Etikettarkiv: ekonomi

Nätbedrägerier och ersättning från banken

Linus Larsson har skrivit en mycket bra artikel om nätbedrägerier och vilka krav banker ställer på dig som konsument för att ersätta uppkommen förlust. I de fall som refereras har ARN dömt till bankens förmån och konsumenten fått stå för förlusten. I korthet:

  • Betrakta säkerhetsdosor som värdehandling på samma sätt som ett kort. Du behöver därför se till att förvara dosan på ett säkert sätt. Förvara inte PIN-kod till dosan tillsammans med dosan. Och om dosan försvinner ska du direkt anmäla det till banken så att dosan kan spärras.
  • Kontouppgifter, PIN-koder etc bör inte förvaras öppet på din mobil. Och se till att ha ett lås på mobilen.
  • Var ytterst försiktigt med att ge någon kontouppgifter och koder. Att ge det till någon på Facebook är ingen bra idé.
  • Din bank kommer (ska) aldrig, aldrig, aldrig skicka mail till dig och be dig klicka på en länk för att komma till en sida där du ska mata in kontouppgifter och koder.

Det här är inga nyheter egentligen. Det intressanta och viktiga med artikeln är att bankerna och ARN anser att dessa problem är så vanliga och har varnats för så länge att du som konsument nu anses måste känna till dem och inte begå dessa misstag.

Pensionsmyndighetens fortsatta problem med robothandel

Jag har i några inlägg (inlägg ett och inlägg två) skrivit om nur Pensionsmyndigheten försökt stoppa robothandel genom att välja en extern, teknisk lösning. I inläggen pekade jag på vad som verkar vara en dålig säkerhetsanalys från myndighetens sida lett till ett dåligt val av teknisk lösning. Jag förutspådde att myndigheten skulle hamna i teknisk kapprustning. Nu verkar det ha hänt.

I en artikel i DN beskrivs bland annat de problem myndigheten har med vad man bedömer är robothandel. Myndighetens chefsjurist Thomas Norling intervjuas om problemen:

Pensionsmyndigheten är ingen tillsynsmyndighet och kan inte agera på egen hand. Det gäller också det bolag som, enligt myndigheten, nyligen lyckades kringgå förbudet mot massfondbyten.

– De hävdar att de gjort bytena manuellt men eftersom man på kort tid gjorde 65.000 byten för 300 miljoner tror vi inte på det. Men vi har inga egna muskler. Därför har jag vänt mig till Finansinspektionen och Datainspektionen för att se om de kan vidta några åtgärder.

Som jag visade i andra inlägget är det inga problem att för en billig peng köpa stora mängder datortjänster där det faktiskt sitter en människa (mechanical turk) och löser den utmaning (CAPTCHA) som Pensionsmyndigheten använder. För 65000 byten skulle kostnaden maximalt röra sig om 65 USD, mindre än så. Dvs inte ens ett öre per transaktion. Att man tar betalt i buntar om 1000 CAPTCHAs visar att 65000 stycken knappast är en i sammhanget stor mängd.

I artikeln pekar man på risken för kapprustning, men tänker sig att det fortfarande är inloggning som ska begränsas:

Risken är att man får en teknisk kapprustning och att det till slut landar i att man bara kan byta fonder men hjälp av e-legitimation.

– Då riskerar de att ha dödat en hel bransch.

Jag anser att rätt lösning är att inte försöka spärra för vilka verktyg som används vid en inloggning (människa eller dator). Istället ska begränsningen läggas i antalet transaktioner. En sådan mekanism kan myndigheten styra över själv, är enkel att övervaka och kontrollera och ger inte samma bieffekt som dagens lösning.

Marknaden för skadlig kod

När jag är ute och pratar säkerhet träffar jag fortfarande på uppfattningen att personer som försöker ta sig in i ett system är finniga tonåringar med på tok för stort teknikintresse för sitt eget och andras bästa.

Tyvärr är det länge sedan dessa personer utgjorde det stora problemet (om dom någonsin gjort det). I dag är det industriella spioner och konkurrenter, kriminella nätverk och faktiskt även myndigheter som utgör hotet. Ett tecken på detta är att det i dag inte är virus som spelar en glad melodi som är problemet med skadlig kod. Nej, i dag för skadlig kod (ex trojaner) så lite väsen som möjligt samtidigt som koden försöker manipulera banktransaktioner, stjäla information och åstadkomma stor ekonomisk skada. De personer som utvecklar den kod som är basen för dessa attacker må kanske ha hudproblem, men dom är inte tonåringar utan proffs ute efter att tjäna pengar. Och de som utvecklar och utnyttjar koden har även mycket större resurser till sitt förfogande.

Forbes har publicerat en mycket intressant artikel som beskriver hur marknaden för skadlig kod ser ut inklusive de olika aktörerna – producenter av skadlig kod, konsumenter av skadlig kod och de mellanhänder/grossister som förmedlar koden. Handelsvaran kallas zero-days. Zero-days är information om och exempelkod som visar på publikt okända svagheter i ett system, svagheter som går att utnyttja för att attackera ett system. Om någon vill attackera iPhone-enheter finns det leverantörer som Franska VUPEN Security som kan leverera zero days.

Hur mycket kostar en zero-day? Enligt Forbes beror det både på storlek på attackmarknaden samt hur svårt det är att hitta en svaghet som går att utnyttja. I sin artikel presenterar Forbes följande lista med riktipriser:

Forbes lista med riktipriser för zero-days.

Att attackera Windows-system kostar mer än att attackera Mac. Att kunna attackera iOS-enheter, ex iPhone är uppenbarligen väldigt eftertraktat.

En sak att notera med artikeln är att det inte i första hand är kriminella organisationer som skapar och driver på marknaden. Nej det är vi, medborgare i olika länder representerade av våra länders myndigheter som strategiskt börjat köpa upp zero-days och börjat bygga cyberkrigs-kapabilitet. I ett cyberkrig ses zero-days som basen för offensiva vapen, och kunskapen om hur zero-days fungerar är också strategiskt viktig för att kunna börja skapa defensiva mekanismer. Det är denna stävan efter att bygga upp cyberkrigskapabilitet som gör att länder med stora ekonomiska resurser som driver upp priserna och därmed skapar marknaden.

En uppenbar måltavla för denna kapabilitetssträvan är infrastruktur, SCADA-system och industrisystem. Listan som Forbes publicerar har inte med några sådana typer av system. Men Stuxnet använde flera olika zero-days som bas.

Ett bekymmer med den här marknadens tillväxt är hur rapporteringen av svagheter förändras. Inom säkerhetsvärlden har det länge förts en debatt om hur någon som hittar en svaghet ska delge omvärlden information om svagheten. Det finns några olika strategier. Full Disclosure, dvs fullständig öppenhet innebär att den som hittat svagheten själv går ut och öppet berättar om svagheten. Sedan får världen inklusive leverantören av systemet i vilket svagheten finns hantera situationen på bästa sätt. Full disclosure sätter press på leverantören, och innan leverantören kunnat laga svagheten kan svagheten hinna utnyttjas. Detta har gjort att en del presenterat Responsible Disclosure. Detta innebär att leverantören samt leverantörer av säkerhetsprogram får reda på svagheten en viss tid innan den publiceras publikt.

Responsible Disclosure har dock visat sig kunna innebära att leverantören drar benen efter sig och ändå inte lagar svagheten innan den publicerats. En annan kritik är att någon annan kan hinna upptäcka och utnyttja svagheten under tiden av tystnad. Användarna av systemet riskerar därmed att använda ett system med en konstaterad svaghet längre tid än nödvändigt utan att veta om svagheten. Användarna vidtar därmed inte motåtgärder som skulle kunna minska effekten av svagheten.

Slutligen kan den som hittat en svaghet bara prata med leverantören. Leverantören skickar ut lagning av svagheten utan att berätta vad lagningen löser och användaren får aldrig reda på något. Denna strategi kallas Closed Disclosure. Men som Forbes visar finns det nu en variant av Closed Disclosure – att hålla sin upptäckt publikt hemlig, men sedan sälja informationen – och då inte nödvändigtvis till leverantören av systemet.

Det finns företag som är beredda att betala för att få buggar hittade i sina produkter. Ett sådant företag är Google som erbjuder upp till 1337 USD för buggar i sin webbläsare Chromium. Men som synes är den summan mycket, mycket lägre än vad man kan få på annat håll.

Jag är inte överraskad, men tycker att det är oroande att det nu finns en etablerad marknad för skadlig kod. Att komma med generella råd för hur man ska skydda sig är inte lätt. Men ett viktigt första steg är att inse hoten inte kommer från grannens tonåring.