberoperationer för att "skydda amerikanska intressen". Om de drabbade affärerna hade varit utlandsägda, hade det då ingått i ett sådant mandat? Secret Service jagade trots allt brottslingar som gjorde Dåliga Saker(tm) mot amerikanska medborgare och företag...

Cyberkrig: Vart sätter du missilen?

2011-03-31T17:43:00.004+02:00

Information nu i dagarna gör gällande att NSA har kallats in för att utreda tidigare års intrång hos Nasdaq. Det är ett utmärkt exempel på att cyberkrig är betydligt mer nyanserat än att slå ut SCADA-maskiner, vilket ju annars är det stora som brukar frontas när det pratas cyberkrig.

Traditionell krigföring är till stor del inriktad på att förstöra, och göra det på ett spektakulärt sätt. Förberedelsen för det sker genom underrättelseinhämtning. Det kan vara exempelvis var finns militärbaserna, vad finns vid varje bas, vem arbetar vid vilken bas, och så vidare...

Med cyberkrig kommer däremot helt nya möjligheter. När det traditionellt bara gick att placera en bugg för att avlyssna kommunikation, så går det nu att plantera in sig i systemet så att kontroll ges över alla tre aspekterna konfidentialitet, integritet och tillgänglighet. Dessutom kommer mängden information som går att plocka upp vara enormt mycket större än från enstaka mikrofoner eller kameror.

Det finns många såna aspekter som gör cyberkrig till ett långt mer mångsidigt verktyg än vad som funnits tillgängligt tidigare. Det i sig förändrar vilka mål som är intressanta att angripa. Lägg till det att själva inkorporerandet av IT har förändrat hela samhällssystem. Exempelvis har IT's intåg förändrat hantering av kontanter och finansiella instrument. Vad skulle hända med ett samhälle där finanssystemet brakar ihop?

Att dessa cyberangrepp dessutom går att utföra utan att det säkert går att säga vem som utfört det suddar ut den tidigare gränsen mellan krig och fred. Att två nationer inte befinner sig i krig är därför inte nödvändigtvis ett hinder för ett "tyst" cyberkrig, där olika aktörer infiltrerar viktiga samhällsstrukturer och i tysthet utnyttjar informationen fram tills något annat skulle bli aktuellt.

Ta Nasdaq OMX som exempel. Varför skulle någon ta sig in där? Ja, ser man bortom otillgängliggörandet av själva marknadsplatsen - något som snabbt skulle upptäckas - så är konfidentialitets- och integritetsmöjligheterna för en kreativ angripare rätt så attraktiva. Genom ett intrång hos börsen kan du skaffa dig ekonomiska fördelar som, om du spelar dina kort rätt, kan ge dig en sådan fördel på börsen att det kan handla om biljoner. PLUS! Att du om situationen skulle eskalera, kan störa den finansiella marknaden. Rätt bra läge va?

De traditionella målen står fortfarande kvar. Det vore superattraktivt om jag kunde sänka hela fiendens flygflotta genom att bara skicka ut några byte i etern. Men angreppsytan har blivit MYCKET större samtidigt som spelreglerna förändrats.

Jag lutar åt att det inte är de uppenbara militära målen som ett cyberkrig slår mot, utan snarare de civila systemen.

Cyberkrig: "Vem var det som kasta!?"

2011-03-29T08:05:00.003+02:00

Idag kommer uppgifter om att australiens premiärminister Julia Gillard ska ha fått sin dator hackad. Även två av hennes ministrar tros ha blivit offer. Målet sägs vara information - flera tusen mail sägs ha lästs under den senaste månaden. Men vem var det som gjorde det? Jo det var Kina, säger "underrättelsefolk i USA".

... och med det så belyses några av de stora problemen inom "cyberkrig".

Vad har hänt?
När hände det?
Vem var det?

Med lite tur, skicklighet och bristande skicklighet från angriparen kan man få hyggliga svar på de första två. Men den sista frågan - vem var det? - är otroligt svår att besvara med rimlig säkerhet. Genom att gå via andra datorer döljer man sitt eget ursprung, och genom att gå via datorer i andra länder så försvårar man utredning och kan dessutom "sätta dit" någon annan på det.

Det är väldigt lätt att stanna vid de "självklara" misstänkta. Kina pekas ofta ut som huvudmisstänkt, vilket även hänt här i Sverige. Och med Comodo-hacket var det många som pekade mot Iran. Några dagar senare så säger sig en ensamstående iransk hacker ligga bakom intrånget. Men hur trovärdigt är det? Var det verkligen han, och gjorde han det i sådana fall på eget intiativ? Eller var det med statlig backning?

Framförallt - hur trovärdigt behöver det vara för att berättiga ett svar? Och vilket svar? Cyberkrig suddar ut de klassiska gränserna för krig och krigshandlingar. Spekulationer i Stuxnets uppkomst gör gällande att en anledning till att Stuxnet alls blev av var just svårigheterna det skulle innebära att bevisa dess ursprung.

Eftersom det inte går att VETA vem som gjort vad eller varför, utan det bara går att spekulera, är frågan som sagt vilken motreaktion som ska väljas och vem som ska bli mottagaren för den. Här resonerar säkerligen olika länder väldigt olika. Hittills finns inga publikt kända exempel på vad som kan säkerställas vara vedergällning för en cyberattack. Det är förmodligen inte så många som ens skulle veta hur sådana vedergällningsattacker skulle se ut. Om man nu ens tänker i termer som vedergällning...

Cyberkriget som passar in

2011-03-28T13:51:00.002+02:00

Det finns en tilltagande hype kring cyberkrig. Det syns både inom media, inom politiken och på konferenser. Men något saknas: definitionen. Trots att det redan genomförs övningar på ämnet, finns det en stor oenighet om vad cyberkrig egentligen innebär.

Beroende på vilken part man kikar på får man olika glimtar av det. Handlar cyberkrig om att sänka Internet eller vissa specifika tjänster, så som den DDoS-attacken som drabbade många i Estland för fyra år sedan, eller Georgien för tre år sedan? Eller kanske är det att använda signalsystem för att förstöra tåg som FOI använde som exempel på Folk och Försvar 2011?

Det gemensamma för mycket av vad som syns och hörs är att det är spektakulärt och enkelt greppbart. Det är svart eller vitt. Det passar in i samma sinnebild som den traditionella krigsföringen, där mål slås ut, saker smäller och blod flyter.

En stor del av det som kan betecknas som cyberkrig faller dock utanför den ramen. Det som traditionellt synts utgör kanske 1/30 av vad som rättmätigen kan betecknas som cyberkrig.
Då MSB gjorde en lägesbedömning av samhällets informationssäkerhet 2009 konstaterade man att ”det råder delade meningar om huruvida ett hot i form av cyberkrig existerar och hur det i så fall ser ut.” Så är läget fortfarande. Rapporten menade också på att en ”metod” som hade vunnit visst gehör bland internationella aktörer var att avgöra om följande kriterier var uppfyllda:

händelsen har vållat stor skada
nationsgränser har forcerats
det inträffade har skett inom minuter eller timmar
attacken har riktats mot ett specifikt mål.

Ungefär där i krokarna kommer även den här serien att röra sig. Men på samma sätt som pengar idag är mer än sedlar, kan skador vara något utöver ett tåg som kolliderar. Det är där många misstar sig. Cyberkrig innefattar de lättbegripliga, spektakulära exemplen som visas upp i media, men även så mycket mer.

Serien kommer handla om frågeställningar för att visa på det, men också visa på andra konkreta exempel som inte går in under traditionell krigsföring med explosioner, men som ändå uppfyller ovanstående kriterier. IT kommer med helt nya möjligheter och vi bör snarare anpassa språket till de möjligheterna än att anpassa möjligheterna till språket.

Hacka trådlösa nätverk - lagtligt eller olagligt?

2011-03-21T09:50:00.003+01:00

Ja, är det lagligt eller olagligt att knäcka sig in på någons trådlösa nätverk? Frågan har återigen aktualiserats av att en holländsk domstol har dömt det som lagligt att knäcka sig in och använda ett WEP-skyddat nät.

Medan holländarna bedömer det som lagligt att knäcka sig in och använda någon annans nät, anser många stater det olagligt att ens använda sig av öppna trådlösa nät, utan att först ha fått tillstånd för det. Exempel kan hämtas från grannlandet Finland (8 dagsböter), från Storbrittanien (1 års villkorligt + £500) och från USA (40 timmars samhällstjänst + $400).

Så hur ligger vi egentligen till i Sverige? Söker man på Internet så hävdas det lite av varje, men alltför ofta handlar det mesta om osubstansierat tyckande och spekulerande. Vanligt förekommande tyckande är exempelvis att om man inte skyddar sitt nät ordentligt, så får man skylla sig själv och att det inte är olagligt på grund av det. Det är lätt att inse att den argumentationen är nonsens, men hur ligger det egentligen till då?

Frågan är mer komplicerad än vad man kan tro. Till att börja med så är jag ingen jurist, men utifrån de dokument och lagar jag läst så är det ungefär såhär:

Det är lagligt att lyssna av öppna trådlösa nätverk, MEN vad som sedan görs med datat kan kriminalisera handlingen. Ofta begås ett brott samtidigt.
Det är olagligt under (nästan?) alla omständigheter att använda ett trådlöst nätverk som du inte uttryckligen fått tillstånd att använda.

Exakt vilka lagar som reglerar det här och vilken lag man skulle bryta mot är däremot något snårigt. En bra advokat skulle möjligen kunna kränga sig loss från vissa situationer, men för att göra det enkelt: har du inte uttrycklig tillåtelse är det klokt att låta bli.

Datalagringsdirektivet skjuts upp

2011-03-16T16:12:00.004+01:00

Då var det klart. Lagen som skulle implementera datalagringsdirektivet skjuts upp minst ett år. Bra säger jag, inte för att jag tagit ställning till att den nödvändigtvis är fel, men för att utredningen varit undermålig, den kan strida mot svensk grundlag och en utvärdering redan är på väg efter att flera andra EU-länder ratat direktivet.

Han höll inte tyst - och blev polisanmäld

2011-03-14T10:14:00.002+01:00

Som jag skrev för ungefär en månad sedan gör man klokt i att hålla tyst om man hittar en säkerhetsbrist. Nu har en Umeå-bo blivit polisanmäld för att han rapporterade en sårbarhet i busskortet för Länstrafiken i Västerbotten.

Tragiskt, men så är det. Samhället står som förlorare i slutändan, när system kommer fortsätta ha kända svagheter som "de goda" inte vågar rapportera och "de onda" utnyttjar.

Chrome obesegrat för tredje året i rad

2011-03-14T09:42:00.004+01:00

Pwn2Own är nu över, och trots Googles tillskott för ett pris på totalt 20 000 dollar och en laptop, var det ingen som övervann Chrome. Jag upprepar därför återigen att Chrome är det absolut bästa valet när det kommer till säkerhet i webbläsare.

Intressant var dock också att IE8 blev exploitat med hjälp av totalt tre säkerhetsbrister för att bryta sig loss från alla säkerhetsmekanismer. Tre är ett stort antal som visar på det nu faktiskt är rätt så besvärligt att utnyttja sårbarheter i IE8, men också att det kanske inte är något enormt hinder att hitta de där tre sårbarheterna. Vinnaren (Stephen Fewer, känd från Metasploit) var inte ensam om att ha anmält sig för IE8, men råkade vara den som var först. Bland annat VUPEN, som vann Safari-tävlingen, hade också anmält sig till IE8.

Update 15/3: Sårbarheten som utnyttjades för att ta över BlackBerryn påverkade även andra webbläsare baserade på WebKit, däribland Chrome. Fundering: Hur kommer det sig att någon ger sig på BlackBerry istället för Chrome när även Chrome har sårbarheten? Kanske för att det var mycket lättare att komma någon vart med sårbarheten på BlackBerry än på Chrome?

Säg NEJ till sjabbig, ineffektiv säkerhet!

2011-03-10T12:25:00.005+01:00

Dåligt fungerande säkerhet kommer från såväl lokala allmäntyckare, säkerhetsproffs och politiker. Politikerna och tyckarna kan enklast beskyllas för att vara okunniga, ignoranta och korrupta, medan det för säkerhetsproffsens del oftast handlar om obalans, tunnelseende, frustration och ekonomisk vinning.

Oavsett hur beslutet kommit till är det din uppgift, när det kommer inom ditt ansvarsområde, att efterfråga mer information eller säga nej om det är något som är galet.

Sedan 9/11 har det gått inflation i idiotiska "säkerhetsåtgärder" och det ena förslaget övertrumfar det andra i galenskap. Som tur är för oss i Sverige har vi inte drabbats lika hårt som amerikanerna. Amerikanerna lägger ut ofattbara summor på ett säkerhetsmaskineri som är utom all kontroll och rimlighet. Ingen vet vad USA egentligen får för de biljoner som varje år läggs på "säkerhet". Washington Posts artikelserie "Top Secret America" är obligatorisk läsning på området. Serien handlar dock om - som namnet antyder - Top Secret klassat material, det vill säga att innehållet är sådant som sällan når allmänheten. Däremot konfronteras vi i allmänheten av de ökade antiterror-kontrollerna som utförs i flygsäkerhetens namn.

Långsamt börjar de förnuftiga krafterna verka för att återställa det vansinne som politikerna ställt till med. Inom EU är vätskeförbudet på väg att hävas. Privata intresseorganisationen EPIC går till domstol mot TSA's användade av "nakenskanners". Kongressen får höra att deras "Air marshals" blir arresterade oftare än de arresterar - och att deras kostnad utslaget per arrestering är förbluffande 200 miljoner dollar. (UPDATE 11/3: Skulle samma siffror gälla för svenska polisen skulle det generöst räknat innebära 20 arresteringar per år)

Men lyssna här på vad TSA säger i försvar för sina nakenskanners (saxat ur Wired):

“While there is no silver bullet technology, advanced imaging technology is a highly effective security tool which can detect both metallic and nonmetallic threats, including weapons and explosives,” Sarah Horowitz, a TSA spokeswoman, wrote in an e-mail. “Using this critical technology, TSA routinely detects artfully concealed metallic and nonmetallic prohibited items.”

Horowitz added that the machines detected more than “130 prohibited, illegal or dangerous items at checkpoints nationwide since January of last year.”

Alltså, de har på drygt ett år hittat 130 förbjudna föremål med hjälp av maskiner som kostat 45 miljoner dollar. Lägg till det arbetskostnad för att få totalsumman av att under ett år ha hittat 130 förbjudna föremål. Och tänk efter noga kring ordvalet här; "130 förbjudna, illegala eller farliga föremål". Det handlar inte om 130 stoppade incidenter, det handlar om 130 förbjudna föremål. Föremål som TSA själva har beslutat skall vara förbjudna? Är det TSAs uppgift, att slumpmässigt förbjuda föremål, leta efter dessa och sedan berättiga sin mångmiljard-budget genom att säga att de hittat förbjudna föremål?

Här är mitt förslag: Strunta blankt i hur många förbjudna föremål som hittats. Fokusera på huvuduppgiften: hur många terrorangrepp har förhindrats? Till vilken kostnad?

Ämnet är stort, komplext och svårt att ta till sig. Vad har det här för bäring på mig och mitt liv? Vad kan jag påverka när det sitter politiker och blir uppvaktade av diverse välbetalda, resursstarka lobbyister som kan köpa politikernas öron? Som vi märkt i Sverige är majoritet av politikerna stendöva för opinion. FRA-lagen drevs igenom trots att både svenska folket och samtliga remissinstanser var solklara med sitt NEJ.

Jo, även om vi har begränsade möjligheter att påverka, och begränsat ansvar, så händer det ändå ibland.

Någon kommer och vräker ur sig att säkerhet måste vara högsta prioritet, och därför måste man låta det ta trippla tiden och kostnaden mot vad som är "vanligt".
En larmsäljare kommer hem till dig, säger att du inte kan sätta ett pris på din familjs säkerhet.
En partikamrat säger till dig att x måste ha effektiva medel för spaning/brottsbekämpning.

Det här är usla argument. Känn igen vad som saknas i argumentationen och utmana. Någon försöker spela på dina känslor och det är upp till dig att styra samtalet rätt.

Även Nordea har åkt på problem

2011-03-07T21:48:00.004+01:00

Swedbank gick ner i fredags. Idag är det Nordeas tur. I skrivande stund ligger nätbanken nere, okänt varför.

Swedbank kom aldrig med någon förklaring till fredagens nertid. Rykten förekom att Anonymous på något vis var inblandade. När nu Nordea går ner bara ett par dagar senare kan jag därför inte annat än undra om även Nordea har drabbats av ett allvarligt "anonymt" intrång.

Vi får väl se om det kommer någon officiell förklaring..

Swedbank nere igen, och igen...

2011-03-03T12:58:00.003+01:00

Swedbank ligger återigen nere. Ingen information har hittills synts till om varför.

Förra veckan rapporterades det om att Swedbank troddes vara försökskaniner för "superhackare". Jag dissade då framförallt rapporteringen av det, som vilade tungt på DDoS-vinkeln, samtidigt som den verkliga storyn missades.

Den här gången så har inget rapporterats än, men i vissa kretsar förekommer spekulationer om att Anonymous är inblandade. Skulle så visa sig vara fallet kan det vara intressant att komma ihåg vilka motiv Anonymous tidigare haft. Nämligen rent politiska motiv. Media har på senare tid rapporterat mycket om bankernas stora vinster, höjda räntegap och höjda löner för vd - samtidigt som bankerna hamnat i konflikt med fackförbundet för att de "lägre" anställda inte får en garanterad lönehöjning.

Låter verkligen som en grogrund för ett politiskt motiverat "hack". Undrar hur många företag som över huvud taget tänker på att de kan bli utsatta för intrång på grund av att deras beteende ter sig svinaktigt? De ekonomiska skadorna av ett intrång kan bli mycket stora, speciellt om intrånget kommer från någon som vet vad de håller på med.

Bankomatvinsten: Äntligen får jag pengar i överflöd

2011-03-03T09:06:00.006+01:00

... ja, eller så inte. Men man kan ju undra hur en del tänker, eller inte tänker. DN rapporterar idag om hur bankomater i Australien slutade kontrollera saldot och istället godkände samtliga uttag. Att bankomaterna öppnar sig på det sättet är designat för att stora fel inte ska drabba kunderna.
Jag vill då dra mig till minnes flera svenska incidenter där liknande skett:

2006 - En 49-årig man från Ystad döms för olovligt förfogande till 11 000 kronor i böter efter att ha tagit hand om de 400kr som bankomatens föregående kund glömt i uttaget.
2009 - En 55-årig man från Skellefteå döms för grovt bedrägeri efter att ha plockat ut totalt 290 900 kronor. Försvarets förklaring: "Han trodde bankomaten var snäll mot honom.
2010 - En 55-årig man från Landskrona döms för grovt bedrägeri till ett och halvt års fängelse efter att ha plockat ut totalt 2,8 miljoner kronor från fem bankomater (376 uttag!) och sedan ha flytt landet. Efter ett tag kom han tillbaka och dök upp hos polisen, men efter domen har han återigen flytt landet.
2010 - En 41-åring man i Skellefteå är polisanmäld för att ha tagit hand om 900kr som bankomatens föregående kund inte fick med sig. Även här är rubriceringen olovligt förfogande.
2010 - Anmälan från en person i Tierp som tagit ut 3 000kr men glömt pengarna i bankomaten. Pengarna borta när han kom tillbaka.

Jag säger som Prot i filmen K-PAX: "Every being in the universe knows right from wrong".

Men kanske är det så att framförallt män i åldern 40-60 år får frispel när de ser en stor summa pengar precis framför näsan på dem.

Ipad - Stabil som fan

2011-03-02T10:01:00.003+01:00

Den amerikanska luftfartsmyndigheten FAA har nu godkänt att flygbolag ersätter 10kg papperskartor med en Ipad + kartapp. Tillverkaren av appen säger:

Apples operativsystem iOS och appen visade sig vara extremt stabila. Och även om det är osannolikt att en systemkrasch inträffar så tar en omstart bara omkring fem sekunder

Undrar om det verkligen är vettigt att ta ordet från den som har kommersiella intressen i det. FAA:s egna undersökningar tycks sträcka sig till 250 flygningar utan problem. Så då måste det väl vara ok att köra med Ipad och den utvalda appen för all framtid, right?

Jag säger inte att det är fel, och jag vet inte hur kritiskt det är med kartor... men är det här allt som beslutet grundar sig på? Då tycker jag snarare frågan skall vara "vad var det som tog sån tid?"

Nu har jag inte detaljerna, kanske finns det mer till det. Men 250 flygningar visar väldigt lite. Skall det vara godkänt för exakt de versionerna? För vilka inställningar? Får den ha WLAN/3g påslaget? Får den ha fler appar installerade? Och kommer det komma några nya hot med det?

Vid första anblick ser det ut som ett klassiskt exempel på när en tidigare fysisk företeelse går över till sin digitala motsvarighet utan att ta hänsyn till de förändringar som kommer med det. Resultatet blir sällan "stabilt som fan", utan mycket oftare "sårbart som fan".

Exempel (självupplevt):

En fyrsiffrig PIN-kod skyddar en fastighets driftundercentral. Olika koder ger dessutom olika behörigheter. Centralen går bara att nå genom att fysiskt befinna sig på plats och där knappa in siffrorna. Centralen omvandlas till att kunna kommunicera över IP, och ges ett webbgränssnitt. Tillverkaren marknadsför centralen som säker och framhåller fördelarna med att centralen går att nå via Internet. Fortfarande skyddas den av en fyrsiffrig PIN-kod. Inga brute-force skydd finns implementerade.

En fyrsiffrig PIN-kod är en svag autentisering till att börja med, där ett fåtal kombinationer står för en majoritet av de koder som verkligen används. Men det kan vara tillräckligt när fysisk närvaro krävs och målet inte är så attraktivt. Kommer du till den digitala världen är det aldrig tillräckligt.

Enkla, basala misstag som blivit standard när fysiska världen blir digital. Tro inte heller att det är bättre bara för att övergången sker på ett område där säkerheten är prioriterat. Exempelvis inom lås- och larmbranschen finns det gott om förbluffande korkade lösningar. Som kund är det viktigt att bibehålla sitt kritiska tänkande och vid behov kravställa.

Swedbank försökskanin för superhackare?

2011-02-23T13:41:00.007+01:00

Dagens Nyheter har idag en artikel med rubriken "Swedbank utsatt för superhackare". Underlaget till artikeln kommer från Wikileaks och diplomatdokumenten, men rubriken kan man misstänka kommer från DN själva. Utifrån innehållet i artikeln är det absolut löjliga rubriker och slutsatser som dras.

Swedbank har tidigare visat tecken på sämre fungerande säkerhet än flera andra svenska banker, men en DDoS-attack kan knappast sägas vara varken sofistikerad eller ge något relevant underlag för hur DDoS-angrepp mot andra banker skulle arta sig.

Tyvärr har flera andra tidningar och även TT snappat upp det som skrivits och gör rubriker av det. Det är synd, för DN har tidigare varit ganska bra på sin rapportering kring IT-säkerhet. Förvisso är det flera olika journalister och ämnen, men visst ska det väl vara meningen att en tidning ska hålla en jämn standard oavsett vilken journalist som skrivit artikeln, eller vilket ämne den är om? Den här artikeln har snarare drag av sensationsjournalistik och bristande insikt.

Det finns en story i det ursprungliga dokumentet, men den är inte vad som skrivs om i de svenska tidningar idag...

En glimt av USA:s cyberkrigsföring

2011-02-21T13:37:00.002+01:00

Arstechnica har tack vare HBGary-hacket en bra artikel uppe som ger en glimt in i var USA befinner sig rent tekniskt i frågan om cyberkrigsföring. Cyberkrig kanske inte är rätta ordet för stunden, men det framgår tydligt att riktade angrepp är en strategi som tillämpas.

FBI, Datalagringsdirektivet och webbmail

2011-02-21T09:48:00.005+01:00

En av fördelarna med att ha skrivit ner sina tankar på en blogg är att man senare kan säga "Vad var det jag sa?" och hänvisa till tidigare inlägg. Idag är ytterligare en sådan dag.

En representant från FBI har nu vittnat för den amerikanska kongressen om deras dåliga möjligheter att lyssna av webbmail-trafiken. Det är precis en sådan teknisk oklarhet jag nämnde i mitt inlägg om datalagringsdirektivets mikro- och makroperspektiv.

Världen behöver dock inte vara svart eller vit. Det kan finnas en gråskala. Och bara för att man inte kan logga och lyssna av ALLA meddelanden betyder inte det att det saknas vinst i att lyssna av VISSA meddelanden. Det viktiga är att det är ett medvetet beslut.

Den utredning om datalagringsdirektivet som gjorts har dock inte uppmärksammat det här. Det gör att vi riskerar att det sitter personer i riksdagen som har en orealistisk bild av
datalagringsdirektivet. Och att beslut därför blir fattat på felaktiga grunder.

Jag skulle väldigt gärna se att någon gjorde en ordentlig analys av situationen. Några obehandlade frågor jag vill ha svar på:

Hur många fler brott kommer lösas med hjälp av datalagringsdirektivet?
Hur mycket snabbare löser polisen de brott som redan löses?
Hur mycket pengar kan polisen spara?
Vilka meddelanden väntar man sig lagra?
Vilka aktörer väntar man sig aktivt kommer undgå lagring?
Hur länge tror man att datalagringsdirektivet kommer vara effektiv i sin föreslagna form?

... det vill säga, när ska vi förvänta oss att det kommer function creep för datalagringsdirektivet även inom EU/Sverige?

Jönköping: Knarkare misstogs vara spioner

2011-02-17T07:40:00.002+01:00

Jag är ledsen för att behöva peka finger, men det här är bara för roligt.

För tre veckor sedan upptäcktes en okänd dator kopplad till Jönköpings flygplats intranät. Både flygplatsledning och polis trodde att det kunde handla om affärsspionage, och drog igång en utredning.

Men på tisdagen avslöjades sanningen. "Spiondatorn" vara ett fullt normalt samarbete mellan flyplatsens IT-avdelning och det lokala flygbolaget Flyglinjen.

Alltså, efter tre veckor, kommer man fram till att datorn faktiskt var ditplacerad av egna IT-avdelning. Hörde jag någon säga knarkarkvart?

Påminner för övrigt om incidenten på Island förra månaden. Kanske var det på grund av det som någon fick för sig att anmäla datorn?

MSB hakar på och utreder halkriskens ekonomi

2011-02-15T12:10:00.002+01:00

Ni kommer väl ihåg mitt blogginlägg om att halkrisken är fortsatt stor på grund av ekonomin?

Idag har MSB tagit i frågan och meddelat att de kommer göra en utredning.

Från en artikel i DN:

Jan Schyllander säger dock att sjukvårdskostnaderna för olyckor skulle sjunka om kommunerna sandade mer.

– Ja, men det är ju en plånbok som hanterar snö och skottning och en annan plånbok som betalar sjukvårdskostnaderna, säger Jan Schyllander.

Mitt resonemang från januari står naturligtvis fast. För att det ska ske förbättring i slutändan måste antingen ekonomin vridas så att samma plånbok får betala, eller så behöver en tydligare kravställning med uppföljning och politiska konsekvenser införas. Vad som håller på att hända nu är att MSB ger underlag för det här.

Det är kritiskt att någon högre upp sedan tar resultatet från MSBs arbete och stuvar om i författningen.

Håll tyst eller bli polisanmäld

2011-02-11T13:30:00.004+01:00

Jag har sagt det förut och kommer fortsätta säga det: hittar du någon säkerhetsbrist på en sajt så gör du klokt i att hålla tyst om det.

Nu senast handlar det om eHarmony.com, en dejtingsajt som fick höra från en man som kallar sig "Russo", att de haft en sårbarhet på sin sajt. Och i nästa menings gavs ett "konsulterbjudande" om att få det åtgärdat. Reaktion från eHarmony:

“Russo’s fraudulent efforts to obtain money from us are most disturbing,” Essas said. “As such, we are exploring our legal rights and remedies as well."

Två sidor med helt olika verkligheter möts.

För att förstå lite bättre hur eHarmony känner sig kan du tänka dig in i situationen att en man i motorcykelkläder kommer till din butik, förklarar för dig hur lätt olyckor kan hända, men också erbjuder försäkring mot dessa olyckor. "Helt utan självrisk ser vi till att alla dina prylar kommer tillbaka och den skyldige betalar dina skador, om någon olycka skulle hända. Allt du behöver göra är att betala en premie på 5% av din omsättning."

Yeah, that's right. Du riskerar att bli polisanmäld för utpressning. Eller om vi återgår till vår verklighet med IT-säkerhet, så kan du bli polisanmäld för dataintrång. Sådant har hänt i Sverige, med både fällande och friande utfall. Normalt länkar jag till mer info, men av respekt för de drabbade vill jag inte uppmärksamma några enskilda fall.

Vad som är viktigt att komma ihåg är:

Gör inga säkerhetstester utan tillåtelse. Ägaren kan omöjligt veta om dina intentioner är goda eller onda. Du riskerar polisanmälan.
Snubblar du över något har du tre val:
1. Håll tyst om det
2. Rapportera det genom tredje part
3. Rapportera det direkt

För egen del så brukar jag som privatperson hamna på att hålla tyst om det, men det har förekommit ett par gånger att jag rapporterat det direkt då jag varit säker på att ingenting har kunnat misstolkas (ren rapportering efter normalt användande, inte ett ord om åtgärder).

I min yrkesroll är det regelmässigt att jag rapporterar till uppdragsgivaren, men inte någon annan såvida inte uppdragsgivaren betalar för det. Det finns inget intresse för min arbetsgivare att min betalda tid istället ska bli obetald och användas till att stångas med någon leverantör som inte vill åtgärda. Tråkigt, men så fungerar det. Hur min uppdragsgivare sedan använder resultaten från de testerna? Säg det... jag bedömer NYTimes uppgifter om att Stuxnet kom till delvis genom resultat från en helt annan övning, som fullt möjliga.

Jag äger din Android-telefon

2011-02-08T14:56:00.005+01:00

... nja, kanske inte jag som snäll IT-säkerhetskonsult. Men, förra veckan sparkade Google upp dörrarna för att andra kommer göra det. Nya Android Market ger nämligen möjlighet att installera och köra kod på din Gmail-anslutna telefon!

Inga varningar, inga frågor... kommer någon över ditt gmail-konto är telefonen rökt. Och ja, det gäller även apps-konton.

Riktigt, riktigt dålig idé. Tänk bara vilka möjligheter det erbjuder botnätet ZeuS som redan har mjukvara till telefoner för att snappa upp SMS för tvåfaktorsautentisering.

= Kodexekvering

Nu räknar åtminstone jag dagarna tills den här funktionen ändras eller tas bort. Också intressant att veta att Google har en så enkel möjlighet att köra kod på din telefon. Tänk vad det kan göra för intresserade parter (tänk: polis, underrättelsetjänst).

Google ger $20.000 extra till den som knäcker Chrome

2011-02-04T08:16:00.004+01:00

Om ungefär en månad börjar säkerhetskonferensen CanSecWest där även tävlingen Pwn2Own kommer gå av stapeln. Pwn2Own är en tävling där deltagarna får ge sig på fullt patchade versioner av exempel de fyra stora browsrarna (IE, Firefox, Safari, Chrome). Det handlar alltså om att ha skrivit en 0-day. Den som först lyckas, får en prissumma på $10,000 + den hårdvara som mjukvaran körde på. Därav namnet Pwn2Own.

Förra året var det ingen som lyckades knäcka Chrome, något som uppmärksammade av bland annat mig då jag skrev presentationen av våra invited speakers till OWASP AppSec Research 2010.

Som jag skrev för några veckor sedan anser jag det vara mycket bra att Google ger tydliga ekonomiska incitament för att Chrome ska säkerhetstestas och buggar skall rapporteras till dem. Däremot när Google nu skjuter till $20.000 extra för den här specifika tävlingen är jag inte så säker på att det är en bra idé.

Anledningen till att det kan vara en dålig idé hittar man i tidigare års Pwn2Own. Vinnare för Safari har nämligen alltid (2008,2009,2010) varit Charlie Miller. Efter att ha kammat hem vinsten andra året berättade han i en intervju att sårbarheten han utnyttjat hade han hittat redan inför tävlingen 2008. Men eftersom han inte fick några extra pengar för den 2008, hade han istället sparat på den. Efter vinsten 2010 så tillkännagav han att han satt på inte mindre än 20 sårbarheter som han inte rapporterade. Det kunde man ana redan i intervjun 2009, då Charlie Miller propagerade för kampanjen "No More Free Bugs".

Så... är det verkligen så smart av Google att det erbjuds totalt $30,000 för något Google så sent som i januari bara betalade $3133,7 för? Risken blir överhängande att istället för att rapportera in buggarna när de hittas, sparar man på dem till ett tillfälle då de ger mer. Och under tiden ligger sårbarheterna kvar... Å andra sidan, en gång om året kan Google räkna med att göra storslam och suga upp samtliga kritiska buggar någon hittat. Och för $30.000 kommer deras webbläsare garanterat få all testning som finns tillgänglig. Snacka om att rita en måltavla!

Fortifikationsverkets använder FUD, men kanske är det berättigat?

2011-02-02T09:00:00.003+01:00

Idag har många tidningar en TT-artikel med titeln "Jätteaffärer förlorade på IT-läckor". Tvärtemot vad rubriken antyder har man NOLL(!) fall att peka på. Vilka jätteaffärer pratar de om egentligen?

Sådana ogrundade påståenden ges ofta beteckningen FUD - Fear, Uncertainty, Doubt. Faktum är att det inte finns några offentliga fall där man fastslagit att tillvägagångssättet har varit som artikeln beskriver. Men... det är en spektakulär rubrik för något som vi faktiskt bör ta på allvar.

Exakt scenariot med underrättelsetjänster som stjäl industrihemligheter tog jag upp i ett tidigare blogginlägg. Till det bör också läggas den undersökning som publicerades för några veckor sedan, där det kom fram att så mycket som var femte svensk myndighet har sin e-post i utlandet. Det är inte bra, och det är klent att det inte finns några regler om vad svenska myndigheter får lägga utomlands och inte. Jag har själv jobbat med säkerhetsmedvetna myndigheter där ägarfrågan på outsourcade tjänster har varit viktig nog för att man aktivt valt att sluta köpa tjänster när ägandet gick utomlands, men det är bara en av många. Uppenbarligen är det flera som inte har ett sådant högt säkerhetsmedvetande.

Vill man läsa en bra artikel med Fortifikationsverkets utgångspunkt ska man idag inte läsa TT-artikeln, utan istället gå till SvD som har ett par utsökta artiklar i ämnet. Jag rekommenderar naturligtvis också allt jag bloggat om säkerhet i molnet :)

Kaspersky källkod ute på vift

2011-02-01T11:04:00.003+01:00

Källkoden till Kaspersky Internet Security skvalpar runt ute på Internet. Enligt Kaspersky själva har den gjort så sedan November. Enligt rapporter är det en f.d. missnöjd anställd som stal koden i början av 2008, som han sedan försökte sälja på svarta marknaden.

Vilka skulle vara intresserade av att köpa kod? Förmodligen virusmakare som vill veta exakt hur de ska skriva sina virus för att de ska undgå upptäckt. Skulle de även vara intresserade av att känna till en planterad bakdörr i Kaspersky? Kanske. Men det skulle vara svårare för en opportunist att plantera en snygg bakdörr och skulle vara förknippat med större risk. Att kopiera ut kod är något som många bolag helt saknar spårbarhet för, medan det för incheckning av kod sannolikt finns loggar som bevaras i flera år.

Flera av de bakdörrar som har kommit i ljuset har varit lite klumpigt skrivna och ganska uppenbara. Men en bakdörr kan också vara elegant dold som en sårbarhet, som bara är en i mängden om den upptäcks... På det här området är det självfallet sämre med exempel eftersom vi sällan kan veta om det fanns avsikt eller inte. Det förekommer ibland spekulationer, men det enda exemplet vi är säkra på är då Linux kärnan utsattes för ett backdoor-försök år 2003. Följande ändring smögs då in:

--- GOOD        2003-11-05 13:46:44.000000000 -0800
+++ BAD 2003-11-05 13:46:53.000000000 -0800
@@ -1111,6 +1111,8 @@
              schedule();
              goto repeat;
      }
+       if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
+                       retval = -EINVAL;
      retval = -ECHILD;
end_wait4:
      current->state = TASK_RUNNING;

.. men själva ändringen utlöste problem eftersom incheckningen inte hade skett på standardsätt. Det hela tycks ha upptäckts tack vare ett vaket och medvetet open source community.

Som jag skrev igår så har just open source ofta gynnsamma förutsättningar när det kommer till att skydda sig mot säkerhetshot. Samtidigt har man en större utsatthet när kod accepteras från diverse håll. Om det gör open source säkrare eller inte... jag låter den frågan vara, för den är egentligen lika ointressant som vad som är säkrast; PC eller Mac? Det handlar inte om några absoluta siffror, det handlar om hot och risk - något som kan variera väsentligt beroende på verksamhet.

Prova tanken att den Kaspersky-anställde istället för att bara ha stulit kod, istället planterat en subtil bakdörr i den. När skulle den hittats? (och vilka skulle betala för att känna till bakdörren? skulle någon betala för att den alls skulle planteras dit? varför? hur mycket?)

Sourceforge nere på grund av intrång

2011-01-31T10:35:00.004+01:00

Ja, ännu ett inlägg om bakdörrar, och ännu ett intrång riktad mot källkod. Onekligen ett hett ämne i dessa dagar!

Den populära sajten Sourceforge, hem för många open source projekt, upptäckte i slutet av förra veckan att de haft ett allvarligt intrång. Angriparen har haft root-access och installerat bland annat en ssh daemon som loggade login och lösenord för alla som loggade in på en server.

Sourceforge svarade med att ta ner tjänster i eskalerande omfattning, allteftersom man upptäckte hur stort intrånget var.

Exakt vad som hänt är inte klarlagt. Sourceforge har en mindre redovisning uppe på sin blog, men redovisningen har flera stora luckor. Den säger ingenting om hur intrånget börjat, eller hur det upptäcktes.

Tjänsterna beräknas komma upp igen inom några dagar, allt eftersom man verifierar checksummor för att kontrollera att data inte förändrats.

--

Sourceforge är en synnerligen strategisk plats att ta sig in på om man vill ha möjlighet att lägga in bakdörrar i öppen källkod. Utan tvekan känner sig alla som idag hostar open source av en stark hotbild, när intrång efter intrång rullas upp. Det ter sig som att inom open source communityn är man just öppen, även vad gäller information om intrång.

Ofta sköts de här platserna av personer med god kännedom om systemen, som stöds av den omfattande kompetens som finns inom open source communitiet. Det i sig ger upphov till en intressant fråga:

Hur väl skyddas kommersiell källkod mot obehöriga förändringar?

Facebook och Firesheep, tre månader senare...

2011-01-28T09:06:00.004+01:00

Ni kommer väl ihåg Firesheep? Firefox pluginet som tillgängliggjorde kontokapning på bland annat Facebook, Twitter och Google. Det byggde på en teknisk sårbarhet som varit känd sedan... hmm.. urminnestider, men som inte "någon" brydde sig om förrän Firesheep gjorde det enkelt för alla att utnyttja den.

Facebook har nu tre månader senare tillkännagivit att de långsamt kommer rulla ut https-stöd. Det har tidigare bara gått att göra med just plugins. Och har man gjort det, märker man snart att inte all funktionalitet finns kvar. Tyvärr kommer det fortsätta vara så under överskådlig framtid, även om Facebook ny har gett bekräftelse på att de är medvetna om problemet och jobbar på det.

Hur som helst: innan jag läste vad Facebook själva skrivit läste jag en artikel, gick till min Facebook-sida och försökte hitta inställningen. Som inte fanns att hitta. Däremot hittade jag den här texten i hjälpcentret:

Använder Facebook säkra sidor?
Facebook vidtar lämpliga säkerhetsåtgärder för att skydda användarnas information. Kontoinformationen finns på en säker server bakom en brandvägg. När du anger känslig information (t.ex. kreditkortsnummer eller lösenord) krypterar vi den informationen med hjälp av SSL-teknik (Secure Socket Layer). Facebook registrerar alltid inloggningar på en säker sida och utnyttjar kryptering enligt branschstandard. Det kanske inte alltid är tydligt från URL-adressen (webbadress) men du kan vara säker på att våra inloggningar är säkra.

Man oh man... Knappt att man vet var man ska börja. Det här stycket är ett exempel på:

Mediaträning. Frågan är en Ja/Nej-fråga, men det är inte svaret... redan här finns det anledning till misstänksamhet.
Vilseledande. Det finns ingenting som heter "säker server". "Lämpliga säkerhetsåtgärder" är också vidöppet för diskussion.
Bevis på bristande teknisk förståelse. "Det kanske inte alltid är tydligt..." ... Ehh.. Om det inte är tydligt att SSL används så betyder det att sidan hämtats via HTTP, vilket alltså innebär att den som minst är öppen för man in the middle-angrepp. Hörde jag någon säga sslstrip?
VILKEN branschstandard pratar de om? Att ha inloggningssidan på https är lika självklart som att postningen skall vara https om du frågar mig eller vem som helst av mina säkerhetskollegor. Vi är också väl medvetna om att cookien skall vara satt med Secure-flaggan.
Folk är fixerade vid kryptering och ser det som synonymt med säkerhet. Används kryptering så tycks folk bli säkra på att då är det säkert. Se min debattartikel i TechWorld från 2009 om att SSL inte säkrar din webbapplikation.
Vad bristande kravställning resulterar i. Beställer du en applikation och säger "den ska vara säker", är det sån här rappakalja du kommer få till svar. Du kommer inte få en "säker" applikation.

... och mer därtill. Men nog om det. Att Facebook gör något är bra. Det hela kan också ses som ett exempel på vad jag bloggade om i förra veckan, att åtgärda brister inte alltid går på en dag.

Fedora utsatta för intrång

2011-01-26T08:12:00.005+01:00

På tal om bakdörrar och tysta ägare. Fedora hade ett intrång den 22:a januari.

Intrånget upptäcktes genom att ägaren till ett konto fick ett mail om att hans uppgifter hade ändrats. Han gick i sin tur till Fedora Infrastructure Team, som tog det på allvar och undersökte vad som hade hänt.

Hittills tror de inte att något paket har komprometterats.

Som vid varje incident kan vi lära oss något. Eftersom sättet som intrånget skedde på fortfarande inte är fullt utrett kan vi hålla oss till det ack så värdefulla hur man ändå kom på och tog itu med det:

Bevakning över vissa systeminställningar (användarkonton i det här fallet), med ett mail som går iväg till en person som kan avgöra om ändringen är korrekt eller inte.
Personen som fick mailet visste vem han skulle kontakta när misstanke uppstod.
De han kontaktade tog informationen på allvar och utredde incidenten.

Myndigheternas tysta ägare

2011-01-24T13:28:00.006+01:00

Tänk dig att myndigheterna styr över viktiga saker i ditt liv. Tänk dig att de bestämmer om hur mycket skatt du ska betala, om du ska sättas i fängelse eller om du får ha körkort. Enkelt att föreställa sig, ja? Tänk dig också då, att "myndighet" i sin tur bara är ett abstrakt begrepp, och att mycket av det som myndigheter utför styrs med hjälp av IT-system. Sårbara IT-system som enskilda individer har obehörig, okontrollerad tillgång till.

Okej, det kanske är lite hollywood-film över scenariot. Alla som läser det här har väl sett filmen Hackers. Men är det osannolikt? Kanske inte så osannolikt som vi skulle vilja...

Nu i dagarna har en hacker börjat sälja tillgång till diverse amerikanska myndighetssajter. Men bara webbsajterna. Hans syfte är att tjäna enkla pengar, och just amerikanska myndigheter har sina egna domäner som är attraktiva att kontrollera för sökmotoroptimering (SEO).

Steget att det skulle finnas individer som tyst sitter med tillgång till mer än bara webben är inte så långt. Vi har till och med ett offentligt exempel här i Sverige där Vuxna Förbannade Hackare hade tillgång till Aftonbladets IT-system. En tillgång de satt med i två år fram tills att de valde att bränna den i publicitetssyfte.

... och en sådan incident får en naturligtvis att undra över hur många fler nätverk VFH har tillgång till. Som de behåller för sig själva, i det tysta...

Att hitta angripare som redan är inne är i regel så kolossalt svårt att det med rätta får stämpeln "omöjligt", så länge det inte finns något känt att gå på. Att slänga ut dem likaså. Jag känner till några fall här i Sverige (inga offentliga), där angripare har konstaterats och där den enda lösningen har varit att installera om ALLT. Trots den höga kostnaden, bedömdes total ominstallation ändå vara det mest ekonomiska alternativet.

Skulle något liknande konstateras i Sverige som nu uppdagas i USA, så kommer CERT-SE vara vår viktigaste knutpunkt. De har nämligen möjligheten att utifrån en enskild incident, ta kunskapen med sig till andra myndigheter och leta efter samma mönster där. Och då hitta angripare i nätverk där ingen incident ännu skett. Om de tillåts...

MSB-chefen gör en groda! Säkerheten höjs inte på en dag

2011-01-19T12:28:00.006+01:00

Har precis sett på en videosnutt från Folk och Försvar. En kommentar från Richard Oehme, chef på MSB för enheten samhällets informationssäkerhet, fick mig att gå i taket. Det gällde incidenten i Motala innan jul, då ett bostadsbolags Styr-Regler-Övervakningssystem (SRÖ) blev utsatt för angrepp. Temperaturen sänktes på 11 undercentraler med 800 drabbade lägenheter och ett köpcentrum. Men, som Richard uttryckte det, "bostadsbolaget har nu höjt säkerheten" (cirka 1:17 in i klippet).

Jag spenderade själv stora delar av 2009 på ett bostadsbolag, där just SRÖ-systemen var det centrala för mina uppdrag. Jag känner till detaljerna i hur SRÖ-system styrs, och vilken utvecklingsfas de befinner sig i.

Det jag reagerar mot är förstås att sättet som Richard säger att säkerheten nu höjts, antyder att bostadsbolagets nu skulle ha en mycket bättre säkerhetsnivå. Jag ser det som mycket bekymrande att en chef för en så central aktör för säkerheten i myndighetssverige sprider sådana budskap.

Att väsentligt höja säkerhetsnivån kring dessa system låter sig inte göras i en handvändning, och det är just det som borde vara MSB-chefens största huvudbry i frågan. Precis som andra talare på konferensen påpekar så lever vi idag med en mycket stor sårbarhet. Att vi kan göra det utan att det kommit några större konsekvenser beror enbart på att vi inte har någon större hotbild mot oss. Men hotbilden kan komma att ändra sig snabbt, till skillnad från just sårbarheten.

Även om vi skulle konstatera akuta allvarlig hot skulle det ta avsevärd tid att åtgärda all sårbarhet, och det är därför man behöver agera redan nu. Det är en av anledningar till att MSB ens existerar och har något mandat(2006:942).

MSB har några kompetenta personer och bland annat den senaste lägesbedömningen (2009) tycker jag visar på att den övergripande kunskapen finns på plats. Jag har tidigare lovat att återkomma till säkerheten i myndighetssverige - där MSB har en central roll. Jag kommer då även återkomma till MSB, deras roll och hur den sköts. Stay tuned...

Halkrisken fortsatt stor på grund av ekonomin?

2011-01-17T12:45:00.006+01:00

Halkrisken är idag på rekordnivåer. Vägen utanför mig är mestadels spolad blankis. Sjukhusen tar emot stora mängder personer som har halkat och behöver vård. Så många att planerade operationer behöver ställas in. Och kostnaderna för sjukhusen för att behandla konsekvenserna av halkan skjuter i höjden. Precis just kostnaderna ligger i problemets kärna, att det är kostnaderna för sjukhusen.

Men sjukhusen är däremot i stort hjälplösa när det gäller att förebygga skadorna, det vill säga minska halkrisken. De som står för halkbekämpningen är nämligen vägföreningar, kommuner och trafikverket. Det här är alltså vad man i ekonomiska sammanhang kallar för en externalitet - den som behöver ta kostnaden (personer, landsting) är en annan än den som kan förebygga den. Samtidigt har den som kan förebygga kostnaden inte något eget ekonomiskt incitament att göra det.

Externaliteter är generellt dåliga om man ser till helheten. Kostnaden för privatpersoner och landstingen lär överstiga kostnaderna för att halkbekämpa ordentligt. Illa illa... vad kan göras åt saken?

I huvudsak finns det två saker vi kan göra.

Strukturera om så att det inte längre är en externalitet. Om kostnaden för sjukvård, sjukskrivning och minskad produktivitet skulle läggas på den som var ansvarig för väglaget, skulle den ekonomiska kraften börja verka när skador och produktionsbortfall nått en viss frekvens. Skador skulle fortfarande ske, men inte i samma omfattning.
Kravställning. Genom kravställning att det skall hålla en viss nivå kan vi motverka den ekonomiska obalansen. För att kravställning ska fungera måste dock ett par förutsättningar finnas:
1. Vi måste kunna ange vilken nivå vi vill ha det på (mätbarhet!)
2. Det måste komma konsekvenser om nivån inte uppnås

Förmodligen vill vi egentligen ha det mest som den andra punkten. Personskador är något vi inte gärna vill mäta i pengar. Vi har inte en total privatisering av sjukvård, skola och omsorg i Sverige, och anledningen är just att vi anser att det inte bara skall vara pengar som styr. Genom det valet blir vi alltså beroende av punkt 2 - kravställningen med behov av mätbarhet och konsekvenser.

Tyvärr får man väl konstatera att vi i Sverige är usla på det. Även i de fallen vi lätt kan konstatera undermålighet så är konsekvenserna för de styrande alltför ofta noll och intet. Ännu oftare är det snabbt övergående konsekvenser (ex: media uppmärksammar och opionionen är stark några dagar, men när det är dags för val är allting glömt).

Hemma i min kommun till exempel, så har politikerna nyligen valt att höja sina löner från redan höga nivåer till nivåer som är rena fantasier för de flesta... men vem kommer ställa politikerna till svars för det när valdagen väl kommer?

UPDATE @ 18 jan: DN har idag en artikel om att polisen hotar husägarna i Stockholms innerstad med böter om de inte skottar taken. Kravställning och konsekvenser alltså. Och böterna är på en bra storlek - 200tkr. Tillräckligt incitament för att få saker att hända. Nu vill det sig bara att polisen fortsätter sköta det snyggt och effektivt. Risken är annars att husägarna struntar i att skotta taken fram tills att polisen hotar med böter. Ett sådant beteende kan beivras med hjälp av att efter ett visst antal varningar ge böter direkt.

Därför kan du känna dig säkrare med Google Chrome

2011-01-14T14:20:00.004+01:00

För ett par månader sedan skrev jag att Chrome fick oförtjänt framstå i dålig dager och att "för allt vi vet är Chrome det absolut bästa valet" [när det kommer till säkerhet].

Varför det?

Jo, därför att... även när vi lägger allt det tekniska åt sidan med arkitektur och säkerhetsfunktioner, så är Google's hantering av rapporterade sårbarheter helt enkelt av toppklass. Skillnaden mot exempelvis Microsofts hantering har vi blivit påminda om än en gång under de senaste veckorna.

Michael Zalewski har skrivit ett par fuzzers och hittat mängder med brister i webbläsare. Redan 2008 började han med det, och fick bra samarbete från bland annat Mozilla. Microsoft däremot, gick det inte så bra med. Lite märkligt att Microsoft inte tar Zalewski på allvar, när han trots allt är ett av toppnamnen inom säkerhetsforskning. Han gör mycket gratisjobb åt dem och tröttnar till slut på att Microsofts inte tar i problemen och publicerar därför sina resultat.

Jämför det med Google's hantering, där man i den senaste releasen betalar ut nästan 14500 dollar till personer som rapporterat in sårbarheter. Enbart han som rapporterade in flest fick nästan 7500 dollar.

Vad tror ni om skillnaden i incitament att rapportera sårbarheter? Om du hittar något i IE, så kan du välja mellan att antingen stånga huvudet i 2½ år mot Microsoft - utan att få ens ditt namn nämnt för det. Eller så kan du få cirka 50 000 SEK för det, om du hittar samma brister i Chrome. Vilket program kommer du ägna mest tid åt att testa? Var är det mest sannolikt att du spelar schysst och ens pratar med tillverkaren, eller att du säljer dina exploits på svarta marknaden?

... det kanske inte är en slump att Internet Explorer sitter med 0-day sårbarhet ute i det öppna. Hur ofta händer motsvarande för Chrome? Aldrig? Samtidigt har IE råkat ut många gånger förr. Därför är Chrome ett bättre val ur säkerhetssynpunkt.

P.S. Ser man på det ur Google's perspektiv så får de en faslig massa högkvalificerad säkerhetstestning för en billig peng. Alla vinner.

Systemet du köpte innehöll en planterad bakdörr - oops!

2011-01-13T12:00:00.002+01:00

Rubriken syftar inte till någon särskild händelse. Men faktum är att under senare halvan av 2000-talet har det förekommit flertalet incidenter med bakdörrar och trojaner. De som blivit publikt kända har framförallt handlat om USB-minnen eller andra USB-anslutna enheter så som då Vodafone skickade ut smittade HTC Magic-telefoner eller då Energizer distribuerade trojaner för sin batteriladdare "Duo USB Battery Charger".

Det är dock inte bara av misstag som bakdörrar har dykt upp. Vi har också fått se flera fall då bakdörrar planterats avsiktligt. Precis nu i slutet av 2010 var det ProFTPD som råkade ut för en avsiktligt planterad bakdörr, och det förekom anklagelser om att FBI skulle ha planterat en bakdörr i OpenBSD:s IPSEC-implementation.

Tidigare kända händelser att peka på är sådana som inkluderat Linux-kärnan, och bloggmjukvaran Wordpress. Tidigare misstankar hittar man bland annat för Cisco IOS, operativsystemet för många av Ciscos routers och switchar.

-

Det har inte pratats så högt om det, men det är ett enormt allvarligt och svårhanterligt problem. Ett problem som under 2010 börjat nå brytningspunkten där det inte längre bara är diskussioner i små klickar av särskilt intresserade, utan även handling.

Under 2010 kom ett Indiskt förbud att köpa kinesisk telekomutrustning. Och det har antytts i flertalet artikelintervjuer att det har legat verkliga incidenter bakom beslutet.

Och så under slutet av året så tillkännagav en sammansättning av stora leverantörer (bl.a. Boeing, Cisco, IBM och Microsoft) att de kommer skapa ett ramverk för att säkra upp i leveranskedjan. Detta efter påtryckningar från bland annat amerikanska myndigheter, som även sponsrar det projektet. Det är naturligtvis inte tillräckligt - koden måste även vara väl skyddad under utvecklingen - men det är ett steg i rätt riktning.

Situationen i Sverige? Ja, Försvarsmakten har åtminstone sedan 2004 begärt information om hur IT-system skyddas under utveckling, genom sina krav på säkerhetsfunktion (KSF). Redan på lägsta hemlignivån (HEMLIG/RESTRICTED) efterfrågas dokumentation på hur systemet skyddas under utveckling och att det skall framgå att de redovisade åtgärderna efterlevs.

Andra svenska myndigheter är däremot inte lika framåt. För två år sedan skrev jag om att "USA ligger före, Sverige efter", något som tyvärr tycks fortsätta. Vad som faktiskt pågår i myndighetssverige när det gäller informationssäkerhet? Det blir en kommande post...

--

Update:Fler exempel på bakdörrar kan hittas här. Oberoende av varandra hade tydligen jag & Stefan funderat lite på det här med bakdörrar, men i något olika kontext :)

Ny stabil Secunia PSI hjälper med uppdateringarna

2010-12-21T12:25:00.002+01:00

Nu har Secunia släppt version 2.0 av Personal Software Inspector.

Jag har de senaste månaderna rekommenderat mina bekanta att köra 2.0 beta på grund av de bekväma auto-uppdateringarna som finns för "the usual suspects". Men nu är alltså till slut den stabila versionen ute.

Så lagom till jul när ni träffar er släkt kan ni alltså rekommendera Secunia PSI för att hålla dem automatiskt uppdaterade med Adobe-familjen, Java och så vidare.

Go get it!

Därför är nätverket en knarkarkvart

2010-12-15T12:21:00.003+01:00

Min gamla parhäst Stefan Pettersson och jag har sedan ett år tillbaka gått skilda vägar vad gäller arbetsgivare, och därmed försvann jag även från vår gemensamma blogg. Men jag följer naturligtvis fortfarande när Stefan bloggar eftersom jag tycker det är en av de bästa svenska bloggarna.

Häromdagen skrev Stefan ett inlägg "Är nätverket en knarkarkvart?" där han sakligt och humoristiskt jämför den klassiska knarkarkvartens struktur med den IT-miljö som många verksamheter idag lever i. Om nätverket är en knarkarkvart? Svaret är nästan alltid "You bet!". Men varför? Stefan skriver "Varför det, trots detta, finns så många knarkarkvartar törs jag inte svara på." ...

Men det gör jag!! :>

<generaliseringsläge>
Grunden är enkel - Som Stefan pekar ut är IT-systemens brist på struktur och dokumentation något som är osynligt. Däremot finns det väl synliga faktorer så som

kalendertid
mantid
upptid
funktion

Det är dessa synliga kriterier som prioriteras högst, eftersom arbete på det osynliga inte ger någon belöning, utan istället resulterar i att alla undrar vad du egentligen gör.

Att det sedan i längden medför att ALLA de där fyra faktorerna blir både billigare och bättre om man har en god struktur och dokumentation på rimlig nivå, spelar mindre roll av ett antal anledningar. Vi kan förenkla anledningarna till att de flesta människor saknar förmåga att tänka längre än fem minuter framåt i tiden, än mindre agera för att få det bättre i framtiden, och inte heller tolerera när andra gör det på bekostnad av det som är NU. Och det går bra till en början att strunta i det, men då ska man vara väl medveten om att det är en skuld man bygger upp som en dag inte bara SKA, utan även KOMMER betalas. [läsarfråga: vem får betala?]

Att det blir både billigare och bättre vet vi tack vare regelverk som KRÄVER viss kontroll. Både då Sarbanes-Oxley Act infördes och då PCI DSS nu införs alltmer ställs IT-avdelningarna inför den skuld som arbetats upp. Det tar mycket resurser att arbeta av den skulden och därav har det knorrats en hel del, men när den väl är betald upptäcker många hur mycket lättare arbetet plötsligt blev.

... så varför krävs det då inte mer från högre chefsnivå? Borde inte ekonomichefen förstå att det finns pengar att tjäna långsiktigt på att ha ordning på sina saker - det är trots allt en väl accepterad sanning för ekonomichefen att med ordning och reda på ekonomin så mår företaget bättre. Samma sak borde gälla IT-systemen?

Jodå, det borde de förstå. Men kontrollmekanismen saknas. En IT-chef kan pladdra lite jibber-jabber som ingen förstår men som verkar tillräckligt avancerat för att ge intrycket att läget är under kontroll. Men det är det sällan. Det är nämligen inte vad IT-chefen säger, utan vad denne inte säger som är den största indikatorn på om IT-miljön sköts väl.

Med en kontrollmekanism som PCI DSS, revisioner från en auktoriserad QSA som i sin tur har revisioner på sitt arbete, så blir det ruskigt svårt att komma undan utan att verkligen ha kontroll. Just PCI DSS är speciellt i det att man inte bara granskar dokumentation och genomför intervjuer, utan även gör omfattande kontroller direkt mot systemen.
</generaliseringsläge>

Det finns förstås en del komplexitet i det här ämnet, men en bra kontrollprocess skulle vara en infallsvinkel som synliggör och då ger förutsättningar att åtgärda de flesta problemen som finns, oavsett vad det är hos just verksamhet X. Gäller bara att hitta en lämplig sådan kontrollprocess då....

Datalagringsdirektivets mikro- och makroperspektiv - vad kostar det?

2010-12-10T12:47:00.006+01:00

Nu är propositionen för datalagringsdirektivet färdigställd. Lagändring föreslås träda i kraft den 1 juli 2011, alltså om cirka ett halvår.

Ur ett mikroperspektiv är det stor oklarhet i teknikfrågorna
Propositionen pratar om "meddelandehantering" och den gör även ett djärvt försök i att definiera meddelandehantering som "tjänster som använder sig av olika kommunikationsprotokoll,
dvs. regler om hur kommunikationen ska ske, som SMTP (Simple Mail
Transfer Protocol, RFC 2821 och RFC 2822)". Själv använder jag emellanåt Live Messenger, som använder ett propreitärt protokoll, och det finns ju fler protokoll där. Var skall gränsen dras för när ett protokoll behöver hanteras av ISP:erna? Och betyder det här slutet för propreitära meddelandehanteringsprotokoll?

Min tolkning av propositionen är också att det är den ISP närmast den som sänder meddelandet som ska lagra trafikuppgifterna. Hur blir det då med alla de hundratusentals (miljontals?) svenskar som använder sig av Hotmail, Gmail eller andra HTTP-baserade mailtjänster?

Mikroperspektiv är viktigt för att kunna utröna vad lagen kommer leda till längre fram. Detaljerna kan man dock ofta ändra och utarbeta med tiden - det behöver inte vara perfekt på en gång under förutsättningen att vi har ett flexibelt system som åtgärdar de brister som uppenbarar sig med tiden.

Ur ett makroperspektiv bestämmer EU
Propositionen tar med några remissinstanser som har fått uttala sig kring vissa specifika, på förhand angivna frågor. Inte oväntat så tycker de som jagar folk (typ Åklagarmyndigheten, Antipiratbyrån, IFPI) att förslaget behövs och att balansen mellan information och integritet är väl utformat. Alla andra tycker det är någon grad av dåligt, med uttryck för att den inte över huvud taget skall införas. Men som propositionen kommit fram till så är det här ett EU-direktiv, och det är inte upp till Sverige att bestämma om lagen ska införas eller inte. Propositionen har alltså inte över huvud taget beaktat alternativet olydnad.

Det kanske inte var en del av propositionsförfattarnas uppdrag, men vem lyfter då fram vad alternativet olydnad innebär? Både Tyskland och Rumänien har tidigare åkt på bakslag när de utformat lagar utifrån direktivet som i sin tur stridit mot ländernas grundlagar. Även enligt svensk grundlag kan det finnas utrymme att underkänna datalagringsdirektivet. Och i dagsläget pågår utvärdering av lagen inom EU-kommissionen.

Med så mycket motstånd så hoppas jag att man förhalar beslut om lagen fram tills kommissionens utvärdering är klar - för det kan väl knappast finnas någon som i det här läget fortfarande tror att utvärderingen kommer framhålla att nuvarande direktiv är "A OK"?

Säkerhet i molnet som avtalsfråga

2010-12-08T17:39:00.001+01:00

Molnet börjar nu bli ett etablerat begrepp allteftersom hypen långsamt lägger sig och begreppet får en fastare innebörd. Men säkerhet i molnet är fortfarande ett "hett" ämne, något som kan förbrylla om man bara pysslar med teknik.

Säkerhet i molnet handlar väldigt lite om teknik, fokus för den kund som funderar på säkerhet i molnet ligger snarare i kravställning, avtal och uppföljning.

Något annat som finns "out there" i debatten/media är om det är säkert att lägga ut sin data i molnet. Frågeställning i sig är kontraproduktiv - frågan skall handla om risk, inte om någon luddig uppfattning om vad som är säkert eller inte.

Mitt råd är att ta ställning till en förändrad risk i förhållande till förändrade kostnader.

För att reducera risken man som kund tar när man lägger ut information och funktioner i molnet, kan man fundera på vad som är mest prioriterat. Därefter antingen hitta en leverantör som redan gör Bra Saker(tm) för att reducera den risken, eller försöka få en existerande leverantör att gå med på ens egna krav.

Exempel på krav kan vara att backup skall göras dagligen, att status från backupen skall kontrolleras av leverantören, att den är synlig för dig som kund. samt att återläsning testas årligen. Här i Sverige förlorade Fastbikes sitt arkiv då det visade sig att deras leverantör Ipeer aldrig hade gjort någon backup.

Även andra risker kan tillkomma, till exempel att din information blir "collateral damage" när leverantör får intrång. Som svenskt exempel kan vi ta då ett intrång hos Agresso resulterade i publikation av deras kunders lösenord. Det väcker i sin tur frågor som vilken logginformation man som kund får tillgång till, och i vilken utsträckning man delar miljö med andra. Absolut något att tala om innan det gått för långt.

Med lite tänk i förväg kan det finnas mycket pengar att spara.

Alla stans bankomater trojaniserades av insiders

2010-12-06T13:01:00.004+01:00

... nej det är inte i Stockholm, utan Yakutsk i Ryssland. Stans alla bankomater trojaniserades av den lokale IT-chefen, en systemadministratör, en tredje man som skulle vara pengaåsna och en fjärde som skrev själva trojanen.

Incidenten påminner om hur viktigt det är med separation av roller i miljöer som kräver hög säkerhet. Som Wikileaksdokumenten har påmint om så förekommer det alltid ett visst mått av insiders. Det måste man räkna med. Därför ska det begränsas vad en enstaka person kan åstadkomma, och att man i känsliga miljöer ska ha dedikerad personal för att hantera säkerhetsfrågorna.

Chefen skall inte heller per automatik ha samtliga behörigheter. Jag har själv utrett insiderfall i Sverige där just den lokala chefen har varit den som i slutändan visat sig vara den drivande kraften. Det räcker oftast gott med att chefen har administrativ kontroll över företaget, men att ge chefen fullständig teknisk tillgång till allting är bara onödig risk.

Don't try this at home

2010-12-01T20:20:00.005+01:00

Idag publicerade DN en artikel med rubriken Känsliga uppgifter på tv-kändisens sajt.

Sammanfattat så är Charlie (ni vet lyxfällan-numera-plus-Charlie) förfasad över att hans sajt pengakollen.nu hade en pinsamt lättutnyttjad sårbarhet på sig som gjorde att man kunde se andra kunders uppgifter om inkomst, lån, aktier, sparmål med mera.

Vad som förvånar mig är inte att sajten hade brister, det är snarare medias rapportering av det. Det är inte direkt ovanligt att sajter är sårbara - vad som däremot är ovanligt är att mainstream media rapporterar om det såhär utan att det föregåtts av några incidenter. Vad har fått dem att singla ut just pengakoll.nu? Lite fult, lite misstänkt... definitivt ingen ansvarsfull rapportering.

Hur som helst, någon har uppenbarligen testat sajten utan ägarnas vetskap. Mitt råd: se till att ALLTID ha tillstånd att utföra tester om du vill jobba med IT-säkerhet. Flera personer har tidigare blivit åtalad för de mest harmlösa testerna och i det här fallet ter det sig uppenbart att någon gjort sig skyldig till dataintrång.

Skyldig tills motsatsen är bevisad

2010-11-29T19:27:00.004+01:00

Nominet som är ansvariga för toppdomänen .uk har börjat fundera över vad de kan göra för att snabbare stänga av domännamn som används i samband med brottslighet. De har uttryckt intresse för att kunna stänga av domäner om det finns "rimlig grund" att tro att domänen används i brottslighet.

En sådan "rimlig grund" som de pekar ut är om någon brottsbekämpande myndighet ber dem om det.

Du skulle alltså anses skyldig tills motsatsen bevisats - om du ens får chansen.

Bakgrunden är återigen legitim. Många domäner används i kriminella syften (ex: spam, botnät), och det kan möjligen fungera rätt bra i det korta perspektivet om Nominet gör schyssta bedömningar.

Ett problem är att man med ett sådant beslut skulle bygga in en stor bit godtycke i systemet. Vad är en "rimlig grund" och vem avgör det? Var överklagar man? Vem tar kostnaden om avstängningen hävs?

Det finns anledningar att vi har domstolar som dömer om ärenden så som häktning, och att åklagare - inte polis - beslutar om husrannsakan.

Ska man verkligen bygga in ett delegerande av maktutövande till andra myndighetsorganisationer, eller ska man åtgärda problemet vid dess källa - att rättsväsendet har svårt att förstå och hinna med när det kommer till IT-brottslighet?

Oracle plockar hem 9 miljarder från SAP

2010-11-24T10:50:00.005+01:00

Nu har domen kommit i rättegången där Oracle stämde SAP: 1,3 miljarder dollar, motsvarande cirka 9 miljarder kronor skall SAP betala till Oracle.

Bakgrunden är att SAP's TomorrowNow har laddat ner mängder av material från Oracles supportweb, och gjort så med konton som tillhör kunder som SAP tagit över från Oracle. SAP har inte bestridit att man brutit mot avtalet, men förstås hävdat att beloppet skulle varit lägre - max 40 miljoner dollar ville de gå med på.

Skall man analysera allt det här finns flera lärdomar:

Oracle hänvisar sin upptäckt till "ovanligt många nedladdningar"
Att din konkurrent kan ge sig på ditt företag elektroniskt är inte något som säkerhetsföretag bara säger att det kan hända - det händer på riktigt, och de ekonomiska konsekvenserna kan bli massiva.
Oracle skyddade sitt material dåligt - i stämningen nämns flera gånger att de konton som SAP använt laddade ner material som kontona inte hade rätt att ladda ned (men ändå var det uppenbart tekniskt möjligt).

Vad jag finner extra intressant är upptäckten genom "ovanligt många nedladdningar". Det rimmar väldigt väl med uppfattningen att har man bra koll på hur ens IT-system används får man enkelt många säkerhetsfördelar på köpet.

Just i fallet Oracle så kanske det bara var något så enkelt som att bandbredden maxades i fyra dygn, det kom klagomål och Oracle utredde saken.

Visar även på vikten av att utreda incidenter - den enkla vägen är att bara strunta i det med bortförklaringar som "det gick över" eller "vi väntar & ser om det går över". Oavsett vad orsaken hade varit är det bra att ha mycket god kunskap om sina system. Även om man inte vinner mångmiljardbelopp på det på en gång kommer det garanterat att sänka din driftskostnad långsiktigt.

MSB önskar synpunkter på nya dokument

2010-11-22T17:42:00.000+01:00

Idag har Myndigheten för Samhällsskydd och Beredskap publicerat nya dokument. Dokumentnamnen är:

Fastställa säkerhetsåtgärder
Utforma policy och styrande dokument
Utforma säkerhetsprocesser
Beslut 2a
Beslut 2b
Övergripande utforma LIS

Har du synpunkter på vad innehållet i dessa är eller skall vara är nu en bra tid att lämna dessa. Kommentarer kan lämnas fram till den 16:e december.

Chrome framstår oförtjänt i dålig dager

2010-11-19T10:40:00.002+01:00

Många har reagerat på Bit9's blinda räknande av antalet fixade buggar, och de alltför stora växlar (pun intended) som drogs från det räknandet. Här hemma i Sverige var det bara IDG som rapporterade om Bit9's siffror.

Ett stort "Fuck You" får ni från mig, och en länk till Krebs utsökta blogginlägg: "Why Counting Flaws is Flawed" J*la noobs! :p

Google Chrome rekommenderas varmt från mig till alla som bryr sig om säkerheten när de surfar på webben, för allt vi vet är Chrome det absolut bästa valet.

Säkerhet i molnet enligt Microsoft

2010-11-19T10:02:00.004+01:00

Microsoft har släppt en tredje paper om informationssäkerheten för infrastrukturen till Microsofts molntjänster. Den här handlar om informationssäkerhetsstyrningen, och hur denna är anpassad för att efterleva standarder som ISO27001, SOX och PCI DSS.

Det här är bra gjort av Microsoft. Genom att öppet publicera hur de sköter säkerheten får Microsoft flera positiva effekter:

För kunder som verkligen är intresserade av informationssäkerhet finns informationen tillgänglig
Publik granskning medger att Microsoft kan få in kvalificerade frågor och förbättringsförslag
Signaler sänds om hur seriöst Microsoft ser på informationssäkerhet i sina molntjänster
Signaler sänds om att Microsoft är så pass bra på informationssäkerheten att de inte har något att dölja.

Ett par mindre negativa effekter kan dock också tänkas:

"The Bad Guys" kan hitta luckor utifrån det publicerade materialet, eller använda sig av det på annat sätt, så som social engineering eller att välja ett annat angrepssätt. MEN, "The Bad Guys" är sannolikt endast ett fåtal och jobbar oftast på andra sätt.
Fokus kan riktas mot den oro som redan finns kring informationssäkerheten i molnet. MEN, den oron har ofta redan nått sådan omfattning att den ändå inte kan tigas ihjäl.

Det är inte alltid som situationen är så fördelaktig för att vara öppen med sitt säkerhetsarbete, men i det här fallet är det klockrent.

Update: En kollega till mig på Cybercom påminde oss i veckan om att vissa av de här molntjänsterna är väldigt tillgängliga för amerikansk underrättelsetjänst. Rekommendationen är fortfarande att inte lägga ut någon som helst information i utländska moln om ditt bolag konkurrerar med stora kommersiella intressen. Oavsett hur bra säkerhet de har i övrigt renderas den null and void när administratören glatt hjälper till att kopiera ut all information.

TT: Antivirus skyddar allt sämre; Källkritik mina damer och herrar!

2010-11-18T13:14:00.005+01:00

TT har idag kablat ut en nyhet att de vanligaste antivirusprogrammen bara skyddar mot 30% av den skadliga kod de utsätts för.

Vilka tester som avses anges inte.

Men "flera IT-säkerhetsexpert" anges som källa för att "datasäkerhetsföretagen nu måste tänka om".

Vilka TT har frågat har jag ingen aning om. Vad jag gärna skulle påpeka är att 30% är en siffra tagen ur luften. Utan att redovisa hur testerna gått till är det Enormt svårt att bedöma hur relevant den där 30%-siffran egentligen är. Vilket urval av malware har egentligen testats? Är testet rent av designat för att ge låga siffror? Är det ett test som har provat hur effektivt verktyget msfencode är på att obfuskera kod? Har det viktats något mot risken för att stöta på just den utvalda malwaren?

Till alla som frågar mig så brukar jag säga att antivirusprodukterna är långt ifrån 100%:iga, men man ska ändå ha ett eftersom de fångar de största hoten. Men betala inte för mycket för det, och låt annat väga tyngre än deras påstådda detection rate i diverse "tester".

Så i syfte är det bra att TT:s artikel når ut eftersom många Svenssons har bilden av IT-säkerhet är samma sak som att man har antivirus och brandvägg. Har man det så går man säker. Kanske behöver man kryptera någonting också. Den bilden har fått fäste eftersom det är det enda enkla råd vi IT-säkerhetsfolk har haft att ge privatpersoner.

Alla som har någorlunda datavana skulle jag dock vilja rekommendera att även köra Secunia Personal Software Inspector för att hålla tredjepartsprogramvaran uppdaterad. Välj version 2.0 beta, och aktivera automatiska uppdateringar. Genom att hålla Java, Adobe Reader, Adobe Flash Player, Quicktime och dylika program uppdaterade (+ Microsoft-produkterna) så är man avsevärt säkrare när man surfar runt på nätet.

Update 19/11: Fick svar från TT att det fanns två versioner av nyheten. En kort och en lång. Tyvärr hade de flesta tidningar bara kört den korta. Den långa var långt bättre, mycket mer balanserad.

Swedbank nere, igen...

2010-11-17T09:10:00.003+01:00

Igår eftermiddag och kväll var stora delar av Swedbanks IT-system otillgängliga. Internetbanken var nere, telefonbanken var nere, det gick inte att hämta ut pengar från bankomaterna och Maestro-korten gick inte att betala med.

Det här är inte första gången Swedbank har avbrott. Faktum är att Finansinspektionen rapporterade 2008 om att Swedbank och avbrott i den IT-stödda verksamheten hade ett starkt samband. Finansinspektionen konstaterade bland annat att: "Sparbankerna som är beroende av Swedbank för sin it-drift rapporterar markant fler avbrott än övriga sparbanker."

Då, 2008, när Anna Sundblad på Swedbank konfronterades med dessa siffror i Computer Sweden, lät det såhär: "– Det är ju inte bra när det blir stopp. Men kunderna har alltid kunnat nå oss, om internetbanken har legat nere har telefonbanken fungerat, och vice versa."

Not this time.

Den stora frågan jag egentligen vill lyfta fram med det här är att det finns inga legala krav på att bankerna ska vara tillgängliga 24/7, men det finns däremot en stor förväntan om det från samhällets sida. Situationen är precis den samma när det gäller mjukvara och säkerhet.

Jag har mer än en gång stött på mjukvarutillverkare som säger att säkra system inte är något deras kunder efterfrågar och därför anser tillverkarna att det är helt ok att leverera system med fler hål än en schweizerost.

Jo, visst, kunderna är generellt dåliga på att kravställa säkerhet, men det finns ändå en stor förväntan om det. På samma sätt som att när jag köper en bil så kravställer jag inte att gaspedalen inte ska fastna i full gas, eller att ratten inte ska lossna när jag kör... även utan specifik kravställning är det rimligt att ha en förväntan om en viss basnivå.

Här är min debattartikel i TechWorld från 2009 då jag manade till bättre kravställning från kunderna. Det står jag fortfarande fast vid.

... och skulle det vara så att man prioriterar bankens tillgänglighet väldigt högt så gör man gott i att lämna Swedbank. Det är inte en isolerad incident, Swedbank har uppenbarligen systemfel som de har svårt att komma tillrätta med.

Personligen har jag ett möte med mitt lokala Swedbankkontor om två veckor för att diskutera att bli kund hos dem. Så länge de ersätter mina förluster är deras IT-problem inte något jag är villig att betala flera tusen kronor per år för att slippa. Däremot kommer jag kanske luta åt en konkurrent om konkurrentens erbjudande är liknande.

Artikel om hur datalagringsdirektivet kan slå mot vissa grupper

2010-11-16T09:06:00.004+01:00

En artikel på Realtid tar en vinkling om hur datalagringsdirektivet kan komma att påverka yrken som har krav på sekretess, ex. journalisters relation till anonyma källor. Läsvärt.

Några fler intressanta noteringar:

Vissa politiker vet inte vad lagen de beslutar om egentligen innehåller och inte. Det är lätt att bli cynisk eftersom sånt här händer gång på gång. Våra folkvalda är ofta allt för okunniga när det kommer till detaljer (och därmed samtliga konsekvenser), samtidigt som det finns ett starkt drag av att ignorera allt som inte stödjer den förutbestämda åsikten. Eller som en bekant till mig uttryckte sig, "Det är en massa medelmåttor som sitter och tycker".
Materialet som kommer komma från det här kommer i sig vara av betydelse för rikets säkerhet. Väcker förstås frågan om hur väl det kommer skyddas, vad som ska anses vara "tillräckligt" skydd, vem som ska bestämma vad som är tillräckligt och vem som kommer kontrollera att det skyddas tillräckligt.

Artikelrubriken "Säg farväl till din iPhone" tycker jag är överdramatiserad, men så behöver den nog vara för att locka läsare...

Pentagon vill hacka världen i "förebyggande syfte"

2010-11-15T17:30:00.000+01:00

Lördagen bjöd på en artikel i Washington Post där det framgår att Pentagon's Cyber Command önskar utöka sin verksamhet. Eller som Sveriges IT Incident Centrum tolkade det i sitt veckobrev - "Cyber Command söker Carte Blanche för att utföra Cyber-krig".

Specifikt skriver Washington Post att "Cyber Command is seeking authority to carry out computer network attacks around the globe to protect U.S. interests" och det genom att använda '"the full spectrum" of operations in cyberspace.'.

Får de sin vilja igenom kan det alltså innebära att de har tillstånd att ge sig på vilket land, vilket företag eller vilket privatperson som helst - allt för att skydda amerikanska intressen. Dessutom handlar det inte om åtgärder after-the-fact utan även i förebyggande syften, s.k. preemptive strikes.

Innebär det här måntro, att Saab skulle kunna bli en måltavla om de säljer vapen till "fel" land? Kanske ligger det tillräckligt i amerikanska intressen att Brasilien, Indien, Tjeckien o.s.v. väljer att köpa amerikanska flygplan istället för svenska?

Det finns förstås en bra bakomliggande anledning till förslaget, men lagstiftarna måste ha tungan rätt i mun för att inte ge ut för stora befogenheter - Cyber Command tar alldeles säkert hellre för sig av för stora befogenheter än för små :)

En annan intressant notis är att det här förslaget tas emot ljummet av amerikanska politiker inte bara för att det kan ge utrikespolitisk backlash, utan även för att CIA anser att det här med att bryta sig in i andra fredliga länders nätverk är DERAS monopol, och inget som Cyber Command ska lägga sig i!

Oops, .. USA är på offensiven minsann. Här hemma i svensk media ser vi inte så mycket debatt om vilka befogenheter den svenska militären ska ha när det kommer till annat än FRA-lagen. Men vilka svenska intressen och intressenter finns det egentligen?

Datalagringsdirektivet sågas - men varför?

2010-11-11T19:24:00.000+01:00

Idag har det varit mycket skriverier om datalagringsdirektivet och regeringens nya förslag.

I korthet går det ut på att för alla SMS och e-post som skickas skall avsändare, mottagare, tidpunkt och plats lagras i 6 månader. Förslaget har fått kritik från alla håll - från polisen som inte tycker 6 månader är tillräckligt, och från förespråkare av personlig integritet som tycker förslaget är alldeles för påträngande.

Intressant kuriosa är att Tyskland var tidiga med att införa en liknande lag, men att högsta domstolen senare kom fram till att den lagen var emot tysk grundlag.

De flesta privatpersoner har inte så mycket emot att den personliga integriteten ruckas på - om det ger dem något i utbyte. Det behöver inte vara mycket - något så litet som en chokladbit har visats vara en lång bit på vägen.

Ett exempel på det är alla dessa plastkort vi går omkring med - kreditkort, betalkort, medlemskort. Många tänker inte två gånger på att köpa prylar på dessa kort trots att informationen om köpen då lagras för längre tid än 6 månader. Och på samma sätt som man kan välja att betala med kontanter, kan man på Internet välja att använda kryptering och anonymiseringstjänster.

För fallet med datalagringsdirektivet får man nog därför konstatera att myndigheterna varit usla på att nå ut med information om vad vinsten med det här verkligen är i förhållande till kostnaden. Liknande integritetsprövande frågor så som kameror, har inte direkt basunerats ut som någon effektiv framgångssaga. Ibland hör man om något brott som löstes med kamera - men det enstaka fallet redovisas sällan med någon prislapp, och aldrig med någon jämförelse på vad de pengarna kunnat göra istället. Lägg till det att man som individualiserad västerlänning kanske känner att den vinsten är rätt långt borta, medan kostnaden - integriteten - kan kännas väldigt nära.

... nu ska man väl inte lasta Svenska myndigheter och politiker allt för hårt för att de inte lyckats marknadsföra den här lagen. Det är trots allt ett EU-direktiv.

Det kommer bli mycket intressant att se vad som händer framöver när Tyskland faktiskt konstaterat att det är mot deras grundlag - kommer EU backa eller är det OK att EU kör över ett medlemsland grundlagar? Och ska verkligen Sverige införa de här lagarna innan den saken är avgjord? Det kostar ju trots allt en bra slant...

Svenssons riskhantering - vinterdäck

2010-11-11T02:30:00.000+01:00

Byte till vinterdäck har aktualiserats nu i veckan, och som vanligt är många sent ute.

Enligt en undersökning som If gjort väntar nästan en tredjedel med att byta till vinterdäck fram tills antingen 1 december eller då första halkan slagit till.

Definitivt tänkvärt att en så stor del av befolkningen inte byter förrän de bokstavligt talat ser anledningen med sina egna ögon. Inte ens att de själva upplevt situationen förr räcker alltså.

Halkan kommer ju varje år och vem har inte halkat & slagit sig? Att det är halt och man kan slå sig är ju ett synnerligen enkelt koncept, och det blir inte så mycket klurigare när man blandar in att det lär göra ondare om man smäller in i något i högre hastighet. Kanske är det så att många tänker sig att de kan hantera halkan på annat sätt än att sätta på vinterdäck?

En annan intressant iakttagelse: majoriteten av bilägarna har faktiskt satt på vinterdäcken i tid före första halkan. Går väl i linje med att majoritetens beslut faktiskt ÄR bra så länge problemet är enkelt att förstå sig på.