fredag 16 mars 2012

Psykisk ohälsa: Att sälja mot en känsla

Efter att jag nu för tredje gången sett reklamen för Dettol 'No Touch' handtvålssystem, så har min syn på det stabiliserats. De utnyttjar psykisk ohälsa och spelar helt och hållet på människors rädsla.

Kortfattad beskrivning av produkten: tvål kommer ur en pump när det kommer händer framför den. Man slipper alltså trycka fram tvålen själv.

Kortfattat säljs produkten som: Ett fantastiskt sätt att bry sig om din familj och i synnerhet dina barn, eftersom de slipper hundratals farliga bakterier som annars samlar sig på tvålpumpen. [underförstått: köper du den inte, utsätter du dina barn för all världens farliga bakterier].


En rationell person förstår sannolikt att efter att man rört vid tvålpumpen, så kommer man några sekunder senare att tvätta av sig alla de bakterier man nyss fick på handen. Den gör alltså ingen som helst direkt skillnad för din fysiska hälsa. Men tanke och känsla kan säga två helt olika saker, även i en sån här simpel fråga. Bruce Schneier körde 2010 en fantastiskt bra TED talks presentation där han redde ut skillnaden mellan intellektet, känslan och verkligheten. Har du inte sett den rekommenderar jag mycket varmt att gå in här och se "The Security Mirage".

Jag är inte emot att man säljer känslor. Emellanåt köper jag själv känslor. Ett exempel på hur känslor säljs är hur olika produkter paketeras och marknadsförs för att ge kunden en känsla av exklusivitet och lyx. Det är ok, jag förstår vad jag betalar för och är med på det. Men i det här fallet tycker jag man gått över gränsen, inte minst sedan jag igår såg en serie där några människor med OCD genomgår intensivbehandling.

Dettol utnyttjar folks psykiska ohälsa. Det som säljs hjälper inte personen som köper, jag tror snarare att den förstärker ohälsan. Vad tror du?

torsdag 8 mars 2012

Chrome står inte heller, när de andra faller

Vem tackar nej till $60,000? Den som kan få mer än så...

Till slut kom stunden. Efter att Chrome varit obesegrat tre år i rad, har Chrome nu fallit i årets Pwn2Own. Ändrade regler resulterade i att franska VUPEN gav sig på Chrome, och tog sig dessutom ur Chrome's sandbox. Just den senare delen är en stor deal, VUPEN hade tidigare annonserat att de kunde göra det, men möttes av skepsis från Google som menade att de nog utnyttjade en brist i Flash. Nu står det dock utom allt tvivel att VUPEN verkligen har en exploit som tar sig ur Chrome's sandbox, i default installationen av Chrome.
Varför VUPEN valde att ge sig på Chrome? För att visa att ingen programvara står säker mot en tillräckligt motiverad angripare. Och nog kan man väl säga vid det här laget att knäcka Chrome har det signalvärdet.

De ändrade reglerna då? Att sårbarheten inte behöver rapporteras. Google reagerade på den ändringen genom att dra sig ur som sponsor till Pwn2Own, och istället sätta upp ett separat pris som del av sitt security rewards program. Skulle VUPEN gå till Google med sin sandboxsårbarhet skulle de casha in $60,000, men av allt att döma kommer de inte göra så. Visst får det en att tänka efter? Den där enstaka sårbarheten är värd mer än $60,000 för VUPEN på annat håll.

Pwnium fick däremot svar från Sergey Glazunov, som tacksamt cashade in fulla $60,000. Google har fortfarande $940.000 att ge ut till den som rapporterar buggar.

Så man kan nog i alla fall fortfarande säga såhär: ska du välja webbläsare efter säkerhet är Chrome fortfarande det bästa valet, men är du måltavla för en aktör med en halv miljon på fickan kommer du ändå inte undan.

fredag 2 mars 2012

Cyberterrorism och arrogansens pris

Årets RSA konferens har nu kommit till sitt slut. Ett av ämnena som diskuterades på konferensen var kring cyberterrorism. Under en paneldebatt lär det dock ha framkommit att framstående amerikanska namn så som Eric Rosenbach (håller i Cyber Policy frågor för amerikanska försvaret) och Martin Libick (som bl.a. skrivit Cyberdeterrence and Cyberwar) spelar ned riskerna att någon annan än en nation skulle kunna åsamka någon större skada för USA. Inte heller Iran anses utgöra något större hot.

Från min sida så håller jag Martin Libick som en av de mest insatta i cyberkrigsfrågor. Till skillnad från många andra så tycks han ha bra kunskap även om tekniska detaljer. Trots det ser jag på deras inställning i den här frågan som anmärkningsvärd. Jag ser spår av ignorans och arrogans i det. Varför det?


Vi har under rätt många år nu fått exempel på exempel där ungdomar, så långt ner i åldern som 12 år, begår dataintrång. Det är enkelt, även för en ensam tonåring, att skaffa sig kunskap om dataintrång och sedan omsätta det i praktik. Det krävs ingen djup specialkunskap. Det krävs inte flera års studier på hög akademisk nivå. Det krävs inte att man är någon stor grupp människor med gemensam agenda.

Pratar vi 0-day buffer overflows och den typen av sårbarheter vi såg i samband med Stuxnet, så jovisst, det kräver lite mer. Även det är fortfarande inom räckhåll för en ensam person. Men faktum är att man inte ens behöver det eftersom nivån på IT-säkerhet tillräckligt ofta är så löjligt låg att det aldrig ens är aktuellt att gå in så djupt! Ifall man inte ens behöver ett lösenord, eller kan använda ett och samma bakdörrslösenord på samtliga enheter av en viss typ, så är det ju kört redan där, eller hur?

Nivån är så låg att en ensam person kan göra stor skada, något som uppmärksammats de senaste veckorna i bland annat Ny Teknik, som skrev om hur enkelt elnätet kan sänkas. Det är knäppt att vi inte ens kan komma förbi tröskeln där vi är överens om det, trots år efter år med utvärdering efter utvärdering, och vittnesmål efter vittnesmål, som alla säger samma sak.

Läsarfrågan den här veckan blir därför:

===> Har någon sett ens EN enda utredning som inte summerar sårbarheten som katastrofal? <===

Ifall man inte erkänner den sårbarhet som finns, lär man ju knappast göra något åt den heller.