måndag 29 november 2010

Skyldig tills motsatsen är bevisad

Nominet som är ansvariga för toppdomänen .uk har börjat fundera över vad de kan göra för att snabbare stänga av domännamn som används i samband med brottslighet. De har uttryckt intresse för att kunna stänga av domäner om det finns "rimlig grund" att tro att domänen används i brottslighet.

En sådan "rimlig grund" som de pekar ut är om någon brottsbekämpande myndighet ber dem om det.

Du skulle alltså anses skyldig tills motsatsen bevisats - om du ens får chansen.

Bakgrunden är återigen legitim. Många domäner används i kriminella syften (ex: spam, botnät), och det kan möjligen fungera rätt bra i det korta perspektivet om Nominet gör schyssta bedömningar.

Ett problem är att man med ett sådant beslut skulle bygga in en stor bit godtycke i systemet. Vad är en "rimlig grund" och vem avgör det? Var överklagar man? Vem tar kostnaden om avstängningen hävs?

Det finns anledningar att vi har domstolar som dömer om ärenden så som häktning, och att åklagare - inte polis - beslutar om husrannsakan.

Ska man verkligen bygga in ett delegerande av maktutövande till andra myndighetsorganisationer, eller ska man åtgärda problemet vid dess källa - att rättsväsendet har svårt att förstå och hinna med när det kommer till IT-brottslighet?

onsdag 24 november 2010

Oracle plockar hem 9 miljarder från SAP

Nu har domen kommit i rättegången där Oracle stämde SAP: 1,3 miljarder dollar, motsvarande cirka 9 miljarder kronor skall SAP betala till Oracle.

Bakgrunden är att SAP's TomorrowNow har laddat ner mängder av material från Oracles supportweb, och gjort så med konton som tillhör kunder som SAP tagit över från Oracle. SAP har inte bestridit att man brutit mot avtalet, men förstås hävdat att beloppet skulle varit lägre - max 40 miljoner dollar ville de gå med på.

Skall man analysera allt det här finns flera lärdomar:

  • Oracle hänvisar sin upptäckt till "ovanligt många nedladdningar"
  • Att din konkurrent kan ge sig på ditt företag elektroniskt är inte något som säkerhetsföretag bara säger att det kan hända - det händer på riktigt, och de ekonomiska konsekvenserna kan bli massiva.
  • Oracle skyddade sitt material dåligt - i stämningen nämns flera gånger att de konton som SAP använt laddade ner material som kontona inte hade rätt att ladda ned (men ändå var det uppenbart tekniskt möjligt).

Vad jag finner extra intressant är upptäckten genom "ovanligt många nedladdningar". Det rimmar väldigt väl med uppfattningen att har man bra koll på hur ens IT-system används får man enkelt många säkerhetsfördelar på köpet.

Just i fallet Oracle så kanske det bara var något så enkelt som att bandbredden maxades i fyra dygn, det kom klagomål och Oracle utredde saken.

Visar även på vikten av att utreda incidenter - den enkla vägen är att bara strunta i det med bortförklaringar som "det gick över" eller "vi väntar & ser om det går över". Oavsett vad orsaken hade varit är det bra att ha mycket god kunskap om sina system. Även om man inte vinner mångmiljardbelopp på det på en gång kommer det garanterat att sänka din driftskostnad långsiktigt.

måndag 22 november 2010

MSB önskar synpunkter på nya dokument

Idag har Myndigheten för Samhällsskydd och Beredskap publicerat nya dokument. Dokumentnamnen är:
  • Fastställa säkerhetsåtgärder
  • Utforma policy och styrande dokument
  • Utforma säkerhetsprocesser
  • Beslut 2a
  • Beslut 2b
  • Övergripande utforma LIS
Har du synpunkter på vad innehållet i dessa är eller skall vara är nu en bra tid att lämna dessa. Kommentarer kan lämnas fram till den 16:e december.

fredag 19 november 2010

Chrome framstår oförtjänt i dålig dager

Många har reagerat på Bit9's blinda räknande av antalet fixade buggar, och de alltför stora växlar (pun intended) som drogs från det räknandet. Här hemma i Sverige var det bara IDG som rapporterade om Bit9's siffror.

Ett stort "Fuck You" får ni från mig, och en länk till Krebs utsökta blogginlägg: "Why Counting Flaws is Flawed" J*la noobs! :p

Google Chrome rekommenderas varmt från mig till alla som bryr sig om säkerheten när de surfar på webben, för allt vi vet är Chrome det absolut bästa valet.

Säkerhet i molnet enligt Microsoft

Microsoft har släppt en tredje paper om informationssäkerheten för infrastrukturen till Microsofts molntjänster. Den här handlar om informationssäkerhetsstyrningen, och hur denna är anpassad för att efterleva standarder som ISO27001, SOX och PCI DSS.

Det här är bra gjort av Microsoft. Genom att öppet publicera hur de sköter säkerheten får Microsoft flera positiva effekter:
  • För kunder som verkligen är intresserade av informationssäkerhet finns informationen tillgänglig
  • Publik granskning medger att Microsoft kan få in kvalificerade frågor och förbättringsförslag
  • Signaler sänds om hur seriöst Microsoft ser på informationssäkerhet i sina molntjänster
  • Signaler sänds om att Microsoft är så pass bra på informationssäkerheten att de inte har något att dölja.
Ett par mindre negativa effekter kan dock också tänkas:
  • "The Bad Guys" kan hitta luckor utifrån det publicerade materialet, eller använda sig av det på annat sätt, så som social engineering eller att välja ett annat angrepssätt. MEN, "The Bad Guys" är sannolikt endast ett fåtal och jobbar oftast på andra sätt.
  • Fokus kan riktas mot den oro som redan finns kring informationssäkerheten i molnet. MEN, den oron har ofta redan nått sådan omfattning att den ändå inte kan tigas ihjäl.
Det är inte alltid som situationen är så fördelaktig för att vara öppen med sitt säkerhetsarbete, men i det här fallet är det klockrent.

Update: En kollega till mig på Cybercom påminde oss i veckan om att vissa av de här molntjänsterna är väldigt tillgängliga för amerikansk underrättelsetjänst. Rekommendationen är fortfarande att inte lägga ut någon som helst information i utländska moln om ditt bolag konkurrerar med stora kommersiella intressen. Oavsett hur bra säkerhet de har i övrigt renderas den null and void när administratören glatt hjälper till att kopiera ut all information.

torsdag 18 november 2010

TT: Antivirus skyddar allt sämre; Källkritik mina damer och herrar!

TT har idag kablat ut en nyhet att de vanligaste antivirusprogrammen bara skyddar mot 30% av den skadliga kod de utsätts för.

Vilka tester som avses anges inte.

Men "flera IT-säkerhetsexpert" anges som källa för att "datasäkerhetsföretagen nu måste tänka om".

Vilka TT har frågat har jag ingen aning om. Vad jag gärna skulle påpeka är att 30% är en siffra tagen ur luften. Utan att redovisa hur testerna gått till är det Enormt svårt att bedöma hur relevant den där 30%-siffran egentligen är. Vilket urval av malware har egentligen testats? Är testet rent av designat för att ge låga siffror? Är det ett test som har provat hur effektivt verktyget msfencode är på att obfuskera kod? Har det viktats något mot risken för att stöta på just den utvalda malwaren?

Till alla som frågar mig så brukar jag säga att antivirusprodukterna är långt ifrån 100%:iga, men man ska ändå ha ett eftersom de fångar de största hoten. Men betala inte för mycket för det, och låt annat väga tyngre än deras påstådda detection rate i diverse "tester".

Så i syfte är det bra att TT:s artikel når ut eftersom många Svenssons har bilden av IT-säkerhet är samma sak som att man har antivirus och brandvägg. Har man det så går man säker. Kanske behöver man kryptera någonting också. Den bilden har fått fäste eftersom det är det enda enkla råd vi IT-säkerhetsfolk har haft att ge privatpersoner.

Alla som har någorlunda datavana skulle jag dock vilja rekommendera att även köra Secunia Personal Software Inspector för att hålla tredjepartsprogramvaran uppdaterad. Välj version 2.0 beta, och aktivera automatiska uppdateringar. Genom att hålla Java, Adobe Reader, Adobe Flash Player, Quicktime och dylika program uppdaterade (+ Microsoft-produkterna) så är man avsevärt säkrare när man surfar runt på nätet.

Update 19/11: Fick svar från TT att det fanns två versioner av nyheten. En kort och en lång. Tyvärr hade de flesta tidningar bara kört den korta. Den långa var långt bättre, mycket mer balanserad.

onsdag 17 november 2010

Swedbank nere, igen...

Igår eftermiddag och kväll var stora delar av Swedbanks IT-system otillgängliga. Internetbanken var nere, telefonbanken var nere, det gick inte att hämta ut pengar från bankomaterna och Maestro-korten gick inte att betala med.

Det här är inte första gången Swedbank har avbrott. Faktum är att Finansinspektionen rapporterade 2008 om att Swedbank och avbrott i den IT-stödda verksamheten hade ett starkt samband. Finansinspektionen konstaterade bland annat att: "Sparbankerna som är beroende av Swedbank för sin it-drift rapporterar markant fler avbrott än övriga sparbanker."

Då, 2008, när Anna Sundblad på Swedbank konfronterades med dessa siffror i Computer Sweden, lät det såhär: "– Det är ju inte bra när det blir stopp. Men kunderna har alltid kunnat nå oss, om internetbanken har legat nere har telefonbanken fungerat, och vice versa."

Not this time.

Den stora frågan jag egentligen vill lyfta fram med det här är att det finns inga legala krav på att bankerna ska vara tillgängliga 24/7, men det finns däremot en stor förväntan om det från samhällets sida. Situationen är precis den samma när det gäller mjukvara och säkerhet.

Jag har mer än en gång stött på mjukvarutillverkare som säger att säkra system inte är något deras kunder efterfrågar och därför anser tillverkarna att det är helt ok att leverera system med fler hål än en schweizerost.

Jo, visst, kunderna är generellt dåliga på att kravställa säkerhet, men det finns ändå en stor förväntan om det. På samma sätt som att när jag köper en bil så kravställer jag inte att gaspedalen inte ska fastna i full gas, eller att ratten inte ska lossna när jag kör... även utan specifik kravställning är det rimligt att ha en förväntan om en viss basnivå.

Här är min debattartikel i TechWorld från 2009 då jag manade till bättre kravställning från kunderna. Det står jag fortfarande fast vid.

... och skulle det vara så att man prioriterar bankens tillgänglighet väldigt högt så gör man gott i att lämna Swedbank. Det är inte en isolerad incident, Swedbank har uppenbarligen systemfel som de har svårt att komma tillrätta med.

Personligen har jag ett möte med mitt lokala Swedbankkontor om två veckor för att diskutera att bli kund hos dem. Så länge de ersätter mina förluster är deras IT-problem inte något jag är villig att betala flera tusen kronor per år för att slippa. Däremot kommer jag kanske luta åt en konkurrent om konkurrentens erbjudande är liknande.

tisdag 16 november 2010

Artikel om hur datalagringsdirektivet kan slå mot vissa grupper

En artikel på Realtid tar en vinkling om hur datalagringsdirektivet kan komma att påverka yrken som har krav på sekretess, ex. journalisters relation till anonyma källor. Läsvärt.

Några fler intressanta noteringar:
  • Vissa politiker vet inte vad lagen de beslutar om egentligen innehåller och inte. Det är lätt att bli cynisk eftersom sånt här händer gång på gång. Våra folkvalda är ofta allt för okunniga när det kommer till detaljer (och därmed samtliga konsekvenser), samtidigt som det finns ett starkt drag av att ignorera allt som inte stödjer den förutbestämda åsikten. Eller som en bekant till mig uttryckte sig, "Det är en massa medelmåttor som sitter och tycker".
  • Materialet som kommer komma från det här kommer i sig vara av betydelse för rikets säkerhet. Väcker förstås frågan om hur väl det kommer skyddas, vad som ska anses vara "tillräckligt" skydd, vem som ska bestämma vad som är tillräckligt och vem som kommer kontrollera att det skyddas tillräckligt.
Artikelrubriken "Säg farväl till din iPhone" tycker jag är överdramatiserad, men så behöver den nog vara för att locka läsare...

måndag 15 november 2010

Pentagon vill hacka världen i "förebyggande syfte"

Lördagen bjöd på en artikel i Washington Post där det framgår att Pentagon's Cyber Command önskar utöka sin verksamhet. Eller som Sveriges IT Incident Centrum tolkade det i sitt veckobrev - "Cyber Command söker Carte Blanche för att utföra Cyber-krig".

Specifikt skriver Washington Post att "Cyber Command is seeking authority to carry out computer network attacks around the globe to protect U.S. interests" och det genom att använda '"the full spectrum" of operations in cyberspace.'.

Får de sin vilja igenom kan det alltså innebära att de har tillstånd att ge sig på vilket land, vilket företag eller vilket privatperson som helst - allt för att skydda amerikanska intressen. Dessutom handlar det inte om åtgärder after-the-fact utan även i förebyggande syften, s.k. preemptive strikes.

Innebär det här måntro, att Saab skulle kunna bli en måltavla om de säljer vapen till "fel" land? Kanske ligger det tillräckligt i amerikanska intressen att Brasilien, Indien, Tjeckien o.s.v. väljer att köpa amerikanska flygplan istället för svenska?

Det finns förstås en bra bakomliggande anledning till förslaget, men lagstiftarna måste ha tungan rätt i mun för att inte ge ut för stora befogenheter - Cyber Command tar alldeles säkert hellre för sig av för stora befogenheter än för små :)

En annan intressant notis är att det här förslaget tas emot ljummet av amerikanska politiker inte bara för att det kan ge utrikespolitisk backlash, utan även för att CIA anser att det här med att bryta sig in i andra fredliga länders nätverk är DERAS monopol, och inget som Cyber Command ska lägga sig i!

Oops, .. USA är på offensiven minsann. Här hemma i svensk media ser vi inte så mycket debatt om vilka befogenheter den svenska militären ska ha när det kommer till annat än FRA-lagen. Men vilka svenska intressen och intressenter finns det egentligen?

torsdag 11 november 2010

Datalagringsdirektivet sågas - men varför?

Idag har det varit mycket skriverier om datalagringsdirektivet och regeringens nya förslag.

I korthet går det ut på att för alla SMS och e-post som skickas skall avsändare, mottagare, tidpunkt och plats lagras i 6 månader. Förslaget har fått kritik från alla håll - från polisen som inte tycker 6 månader är tillräckligt, och från förespråkare av personlig integritet som tycker förslaget är alldeles för påträngande.

Intressant kuriosa är att Tyskland var tidiga med att införa en liknande lag, men att högsta domstolen senare kom fram till att den lagen var emot tysk grundlag.

De flesta privatpersoner har inte så mycket emot att den personliga integriteten ruckas på - om det ger dem något i utbyte. Det behöver inte vara mycket - något så litet som en chokladbit har visats vara en lång bit på vägen.

Ett exempel på det är alla dessa plastkort vi går omkring med - kreditkort, betalkort, medlemskort. Många tänker inte två gånger på att köpa prylar på dessa kort trots att informationen om köpen då lagras för längre tid än 6 månader. Och på samma sätt som man kan välja att betala med kontanter, kan man på Internet välja att använda kryptering och anonymiseringstjänster.

För fallet med datalagringsdirektivet får man nog därför konstatera att myndigheterna varit usla på att nå ut med information om vad vinsten med det här verkligen är i förhållande till kostnaden. Liknande integritetsprövande frågor så som kameror, har inte direkt basunerats ut som någon effektiv framgångssaga. Ibland hör man om något brott som löstes med kamera - men det enstaka fallet redovisas sällan med någon prislapp, och aldrig med någon jämförelse på vad de pengarna kunnat göra istället. Lägg till det att man som individualiserad västerlänning kanske känner att den vinsten är rätt långt borta, medan kostnaden - integriteten - kan kännas väldigt nära.

... nu ska man väl inte lasta Svenska myndigheter och politiker allt för hårt för att de inte lyckats marknadsföra den här lagen. Det är trots allt ett EU-direktiv.

Det kommer bli mycket intressant att se vad som händer framöver när Tyskland faktiskt konstaterat att det är mot deras grundlag - kommer EU backa eller är det OK att EU kör över ett medlemsland grundlagar? Och ska verkligen Sverige införa de här lagarna innan den saken är avgjord? Det kostar ju trots allt en bra slant...

Svenssons riskhantering - vinterdäck

Byte till vinterdäck har aktualiserats nu i veckan, och som vanligt är många sent ute.

Enligt en undersökning som If gjort väntar nästan en tredjedel med att byta till vinterdäck fram tills antingen 1 december eller då första halkan slagit till.

Definitivt tänkvärt att en så stor del av befolkningen inte byter förrän de bokstavligt talat ser anledningen med sina egna ögon. Inte ens att de själva upplevt situationen förr räcker alltså.

Halkan kommer ju varje år och vem har inte halkat & slagit sig? Att det är halt och man kan slå sig är ju ett synnerligen enkelt koncept, och det blir inte så mycket klurigare när man blandar in att det lär göra ondare om man smäller in i något i högre hastighet. Kanske är det så att många tänker sig att de kan hantera halkan på annat sätt än att sätta på vinterdäck?

En annan intressant iakttagelse: majoriteten av bilägarna har faktiskt satt på vinterdäcken i tid före första halkan. Går väl i linje med att majoritetens beslut faktiskt ÄR bra så länge problemet är enkelt att förstå sig på.