Säkerhetsanalys och Pensionsmyndighetens CAPTCHA

Den första december i år ändrade Pensionsmyndigheten sättet som du som sparare kan få tillgång till ditt PPM-konto. Tidigare kunde olika tredjepartstjänster få rätt att elektroniskt hantera ditt konto åt dig. Men med ett beslut av Sveriges regering och pensionsgruppen stoppades detta.

Skälet till förändringen är att vissa tredjepartstjänster börjat med så kallad robothandel. Datorer sköter förvaltningen och gör massiva mängder av transaktioner, mycket fler än vad en enskild människa klarar av. Tanken med robothandeln är att kunna reagera snabt och tjäna pengar även på små kursrörelser.

Robothandel, även kallad högfrekvenshandel är i sig omtvistat. Tillför robothandel något på börsen eller ej? Ökar riskerna eller ej? Gynnas eller missgynnas olika aktörer för mycket? I Pensionsmyndighetens fall förvärras problemen av att byta värdepapper inte kostar speciellt mycket för spararen, vilket gör att robothandel blir mer attraktivt.

Detta har lett till att volymen transaktioner Pensionsmyndigheten blivit tvungen att hantera drastiskt har ökat, vilket drivit upp kostnaderna för Pensionsmyndigheten. Att få stopp på detta blev därför nödvändigt. Problemet som jag ser det är HUR Pensionsmyndigheten löst problemet. Och här kan vi använda säkerhetsanalys.

Vad är säkerhetsanalys?

När man gör en säkerhetsanalys av ett system försöker man skapa en bild över vilka tillgångar som behöver skyddas, vilka hotbilder (problem) som finns och vilka aktörer aktörerna är. Vidare undersöks vilka metoder (attackvägar) som olika aktörer kan använda och vad dom kan leda
till. Andra ytterst viktiga aspekter att få med i sin bild är att identifiera vilka implicita och explicita antaganden som finns – och vad som händer om dessa antaganden inte gäller.

Med hjälp av den systembild, den beskrivning som arbetats fram plockas sedan motåtgärder fram. De åtgärder som plockas fram behöver sedan analysera utifrån påverkan på systemet. Blir systemet sämre för legitim användning? Ökar kostnaderna för systemet? Ställer åtgärden krav på andra förändringar? Och öppnar åtgärden i sig för andra aktörer och attacker?

Det finns olika typer av åtgärder – en del åtgärder gör det svårare och därmed dyrare att genomföra en attack. Andra åtgärder kan vara att begränsa tiden för att genomföra en lyckad attack eller att göra attacken ointressant.

Om vi tar en butik som exempel kan vi försvåra för en inbrottstjuv genom att:

  1. Försvåra och öka kostnaden för ett inbrott genon att sätta in en starkare dörr som kräver rejäla verktyg att forcera.

  2. Minska den tillgängliga tiden för ett inbrott genom att öka antalet besök av väktare (rondering).

  3. Minska butikens attraktivitet för inbrott genom att ta bort dagskassor och stöldbegärliga varor, exempelvis cigaretter.

Ett exempel på ett antagande är att dörren till butiken är låst när butiken inte är bemannad. Är den inte det faller den säkerhet den starka dörren erbjuder.

En säkerhetsanalys behöver återupprepas för att se hur bilden förändras av införda åtgärder.

Om vi väljer att införa den starkare dörren kan den inte vara låst hela tiden. Är den inte upplåst när kan inte legitima kunder besöka butiken, vilket troligen inverkar negativt på verksamheten.

Analysen behöver även upprepas över tid för att fånga upp förändringar i antaganden, aktörer etc. En bra metod, som Microsoft Security Development Lifecycle (SDL) är ett exempel på hur detta sker kontinuerligt. Den generella utvecklingsmetoden kallas spiralmetoden.

spiralbild
spiralbild

Analys av Pensionsmyndighetens problem

Det problem som Pensionsmyndigheten säger sig ha är att antalet transaktioner som utförs drastiskt har ökat, och överstiger det antal man varit beredd att hantera. Några lösningar på detta hade varit att:

  • Skala upp sin verksamhet för att klara mycket större mängder transaktioner.

  • Begränsa mängden transaktioner en aktör kan göra per tidsenhet.

  • Göra det mindre attraktivt att genomföra högfrekvenshandel.

Men den åtgärd man valt att införa är ingen av dessa, utan att införa en CAPTCHA. CAPTCHA (Completely Automated Public Turing-test to tell Computers and Humans Apart) är en teknisk mekanism avsedd att avgöra om det är en människa eller en maskin som använder tjänsten. Pensionsmyndigheten har alltså fokuserat på att försöka bli av med robotar, inte den stora mängden transaktioner.

CAPTCHAs används av många tjänster på Internet. CAPTCHAs bygger på att ge användaren av tjänsten utmaningar som kräver semantisk analys, bildigenkänning och felkorrektion i text eller bild för att lösa.

Denna typ av problem är människor traditionellt mycket bättre än datorer på att lösa. Men utvecklingen går fort framåt och datorer har flera gånger visats sig klara av att lösa CAPTCHAs som ansetts säkra. CAPTCHAs får heller inte vara för komplicerade, då blir det för svårt för användarna att använda tjänsten.

Många aktörer, exempelvis de som vill skicka SPAM lägger ner mycket pengar och energi på att knäcka CAPTCHAs. Det pågår kort sagt ett kapprustningskrig mellan de som försöker skapa skyddet och de som försöker besegra skyddet. En kapprustning Pensionsmyndigheten nu hoppar rätt in i.

Googling på cracking captcha ger 90 miljoner träffar. Sökning med termer som defeating, cracking, breaking på forskningsajter som Citeseer och Arxiv ger totalt flera hundra artiklar om attacker på olika CAPTCHAs.

I Pensionsmyndighetens fall har man valt att köpa in CAPTCHA-tjänsten genom att använda Googles tjänst reCAPTCHA.

reCAPTCHA
reCAPTCHA

Detta innebär att Pensionsmyndigheten till viss del överlåter åt Google att bevaka att funktionen fungerar, och Google sitter på många personer som kan CAPTCHAs. Men det har publicerats hyggliga försök att knäcka reCAPTCHA.

Slutligen finns det i dag tjänster som gör det möjligt att automatiskt ta hjälp av människor för att lösa problem åt maskiner! I det här fallet innebär det att attackera CAPTCHAs med hjälp av människor som mot betalning kan titta på en CAPTCHA och lösa den åt en dator. Ett exempel
på denna typ av tjänst är Amazons Mechanical Turk. (Namnet kommer av den schackspelande robot som visade sig vara en gömd människa.)

Som jag som utomstående ser det har Pensionsmyndigheten inte löst rätt problem – att få ner mängden transaktioner. Istället har man infört en åtgärd som försöker avgöra om en legitim användare loggar in själv, eller via ett hjälpmedel.

Åtgärden gör det omöjligt för alla att använda elektroniska tjänster för att hantera sitt sparande. Det stoppar alltså inte bara volymhandel, utan aggregeringstjänster, försvårar för rådgivning etc. Det slår ut ett antal fungerande tjänster och produkter som sparare uppenbarligen tycker är bra.

Vidare är risken stor att CAPTCHAn är för komplicerad och att användbarheten i Pensionsmyndighetens tjänst blir för låg. Även om reCAPTCHA har stöd för personer med synprlem genom att omvandla den visuella utmaningen till ljud innebär CAPTCHAn en mer komplicerad användning.

Och kanske mest problematiskt är kanske att åtgärden egentligen inte löser problemet – den gör det svårare att utföra maskinella transaktioner. Men myndigheten kommer att behöva övervaka att den tekniska lösningen fungerar. Vilket kostar pengar.

Eller med andra ord: Fel metod som ger dåligt skydd, blir kostsam att hantera och försämrar användbarheten. Låter som en kanonbra lösning.

Den metod jag tycker att man borde valt är att införa begränsningar i antalet transaktioner som en användare får göra över en viss tidsperiod. Vad som är vettiga värden på antalet transaktioner vet jag inte, men 10 transaktioner per kvartal, per halvår är kanske lagom?

En annan sak. Pensionsmyndigheten påpekar att dom även har problem med att tjänster bara begär ut status för en användares konto – att inte separera statuskontroll och transaktioner. Att kunna hämta ut status kan inte vara lika kostsamt som att göra en transaktion av värdepapper. Även här kunde man infört begränsningar utan att försämra för användarna så fundamentalt som med den metod man valt.

Som säkerhetsanalytiker hoppas jag att myndiheten kommer att undersöka hur åtgärden fungerar, hur den upplevs av kunderna och vilka konsekvenser den fått. Och gärna över tid. Risken är väl att eftersom man (enligt min uppfattning) inte gjort en korrekt analys, inte heller använder en vettig metod.

36 reaktioner på ”Säkerhetsanalys och Pensionsmyndighetens CAPTCHA

  1. Låter som om du gjort en riktig analys, men kommer PPM att ta del av den eller har du bara slösat tid på ett blogginlägg?

    1. Målet var naturligtvis att få dig att slösa bort din tid genom att läsa och skriva sympatiska kommentarer.

      Mer seriöst såg jag Pensionsmyndighetens agerande som ett bra exempel för att beskriva säkerhetsanalys och hur val av lösning/mekanism kan ge olika effekter. Jag tyckte att det därför var intressant att skriva om utifrån min profession. Om det är att slösa min tid eller ej trodde jag var upp till mig att avgöra.

    1. Jonas: Tack, ja helt sant. Också en konsekvens av att lösningen bygger på en specifik teknik man köper in från en tredje part utan någon egentlig anpassning.

      1. zegt:Ja 6 uren da moet voldoende zijn peizek kben der al goe vertrouwd mee. Vandaag weer 2 uren gedaan onawrevchts. Rond 9.30 belt die kerel mij uit mijn bed omdat er een meiske afgezegd had, zoveel te beter vo mij . Nu nog m’n laatste 2 uur doen en dan examen plannen en hopelijk in ene keer derdoor é!

      2. Chào em, nhà trường sẽ có thông báo chi tiết về thời khóa biểu các môn học cÅ©ng nhÆ° lịch học cho sinh viên khi đến làm thủ tục nhập học. Má»—i ngày, sinh viên sẽ học tứ 1 đến 3 ca, má»—i ca học kéo dài 2 tiếng. Buổi sáng bắt đầu từ 7h và ca học buổi tối kết thúc lúc 20h55′ em nhé.

      3. Loved seeing all of those photos! I would love to go there someday! I just found your blog so I will need to put it on my blogs that I like to visit so I can remember to visit you again soon!Ulrike

      4. There is no evidence for your aryan migration theory.People have long debunked that theory,you can do mass DNA testing of everyone in TN and see how close of far are people from central asia/eastern europe.Infact that has already been done and the tests have shown that everyone is from here only and also your own Dravidar Kazhagam have started acknowledging it in their own speeches.In fact, many muslims of keezhakarai/kerala/UP have afghan/arab blood and there are clear proofs for that.

        1. There is a lot of beautiful pottery here in Brittany representing the rural folk traditions. I’m sure most of it isn’t of the value of what you’ve shown here, but is cheerful and fun. I resist buying it however because I’m at the stage where I should be cutting down on the household goods rather than collecting any more. Still, it’s QUITE tempting.

      5. Ya we drain ours and some winters we forget and it freezes and expands out the top of the barrel. I think there is some food safe anti-freeze you could check out if you don’t use it for drinking. I find it easiest just to drain it and haul water in Winter.

      6. pas du tout convaincu par ce genre d exercicej avoue que je ne vois pas beaucoup de difference ce jour entre la situation actuelle et celle que j ai connue de pays africains , il ya 40 ans… et parfois situation pire ( RDC )…meme pour des pays ayant un potentiel de ressources impressionnant….donc rien ne me pousse a sourire …

      1. The House Is Gorgeeeous, I'm Sooo Into Like Looking At Houses Even Though I'm Only A Little Bubba At 18, I Just Find It So Fascinating, Although Wood Beams Are The One Things I Wouldn't WaoSltty.eNonsense.blngspot.com

      2. And I doesn’t matter to you to try and show people what you believe is the truth? You just want to rant and call people Nazis?That’s fine and all, but you aren’t actually doing good work like people have suggested. Or winning. You know, unless you’re playing some game of your own that no one else is quite aware is going on.

      3. “2) RT de todos nuestros tweets con el Hastag #backsorteo a partir de ahora.”Esta cláusula de vuestro concurso me parece abusiva. Tener que estar retweeteando vuestra publicidad un día entero para conseguir una camiseta me parece una maniobra de márketing bastante sucia y desagradable.

    2. Caro Pinho Cardão,Não sei porque se preocupa com isto; o DN é privado, cada um perde dinheiro como prefere.Também não me parece que um jornal "de boas notícias" e entrevistas sucessivas a Passos Coelho, Paulo Portas, Miguel Relvas, Miguel Macedo, Aguiar Branco, Vítor Gaspas (não necessariamente por esta ordem) tivesse maior tiragem.

    3. West coaster early morning before coffee, bad wording, lol. Edited to be more clear. And yes, of course they will pick the most annoying people, they love to torture us!

    4. I really like your web site.. extremely wonderful shades & theme. Did you create this web site yourself? Plz reply back again as I’m looking to create my own web site and would like to know wheere u received this from. many thanks

    5. Selangkah lagi menuju puncak prestasi dan Prestise, maka ayo seluruh warga Karangrejek dimana saja anda berada, kita bersatu padu bergandengan tangan mencapai sukses Prestasi ini demi semakin meningkatnya Pretise kita semua

      1. Hey
        A very well-developed post with step by step guidance on Security Analysis .
        The way you explained each point with necessary details and maintained good balance between theory and practice is really commendable.Can you Please tell me? Shouldn’t any kin be eligible for a deceased’s pension and Social Security etc?

        Thanks

    6. Hi Malaika Arora,I´m a girl 24 years old and living in Holland. I´m a very big fan of u. You are so beautyfull and i also like your style. I always try to look like u. You are always look good! I wish i was like u….please reply me. Bye take care and wish you all the luck!

    7. Nope, sorry, that’s all mixed up.I realize it’s a slightly complicated sentence, so let’s break it down:1. OCC made money because of the show.2. I don’t understand why.3. Mo’ money, mo’ problems.4. protagonists = paul and paul.5. The shaved apes are suing each other.

  2. När jag började läsa texten tänkte jag omedelbart: ”men varför inte bara begränsa antalet transaktioner per person”? Låter som en mycket rimligare åtgärd, kan bara hålla med om analysen i sin helhet. Fel problem angripet på ett dumt sätt.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *