Etikettarkiv: Politik

Faran med lagmässigt framtvingade bakdörrar

Bruce Schneier har postat en bra essä om faran med lagmässigt framtvingade bakdörrar.

Vad det handlar om är att myndigheter av olika skäl kräver att det ska skapas tekniska sätt att komma åt kommunikation och data hos operatörer och privata aktörer. Detta brukar kallas legal intercept eller lawful intercerption, men även sveriges FRA-lag och datalagringsdirektivet kan sägas vara exempel på detta – även om de tekniska formerna skiljer. Gemensamt för dessa funktioner är att de skapar en separat väg in i systemen, en bakdörr.

Så vad är problemet med en separat ingång för myndigheter, förutom de rent politisk och moraliska aspekter man kan ha? Jo problemet är att bakdörren löper risk att missbrukas – både av myndigheterna själva (syftesglidning eller personal som går utanför sina befogenheter), men även av andra som inte alls rätt att använda bakdörren, men öppnar och kliver på ändå. Det Bruce visar i sin essä är att denna typ ab missbruk inte alls är teoretiska. Bruce skriver:

Google made headlines when it went public with the fact that Chinese hackers had penetrated some of its services, such as Gmail, in a politically motivated attempt at intelligence gathering. The news here isn’t that Chinese hackers engage in these activities or that their attempts are technically sophisticated — we knew that already — it’s that the U.S. government inadvertently aided the hackers.
In order to comply with government search warrants on user data, Google created a backdoor access system into Gmail accounts. This feature is what the Chinese hackers exploited to gain access.

Bruce krönika är inte ny (från januari 2010), men jag tycker den fortfarande är väldigt läsvärd och relevant.

Frankrike förbjuder nog inte hashade lösenord

Det har varit en hel del diskussioner på bland annat Twitter om att Frankrike sägs ha förbjudit hashade lösenord, att det nu krävs att lösenord lagras i klartext. Diskussionerna startade med postningen ”France Outlaws Hashed PasswordsSlashdot. I postningen pekas det på en artikel hos BBC om hur nätföretag som Google motsätter sig den nya lagen.

Som många andra tänkte jag att vad är nu detta för galenskaper. Men när jag läser artikeln i fråga blir jag tveksam. BBCs artikel innehåller inte speciellt mycket detaljer, men det som står där är:

The law obliges a range of e-commerce sites, video and music services and webmail providers to keep a host of data on customers.

This includes users’ full names, postal addresses, telephone numbers and passwords. The data must be handed over to the authorities if demanded.

Om man sedan gräver lite i diskussionerna på Slashdot dyker det upp att det verkar röra sig om ett dekret från 2004. Och nu kan jag inte franska, men ska man tro de på Slashdot som säger sig kunna det står det inget om förbud att hasha lösenord, eller att de måste lagras i klartext.

När vi pratar om hashade lösenord handlar det om att man i ett system inte sparar själva lösenordet, utan bara den signatur man får genom att köra den genom en kryptografisk hashfunktion. Det som lagras i systemet är signaturen, inte lösenordet. När ett lösenord ska verifieras tas användarens inmatade lösenord emot, detta körs genom hashfunktionen och sedan jämförs signaturerna. Säkerheten i systemet bygger på att det inte går att utifrån en signatur räkna ut vilket lösenord det var som matades in.

En möjlig attack är om man har stora ordböcker eller tabeller med tänkbara lösenord (exempelvis sigge). Orden och potentiella lösenord körs igenom hasfunktionen och jämförs. För att skydda mot denna typ av attacker använder man en extra hemlighet, man saltar hashningen. Dessutom kan man öka styrkan genom att hasha många gånger (ex 1000 ggr i RFC 2898).

Som jag ser det innebär Frankrikes lag att lösenord måste kunna lämnas över, men det innebär inte med automatik att system med hashade lösenord måste frångås eller att lösenord måste vara lagras i klartext. Det enda lagen verkar säga är att lösenord måste kunna lämnas över. Det som krävs för detta är att lösenorden lagras och sedan vid begäran kan tas fram och lämnas över. Men lösenorden kan säkert lagras väl krypterade och skyddade i en databas avsedd för att uppfylla lagkravet samtidigt som hashade lösenord används av det huvudsakliga systemet.

En sådan databas skulle naturligtvis vara väldigt intressant att komma över för den som vill få tag på lösenord, och vi kommer säkert att få se den typen av informationsförluster i och med lagar av den här typen. Men att tro att all form av säkerhet flyger ut genom fönstret och att allt numera måste vara i klartext är nog att ta i.

Har jag fel? Säg gärna till.

Två artiklar om Stuxnet

Elektroniktidningen har publicerat två artiklar om datormasken Stuxnet. Den första artikeln är en bra intervju med David Lindahl på FOI.

David Lindahl
David Lindahl

I intervjun pratar David om säkerheten hos industriella kontrollsystem (kallar ICS eller SCADA) och pbland annat att:

Styr- och driftsäkerhet är mycket bra. Men säker­het mot antagonister är inte ens dålig – den saknas i scadasystemen. Tidigare har scadasystem suttit avskilda. Men nu kopplas nät allt oftare ihop, med eller utan brandväggar, och då blir det problem.

Den andra artikeln innehåller några kommentarer från mig om Stuxnet. Det jag ser som ett stort problem med Stuxnet är att den ses som ett exempel på en digital version av smarta bomber och framtidens cyberkrig. Bomber som kan slå ut specifika mål. Men det är rätt stor skillnad mellan Stuxnet och en riktig bom (smart eller ej) och jag är rädd att dom som släppte lös Stuxnet antingen inte insåg det, eller mycket väl insåg det men tyckte att den potentiella kortsiktiga vinsten var viktigare.

Rent krasst, Stuxnet är inte en burk med högexplosiva ämnen som antänds. Stuxnet är ett program som lagras på media och exekveras av processorer. Bomben kan byggas i hemlighet, skickas på sitt mål och när den exploderar omvandlas den till energi. Stuxnet pillar på fysiska processer och kan ev försöka radera sig själv och gömma sig i digitala miljöer. Men den finns där och när Stuxnet inte körs är den en fil precis som andra filer. En fil den som skapade den, den som är måltavlan och alla andra kan titta på. Att släppa lös Stuxnet innebär att släppa lös kunnandet som krävdes för att bygga Stuxnet. Inte alls speciellt smart.

Den typ av ramverk för elak kod för ICS, SCADA-system jag nämner finns i dag. Ett sådant är Agora SCADA+ Pack. Riktigt intressant att avända för den som utvecklar, installerar och driftar denna typ av system. Och tyvärr även för den som vill attackera systemen.

För det finns en sak Stuxnet och denna typ av ramverk (och Metasploit) har gemensamt med en riktig bomb. När väl vapnet/bomben är utvecklad behövs inte samma kompetens för att använda vapnet. Och Agora, Metasploit, till skillnad från fysiska vapen är mycket, mycket enklare att skapa kopior.

Debatt om sårbarheten hos samhällsviktig IT-struktur

På SvD Brännpunkt publicerades en artikel av Fredrik Ljunggren från säkerhetsföretaget Kirei.

Fredrik Ljunggren
Fredrik Ljunggren.

Fredrik skriver om sårbarheten hos samhällsviktig IT-struktur. Poängen Fredrik gör i sin artikel är att då det saknas såväl lagmässiga krav på säkerhet för dessa system som kompetens och metoder för att kravställa på säkerhet vid upphandling och effektivt hantera incidenter. Fredrik skriver:

En stor mängd samhällsviktig IT-infrastruktur saknar effektivt skydd mot IT-angrepp. Särskilt tydligt blir det i kommunal verksamhet, som till exempel vattenförsörjning och fjärrvärme. Här saknas ofta både kunskap och resurser för att stärka motståndskraften mot IT-angrepp, och det finns heller inga affärsrisker eller verksamhetskrav som driver på arbetet.

Den myndighet som ansvarar för området är Myndigheten för Samhällsskydd och Beredskap (MSB), Fredrik ser dock inte att MSB i dag gör det jobb som krävs:

SB har utarbetat en gammal hederlig femårsplan som de kallar ”strategi för samhällets informationssäkerhet 2010-2015”, och som ges ut i form av en glättig fyrfärgsbroschyr. I strategin saknas dock helt konkreta mål, och undermeningen tycks vara att om vi bara pratar med varandra så löser sig allt av sig självt. Detta strutsbeteende riskerar att leda till att vi möter ytterligare ett förlorat decennium vad gäller säkerhet och mognad i samhällsviktig IT-infrastruktur.

Det Fredrik ser behöver göras är istället att driva på konkreta riktlinjer och krav samt se till att de efterlevs:

Reglering och juridiska verktyg i all ära, men Sverige behöver gå i bräschen för att utforma europeiska riktlinjer för IT-säkerhet i styrsystem, och ställa konkreta krav på alla verksamheter som kan betecknas som samhällsviktiga.

Fredrik har även kompletterat artikeln med en kommentar på Kireis webbplats.

Även om jag inte är säker på om den hotbild (dvs vem som utgör hotet) stämmer, men Jag håller med Fredrik om det grundläggande problemet. Jag ser en trend mot ökad uppkoppling av SCADA-system till administrativa system, och då ofta över Internet med hjälp av radio. Det finns många goda effektivitets- och kostnadsskäl för detta. Men det är sällan förändringar i särkerheten för systemen diskuteras och hanteras när detta sker.