torsdag 13 januari 2011

Systemet du köpte innehöll en planterad bakdörr - oops!

Rubriken syftar inte till någon särskild händelse. Men faktum är att under senare halvan av 2000-talet har det förekommit flertalet incidenter med bakdörrar och trojaner. De som blivit publikt kända har framförallt handlat om USB-minnen eller andra USB-anslutna enheter så som då Vodafone skickade ut smittade HTC Magic-telefoner eller då Energizer distribuerade trojaner för sin batteriladdare "Duo USB Battery Charger".

Det är dock inte bara av misstag som bakdörrar har dykt upp. Vi har också fått se flera fall då bakdörrar planterats avsiktligt. Precis nu i slutet av 2010 var det ProFTPD som råkade ut för en avsiktligt planterad bakdörr, och det förekom anklagelser om att FBI skulle ha planterat en bakdörr i OpenBSD:s IPSEC-implementation.

Tidigare kända händelser att peka på är sådana som inkluderat Linux-kärnan, och bloggmjukvaran Wordpress. Tidigare misstankar hittar man bland annat för Cisco IOS, operativsystemet för många av Ciscos routers och switchar.

-

Det har inte pratats så högt om det, men det är ett enormt allvarligt och svårhanterligt problem. Ett problem som under 2010 börjat nå brytningspunkten där det inte längre bara är diskussioner i små klickar av särskilt intresserade, utan även handling.

Under 2010 kom ett Indiskt förbud att köpa kinesisk telekomutrustning. Och det har antytts i flertalet artikelintervjuer att det har legat verkliga incidenter bakom beslutet.

Och så under slutet av året så tillkännagav en sammansättning av stora leverantörer (bl.a. Boeing, Cisco, IBM och Microsoft) att de kommer skapa ett ramverk för att säkra upp i leveranskedjan. Detta efter påtryckningar från bland annat amerikanska myndigheter, som även sponsrar det projektet. Det är naturligtvis inte tillräckligt - koden måste även vara väl skyddad under utvecklingen - men det är ett steg i rätt riktning.

Situationen i Sverige? Ja, Försvarsmakten har åtminstone sedan 2004 begärt information om hur IT-system skyddas under utveckling, genom sina krav på säkerhetsfunktion (KSF). Redan på lägsta hemlignivån (HEMLIG/RESTRICTED) efterfrågas dokumentation på hur systemet skyddas under utveckling och att det skall framgå att de redovisade åtgärderna efterlevs.

Andra svenska myndigheter är däremot inte lika framåt. För två år sedan skrev jag om att "USA ligger före, Sverige efter", något som tyvärr tycks fortsätta. Vad som faktiskt pågår i myndighetssverige när det gäller informationssäkerhet? Det blir en kommande post...

--

Update:Fler exempel på bakdörrar kan hittas här. Oberoende av varandra hade tydligen jag & Stefan funderat lite på det här med bakdörrar, men i något olika kontext :)

Inga kommentarer:

Skicka en kommentar