Ja, ännu ett inlägg om bakdörrar, och ännu ett intrång riktad mot källkod. Onekligen ett hett ämne i dessa dagar!
Den populära sajten Sourceforge, hem för många open source projekt, upptäckte i slutet av förra veckan att de haft ett allvarligt intrång. Angriparen har haft root-access och installerat bland annat en ssh daemon som loggade login och lösenord för alla som loggade in på en server.
Sourceforge svarade med att ta ner tjänster i eskalerande omfattning, allteftersom man upptäckte hur stort intrånget var.
Exakt vad som hänt är inte klarlagt. Sourceforge har en mindre redovisning uppe på sin blog, men redovisningen har flera stora luckor. Den säger ingenting om hur intrånget börjat, eller hur det upptäcktes.
Tjänsterna beräknas komma upp igen inom några dagar, allt eftersom man verifierar checksummor för att kontrollera att data inte förändrats.
--
Sourceforge är en synnerligen strategisk plats att ta sig in på om man vill ha möjlighet att lägga in bakdörrar i öppen källkod. Utan tvekan känner sig alla som idag hostar open source av en stark hotbild, när intrång efter intrång rullas upp. Det ter sig som att inom open source communityn är man just öppen, även vad gäller information om intrång.
Ofta sköts de här platserna av personer med god kännedom om systemen, som stöds av den omfattande kompetens som finns inom open source communitiet. Det i sig ger upphov till en intressant fråga:
Hur väl skyddas kommersiell källkod mot obehöriga förändringar?
Halkrisk: Säkerhet snubblande nära verkligheten
måndag 31 januari 2011
fredag 28 januari 2011
Facebook och Firesheep, tre månader senare...
Ni kommer väl ihåg Firesheep? Firefox pluginet som tillgängliggjorde kontokapning på bland annat Facebook, Twitter och Google. Det byggde på en teknisk sårbarhet som varit känd sedan... hmm.. urminnestider, men som inte "någon" brydde sig om förrän Firesheep gjorde det enkelt för alla att utnyttja den.
Facebook har nu tre månader senare tillkännagivit att de långsamt kommer rulla ut https-stöd. Det har tidigare bara gått att göra med just plugins. Och har man gjort det, märker man snart att inte all funktionalitet finns kvar. Tyvärr kommer det fortsätta vara så under överskådlig framtid, även om Facebook ny har gett bekräftelse på att de är medvetna om problemet och jobbar på det.
Hur som helst: innan jag läste vad Facebook själva skrivit läste jag en artikel, gick till min Facebook-sida och försökte hitta inställningen. Som inte fanns att hitta. Däremot hittade jag den här texten i hjälpcentret:
Facebook har nu tre månader senare tillkännagivit att de långsamt kommer rulla ut https-stöd. Det har tidigare bara gått att göra med just plugins. Och har man gjort det, märker man snart att inte all funktionalitet finns kvar. Tyvärr kommer det fortsätta vara så under överskådlig framtid, även om Facebook ny har gett bekräftelse på att de är medvetna om problemet och jobbar på det.
Hur som helst: innan jag läste vad Facebook själva skrivit läste jag en artikel, gick till min Facebook-sida och försökte hitta inställningen. Som inte fanns att hitta. Däremot hittade jag den här texten i hjälpcentret:
Använder Facebook säkra sidor?Man oh man... Knappt att man vet var man ska börja. Det här stycket är ett exempel på:
Facebook vidtar lämpliga säkerhetsåtgärder för att skydda användarnas information. Kontoinformationen finns på en säker server bakom en brandvägg. När du anger känslig information (t.ex. kreditkortsnummer eller lösenord) krypterar vi den informationen med hjälp av SSL-teknik (Secure Socket Layer). Facebook registrerar alltid inloggningar på en säker sida och utnyttjar kryptering enligt branschstandard. Det kanske inte alltid är tydligt från URL-adressen (webbadress) men du kan vara säker på att våra inloggningar är säkra.
- Mediaträning. Frågan är en Ja/Nej-fråga, men det är inte svaret... redan här finns det anledning till misstänksamhet.
- Vilseledande. Det finns ingenting som heter "säker server". "Lämpliga säkerhetsåtgärder" är också vidöppet för diskussion.
- Bevis på bristande teknisk förståelse. "Det kanske inte alltid är tydligt..." ... Ehh.. Om det inte är tydligt att SSL används så betyder det att sidan hämtats via HTTP, vilket alltså innebär att den som minst är öppen för man in the middle-angrepp. Hörde jag någon säga sslstrip?
- VILKEN branschstandard pratar de om? Att ha inloggningssidan på https är lika självklart som att postningen skall vara https om du frågar mig eller vem som helst av mina säkerhetskollegor. Vi är också väl medvetna om att cookien skall vara satt med Secure-flaggan.
- Folk är fixerade vid kryptering och ser det som synonymt med säkerhet. Används kryptering så tycks folk bli säkra på att då är det säkert. Se min debattartikel i TechWorld från 2009 om att SSL inte säkrar din webbapplikation.
- Vad bristande kravställning resulterar i. Beställer du en applikation och säger "den ska vara säker", är det sån här rappakalja du kommer få till svar. Du kommer inte få en "säker" applikation.
onsdag 26 januari 2011
Fedora utsatta för intrång
På tal om bakdörrar och tysta ägare. Fedora hade ett intrång den 22:a januari.
Intrånget upptäcktes genom att ägaren till ett konto fick ett mail om att hans uppgifter hade ändrats. Han gick i sin tur till Fedora Infrastructure Team, som tog det på allvar och undersökte vad som hade hänt.
Hittills tror de inte att något paket har komprometterats.
Som vid varje incident kan vi lära oss något. Eftersom sättet som intrånget skedde på fortfarande inte är fullt utrett kan vi hålla oss till det ack så värdefulla hur man ändå kom på och tog itu med det:
Intrånget upptäcktes genom att ägaren till ett konto fick ett mail om att hans uppgifter hade ändrats. Han gick i sin tur till Fedora Infrastructure Team, som tog det på allvar och undersökte vad som hade hänt.
Hittills tror de inte att något paket har komprometterats.
Som vid varje incident kan vi lära oss något. Eftersom sättet som intrånget skedde på fortfarande inte är fullt utrett kan vi hålla oss till det ack så värdefulla hur man ändå kom på och tog itu med det:
- Bevakning över vissa systeminställningar (användarkonton i det här fallet), med ett mail som går iväg till en person som kan avgöra om ändringen är korrekt eller inte.
- Personen som fick mailet visste vem han skulle kontakta när misstanke uppstod.
- De han kontaktade tog informationen på allvar och utredde incidenten.
måndag 24 januari 2011
Myndigheternas tysta ägare
Tänk dig att myndigheterna styr över viktiga saker i ditt liv. Tänk dig att de bestämmer om hur mycket skatt du ska betala, om du ska sättas i fängelse eller om du får ha körkort. Enkelt att föreställa sig, ja? Tänk dig också då, att "myndighet" i sin tur bara är ett abstrakt begrepp, och att mycket av det som myndigheter utför styrs med hjälp av IT-system. Sårbara IT-system som enskilda individer har obehörig, okontrollerad tillgång till.
Okej, det kanske är lite hollywood-film över scenariot. Alla som läser det här har väl sett filmen Hackers. Men är det osannolikt? Kanske inte så osannolikt som vi skulle vilja...
Nu i dagarna har en hacker börjat sälja tillgång till diverse amerikanska myndighetssajter. Men bara webbsajterna. Hans syfte är att tjäna enkla pengar, och just amerikanska myndigheter har sina egna domäner som är attraktiva att kontrollera för sökmotoroptimering (SEO).
Steget att det skulle finnas individer som tyst sitter med tillgång till mer än bara webben är inte så långt. Vi har till och med ett offentligt exempel här i Sverige där Vuxna Förbannade Hackare hade tillgång till Aftonbladets IT-system. En tillgång de satt med i två år fram tills att de valde att bränna den i publicitetssyfte.
... och en sådan incident får en naturligtvis att undra över hur många fler nätverk VFH har tillgång till. Som de behåller för sig själva, i det tysta...
Att hitta angripare som redan är inne är i regel så kolossalt svårt att det med rätta får stämpeln "omöjligt", så länge det inte finns något känt att gå på. Att slänga ut dem likaså. Jag känner till några fall här i Sverige (inga offentliga), där angripare har konstaterats och där den enda lösningen har varit att installera om ALLT. Trots den höga kostnaden, bedömdes total ominstallation ändå vara det mest ekonomiska alternativet.
Skulle något liknande konstateras i Sverige som nu uppdagas i USA, så kommer CERT-SE vara vår viktigaste knutpunkt. De har nämligen möjligheten att utifrån en enskild incident, ta kunskapen med sig till andra myndigheter och leta efter samma mönster där. Och då hitta angripare i nätverk där ingen incident ännu skett. Om de tillåts...
Okej, det kanske är lite hollywood-film över scenariot. Alla som läser det här har väl sett filmen Hackers. Men är det osannolikt? Kanske inte så osannolikt som vi skulle vilja...
Nu i dagarna har en hacker börjat sälja tillgång till diverse amerikanska myndighetssajter. Men bara webbsajterna. Hans syfte är att tjäna enkla pengar, och just amerikanska myndigheter har sina egna domäner som är attraktiva att kontrollera för sökmotoroptimering (SEO).
Steget att det skulle finnas individer som tyst sitter med tillgång till mer än bara webben är inte så långt. Vi har till och med ett offentligt exempel här i Sverige där Vuxna Förbannade Hackare hade tillgång till Aftonbladets IT-system. En tillgång de satt med i två år fram tills att de valde att bränna den i publicitetssyfte.
... och en sådan incident får en naturligtvis att undra över hur många fler nätverk VFH har tillgång till. Som de behåller för sig själva, i det tysta...
Att hitta angripare som redan är inne är i regel så kolossalt svårt att det med rätta får stämpeln "omöjligt", så länge det inte finns något känt att gå på. Att slänga ut dem likaså. Jag känner till några fall här i Sverige (inga offentliga), där angripare har konstaterats och där den enda lösningen har varit att installera om ALLT. Trots den höga kostnaden, bedömdes total ominstallation ändå vara det mest ekonomiska alternativet.
Skulle något liknande konstateras i Sverige som nu uppdagas i USA, så kommer CERT-SE vara vår viktigaste knutpunkt. De har nämligen möjligheten att utifrån en enskild incident, ta kunskapen med sig till andra myndigheter och leta efter samma mönster där. Och då hitta angripare i nätverk där ingen incident ännu skett. Om de tillåts...
onsdag 19 januari 2011
MSB-chefen gör en groda! Säkerheten höjs inte på en dag
Har precis sett på en videosnutt från Folk och Försvar. En kommentar från Richard Oehme, chef på MSB för enheten samhällets informationssäkerhet, fick mig att gå i taket. Det gällde incidenten i Motala innan jul, då ett bostadsbolags Styr-Regler-Övervakningssystem (SRÖ) blev utsatt för angrepp. Temperaturen sänktes på 11 undercentraler med 800 drabbade lägenheter och ett köpcentrum. Men, som Richard uttryckte det, "bostadsbolaget har nu höjt säkerheten" (cirka 1:17 in i klippet).
Jag spenderade själv stora delar av 2009 på ett bostadsbolag, där just SRÖ-systemen var det centrala för mina uppdrag. Jag känner till detaljerna i hur SRÖ-system styrs, och vilken utvecklingsfas de befinner sig i.
Det jag reagerar mot är förstås att sättet som Richard säger att säkerheten nu höjts, antyder att bostadsbolagets nu skulle ha en mycket bättre säkerhetsnivå. Jag ser det som mycket bekymrande att en chef för en så central aktör för säkerheten i myndighetssverige sprider sådana budskap.
Att väsentligt höja säkerhetsnivån kring dessa system låter sig inte göras i en handvändning, och det är just det som borde vara MSB-chefens största huvudbry i frågan. Precis som andra talare på konferensen påpekar så lever vi idag med en mycket stor sårbarhet. Att vi kan göra det utan att det kommit några större konsekvenser beror enbart på att vi inte har någon större hotbild mot oss. Men hotbilden kan komma att ändra sig snabbt, till skillnad från just sårbarheten.
Även om vi skulle konstatera akuta allvarlig hot skulle det ta avsevärd tid att åtgärda all sårbarhet, och det är därför man behöver agera redan nu. Det är en av anledningar till att MSB ens existerar och har något mandat(2006:942).
MSB har några kompetenta personer och bland annat den senaste lägesbedömningen (2009) tycker jag visar på att den övergripande kunskapen finns på plats. Jag har tidigare lovat att återkomma till säkerheten i myndighetssverige - där MSB har en central roll. Jag kommer då även återkomma till MSB, deras roll och hur den sköts. Stay tuned...
Jag spenderade själv stora delar av 2009 på ett bostadsbolag, där just SRÖ-systemen var det centrala för mina uppdrag. Jag känner till detaljerna i hur SRÖ-system styrs, och vilken utvecklingsfas de befinner sig i.
Det jag reagerar mot är förstås att sättet som Richard säger att säkerheten nu höjts, antyder att bostadsbolagets nu skulle ha en mycket bättre säkerhetsnivå. Jag ser det som mycket bekymrande att en chef för en så central aktör för säkerheten i myndighetssverige sprider sådana budskap.
Att väsentligt höja säkerhetsnivån kring dessa system låter sig inte göras i en handvändning, och det är just det som borde vara MSB-chefens största huvudbry i frågan. Precis som andra talare på konferensen påpekar så lever vi idag med en mycket stor sårbarhet. Att vi kan göra det utan att det kommit några större konsekvenser beror enbart på att vi inte har någon större hotbild mot oss. Men hotbilden kan komma att ändra sig snabbt, till skillnad från just sårbarheten.
Även om vi skulle konstatera akuta allvarlig hot skulle det ta avsevärd tid att åtgärda all sårbarhet, och det är därför man behöver agera redan nu. Det är en av anledningar till att MSB ens existerar och har något mandat(2006:942).
MSB har några kompetenta personer och bland annat den senaste lägesbedömningen (2009) tycker jag visar på att den övergripande kunskapen finns på plats. Jag har tidigare lovat att återkomma till säkerheten i myndighetssverige - där MSB har en central roll. Jag kommer då även återkomma till MSB, deras roll och hur den sköts. Stay tuned...
måndag 17 januari 2011
Halkrisken fortsatt stor på grund av ekonomin?
Halkrisken är idag på rekordnivåer. Vägen utanför mig är mestadels spolad blankis. Sjukhusen tar emot stora mängder personer som har halkat och behöver vård. Så många att planerade operationer behöver ställas in. Och kostnaderna för sjukhusen för att behandla konsekvenserna av halkan skjuter i höjden. Precis just kostnaderna ligger i problemets kärna, att det är kostnaderna för sjukhusen.
Men sjukhusen är däremot i stort hjälplösa när det gäller att förebygga skadorna, det vill säga minska halkrisken. De som står för halkbekämpningen är nämligen vägföreningar, kommuner och trafikverket. Det här är alltså vad man i ekonomiska sammanhang kallar för en externalitet - den som behöver ta kostnaden (personer, landsting) är en annan än den som kan förebygga den. Samtidigt har den som kan förebygga kostnaden inte något eget ekonomiskt incitament att göra det.
Externaliteter är generellt dåliga om man ser till helheten. Kostnaden för privatpersoner och landstingen lär överstiga kostnaderna för att halkbekämpa ordentligt. Illa illa... vad kan göras åt saken?
I huvudsak finns det två saker vi kan göra.
Tyvärr får man väl konstatera att vi i Sverige är usla på det. Även i de fallen vi lätt kan konstatera undermålighet så är konsekvenserna för de styrande alltför ofta noll och intet. Ännu oftare är det snabbt övergående konsekvenser (ex: media uppmärksammar och opionionen är stark några dagar, men när det är dags för val är allting glömt).
Hemma i min kommun till exempel, så har politikerna nyligen valt att höja sina löner från redan höga nivåer till nivåer som är rena fantasier för de flesta... men vem kommer ställa politikerna till svars för det när valdagen väl kommer?
UPDATE @ 18 jan: DN har idag en artikel om att polisen hotar husägarna i Stockholms innerstad med böter om de inte skottar taken. Kravställning och konsekvenser alltså. Och böterna är på en bra storlek - 200tkr. Tillräckligt incitament för att få saker att hända. Nu vill det sig bara att polisen fortsätter sköta det snyggt och effektivt. Risken är annars att husägarna struntar i att skotta taken fram tills att polisen hotar med böter. Ett sådant beteende kan beivras med hjälp av att efter ett visst antal varningar ge böter direkt.
Men sjukhusen är däremot i stort hjälplösa när det gäller att förebygga skadorna, det vill säga minska halkrisken. De som står för halkbekämpningen är nämligen vägföreningar, kommuner och trafikverket. Det här är alltså vad man i ekonomiska sammanhang kallar för en externalitet - den som behöver ta kostnaden (personer, landsting) är en annan än den som kan förebygga den. Samtidigt har den som kan förebygga kostnaden inte något eget ekonomiskt incitament att göra det.
Externaliteter är generellt dåliga om man ser till helheten. Kostnaden för privatpersoner och landstingen lär överstiga kostnaderna för att halkbekämpa ordentligt. Illa illa... vad kan göras åt saken?
I huvudsak finns det två saker vi kan göra.
- Strukturera om så att det inte längre är en externalitet. Om kostnaden för sjukvård, sjukskrivning och minskad produktivitet skulle läggas på den som var ansvarig för väglaget, skulle den ekonomiska kraften börja verka när skador och produktionsbortfall nått en viss frekvens. Skador skulle fortfarande ske, men inte i samma omfattning.
- Kravställning. Genom kravställning att det skall hålla en viss nivå kan vi motverka den ekonomiska obalansen. För att kravställning ska fungera måste dock ett par förutsättningar finnas:
- Vi måste kunna ange vilken nivå vi vill ha det på (mätbarhet!)
- Det måste komma konsekvenser om nivån inte uppnås
Tyvärr får man väl konstatera att vi i Sverige är usla på det. Även i de fallen vi lätt kan konstatera undermålighet så är konsekvenserna för de styrande alltför ofta noll och intet. Ännu oftare är det snabbt övergående konsekvenser (ex: media uppmärksammar och opionionen är stark några dagar, men när det är dags för val är allting glömt).
Hemma i min kommun till exempel, så har politikerna nyligen valt att höja sina löner från redan höga nivåer till nivåer som är rena fantasier för de flesta... men vem kommer ställa politikerna till svars för det när valdagen väl kommer?
UPDATE @ 18 jan: DN har idag en artikel om att polisen hotar husägarna i Stockholms innerstad med böter om de inte skottar taken. Kravställning och konsekvenser alltså. Och böterna är på en bra storlek - 200tkr. Tillräckligt incitament för att få saker att hända. Nu vill det sig bara att polisen fortsätter sköta det snyggt och effektivt. Risken är annars att husägarna struntar i att skotta taken fram tills att polisen hotar med böter. Ett sådant beteende kan beivras med hjälp av att efter ett visst antal varningar ge böter direkt.
fredag 14 januari 2011
Därför kan du känna dig säkrare med Google Chrome
För ett par månader sedan skrev jag att Chrome fick oförtjänt framstå i dålig dager och att "för allt vi vet är Chrome det absolut bästa valet" [när det kommer till säkerhet].
Varför det?
Jo, därför att... även när vi lägger allt det tekniska åt sidan med arkitektur och säkerhetsfunktioner, så är Google's hantering av rapporterade sårbarheter helt enkelt av toppklass. Skillnaden mot exempelvis Microsofts hantering har vi blivit påminda om än en gång under de senaste veckorna.
Michael Zalewski har skrivit ett par fuzzers och hittat mängder med brister i webbläsare. Redan 2008 började han med det, och fick bra samarbete från bland annat Mozilla. Microsoft däremot, gick det inte så bra med. Lite märkligt att Microsoft inte tar Zalewski på allvar, när han trots allt är ett av toppnamnen inom säkerhetsforskning. Han gör mycket gratisjobb åt dem och tröttnar till slut på att Microsofts inte tar i problemen och publicerar därför sina resultat.
Jämför det med Google's hantering, där man i den senaste releasen betalar ut nästan 14500 dollar till personer som rapporterat in sårbarheter. Enbart han som rapporterade in flest fick nästan 7500 dollar.
Vad tror ni om skillnaden i incitament att rapportera sårbarheter? Om du hittar något i IE, så kan du välja mellan att antingen stånga huvudet i 2½ år mot Microsoft - utan att få ens ditt namn nämnt för det. Eller så kan du få cirka 50 000 SEK för det, om du hittar samma brister i Chrome. Vilket program kommer du ägna mest tid åt att testa? Var är det mest sannolikt att du spelar schysst och ens pratar med tillverkaren, eller att du säljer dina exploits på svarta marknaden?
... det kanske inte är en slump att Internet Explorer sitter med 0-day sårbarhet ute i det öppna. Hur ofta händer motsvarande för Chrome? Aldrig? Samtidigt har IE råkat ut många gånger förr. Därför är Chrome ett bättre val ur säkerhetssynpunkt.
P.S. Ser man på det ur Google's perspektiv så får de en faslig massa högkvalificerad säkerhetstestning för en billig peng. Alla vinner.
Varför det?
Jo, därför att... även när vi lägger allt det tekniska åt sidan med arkitektur och säkerhetsfunktioner, så är Google's hantering av rapporterade sårbarheter helt enkelt av toppklass. Skillnaden mot exempelvis Microsofts hantering har vi blivit påminda om än en gång under de senaste veckorna.
Michael Zalewski har skrivit ett par fuzzers och hittat mängder med brister i webbläsare. Redan 2008 började han med det, och fick bra samarbete från bland annat Mozilla. Microsoft däremot, gick det inte så bra med. Lite märkligt att Microsoft inte tar Zalewski på allvar, när han trots allt är ett av toppnamnen inom säkerhetsforskning. Han gör mycket gratisjobb åt dem och tröttnar till slut på att Microsofts inte tar i problemen och publicerar därför sina resultat.
Jämför det med Google's hantering, där man i den senaste releasen betalar ut nästan 14500 dollar till personer som rapporterat in sårbarheter. Enbart han som rapporterade in flest fick nästan 7500 dollar.
Vad tror ni om skillnaden i incitament att rapportera sårbarheter? Om du hittar något i IE, så kan du välja mellan att antingen stånga huvudet i 2½ år mot Microsoft - utan att få ens ditt namn nämnt för det. Eller så kan du få cirka 50 000 SEK för det, om du hittar samma brister i Chrome. Vilket program kommer du ägna mest tid åt att testa? Var är det mest sannolikt att du spelar schysst och ens pratar med tillverkaren, eller att du säljer dina exploits på svarta marknaden?
... det kanske inte är en slump att Internet Explorer sitter med 0-day sårbarhet ute i det öppna. Hur ofta händer motsvarande för Chrome? Aldrig? Samtidigt har IE råkat ut många gånger förr. Därför är Chrome ett bättre val ur säkerhetssynpunkt.
P.S. Ser man på det ur Google's perspektiv så får de en faslig massa högkvalificerad säkerhetstestning för en billig peng. Alla vinner.
torsdag 13 januari 2011
Systemet du köpte innehöll en planterad bakdörr - oops!
Rubriken syftar inte till någon särskild händelse. Men faktum är att under senare halvan av 2000-talet har det förekommit flertalet incidenter med bakdörrar och trojaner. De som blivit publikt kända har framförallt handlat om USB-minnen eller andra USB-anslutna enheter så som då Vodafone skickade ut smittade HTC Magic-telefoner eller då Energizer distribuerade trojaner för sin batteriladdare "Duo USB Battery Charger".
Det är dock inte bara av misstag som bakdörrar har dykt upp. Vi har också fått se flera fall då bakdörrar planterats avsiktligt. Precis nu i slutet av 2010 var det ProFTPD som råkade ut för en avsiktligt planterad bakdörr, och det förekom anklagelser om att FBI skulle ha planterat en bakdörr i OpenBSD:s IPSEC-implementation.
Tidigare kända händelser att peka på är sådana som inkluderat Linux-kärnan, och bloggmjukvaran Wordpress. Tidigare misstankar hittar man bland annat för Cisco IOS, operativsystemet för många av Ciscos routers och switchar.
-
Det har inte pratats så högt om det, men det är ett enormt allvarligt och svårhanterligt problem. Ett problem som under 2010 börjat nå brytningspunkten där det inte längre bara är diskussioner i små klickar av särskilt intresserade, utan även handling.
Under 2010 kom ett Indiskt förbud att köpa kinesisk telekomutrustning. Och det har antytts i flertalet artikelintervjuer att det har legat verkliga incidenter bakom beslutet.
Och så under slutet av året så tillkännagav en sammansättning av stora leverantörer (bl.a. Boeing, Cisco, IBM och Microsoft) att de kommer skapa ett ramverk för att säkra upp i leveranskedjan. Detta efter påtryckningar från bland annat amerikanska myndigheter, som även sponsrar det projektet. Det är naturligtvis inte tillräckligt - koden måste även vara väl skyddad under utvecklingen - men det är ett steg i rätt riktning.
Situationen i Sverige? Ja, Försvarsmakten har åtminstone sedan 2004 begärt information om hur IT-system skyddas under utveckling, genom sina krav på säkerhetsfunktion (KSF). Redan på lägsta hemlignivån (HEMLIG/RESTRICTED) efterfrågas dokumentation på hur systemet skyddas under utveckling och att det skall framgå att de redovisade åtgärderna efterlevs.
Andra svenska myndigheter är däremot inte lika framåt. För två år sedan skrev jag om att "USA ligger före, Sverige efter", något som tyvärr tycks fortsätta. Vad som faktiskt pågår i myndighetssverige när det gäller informationssäkerhet? Det blir en kommande post...
--
Update:Fler exempel på bakdörrar kan hittas här. Oberoende av varandra hade tydligen jag & Stefan funderat lite på det här med bakdörrar, men i något olika kontext :)
Det är dock inte bara av misstag som bakdörrar har dykt upp. Vi har också fått se flera fall då bakdörrar planterats avsiktligt. Precis nu i slutet av 2010 var det ProFTPD som råkade ut för en avsiktligt planterad bakdörr, och det förekom anklagelser om att FBI skulle ha planterat en bakdörr i OpenBSD:s IPSEC-implementation.
Tidigare kända händelser att peka på är sådana som inkluderat Linux-kärnan, och bloggmjukvaran Wordpress. Tidigare misstankar hittar man bland annat för Cisco IOS, operativsystemet för många av Ciscos routers och switchar.
-
Det har inte pratats så högt om det, men det är ett enormt allvarligt och svårhanterligt problem. Ett problem som under 2010 börjat nå brytningspunkten där det inte längre bara är diskussioner i små klickar av särskilt intresserade, utan även handling.
Under 2010 kom ett Indiskt förbud att köpa kinesisk telekomutrustning. Och det har antytts i flertalet artikelintervjuer att det har legat verkliga incidenter bakom beslutet.
Och så under slutet av året så tillkännagav en sammansättning av stora leverantörer (bl.a. Boeing, Cisco, IBM och Microsoft) att de kommer skapa ett ramverk för att säkra upp i leveranskedjan. Detta efter påtryckningar från bland annat amerikanska myndigheter, som även sponsrar det projektet. Det är naturligtvis inte tillräckligt - koden måste även vara väl skyddad under utvecklingen - men det är ett steg i rätt riktning.
Situationen i Sverige? Ja, Försvarsmakten har åtminstone sedan 2004 begärt information om hur IT-system skyddas under utveckling, genom sina krav på säkerhetsfunktion (KSF). Redan på lägsta hemlignivån (HEMLIG/RESTRICTED) efterfrågas dokumentation på hur systemet skyddas under utveckling och att det skall framgå att de redovisade åtgärderna efterlevs.
Andra svenska myndigheter är däremot inte lika framåt. För två år sedan skrev jag om att "USA ligger före, Sverige efter", något som tyvärr tycks fortsätta. Vad som faktiskt pågår i myndighetssverige när det gäller informationssäkerhet? Det blir en kommande post...
--
Update:Fler exempel på bakdörrar kan hittas här. Oberoende av varandra hade tydligen jag & Stefan funderat lite på det här med bakdörrar, men i något olika kontext :)
Prenumerera på:
Inlägg (Atom)