måndag 28 november 2011

Det privata skall sköta sig självt

Hotbilden mot svenska företag och myndigheter är mycket påtaglig, men staten skall inte lägga sig i hur det privata hanterar de hot som finns. Vill regeringen visa vägen skall det göras främst för de egna myndigheterna.

Det är tveklöst så som John Daniels skriver i DI-debatt 21/11, att det idag bedrivs verksamheter som är direkta hot mot Sveriges välstånd. Det behöver vi bekräfta på ett tydligare sätt. Men inom cyberområdet finns det flera egenskaper som gör det direkt olämpligt för staten att gå in och ta på sig en skyddande roll. Risken är enorm att man istället för att ha någon verklig effekt istället börjar jaga hägringar.

Det jag vill se från statligt håll är främst tre saker:

Carl-Johan BostorpFör det första behövs ett lagstiftande som lägger kostnaden för intrången hos den som brustit i skyddet. För att exemplifiera varför det behövs så kan man se på hur halkbekämpningen fungerat de senaste vintrarna. Kostnaden av en otillräcklig halkbekämpning bärs av helt andra aktörer än de som har hand om halkbekämpningen. Hade kostnaden burits av de som kunnat förbättra halkbekämpningen hade dessa haft starka ekonomiska incitament att göra ett bättre jobb. Det handlar om miljarder i extra samhällskostnader. Därför anser jag det vara mycket viktigt att skapa den situationen kring all säkerhet – oavsett om det gäller halkrisk eller informationsskydd.

För det anrdra efterfrågar jag att incidenter offentliggörs. Vårt största problem idag är nämligen att hotbilden bara ses som ett spöke som någon drar fram i budgettider, men som inte så många egentligen tror på. Medvetenheten om hotbilden hos svenska företag och myndigheter ÄR låg, men den är det för att det lilla som sipprar fram inte känns relevant. Exempelvis producerar redan myndigheten för samhällsskydd och beredskap (MSB) information, men den har varken formatet eller tyngden som gör att tillräckligt många beslutsfattare anser den användbar.

För det tredje anser jag det nödvändigt att man ställer säkerhetskrav på samhällskritiska system. Idag är det upp till varje aktör att följa sitt eget godtycke efter befintlig förmåga, och det är inte tillräckligt när det byggs system med livslängder på 15-30 år. Ser man bara 10 år bakåt i tiden inser man hur snabbt hotbilden förändras, och jag kan garantera att förändringen av de samhällskritiska systemen inte hänger med i det tempot vi nu ser. Idag är det fritt fram att köpa in system som tillverkaren vet har säkerhetsbrister som är så allvarliga de kan bli, men där tillverkaren varken åtgärdar ellersäger ett knyst om det till sina kunder. Det skall vara självklart att våra samhällskritiska system inte skall byggas på sådant skräp.

Svenska myndigheter måste sedan låta det privata sköta sig självt. Visst vill vi att brott som sträcker sig över landsgränder fortsätter bekämpas, men när det kommer till skyddet vill vi inte ha en tung statlig apparat som jagar hägringar. Vill regeringen visa sin duglighet får de börja med sina myndigheter. Först när man hittat ett bra recept för att säkra upp dem är det läge att vända sig till det privata.

fredag 18 november 2011

EU förbjuder hälsofarlig "säkerhet" - NEJ till helkroppsröntgen

Jag har tidigare varit kritisk till användandet av de helkroppsskanners som används på vissa (främst amerikanska) flygplatser. Främst för att jag menat att pengarna kunnat användas mycket bättre, kostnaden för dessa maskiner är hög och det har inte kommit fram några siffror på hur många incidenter man anser att dessa förhindrat. Övriga "kostnadsaspekter" (privacy, hälsa) kan också vägas in i dessa beslut.

Nu har EU-kommisionen varit vänliga nog att förbjuda en typ av helkroppsskanners på samtliga flygplatser i Europa, och gör så med hänvisning till hälsoskäl. Väv in min teori i det och få fram (tillspetsat): vill ni slösa pengar så lägger vi oss inte i, men ni får inte äventyra medborgarnas liv medan ni gör det.


Skönt att någon drar en gräns till slut, även om jag kan tycka att gränsen dras rätt långt bort ifall den placeras först där människor dör. Samtidigt är det talande att det alls behöver göras. Att det här behöver göras på EU-nivå är ju på grund av att det finns för många på lokal nivå som har ett sådant tunnelseende att de inte ser att vad de håller på med är sjabbig, ineffektiv säkerhet som förutom sin höga kostnad i andra aspekter, dessutom kostar fler liv än det räddar.

tisdag 15 november 2011

Duqu dropper väntade tills användaren gick ifrån datorn

Informationen om Duqu fortsätter rulla in. Tidigare inlägg om hur Duqu installerats får därför ännu ett tillägg nu. Duqu har inte bara installerats med begränsningar om när i kalendertiden, utan även hur länge användaren varit inaktiv. Då worddokumentet öppnats har koden bara lagt sig i minnet, och därefter väntat på att användaren skall vara inaktiv i 10 minuter innan ändringar börjar skrivas till olika permanenta delar av systemet. Alltså ännu ett exempel på hur det designat för att försvåra upptäckt.


Vid det här laget har det också ansamlats tillräckligt mycket indicier för att på goda grunder dra slutsatsen att det var Duqu som Iran hade hittade tidigare i år, det "virus" som de kallade för "Stars". Både namn och datum matchar väldigt väl vad man hittat för Duqu:
The dates of the incident correlate with the history of discovery in Iran of a virus called Stars. At that time Iranian specialists didn’t share samples of the discovered virus with any of the anti-virus companies, and this, it has to be said, was a serious mistake, which gave rise to all subsequent events in this saga. Most probably, the Iranians found a keylogger module that had been loaded onto a system and which contained a photo of the NGC 6745 galaxy. This could explain the title Stars given to it.

Intressant är ju också konstaterandet att eftersom den här informationen inte delades, så drabbades inte bara andra stater och organisationer fortsättningsvis, utan även Iran. D'oh!? Ibland blir hemlighetsmakeriet för stort då de som har behov av informationen för att skydda sina system inte får den.

Min syn på frågan är att det nästan alltid är den defensiva sidan som tjänar på en stark informationsdelning, Risken är naturligtvis att om man delar allt man hittar, så ligger det viktig information i vad som INTE delas, eftersom en angripare då kan dra slutsatser om vad som inte upptäckts. Så det är inte helt uppenbart...

fredag 11 november 2011

Steam databasen stulen - 35 miljoner gamerkonton påverkas

Just nu håller omfattning på intrånget mot Steam forums på att rulla upp. Intrånget på forumen konstaterades redan i söndags, men nu har Valve gått ut och sagt att hela Steam databasen har tagits av hackare.
We learned that intruders obtained access to a Steam database in addition to the forums. This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.

We don’t have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely.




Precis som i fallet med Sony's Playstation Network har formulering valts som att man säger att man inte hittat några tecken på... alltså inte "det är inte så" utan "vi har inte sett att det skulle vara så". Det gör det svårbedömt, för man kan undra vilken motivation Valve själva har till att hitta om det vore så.

Ett exempel på några andra som också formulerade sig på detta vis var DigiNotar, där det efter att ett andra extern forensicsteam varit inne uppdagades att omfattning var väldigt mycket större än vad man först upptäckt. DigiNotar lades efter det intrånget ner, eftersom förtroendet i och med intrånget var helt förbrukat och deras certifikat plockade bort från de stora webbläsarna.

Konsekvenserna i det här fallet kommer förstås inte vara lika allvarliga. Steam användare har ända sedan i mars kunnat använda sig av Steam Guard för att förhindra angrepp mot just deras konton. Steam har också sin sida med Account Security Recommendations. Men det här är förstås en stor händelse. Samtidigt kan man undra varför angriparna valde att defacea forumet, när de hade kunnat ta konton från databasen och sälja dem för upp till 1000 dollar styck. Lite märkligt...

tisdag 8 november 2011

Åtgärda sårbarheterna? Nix, kostar pengar och är jobbigt...

DigitalBond har uppmärksammat ett ärende hos ICS-CERT, där en tillverkare av ett industrisystem har sagt att de inte tänker åtgärda en sårbarhet trots att det finns en färdig exploit för att köra kod.

Jaha, och vad gör man då om man nu sitter med nyköpta grejer som man budgeterat skall hålla i 15 år? Verkar ju uppenbarligen som att man får leva med sårbarheten i 15 år också då. Vad än värre - att de fortsätter sälja produkten utan någon som helst information om sårbarheten.

Läsarfrågan: Tycker du att det är ok att vi i Sverige köper in och installerar sådan utrustning i samhällskritisk infrastruktur?

Om inte så kanske du som jag tycker att det ligger på MSB att använda sitt bemyndigande enligt 2006:942, 34 §, och kräva att så inte sker.

fredag 4 november 2011

Duqu installatör mer än bara zero day i Windows

De senaste dagarna har nyhetsflödet kring Duqu fått en nytändning i och med att även installationsprogrammet hittats. Duqu levererades via ett Word-dokument som var tydligt skräddarsytt för exakt den organisationen som drabbades, och använde sig av en 0-day sårbarhet i Windowskärnans TrueType fontparsning.Symantec levererade ett blogginlägg som mer ingående beskrev hur installationen gick till.

Bäst rapportering i övrigt har F-Secure i sin Duqu Q&A, men jag upplever att man ändå har missat en aspekt som jag själv tycker är väldigt intressant. Visst, användandet av en 0-day sårbarhet i Windowskärnan är klart anmärkningsvärd, och sammantaget med det väldigt fåtalet organisationer som har bekräftats drabbade gör att det inte finns något rimligt tvivel om att en nation ligger bakom Duqu. Men det är några andra saker som Symantec skrev om som jag anser förtjänar lite extra uppmärksamhet.
  1. Exploiten skulle bara installera Duqu under en 8-dagars period. Skulle man därefter försöka analysera dokumentet med diverse metoder (Virtuella maskiner, Minnesallokeringar, etc.) skulle man inte hitta ett smack! Det är i min bok mycket anmärkningsvärt och det första publika exemplet av sitt slag.
  2. Duqu skulle inte nödvändigtvis kommunicera med en C&C server ute på Internet. Flera installationer konfigurerades att kommunicera med en servern intern på nätverket. Även detta är mig veterligen ett första publikt exempel.
  3. Duqu skulle avinstallera sig själv efter 30 dagar, såvida inte C&C servern sa till den något annat. Om mitt minne servar mig korrekt så var Stuxnet uppsatt likadan.
Sammantaget visar det på att Duqu designades för att vara "stealth" utöver det vanliga. Man skulle in, samla informationen, sedan ut igen, och det var väsentligt att ingen upptäckte det. Ändå upptäcktes den, och exakt hur det gick till lär det dröja innan vi får veta. Tummen upp för ännu ett klockrent exempel på vad statsaktörer håller på med på området!