torsdag 31 mars 2011

Cyberkrig: Vart sätter du missilen?

Information nu i dagarna gör gällande att NSA har kallats in för att utreda tidigare års intrång hos Nasdaq. Det är ett utmärkt exempel på att cyberkrig är betydligt mer nyanserat än att slå ut SCADA-maskiner, vilket ju annars är det stora som brukar frontas när det pratas cyberkrig.


Traditionell krigföring är till stor del inriktad på att förstöra, och göra det på ett spektakulärt sätt. Förberedelsen för det sker genom underrättelseinhämtning. Det kan vara exempelvis var finns militärbaserna, vad finns vid varje bas, vem arbetar vid vilken bas, och så vidare...

Med cyberkrig kommer däremot helt nya möjligheter. När det traditionellt bara gick att placera en bugg för att avlyssna kommunikation, så går det nu att plantera in sig i systemet så att kontroll ges över alla tre aspekterna konfidentialitet, integritet och tillgänglighet. Dessutom kommer mängden information som går att plocka upp vara enormt mycket större än från enstaka mikrofoner eller kameror.

Det finns många såna aspekter som gör cyberkrig till ett långt mer mångsidigt verktyg än vad som funnits tillgängligt tidigare. Det i sig förändrar vilka mål som är intressanta att angripa. Lägg till det att själva inkorporerandet av IT har förändrat hela samhällssystem. Exempelvis har IT's intåg förändrat hantering av kontanter och finansiella instrument. Vad skulle hända med ett samhälle där finanssystemet brakar ihop?

Att dessa cyberangrepp dessutom går att utföra utan att det säkert går att säga vem som utfört det suddar ut den tidigare gränsen mellan krig och fred. Att två nationer inte befinner sig i krig är därför inte nödvändigtvis ett hinder för ett "tyst" cyberkrig, där olika aktörer infiltrerar viktiga samhällsstrukturer och i tysthet utnyttjar informationen fram tills något annat skulle bli aktuellt.

Ta Nasdaq OMX som exempel. Varför skulle någon ta sig in där? Ja, ser man bortom otillgängliggörandet av själva marknadsplatsen - något som snabbt skulle upptäckas - så är konfidentialitets- och integritetsmöjligheterna för en kreativ angripare rätt så attraktiva. Genom ett intrång hos börsen kan du skaffa dig ekonomiska fördelar som, om du spelar dina kort rätt, kan ge dig en sådan fördel på börsen att det kan handla om biljoner. PLUS! Att du om situationen skulle eskalera, kan störa den finansiella marknaden. Rätt bra läge va?

De traditionella målen står fortfarande kvar. Det vore superattraktivt om jag kunde sänka hela fiendens flygflotta genom att bara skicka ut några byte i etern. Men angreppsytan har blivit MYCKET större samtidigt som spelreglerna förändrats.

Jag lutar åt att det inte är de uppenbara militära målen som ett cyberkrig slår mot, utan snarare de civila systemen.

tisdag 29 mars 2011

Cyberkrig: "Vem var det som kasta!?"

Idag kommer uppgifter om att australiens premiärminister Julia Gillard ska ha fått sin dator hackad. Även två av hennes ministrar tros ha blivit offer. Målet sägs vara information - flera tusen mail sägs ha lästs under den senaste månaden. Men vem var det som gjorde det? Jo det var Kina, säger "underrättelsefolk i USA".

... och med det så belyses några av de stora problemen inom "cyberkrig".
  • Vad har hänt?
  • När hände det?
  • Vem var det?
Med lite tur, skicklighet och bristande skicklighet från angriparen kan man få hyggliga svar på de första två. Men den sista frågan - vem var det? - är otroligt svår att besvara med rimlig säkerhet. Genom att gå via andra datorer döljer man sitt eget ursprung, och genom att gå via datorer i andra länder så försvårar man utredning och kan dessutom "sätta dit" någon annan på det.

Det är väldigt lätt att stanna vid de "självklara" misstänkta. Kina pekas ofta ut som huvudmisstänkt, vilket även hänt här i Sverige. Och med Comodo-hacket var det många som pekade mot Iran. Några dagar senare så säger sig en ensamstående iransk hacker ligga bakom intrånget. Men hur trovärdigt är det? Var det verkligen han, och gjorde han det i sådana fall på eget intiativ? Eller var det med statlig backning?

Framförallt - hur trovärdigt behöver det vara för att berättiga ett svar? Och vilket svar? Cyberkrig suddar ut de klassiska gränserna för krig och krigshandlingar. Spekulationer i Stuxnets uppkomst gör gällande att en anledning till att Stuxnet alls blev av var just svårigheterna det skulle innebära att bevisa dess ursprung.

Eftersom det inte går att VETA vem som gjort vad eller varför, utan det bara går att spekulera, är frågan som sagt vilken motreaktion som ska väljas och vem som ska bli mottagaren för den. Här resonerar säkerligen olika länder väldigt olika. Hittills finns inga publikt kända exempel på vad som kan säkerställas vara vedergällning för en cyberattack. Det är förmodligen inte så många som ens skulle veta hur sådana vedergällningsattacker skulle se ut. Om man nu ens tänker i termer som vedergällning...

måndag 28 mars 2011

Cyberkriget som passar in

Det finns en tilltagande hype kring cyberkrig. Det syns både inom media, inom politiken och på konferenser. Men något saknas: definitionen. Trots att det redan genomförs övningar på ämnet, finns det en stor oenighet om vad cyberkrig egentligen innebär.

Beroende på vilken part man kikar på får man olika glimtar av det. Handlar cyberkrig om att sänka Internet eller vissa specifika tjänster, så som den DDoS-attacken som drabbade många i Estland för fyra år sedan, eller Georgien för tre år sedan? Eller kanske är det att använda signalsystem för att förstöra tåg som FOI använde som exempel på Folk och Försvar 2011?

Det gemensamma för mycket av vad som syns och hörs är att det är spektakulärt och enkelt greppbart. Det är svart eller vitt. Det passar in i samma sinnebild som den traditionella krigsföringen, där mål slås ut, saker smäller och blod flyter.


En stor del av det som kan betecknas som cyberkrig faller dock utanför den ramen. Det som traditionellt synts utgör kanske 1/30 av vad som rättmätigen kan betecknas som cyberkrig.
Då MSB gjorde en lägesbedömning av samhällets informationssäkerhet 2009 konstaterade man att ”det råder delade meningar om huruvida ett hot i form av cyberkrig existerar och hur det i så fall ser ut.” Så är läget fortfarande. Rapporten menade också på att en ”metod” som hade vunnit visst gehör bland internationella aktörer var att avgöra om följande kriterier var uppfyllda:
  • händelsen har vållat stor skada
  • nationsgränser har forcerats
  • det inträffade har skett inom minuter eller timmar
  • attacken har riktats mot ett specifikt mål.
Ungefär där i krokarna kommer även den här serien att röra sig. Men på samma sätt som pengar idag är mer än sedlar, kan skador vara något utöver ett tåg som kolliderar. Det är där många misstar sig. Cyberkrig innefattar de lättbegripliga, spektakulära exemplen som visas upp i media, men även så mycket mer.

Serien kommer handla om frågeställningar för att visa på det, men också visa på andra konkreta exempel som inte går in under traditionell krigsföring med explosioner, men som ändå uppfyller ovanstående kriterier. IT kommer med helt nya möjligheter och vi bör snarare anpassa språket till de möjligheterna än att anpassa möjligheterna till språket.

måndag 21 mars 2011

Hacka trådlösa nätverk - lagtligt eller olagligt?

Ja, är det lagligt eller olagligt att knäcka sig in på någons trådlösa nätverk? Frågan har återigen aktualiserats av att en holländsk domstol har dömt det som lagligt att knäcka sig in och använda ett WEP-skyddat nät.

Medan holländarna bedömer det som lagligt att knäcka sig in och använda någon annans nät, anser många stater det olagligt att ens använda sig av öppna trådlösa nät, utan att först ha fått tillstånd för det. Exempel kan hämtas från grannlandet Finland (8 dagsböter), från Storbrittanien (1 års villkorligt + £500) och från USA (40 timmars samhällstjänst + $400).

Så hur ligger vi egentligen till i Sverige? Söker man på Internet så hävdas det lite av varje, men alltför ofta handlar det mesta om osubstansierat tyckande och spekulerande. Vanligt förekommande tyckande är exempelvis att om man inte skyddar sitt nät ordentligt, så får man skylla sig själv och att det inte är olagligt på grund av det. Det är lätt att inse att den argumentationen är nonsens, men hur ligger det egentligen till då?

Frågan är mer komplicerad än vad man kan tro. Till att börja med så är jag ingen jurist, men utifrån de dokument och lagar jag läst så är det ungefär såhär:
  • Det är lagligt att lyssna av öppna trådlösa nätverk, MEN vad som sedan görs med datat kan kriminalisera handlingen. Ofta begås ett brott samtidigt.
  • Det är olagligt under (nästan?) alla omständigheter att använda ett trådlöst nätverk som du inte uttryckligen fått tillstånd att använda.
Exakt vilka lagar som reglerar det här och vilken lag man skulle bryta mot är däremot något snårigt. En bra advokat skulle möjligen kunna kränga sig loss från vissa situationer, men för att göra det enkelt: har du inte uttrycklig tillåtelse är det klokt att låta bli.

onsdag 16 mars 2011

Datalagringsdirektivet skjuts upp

Då var det klart. Lagen som skulle implementera datalagringsdirektivet skjuts upp minst ett år. Bra säger jag, inte för att jag tagit ställning till att den nödvändigtvis är fel, men för att utredningen varit undermålig, den kan strida mot svensk grundlag och en utvärdering redan är på väg efter att flera andra EU-länder ratat direktivet.

måndag 14 mars 2011

Han höll inte tyst - och blev polisanmäld

Som jag skrev för ungefär en månad sedan gör man klokt i att hålla tyst om man hittar en säkerhetsbrist. Nu har en Umeå-bo blivit polisanmäld för att han rapporterade en sårbarhet i busskortet för Länstrafiken i Västerbotten.

Tragiskt, men så är det. Samhället står som förlorare i slutändan, när system kommer fortsätta ha kända svagheter som "de goda" inte vågar rapportera och "de onda" utnyttjar.

Chrome obesegrat för tredje året i rad

Pwn2Own är nu över, och trots Googles tillskott för ett pris på totalt 20 000 dollar och en laptop, var det ingen som övervann Chrome. Jag upprepar därför återigen att Chrome är det absolut bästa valet när det kommer till säkerhet i webbläsare.

Intressant var dock också att IE8 blev exploitat med hjälp av totalt tre säkerhetsbrister för att bryta sig loss från alla säkerhetsmekanismer. Tre är ett stort antal som visar på det nu faktiskt är rätt så besvärligt att utnyttja sårbarheter i IE8, men också att det kanske inte är något enormt hinder att hitta de där tre sårbarheterna. Vinnaren (Stephen Fewer, känd från Metasploit) var inte ensam om att ha anmält sig för IE8, men råkade vara den som var först. Bland annat VUPEN, som vann Safari-tävlingen, hade också anmält sig till IE8.

Update 15/3: Sårbarheten som utnyttjades för att ta över BlackBerryn påverkade även andra webbläsare baserade på WebKit, däribland Chrome. Fundering: Hur kommer det sig att någon ger sig på BlackBerry istället för Chrome när även Chrome har sårbarheten? Kanske för att det var mycket lättare att komma någon vart med sårbarheten på BlackBerry än på Chrome?

torsdag 10 mars 2011

Säg NEJ till sjabbig, ineffektiv säkerhet!

Dåligt fungerande säkerhet kommer från såväl lokala allmäntyckare, säkerhetsproffs och politiker. Politikerna och tyckarna kan enklast beskyllas för att vara okunniga, ignoranta och korrupta, medan det för säkerhetsproffsens del oftast handlar om obalans, tunnelseende, frustration och ekonomisk vinning.

Oavsett hur beslutet kommit till är det din uppgift, när det kommer inom ditt ansvarsområde, att efterfråga mer information eller säga nej om det är något som är galet.

Sedan 9/11 har det gått inflation i idiotiska "säkerhetsåtgärder" och det ena förslaget övertrumfar det andra i galenskap. Som tur är för oss i Sverige har vi inte drabbats lika hårt som amerikanerna. Amerikanerna lägger ut ofattbara summor på ett säkerhetsmaskineri som är utom all kontroll och rimlighet. Ingen vet vad USA egentligen får för de biljoner som varje år läggs på "säkerhet". Washington Posts artikelserie "Top Secret America" är obligatorisk läsning på området. Serien handlar dock om - som namnet antyder - Top Secret klassat material, det vill säga att innehållet är sådant som sällan når allmänheten. Däremot konfronteras vi i allmänheten av de ökade antiterror-kontrollerna som utförs i flygsäkerhetens namn.

Långsamt börjar de förnuftiga krafterna verka för att återställa det vansinne som politikerna ställt till med. Inom EU är vätskeförbudet på väg att hävas. Privata intresseorganisationen EPIC går till domstol mot TSA's användade av "nakenskanners". Kongressen får höra att deras "Air marshals" blir arresterade oftare än de arresterar - och att deras kostnad utslaget per arrestering är förbluffande 200 miljoner dollar. (UPDATE 11/3: Skulle samma siffror gälla för svenska polisen skulle det generöst räknat innebära 20 arresteringar per år)


Men lyssna här på vad TSA säger i försvar för sina nakenskanners (saxat ur Wired):
“While there is no silver bullet technology, advanced imaging technology is a highly effective security tool which can detect both metallic and nonmetallic threats, including weapons and explosives,” Sarah Horowitz, a TSA spokeswoman, wrote in an e-mail. “Using this critical technology, TSA routinely detects artfully concealed metallic and nonmetallic prohibited items.”

Horowitz added that the machines detected more than “130 prohibited, illegal or dangerous items at checkpoints nationwide since January of last year.”
Alltså, de har på drygt ett år hittat 130 förbjudna föremål med hjälp av maskiner som kostat 45 miljoner dollar. Lägg till det arbetskostnad för att få totalsumman av att under ett år ha hittat 130 förbjudna föremål. Och tänk efter noga kring ordvalet här; "130 förbjudna, illegala eller farliga föremål". Det handlar inte om 130 stoppade incidenter, det handlar om 130 förbjudna föremål. Föremål som TSA själva har beslutat skall vara förbjudna? Är det TSAs uppgift, att slumpmässigt förbjuda föremål, leta efter dessa och sedan berättiga sin mångmiljard-budget genom att säga att de hittat förbjudna föremål?

Här är mitt förslag: Strunta blankt i hur många förbjudna föremål som hittats. Fokusera på huvuduppgiften: hur många terrorangrepp har förhindrats? Till vilken kostnad?

Ämnet är stort, komplext och svårt att ta till sig. Vad har det här för bäring på mig och mitt liv? Vad kan jag påverka när det sitter politiker och blir uppvaktade av diverse välbetalda, resursstarka lobbyister som kan köpa politikernas öron? Som vi märkt i Sverige är majoritet av politikerna stendöva för opinion. FRA-lagen drevs igenom trots att både svenska folket och samtliga remissinstanser var solklara med sitt NEJ.

Jo, även om vi har begränsade möjligheter att påverka, och begränsat ansvar, så händer det ändå ibland.
  • Någon kommer och vräker ur sig att säkerhet måste vara högsta prioritet, och därför måste man låta det ta trippla tiden och kostnaden mot vad som är "vanligt".
  • En larmsäljare kommer hem till dig, säger att du inte kan sätta ett pris på din familjs säkerhet.
  • En partikamrat säger till dig att x måste ha effektiva medel för spaning/brottsbekämpning.
Det här är usla argument. Känn igen vad som saknas i argumentationen och utmana. Någon försöker spela på dina känslor och det är upp till dig att styra samtalet rätt.

måndag 7 mars 2011

Även Nordea har åkt på problem

Swedbank gick ner i fredags. Idag är det Nordeas tur. I skrivande stund ligger nätbanken nere, okänt varför.

Swedbank kom aldrig med någon förklaring till fredagens nertid. Rykten förekom att Anonymous på något vis var inblandade. När nu Nordea går ner bara ett par dagar senare kan jag därför inte annat än undra om även Nordea har drabbats av ett allvarligt "anonymt" intrång.

Vi får väl se om det kommer någon officiell förklaring..

torsdag 3 mars 2011

Swedbank nere igen, och igen...

Swedbank ligger återigen nere. Ingen information har hittills synts till om varför.

Förra veckan rapporterades det om att Swedbank troddes vara försökskaniner för "superhackare". Jag dissade då framförallt rapporteringen av det, som vilade tungt på DDoS-vinkeln, samtidigt som den verkliga storyn missades.

Den här gången så har inget rapporterats än, men i vissa kretsar förekommer spekulationer om att Anonymous är inblandade. Skulle så visa sig vara fallet kan det vara intressant att komma ihåg vilka motiv Anonymous tidigare haft. Nämligen rent politiska motiv. Media har på senare tid rapporterat mycket om bankernas stora vinster, höjda räntegap och höjda löner för vd - samtidigt som bankerna hamnat i konflikt med fackförbundet för att de "lägre" anställda inte får en garanterad lönehöjning.

Låter verkligen som en grogrund för ett politiskt motiverat "hack". Undrar hur många företag som över huvud taget tänker på att de kan bli utsatta för intrång på grund av att deras beteende ter sig svinaktigt? De ekonomiska skadorna av ett intrång kan bli mycket stora, speciellt om intrånget kommer från någon som vet vad de håller på med.

Bankomatvinsten: Äntligen får jag pengar i överflöd

... ja, eller så inte. Men man kan ju undra hur en del tänker, eller inte tänker. DN rapporterar idag om hur bankomater i Australien slutade kontrollera saldot och istället godkände samtliga uttag. Att bankomaterna öppnar sig på det sättet är designat för att stora fel inte ska drabba kunderna.
Jag vill då dra mig till minnes flera svenska incidenter där liknande skett:
  • 2006 - En 49-årig man från Ystad döms för olovligt förfogande till 11 000 kronor i böter efter att ha tagit hand om de 400kr som bankomatens föregående kund glömt i uttaget.
  • 2009 - En 55-årig man från Skellefteå döms för grovt bedrägeri efter att ha plockat ut totalt 290 900 kronor. Försvarets förklaring: "Han trodde bankomaten var snäll mot honom.
  • 2010 - En 55-årig man från Landskrona döms för grovt bedrägeri till ett och halvt års fängelse efter att ha plockat ut totalt 2,8 miljoner kronor från fem bankomater (376 uttag!) och sedan ha flytt landet. Efter ett tag kom han tillbaka och dök upp hos polisen, men efter domen har han återigen flytt landet.
  • 2010 - En 41-åring man i Skellefteå är polisanmäld för att ha tagit hand om 900kr som bankomatens föregående kund inte fick med sig. Även här är rubriceringen olovligt förfogande.
  • 2010 - Anmälan från en person i Tierp som tagit ut 3 000kr men glömt pengarna i bankomaten. Pengarna borta när han kom tillbaka.

Jag säger som Prot i filmen K-PAX: "Every being in the universe knows right from wrong".

Men kanske är det så att framförallt män i åldern 40-60 år får frispel när de ser en stor summa pengar precis framför näsan på dem.

onsdag 2 mars 2011

Ipad - Stabil som fan

Den amerikanska luftfartsmyndigheten FAA har nu godkänt att flygbolag ersätter 10kg papperskartor med en Ipad + kartapp. Tillverkaren av appen säger:
Apples operativsystem iOS och appen visade sig vara extremt stabila. Och även om det är osannolikt att en systemkrasch inträffar så tar en omstart bara omkring fem sekunder

Undrar om det verkligen är vettigt att ta ordet från den som har kommersiella intressen i det. FAA:s egna undersökningar tycks sträcka sig till 250 flygningar utan problem. Så då måste det väl vara ok att köra med Ipad och den utvalda appen för all framtid, right?

Jag säger inte att det är fel, och jag vet inte hur kritiskt det är med kartor... men är det här allt som beslutet grundar sig på? Då tycker jag snarare frågan skall vara "vad var det som tog sån tid?"

Nu har jag inte detaljerna, kanske finns det mer till det. Men 250 flygningar visar väldigt lite. Skall det vara godkänt för exakt de versionerna? För vilka inställningar? Får den ha WLAN/3g påslaget? Får den ha fler appar installerade? Och kommer det komma några nya hot med det?

Vid första anblick ser det ut som ett klassiskt exempel på när en tidigare fysisk företeelse går över till sin digitala motsvarighet utan att ta hänsyn till de förändringar som kommer med det. Resultatet blir sällan "stabilt som fan", utan mycket oftare "sårbart som fan".

Exempel (självupplevt):
En fyrsiffrig PIN-kod skyddar en fastighets driftundercentral. Olika koder ger dessutom olika behörigheter. Centralen går bara att nå genom att fysiskt befinna sig på plats och där knappa in siffrorna. Centralen omvandlas till att kunna kommunicera över IP, och ges ett webbgränssnitt. Tillverkaren marknadsför centralen som säker och framhåller fördelarna med att centralen går att nå via Internet. Fortfarande skyddas den av en fyrsiffrig PIN-kod. Inga brute-force skydd finns implementerade.


En fyrsiffrig PIN-kod är en svag autentisering till att börja med, där ett fåtal kombinationer står för en majoritet av de koder som verkligen används. Men det kan vara tillräckligt när fysisk närvaro krävs och målet inte är så attraktivt. Kommer du till den digitala världen är det aldrig tillräckligt.

Enkla, basala misstag som blivit standard när fysiska världen blir digital. Tro inte heller att det är bättre bara för att övergången sker på ett område där säkerheten är prioriterat. Exempelvis inom lås- och larmbranschen finns det gott om förbluffande korkade lösningar. Som kund är det viktigt att bibehålla sitt kritiska tänkande och vid behov kravställa.