måndag 23 januari 2012

Videokonferensen: När chefer och tekniker inte möts

New York Times har publicerat en artikel om osäkerheten i videokonferenssystem. Detta efter att HD Moore, mest känd för sitt arbete med Metasploit, gjort en undersökning ute på Internet med videokonferenssystem som har autosvar påslaget och är öppet för hela Internet. Han hittade flera högprofilorganisationer med gott om pengar och som man väntar sig en hög säkerhet från, men som uppenbarligen varken har brandväggsregler eller lösenord som skydd.


Teknikern i mig tänker: Ja, det var inga överraskningar där. Jag är totalt ointresserad, det är simpelt att konfigurera bort, och är trivialt att utnyttja. Vem jag än berättar det här för kommer förstå sårbarheten och hur lätt den är att åtgärda. Förmodligen kan jag inte heller använda mitt intrång för att ta mig vidare till organisationens andra system eller utföra nätverksavlyssning. Rakt igenom ointressant.

Från ett managementperspektiv är det desto intressantare. Till skillnad från sårbarheter i vissa andra delar av verksamheten tror jag att ledningsgrupper och styrelser känner ett distinkt obehag om jag berättar för dem att spionera på deras möten är så trivialt att till och med deras teknikfientliga mormor skulle kunna göra det. Och ur det perspektivet är det här mycket, mycket intressant.

Jag gissar på att ledningsgrupp och styrelse reagerar med starkt obehag för de ser vilken skada som skulle kunna komma ur ett sådant spionage. Teknikern däremot, ser det inte på samma sätt. Angriparen som skulle utnyttja en sådan sårbarhet är tydligt ute efter information just från sådana möten och exakt det mötet, och i allmänhet är det inte vad tekniker är intresserade av. Teknikern vill gärna använda teknik för att samla och styra, men vill varken granska ljud eller video.

För att bedöma risken en sådan här sårbarhet ger skulle man därför behöva fråga sig vad är sannolikheten att vi har en angripare som förstår värdet av vad det pratas om på mötet? Jag kan tänka mig att den största risken i det läget kommer komma från de som vid något tillfälle har ringt in till videokonferens och tänkt på att de aldrig behövde ange något lösenord. Alternativt så är det ett angrepp som styrs av någon med sådan förståelse, men utförs av en tekniker. En sådan duo har jag själv stött på tidigare, så jag kan intyga att de finns även utanför den statliga spionverksamheten.

Med tanke på vad som står på spel och att man de facto visar upp sårbarheten för fler och fler personer allteftersom man håller videokonferenser, tycker jag det är ganska allvarligt. Jag skuldbelägger gärna konferenssystemstillverkarna som skeppar utrustning där sådana här saker är möjligt, och i synnerhet de som skeppar utrustning som har de här inställningarna förinställda(!). Men i slutändan handlar det om att systemet införskaffas, installeras och driftas av någon som inte har koll på säkerhet, att ledningen/styrelsen inte tänker på det eller har förutsatt att säkerhet finns och fungerar trots att så inte är fallet. Kanske har konferenssystemet setts som en separat del av IT-miljön som inte granskar och regleras. Min erfarenhet är att utrustning som använder IP, men inte marknadsförs som en klient eller server, faktiskt hamnar utanför ordinarie arbete.

Endast en liten, liten andel tror jag väljer att låta det vara helt öppet med argumentet att "det är bekvämt att ha det öppet, och ingen skulle göra så ändå".

Ett annat sätt att se på det: om din motståndare samarbetar bra med de sina, och du inte samarbetar bra med de dina, kommer du att förlora.

måndag 16 januari 2012

T-Mobile utsatt för politiskt motiverat intrång

T-Mobiles webbplats har haft intrång. Inget nytt i det, men det är ännu ett i raden av politiskt motiverade angrepp.

“They are known to be supporting the Big Brother Patriot Act law. Any cell phone company doing so I would see as a target,” said one of the hackers.

“One of the main reasons for the hack is because they are corrupted, but we also wanted to show how weak their security is.”

Man ska nog ta påstående med en nypa salt, T-Mobile är nog inte handplockat som den enda man varit intresserad av. Men kanske är det så att man utgått från en lista.

Från min synvinkel är det intressant eftersom jag tycker mig se en tätare integration mellan vad som händer utanför cyberarenan (organisationers handlingar, politiska vindar) och vad som sedan drabbar organisationer på cyberarenan. Många företag har beteenden som är lätta att uppfatta som svinaktiga. Många politiska beslut har starka meningsmotståndare. Den arabiska våren, Anonymous och Occupy-rörelsen har visat ett annat politiskt klimat där de som känner sig representera folket vill ha en större påverkan.

Att åsamka skada i den fysiska världen kanske inte många tänker på då av flera anledningar, men inom cybervärlden är spelfältet ett annat. Jag förväntar mig att den här typen av angrepp kommer öka markant de kommande fem åren.

måndag 9 januari 2012

Kreditkortsstöld är terrorism, Israel fäller upp taggarna

Efter att kreditkortsdata tillhörande Israeler vid ännu ett tillfälle har stulits och lagts ut av en och samma person kommer en kraftig reaktion från Israels vice utrikesminister. Tonläget är markant aggressivt:
“It is necessary to send a message to everyone who attacks or tries to attack Israel, including in cyberspace, that they are putting themselves in danger and that they will not benefit from any immunity against reprisal actions from Israel. Cyber-attacks amount to terrorism that must be treated as such."

Det hela följs också av något vi nu hört från relativt många länder, nämligen att Israel har en offensiv cyberstyrka:

"In cyberspace, we have active capacities and we can hit those who try to hit us. Israel has active capabilities for striking at those who are trying to harm it, and no agency or hacker will be immune from retaliatory action"

Det här är det klart taggigaste jag hittills träffat på i cybersammanhang från statligt håll.
Uttalandet visar en genomtänkt strategi där man behandlar flera väldigt svåra frågor kring cyber:
  • Att militären har svårt att skydda alla
  • Att det är svårt att avgöra vem som ligger bakom en cyberattack
  • Att det finns tredje parter
  • Att vad som står på spel varierar med spelarna

Det finns flera knepiga frågor kvar som inte behandlas, men det här uttalandet är den i särklass tydligaste behandlingen jag sett. Att man behöver ta det här på allvar understryks om man dessutom vet att Israel har en historia av att mörda personer i andra länder sedan tidigare, där mordet i Dubai 2010 är det kanske mest spektakulära i det att man "åkte fast" och det uppdagades att åtminstone 28 personer var inblandade i det.