tisdag 21 december 2010

Ny stabil Secunia PSI hjälper med uppdateringarna

Nu har Secunia släppt version 2.0 av Personal Software Inspector.

Jag har de senaste månaderna rekommenderat mina bekanta att köra 2.0 beta på grund av de bekväma auto-uppdateringarna som finns för "the usual suspects". Men nu är alltså till slut den stabila versionen ute.

Så lagom till jul när ni träffar er släkt kan ni alltså rekommendera Secunia PSI för att hålla dem automatiskt uppdaterade med Adobe-familjen, Java och så vidare.

Go get it!

onsdag 15 december 2010

Därför är nätverket en knarkarkvart

Min gamla parhäst Stefan Pettersson och jag har sedan ett år tillbaka gått skilda vägar vad gäller arbetsgivare, och därmed försvann jag även från vår gemensamma blogg. Men jag följer naturligtvis fortfarande när Stefan bloggar eftersom jag tycker det är en av de bästa svenska bloggarna.

Häromdagen skrev Stefan ett inlägg "Är nätverket en knarkarkvart?" där han sakligt och humoristiskt jämför den klassiska knarkarkvartens struktur med den IT-miljö som många verksamheter idag lever i. Om nätverket är en knarkarkvart? Svaret är nästan alltid "You bet!". Men varför? Stefan skriver "Varför det, trots detta, finns så många knarkarkvartar törs jag inte svara på." ...

Men det gör jag!! :>

<generaliseringsläge>
Grunden är enkel - Som Stefan pekar ut är IT-systemens brist på struktur och dokumentation något som är osynligt. Däremot finns det väl synliga faktorer så som
  • kalendertid
  • mantid
  • upptid
  • funktion
Det är dessa synliga kriterier som prioriteras högst, eftersom arbete på det osynliga inte ger någon belöning, utan istället resulterar i att alla undrar vad du egentligen gör.

Att det sedan i längden medför att ALLA de där fyra faktorerna blir både billigare och bättre om man har en god struktur och dokumentation på rimlig nivå, spelar mindre roll av ett antal anledningar. Vi kan förenkla anledningarna till att de flesta människor saknar förmåga att tänka längre än fem minuter framåt i tiden, än mindre agera för att få det bättre i framtiden, och inte heller tolerera när andra gör det på bekostnad av det som är NU. Och det går bra till en början att strunta i det, men då ska man vara väl medveten om att det är en skuld man bygger upp som en dag inte bara SKA, utan även KOMMER betalas. [läsarfråga: vem får betala?]

Att det blir både billigare och bättre vet vi tack vare regelverk som KRÄVER viss kontroll. Både då Sarbanes-Oxley Act infördes och då PCI DSS nu införs alltmer ställs IT-avdelningarna inför den skuld som arbetats upp. Det tar mycket resurser att arbeta av den skulden och därav har det knorrats en hel del, men när den väl är betald upptäcker många hur mycket lättare arbetet plötsligt blev.

... så varför krävs det då inte mer från högre chefsnivå? Borde inte ekonomichefen förstå att det finns pengar att tjäna långsiktigt på att ha ordning på sina saker - det är trots allt en väl accepterad sanning för ekonomichefen att med ordning och reda på ekonomin så mår företaget bättre. Samma sak borde gälla IT-systemen?

Jodå, det borde de förstå. Men kontrollmekanismen saknas. En IT-chef kan pladdra lite jibber-jabber som ingen förstår men som verkar tillräckligt avancerat för att ge intrycket att läget är under kontroll. Men det är det sällan. Det är nämligen inte vad IT-chefen säger, utan vad denne inte säger som är den största indikatorn på om IT-miljön sköts väl.

Med en kontrollmekanism som PCI DSS, revisioner från en auktoriserad QSA som i sin tur har revisioner på sitt arbete, så blir det ruskigt svårt att komma undan utan att verkligen ha kontroll. Just PCI DSS är speciellt i det att man inte bara granskar dokumentation och genomför intervjuer, utan även gör omfattande kontroller direkt mot systemen.
</generaliseringsläge>

Det finns förstås en del komplexitet i det här ämnet, men en bra kontrollprocess skulle vara en infallsvinkel som synliggör och då ger förutsättningar att åtgärda de flesta problemen som finns, oavsett vad det är hos just verksamhet X. Gäller bara att hitta en lämplig sådan kontrollprocess då....

fredag 10 december 2010

Datalagringsdirektivets mikro- och makroperspektiv - vad kostar det?

Nu är propositionen för datalagringsdirektivet färdigställd. Lagändring föreslås träda i kraft den 1 juli 2011, alltså om cirka ett halvår.

Ur ett mikroperspektiv är det stor oklarhet i teknikfrågorna
Propositionen pratar om "meddelandehantering" och den gör även ett djärvt försök i att definiera meddelandehantering som "tjänster som använder sig av olika kommunikationsprotokoll,
dvs. regler om hur kommunikationen ska ske, som SMTP (Simple Mail
Transfer Protocol, RFC 2821 och RFC 2822)". Själv använder jag emellanåt Live Messenger, som använder ett propreitärt protokoll, och det finns ju fler protokoll där. Var skall gränsen dras för när ett protokoll behöver hanteras av ISP:erna? Och betyder det här slutet för propreitära meddelandehanteringsprotokoll?

Min tolkning av propositionen är också att det är den ISP närmast den som sänder meddelandet som ska lagra trafikuppgifterna. Hur blir det då med alla de hundratusentals (miljontals?) svenskar som använder sig av Hotmail, Gmail eller andra HTTP-baserade mailtjänster?

Mikroperspektiv är viktigt för att kunna utröna vad lagen kommer leda till längre fram. Detaljerna kan man dock ofta ändra och utarbeta med tiden - det behöver inte vara perfekt på en gång under förutsättningen att vi har ett flexibelt system som åtgärdar de brister som uppenbarar sig med tiden.

Ur ett makroperspektiv bestämmer EU
Propositionen tar med några remissinstanser som har fått uttala sig kring vissa specifika, på förhand angivna frågor. Inte oväntat så tycker de som jagar folk (typ Åklagarmyndigheten, Antipiratbyrån, IFPI) att förslaget behövs och att balansen mellan information och integritet är väl utformat. Alla andra tycker det är någon grad av dåligt, med uttryck för att den inte över huvud taget skall införas. Men som propositionen kommit fram till så är det här ett EU-direktiv, och det är inte upp till Sverige att bestämma om lagen ska införas eller inte. Propositionen har alltså inte över huvud taget beaktat alternativet olydnad.

Det kanske inte var en del av propositionsförfattarnas uppdrag, men vem lyfter då fram vad alternativet olydnad innebär? Både Tyskland och Rumänien har tidigare åkt på bakslag när de utformat lagar utifrån direktivet som i sin tur stridit mot ländernas grundlagar. Även enligt svensk grundlag kan det finnas utrymme att underkänna datalagringsdirektivet. Och i dagsläget pågår utvärdering av lagen inom EU-kommissionen.

Med så mycket motstånd så hoppas jag att man förhalar beslut om lagen fram tills kommissionens utvärdering är klar - för det kan väl knappast finnas någon som i det här läget fortfarande tror att utvärderingen kommer framhålla att nuvarande direktiv är "A OK"?

onsdag 8 december 2010

Säkerhet i molnet som avtalsfråga

Molnet börjar nu bli ett etablerat begrepp allteftersom hypen långsamt lägger sig och begreppet får en fastare innebörd. Men säkerhet i molnet är fortfarande ett "hett" ämne, något som kan förbrylla om man bara pysslar med teknik.

Säkerhet i molnet handlar väldigt lite om teknik, fokus för den kund som funderar på säkerhet i molnet ligger snarare i kravställning, avtal och uppföljning.

Något annat som finns "out there" i debatten/media är om det är säkert att lägga ut sin data i molnet. Frågeställning i sig är kontraproduktiv - frågan skall handla om risk, inte om någon luddig uppfattning om vad som är säkert eller inte.

Mitt råd är att ta ställning till en förändrad risk i förhållande till förändrade kostnader.

För att reducera risken man som kund tar när man lägger ut information och funktioner i molnet, kan man fundera på vad som är mest prioriterat. Därefter antingen hitta en leverantör som redan gör Bra Saker(tm) för att reducera den risken, eller försöka få en existerande leverantör att gå med på ens egna krav.

Exempel på krav kan vara att backup skall göras dagligen, att status från backupen skall kontrolleras av leverantören, att den är synlig för dig som kund. samt att återläsning testas årligen. Här i Sverige förlorade Fastbikes sitt arkiv då det visade sig att deras leverantör Ipeer aldrig hade gjort någon backup.

Även andra risker kan tillkomma, till exempel att din information blir "collateral damage" när leverantör får intrång. Som svenskt exempel kan vi ta då ett intrång hos Agresso resulterade i publikation av deras kunders lösenord. Det väcker i sin tur frågor som vilken logginformation man som kund får tillgång till, och i vilken utsträckning man delar miljö med andra. Absolut något att tala om innan det gått för långt.

Med lite tänk i förväg kan det finnas mycket pengar att spara.

måndag 6 december 2010

Alla stans bankomater trojaniserades av insiders

... nej det är inte i Stockholm, utan Yakutsk i Ryssland. Stans alla bankomater trojaniserades av den lokale IT-chefen, en systemadministratör, en tredje man som skulle vara pengaåsna och en fjärde som skrev själva trojanen.

Incidenten påminner om hur viktigt det är med separation av roller i miljöer som kräver hög säkerhet. Som Wikileaksdokumenten har påmint om så förekommer det alltid ett visst mått av insiders. Det måste man räkna med. Därför ska det begränsas vad en enstaka person kan åstadkomma, och att man i känsliga miljöer ska ha dedikerad personal för att hantera säkerhetsfrågorna.

Chefen skall inte heller per automatik ha samtliga behörigheter. Jag har själv utrett insiderfall i Sverige där just den lokala chefen har varit den som i slutändan visat sig vara den drivande kraften. Det räcker oftast gott med att chefen har administrativ kontroll över företaget, men att ge chefen fullständig teknisk tillgång till allting är bara onödig risk.

onsdag 1 december 2010

Don't try this at home

Idag publicerade DN en artikel med rubriken Känsliga uppgifter på tv-kändisens sajt.

Sammanfattat så är Charlie (ni vet lyxfällan-numera-plus-Charlie) förfasad över att hans sajt pengakollen.nu hade en pinsamt lättutnyttjad sårbarhet på sig som gjorde att man kunde se andra kunders uppgifter om inkomst, lån, aktier, sparmål med mera.

Vad som förvånar mig är inte att sajten hade brister, det är snarare medias rapportering av det. Det är inte direkt ovanligt att sajter är sårbara - vad som däremot är ovanligt är att mainstream media rapporterar om det såhär utan att det föregåtts av några incidenter. Vad har fått dem att singla ut just pengakoll.nu? Lite fult, lite misstänkt... definitivt ingen ansvarsfull rapportering.

Hur som helst, någon har uppenbarligen testat sajten utan ägarnas vetskap. Mitt råd: se till att ALLTID ha tillstånd att utföra tester om du vill jobba med IT-säkerhet. Flera personer har tidigare blivit åtalad för de mest harmlösa testerna och i det här fallet ter det sig uppenbart att någon gjort sig skyldig till dataintrång.