Kategoriarkiv: Ekonomi

Referat från föredrag på SEE 2012

Elektroniktidingen har publicerat en artikel om Secworks föredrag på SEE 2012 förra veckan.

Secworks Joachim Strömbergson pratar på SEE 2012.
Secworks Joachim Strömbergson pratar på SEE 2012.

Poängen vi i presentationen försöker göra är att säkerhet är en stödfunktion avsedd att skydda den affär som är kopplad till ett inbyggt system. För att få få fram den säkerhet affären kräver gäller det att identifiera vad i affären som måste skyddas, mot vem (fiende, motståndare) skyddet ska hålla och under vilka förutsättningar skyddet fungerar. Efter detta går det att identifiera komponenter och tekniker för att skapa detta skydd. Och till sist, inte glömma bort att verifiera att man verkligen fick det skydd som affären krävde.

Gör man inte på detta sätt riskerar man att få ett skydd för fel sak, skydd mot en annan motståndare och ett skydd som inte fungerar. Ett sådant skydd är förhoppningsvis bara onödigt dyrt och onödigt, men kan i värsta fall hota din affär och verksamhet.

Pensionsmyndighetens fortsatta problem med robothandel

Jag har i några inlägg (inlägg ett och inlägg två) skrivit om nur Pensionsmyndigheten försökt stoppa robothandel genom att välja en extern, teknisk lösning. I inläggen pekade jag på vad som verkar vara en dålig säkerhetsanalys från myndighetens sida lett till ett dåligt val av teknisk lösning. Jag förutspådde att myndigheten skulle hamna i teknisk kapprustning. Nu verkar det ha hänt.

I en artikel i DN beskrivs bland annat de problem myndigheten har med vad man bedömer är robothandel. Myndighetens chefsjurist Thomas Norling intervjuas om problemen:

Pensionsmyndigheten är ingen tillsynsmyndighet och kan inte agera på egen hand. Det gäller också det bolag som, enligt myndigheten, nyligen lyckades kringgå förbudet mot massfondbyten.

– De hävdar att de gjort bytena manuellt men eftersom man på kort tid gjorde 65.000 byten för 300 miljoner tror vi inte på det. Men vi har inga egna muskler. Därför har jag vänt mig till Finansinspektionen och Datainspektionen för att se om de kan vidta några åtgärder.

Som jag visade i andra inlägget är det inga problem att för en billig peng köpa stora mängder datortjänster där det faktiskt sitter en människa (mechanical turk) och löser den utmaning (CAPTCHA) som Pensionsmyndigheten använder. För 65000 byten skulle kostnaden maximalt röra sig om 65 USD, mindre än så. Dvs inte ens ett öre per transaktion. Att man tar betalt i buntar om 1000 CAPTCHAs visar att 65000 stycken knappast är en i sammhanget stor mängd.

I artikeln pekar man på risken för kapprustning, men tänker sig att det fortfarande är inloggning som ska begränsas:

Risken är att man får en teknisk kapprustning och att det till slut landar i att man bara kan byta fonder men hjälp av e-legitimation.

– Då riskerar de att ha dödat en hel bransch.

Jag anser att rätt lösning är att inte försöka spärra för vilka verktyg som används vid en inloggning (människa eller dator). Istället ska begränsningen läggas i antalet transaktioner. En sådan mekanism kan myndigheten styra över själv, är enkel att övervaka och kontrollera och ger inte samma bieffekt som dagens lösning.

Marknaden för skadlig kod

När jag är ute och pratar säkerhet träffar jag fortfarande på uppfattningen att personer som försöker ta sig in i ett system är finniga tonåringar med på tok för stort teknikintresse för sitt eget och andras bästa.

Tyvärr är det länge sedan dessa personer utgjorde det stora problemet (om dom någonsin gjort det). I dag är det industriella spioner och konkurrenter, kriminella nätverk och faktiskt även myndigheter som utgör hotet. Ett tecken på detta är att det i dag inte är virus som spelar en glad melodi som är problemet med skadlig kod. Nej, i dag för skadlig kod (ex trojaner) så lite väsen som möjligt samtidigt som koden försöker manipulera banktransaktioner, stjäla information och åstadkomma stor ekonomisk skada. De personer som utvecklar den kod som är basen för dessa attacker må kanske ha hudproblem, men dom är inte tonåringar utan proffs ute efter att tjäna pengar. Och de som utvecklar och utnyttjar koden har även mycket större resurser till sitt förfogande.

Forbes har publicerat en mycket intressant artikel som beskriver hur marknaden för skadlig kod ser ut inklusive de olika aktörerna – producenter av skadlig kod, konsumenter av skadlig kod och de mellanhänder/grossister som förmedlar koden. Handelsvaran kallas zero-days. Zero-days är information om och exempelkod som visar på publikt okända svagheter i ett system, svagheter som går att utnyttja för att attackera ett system. Om någon vill attackera iPhone-enheter finns det leverantörer som Franska VUPEN Security som kan leverera zero days.

Hur mycket kostar en zero-day? Enligt Forbes beror det både på storlek på attackmarknaden samt hur svårt det är att hitta en svaghet som går att utnyttja. I sin artikel presenterar Forbes följande lista med riktipriser:

Forbes lista med riktipriser för zero-days.

Att attackera Windows-system kostar mer än att attackera Mac. Att kunna attackera iOS-enheter, ex iPhone är uppenbarligen väldigt eftertraktat.

En sak att notera med artikeln är att det inte i första hand är kriminella organisationer som skapar och driver på marknaden. Nej det är vi, medborgare i olika länder representerade av våra länders myndigheter som strategiskt börjat köpa upp zero-days och börjat bygga cyberkrigs-kapabilitet. I ett cyberkrig ses zero-days som basen för offensiva vapen, och kunskapen om hur zero-days fungerar är också strategiskt viktig för att kunna börja skapa defensiva mekanismer. Det är denna stävan efter att bygga upp cyberkrigskapabilitet som gör att länder med stora ekonomiska resurser som driver upp priserna och därmed skapar marknaden.

En uppenbar måltavla för denna kapabilitetssträvan är infrastruktur, SCADA-system och industrisystem. Listan som Forbes publicerar har inte med några sådana typer av system. Men Stuxnet använde flera olika zero-days som bas.

Ett bekymmer med den här marknadens tillväxt är hur rapporteringen av svagheter förändras. Inom säkerhetsvärlden har det länge förts en debatt om hur någon som hittar en svaghet ska delge omvärlden information om svagheten. Det finns några olika strategier. Full Disclosure, dvs fullständig öppenhet innebär att den som hittat svagheten själv går ut och öppet berättar om svagheten. Sedan får världen inklusive leverantören av systemet i vilket svagheten finns hantera situationen på bästa sätt. Full disclosure sätter press på leverantören, och innan leverantören kunnat laga svagheten kan svagheten hinna utnyttjas. Detta har gjort att en del presenterat Responsible Disclosure. Detta innebär att leverantören samt leverantörer av säkerhetsprogram får reda på svagheten en viss tid innan den publiceras publikt.

Responsible Disclosure har dock visat sig kunna innebära att leverantören drar benen efter sig och ändå inte lagar svagheten innan den publicerats. En annan kritik är att någon annan kan hinna upptäcka och utnyttja svagheten under tiden av tystnad. Användarna av systemet riskerar därmed att använda ett system med en konstaterad svaghet längre tid än nödvändigt utan att veta om svagheten. Användarna vidtar därmed inte motåtgärder som skulle kunna minska effekten av svagheten.

Slutligen kan den som hittat en svaghet bara prata med leverantören. Leverantören skickar ut lagning av svagheten utan att berätta vad lagningen löser och användaren får aldrig reda på något. Denna strategi kallas Closed Disclosure. Men som Forbes visar finns det nu en variant av Closed Disclosure – att hålla sin upptäckt publikt hemlig, men sedan sälja informationen – och då inte nödvändigtvis till leverantören av systemet.

Det finns företag som är beredda att betala för att få buggar hittade i sina produkter. Ett sådant företag är Google som erbjuder upp till 1337 USD för buggar i sin webbläsare Chromium. Men som synes är den summan mycket, mycket lägre än vad man kan få på annat håll.

Jag är inte överraskad, men tycker att det är oroande att det nu finns en etablerad marknad för skadlig kod. Att komma med generella råd för hur man ska skydda sig är inte lätt. Men ett viktigt första steg är att inse hoten inte kommer från grannens tonåring.

Verified by VISA och kapprustning inom IT-säkerhet

Ett blogginlägg hos Optinet satte fingret på den kapprustning och utveckling av offensiva kontra defensiva metoder inom IT-säkerhet. (Ja, jag är medveten om att det inte bara gäller IT-säkerhet, utan generellt. Folk anpassar sig till förutsättningarna och försöker hitta nya metoder och vägar att nå sina mål.)

Som ett sätt att öka säkerheten vid kortbetalningar på Internet har VISA och sedan andra kreditkortsbolag infört ett system kallat 3-D Secure. Systemet bygger på att kopla tre domäner till varandra (därav namnet 3-D) – Domänen för mottagaren av betalningen, domänen för utbetalande institut och domänen för den som tillhandahåller transaktionen. De olika kortföretagen har sedan lanserat systemet under olika namn, ex Verified by VISA eller MasterCard SecureCode.

För dig som användare  märks systemet genom att du hamnar på en sida som ser ut ungefär så här (om du använder VISA):

Verified by VISA
Verified by VISA

Som användare får du mata in ett lösenord för att transaktionen skall accepteras. Lösenordet har du tidigare varit tvungen att registerera hos din kortutgivare – din bank eller liknande.

Säkerheten hos kreditkorten byggde från början på enbart kreditkortsnummer och namnet till kortinnehavaren samt viss sidoinformation som datum.  Nästa steg var att införa säkerhetskoder som inte är inpräglade i kortet och oftast ej heller finns lagrat i magnetremsan (kallas Card Security Code eller CVV). Men fortfarande är informationen som behövs för att verifiera en transaktion tillgänglig för den som kommer över informationen på det fysiska kortet. Det är bland annat detta Secure-3D ändrar på (så vida du inte har lösenordet skrivet på kortet).

Bedrägerierna mot kort har också utvecklats (och drivit fram de nya metoderna). Från början plockades kortnummer och information från prägligen genom att samla in karbonpapper och kvitton. När detta försvårades genom koderna på baksidan dök skimming upp och har blivit allt mer avancerad. I dag är korten ofta utrustade med inbyggda chip som tillsammans med PIN-kod ska höja säkerheten lokalt och skydda mot skimming. Tyvärr är protokollet som används i Chip+PIN trasigt, vilket öppnar för lokala bedrägerier med stulna kort.

Blogginlägget Verify by VISA-bedrägeri visar att skurkarna är i full gång med att försöka gå runt även Secure-3D-skyddet. I det här fallet handlar det om rent phishing via mail:

Phising mot Verified by VISA
Phising mot Verified by VISA

Texten ovan är vad som skickats ut till användare i mail. Man försöker uppebarligen får det att se ut att komma från kortföretagen och vill få dig att lämna ut lösenordet. Kallas för Phising, eller när det är riktat direkt mot en enskild måltavla Spear Phising.

För att denna attack ska lyckas krävs naturligtvis att skurkarna även har kortnummer, namn, utgångsdatum och Card Security Cocde. Men det hindrar dom inte från att försöka. Och även om dom inte själva har kortinformationen är ett lösenord i sig värt pengar på den svarta marknaden.

Bloggpostningen är värd att läs och har många bra tips. Jag vill dock upprepa det viktigaste av dom:

Din bank eller kreditkortsleverantör kommer aldrig under några som helst omständigheter att via mail fråga om ditt lösenord eller be dig att nollställa det. De kommer inte heller att fråga om ditt kortnummer. Detta är det enda man behöver komma ihåg för att inte bli lurad i denna typ av bedrägeri.

Som användare blir det allt fler moment och information som ska tillhandahållas. Men än så länge finns det (så vitt jag vet) ingen ny teknisk lösning som ger både högre säkerhet och enklare användning för denna typ av transaktioner.

Säkerhet och management av miljarder Internetsaker

Ett av det mest intressanta trenderna tycker jag är Internet of Things – tanken att enkla saker ges en enkel, digital intelligens, kopplas upp på Internet och blir en del av informationsflödet. Att koppla upp allt på nätet och därmed göra det möjligt att övervaka och styra ger helt nya möjligheter.

Att exempelvis kunna läsa av och styra enskilda lampor i kontor och fabriker gör det möjligt att optimera ljussättning och därmed energianvädningen mycket mer exakt än idag. Cisco har gjort en mycket snygg illustration som förklarar Internet of Things.

Samtidigt, för att detta ska gå att genomföra behöver vi kunna lita på att de saker vi pratar med verkligen är de saker vi tror att det är. Vi behöver även kunna lita på den information som sakerna skickar. Och dessutom måste det gå att begränsa access till sakerna så att bara den som har rätt att styra sakerna får göra det. Vad det handlar om är klassisk IT-säkerhet och client-server-management – men för miljarder av enheter i komplexitet, noll kronor i kostnad och utan att förbruka energi.

Detta låter inte precis enkelt – och det är kanske till och med omöjligt. Naturligtvis kan inte kostnad och energiförbrukning vara exakt noll. Den forsknings- och ingengörsmässiga utmaningen är att hitta mekanismer (protokoll, system, komponenter) kapabla att skala upp till den komplexitet som det stora antalet enheter ställer, men där den lokala komplexiteten (per enhet) är så låg att den möter kostnads- och energibudget. För inbyggda system, och speciellt där det är systemet som skall läggas till en så enkel sak som en lampa, är kostnaden väsentligen noll. Det enda som räknas är funktionaliteten – och säkerhet är inte en del av funktionaliteten, den är bara ett sätt att säkra funktionaliteten.

Jag tycker dock att det låter utmanande, extremt lockande och jag ser att lösa dessa utmaningar är nyckeln till att visioner som Ericssons 50 Billion Connected Devices 2020 ska kunna lyckas. (Tyvärr ser jag inte att Ericsson pratar om dessa utmaningar i sin presentation, men den handlar i första hand om att sälja in visionen – inte beskriva vad som krävs).

En viktig komponent i säkerhetskedjan är tillgången på bra krypton. Nu vill jag direkt säga en sak: Jag stöter ofta på fall där man av olika skäl kommit fram till att systemet och affären runt systemet (produkten och eller tjänsten) kräver någon form av skydd. Och att man därför landat i att man behöver kryptera. Oftast har man dessutom tagit ett steg till och valt AES-256 som kryptolösning. Inte sällan är detta fel.

Hur kan det vara fel, undrar du säkert? Om vi tar glödlampan som exempel igen. Hur viktigt är det att någon utomstående vet att lampa med ID-nummer 31415926535 är tänd eller släkt – vad skulle kunna hända om den informationen kom i orätta händer? Det kan säkert finnas scenarion där det kan vara viktigt.

Det som är antagligen är mycket viktigare är att veta att statusinformationen verkligen kommer från 31415926535 och att du kan lita på att informationen är korrekt. Det som annars skulle kunna hända är att lampa 31415926535 och dess 10000 kompisar som används för att belysa Volvos nybilsparkering är släkta/trasiga och att tjyven kan härja fritt, men att du tror att dom är tända.

Det som oftast krävs är därför pålitliga identiteter och skydd av ett meddelandes integritet (så att ingen kan pilla på meddelandet utan att det upptäcks av mottagaren). Och ibland även att meddelanden inte går att läsa för den som inte är behörig – att meddelandet är konfidentiellt för andra än sändaren och mottagaren.

Ett symmetriskt krypto som AES ger i första hand konfidentialitetsskydd. Det kan även används för att ge integritetsskydd och identitetskontroll och förutsätter att sändare och mottagare på något sätt redan kommit överens om nycklar. Vanligare är att asymmetriska krypton (kallas även krypto med publika nycklar) och hashfunktioner används att etablera identitet och integritet.

Tyvärr är det svårt att hitta bra algoritmer som inte kostar för mycket. Speciellt asymmetriska algoritmer finns det för närvarande inga som egentligen fungerar för Internet of Things. Det som är positivt är att problemet har börjat uppmärksammas. EU-sponsrade ECRYPT II anordnar i november en konferens i ämnet. På konferensen CRYPTO 2011 hölls en rump session där Danilo Gligoroski presenterade del resultat som visar på mycket snabbare/effektivare asymmetriska krypton.

Även protokoll som inte är för komplexa, men samtidigt säkra behöver utvecklas. IETF anordnade i mars en workshop om problemställningarna runt Internet of Things, men än är det långt tills vi har standarder att bygga på.

Secworks gör uppdrag riktat mot utvecklingen av Internet of Things, och kommer att bevaka och försöka bidra till att få fram de teknologier som krävs. Jag kommer därför att posta mer om utvecklingen av säkerhet och management för Internet of Things här. Bland annat om de riktigt kompakta algoritmer och implementationer som faktiskt finns redan i dag. Häng med!

RSA beskriver attacken

RSA har gått ut med en relativt detaljerad beskrivning av hur attacken som ledde till förlust av vital information för deras SecurID-produkt gick till. (The Register har även en bra artkel om händelsen.)

Attacken visar sig varit klart avancerad och uppenbarligen noga planerad. Genom riktad kommunikation till anställda hos RSA lyckades de som utförde attacken få in trojaner i RSAs lokala system. RSA skriver:

In our case the attacker sent two different phishing emails over a two-day period. These emails were sent to two small groups of employees. When you look at the list of users that were targeted, you don’t see any glaring insights; nothing that spells high profile or high value targets.

Attacken utnyttjade en tidigare okänd svaghet med Adobe Flash inbäddad i Excel-dokument som skickas med i epost (Varför man skulle vilja kunna stoppa in Flash i sitt Exceldokument övergår mitt förstånd).

Genom att samla in användaruppgifter och information om systemet lyckas de som utförde attacken arbeta sig upp i RSAs interna säkerhetskedja tills dess att de fick tag i accessrättigheter till hjärtat av SecuriID. Följande figur från RSA visar på ett bra sätt hur attacken gick till.

RSA-attacken i fem steg.
RSA-attacken i fem steg.

Att RSA berättar hur attacken gick till är jättebra. Men det RSA fortfarande inte berättar är VAD som försvann och på vilket sätt det hotar säkerheten för företag och användare som beror av SecurID för säkra sina system, resurser och tillgångar. Tiden går och ju längre RSA dröjer med detta desto längre kvarstår osäkerheten. Och desto längre kan de som utförde attacken dra nytta av sin fångst. Inte alls bra.

Attack på RSA

RSA (företaget, inte algoritmen) har utsatts för en riktad attack. Enligt ett öppet brev från RSA har någon lyckats ta sig in i RSAs system och komma över information kopplat till produkterna SecurID

SecurID-produkter

RSA skriver:

Recently, our security systems identified an extremely sophisticated cyber attack in progress being mounted against RSA.

Our investigation has led us to believe that the attack is in the category of an Advanced Persistent Threat (APT).

Our investigation also revealed that the attack resulted in certain information being extracted from RSA’s systems. Some of that information is specifically related to RSA’s SecurID two-factor authentication products. While at this time we are confident that the information extracted does not enable a successful direct attack on any of our RSA SecurID customers, this information could potentially be used to reduce the effectiveness of a current two-factor authentication implementation as part of a broader attack.

We are very actively communicating this situation to RSA customers and providing immediate steps for them to take to strengthen their SecurID implementations.

(Notera att jag editerat genom att klippa bort ett par stycken. Se orginalet för skillnaden.)

Att företag som levererar säkerhetsinfrastruktur själva blir måltavlor är inte förvånande, men det här visar konkret att så är fallet. Speciellt infrastruktur avsedda att säkra ekonomiska transaktioner är i dag klara måltavlor.

Sedan hoppas jag att RSA verkligen gör det dom säger att dom gör – pratar med sina kunder. Jag hittar inget på deras webbplats som förklrarar:

  • Hur attacken faktiskt gått till
  • Exakt vad man förlorat
  • På vilket sätt det man förlorat försämrar säkerheten hos kunderna (slutanvändarna – dvs du och jag)
  • Hur kunderna ska agera för att återskapa säkerheten

Det öppna brevet ger mer intrycket av ett företag som genom stora, fina ord försöker försäkra oss om att dom går att lita på. Men i det här läget är enl min mening öppenhet enda sättet att återfå förtroendet.

Inte minst för ett företag som är branschledande bör gå före och genom öppenhet hjälpa andra att skydda sig och därmed återskapa förtroendet. Inte bara för sina egna produkter, utan branschen och tekniken som sådan. Det här är större än RSA själva.

Uppdatering 2011-03-17: I en artikel hos NYT spekulerar Whit Diffie att det är huvudnyckeln som blivit stulen. Det är en ren gissning men visar på varför RSA måste vara öppna med vad som faktiskt hänt.