Texter

21 juni, 2019

Glad midsommar – var alerta!

Det finns ett gammal skämt – om du vill vinna över Sverige i krig, attackera på midsommarafton. Då lär det inte finns många som är nyktra nog att försvara sig. Troligen mer av ett skämt än verklighet, men en kul tanke ändå.

Fast skrattet kanske fastnar i halsen när man tänker på att IT-världen ser annorlunda ut vad det beträffar just detta. Just nu, när all säkerhetspersonal går på semester, är det högsäsong för allas vår nemesis – hackaren.

ID-kapningar ökar också, vilket föranleder mig att rekommendera er att lyssna på nästa avsnitt av vår podd. Den handlar faktiskt om just detta ämne: id-kapningar.

Så för att sammanfatta: hur mycket sommar, bad och sol hägrar, var beredd på att det kan smälla till och håll ett vakande öga öppet!

12 juni, 2019

Dessa vilda dagar

Pratade tillsammans med Mattias med Marcus Murray från TrueSec och han sa att ”Ondskan har mognat”. Det slog an en klang och jag har funderat på det en hel del. Sanningen är att det känns som innan nästan inte hinner reagera mellan att man får veta att en viss typ av attacker blir vanligare och man ser att det händer i ens närhet.

Förut kunde attacker hanteras utan allt för mycket svett. Ett totalt övertagande av en miljö hände ju även då, men det vanligaste var att man hanterade enstaka datorer med skadlig kod eller läckta uppgifter. Idag är det mer och mer vanligt att man helt plötsligt har hundratals servrar och klienter som är krypterade eller på annat sätt övertagna. Ett litet ”nålstick” dödar hela organisationen.

Attacker blir allt mer riktade och det har vi ju talat om många gånger tidigare. Vad blir det av detta i framtiden, kan man undra? Hur många system måste tas över innan någon form av smärtgräns är nådd. Baltimore hålls gisslan, men när hör vi att även New York, Seattle och Washington råkar ut? Är det framtiden? Att i princip alla är drabbade och det blir standard att återställa allt från början eller punga ut med miljoner dollar till hackare för att få tillbaka viktigt data. Det kommer till sist bli som en form av hackar-skatt. Kanske blir det ett system med beskyddarpengar för att man inte ska bli drabbad. Och om man nu spenderar pengar på security operations centers som hela tiden övervakar allting, blir det ju ändå en ökad kostnad för att kunna försätta driva sin verksamhet. Detta i sig är också en form av ”hackarskatt” för alla. En kostnad som man anting betalar till attackerare eller till de som ska skydda mot dem.

Är Zero Trust Networks ett hopp för framtiden eller tar sig allt mer organiserade hackers förbi även detta? Det är inte utan ett visst mått av frustration som jag ser hur det blir allt mörkare på säkerhetsfronten.

Men kanske måste man även se ljuset. Vi blir allt mer säkerhetsmedvetna och fler och fler utbildar sig i säkerhet, vare sig de vill jobba inom området eller bara förstå hur saker fungerar.

9 juni, 2019

Avsnittet om elektronisk röstning

Veckans avsnitt uppkom efter att jag och Erik snackade om valet efter eu.-valen och Eriks blogginlägg i ämnet.

Vi pratar om utmaningen med elektronisk röstning jämfört med hur systemet är uppbyggt idag. En del är spårningen kring pappershanteringen vilket en del menar kan lösas med blockchain-teknik – (läs här en intressant artikel i ämnet).

Är det tekniken just som är hindret att ta steget till elektronisk röstning eller är det faktumet att människor inte kanske litar på röster som genomförts på internet? Och om människor inte litar på röstningssystemet har man stora demokratiska problem…

3 juni, 2019

Att ta steget

Nya teknologier kommer hela tiden och i ett tidigare blogginlägg pratade vi om att inte komma efter och att hela tiden patcha. Men kanske borde vi också diskutera om det motsatta problemet: när man INTE ska ta steget eller åtminstone när man bör vänta.

En hel del nya programvaror och teknologier har problem och fel som långsamt rättas. De flesta vet att första utgåvan av en helt ny programvara eller en ny större versionuppgradering kan strula. Eller snarare, vi vet att de KOMMER att strula. Hur är det med säkerhetsproblem då? Svaret är att det är ett ganska stort problem om något som en ny kryptoalgoritm är just det: ny. När krypteringsalgoritem AES kom, gick det flera år innan den började användas i stor skala. Till en viss del vill man inte investera i nya algoritmer eller teknologier direkt när de finns. Sen finns det en känsla av att det kan vara ett misstag. Vad om det finns en allvarlig säkerhetsbrist inbyggt i protokollet eller teknologin? Misstaget när man kastade sig över WEP-krypteringen och sen insåg att den var mycket osäker är något industrin minns idag.

Samma sak gäller saker som TLS 1.3 och WPA3. De kommer att ta över, men det är troligen så att det kommer ta ett tag innan de finns tillgängliga överallt och att alla använder dem. Och risken för att man hittar allvarliga säkerhetsproblem med dem finns alltid. Få vill vara ”early adopter”, men alla vill ha nya programvaror, säkerhetsprotokoll och produkter.

Så vad är stalltipset då? Svarat är: vänta tills det är dags och låt andra ta smällarna. Det handlar ofta om en rätt stor investering och då vill man vara säkra på att produkterna man köper fungerar som de ska och inte inför nya hot. Ett visst mått av konservatism är troligen bra. Men glöm inte att inte vänta för länge. Då blir det problem med det istället.

27 maj, 2019

Elektronisk röstning?

Igår var det den stora valdagen. Svenska folket gick till valurnorna för att rösta fram vår närvaro i Europeiska unionen. Valurnor, ja. De är ju fortfarande en grej. Idag kan du betala räkningar, köpa varor och deklarera via nätet. Bra va? Borde inte nästa sak vara att rösta via Internet? Allt du behöver göra är att sitta hemma och fylla i ett formulär och avsluta med att signera med mobilt bankid och sedan är allt klart?

Varför har vi inte Internetröstning ännu? Svaret är att det finns ett visst mått av konservatism bland länderna. Men det är så av en bra anledning: om nu röstningen vore elektronisk, skulle fientliga makters påverkan kunna få oöverskådliga effekter. Vi talar om att ett helt lands regering kan tillsättas av hackare styrda av en annan nation. Detta skulle kunna bli katastrofalt. Även om detta inte sker, skulle blotta misstanken om att det KAN ha skett göra att resultatet och regeringens legitimitet ifrågasätts. En annan sak är pappersspåret. Idag finns valsedlarna kvar och kan räknas för att bekräftas och kontrolleras mot vallängder som också finns på papper. Detta är troligen mycket svårt att påverka i stor skala. Denna spårbarhet är själva kärnan i trovärdigheten för hela systemet.

Personligen tror jag att röstning alltid bör vara pappersbaserad. Jag tror inte ens att elektronisk röstning med en skrivare kopplad till elektroniska valmaskiner är tillräckligt säkert. Diebolds valmaskiner i USA där man diskuterade nödvändigheten av att ha ett virusskydd i dem för att kunna lita på dem är ett skräckexempel.

Så beställ gärna skor på nätet, men kräv att få gå till en vallokal trots regn och rusk för att rösta. Det hänger hela vår demokrati på!

19 maj, 2019

Cyber kill chain

I veckans avsnitt pratar vi Kill chain, eller snarare Cyber kill chain. Begreppet finns beskrivet på många olika vis men har egentligen ETT huvudsyfte – att beskriva hur en organiserad attack går till.

Jag tycker att beskrivningen på från den här bloggen är helt okej även fast vi inte håller med helt, framförallt inte Exfiltration efter Denial of Service. Det är liksom en omöjlighet att få ut information ur ett system som man precis har sänkt i fasen innan. Det kan också vara så att de menar att man redan fått ut information och nu ska sprida det vidare.

Men just DoS hör inte riktigt till en Cyber kill chain. Det är ju snarare ett sätt att attackera ett system mer än en fas.

Jag gillar också vår liknelse med ett bankrån, vilket vi snackar om initialt. Jovisst, ett organiserat westernskurkgäng gick förmodligen igenom samma faser som dagens cyberattackerare.

18 maj, 2019

Den ”hemliga sektorn”

Ni känner ju till begreppet ”Offentliga sektorn” och ”Privata sektorn”, men känner ni till den ”Hemliga sektorn” ? Ok, det är inte det officiella namnet, men försvarsbranschen har många spännande projekt igång och om du arbetar inom IT-säkerhetsområdet finns det mycket som kan vara bra att delta i. Det kräver dock rent mjöl i påsen! Om du får chansen att jobba som konsult i något försvarsbaserat projekt måste du gå igenom intervjuer och säkerhetskontroller, så om din ekonomi är trasslig eller du har gjort något brottsligt nyligen är detta inte för dig!

Skulle du få chansen att jobba för något försvarsinriktat kommer du hamna i en värld med många intressanta projekt och konstruktion av diverse saker som är till för att försvara landet. Det kommer också sätta din disciplin på prov. Jobbar du med något hemligstämplat, kan du inte bara trycka ner pappren i stövelskaften och gå ut ur byggnaden! Du arbetar hela tiden på ett metodiskt sätt så att ingenting försvinner eller faller i fiendens händer. Tyvärr blir det normalt inte några hemliga fraser, agentutbyten eller samtal med skumma typer i trenchcoat när du jobbar inom den hemliga sektorn. Men du kan lära dig en hel del om hur säkerhet går till i en värld där det som folk räknar som överdriven försiktighet är vad som är normalt förfarande här.

Vad du också lär dig är att du kan bidra till att förstärka vårt försvar och samtidigt få en bild i hur en riktigt säkerhetsmedveten bransch fungerar.

8 maj, 2019

Omvärldsbevakning

Det gäller att fortsätta lära sig, skrev jag ju tidigare i denna blogg. Men låt oss prata om en den delen av det ständiga lärandet som kallas omvärldsbevakning. När man jobbar inom säkerhetsområdet är det viktigt att se trender och samtidigt ha reda på vad som händer. En del förändringar av branschen sker snabbt medan andra går med en glaciärs hastighet. Det finns två sorters information som är av intresse: de kortare nyheterna som berättar vad som just hände och sammanställningarna över trenderna. Nyheterna kan man lätt få genom att vara med i Facebook-grupper, prenumerera på säkerhetsbrev från folk som Bruce Schneier och kolla siter på nätet. Sammanställningarna får man enklast från stora säkerhetsföretag och firmor som Gartner.

Men det är inte utan problem att hålla sig uppdaterad. Många webinars (alltså korta webbutsändningar med senaste nytt) är inget annat än förtäckta produktpresentationer. De redovisar ett intressant hot och fortsätter sedan problemfritt med att använda 95% av presentationen till att berätta hur deras produkt kan användas för att bekämpa hotet. Denna typ av videos är rätt döfödda. Gratisseminarier är det ofta lika illa med. Ett av föredragen under en dag av seminarier kanske har en allmängiltig presentation, medan resten pratar produkter … produkter och … produkter. Jag tycker dessa är ganska intetsägande och inte värda tiden de tar att se. Dessutom tror jag många deltagare letar efter ett skäl att kunna få betalt utan att behöva arbeta när de går på dessa evenemang. Det och gratis mackor.

Sen finns det podcasts och tjänster som Youtube. Om man har tiden är dessa ofta värdefulla om man vet vad man ska lyssna på. Jag har ofta podcasts i lurar eller i internetradion vid sängkanten när jag har tid. Självklart tror jag vår podcast kan vara värdefull i sammanhanget, men det är ju inte den jag lyssnar på under dessa tillfällen. 🙂

Om du har ett ansvar på din avdelning att hålla dig och dina kollegor eller kunden uppdaterade med vad som händer, starta ett nyhetsbrev eller någon annan typ av tjänst. För många är en sån tjänst värdefull när man behöver svara på frågan om vad den senaste tidens händelser och trender betyder för just den som lyssnar. Måste något förändras? Är det dags att dra öronen åt sig på något sätt? Är det man gör bra eller dåligt vad det gäller säkerhet.

Om du lyssnat på vår podd ett tag kanske du har en liten lista med saker som är intressanta för dig och som vi pratat om:

  • Attackerna blir mer riktade.
  • Lösenorden är på väg bort – och de som fortfarande används måste vara långa.
  • Social manipulation är en stor faktor.
  • Att upptäcka attacker på ett smart sätt är viktigt.
  • AI är påväg – mycket kommer ändras.
  • Tänk två gånger innan du hoppar på IoT-tåget.
  • Internet har stöpt om säkerhetstänket och fortsätter att göra så!

Och så vidare. Det är helt klart värt att sätta ihop sådana här listor lite nu och då och givetvis alltid från många olika källor.

Så se till att du ha örat mot rälsen och vet vad som händer och kan ana framtiden.

24 april, 2019

När man säger för mycket

Det är en allt mer ovanlig syn: felmeddelandet som säger allt.

Kommer ni ihåg när man kunde gå till en hemsida och se följande meddelande?

”Microsoft OLE DB Provider for ODBC Drivers error ’80040e14’

[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ’46’.

/webapp.php, line 12″

Detta förekommer fortfarande, men just detta meddelande är idag nästan ett museiföremål. Meddelandet ovan kommer från en sårbar webbapplikation som råkat ut för någon som testat att lägga till en apostrof i ett indatafält. Detta är en indikator att man kan göra en SQL-injektion. Meddelandet avslöjar även vilken databasmotor man använder.

Att säga att det inte sker längre är dessvärre att tro för väl om säkerheten på Internet. Det finns stora mängder exempel på system som berättar vilken version de är eller läcker ut annan känslig information. Det finns många ställen där man kan demonstrera detta. En av de mest användbara är ”Google Hacking Database” som innehåller en lista på sökord som kan användas för att hitta sårbara applikationer eller intressanta saker att titta djupare på. Den bygger på att applikationer ofta läcker ut konfigurationer, lösenord eller loggar på nätet, som Googles sökmotor snappar upp när den indexerar sidorna. Ett exempel ur den digra listan: prova följande länk för att hitta applikationer på Github som hårdkodar sina lösenord i konfigurationsfiler. Många av dessa är troligen av rätt begränsad användning. Men det finns anledning att fundera på om det är så lämpligt att skriva en applikation på detta sätt. Kan man använda denna information för att hacka? Svaret är att det beror på ens fantasi.

Sen finns ShodanHQ som låter dig söka efter enheter som är nåbara från Internet. Detta verktyg har vi pratat om på podden, så det enda jag kan säga här är att det avslöjar mycket. Det ska noteras att sökningen är helt laglig. Den gör absolut ingen skada. Däremot ska du inte göra något för att ta över systemen. Vi avråder starkt från att faktiskt försöka hacka system utan tillstånd. Vi tar inget ansvar för vad som händer om du försöker dig på något sådant. Håll dig på den lagliga sidan!

Vad finns det att lära av detta? Det jag ser är att det är viktigt att inte ge ut någon information annat än den mest absolut nödvändiga. All information kan komma att användas av någon som har oärliga avsikter.

18 april, 2019

Att förstå säkerheten

I början av 2000-talet fanns siten ”Interface Hall of Shame”. Denna site visar exempel på värdelösa grafiska användargränsnitt. Min favorit är hur de relaterar till någon som på ett forum undrade hur en dropdown meny kunde fås att fungera när man hade tusentals möjliga val i den. Svaret är: varför vill du ens bygga något så dumt?

Säkerheten är inget undantag från att dålig design. Eller, vad som nästan är ännu värre, exempel på egenpåfunna lösningar. Som jag skrivit i tidigare blogginlägg: inom säkerhetsområdet är det i stort sätt alltid en dålig idé att komma på sin egen krypteringsalgoritm och tro att den kommer förbli säker om man bara låter bli att berätta hur den fungerar.

Men det finns många tillfällen där personer och företag har byggt lösningar utan att förstå säkerheten bakom.

I Windows 95 sparades lösenorden man loggade in med i ett format som Microsoft själva hade hittat på. Hur det fungerade höll man givetvis för sig själva. Och det tog inte lång tid för några duktiga hackare att knäcka det. Lärdomen av det, som jag skrev ovan, är att inte hålla det hemligt och att inte försöka bygga algoritmerna själv.

Säkerhetsexperten Steve Gibson kom på en metod för att skydda datorer från överbelastningsattacker. Innan hans lösning blev ens byggd, tittade några andra säkerhetsexperter igenom vad han gjorde reklam för och sågade lösningen. Den var inte säker. Steve hade inte pratat med någon annan medan han satt på kammaren och byggde vad han trodde var en perfekt lösning. Dessutom hade han troligen inte koll på att en liknande lösning redan fanns och hade används under ett antal år. Lärdom: prata med andra om din lösning och kolla om du måste bygga den överhuvudtaget.

De som uppfann den trådlösa krypteringsmetoden WEP gjorde en katastrofalt dålig lösning som visade sig var extremt enkel att knäcka. Om man skyddar sitt trådlösa nätverk med WEP, är det i princip som att skicka data i klartext. Anledningen till problemet var att man inte förstått hur man krypterar säkert och gjort några nybörjarfel i designen. Lärdomen är att se till att man förstå området man ger sig in på innan man bygger sin lösning. Bara för att du själv inte kan hacka din egen lösning, betyder det inte att andra inte kan.

Och jag har själv gjort en tavla. Jag byggde ett autentiseringssytem i php som jag var mycket noggrann med att säkra. Alla inmatningar kontrollerades och sanerades. Databasanropen skedde med ett nedlåst konto. När jag provade att göra en SQL-injektion, lyckades jag hacka min egen lösning på första försöket Jag hade helt enkelt glömt att kontrollera datat från inmatningsfältet för lösenordet, vilket är det andra fältet som skickar data till applikationen. Lärdomen är att inte anta du gjort allting rätt för att du tycker att du kan området. En förmildrande omständighet var att jag faktiskt kollade säkerheten innan jag släppte applikationen lös på nätet.

Säkerhetsområdet kan vara svårt att förstå och jag tror att det korrekta sättet att hantera det är att vara öppen och låta andra titta på vad du gör. Se till att källkoden till det du bygger släpps fritt på nätet om du kan. Använd alltid testade och vedertagna principer när du arbetar med säkerhet. Försök inte göra allt själv och förlita dig inte helt och hållet på någon enstaka person som har rykte om sig att vara en guru.

Scroll to top