Certezza Krönika

Säg inte bara SAML

Tue, 31 Jan 2012 10:00:00 GMT

Identitetsfederering har nog aldrig varit så omtalat som nu. Konferenserna, föredragen och aktiviteterna avlöser varandra. Gemensamt är att de flesta talar om SAML som om SAML vore det allra mest självklara. Tyvärr är det kanske inte så självklart som det kanske först låter.

Vi var inblandade i en större interop hösten 2010 som gav en del eftertanke. Visst kunde vi, efter lite om och men, utbyta intyg (biljetter/assertion) mellan olika identitetsintygsleverantörer (IdP) och olika E-tjänsteleverantör (SP). Dock fick inte intygen vara för komplicerade. Exempelvis var det inte självklart att signerade intyg accepterades. Ooops kanske någon tänker, hur ska man då kunna verifiera äktheten i intyget? Bra reflektion!

Aktörer så som identitetsintygsleverantör och E-tjänsteleverantör använder asymmetriska nyckelpar där de publika nyklarna utbyts för att ge möjlighet till signaturverifiering och i förekommande fall även kryptering av intyg. Just nyckelutbytet är en utmaning som kräver lite uppmärksamhet. I de flesta exempel som återfinns idag så utbyts nycklarna på manuell väg och på tu man hand. Var och en kan förstå att detta inte är hållbart i längden och att det inte blir mycket till en identitetsfederation. En identitetsfederation som i sin enklaste form består av ett regelverk och en samlad bild av aktörernas publika nycklar (SAML-metadata).

En reflektion från interop aktiviteten hösten 2010 var just avsaknaden av förmåga till utbyte av SAML-metadata hos flera tillverkare och utvecklare av SAML-relaterade produkter. Fokus hos dessa har sannolikt varit just förmågan att kunna utbyta intyg inom ramen för web single-sign-on (WEB SSO) vilket har inneburit att kanske den viktigaste grundförmågan för att ingå i en federation har hamnat i skymundan.

I kravställningen räcker det alltså inte bara att säga att den aktuella produkten skall stödja SAML utan kravställningen måste vara tydligare än så. Helst bör kravställningen ske mot bakgrund av identitetsfederationens profil vilken just beskriver vilka SAML-förmågor som en identitetsfederation väntas använda. Hur skall man dock veta vilken profil som är aktuell i de olika nationella federationsinitiativ som nu är i görningen?

I ärlighetens namn har flera av initiativen varit lite väl tystlåtna i just det avseendet. Strömningarna pekar dock mot profiler såsom saml2int (deployment profil som beskriver hur SAML-förmågorna skall användas) och eGov2 (implementations profil som beskriver vilka SAML-förmågor som erfordras). Oavsett vilken profil ni använder för kravställning så kommer ni att träffa betydligt mer rätt än att bara kräva SAML stöd. Till dess den svenska arenan för nationell identitetsfederering tagit form är den enkla lösningen att omnämna flera profiler i er kravställning.

Vi kommer att verka för en ny nationell interop under våren 2012 med hopp om att stressa på marknadsaktörerna till en mer komplett SAML implementation än bara WEB SSOså att dessa inte blir ett hinder för de nationella federationsinitiativ som nu är på väg att blomma ut.

Nya enheter ställer krav på informationsklassning

Mon, 05 Dec 2011 11:14:00 GMT

Vi ser att smarta telefoner och läsplattor snabbt vinner mark. Plötsligt finns de på arbetsplatserna och förväntas hanteras i organisationen. Kunder och medborgare hejar på och vill kunna utföra tjänster ännu mer mobilt än tidigare. Vad betyder det här för säkerheten? Finns det nya hot och risker att hantera?

De nya enheterna har egenskaper som skiljer sig från andra. Den trådlösa kommunikationen kanske vi har vant oss att hantera. Men hur är det med utmaningar som autentisering, kryptering, patchhantering och skydd mot exempelvis skadlig kod?

Sverige och Norden har sedan internet blev kommersiellt legat i framkanten och ofta varit ett föredöme när det gäller säkerhet. De stora svenska bankerna var tidigt ute med internetbanker och har från början krävt stark autentisering för att kunna använda tjänsterna. Trots höga krav på kanske krångliga inloggningsmetoder har internetbank blivit en succé och fick snabbt många användare. Att erbjuda bra tjänster där fördelarna såsom tidsvinst och mobilitet är övervägande blir en framgångsfaktor.

Oavsett om enheten är en klassisk PC eller om det är i form av en telefon eller läsplatta som måste givetvis samma regelverk tillämpas. I grund och botten så är det informationens skyddsvärde som är avgörande för vilka administrativa- och tekniska åtgärder som skall vidtas. Här ligger utmaningarna!

Mobila plattformen såsom läsplattor och smarta telefoner är ny teknik och som så ofta har funktion gått före säkerhet vid lanseringen. En enkel lösning är att klassa ner informationstillgångarna och på så sätt anpassa informationens skyddsvärde till de nya mobila enheterna. Förhoppningsvis är detta ett otänkbart scenario utan mer rimligt att i vanlig ordning klassificera informationstillgångar och IT-system så att rätt tjänster erbjuds med rätt tillitsnivå.

Kanske är det så att utrustning som inte lever upp till de tekniska- och administrativa krav som ställs för extra skyddsvärd information inte heller skall ha åtkomst till den samma. Logiskt kan tyckas, men kanske är beslutet inte lika enkelt när det är just beslutsfattaren som precis fått en läsplatta i sin hand som skall ges samma möjligheter som all annan utrustning.

Givetvis går det inte att stoppa utvecklingen av ny teknik. Hur skulle det se ut? Det skulle inte vara till gagn för någon. Det informationssäkerhetsregelverk som tillämpas i form av policy och riktlinjer behöver i stället konkretiseras. Vad betyder det konkret att en informationstillgång har klassats i termer av mycket hög sekretess? Sannolikt krävs det rejäla ansträngningar för att regelverket skall bli så pass tydligt att de inte uppstår en ny frågeställning varje gång en ny teknisk innovation skall ges tillgång till skyddsvärda informationstillgångar. Då får ni en bra karta att arbeta utifrån och regelverket används i en beprövad och redan inövad process för bedömning av hur ny teknik kan komma till nytta för användare, nya affärsmöjligheter och tjänsteutbud.

Federationståget går med rasande fart

Mon, 05 Dec 2011 09:00:00 GMT

Hantering av lösenord har alltid varit ett gissel. Ett problem som vi blir påminda om nästan dagligen. Det kan exempelvis vara webbplatser som blir hackade och där de stulna lösenorden sedan användas för att komma åt andra tjänster. En möjlig lösning är att använda komplexa och unika lösenord för varje tjänst man använder.

Lösenord är dock inte den enda lösningen för att bevisa vem du är, utan även andra faktorer kan användas. Det kan vara något du vet (ex. lösenord), något du har (ex. smartcard), något du är (ex. fingeravtryck), eller något du gör (ex. beteendemönster). För att göra en tjänst säkrare så kombinerar man två eller flera faktorer och på så vis får något som kallas för flerfaktorsautentisering.

Det är viktigt att komma ihåg att hålla säkerheten på en lagom nivå. Alla tjänster behöver inte använda den säkraste metoden som finns. I vissa fall är risken/skadan inte så stor att det motiverar kostnaden för en sådan lösning. Därför är det viktigt att klassificera sitt system och bedöma vilka åtgärder som måste vidtas. Till sin hjälp har man olika ramverk, så som NIST 800-63, där man beskriver olika LOA (Level of Assurance) - alltså hur säker man måste vara på att användaren är den person den utger sig för att vara. Detta bygger då på den underliggande autentiseringslösningen och i kombination med hur utgivningsrutinen är uppbyggd. I första nivån räcker simpla PIN-koder, men sedan bygger det på med lösningar så som komplexa lösenord, mjuka certifikat, OTP-dosor och hårda certifikat.

Direkt när det börjar gälla något annat än fasta lösenord som autentiseringsmetod blir administrationen snabbt komplicerad. Det kan vara en sak att göra det internt eller mot en given kundbas, men skall man ha ett system som är flexibelt och skalbart så kräver det ett annat tankesätt. Det är här som identitetsfederering kommer in i bilden. I en federering ingår parter som i förväg kommit överens om att lita på varandras funktioner. En part som identifierar en användare kallas IdP (Identity Provider) medan en part som tillhandahåller en tjänst kallas SP (Service Provider), t.ex. en webbplats. IdP meddelar SP vem användaren är på ett kontrollerat och säkert sätt. Detta möjliggör för användaren att skapa en relation med den IdP som de litar på samt att administrationen blir decentraliserad.

Beroende på vilka som är målgruppen för en tjänst så kan det vara olika svårt att skapa tillit mot en IdP. Är det ett fåtal organisationer inom en region så är det ganska enkelt, men i en vidare grupp växer komplexiteten. Det pågår arbete inom detta område där man standardiserar kraven, metoderna, policyn och så vidare med hjälp av olika ramverk. Några stora exempel är Open Identity Exchange, Kantara och InCommon.

Vad gäller utbytet av identiteter och autentisering så bygger lösningarna allt som oftast på SAML, OpenID, eller Identity Metasystem. OpenID lämpar sig mer för vanliga webbplatser som vill ha enkel registrering av användare samt inte har de högsta säkerhetskraven, medan SAML är mer inriktad mot större lösningar med krav på hög säkerhet och kontroll av IdP:er.

Alla förutsättningar finns nu för att vi enklare ska kunna hantera vår identitet på Internet. Det används exempelvis redan på de svenska och internationella universiteten. Snart kommer vi också att ha en svensk e-legitimation som bygger på dessa principer. Är du redo att ta steget mot en bättre hantering av dina användare?

Först PGP, sedan S/MIME och nu DKIM, eller?

Fri, 18 Nov 2011 00:00:00 GMT

PGP och S/MIME är de vanligaste metoderna för att skydda sina epostmeddelanden mot otillåten modifiering under transport från avsändare till mottagare. De kräver dock att man har tillgång till en web-of-trust eller PKI.

För några år sedan publicerades DKIM (DomainKeys Identified Mail) där avsändaren skapar en signatur över sitt meddelande samt utvalda eposthuvuden. Signaturen skickas sedan med som ett eget eposthuvud. Meddelandet ser därför fortfarande helt normalt ut, även för en mottagare som inte förstår DKIM. Den mottagare som däremot kan hantera DKIM hämtar den publika nyckeln från avsändarens DNS och verifierar meddelandets integritet. Domännamnssystemet används då som en form av PKI.

Lika lätt som signaturen lades till i epostmeddelandet, lika lätt kan det tas bort av någon på vägen. Därför finns ADSP (Author Domain Signing Practices). Detta är en metod där avsändaren publicerar sin DKIM-policy i sin DNS. En mottagare letar först efter denna information för att veta om det ska finnas en signatur eller inte. Vidare kan man vara riktigt strikt och be mottagaren att kasta meddelanden som inte kan valideras.

När jag arbetade med DKIM under 2008 så var det bara ett fåtal domäner i Sverige som använde det. DKIM hade dock bara funnits i ett år då. Nu, tre år senare, så ser det rätt lovande ut. Exempelvis är det 27 % av de 500 mest besökta domänerna i världen som använder DKIM. Stödet finns även utbrett i epost- och antispamlösningarna.

De senaste årens erfarenheter och interoperabilitetstester har nyligen utmynnat i en uppdaterad standard (RFC6366). Detta som ett led i dess mognadsprocess och dess plats som ett verktyg i din antispam-verktygslåda.

Nu när aktörer och tillverkare på marknaden; så som Gmail, Hotmail, Yahoo, och Halon; har stöd för DKIM samt att standarden har mognat så är det god tid att börja signera och verifiera DKIM i de egna systemen. Signering och verifiering kan ske direkt ute hos klienterna, men allt som oftast så sköts detta centralt i organisationen i de inkommande och utgående epostservrarna. Mer information om DKIM går att finna här (http://www.dkim.org/).

Federala trojaner med diplomatstatus

Mon, 07 Nov 2011 14:00:00 GMT

I skymundan av uppståndelsen kring FRA-lagen och avlyssning av Internettrafik passerandes landets gränser, så pågår även diskussioner på EU-nivå om att ge polisen möjlighet till övervakning av datorer med så kallade federala trojaner i brottsbekämpningssyfte.

Detta är precis som avlyssning av Internettrafik inte en ny företeelse. I USA har övervakningssystemet "Carnivore" varit i drift sedan år 2000 för att avlyssna och lagra trafik som passerar USA:s gränser. Lika länge har FBI använt trojanen D.I.R.T (Data Interception by Remote Transmission) i projektet "Magic Lantern" för att övervaka datorer.

I Sverige finns redan en utredning om detta (SOU 2005:38) och tyska polisen använder trojaner redan idag för att logga tangentbordstryckningar, chattprogram, avlyssna Skype, ta skärmdumpar, m.m. Metoder som används för att installera programkoden är inte helt olikt hackares metoder. Genom bifogade filer i mejl, sårbarheter i operativsystem eller tillhörande program installeras programkoden på den misstänktes dator.

För att undvika problem med säkerhetsprogramvaror har myndigheter försökt att få diplomatstatus på dessa federala trojaner. I fallet "Magic Lantern" har FBI varit i kontakt med olika antivirusföretag för att säkerställa att programkoden inte detekteras som skadlig kod. Flera antivirusleverantörer hävdar dock att deras produkter inte släpper igenom sådan kod med hänvisning till att de inte kan veta om programkoden är skriven av polisen eller av hackare.

Det är kanske ändå inte svårt att räkna ut svårigheten med att hålla hackare borta från dessa åtråvärda trojaner. I fallet med Tysklands federala trojan, så har redan hackerklubben "Chaos Computer Club" genomfört en så kallad "reverse engineering" på programkoden, dvs. djup analys hur den är uppbyggd för att kunna hitta dess sårbarheter och för att göra det möjligt till egna anpassningar av programkoden. Att källkoden redan är publicerad på Intenet förvånar knappast någon.

När det gäller FBI-trojanen och projektet "Magic Lantern" tog det inte lång tid innan avarter dök upp på Internet. En av dessa går under namnet "Green Lantern" där programkoden är knäckt och nu finns tillgänglig på Internet tillsammans med FBI:s utförliga dokumentation och handbok. Programkoden detekteras dessutom inte i de vanligaste antiviruslösningarna idag.

Det är uppenbart att dessa trojaner kan vara bra verktyg för våra rättskipande myndigheter när det gäller att jaga brottslingar precis som att telefonavlyssning och husrannsakan är ovärderliga metoder för att gräva fram information om gärningsmäns kommunikation och tillhörigheter. Det stora problemet är att Internet är en annan typ av spelplan där hela världens experter, ond som god, finns samlade på samma plats. Det räcker om en bråkdel av dem har något att vinna på att använda myndigheternas teknik i egen vinning så kommer programkoden att, tvärt emot var det var tänkt, motverka sitt ursprungssyfte.

Vad är det värsta som kan hända?

Tue, 25 Oct 2011 15:00:00 GMT

Sannolikt är frasen "Vad är det värsta som kan hända" den absolut enklaste hot-, risk- och sårbarhetsanalysen som kan genomföras. När frågan ställs spontant så mynnar den vanligtvis ut i ett par-tre scenarios där, trots spontaniteten, svaret innehåller någorlunda prioriterade scenarios. Dessutom är risker för vilka vi inte är sårbara oftast bortgallrade. Kan det bli bättre och enklare mot bakgrund av den ringa insatsen?

Tillsammans med någon kollega brukar frasen också användas för att slå ihjäl tid, inte sällan på en resa till eller från en kund och oftast i större globalt samhällsperspektiv. Samhällsperspektivet har allt starkare band till IT. Vem har inte drabbats av samhällsstörningar som visat sig vara IT-relaterade?

Men, vad är det värsta som kan hända samhället ur ett IT-perspektiv? Det finns inte ett svar och det finns heller inget rätt svar utan beror på vem man frågar, vems perspektivet är och vad var och en lägger i begreppet "värsta". Jag skall återspegla tre scenarios som kan vara tänkbara kandidater.

Asymmetrisk kryptering - Hur många har inte reflekterat över att asymmetrisk kryptering är den absolut vanligaste metoden för att lösa frågor som autentisering, tillit, sekretess, riktighet med flera. Helt enkelt en grundbult som är av allra största vikt. Algoritmen som återfinns här heter RSA och den är uppkallad efter namnen på upphovsmännen Ron Rivest, Adi Shamir och Len Adleman som beskrev algoritmen 1977. Idag är det allmänt känt att nyckel med en längd av 768 bitar kan beräknas och 1024 bitar ligger inom räckhåll. Vi löser detta med längre nycklar, säg 2048 bitar eller kanske 4096 bitar. Nyckellängder är bara en del i problematiken. Nyckelhantering är inte sällan ett förbättringsområde. Algoritmen i sig kan inte antas vara vattentät för all evig framtid. Flera studier visar på ett ökat antal attackvektorer. Konsekvenserna om denna grundbult brister är katastrofala! Än värre är att vi har inget självklart alternativ…

Windows update - En våt dröm för många illasinnade är att ta över en infrastruktur likt Windows update. Betänk själva vilket enormt kraftfullt verktyg och vilken makt den som förfogar över infrastrukturen har. Dagens större botnet är i storleksordningen 50 miljoner kapade datorer vilka bleknar rejält i jämförelse. Enligt flera samstämmiga uppgifter finns Windows på över 80% av alla klientdatorer. Givetvis kör inte alla Windows update men det ger i alla fall en vägledning över infrastrukturens storhet. Windows update är omgärdade med mekanismer, såväl tekniska som administrativa, som skall förhindra det som inte får hända. Med vetskap om att det redan händer, men hittills inte i någon större skala, så kan var och en räkna ut att infrastrukturen redan är föremål för kapningsförsök. Konsekvenserna om infrastrukturer likt dessa hamnar i orätta händer står helt i relation till hur bra en kapning lyckas och hur väl motåtgärderna lyckas. Den kan vara allt från en katastrof till något som går obemärkt förbi. Det senare har redan hänt.

Elförsörjning - Om beroendet av IT kan inte sägas annat än att det är enormt. Att IT är beroende av el är knappast en hemlighet. Däremot kanske det inte är lika känt att elförsörjningen har allt starkare beroenden till IT. Hittills har elförsörjningens starkaste fiender varit väder och vind. Även den kartan ritas om. En illasinnad som önskar störa elförsörjningen kan med små insatser åstadkomma enorm skada med hjälp av IT som vapen. För att minska sårbarheterna behövs insatser på såväl elförsörjningssidan som IT-sidan. Den ömsesidiga samverkan som krävs är en utmaning i sig vilket ger detta scenario ännu högre grad av komplexitet i ett scenario som redan har en hög komplexitetsgrad. Konsekvenserna behöver knappast beskrivas.

Vilka är dina kandidater och vilka åtgärder är du beredd att vidta? Oavsett om det är realistiska och sannolika scenarios eller ej så är det av största vikt att tänka utanför de sedvanliga banorna för att minska uppenbara sårbarheter och effekterna av densamma.

Tänk var tiden går fort när man har roligt

Wed, 28 Sep 2011 10:00:00 GMT

Det är kanske ett av de vanligaste uttrycken och enligt min uppfattning ett av de uttrycken som fälls spontant och med en upplevd verklighet. För mig är det också det spontana uttrycket när jag tänker tillbaka på Certezzas första 15 levnadsår.

För 15 år sedan realiserades tanken att starta ett företag stark nischad mot IT-säkerhet och med kunskap som främsta handelsvaran. Det fanns inte då, ej heller nu, några tankar på att det var ett företag som skulle växa snabbt, vara beroende av riskkapital och nöja sig med kortsiktiga vinster. Vår önskan var snarare att utmana alla de aktörer som enligt vår uppfattning hade och har just detta fokus. Till vems nytta? Ja sannerligen inte till kundens nytta.

Vi ville uppfattas som ovanligt engagerade, resultatorienterade och med ett långsiktigt fokus. Något som genom åren blivit våra ledord, inte något krystat svåruppnåeligt, utan kort och gott vår anda.

1996 med en blomstrande konjunktur till mötes och med den nya ekonomin under uppsegling hissade vi våra segel. Jag kan inte säga att vi var överriggade utan fast bestämda med att klara alla tänkbar väderlek. Vi blev hånade av kollegor i branschen för att vi inte siktade på börsen, för att vi inte brände kapital på all sköns dårenskap och för att vi inte förstod den nya ekonomin. Branschkollegorna hade rätt, vi förstod inte den nya ekonomin, och det gjorde nog ingen annan heller när man ser tillbaka i backspegeln. Sunt förnuft kan låta trist och tråkigt, men det kan också vara just sunt.

Konjunktursvängningarna har inte påverkat oss i någon större utsträckning utan vi växer i takt med ökad efterfrågan och efterfrågan har återkommande varit över förväntan. Vi har som målsättning att vara lättillgängliga och aldrig tumma på våra högt ställda kvalitetskrav varför vi alltid försöker rekrytera i en takt som rimmar med våra målsättningar.

Det är också oerhört viktigt att vara ödmjuk inför framtiden. Att tro att vi inte kommer att drabbas av några kriser vore att dra för långt gående slutsatser av vår historia. I analogin med vår första seglats så är det av största vikt att planera sin seglats väl, att ha väl fyllda förråd och att vara rustade för att inte överraskas av väder och vind.

Melius est praevenire quam praeveniri - Det är bättre att förekomma än att förekommas är vårt motto vilket präglar så väl vårt dagliga arbete som hur vi seglar vidare med Certezza mot nya äventyr.

Nya äventyr är för oss nya innovationer och nya utmaningar. Informations- och IT-säkerhetsbranchen är kanske den gren inom IT som har den högsta förändringstakten. Förändringsbenägenheten, viljan att lära sig nya saker och en ständig nyfikenhet är kanske det som präglar den typiske kollegan. Utan våra fantastiska kollegor så skulle vi sannolikt inte vara det företag vi är idag och definitivt inte ha möjlighet att fortsatt utvecklas i en bransch med mycket högt ställda krav.

Det är allas våra ambitioner att Certezza skall var den naturliga säkerhetspartner så väl idag, som imorgon, som i övermorgon.

Är certifikatens tid förbi?

Thu, 22 Sep 2011 10:00:00 GMT

Den senaste tiden har det varit en stor diskussion kring om man ska kunna lita på certifikat. I synnerhet certifikat som används till SSL/TLS för att autentisera serversidan. Attackarena mot Comodo, StartCom och DigiNotar har givit rejäl fyr till brasan och flera förstå-sig-på'are dömer ut certifikaten en gång för alla.

Vi kan konstatera att det finns ca 1.500 certifikatutfärdare i världen som anser sig vara värda att lita på. Den vanliga användaren, du och jag, kan omöjligen veta vilka utfärdare som är slarviga. Holländska staten valde att lita på DigiNotar vilket de idag har all anledning att ångra.

Förfalskade identiteter och godtrogenhet har åtminstone funnits sedan Adam träffade Eva och den illvillige ormen bjöd på en tugga. Tilltron till certifikaten bygger också på en godtrogenhet där vi litar på att webbläsarleverantörer och operativsystemleverantören endast valt ut de utfärdare som andas tillit. Det kan givetvis diskuteras huruvida detta är en bra eller dålig modell. Vidare kan konstateras att certifikat tillförskaffade genom brottsliga metoder inte kan spärras på ett enkelt sätt och att ansvaret för att opålitliga certifikat finns i omlopp är högst oklart.

Mot bakgrund av detta bör man givetvis ställa sig frågan hur vi nu skall se på certifikat, inte minst i skenet av SSL/TLS-autentisering. Ska man tro de värsta olyckskorparna så kan vi nu inte vara säkra på att det verkligen är de sajter man tror sig gå emot som svarar på ditt anrop. I nästa mening propageras det för HSTS (HTTP Strict Transport Security) vilken är en teknik för att få webbläsaren att komma ihåg att en viss webbplats enbart skall besökas via HTTPS (SSL/TLS). Men, då erfordras ju någon form av certifikat och var det inte där skon klämde?

DNSSEC är otvivelaktigt ett steg i rätt riktning. Tekniken minskar möjligheterna till manipulation av DNS-svar vilket i sin tur minskar risken att du hamnar på en helt annan sajt än tänkt. Ett tänkbart nästa steg efter DNSSEC, och som snart ligger inom räckhåll, är DANE (DNS-based Authentication of Named Entities). DANE är en DNS mekanism som kan ersätta eller komplettera en PKI. Exempelvis kan en hash av en publik nyckel publiceras i DNS vilken ger en möjlighet att verifiera den publika nyckeln innan användning för att säkerställa att den inte komprometterats.

DNSSEC och DANE bygger på att vi har tilltro till DNS. Den filosofiske kan givetvis börja fundera på vad det är för egentlig skillnad mot att ha tilltro till en PKI. I grund och botten är det asymmetrisk kryptering vi talar och det är fortsatt samma utmaning - att fastställa vems den publika nyckeln är.

Det råder inga tvivel om att systemet med certifikat är i viss gungning. Det vore dock högst märkligt om det inte fanns mer eller mindre oseriösa aktörer bland de ca 1500 utgivare som vill göra sig gällande idag. Konkurrensen aktörerna emellan är tyvärr ofta fokuserad på pris och rimligen leder prispressen till avkall med omedvetna risker till följd. De seriösa aktörerna måste helt enkelt bli bättre att prata för sin produkt och våga ge betydande garantier.

Vi kommer garanterat att se fler aktörer som går under över en natt. Detta till trots så är certifikaten en betydande del i vår nuvarande IT-infrastruktur. Detta är ingenting som förändras över en natt och det finns inget självklart alternativ till certifikat. Däremot finns en rad intressanta komplement som tillsammans gör att den viktiga infrastrukturen kan ta ett viktigt steg i riktningen mot att bli mer robust än vad den är idag.

Hacktivism – politik eller skadegörelse

Fri, 26 Aug 2011 08:00:00 GMT

Det senaste året har sett en markant ökning i så kallad hacktivism, alltså hackerangrepp med ideologiska motiv. Löst sammansatta grupper som Anonymous, LulzSec och AntiSec publicerar dagligen information stulen från myndigheter, multinationella företag och grenar av det amerikanska försvaret.

Det löst sammansatta onlinekollektivet Anonymous har funnits sedan 2003 och medlemskap består helt enkelt i deltagande i någon av organisationens aktioner. Anonymous har starka ideologiska kopplingar till anarkism och arbetar huvudsakligen för yttrandefrihet och mot reglering av Internet. Angreppsmetoderna som används har varierat och var ursprungligen distribuerade DoS-attacker. Anonymous fick stor uppmärksamhet efter angrepp mot PayPal, Mastercard och Visa, efter att dessa företag blockerat betalningsmöjligheter till Wikileaks. Det är viktigt att poängtera att en DDos-attack inte komprometterar någon data utan helt enkelt blockerar tillgång till en webbsajt. Det är på gränsen till omöjligt att helt skydda sig mot DDoS-attacker men de är heller inte så allvarliga för de flesta typer av organisationer.

Därefter har flera undergrupper bildats utifrån Anonymous, exempelvis LulzSec vilka bland annat angripit Sony, FBI, CIA och säkerhetsföretaget HBGary. Dessa angrepp har huvudsakligen varit traditionella SQL-injektioner och utnyttjande av felkonfigurerade admingränsnitt. Genom att utnyttja sådana säkerhetsluckor har angriparna kunnat extrahera databasinnehåll som sedan publicerats på diverse onlineforum. För en IT-säkerhetsexpert är teknikerna som används inget nytt och LulzSecs metoder är inte heller särskilt avancerade. Angreppsätten har ett flertal år på nacken och praktiseras dagligen av angripare med större intresse av att dölja sina aktiviteter.

Det är möjligen förvånande att den här typen av högprofilerade organisationer inte har bättre kontroll på sina webbsajter. Å andra sidan är det mycket svårt även för en mindre organisation att ha god översikt över vilka applikationer som verksamheten publicerar. Gamla webbsajter med potentiella sårbarheter är ofta ett dåligt samvete hos IT-avdelningen, men kostnaden för att uppdatera sajten och bakomliggande system är ofta "för hög".

Så hur kommer det sig att det verkar vara så svårt att bygga ett säkert system? Grundproblematiken är att det är lättare att förstöra än att designa och bygga. Som Sam Rayburn så elegant uttryckte det: "Any jackass can kick down a barn, but it takes a good carpenter to build one". Samma princip gäller webbapplikationer. Det är omöjligt att utveckla en felfri applikation och några av de buggar som med nödvändighet uppstår kommer att vara säkerhetsrelaterade. Det finns tyvärr inga genvägar till säkra IT-system utan det krävs ett kontinuerligt, fokuserat arbete inom såväl kravställning, som implementation, konfiguration och testning.

Sammanfattningsvis bör påpekas att oavsett bakomliggande motiv är dataintrång och DoS-attacker brott och bör behandlas som sådana. Öppenheten på Internet är ingen ursäkt för att begå olagliga handlingar. Samtidigt går det inte att komma ifrån att Anonymous har lyckats placera IT-säkerhet som samtalsämne på cocktailpartyt. Det måste sägas vara allt annat än en liten bedrift.

Samverkan - Hur svårt kan det va´?

Thu, 16 Jun 2011 14:41:00 GMT

Efter att ha arbetat med identitetsfederering i ganska många år förvånas jag fortfarande över beteendet organisationer i mellan. Vi både vill och inte vill samverka. Ofta är utgångspunkten: "Skall vi samverka så skall det ske helt efter mina villkor".

Många gånger har tankarna förflyttas till den privata sfären seende mig själv studera barnen som leker, kanske i en sandlåda. Leken blir oftast som bäst ner man ger och tar. Barnet som på egen hand bestämmer villkoren och som dikterar kraven för leken blir rätt ofta sist kvar i sandlådan. Och efter en stund blir förvånad över att de övriga barnen hittat en annan arena för en betydligt fruktsammare lek.

Identitetsfederering handlar kort och gott om att använda befintliga infrastrukturer för elegitimering, dvs identifiering och autentisering.

Den som producerar e-tjänster har i stor omfattning ännu inte uppfattat fördelarna med identitetsfederering. Flertalet tänker fortfarande i termer av egna lösningar för e-legitimering. Lösningar som allt som ofta är enormt kostnadsdrivande. I en identitetsfederation är det i princip bara tre förmågor som krävs, förmågan

att kravställa ett identitetsintyg
att i tillräcklig grad lita på utfärdaren av identitetsintyget
att konsumera ett identitetsintyg.

Det två förstnämnda förmågorna brukar vara förvånansvärt svåra. Jag har full respekt för tillitsfrågan, men jag har betydligt svårare att förstå att den som har en e-tjänst inte kan tydliggöra vad e-tjänsten behöver veta om användaren…

Tillitsnivån är en knäckfråga, oavsett identitetsfederationer eller ej, och den måste var och en ha respekt för samtidigt som viljan måste finnas att flytta positionerna framåt. Initiativ som Kantara, Stork, ISO (kommande standard 29115), NIST (NSTIC) med flera bidrar och för ovanlighetens skull så verkar de i stort sett i samma riktning. NSTIC (National Strategy for Trusted Identities in Cyberspace) är det projekt som uppskattningsvis omgärdas av mest resurser och har den högsta hastigheten. Målet är ett fungerande tillitsramverk för ekosystemet av identiteteter.

Alla initiativ som bidrar till ett tydligt ramverk utan några säkerhetsmässiga avkall och som värnar om öppenhet samt inte motverkar användandet av öppna standards välkomnas. Tyvärr infinner sig en oroskänsla att de starkare krafterna som verkar på den svenska arenan i alltför stor utsträckning önskar lösningar som bidrar med nya inlåsningseffekter likt eID2008, infratjänsten och nya påfund till "förenkling" vilket knappast leder i en riktning där det skall vara så enkelt som möjligt för så många som möjligt.

I de flesta sammanhang diskuteras identitetsfederering ur perspektivet stark autentisering. Tyvärr diskuteras det alldeles för sällan ur alla andra perspektiv där kraven på tillit är lägre men där förlusten av ett användarid och lösenord kan få oanade konsekvenser. Jag behöver knappast räkna upp alla exempel där kontoinformation stulits och där lösenord med enkla medel knäcks. Tekniken för identitetsfederering kan göra stor skillnad även här och till skillnad mot där det ställs krav på en hög tillitsnivå är det betydligt enklare här att upprätta tillit mellan den som kan ställa ut ett identitetsintyg och den som kan konsumera ett identitetsintyg. Näst intill en icke-fråga.

Även om vi sakta rör oss i en identitetsfedereringsriktning så är det tyvärr alltför många sammanhang där det fortfarande finns en önskan att på traditionellt sätt sammanställa information "utifall att". Dvs vi vill ha gigantiska databaser, inte sällan kataloger, som förväntas veta allt om oss. Det positiva här är att allt fler förstår att skilja på identiteten (vem jag är) och alla dess egenskaper jag kan ha såsom roll, uppdrag, juridisk behörighet etc.

Identiteten är och förblir JAG, sedan kan den givetvis presenteras i andra termer än ett personnummer, kanske till och med en pseudonymiserad identitet. Låt sedan andra källor än e-legitimationen bidra med mina egenskaper och inse att dessa källor gör sig bäst i en decentraliserad form. Varje försök till att förädla, samla och sammanställa information innebär risker att informationen tappar i värde. I en identitetsfederation sammanställs informationen när den efterfrågas och direkt från den källan. Jag behöver knappast förtydliga vilka enorma besparingar detta ger och då inte bara de ekonomiska besparingarna utan vinsterna är minst lika stora ur ett informationssäkerhetsperspektiv.

Innan du bestämmer dig för att samverka så är det en fråga som behöver besvaras med en positiv viljeinriktning. Litar du på den du skall samverka med, eller förväntas övriga parter att samverka helt efter dina villkor? Kort och gott - vill du helt enkelt samverka, eller kanske är sandlådan inte så dum när man väl är själv i den?

Håll hårt i nycklarna när du kan

Fri, 13 May 2011 14:00:00 GMT

Vi läser om det ena lyckade intrånget efter det andra och kan konstaterar kort "att de aldrig lär sig". Merparten av intrången är möjliga på grund av att det slarvas, medvetet eller omedvetet. Få intrång använder teknisk finess. Varför skulle man använda teknisk finnes när det inte behövs? Vilken väg väljer den vanlige inbrottstjuven? Vanligtvis den enklaste. Vad sägs om den öppna dörren? I den digitala världen är den öppna dörren inte sällan skyltad…

Trots vetskapen om att var och varannan är sårbar, vilket skall ses i en tid av kraftigt ökad kriminalitet på nätet, så fortsätter slarvet. Vi förflyttar dock oss sakta i en bättre riktning. Det tar inte längre ett år (för alla) att täppa till en känd sårbarhet, åtminstone inte i en exponerad Windowsbaserad webb som har automatiserade uppdateringsrutiner. Det har helt enkelt blivit enklare att patcha och då patchas det snabbare och i större utsträckning.

Om sårbarheter i operativsystem och underliggande tjänster förhoppningsvis snart tillhör historien, så finns det ny terräng för den illvilliga. Ett av de bättre exemplen är alla PKI-byggen som helt saknar struktur. Ett PKI som skall andas förtroende, kanske enbart byggs i syfte att släcka den "irriterande" certifikatvarningsrutan som kommer upp i webbläsaren. En PKI som skall andas tillit, har en root-nyckel som sedan länge är på vift.

Detta då kunskapen om varför en privat nyckel är och förblir en hemlighet helt enkelt saknas. Kanske är det inte märkligt att det är så illa med tanke på att gemene man tror att det är certifikatet man skall vara rädd om…

I jakten på att släcka certifikatvarningsrutan så är givetvis ett alternativ att välja billigast tänkbara certifikat. Det är kanske ingen nyhet att även kommersiella byggen kan vila på högst tveksamma grunder i jakten på snabba pengar. Bästa exemplet just nu är väl Comodo där illvilliga lyckats utfärda certifikat, vilket kort och gott kräver tillgång till den privata nyckeln. Den delen av nyckelparet som man skall vara rädd om och hålla hemlig. Inte tvärt om.

I den vanliga världen skulle vi inte anförtro våra barn med att förvara nyckeln till familjens bankfack, trots att barn redan i tidig ålder förstår att en nyckel skall man vara rädd om. De har helt enkelt inte den struktur och de rutiner som ett sådant ansvar är förenat med och de kan heller inte förväntas ha det.

Boenden på en gemensam adress, kanske ett större hyreshus, skulle sannolikt inte acceptera att de hade samma nyckel till alla lägenhetsdörrar. I den digitala världen kan vi av någon märklig anledning tänka i de banorna.

Låt inte arbetet med att flytta positionerna i det ständiga säkerhetsförbättringsarbetet leda i en riktning som gör att den illvillige ges nya möjligheter. Välj inte genvägar om du inte vet vad det innebär, och när du faktiskt ges möjlighet: håll hårt i nycklarna!

IPv6 sårbart!

Wed, 20 Apr 2011 00:00:00 GMT

Tänk vad en rubrik kan väcka uppmärksamhet. Att artikeln, krönikan eller reportaget sedan inte behöver höra samman med rubriken är snarare en regel än ett undantag. Den här krönikan lever i det perspektivet i ett gränsland.

För ett par veckor sedan slogs det upp stort att IPv6 var förenat med stora risker och innehöll en rad sårbarheter. Vid en närmare granskning är det lätt att konstatera att den enda relationen till IPv6 är att den illvillige utnyttjar det faktum att flera organisationer tillåter IPv6 trots att de inte har några fungerande säkerhetsmekanismer likt brandväggar och inspekterande mekanismer likt IPS som kan hantera IPv6. Detta faktum har flera redan uppmärksammat vid inkapsling av traditionell IPv4 trafik i okrypterad IPsec, exempelvis Microsofts koncept Servers and Domain Isolation (SDI) som inte bara isolerar trafik från oönskade aktörer utan även från övervakningsutrustning likt IPS och antivirus.

En beslutsfattare idag måste vara en riktigt duktig beställare. Lägg till detta en materia som är ovanligt rörlig och som grädde på moset en massa informationsbrus likt exemplet ovan. Oavsett om en funktion skall hanteras i egen eller annans regi behövs en rejäl dos kravställning då få leverantörer idag tänker, eller än mindre agerar utöver de givna ramarna. Tidigare, och oftast i egen regi, har diffusa krav oftast löst sig när det väl hamnar i utförarledet. Kravet på en fullödig beställning var sällan något problem då det även låg i utförarens intresse att det blev en förväntad leverans. Kassakon för dagens aktörer, inte minst de som verkar i outsourcing branschen, är att ta bra betalt för det som inte kravställts. Själva outsourcingkontraktet är inte sällan en ren förlustaffär.

Säkerhetsbranschen är extra tacksam när det handlar om att få mediautrymme. Vem som helst med lite finess och övertygelse, gärna med en lat skribent som måltavla, utan större problem få en sensationsrik rubrik följt av ett innehåll som kanske till en början uppfattas ha substans. Den källkritiska läsaren har redan efter ett par-tre sekunder sållat bort artikeln och kan fortsatt navigera tryggt. För övriga är det ytterligare ett orosmoln som tonat upp, dessutom parallellt med att IPv4 adresser sinar. Kanske en ny anledning till att avvakta?

Sårbarheterna och riskerna som målades upp i det aktuella fallet bygger på en rad antaganden som borde oroa oavsett IPv6 eller ej. Exempelvis förväntades den illvillige redan ha kontroll över viss intern utrustning. Jag tror att även den som kör IPv4 skulle känna viss oro över det faktumet.

Liknelsen med berättelsen om de tre små grisarna haltar en hel del, men det faktum att den som bygger ett rejält hus från grunden inte behöver oroa sig när det blir dåligt väder, och det blir det som bekant i emellanåt. En kanske grå och trist sanning, men sanningen är sällan en sensation!

IPv4 närmar sig slutstationen

Tue, 15 Mar 2011 00:00:00 GMT

För er som inte vill begränsas i den fortsatta användningen av Internet så är det dags att växla spår. Ni kan självfallet fortsätta att åka på den gamla rälsen och umgås med alla som gör det samma, men allt nytt umgänge kommer att ske på ny räls. Räls och räls, fysiskt är det i stort sett samma infrastruktur, men logiskt är det skild infrastruktur.

Det som väckt liv i IPv6 är det faktum att Internet Assigned Numbers Authority (IANA) som har ett globalt ansvar för tilldelningen av IP-adresser nyligen delat ut de sista tillgängliga IPv4 adresserna till de fem regionala organisationerna (AfriNIC, APNIC, ARIN, LACNIC och RIPE NCC). Var och en fick ett sista /8 block.

Den europeiska organisationen RIPE NCC räknar med att det räcker till oktober/november 2011. APNIC förutspås nå slutet först, uppskattningsvis redan i augusti.

RIPE NCC kommer att hantera det sista /8-blocket olikt övriga block som tidigare delats ut. All tilldelning ur det sista blocket kommer bara att ske till organisationer som har IPv6 adresser tilldelade. Det innebär att om ni inte har ansökt och tilldelats några IPv6 adresser kan ni heller inte räkna med några IPv4 adresser ur det nya blocket. Det kommer inte att delas ut några PI-adresser (provider independent, dvs adresser som inte tillhör någon internetleverantör) ur det sista blocket.

Om ni har behov av IPv4 PI-adresser måste ni ansöka om detta idag för att om möjligt få dessa ur ett tidigare tilldelat /8 block.

Vi har följt de större svenska operatörernas IPv6 resa sedan 2008. Det har långt ifrån varit en angenäm resa. I början av 2009 så var det endast 30% av dem som kunde leverera IPv6 till oss. Vid en förnyad förfrågan i början av 2011 så har vi nått 50%. Det är med andra ord bara varannan operatör som kan tillhandahålla IPv6. Inom kort släpps en mer omfattande undersökning som PTS genomfört och den lär visa samma mörka bild.

Kanske än mer skrämmande är flera av operatörernas inställning till IPv6. T3 skriver i sitt svar till oss "I dagsläget använder vi inte IPV6. Det är inte släppt ännu, då själva Internet inte är redo för detta ännu. Tills världen är redo kör vi IPV4! Därefter kommer vi naturligtvis köra IPV6."

Det är bara att konstatera att det finns ett A-lag och ett B-lag på den svenska marknaden av operatörer. Ni som valt en operatör från B-laget gör klokt i att se över det parallellt med att ni stakar ut er egen plan för att införa IPv6.

Vår uppfattning är det är hög tid att agera nu. Inte minst för att undvika att hamna i en situation där man tvingas till ett forcerat införande. Det faktum att IPv6 skall införas råder det inget som helst tvivel om så varför vänta?

Ensam är chanslös

Tue, 01 Feb 2011 12:00:00 GMT

Praktiska opinionsyttringar tar sig allt större krafter och har redan passerat gränsen där de kan anses vara samhällskritiska. Reaktionen från vad som sannolikt var grannen i öster vid flytten av bronsstatyn i Estland kan anses vara en milstolpe i mer än en bemärkelse. Reaktionerna i kölvattnet av rondellhundar, Piratebay rättegången och nu senast anklagelserna mot en av Wikileaks grundare var väntade. Väntat är också alla kreativa lösningsmakare som ånyo trollar fram något som drar parallellerna till Pandoras ask. Efter en enkel webbsökning på "DDoS protection" förstår du vad jag menar.

En distribuerad belastningsattack är ingen enkel utmaning. Tvärtom, det är en riktigt svår utmaning, kanske en av de svåraste, och det gäller att inse det från början.

Estlands kapacitet med omvärlden vid det aktuella tillfället var ca 700 Mb/s. Att beställa en "molntjänst" som gör förbindelsen obrukbar under ett dygn är som att beställa vilken tjänst som helst och prislappen är i storleksordningen som en begagnad buss. Estland var givetvis inte beredda på detta, men de hade två riktigt bra fördelar. Dels hade de, till skillnad från exempelvis Sverige vid den tiden, bara en myndighet som hade ett utpekat samordningsansvar vid händelser likt detta, dels så var det en internationell IT-säkerhetskonferens i Estland vid det aktuella tillfället. Detta sammantaget gjorde det möjligt att använda flera av konferensdeltagarnas kontaktnät för att strypa flödet närmare källorna.

Erfarenheterna talar sitt tydliga språk. En belastningsattack bemästrar man inte själv och ingen skall tro att det finns någon feature till webbservern, brandväggen eller IPS'en som löser detta. Samspelet med operatören, operatörens egen förmåga och operatörens samspel med andra operatörer är helt avgörande.

Samspelet i Estland skedde helt händelsestyrt och manuellt med stora inslag av tur och skicklighet. Sannolikheten att kunna efterlikna den är ringa. Erfarenheterna från Estland som nu har ett antal år på nacken, tillsammans med flertalet erfarenheter från likartade händelser därefter, gör att det börjar utkristallisera sig en best practice på området.

Lärdomen, om det inte redan framgått, är att till en rimlig gräns se om sitt hus. Det gäller att uppnå en nivå där man vågar yppa ordet robust. Det gäller förövrigt alla, oavsett om man kan antas ligga i en riskzon eller ej. Nästa steg är att nagelfara operatörerna och sedan tillsammans med de operatörer som kan antas ha de rätta förmågorna etablera en nödlinje.

Det senare kräver sin förklaring. Huvudstrategin vid bekämpning av en belastningsattack är att gräva sig fram till källorna och täppa till flödet så nära källan som möjligt och det så snabbt som möjligt. Operatören kan oftast fatta grova beslut utan din hjälp, men skall du få en effektiv lösning behöver operatören hjälp i sitt beslutsfattande. Detta kan givetvis ske manuellt, men vis av erfarenhet så inträffar de flesta incidenter vid ett tillfälle där de manuella rutinerna lämnar övrigt att önska.

Även om arbetet med att förhindra DDoS-attacker är i sin linda, så går det att urskönja lösningar där samspelet mellan dig och operatören kan automatiseras. Den utrustning som normalt återfinns, främst som skydd mot utnyttjande av kända sårbarheter, har ibland även förmågan att upptäcka andra former av avvikelser. I fallet med belastningsattacker är de som tidigare sagts dessvärre chanslösa. Däremot kan de skicka en signal till operatören som utifrån detta kan påbörja sitt nedsläckningsarbete. Ju tidigare arbetet kan påbörjas desto större chans är det att skadan av belastningsattacken kan minimeras.

Lagarbetet är nyckeln till framgång och dessvärre är det den enda nyckeln även om finansiärerna till en samling coola produkter och tjänster lever i en helt annan tro.

© 2011 Thomas Nilsson, Certezza AB

Roten till det goda, eller roten till det onda

Wed, 19 Jan 2011 08:00:00 GMT

När vi nu påbörjar ett nytt år kan det vara värt att reflektera över vad som hände 2010 och samtidigt spekulera lite kring framtiden.

En trend som definitivt gick att skönja under förra året är att användning av stark autentisering slutligen börjar få fäste i såväl offentliga som privata organisationer. En konsekvens av detta är att användning av PKI (den först hyllade och sedan ifrågasatta tekniken) för tillämpningar utanför SSL-sfären börjat ta fart på allvar. Äntligen, skulle man kunna säga, har PKI och stark autentisering tagit steget från att vara tekniker som ska revolutionera framtiden till att faktiskt användas.

Men inget säkerhetssystem är starkare än sin svagaste länk. Stark autentisering i all ära men för att realisera ett autentiseringssystem på en hög säkerhetsnivå krävs det mer än att bara köpa in smarta kort eller en OTP-lösning. På samma sätt är det väl värt att tänka igenom sin PKI-struktur både en och två gånger innan man skapar en egen CA (Certificate Authority) och börjar utfärda certifikat.

Att alla elektroniska identiteter inte kan anses vara likställda utan har en inbördes rangordning är ett väletablerat faktum, stark autentisering är bättre än användarnamn/lösenord osv. Dock är det minst lika viktigt hur identiteten utfärdats och knutits till en användare. En organisation med tio stycken OTP-dosor liggande i receptionen med standardlösenordet '1234' kanske istället borde använt användarnamn och lösenord. Exemplet är extremt men poängen är att hanteringen av elektroniska identiteter, inklusive utfärdande och återtagande är lika viktigt som själva autentiseringsmetoden. För att kunna värdera elektroniska identiteter har NIST (National Institute of Standards and Technology) och Kantara Initiative tagit fram en fyrgradig skala för så kallade tillitsnivåer, vilket är en kombination av autentiseringsmetod och identitetshantering. Detta arbete kommer inom snar framtid att realiseras som ISO-29115.

När det gäller PKI specifikt finns det många möjliga fallgropar. Precis som för andra former av stark autentisering är det viktigt att hantera identiteter på ett genomtänkt sätt. Kanske ännu viktigare är dock att garantera en god säkerhet för de privata nycklarna som hör till CAs. Om misstanke finns om att dessa nycklar hamnat i orätta händer faller förtroendet för PKI-hierarkin och samtliga certifikat som utfärdats under den komprometterade CAn måste revokeras. Den goda roten har ruttnat och måste ersättas vilket medför stort merarbete.

Privata nycklar kan skyddas med en hårdvarubaserad kryptoaccelerator kallad HSM (Hardware Security Module). En HSM lagrar nycklar i hårdvara och kan genomföra diverse kryptografiska operationer. HSM:er används inte bara för PKI-tillämpningar utan för SSL-accelerering, banktransaktioner och den senaste tiden även för DNSSEC. En HSM kan tyckas vara en stor investering men är ofta den bästa vägen att garantera en god säkerhet för en CA. Nycklar som lagras i mjukvara och därmed kan kopieras utgör alltid en säkerhetsrisk och när det gäller en CA-nycklar finns det inte utrymme för några misstag.

Ovanstående aspekter är extra viktiga att ta hänsyn till med tanke på det utökade samarbete som idag sker över organisations- och landsgränser, framförallt med federativa lösningar. En implementerad autentiseringslösning som inte har en god identitetshantering eller hantering av känsliga nycklar kanske helt måste byggas om för att åtkomst ska kunna ges till tillämpningar med höga krav på tillitsnivå. PKI var det nya modeordet för 10 år sedan och har nu börjat realiseras i praktiken. Med lite tur tar det inte tar 10 år till innan dagens modeord som tillitsnivåer når samma användningsacceptans.

© 2011 Andreas Nilsson, Certezza AB

Finns det risker i vår komfortzon?

Tue, 21 Dec 2010 00:00:00 GMT

Finns det risker i vår komfortzon, vår domän som vi är vana att arbeta i och där stigarna är upptrampade?

Hur många gånger har vi inte blivit förvånande över skeenden som när de väl inträffade framstår som självklara. Med lite eftertänksamhet kan vi ofta konstatera att det inte skulle krävt någon större energi att inse att det skulle hända. Trots denna insikt så balanserar vi bland tusentals risker varje dag och det går trots allt rätt bra. Inom vår komfortzon är vi helt enkelt rätt skickliga på att hantera risker och parerar därför flertalet händelser i realtid istället för att förebygga och eliminera risker.

I vardagen så har flera av oss senaste tiden ondgjort oss över tåget, bussen och kanske tunnelbanan som sannerligen inte klarar lite löv på rälsen, som inte klara några centimeter snö och som inte klarar sig utan något underhåll. Det sistnämnde är minst sagt häpnadsväckande. Någon har alltså medvetet förkortat livslängden på något som har en betydligt längre förväntad livslängd och som man i övrigt har planerat utifrån. Bristen på underhåll i kombination med någon yttre inverkan som exempelvis "extermt" väder gör kollektivtrafiken väldigt sårbar. Om en av riskerna hade eliminerats så att det sannolikt fungerat tillfredställande, men kombinationen är förödande.

Störningar och kanske incidenter som uppstår genom direkta händelser är vi trots allt rätt vana vid och vi vet oftast hur vi skall hantera dem. Åtminstone om alla övriga omgärdsfaktorer är intakta. Sätts någon ytterligare faktor ur spel så uppstår situationer som vi inte har någon vana av att hantera och vi har inte ens några känslor att gå efter. I värsta fall famlar vi i ett obekant mörker och blir inte sällan irrationella.

Vi kan alltså konstatera att vi kan hantera vardagens situationer rätt bra. Vi har gjort en rad aktiva val där vi kan konstatera att vi inte behöver eliminera en rad risker för vi kan hantera dem när de inträffar. Kort och gott är vi inte sårbar för vi kan parera olika skeenden. Ibland utan att ens reflektera över dem. Vi ser det helt enkelt inte som risker längre.

Inom ramen för vår profession kan vi konstatera att beteendet återfinns även här. Gemene man, och för den skull hela organisationer, vardagsnavigerar förvånansvärt bra, trots en rad dåliga samveten, en handfull kända sårbarheter och för att inte tala om alla dessa hot och risker som vi löpande konfronteras med. På agendan finns en ambition att arbeta aktivt, strukturerat och förebyggande med dessa frågor. För flera blir det senare inte realitet förrän en större incident inträffat och uppmärksammats.

Det strukturerade och aktiva arbetet skall absolut inte förringas. Däremot finns det mer att önska av det förebyggande arbetet. När det förebyggande arbetet är handfast och konkret så ger det absolut effekt, men när det lindas in i teoretiska modeller med relativt banala scenarios då är vardagsnavigeringen fortsatt att föredra hur illa det än låter. Den teoretiska modellen och ett banalt scenario kan till och med bli ett hinder.

Därmed inte sagt att vi inte skall arbeta förebyggande. Vi skall självfallet öva och vi skall måla upp scenarios som vi lär oss att hantera. Men, krafterna måste riktas in på att utvidga komfortzonen som gör att vi kan anta helt nya utmaningar och tryggt navigera under allt svårare förhållanden.

De upptrampade stigarnas tid är förbi.

Vidga komfortzonen

Tue, 30 Nov 2010 00:00:00 GMT

Hur många gånger har vi inte blivit förvånande över skeenden som när de väl inträffade framstår som självklara. Med lite eftertänksamhet kan vi ofta konstatera att det inte skulle krävt någon större energi att inse att det skulle hända. Trots denna insikt så balanserar vi bland tusentals risker varje dag och det går trots allt rätt bra. Inom vår komfortzon är vi helt enkelt rätt skickliga på att hantera risker och parerar därför flertalet händelser i realtid istället för att förebygga och eliminera risker.

I vardagen så har flera av oss senaste tiden ondgjort oss över tåget, bussen och kanske tunnelbanan som sannerligen inte klarar lite löv på rälsen, som inte klara några centimeter snö och som inte klarar sig utan något underhåll. Det sistnämnde är minst sagt häpnadsväckande. Någon har alltså medvetet förkortat livslängden på något som har en betydligt längre förväntad livslängd och som man i övrigt har planerat utifrån. Bristen på underhåll i kombination med någon yttre inverkan som exempelvis "extermt" väder gör kollektivtrafiken väldigt sårbar. Om en av riskerna hade eliminerats så att det sannolikt fungerat tillfredställande, men kombinationen är förödande.

Störningar och kanske incidenter som uppstår genom direkta händelser är vi trots allt rätt vana vid och vi vet oftast hur vi skall hantera dem. Åtminstone om alla övriga omgärdsfaktorer är intakta. Sätts någon ytterligare faktor ur spel så uppstår situationer som vi inte har någon vana av att hantera och vi har inte ens några känslor att gå efter. I värsta fall famlar vi i ett obekant mörker och blir inte sällan irrationella.

Vi kan alltså konstatera att vi kan hantera vardagens situationer rätt bra. Vi har gjort en rad aktiva val där vi kan konstatera att vi inte behöver eliminera en rad risker för vi kan hantera dem när de inträffar. Kort och gott är vi inte sårbar för vi kan parera olika skeenden. Ibland utan att ens reflektera över dem. Vi ser det helt enkelt inte som risker längre.

Inom ramen för vår profession kan vi konstatera att beteendet återfinns även här. Gemene man, och för den skull hela organisationer, vardagsnavigerar förvånansvärt bra, trots en rad dåliga samveten, en handfull kända sårbarheter och för att inte tala om alla dessa hot och risker som vi löpande konfronteras med. På agendan finns en ambition att arbeta aktivt, strukturerat och förebyggande med dessa frågor. För flera blir det senare inte realitet förrän en större incident inträffat och uppmärksammats.

Det strukturerade och aktiva arbetet skall absolut inte förringas. Däremot finns det mer att önska av det förebyggande arbetet. När det förebyggande arbetet är handfast och konkret så ger det absolut effekt, men när det lindas in i teoretiska modeller med relativt banala scenarios då är vardagsnavigeringen fortsatt att föredra hur illa det än låter. Den teoretiska modellen och ett banalt scenario kan till och med bli ett hinder.

Därmed inte sagt att vi inte skall arbeta förebyggande. Vi skall självfallet öva och vi skall måla upp scenarios som vi lär oss att hantera. Men, krafterna måste riktas in på att utvidga komfortzonen som gör att vi kan anta helt nya utmaningar och tryggt navigera under allt svårare förhållanden.

De upptrampade stigarnas tid är förbi.

Attributsintyg - Ett enklare sätt att umgås

Sun, 31 Oct 2010 00:00:00 GMT

I alla de sammanhang vi har behov av att umgås över gränserna uppenbarar sig identitetsfederering som en möjliggörare, inte minst i alla de sammanhang där det inte går att enas i den detaljgrad som varje enskild lösning ofta kräver. Det är betydligt enklare att förälska sig i ramverk som även fokuserar på mjuka frågor som utfärdande utan att på detaljnivå reglera alla tekniska delar. Kantara Initiative Assurance Framework, som står modell för den kommande standarden på området ISO/IEC 29115, är ett lysande exempel.

Nåja, vad är väl en identitetsfederering? Den kan vara dötrist och långtråkig och alldeles... alldeles underbar!

Det senare stadiet infinner sig först när vi tar steget från att enbart federera identiteter och ser alla andra möjligheter som en identitetsfederation kan ge. En bal på slottet kanske är att ta i, men en och annan ytterligare samverkansknut går definitivt att lösa upp. För att nå dit hän är det på plats att ånyo reflektera över historien för att undvika de första klassiska misstagen. Här kommer två exempel:

Vi behöver samverka över gränserna och min autentiseringslösning är undermålig. Vi identitetsfedererar! Fel - Identitetsfederering gör inte den egna autentiseringslösningen bättre!

Vi behöver samverka över gränserna och min autentiseringslösning uppfyller alla tänkbara krav. Vi identitetsfedererar! Kanske rätt, men oftast är genomförandet halvhjärtat. Endast identiteten federeras. Övriga samverkansproblem löses ånyo på klassiskt vis, där katalogsynkronisering brukar vara först ut följt av andra behov av bakomliggande synkronisering av information.

Men även en resa på tusen mil börjar med ett steg och det går dock inte att bortse från att även det första stapplande steget kan vara förlösande, inte minst ur ett e-tjänsteperspektiv. Glöm alla olika implementationer för att täcka en flora av autentiseringslösningar och glöm alla konstlade lösningar för att lösa single-sign-on. Nu räcker det med att e-tjänsten har förmågan att konsumera intyg (biljett, ticket). E-tjänsteleverantören behöver nu enbart kravställa innehållet i intyget. Hur banalt det än låter så är detta en av de större utmaningarna.

Rätt kravställda intyg är avgörande för hur lyckad en samverkan i slutändan blir.

I planeringsstadiet där lösningarna endast befinner sig i presentationsform, är det ofta enkelt att med några streck visa hur man bäst föder en e-tjänst. Exempelvis att behörighetshanteringen kan ske inom ramen för attributsintyg, där den egna organisationen, utöver att berätta VEM vederbörande är, också berättar VAD vederbörande får rätt att utföra. I det verkliga livet är det betydligt mer omfattande att realisera ett streck på tavlan, speciellt utan att göra våld på befintliga system och standarder. Varje streck bör därför noga motiveras innan det realiseras.

Genom att konsolidera användaradministration och autentisering till ett antal specialiserade identitetsintygsutfärdare kan flera av dagens funktioner i e-tjänsten koncentreras till att enbart använda informationen, inte administrera densamma. En hanteringsvinst som kanske inte är uppenbar i det första skedet men vilken kommer förenkla implementationen av e-tjänster substantiellt.

Ett annat behov som kan tillgodoses är att erforderlig information för e-tjänsten kan hämtas direkt från källan via standardiserade procedurer, och först när behovet uppstår. Önskar vi exempelvis veta vem som företräder en viss organisation så ställs den frågan bäst till den som redan från början har svaret. En attributförfrågan kan ställas direkt till källan för att konsumeras av e-tjänsten som ett attributsintyg. Här kan en identitetsfederation göra stor skillnad.

Upplevelsen av attributsintyg och konsoliderad användaradministration liknar kanske inte en bal på slottet, men rätt tänkt och rätt använt så infinner sig flera välbehagskänslor.

Är UTM ett exempel på Pandoras ask?

Thu, 30 Sep 2010 00:00:00 GMT

När man adresserar säkerhet på nätnivå så är det i första hand tillgänglighet som avses. Lyfter man blicken något landar diskussionen ofta i hur man bäst skyddar sig mot att någon utnyttjar så väl kända som okända sårbarheter. I den diskussionen nämns ofta antivirus, IPS/IDS, applikations- och protokollkontroll. Där föddes sannolikt tanken om universallådan, UTM (Unified Threat Management). Hur rimmar detta med det egentliga behovet?

När någon önskar skydda sitt nät, eller uttrycker sig att nätet är infekterat, så är det sällsynt att det är nätet i sig man avser. Nätet är trots allt bara en bärare av information. I de allra flesta fallen har informationen och datorerna ett betydligt högre skyddsvärde och det är där man efterfrågar ett skydd. Krasst är en magisk låda sannolikt inte hela lösningen. Kanske inte ens en bråkdel av lösningen i en miljö som kanske är virtualiserad, mobil eller rent utav delar av ett moln. Kanske är det enda egenliga skyddet du har att tillgå ett hostbaserat skydd.

Vem säger att UTM behöver vara en magisk låda? Kanske är det bara så vi uppfattar det. Lek med tanken att begreppet UTM flyttar sig närmare det som är skyddsvärt. Eller att vi delar upp UTM-lådan i dess beståndsdelar och placerar dessa där de bäst behövs? Då är begreppet kanske inte så dumt längre?

Sanningen att säga så behöver vi bättre förmåga att skydda datorerna och där har vi sannolikt en hel del att lära från det som började som en magisk universallåda. Flyttar vi teknik såsom IPS/IDS, applikations- och protokollkontroll närmare det som är skyddsvärt har vi sannolikt lättare att träffa rätt i en miljö som klart skiljer sig från det föregående decenniets miljö. Kraftsamla skyddet kring informationskällorna, istället för att skapa en ringmur runt alla tänkbara informationskällor som alla har olika skyddsbehov. Behov som kan bero på informationens art, sättet det lagras eller hur det används.

Till skillnad från Pandoras ask så innehåller den magiska UTM-lådan bara goda egenskaper även om vi öppnar den. Universallösningen är sällan bäst i varje enskild gren, men varje enskild del är oftast bättre än ingen del alls. Den krassa sanningen är att det sammanhanget som är avgörande för om resultatet blir det förväntade eller ej, däremot är det långt kvar till att någon form av magi infinner sig.

Valet bakom valet

Tue, 31 Aug 2010 00:00:00 GMT

Är det inte förvånande att vi år 2010 får ett brev hem som måste medföras till en fysisk lokal där vi blir förkryssade i en fysisk bok för att få göra vår medborgerliga plikt och rösta. Allt detta för att svara på ett fåtal flervalsfrågor. Till råga på allt räknas därefter dessa röster manuellt.

Rent spontant borde här finnas en stor maskinell förbättringspotential såväl ur ett ekonomiskt som demokratiskt (via ökat valdeltagande) perspektiv. I oktober 2009 lades motion (2009/10:K209) fram om att införa elektronisk röstning med huvudskälen att det tar upp till flera veckor att handräkna röster och att systemet medger underkända röster (alltså felaktigt ifyllda röstkort). Motionen avslogs, huvudsakligen baserat på en rädsla för säkerhetsproblem. Utskottet konstaterade dock även att ett flertal andra länder framgångsrikt infört elektronisk röstning och att man bör övervaka den internationella utvecklingen.

Är det kanske så att användarna till systemet, alltså medborgarna, hellre vill ha en gemytlig och högtidlig septemberaktivitet än en smidig men anonym elektronisk process? Röstning över Internet borde vara lika enkelt som att lämna in en självdeklaration. Det vill säga logga in med e-legitimation, rösta och logga ut, eller?

Faktum är att vid närmare betraktelse finns det ett antal subtila skillnader varav de viktigaste är:

- Oövervakad röstning öppnar för möjligheten att sälja sin röst eller hotas att rösta på ett visst sätt.

- Varje röstberättigad medborgare ska endast kunna rösta en gång men denna röst ska inte kunna kopplas till medborgaren (bevarande av rösthemlighet).

- Förtroende för en elektronisk valprocess skapas enklast genom att den röstande kan skriva ut en verifiering av sitt val. Detta öppnar återigen för försäljning eller hot.

- Det finns inget enkelt sätt att verifiera att ett val gått korrekt till i efterhand. Om en deklaration blivit modifierad av en angripare kan medborgaren lätt upptäcka och korrigera detta manuellt. Detta förtroendeproblem accentueras även av de kontinuerliga säkerhetsproblem som upptäcks i datorsystem; varför skulle ett system för röstning vara mer säkert än någon annan datorapplikation?

- Hotbilden mot ett val ser annorlunda ut än mot inlämning av personliga självdeklarationer. Den potentiella samhällspåverkan är helt enkelt väldigt mycket större vilket öppnar för attacker från exempelvis utländska underrättelsetjänster. Denna hotbild kräver i sin tur mycket dyra och komplexa säkerhetsrevisioner.

- Valprocessen ska vara så transparent som möjligt för att undvika att ett fåtal individer kan kontrollera utfallet på egen hand.

Därutöver sker val endast vart fjärde år och det kan därför vara svårt att motivera utveckling av en komplex teknisk lösning som förmodligen behöver bytas ut redan till nästa val. I deklarationsfallet finns dessutom en tydlig kostnadsvinst för Skatteverket som slipper granska pappersdeklarationer. I fallet med röstning så sköts hanteringen till stor del av frivilliga valarbetare och det är svårt att garantera att elektronisk röstning kommer att öka valdeltagandet.

Vilka lärdomar och paralleller till andra IT-system finns det då att dra ifrån ovanstående punkter? Det viktigaste konstaterandet är kanske att system bör betraktas i sin helhet och utifrån respektive tillämpningsområde. Även om processerna att lämna in sin självdeklaration och rösta liknar varandra i hög grad finns som noterats viktiga skillnader i tillämpningen. En annan lärdom är att när välkända koncept som valprocess och för all del underskrifter ska skötas på elektronisk väg så är det lätt att sikta lite väl högt när det gäller säkerhetskraven. Signaturlagen ställer exempelvis mycket högre, reella krav på elektroniska signaturer än på fysiska. På samma sätt är ingen som beklagar sig över att processen för förtidsröstning i Sverige idag ger möjlighet att köpa eller hota sig till röster.

Utan att sparka in öppna dörrar kan jag konstatera att ett system inte är starkare än dess svagaste länk och att stark kryptografi inte löser alla säkerhetsproblem. Om logiken bakom hur systemet används inte är genomtänkt hjälper det inte att legitimeringen sker på allra högsta säkerhetsnivå. Elektronisk röstning över nätet handlar med andra ord inte så mycket om att hitta tekniska lösningar utan snarast att skapa ett grundmurat förtroende för ett IT-system. En utmaning som krasst innebär att jag åter igen, traditionsenligt, tar min promenad till vallokalen den 19 september för att rösta, för vem vågar egentligen förtidsrösta?

Den nygamla signaturmelodin

Mon, 31 May 2010 00:00:00 GMT

Vi letar ständigt efter Produkten med stort P som skall lösa alla säkerhetsproblem, samtidigt som vi på långa vägar inte utnyttjar alla de funktioner som de befintliga säkerhetsprodukterna kan ge. Paradoxalt, eller bara tidens anda?

Den gamle trotjänaren i form av brandvägg blir ofta beskylld för att vara omodern och otidsenlig. Kanske för att den i grunden enbart undersöker portar och protokoll utan att ha någon egentlig förmåga att identifiera applikationen som använder protokollet. Flera menar att utvecklingen av brandväggen upphörde efter införandet av Stateful Packet Inspection.

Trots detta har det nog aldrig lagts ned så mycket tid som nu på att klassificera applikationer, finna det signifikanta och skapa en signatur som sedan kan användas för att kanske fria eller fälla trafik i en "modern" brandvägg. Vilken nydaning, eller bara gammal teknik i nya kläder? Eller rättare sagt gammal teknik i gamla kläder.

Signaturerna är som bekanta inte vattentäta. Minns hur mycket vi under de senaste åren beskyllt antivirustillverkarna för att förlita sig på gammal, reaktiv teknik. Skillnaden är möjligen att de inte enbart görs signaturer av elaksinnad kod utan även normala applikationer som Skype, Teamviewer, TOR, Facebook med flera. IPS kanske någon tänker?

Faktum är att flera brandväggstillverkare sedan länge adderat IPS- och antivirusteknik i sina produkter i ett led att bättre förstå applikationslagret och därmed förmå att reagera på vad som klassas som normalt eller onormalt. Signaturhanteringen i brandväggen har fått till följd att brandväggens prestanda märkbart påverkas vilket leder till behov av väsentligt kraftfullare brandväggar för att göra inspektionen möjlig.

Det mest allvarliga problemet med signaturer, oavsett om det är i ny förpackning eller ej, är att det kan bli fel, eller rättare sagt, det blir fel förr eller senare. Följden blir kanske att vår affärskritiska applikation blockeras, eller att vi kanske inte alls har det skydd vi trodde vi hade för att applikationen vi trodde vi blockerat inte är blockerad längre.

Ganska nyligen såg vi stora konsekvenser av detta då en antivirustillverkare skickade ut en signaturuppdatering som blockerade en viktig systemfil i Windows XP, och det var absolut inte första gången det hände. Säkerligen inte heller den sista.

Tillverkarna brukar snabbt påpeka att lösningen är heuristik (djupare och intelligentare analys än signaturer), men även det uppvisar brister. Trots bristerna har signaturigenkänning absolut en roll att fylla i en modern säkerhetslösning, men den ingrediensen precis som alla andra ingredienser skall användas utifrån sin karaktäristik.

Den trista sanningen är att fortsatt bygga skydd i lager, att sträva mot att inte lägga alla ägg i en korg och inte minst bygga lösningar där skadeeffekterna är minimala. Formen, förpackningen eller färgen är sällan eller aldrig avgörande i den strävan, pr-byråer och marknadsförare till trots.

Sociala mediers skuggsida

Fri, 30 Apr 2010 00:00:00 GMT

Utvecklingen av sociala nätverk och medier har gått i rasande takt de senaste åren. Det är svårt att föreställa sig att 2006 var året då både Facebook startades och ordet "blogg" kom med i Svenska Akademins ordlista. Diskussionerna går heta kring för- och nackdelar med utvecklingen men ett är säkert, de sociala medierna är här för att stanna. Därför är det viktigt för såväl privata som offentliga organisationer att ta fram en strategi för hur man utnyttjar den stora potentialen samtidigt som man förhindrar problemen.

Tyvärr är det inte bara vänligt sinnade individer som kommit på att sociala nätverk är smidiga kommunikationskanaler. Kombinationen av enorma användardatabaser och inneboende förtroende för digitala "vänner" är en dröm för spammare och virusmakare. Det råder en viss begreppsförvirring, ordet virus används ofta i samband med sociala nätverk men det är oftast inte sajten i sig som angrips. Nätverken används istället för att sprida spam, virus och trojaner och genomföra dedikerade phishing-attacker. Hoten är absolut inte nya, de bara paketeras lite annorlunda. Samma försiktighet som gäller länkar i mejl och IM-meddelanden bör förstås appliceras vid användning av sociala nätverk.

En faktor som komplicerar bilden är att många sociala nätverk exponerar API:er för tredjepartsutvecklare. Typiskt finns ingen kvalitetskontroll av vare sig applikationerna eller utvecklarna vilket ökar risken för till exempel Cross-Site Scripting sårbarheter (XSS). Cross-Site Scripting är en attack på klientsidan som består i att exekverbar kod inkluderas i användargenererat eller injicerat innehåll och körs automatiskt i andra användares webbläsare. På detta sätt kan webbläsare automatiskt styras om till andra sajter med skadlig kod.

Spaltmeter har skrivits om hur bloggar och sociala nätverk hotar den personliga integriteten och jag ämnar inte sparka in några öppna dörrar här. Det är dock intressant att titta på informationsläckage från ett rent IT-säkerhetsperspektiv. Om vi sätter på oss hackermössan och vill bryta oss in i en godtycklig organisations interna nätverk är det första steget att kartlägga organisationen och dess IT-system. Via professionella nätverk som LinkedIn går det att få fram såväl organisationsstruktur som vilka nyckelpersoner som bör utsättas för social engineering, alltså manipulation syftande till att få fram känslig information. När jag hittat några lämpliga e-postadresser skickar jag över ett mejl med förfalskad avsändaradress och en pdf-fil speciellt framtagen för att utnyttja någon av de senaste kritiska sårbarheterna i Acrobat Reader (under 2009 upptäcktes ungefär 80 stycken). Med hjälp av informationen funnen på det sociala nätverket kan jag sedan mejla mina "kollegor" från det hackade kontot och genomföra en så kallad man-in-the-mailbox attack. Om scenariot låter långsökt så beskriver rapporten Shadows in the Cloud publicerad av shadowserver.org hur precis detta förfarande användes av kinesiska hackers för att ta över tibetanska datorer.

Samma rapport berättar även om hur sociala medier används för att styra botnät och trojaner. Om vi återigen försöker tänka som en angripare och vi nu har fått vår trojan på plats på den sårbara klienten så är nästa mål att kommunicera med omvärlden utan att bli upptäckta. Vad kunde vara bättre än att använda vanliga kommunikationsmedel som Twitter, bloggar, Gmail och Yahoo Mail. Inget IPS-system i världen kommer att betrakta den trafiken som avvikande och de flesta brandväggar kommer inte att säga ifrån. Det var precis så botnätet beskrivet i rapporten gjorde. Återigen är det värt att notera att det inte var de sociala medierna i sig som var problemet utan deras öppna användningsformat.

Sammanfattningsvis kan man säga att den informationstillgång, flexibilitet och skalbarhet som finns hos de sociala nätverken inte har undgått de illvilliga. Användargenererat innehåll och applikationer utvecklade av tredje part gör att det kanske inte alltid går att lita på minfavoritsida.com. Samma nätverk som gör att jag idag har kontakt med den engelska utbytesstudent som gick i min klass på grundskolan används dagligen för att identifiera lämpliga mål för social engineering. Den öppna strukturen hos bloggar lämpar sig inte bara för att kommentera aktuella händelser utan passar mycket väl för att styra botnät och trojaner.

Från ett säkerhetsperspektiv finns egentligen inga nyheter, samma typer av attacker används men paketeras lite annorlunda. Den i särklass viktigaste punkten på agendan bör vara utbildning av användare i IT-säkerhetsfrågor. För att undvika onödigt informationsläckage är det också viktigt att ta fram och kommunicera en gemensam organisationspolicy för användning av sociala nätverk. Så hoppa på tåget, men glöm inte bort säkerhetsbältet. Och finns det som på de flesta svenska tåg inget säkerhetsbälte så glöm inte att kontrollera detta innan du köper biljetten.

Sommartid?!?

Wed, 31 Mar 2010 00:00:00 GMT

Då var det dags att ställa om klockan igen. Jag förvånas fortfarande över hur mycket utrustning som behöver en manuell åtgärd för att hänga med i svängarna. Rent personligt funderar jag varje gång på om det är någon mening att ändra tidszon två gånger per år, det kanske är bättre att permanent anamma UTC+2.

UTC? Du menar väl GMT kanske någon tänker. GMT ersattes 1972 med UTC (Universal Time Coordinated). Men, det är inte exakt samma sak som GMT, GMT kan snarare översättas till UT1 vilket är världstidsskalan. Andra tidsskalor är atomtidsskalan (TAI). Skillnaden mellan jordens något ojämna rotation och atomtidsskalans mer exakta svängning justeras med att lägga till och dra ifrån skottsekunder. Därav UTC med tonvikt på C som representerar en koordinerad tid.

Det är inte bara svårt att förstå tid, det är svårt att uttrycka tid. Vad är rätt uttryck egentligen? Korrekt tid, exakt tid eller spårbar tid. Gör det enkelt, använda bara uttrycket "tid". I Sverige är det Sveriges Provnings- och Forskningsinstitut (SP) som är källan för tid och det utrycks UTC(SP).

I en IT-miljö är det självklart att alla datorer har samma källa för tid. Det kan tyckas självklart, men varje stickprov, avsiktligt eller oavsiktligt, visar att det råder en total anarki på området. Alltför många verkar nöjda med att det inte diffar mer än några minuter mellan datorerna. Horribelt är min spontana reaktion.

Även ur ett historiskt perspektiv har tiden verkligen varierat. Dock har zenit varit en given referens för flertalet, men det blev uppenbart komplicerat när västa stambanan öppnades 1862. Tidtabellen angavs i Göteborgstid vilket fick till följd att tiden i Alingsås var +2 minuter, Örebro +3 minuter och Stockholm +24 minuter. Det löste man visserligen med två minutvisare på stationsklockan, men särskild praktiskt var det inte. 1879 införde Oscar II gemensam tid och valde en punkt mitt emellan Göteborg och Stockholm som referens. 1884 infördes de internationella tidszonerna och 1900 anpassades sig Sverige till dessa och justerade tiden 14 sekunder.

Det historiska perspektivet inrymmer också olika kalendrar. Den julianska kalendern infördes av Julius Ceasar 46 år före Kristus. Där var ett år 365,25 dygn och man har skottår var fjärde år. Det ger en avvikelse på 7 dagar per 1000 år vilket ger en grov missvisning över tiden. 1582 korrigerade därför Gregorius XIII kalendern. Då var förskjutningen uppe i 10 dagar. Detta justerades i oktober genom att den 5 oktober efterföljdes av den 15 oktober. Den gregorianska kalendern definierade året som 365,2425 dygn samt tillade att ett genomtänkt regelverk för skottår som innebär att avvikelsen bara är 0,4 dagar per 1000 år.

I Sverige infördes den gregorianska kalendern 1700. Men, införandet misslyckades. Den gradvisa förändringen med en justering på 1 dag per år under 11 år skedde bara första året, dvs år 1700. År 1711 beslöt Karl XII att överge denna förändring. Återgången innebar att februari fick 30 dagar 1712. Återgången fick till följd att Sverige och Finland hade en helt egen tideräkning. Ett mer lyckat införande av den gregorianska kalendern gjordes 1753. Det skedde genom att den 17 februari efterföljdes av den 1 mars.

I skolan har vi lärt oss att Gustav II Adolf dog den 6 november 1632, men skall vi följa den gregorianska kalendern så var den 16 november. Karl XII död den 30 november 1718 inträffade i själva verket den 11 december.

Vi skriver just nu vår egen historia där datorerna har olika tid, oklar tidszon i tidsposter och helt oklara källor för tid. Det är dags att vända blad och låta datorerna använda samma källa för tid, samma tidszon (UTC) och en källa för tid UTC(SP).

Flera länkar innebär nödvändigtvis inte en fungerande kedja

Sun, 28 Feb 2010 12:00:00 GMT

De under den senaste tiden uppmärksammade säkerhetsproblem som finns hos bankkort tillverkade enligt EMV-standarden kan knappast ha undgått någon. Kortfattat så kan man med hjälp av en manipulerad kortterminal instruera kortchipet att inte kräva PIN-kod för den aktuella transaktionen. Ett stulet kort kan på så vis användas utan kunskap om koden. Eftersom huvuddelen av de svenska terminalerna kopplar upp sig mot kortinnehavarens bank för att verifiera kortgiltighet är detta i praktiken inte ett så stort problem (inom Sverige).

I sig är problemet kanske inte så revolutionerande, IT-säkerhetsproblem finns det gott om. Det som är fascinerande är de systemproblem som döljer sig bakom. Ofta skyller man säkerhetsproblem på ovilja att betala för den bästa lösningen. Här har den resursstarka bank- och kortindustrin satsat mycket stora belopp på att ta fram EMV men ändå når man inte ända fram. Vad var det egentligen som gick fel och finns det något att lära sig här?

För att kasta lite ljus över detta har jag försökt identifiera några tankevurpor som man gjort på vägen och koppla dem mot vanliga problem som uppkommer vid säkerhetsdesign. Man kan urskilja flera separata problem:

Kortet litar på att terminalen är vänligt sinnad.
Systemet används inte på det sätt som man föreställt sig när designen tagits fram.
Specifikationerna är skrivna av olika parter utan en övergripande ansvarig funktion.
Man har fokuserat på mätbara säkerhetsfrågor som stark kryptering och tvåfaktors-autentisering men har missat att verifiera helhetsdesignen på alla protokollnivåer.

Det första misstaget är ett uttryck för ett av de vanligaste problemen vid systemdesign, nämligen obefogad förtroende för att externa komponenter kommer att bete sig som förväntat. Tanken att en illasinnad kortterminal skulle välja att inte autentisera kortanvändaren har förmodligen inte slagit den som skrev kommunikationsprotokollet. Läxan är att inte lita på att externa komponenter kommer att bete sig som förväntat och alltid betrakta indata med en sund portion misstro.

Vad gäller det andra problemet så är det inte första gången bankindustrin använder en lösning utanför sitt sammanhang (någon som hört talas om kreditkortsbetalningar på internet). Här är skillnaderna i användning dock mer subtila. Varje av de ingående specifikationerna är helt korrekt inom sin domän men ingen av dem reglerar de bakomliggande kontroller som krävs för att skapa ett säkert sammansatt system. Således har man landat i en de facto-användning som inte överrensstämmer med ursprungstanken. Problemen hade kunnat undvikas om man initialt tänkt igenom hela systemarkitekturen och sedan kontinuerligt verifierat att systemet används som det är tänkt.

Den sista läxan är att inte stirra sig blind på långa nyckellängder och användning av starka autentiseringsmetoder. Om inte gränsytor och oväntat användarbeteende hanteras på ett bra sätt hjälper ingen kryptering i världen. Ett typiskt exempel på detta tänk är Schweiz som övertygades att köpa in kvantkryptering för säker kommunikation mellan vallokaler och den centrala databasen vid valet 2007. Det finns många kända säkerhetsproblem med elektronisk rösthantering huvudsakligen centrerade kring mjukvaran i själva rösträknaren varav kvantkryptering löser exakt inget. En angripare kommer alltid välja den enklaste vägen och angripa den svagaste länken i en kedja. Istället för att se över hela systemet gjorde man enskild länk mycket säker. Självklart försämrar detta inte systemet men punktanvändning av mycket säker teknik kan lätt skapa en falsk känsla av säkerhet.

Det går ganska lätt att dra paralleller från diskussionen ovan till andra utmaningar vi står inför på IT-säkerhetsområdet. Fler och fler tjänster exponeras över internet och vi måste designa och bygga autentiserings- och samarbetslösningar som fungerar på ett säkert sätt hela vägen. Många organisationer står idag i begrepp att implementera eller köpa in lösningar för tvåfaktors-autentisering, identitetsfederationer, eller för all del molntjänster. I många fall uppkommer en helt ny typ av problematik där en organisation plötsligt blir beroende av externa parters säkerhetslösningar. I sådana fall är det ännu viktigare att ha ett helhetstänkande kring systemet, analysera samtliga gränsytor där känslig information exponeras samt inte lita på att extern indata är godartad.

Det enda vi bevisligen har lärt oss av historien är att det svårt att lära sig av historien men det skadar ju inte att åtminstone försöka. Så när vi nu bygger nästa generations autentiseringslösningar tycker jag att vi ska ta chansen och tänka lite längre än den som bestämde sig för att det bästa sättet att godkänna en betalning över internet är kunskap om ett 16 siffror långt kortnummer.

© 2010 Andreas Nilsson, Certezza AB

Smör och bröd - den enkla vägens melodi

Sun, 31 Jan 2010 08:00:00 GMT

För knappt ett år sedan tappade flera förstå-sig-på'are hakan när masken Conficker gjorde sig både känd och hatad. Maskarna var minsann utrotade och förd till handlingarna, åtminstone i teorin. Samtidigt blev det i högsta grad tydligt att den som har intresse att begå en handling som kan betraktas som allt annat än önskvärd väljer en enkel väg oavsett vad vi försöker oss på att förutspå.

Om skaparen av Conficker hade i åtanke att patchning av operativsystem är förenat med stor eftersläpning lär vi aldrig få svar på. Vi kan dock konstatera att en känd sårbarhet, även om den är månader gammal, är väldigt användbar för den som har ett elakt syfte. Region Skåne var sannolikt mest drabbad i Sverige, för ganska precis ett år sedan var en av tre datorer angripen av Conficker. I september i fjol, elva månader efter det att sårbarheten annonserades, så drabbades Region Västra Götaland av exakt samma mask.

Denna eftersläpning, på upp mot ett år, infinner sig alltså i en professionell organisation som har på sin agenda att värna om högsta tänkbara sekretess, riktighet och tillgänglighet på alla tänkbara plan.

Förhoppningsvis är snart denna enkla väg inte längre lika enkel. Alltså väljer den illvillige en annan enkel väg. Vad sägs om att använda alla de sårbarheter som omgärdar en klientdator? -Det är väl inget nytt, säger förstå-sig-på'aren. Rätt. Det är absolut inget nytt utan har funnits med som en tänkbar väg under hela resan. Det har hittills varit som att gå över ån efter vatten. Försvåras den enklaste vägen, vilket den alltid gör förr eller senare, så är givetvis den näst enklaste vägen som flertalet väljer. Det vill säga den indirekta vägen via en klientdator.

Mer som talar för att välja den indirekta vägen är alla smör och bröd tillämpningar som inryms på klientdatorn, där sårbarhet efter sårbarhet rapporteras. Exempelvis webbläsare, så kallade office-paket, läsare av PDF osv. Listan kan göras lång och vetskapen om dem alla är inte sällan höjd i dunkel. Addera till detta den allt ökade takten i annonseringen av sårbarheter som inte har någon direkt rättning. Kanske som ett resultat av att antalet klientintrång har ökat.

Tidigare var det rätt ovanligt att offentliggöra sårbarheter utan någon egentlig rättning, utan praxis har varit offentliggöra en sårbarhet först när det finns en rättning. Därför måste vi i större grad än idag läggas fokus på att eliminera möjligheten att utnyttja en sårbarhet. Där någonstans tappade vi nog tyvärr bort tillräckligt många för att vägen via klientdatorn under en lång tid framöver kommer att vara en mycket intressant väg för alla som önskar begå handlingar som ligger långt från det önskade.

Detta konstaterande måste var och en ha i åtanke. Inte minst nu när moln-tjänsterna gjort entré. Där är det i högsta grad bevisat att vägen via smör och bröd tillämpningarna är den enkla vägen för de illvilliga.

© 2010 Thomas Nilsson, Certezza AB

Vad har nästa decennium att vänta?

Thu, 31 Dec 2009 00:00:00 GMT

Så här års haglar årskrönikor och i år även decenniumkrönikor. Det har sannerligen varit ett händelserikt decennium där jag tror 11:e september är det som mest påverkat världen. Händelsen har givetvis gjort avtryck på informationssäkerhetsarbetet i flera avseenden, men utan någon egentlig
jämförelse så tror jag molnhajpen kommer att vara det som påverkar inledningen på nästa decennium mest.

Vi kan redan nu konstatera vikten av ett bra informationssäkerhetsarbete. Detta blir än viktigare när vi väljer att förvara vår information på platser utan att ha samma möjligheter som idag att kontrollera åtkomsten till informationen. Vi tvingas lita på andra i allt större utsträckning och vi måste vara extremt duktiga i den beställningsroll vi intar. Beställaren måste exempelvis kravställa långt utöver vad han eller hon gör idag. Fokus flyttas sannolikt från teknik till juridik. Läser man det finstilta i avtalen för flera av dagens populära molntjänster, så kan man konstatera att leverantören friskrivit sig på alla tänkbara sätt; knappast något som är realistiskt om molntjänsterna skall nå utanför konsumentledet.

Vinnarna i nästa decennium är inte bara de som är ovanligt duktiga i sin roll, vinnarna är också de som vågar ta ansvar. Något som vi redan idag kan
konstatera brister. Självfallet skall den som förlitar sig på infrastruktur, system eller tillämpning som tjänst åtnjuta motsvarande former av kompensation från aktörerna som producerat dessa på ett undermåligt sätt med förluster till följd. Här krävs rejäla tag innan det ens når upp till drägliga nivåer och varför skulle förresten någon nöja sig med en dräglig nivå? Siktet måste vara inställt långt högre än idag med tanke på att nivån idag knappast kan ses som ett rättesnöre.

IT-säkerhetsbranchen kommer också att förändras. De återkommande inslagen av stark autentisering och kryptering kommer att bli allt mer naturliga ingredienser i takt med att skydden flyttas allt närmre informationen. Det är knappast tänkbart att låta någon form av information som har något som helst värde spridas vind för våg utan att först skyddat den på ett sådant sätt att den inte har något värde för den illvillige. Aktörer inom datasäkerhetsområdet kommer sannolikt att vädra samma morgonluft som nätsäkerhetsaktörerna gjort under förra decenniet.

Nätsäkerhetsaktörerna behöver dock inte känna sig oroliga. Allt fler tillämpningar som rör sig mot IP är i stora behov av förbättringar inom alla tänkbara IT-säkerhetsområden. IP-telefonin visade redan under det gångna decenniet att det finns mer övrigt att önska. Näst i tur är mängder av funktioner inom styr-, regler och övervakning som skall flyttas över till IP. Även här kan vi konstatera att det finns stora behov av förbättringsåtgärder. Följderna av någon nyttjar en sårbarhet inom detta område kan få oöverstigliga konsekvenser i värsta fall mot samhällsviktiga funktioner. Här finns det all anledning att dra erfarenheter från mer klassiska, företrädelsevis kritiska, tillämpningar som i decennier förlitat sig på IP.

Det skall bli enormt spännande att kliva in i nästa decennium. Det kommer bli fängslande att se vilka destillat som molnen lämnar efter sig. Det skall bli än mer spännande att möta nästa hajp, troligen sprunget ur ett missnöje med molnen lagom halvvägs in i nästa decennium. Stalltipset är att fortsatt lita till magkänslan. Känns något galet, så är det sannolikt så. Räds inte att utrycka din oro, våga ställ de obekväma frågorna och ställ krav. Glöm inte bort vem som vågade konstatera att kejsaren var naken. Märkligt nog var det den som inte hade något att vinna på sin upptäckt.

Kort- och PKI-kriget

Mon, 30 Nov 2009 00:00:00 GMT

Ett nytt krig relaterat till IT-infrastrukturen tornar upp. Denna gång handlar det inte bara om teknik utan snarast en blandning av både hårda och mjuka ting nämligen SmartCards och PKI. Då slogs kabelsystemsaktörerna, LAN-aktörerna och protokoll aktörerna. Om de hade gått IBM's väg hade vi haft IBMs kabelsystem, TokenRing och kört APPC/APPN. Marknaden valde RJ45 kontakten, Cat5/6-kabeln, Ethernet och TCP/IP. Detta kanske inte är i samma storleksordning och i samma omfattning som det kring kommunikationsplattformen som utspelade sig ca 1985-1995, men det har större påverkan än vad vi kanske tror vid en första anblick.

I takt med att stark autentisering efterfrågas allt oftare och PKI är ett allt naturligare val så börjar allt fler aktörer kravställa att kunden/användaren använder en förutbestämd PKI. Vill det sig riktigt illa så har den egna organisationen en lösning vilken används vid access till den egna infrastrukturen, ex 802.1x autentisering, domänpåloggning och vid access till de egna verksamhetssystemen. De övriga verksamhetssystemen som organisationen kommer i kontakt med i någon annans regi har valt en handfull andra PKI'er.

Det som nu utspelar sig ter sig allt annat än bra. Det krävs ett SmartCard för att vara ansluten till den egna infrastrukturen och de egna verksamhetssystemen. Vid access till andra verksamhetssystem i annans regi skall alltså ytterligare ett SmartCard användas. I bästa fall har du en klientarbetsplats som klarar flera SmartCard, har ett klientprogram (CSP Cryptographic Service Provider) som klarar flera kort av sannolikt olika typer och med olika operativsystem. I sämsta fall, och mest troligt, uppstår det total anarki med resultat av att en bråkdel fungerar, i värsta fall helt slumpmässigt

Flera svarar att lösningen är att börja tänka i termer av identitetsfederering. Jag är en varm förespråkare av federering, men vad spelar det för roll om den egna organisationens autentiseringslösning inte är vatten värd. Oavsett federering eller ej, så måste varje lösning som vill kalla sig för stark autentisering också leva upp till omvärldskraven.

Aktörerna som förespråkar erkända PKI'er gör det av minst två orsaker. Dels att de vill säkerställa att den autentiseringslösningen de väljer uppfyller de högt ställda kraven, dels begränsa antalet tänkbara lösningar vilket givetvis gör underhållet enklare. Avsaknaden av federativt stöd i de aktuella verksamhetssystemen som skyddas av en utpekad PKI leder till att organisationen som vill nyttja verksamhetssystemet tvingas anamma PKI med allt vad det innebär med ytterligare ett kort och kanske ytterligare en CSP. Första gången kanske det sker utan konflikt, men andra gången eller i konkurrens med den egna PKI'n så är det sannolikt kört. Det är bara att konstatera att detta är en återvändsgränd.

Antingen bygger den egna organisationen en PKI värd namnet, tillser att ha lösningar för federering likt SAML, samt kravställer att verksamhetssystem som tillhandahålls i annans regi har stöd för federering och att de accepterar autentisering i nivå med den PKI ni byggt upp i er egen organisation, vilken självfallet håller högsta klass.

Eller, förlitar ni er på någon redan etablerad PKI som ni använder i er egen organisation och som också ligger till grund i federeringssammanhang. I enstaka fall kan man tänka sig att två organisationer som förlitar sig på samma PKI inte behöver ta vägen över en federation.

Federationens baksida, den enda(?), är signeringsproblematiken. Där förutsätter vi att de sker med den privata delen av vårt asymmetriska nyckelpar. Helst utförd med det nyckelpar, i god europeisk anda, som är avsedd för signering. Så väl lagstiftningen som federeringstekniken kommer sannolikt att finna varandra i detta avseende, i minst nu när eDelegationen talar uteslutande om federerade lösningar.

Det är bättre att förekomma, som så många gånger förr. Attackera utmaningen i de olika skikten precis som vi gjorde i kriget rörande kommunikationsplattformen. Bestäm hur dina tankar går i detta avseende. Vill du ha din egen plastbit, med eller utan SIS-märkt ID-kort, RFID och magnetremsa? Vilket format och vilket operativsystem vill du ha på kortet? Vilken klientprogramvara vill du använda? Vill du bygga hela eller delar av din PKI själv? Vilka krav ställer du på en PKI och ett eventuellt federationsmedlemskap?

Det är givetvis inte de enklaste frågorna, men agerar du passivt så har du snart ett knippe kort som förväntas fungera i din tekniska plattform. Jag kan tänka mig flera angenämare utmaningar och betydligt mer produktivitetshöjande.

Är du IPv6-redo?

Fri, 30 Oct 2009 00:00:00 GMT

Under ett antal år har det friskt trummats ut att inom två år är IPv4-adresserna slut. I takt med att två års gränsen har flyttats framåt för varje år så har intresset aldrig väckts på bred front. Tonen har dock skärpts sista två åren och nu är det sannolikt inte två år kvar längre.

Ur Certezzas perspektiv har det varit viktigt att tidigt haka på tåget för att både se och lära men inte minst att utifrån egen erfarenheter kunna ge rätt råd inom ramen för vår verksamhet. Därför var det med stor frustration som vi för ett drygt års sedan insåg att det inte gick att hoppa på IPv6-tåget! Det blev en rätt snopen reaktion när vi konstaterade att "Vår ISP är inte IPV6 ready". Hur rimmar detta med budskapet som trummas ut?

I tron att gräset var grönare på andra sidan så kontaktade vi fler och fler ISP'er och kunde konstatera att gräset inte blev grönare utom i några enstaka fall. Vi gjorde inte någon vetenskaplig undersökning och absolut inte något statistiskt urval, men granskade ändå ett 10-tal erkända ISP'er, varav några av dem främst vänder sig till hemmaanvändare. Det senare i syfte att möjliggöra att vi även kan köra IPV6 från våra klientdatorer kvällar och helger. Resultatet var dystert, endast ca 30% kunde leverera IPv6. Det är med andra ord inte så lätt att hoppa på IPv6-tåget, hur gärna man än vill.

Vi bestämde oss i somras att gör en ny undersökning och kan nu under hösten konstatera att det börjat ljusna något på himlen. ISP'er som inte är fokuserad på hemmaanvändare börjar faktiskt kunna leverera IPv6 i allt större utsträckning. Däremot är det troligtvis år kvar innan en hemmaanvändare kan se tillstymmelsen till IPv6.

När vi nu i skrivande stund faktiskt börjar kunna hoppa på IPv6-tåget, hur skall vi agera? Givetvis måste vi tillse att all vår utrustning, alla tillämpningar, tjänster etc faktiskt stödjer IPv6. Självklart skall vi kravställa varje inköp, oavsett om det är nätnära eller molnnära, att det finns stöd för IPv6.

Det flesta organisationer kan använda exponeringen som sin huvudtes för att införande. Dvs att i första hand göra sig synlig via IPv6 för primärt tjänster såsom namnservers, webservers, mailservers etc. Sannolikt kommer lösningarna att domineras av att ansluten utrustning kan hantera både IPv4 och IPv6, så kallad "dual stack". Datorn som detta dokument är producerat på kommunicerar aktivt både med IPv4 och IPv6 så det är verkligen ingen utopi utan en realitet.

På lite längre sikt, kanske 3-5 år från nu, kommer det att finnas tjänster som enbart är nåbara för dem som har IPv6 adresser varför IPv6 även måste användas på klientsidan.

Med vetskap om att det inte finns någon plan B eller plan C utan konvergeringen till IPv6 är ett faktum så är det högst rimligt att varje organisation redan nu arbetar fram en plan hur IPv6 skall införas med milstolpar som säger att organisationen skall vara nåbar via IPv6 under 2011 och att under 2012 ha möjlighet att adressera IPv6 adresserade resurser.

Känner du din virtuella granne?

Wed, 30 Sep 2009 00:00:00 GMT

De vindar som blåser över våra IT-miljöer bidrar till att såväl system som information sprids allt mer. Allt från att alla komponenter finns i egen regi till att all IT är utkontrakterad i en eller annan form. Det stora flertalet befinner sig någonstans mitt i mellan. Ytterst få har den fulla bilden av vilka sårbarheter och skyddsmekanismer den utkontrakterade miljön egentligen har.

Vis av erfarenhet så har alltför många av de aktörer som specialiserat sig på drift enbart fokuserat på fysisk säkerhet. Stolt visar aktörerna upp sina bergrum, sina elverk och sin extremt förfinade släckutrustning. Imponerande och många gånger ett självklart krav från den som väljer att placera delar av sin IT-miljö hos aktören. Beställaren tar ofta för givet att en aktör som satsat på fysisk säkerhet gjort minst lika stora satsningar på nätsäkerhet och datasäkerhet. Faktum är att när det kommer till "sladden" som gör IT-miljön tillgänglig så bleknar på tok för många aktörer. Få har några andra skyddsåtgärder utöver en klassisk brandvägg som glatt accepterar trafik för några utvalda protokoll.

Granskar man designen hos aktörerna så kan man se att det äntligen börjar infinna sig ett zon-tänk, där kanske presentation befinner sig i en zon, logik i en annan och information i en tredje vilket är klart försvårande för en illvillig. Tyvärr är det sämre ställt med selekteringen av vad som infinner sig i varje zon. Betänkt att utrustningen sällan är härdad, att utrustning från flera kunder delar zoner och att flera kunder delar hörnstenar som webbserver, databasserver, katalogtjänst, namnserver, autentiseringslösning och hypervisor. Detta sammantaget gör det relativt fritt fram att hoppa mellan system för att den illvillige skall nå sitt slutmål.

I såväl teorin som praktiken kan den illvillige lätt utnyttja det faktum att IT-säkerhetsarbetet är eftersatt. Lek med tanken att även den illvillige utkontrakterar sin webblösning, vilken från start innehåller färdiga säkerhetsbrister att utnyttja vilket leder till att övriga kunders system är inom en armlängds avstånd. Med vetskapen om att övervakning, i bästa fall, monitorerar systemresurser och nätresurser med fokus på att upprätthålla den avtalade tillgängligheten på 99,9999987% så har den illvillige all tid i världen att agera. Behöver jag poängtera att hos flera aktörer är ytterligare övervakning en tilläggsoption.

Ovanstående scenariot är inte extremt på något sätt. Den som tar kontroll över miljön kanske inte behöver tillhöra det övre skiktet kunskapsmässigt då det redan finns färdiga verktyg för ändamålet. De utnyttjar istället det faktum att beställaren och utföraren inte är det minsta samspelt. Utföraren har givetvis löst det hela avtalsmässigt på bästa sätt, för sin verksamhet.

Avståndet mellan bergrummet och den illvillige virtuella grannen är så fruktansvärt långt att det känns emellanåt som en evighet att komma ikapp. Hur varma vindarna än känns så har du som beställare ofta det yttersta ansvaret och du tvingas ställa även de mest självklara frågor för att vara säker på att den miljö du utkontrakterat är fortsatt i tryggt förvar. Bli inte förvånad över svaren.

Kan information både skyddas och tillgängliggöras?

Mon, 31 Aug 2009 00:00:00 GMT

En hel bransch brottas med utmaningen att både skydda och samtidigt på bred front tillgängliggöra information bestående av upphovsrättsskyddade verk. Med facit i hand är det inte långt borta att dra slutsatsen att hel bransch kan ha misslyckats i sitt informationssäkerhetsarbete och därmed försvårat för upphovsrättsinnehavaren att fortsatt kunna tjäna sitt levebröd. Detta är ett mycket laddat ämne och därför vill jag redan inledningsvis lyfta fram det självklara att upphovsrättsinnehavarna skall ha ersättning för sina verk. Låt oss för en stund studera detta ur ett informationssäkerhetsperspektiv.

När CD ersatte LP för snart tre decennier sedan så blev det ett faktum att digital lagrad musik tillgängliggjordes för konsumentledet. Ingen kunde då ana vilken spridning digitalt lagrad information skulle kunna få. Vid den tiden litade upphovsrättsinnehavaren blint på att mellanleden, exempelvis skivbolagen, hanterade deras alster på bästa tänkbara sätt. Hur det gick sedan vet vi alla och det kanske är här historien börjar, men låt oss först backa bandet lite till.

Studerar man utvecklingen innan CD lanserades så kan man konstatera att det ägnades 10-15 år till diverse teknikval där främst Philips och SONY var tongivande. Arbetet genomsyrade allt från lagring till lämpligt bit-antal i analog-digital-omvandlarna. Nu har det gått ungefär lika lång tid sedan Internet fick det verkliga fotfästet och vi kan konstatera att skivbolagen ännu inte lyckats anamma den nya infrastrukturen. Vill man vara riktigt krass kan man konstatera att skivbolagen stark bidrog till att tillgängliggöra upphovsrättsägarnas verk i digitaliserad form men att de inte agerade för skydda verken i takt med teknikutvecklingen varvid verken så småningom hamnade i orätta händer. Ett mönsterexempel på ett mindre lyckat informationssäkerhetsarbete.

Om teknikdrivet saknades så borde det blivit en affärsmässig reaktion när man ser potentialen att kunna sälja digitaliserade alster över en digitaliserad infrastruktur som når i princip varje tänkbar konsument. Vilket drömscenario! Dock verkar det snarast som att branschen utmålade detta som ett mardrömsscenario. Förvånande är det i alla fall att affärsmöjligheterna har vänts till något som för upphovsrättsinnehavarna närmast kan liknas vid en total katastrof. Jag förmodar att det pågår ett juridiskt efterspel även här för att ställa mellanleden till svars för oaktsamhet och passivitet.

Allt som är digitaliserat kan möta samma öde som upphovsrättsinnehavarens verk vilka nu sprids för vinden på grund av att nödvändiga skyddsåtgärder inte vidtagits. Det som spetsar till det rent informationssäkerhetsmässigt är upphovsrättsinnehavarens önskan till en bred spridning av sitt verk samtidigt som att den skall vara kontrollerad för att garantera ersättning vid exempelvis läsning, visning, lyssning, vidareförsäljning och kopiering.

Det är allt mer uppenbart att skyddet av informationen måste ske så nära informationen som möjligt oavsett orsak till skyddet av informationen. Betänk det omvända där vi under decennier arbetat med att bygga upp skyddsmurar kring så väl informationen som dess behöriga användare. Det är framför allt den allt mobilare användningen som krävt nya typer av säkerhetslösningar för att inte behöva göra avkall på informationssäkerheten trots att de klassiska skyddsmurarna monterats ner. Vi flyttar helt enkelt fokus allt närmare informationen och med hörnstenar som autentisering och kryptering är detta realiserbart. Tonvikten har dock varit att applicera dessa tekniker främst i nätbaserade skydd.

Försöken till att skydda information i form av upphovsskyddade verk har samlats under benämningen DRM (Digital Rights Management). De DRM-lösningar som hittills presenterats har inte på något realistiskt sätt kunnat visa att de ger ett tillräckligt skydd av informationen samtidigt som att användarens möjligheter att bruka informationen inte försvåras. Den riktigt stora utmaningen är hanteringen av kryptonycklarna och så länge detta inte är löst så är varje försök en mindre lyckad kompromiss. Parallellt har flera aktörer valt att endast tillgängliggöra informationen i realtid och har på så sätt minskat behovet att skydda informationen på traditionellt sätt.

Huruvida detta är en parantes i utvecklingen eller den faktiska lösningen på problemet att skydda information samtidigt som den tillhandahålls på bred front återstår att se. Inom den mer klassiska informationsteknologin kvarstår behovet av informationsnära skydd och här kan vi se allt fler lösningar. Betänk dock att här finns inte samma utmaning eftersom den behörige användaren allt oftare är behörig just för att denne har den ena halvan av ett asymmetriskt nyckelpar.

Återigen kan en fungerande autentiseringslösning vara nyckeln till att komma vidare i utvecklingen. I detta fall kanske den enda nyckeln.

Nygamla hot & risker i en virtualiserad vär(l)d

Sun, 31 May 2009 00:00:00 GMT

Virtualiseringen är absolut här för att stanna. Den är definitivt ingen dagslända och den kommer troligen vara lika självklar som ett världsomspännande IP-nät. Det finns givetvis massor kvar innan virtualiseringen är fulländat. Till skillnad från det världsomspännande nätet, som är allt annat än proprietärt, så är den virtualisering som nu sker så proprietär som den bara kan bli. Förhoppningsvis nyktrar aktörerna till och kan enas kring öppna standarder.

Jag tror få har varit så lyriska som just kring virtualiseringen. Merparten av alla tidigare problem är som bortblåsta. Tyvärr går tåget på sina håll så snabbt så att allt säkerhetstänk också är helt bortblåst, trots att virtualiseringen har större påverkan på vår informations- och IT-säkerhet än vad kanske många tror.

Många har kommit långt i sitt säkerhetsarbete. Exempelvis är zonindelning utifrån informationsklass inte längre en utopi utan snarare en realitet hos allt fler. Likaså går skydden i och mellan de olika zonerna allt oftare i harmoni med vad de egentligen är satta att skydda. När infrastrukturbygget nästan var perfekt, så kommer en virvelvind i form av virtualisering och vänder upp och ned på allting. Riktigt så illa är det kanske inte och det behöver definitivt inte vara illa. Däremot krävs det ånyo en kraftsamling för att inte säkerhetsarbetet skall backa ett par nivåer.

Det finns en läckageoro i den virtuella miljön och det finns det givetvis fog för. Det fanns det redan när VLAN introducerades 1998 och givetvis är 802.1Q standarden inte fulländad utan det handlar om att anstränga sig vad gäller design, implementation och konfiguration. Annars kan man fortsätta med galvaniskt åtskilda nät mellan olika säkerhetszoner. Det samma gäller i den virtuella miljön. Det läcker titt som tätt, oftast mellan gäst och värd. Det tätas och det uppstår nya läckor. Om vi har tänkt någorlunda sunt så behöver läckorna inte vara ett säkerhetsproblem.

Det finns en nätoro när den virtuella miljön helt plötsligt är en stor del av infrastrukturen. Vad händer med alla nätbaserade skydd som brandväggar, IPS, innehållskontroller med flera? Självklart kommer de i sin nuvarande form att vara fullständigt verkningslösa. Den som tror sig stoppa en mask med en nätbaserad IPS kommer att bli lätt olycklig när den virtualiserade miljön blivit helt komposterad. Några har uttryckt sig stark och sagt att virtualiseringen är slutet på nätsäkerhetseran. Riktigt så illa behöver det inte vara, utan ånyo behövs lite ansträngning för att se hur den virtualiserade miljön passar in säkerhetstänket. Givetvis skall ni inte anpassa ert säkerhetstänk, som förhoppningsvis vilar på en stabil grund, utan den virtualiserade miljön skall anpassas och kompletteras med nödvändiga skydd som kanske tidigare var avsedda för en fysisk infrastruktur.

Det finns en plattformsoro som inte är grundlös med tanke på att äggen helt plötsligt hamnar i väldigt få korgar. Detta brukar de flesta dock ha en plan för, inte minst ur ett tillänglighetsperspektiv, och är därmed inte så sårbar som man först kanske tror. Det som kanske inte är lika känt är att den plattform som är satt till att hantera en mängd virtuella servar inte har det underliggande skydd som krävs. Exempelvis har vidareutveckling av hårdvaran för att förbättra skyddet mellan olika gäster medfört helt nya typer av sårbarheter som i sin värsta form innebär att en gäst obemärkt kan starta en egen hypervisor ovanpå den egentliga värdens hypervisor. Utvecklingen fick motsatt effekt men det är knappast förvånande att ny teknik innehåller nya sårbarheter. Det är den krassa verkligheten. Nytt är däremot att fokus breddas ytterligare, från att ha varit relaterad till operativsystem, tjänster och tillämpning så är helt plötsligt ting som hårdvara och BIOS under lupp i jakten på sårbarheter. Troligen ser vi ännu bara toppen av isberget på det här området.

Trots orosmolnen så finns det ingen anledning att ha dem som enda ursäkt till att inte virtualisera. Däremot gäller det att inse att virtuell säkerhet i sig inte kommer att ge några besparingar. Det kommer att kosta och sanningen är den att kostnaden uppstår även om inget aktivt säkerhetsarbete görs i den virtuella miljön. Jag behöver knappast tillägga att den oplanerade kostnaden är oförutsägbar och i bästa fall bara sur i smaken.

Det är som alltid bättre att förekomma än att förekommas, inte minst i den virtuella vär(l)den.

Autentisering in i nästa decennium

Thu, 30 Apr 2009 00:00:00 GMT

Oavsett generation, oavsett ålder och oavsett decennium så använder vi, med några få undantag, lösenord som autentiseringsmetod. Blickar vi tillbaka ett decennium, två decennier eller till och med tre decennier så trodde vi då att vi skulle ersätta lösenordet med säkrare och mer framtidssäkra autentiseringstekniker. Kanske fingeravtryck, kanske smarta kort eller kanske helt andra tekniker. Men dagens miljö ser fortfarande ut som den gjorde när vi började arbeta med datorer, oavsett ålder eller generation. Det enda sättet att autentisera en användare görs genom att begära användarnamn och lösenord.

Verkligheten är hård. Med en keylogger kan du ha hur komplext lösenord du vill samt byta ut lösenordet varje dag, men du är ändå hackad! Finns ingen keylogger kan den onda sidan ta till en sniffer och kerberos, NTLM eller något annat protokoll är knäckt på minuter. Det finns en hel del system ute sedan länge som gör det möjligt att slänga undan lösenord som autentiseringsmetod. Trots detta så fortsätter vi att putsa på vår lösenordspolicy istället för att göra något åt ursprungsproblemet.

Faktum är att genom att använda två faktorer vid autentisering istället för bara en (lösenordet) försvåras arbetsbördan för ett intrång mångfalt. Det handlar inte om en eller kanske två tiopotenser utan betydligt mer än så.

Dessutom finns mängder med samordningsvinster att göra. Ett återkommande exempel på detta är att användaren loggar in med ett smart kort. Detta kort är SIS-märkt och kan användas som ID-kort vilket i sin tur leder till att användaren är extra försiktigt med kortet. I kortet ligger också RFID-slingor som gör att kortet används för att exempelvis låsa upp dörrarna inne på ett kontor.

Ett PKI-system är ännu mer värdefullt när man använder det för att signera och kryptera e-post och dokument, använda certifikaten för inloggning i outsourcade tjänster och så vidare. Listan kan göras lång.

Vi målar ofta upp att det inte finns några alternativ till dagens lösenord, men exemplet ovan är bara ett exempel bland fler existerande lösningar. Är det kanske så att problemet består i att det finns helt enkelt för många tänkbara autentiseringsalternativ så vi vet inte vilken vi skall välja? Då kan vi ställa oss frågan varför vi envisas med att använda det sämsta tänkbara som marknaden har att erbjuda?

Orosmolnet

Tue, 31 Mar 2009 00:00:00 GMT

Det går inte att slå upp en IT-relaterad tidsskrift utan att läsa om "molnet". Det var ett tag sedan branschen hade ett riktigt buzzword att trumma kring varför det trummas som aldrig förr. Lågkonjunkturen bidrar också. Det samlas, precis som vid förra lågkonjunkturen, mängder med lycksökare som lyfter fram sina enastående kvalitéer inom området. Allt verkar rymmas inom ramen för "molnet".

Sista veckorna har jag roat mig med att lyssna av vad så väl lekmän som förstå-sig-på-are anser att "molnet" är och faktum är att motsatsen till samstämmighet har fått ett ansikte. Bilden är allt annat än klar. Gartner har en definition som kanske är rätt att luta sig mot, deras profetior blir som bekant ofta självuppfyllande. De säger att "molnet" infinner sig när massivt skalbar IT-relaterad kapacitet tillhandahålls som tjänst med internetteknik till ett flertal externa kunder. Ursäkta mig, men vad är nytt under solen?

Den trend som jag kan se är att man i allt större utsträckning, medvetet eller omedvetet, flyttar ut känslig information till en annan part. Huruvida det är ett resultat av "molnet" hypen, om det är själva hypen, eller om det råkar sammanfalla låter jag vara osagt. För mig är detta i alla fall det riktiga orosmolnet.

En paradox i sammanhanget är att de egna IT-organisationerna aldrig har haft en högre mognadsgrad i förmågan att hantera känslig information och då finner man det lämpliga att utkontraktera hanteringen. Inte sällan till en part som hanterar min känsliga information som vilken information som helst. Kanske består framgången i att den externa aktören kan göra informationen mer lättillgänglig än vad den egna IT-organisationen förmår.

Var helst, när som helst och från vad som helst så är informationen tillgänglig. Jag lovar att det klarar den egna IT-organisationen också av om man får göra samma säkerhetsmässiga avkall. Den externa aktören håller sannolikt inte med mig, men efter första fadäsen brukar det infinna sig viss form av tillnyktring från såväl utförarled som beställarled.

Aldrig har beställarkompetensen varit viktigare. Du får ofta exakt vad du bett om, inte mer. Är olyckan framme så är det sällan någon kan ställas till svars. Tillhör du dem som står i begrepp att utkontraktera information som är företagsintern, känslig, eller sekretessbelag så krävs beställarkompetens långt utöver det vanliga. Förblindas inte av prognosen av sol och värme, det är trots allt fler diffusa moln som utlovats.

Alla lager måste med!

Sat, 28 Feb 2009 12:00:00 GMT

Inom ramen för min och mina kollegors profession möter vi allt oftare utvecklare av olika system. Jag ser detta som ett resultat av den naturliga utvecklingen som säkerhetsbranschen nu genomgår. Det räcker inte långt att år 2009 kunna säga ja eller nej till exempelvis trafik på TCP-port 80. Det krävs helt andra förmågor och förståelsen i applikationslagret är exempel på en sådan förmåga.

Denna insikt innebär inte att vi skall luta oss tillbaka i nätlagret och tycka att kriget är vunnet, eller förlorat beroende sinnesstämningen för dagen. Tvärt om, vi måste fortsätta och förfina nätlagret så att det är tillräckligt robust för att möta en verklighet i ständig förvandling. Nätlagret har alltid varit en lagspelare och alltid försökt stötta kollegorna i de övriga lagren. Inledningsvis förlitade sig övriga lagren helt på nätlagret, men den tiden är sedan länge förbi. Kanske känner sig nätlagret fortfarande utnyttjat och är därför inte lika samarbetsvilligt längre? Här krävs uppmuntring för att inte riskera att det blir obalans i laget, eller bland lagren, beroende på hur man ser det.

Händelserna i applikationslagret blir som sagt allt mer intressant. Tankarna bakom applikationslagret visar sig ofta än mer intressant. Jag och några kollegor konstaterade för en fyra fem år sedan att en ½ dags dialog med en utvecklare i nyckelposition är en tiopotens mer värt en 1 dags säkerhetsanalyserande av ett system som är resultatet av hennes eller hans tankar. När vi myntade uttrycket så hade vi inte någon egentlig tanke på att översätta det i direkt ekonomiska termer, men när jag nu gör det så är det ett högst rimligt påstående. Redan i den inledande delen av dialogen går det att avgöra vilket säkerhetsfokus utvecklarna av det aktuella systemet har. Efter ytterligare en stunds dialog så är ofta bristerna inringade.

Är alla säkerhetstester och säkerhetsanalyser som återkommande görs helt bortkastade? Det korta svaret är givetvis nej. Det krävs någon form av återkommande granskning för att säkerställa att rutinarbetet fungerar. Det är klart bättre att ett testverktyg noterar en sårbarhet än att en trojan utnyttjar det. Ett säkerhetstest är också ett utmärkt sätt att testa den organisation som är satt till att upptäcka och hantera en möjlig incident. Insikten att ett testverktygs förmåga ofta avtar ju närmare applikationslagret de arbetar gör att vi tvingas arbeta annorlunda. Denna insikt innebär inte att applikationslagret skall lämnas därhän i detta avseende. Det måste självfallet verifieras att utvecklarnas tankar och handlingar går i takt!

Kunskapen om applikationslagret och dess brister är ovärderliga. Oavsett om det handlar om att bygga bort bristerna eller att anpassa en säkerhetslösning efter bristerna. Det senare är inte något önskescenario, men sedan när har vi börjat leva med önskescenarios?

Med ytterligare en vetskap i bagaget så finns det än större förutsättningar att det som exponeras inte överexponeras.

© 2009 Thomas Nilsson, Certezza AB

Hur kan en snäll mask slå ut ett helt landsting?

Sat, 31 Jan 2009 12:00:00 GMT

Ingen har väl undgått rapporteringen från de lamslagna Region Skåne och Höganäs kommun. I Region Skånes fall var 10.000 av 25.000 datorer smittade av masken "Conficker/Downadup/Kido" och i Höganäs kommun var i princip hela det administrativa nätet smittat.

En mask är enligt definition ett självreplikerande datorprogram. I en del förklaringar som är gjorda av begreppet mask skall den kunna sprida sig utan hjälp från en oförsiktig användare. I flera fall lyfts beroendet till någon form av säkerhetshål fram. Maskar går ofta under benämningen "snäll" när man talar om skadlig kod, troligen för att de sällan slår mot sekretess- och riktighetsbegreppet. Däremot är tillgänglighetsbegreppet i stor fara, något som Region Skåne och Höganäs kommun fått befara.

Likt den kända masken Blaster använder den nu aktuella masken primärt en sårbarhet i Microsoft Remote Procedure Call (se MS08-067 för detaljer om sårbarheten). En annan parallell till masken Blaster är att det tog ungefär en månad från det att Microsoft tillkännagjorde sårbarheten till dess att masken utnyttjade den.

Microsoft RPC är ofta vitt exponerat i företagsinterna nätverk varför masken får bra spridning bara den har fått ett fotfäste. Den första infektionen kommer troligen via infekterade USB-minnen där masken utnyttjar autorun-funktionaliteten. Noterbart att US-CERT (se TA09-020A för detaljer) och Microsoft har olika åsikter hur autorun-funktionen skall deaktiveras för att hindra spridning den vägen. Vidare använder masken utdelade diskar för att sprida sig, och i det sammanhanget provar den ett antal enklare lösenord vilket medför en kontolåsning som kan bli rätt besvärande för en större organisation. Den gör också mängder med lokala konfigurationsändringar, vilket gör att masken verkligen lever upp till sitt namn Conficker. Till allt detta skall läggas maskens förmåga att "ringa hem" för nya instruktioner med mutationer som följd.

Allt som ofta när en händelse relaterad till skadlig kod blossar upp så blir det ett väldigt virus hysteri. Rubrikerna haglar "Nio miljoner datorer smittade", "Nätverksmasken sprider sig lavinartat", "Värsta attacken under 2000-talet". Speglar rubrikerna verkligheten, eller är de som ofta kraftigt överdrivna?

Vi kan alla vara överens om Downadup/Conficker/Kido är en ovanligt smart kodad mask och att den är svår att få bukt med när man väl drabbats. Det förstärks av att ett av de ledande antivirusföretagen behövde sex dygn för att ta fram ett bra motmedel, vilket i sammanhanget är ovanligt lång tid. Det är ett stort mörkertal vad gäller antalet infekterade datorer, en siffra som nämns i skrivande stund (26 januari 2009) är 15 miljoner. Spridningen har dock inte gått i samma initiala hastighet som exempelvis CodeRed (2001) och Slammer (2003). Dessa spred sig dock bara via en sårbarhet varför den totala spridningen inte nådde samma mängd som den nu aktuella masken, som troligen blir ovanligt ihärdig.

Hundratals miljoner datorer i världen bär på någon form av skadlig kod varför 10-15 miljoner kan te sig ringa. Men om ryktet är sant att syftet med masken är att bygga ett botnet då lär det bli världens största botnet, med potential att bli en tiopotens större än det idag störst kända. Och då finns det all anledning att vara orolig!

Höganäs kommuns skolnät klarade sig från smittan tack vare den klassiska zonindelningen av administrativt nät och skolnät som gjorts i årtionden, primärt för att skydda den administrativa verksamheten från allehanda kreativitet i skolverksamheten. Händelsen i Höganäs är ett lysande exempel på vikten av zonindelning som har för avsikt att hindra system med olika informationsklasser att påverkar varandra. Det är en lärdom som Region Skåne nu sannolikt dragit och framgent lär de placera medicinsk utrustning i mer skyddade zoner.

Region Skåne anser själva att de har bra säkerhetssytem. Det aktuella systemet som de har i åtanke är kanske ett av de bästa som marknaden har att erbjuda. Bevisligen var organisationen ovanligt sårbar för en nätmask som utnyttjade en sårbarhet som varit känt i näst intill ett kvartal.

Vis av erfarenhet handlar inte detta enbart om säkerhetssystem eller enbart zonindelning. Det handlar heller inte enbart om vikten av:

härdning, som minimerar varje enskild dators exponering
patchrutiner, som minskar tiden för exponering av en känd sårbarhet
nätautentisering, som hindrar obehöriga användare att nå oönskade segment/zoner
användarutbildning, vilket minskar risken som omogna användare utsätter organisationen för
karantäner, som hindrar att sårbara klienter ansluts till IT-infrastrukturen
regelverk, som gör att hela organisationen drar åt samma håll
säkerhetsdesign, som gör att effekten av en incident blir minimal

Det handlar om att uppnå en samlad harmoni i alla komponenter som tillsammans kan minska en organisations sårbarhet. Se ovanstående som ett axplock av komponenter, mjuka som hårda. Det är harmonin som är poängen, inte varje enskild komponent!

Ofta krävs det en berörande händelse i ens närhet för att vidta förebyggande åtgärder. Jag sätter en större slant på att de som arbetar nära verksamheten i såväl Region Skåne som Höganäs kommun visste hur sårbara de var, men att de inte fick gehör när det lyftes fram förslag om proaktiva åtgärder. Åtgärder som bara hade kostat promillen av den incident som nu lamslog dem.

Som alltid är det lätt att vara efterklok. Vilken tur att vi kan lära av historien!

© 2009 Thomas Nilsson, Certezza AB

Vikten av perspektivet

Wed, 31 Dec 2008 12:00:00 GMT

Det börjar bli dags att summera det gångna året som man alltid gör så här års. Blev det som vi hade tänkt, vad hände egentligen och vad har vi att se fram emot nästa år. För ovanlighetens skull tänkte jag inte lista det bästa och sämsta från det gångna året utan dela med mig av ett av många starka minnen från det gångna året, inom ramen för min profession tror jag det allra starkaste var när vi i månadsskiftet augusti/september var mitt i planeringen av vår årliga Säkerhetsdag, den 12:e i ordningen, och hamnande i en stund av uppgivenhet.

När vi bestämmer vilka 7-8 föreläsningar som skall prägla Säkerhetsdagen gör vi det i en brainstorming som pågår i närmare två dygn. Det enda rättesnöret är temat, vilket vi spikar redan under våren, i övrigt är det fritt för var och en som ingår i "talagruppen" på ca 12 personer att sväva ut. Det brukar vara två tämligen intressanta dygn där det snarare handlar om att välja och vraka bland alla uppslag och idéer. Men i år fick kreativiteten en törn den första kvällen. Det spred sig en sorts uppgivenhet när inget längre imponerade, när inget längre förvånade och när framtiden redan var kändes utstakad.

Jag hade en liknande känsla för ett par år sedan när jag ägnade en dag hemmavid för att lägga grunden till ett av mina föredrag, till råga på allt ett kåseri. Jag minns att det var ett riktigt busväder och jag hade svårt att koncentrera mig på min uppgift och kände mig lite uppgiven. Vid lunchtid tog jag en promenad till brevlådan och mötte en av mina nyinflyttade grannar. Jag uttryckte min ångest över att jag inte riktigt var i rätt "mode" för att lösa min uppgift. Han kontrade med att jag kanske skulle fundera ett varv till om jag verkligen skulle axla uppgiften. Det var nog precis vad jag behövde, någon som strök lite mothårs, någon som sa det oväntade och någon som kort därefter fick mig på helt andra tankar vilka i sin tur ledde mig till ett nytt perspektiv. Jag vågar påstå att jag därefter skapade ett av mina bästa föredrag någonsin, ett kåseri om tid.

Det som fick "talargruppen" på fötter under vår brainstorming i höstas var just lite distans, lite mer självinsikt och några som såg ljuset i vad som för en stund upplevdes som en mörk, ganska trist och rätt förutsägbar tunnel. Jag vågar påstå att tack vare att vi nådde en känsla av uppgivenhet och insåg det, kunde vi ta oss från botten till toppen. Perspektivet var ånyo en av nycklarna till framgången. Med facit i hand vet jag att vi har slagit rekord i antal deltagare, rekord i betygssättningen och den spontana återkopplingen är som musik. Utmaningen att varje år infria och gärna överträffa våra kunders och våra egna mycket högt ställda krav kanske ter sig oövervinnerlig, men samtidigt har vi visat gång efter annan att det går. Rätt perspektiv är en av nycklarna, det är tydligare än någonsin.

När vi blickar framåt måste vi göra det utifrån nya perspektiv. Att följa invanda mönster i vår bransch är att gräva sin egen grav. IT-säkerhetshistorien må vara kort, men den har gång efter annan visat att det oförutsägbara ofta är en realitet redan inom ett par år. Denna insikt skiljer garanterat agnarna från vetet. Det gäller att ständigt tänka i nya banor, att försöka förutse det oförutsägbara och inte minst ständigt hitta nya perspektiv.

© 2008 Thomas Nilsson, Certezza AB

Lösenordspolicyn bidrar inte till att rädda lösenordet

Sun, 30 Nov 2008 12:00:00 GMT

Vi är rörande överens om att lösenordens tid är förbi! Trots detta försöker vi göra det vi tror är det bästa av situationen genom att förbättra (?) lösenordspolicyn.

Är det någon som minns förslaget till lösenordskonstruktion i de allmänna råd (FA22) som Överstyrelsen för Civil Beredskap gav ut? Där föreslogs ett lösenord på minst 6 tecken och att det skulle vara konstruerat på ett sådant sätt att det inte lätt gick att avslöja. Det har hänt en del sedan dess.

Dagens lösenordspolicy säger att lösenordet skall vara minst tvåsiffrigt långt, bestå av specialtecken, gemener, versaler, siffror, inte återupprepade tecken, byts var 30:e dag osv. Inte sällan är skrönan sann att lösenordet sitter på en Post-it lapp för att det är omöjligt att memorera det perfekta lösenordet.

Verkligheten är ännu hårdare. Med tillgång till en lösenordshash (Kerberos, NTLM mfl) så är lösenordet normalt knäckt på mindre än 1 timme med medioker hårdvara (P4 2,8 GHz). Med en keylogger kan lösenordet vara tresiffrigt, det blir ändå knäckt. Med dessa typer av tekniker spelar det inte någon större roll om ett konto blir utelåst efter en handfull försök. Det påverkar däremot användarens humör.

Det är bara att inse att lösenorden och lösenordspolicyns tid är förbi.

Den nuvarande autentiseringslösningen med användar-id och lösenord ersätts tyvärr inte över en natt. Men, under övergångsperioden kan ni göra en sista revidering av lösenordspolicyn. Förläng intervallet för lösenordsbyte och öka på antalet möjliga påloggningsförsök för att underlätta för användaren att använda komplexa lösenord.

Det råder inget tvivel att riktigt långa lösenord är bra. Det är betydligt svårare att knäcka än ett kort lösenord, men skall användaren ha en chans att hantera riktigt långa lösenord krävs att de inte byts allt för ofta och att man ges fler möjligheter att mata in det innan kontot spärras. Detta skall dock inte ses som en ursäkt för att inte nå målet med bättre autentiseringsmetoder, inte minst viktigt i alla sammanhang där känslig information hanteras och i de sammanhang där risken för riktade attacker är stor.

© 2008 Rickard Fransson & Thomas Nilsson, Certezza AB

Överexponering - Den enskilt största sårbarhetsfaktorn

Fri, 31 Oct 2008 12:00:00 GMT

De sårbarheter som uppmärksammats nu under oktober slår hårt mot tillgängligheten. Inte minst den sårbarhet som lär finnas i flertalet TCP/IP stackar där det räcker med 30-40 paket per sekund för att "frysa" ett system. Den sårbarheten," socketstress", har ännu inte någon lösning. Vill du vara på säkra sidan är rådet att du skall begränsa vilka IP-adresser du önskar kommunicera med. Dessvärre är det inte görbart i de stora sammanhangen.

De som upptäckte sårbarheten lär ha gjort det av misstag, som så ofta när sårbarhet uppdagas, vad värre är att de trots flera år av forskande inte har något förslag till lösning. Sedan någon månad tillbaka har ett antal aktörer tillgång till upptäckten i hopp om att snabbare finna en lösning på sårbarheten. Risken är förhållandevis stor, trots att samtliga inblandade parter hittills hanterat informationen med mycket gott omdöme, att den läcker ut innan en färdig lösning finns att tillgå.

Flera blev nog tagen på sängen när Microsoft i dagarna släppte en patch till RPC utanför det ordinarie månadsmönstret. Allt fler bygger sina rutiner på att de patchas en gång i månaden och väl synkroniserade med Microsofts normala patch släpp. Ett tänk som kan göra organisationen än mer sårbar för händelser likt denna . RPC-sårbarheten är mycket allvarlig, dessutom finns det ovanligt många "proof of concept", vilket gör att sårbarheten snabbt kommer att unyttjas av illsinniga. Givetvis kan man ställa sig frågan om någon seriös aktör verkligen exponerar RPC direkt eller indirekt mot Internet. Noterbart är dock att RPC-sårbarheten är en utmärkt språngsbräda, inte minst när man börjar närma sig de inre zonerna där det dessutom är betydligt svårare att inte exponera RPC. Kanske leder detta till en ökad efterfrågan på hostbaserade IPS'er vilka lär ha haft "motmedel" mot just denna sårbarhet i ett par år.

RPC-sårbarheten kommer definitivt att användas för att kidnappa överexponerade "hemma användare" och därmed bidra till att bygga större och nya BotNet. Lite paradoxalt när vi nu har vetskap att det räcker med en dator på en 56k förbindelse för att frysa en TCP/IP-stack. Det kommersiella värdet av ett BotNet för en distribuerad belastningsattack har minskat, åtminstone för en tid.

Dessa, eller andra sårbarhetsupptäckter är inte unika på något sätt. Historien upprepar sig även här. Högst sannolikt har vi ännu inte upptäckt de allvarligaste sårbarheterna. Men problemet är inte enbart sårbarheterna i sig, utan den enorma överexponering som allt för många utsätter sig för. Effekten av en sårbarhet får allt för stora proportioner som det är idag. Näst efter den mänskliga faktorn, är överexponeringen den enskilt största sårbarhetsfaktorn.

Nätaccess skulle helt enkelt aldrig medges till en överexponerad dator!

© 2008 Thomas Nilsson, Certezza AB

Rätt klass på eID, den Svenska e-legitimationen

Tue, 30 Sep 2008 12:00:00 GMT

För tre år sedan satte jag rubriken "Medborgarcertifikat - Vilken mess" på en krönika i CS med hänvisning till dåvarande infrastrukturministern. Rubriksättaren valde att tvista rubriken i en annan riktning och krönikan fick inte samma tydliga adress.

eID, eller medborgarcertifikat som det hette då, och Svensk e-legitimation som det kanske skall heta i morgon, har närmare 10 år på nacken och har långt ifrån blivit den succé som alla hoppats på. eID har kantats av hinder och krångel som snarare motarbetat sitt syfte. Hur nyktert är det att de största aktörerna, bankerna, inte själva använder eID? De är först nu som en konvergering är påbörjad från deras proprietära lösningar till den mindre proprietära lösning, eID.

Den utredning som Verva gjorde i våras rörande eID, "Elektronisk identifiering och underskrift i Sverige" är ett av de mer insiktsfulla underlag som producerats i ämnet. Det är nästan paradoxalt att Verva nu läggs ner. Underlaget innehåller en del matnyttigt som jag hoppas att den operativa e-delegation som nu övertar ansvaret drar nytta av.

Jag tror att såväl hinder som krångel kring eID kommer att monteras ner. Bland annat har den senaste upphandlingen, eID2008, pressat ner transaktionspriserna till i paritet med vad SMS kostar. Alternativen till eID kommer att tappa mark i takt med att kritiken kring eID hörsammas.

Jag är tyvärr inte lika optimistisk till att eID kommer att möta de allt ökade kraven på tillit som ställs.

Få är medvetna om att Sverige, tillsammans med Portugal och Litauen, är de enda EU-länderna som inte har någon utfärdare av eID som står under tillsyn. De som idag utfärdar eID, utfärdar "avancerade elektroniska signaturer". De påstår att marknaden inte efterfrågat "kvalificerade elektroniska signaturer". Frågan är om marknaden förstår att ställa det kravet, och om marknaden verkligen vet vad kravet innebär? Jag tror knappast att marknaden förstår att dagens utgivning av "avancerade elektroniska signaturer" inte är reglerade i lag.

Om eID åter skall ges ett nytt namn, Svensk e-legitimation, så är det minsta krav som kan ställas att det lever upp till lagen (2000:832) om kvalificerade elektroniska signaturer som i sin tur är ett resultat av EU:s direktiv 1999/93/EC. I Vervas förslag skall eID klassas i tre nivåer, där dagens eID lever upp till klass 1 (mjuka certfikat) och klass 2 (hårda certifikat). Klass 3 är en ny nivå och den enda nivå som verkligen lever upp till lagkravet. Varför dessa tre nivåer? I mina ögon ett typiskt svenskt förslag där vi ånyo inte kan sätta ner foten, utan väljer skrivningar som är märkliga kompromisser och som i sin tur leder till nytt krångel och nya hinder.

Skrota alla förslag som göra den svenska e-legitimationen till en fortsatt experimentverkstad.

© 2008 Thomas Nilsson, Certezza AB

Tillgänglighet – så självklart, men sällan på alla plan

Fri, 29 Aug 2008 12:00:00 GMT

Vi noterar genomgående i våra informationsklassningar att begrepp som riktighet och sekretess vägs på guldvåg för att välja rätt nivå vad gäller skyddet av informationen. När man kommer till begreppet tillgänglighet så behövs det inte längre någon våg för att få fram nyanserna utan högsta tänkbara tillgänglighet är helt enkelt en självklarhet. Behöver man ens fråga om det?

Vad är tillgänglighet? Jämfört med riktighet och sekretess så gör gemene man betydligt fler tolkningar av begreppet. Enligt ISO 27001 är tillgänglighet (availability) "möjlighet att utnyttja tillgångar efter behov i förväntad utsträckning inom önskad tid". Detta är översatt från "the property of being accessible and usable upon demand by and authorized entity".

En annan vanligt förekommande beskrivning i litteraturen är "ensures reliability and timely access to data and resources to authorized individuals". En stor skillnad är att vi i den svenska översättningen inte varit tydlig med innebörden behörig (authorized). Därför måste man rimligen tydliggöra för sig själv, så att den svenska översättningen får rätt lydelse.

Begreppet tillgänglighet ger snabbt mängder med associationsbanor. Prestanda, tålighet, upptid, rättighet, redundans, BCP, stabilitet, autentisering, rutiner, reservkraft, botnet och många många fler. Associationsbanor som många gånger syftar till att förbättra tillgängligheten eller undanröja hot mot tillgängligheten. Tillgänglighetsbegreppet är till viss del unikt jämfört med riktighet och sekretess, då det är av allra största vikt att samtliga nivåer i ex OSI-modellen bektas. Det är ofta av större vikt att byggstenar som DNS, DHCP, NTP, SMTP mfl verkligen är robusta för att möta tillgänglighetskravet. Visst har byggstenarna inverkan på de andra begreppen också men de är inte alltid med samma önskvärda tydlighet.

Tillgänglighetsbegreppet är vanligtvis en tacksam nämnare för investeringar. Det är ofta tydligt för en beslutsfattare vad en investering riktad mot tillgänglighet får för konsekvens om den inte genomförs. Givetvis finns det stora inslag av sannolikhet när tillgänglighet diskuteras, men det är inte ovanligt att sannolikhetsdiskussionerna är livligare när det handlar om riktighet och sekretess trots att vi har större vana att se till dessa begrepp och är väl medveten av effekten av att blunda.

Det är viktigt att inte se sekretess, riktighet och tillgänglighet som isolerade öar. De aktiviteter som genomförs för att lyfta nivån i något avseende ger förvånansvärt stora samverkansfördelar. Det är därför av största vikt att du har den stora bilden klar för dig! För även om det bara görs riktade insatser kommer du snabbare att möta de behovs som tas som självklara samtidigt som du också möter de behov som snart är uppenbara.

© 2008 Thomas Nilsson, Certezza AB

Avlyssnad?

Mon, 30 Jun 2008 12:00:00 GMT

Sällan har ett lagförslag väckt så mycket debatt som den omtalade FRA-lagen, som den kallas i folkmun. Visserligen vaknade media ovanligt sent, men det sena uppvaknadet hade förmodligen den effekten att reaktionen blev enorm. Arbetet med lagen om lagring av trafikuppgifter har gått betydligt snabbare, det har haft visst mediafokus, men ingen reaktion att tala om.

De båda lagförslagen har sina likheter men också sina olikheter. Det ena lagförslaget är tänkt att verka inhemskt och det andra tänkt att vara en form av gränskontroll, hur man nu kan använda dessa terminologier i ett internetperspektiv. Det ena förslaget är innehållssökande och det andra fokuserat på lagring av själva "kuvertet". Ett gemensamt mål är en intensifierad jakt på terrorister. En jakt som verkar kunna motivera vilka medel som helst, det verkar få kosta hur mycket som helst och det verkar aldrig ställas några krav huruvida de metoder och tekniker som är tänkta för ändamålet verkligen ger det utlovade resultatet. Det är ytterst tveksamt om de miljarder som satsas verkligen gör oss mindre sårbarbar för den uppmålade hotbilden.

Gemene mans hotbild är snarare att risken för avlyssning ökar. Tro inte att risken hittills varit försumbar. Den finns där och den har alltid funnits där, mer eller mindre. Avlyssningen har inte alltid stöd i lagen, men det innebär inte att den inte förekommer. Det går inte likt en struts tro att man kan utbyta känslig information i klartext över ett publikt media och tro att man inte löper någon som helst risk. Det är naivt så det föreslår.

Använd detta uppvaknande till att på allvar skydda den information som är skyddsvärd. Begrepp som autentisering och kryptering är inte några utopier. Se det i stället som de naturliga inslag som de faktiskt är i informationssäkerhetsarbetet. Rätt hanterad så kommer den information som du inte vill skall hamna i orätta händer att fortsatt förbli i rätta händer. Oavsett om avlyssning har stöd i lagen eller ej.

Den dagen lagstiftaren vill begränsa användningen av kryptering, begränsa nyckellängder eller kanske t.o.m. kräva nyckeldeponering, på grund av att avlyssningen visat sig totalt verkningslös - då är det dags att på allvar reagera.

© 2008 Thomas Nilsson, Certezza AB

Använd riktiga certifikat

Tue, 27 May 2008 12:00:00 GMT

Jag har länge tänkt skriva om certifikat och vikten av att ha certifikat. Tyvärr måste sägas att det idag är mycket problem med certifikat. Många av dem har sin grund i att det inte är lätt för en helt oinvigd hur idén med certifikat fungerar. Det är heller inte lätt att som webbadministratör förstå hur certifikat fungerar. Mycket har skrivits om hur tekniken bakom certifikat fungerar, men det är svårt att ta till sig. Om jag frågar min mamma om hur hon kan vara säker på att www.hennesbank.se verkligen är den bank som den utger sig att vara, kan hon inte svara. Så länge det är så, finns det stora möjligheter att lura en vanlig användare.

Som av en händelse uppmärksammades inte bara ett, utan två problem med certifikat under veckan som gick. Först ut var problemet med ogiltiga eller felaktiga certifikat. Genom att många webbplatser använder sig av sådana certifikat så lär man upp användarna att slentrianmässigt klicka sig förbi de varningar som webbläsaren slänger upp. Detta kan vara när ett certifikats giltighetstid har gått ut, att certifikatet har flyttats från www.webplats.se till www2.webplats.se istället för att bytas ut, eller att man använder sig av självsignerade certifikat.

Sett ur ett dataintegritetsperspektiv så är det egentligen ingen fara att använda sig av felaktiga certifikat. Datatrafiken krypteras i alla fall och ingen som sniffar trafiken kan läsa vad som sägs. Det stora problemet med detta är att det blir så oerhört enkelt att utföra en man-in-the-middle-attack. Jag sätter upp en webbserver som utger sig föra att vara en annan. Jag skapar ett eget certifikat och styr användarna dit. Eftersom ingen numera höjer på ögonbrynen för en certifikatsvarning så klickar man sig fram på webbsidan och jag som utför attacken kan enkelt avlyssna allt som sägs. Tänk att göra detta och utge sig för att vara bank!

Nu ska det sägas att de nya webbläsarna (Internet Explorer 7 och Firefox 3) på ett mycket tydligare sätt varnar för certifikat som inte stämmer överens med den besökta webbsidan. Det är ett viktigt steg mot en säkrare identifiering av webbservrarna. Men fortfarande är det alldeles för många webbplatser där certifikatsfel genererar en varning och man som användare klickar sig förbi.

Dagen efter flaggades upp för ett annat problem med certifikat. Denna gång handlade det om certifikat som genererats på en Debian-plattform, eller de Linuxdistributioner som härstammar ur Debian, till exempel Ubuntu. Genom slarv av en av programmerarna så togs ett par rader kod bort i den del av programvaran som genererar den slumpmässiga nyckeln. Dessa rader kod hade orsakat varningar vid kompileringen, och istället för att rätta till felet, så togs raderna bort. De såg ändå inte ut att göra något viktigt. Tyvärr visade det sig vid en närmare kontroll att dessa rader kod genererade den grund som används av slumpgeneratorn. Istället för ett väldigt slumpmässigt frö (eng. 'seed') användes enbart processens ID som frö. Detta begränsade mängden frön till 32768. Det är idag en enkel match att skapa ett program som under några timmar räknar fram slumptalet ur denna begränsade mängd. Det finns en rad av dessa program ute på nätet som på ett enkelt sätt kan knäcka alla certifikat som tillverkats på en Debian-burk mellan september 2006 och maj 2008. Sådana här fel är det som användare mycket svårt att skydda sig mot. Men det pekar samtidigt på att alla, även programmerare, måste få en större förståelse för dessa digitala identitetskort.

När man har valt att använda certifikat så måste man besluta sig för vilken utfärdare man ska köpa certifikatet från, Certificate Authority eller CA. Enklast är att välja någon CA som redan har sitt root-certifikat installerat med Windows operativsystem (t.ex. Verisign, Thawte, GeoTrust eller DigiCert). Utmaningen i valet av CA består i hur mycket man tror att användarna kommer att lita på det utgivna certifikatet. Skickar jag in en ansökan (d.v.s. en Certificate Signing Request, CSR) till någon seriös utgivare så vet jag att Verisign kontrollerar att jag är jag och att domänen jag försöker få certifikatet till ägs av mig. Det finns också inskrivet i avtalet om eventuell ersättning om en bedragare råkar få ut ett certifikat i mitt namn. Andra CA gör kanske inte alla kontroller som en dyrare utfärdare gör, inte heller utgår ersättning vid ett bedrägeri.

Det är således både användaren som kommer till en HTTPS-webbsida, och du som certifikatsköpare som är intresserad av vem som utfärdat certifikatet. Jag skulle personligen dra mig för att handla på en webbhandelsplats där identiteten sägs vara garanterad av en för mig okänd CA. Å andra sidan så skulle alla certifikatsutgivare vara okända för min mamma som inte alls jobbar inom detta område, vilket göra att hon antingen litar på alla typer av certifikat, eller inga alls; det sistnämnda är dock inte så troligt.

Det måste bli en större medvetenhet om hur man ska använda sig av certifikat, införa certifikat i större utsträckning och underhålla sin certifikatstruktur. Annars kommer konceptet med certifikat att falla samman. De som måste börja med denna uppsträckning är vi som jobbar med IT-säkerhet. Utbilda er i hur certifikat fungerar, vad man kan använda sig av dem och upprätta interna rutiner om hur ni hanterar certifikaten. Ställ egna krav på att era besökare ska känna sig säkra vid besök till er webbplats. Det kommer ni och era webbesökare att tjäna på i längden.

© 2008 Carl Ljungqvist, Certezza AB

Autentisering 2.0

Tue, 29 Apr 2008 12:00:00 GMT

Det är få saker som gör mig så glad som när man överger statiska lösenord till förmån för riktiga autentiseringslösningar. Jag bör poängtera att det finns mängder med händelser som gör mig glad utanför ramen för min profession, men just inom IT-säkerhetsområdet är autentiseringsförbättringar verkligen en källa till glädje. Marknaden har formligen exploderat sedan sekelskiftet. Ofta när marknaden överöses med produkter så brukar det finnas så väl bra, som mängder med dåliga produkter från dessa ständiga lycksökare.

Det är ingen större skillnad inom autentiseringsområdet. Det kommer den ena lösningen efter den andra som skall revolutionera världen. Det är dock två saker som skiljer autentiseringsområdet från många andra områden. Dels är faktiskt de allra flesta lösningarna bättre än en lösning med statiska lösenord, dels är området troligen det mest konservativa området inom IT-säkerhet. Om området inte vore förändringströgt skulle väl ingen nykter själ på fullaste allvar propagera en lösenordspolicy med minst 16 tecken, bladning av VERSALER och gemener, blandning med $p€c!@1-tecken, byten varje månad och givetvis förbud att återanvända dem. Den normala användaren anpassar sig givetvis, men gränsen är inom kort nådd.

Gemene man ställer sig undrande till allt suspektare lösenordspolicy, de är medvetna om alternativen och de förstärks i sin tankar i takt med de många intrång som resulterat i att statiska lösenord sprids på publika sajter.

Det är för de flesta känt att stark autentisering innebär en kombination av minst två faktorer, där faktorerna är något man vet, något man har och något man är. Här krävs dock ett förtydligande! För att varje enskild faktor skall ha någon betydelse krävs följande förtydligande:

Något som man vet, men som ingen annan också vet
Något som man har, men som ingen annan också har
Något som man är, men som ingen annan också är

Förtydligandet kanske låter självklart, men det är tyvärr inte självklart. För ca 5 år sedan lanserades två faktor lösningar som bestod av två likadana faktorer. Exempelvis något som man vet och något som man vet. När glädjeruset lagt sig så framstår lösningar där man tummar på faktorerna som allt annat än bra. Givetvis blottas lycksökarna efter en tid, men dessvärre hinner en rad köpare falla för frestelsen.

Faktum kvarstår dock att det mesta är bättre än statiska lösenord. Givetvis krävs som alltid en jämförelse av tänkbara alternativ.

Inte sällan resulterar en autentiseringslösning i flera lösningar där kanske en intern PKI med SmartCards för lagring av nyckelparen, engångslösenord, identitetsfederationer och EID är den perfekta kombinationen. Fler autentiseringsmetoder kommer att adderas och några kommer säkerligen att falla ifrån. Viktigt är att den övriga infrastrukuren inte påverkas utan att den klarar förändringar av autentiseringsmetoder.

© 2008 Thomas Nilsson, Certezza AB

Oförberedd

Mon, 31 Mar 2008 12:00:00 GMT

När jag skrev förra månadens krönika lovade jag mig själv att inte återupprepa inledningen med vädret. En av de oskrivna reglerna jag har kring krönikorna är just att inte återupprepa dem. Därför smärtar det lite att jag redan 2005 skrev om lösenordsdrällarna. Det som nu aktualiseras av händelserna hos TV3, Aftonbladet och senast Dataföreningen. Som sagt, det är ingen nyhet och det väcker egentligen inte förvåning. Vädret däremot väcker fortsatt förvåning. Minns ni hur det var för en månad sedan? Till och med meteorologen konstaterade att det var vår. Sedan dess har vi upplevt köldrekord i Nikkaluokta, snörekord i fjällvärlden och trafikkaos ända nere i Skåne. Förvånande för många, det låg helt enkelt inte i linje med vad vi hade förväntat oss.

Förväntningar utgår ofta från enklare analyser som i sin tur vilar på trender. Helst linjära trender. Råder det dessutom någon form av jämvikt i systemet för det vi förutspår så är det än en mer sannolik spådom. Allt som ofta rör det sig om mer eller mindre kvalificerade gissningar och skall sanningen fram så är det kanske snarare tur än skicklighet att det vi förutspår faller in.

För de allra flesta som råkar ut för en IT-relaterad incident så sker det som en överraskning. Det är överraskandet att det händer, överraskandet hur det hände men kanske inte förvånande att beredskapen inte var bättre. Målsättningen för många, beslutade i förväg eller ej, är att snabbt som ögat återfå ett normalläge. Få frågar sig varför det hände, om det kan hända igen och om det verkligen var första gången det hände. Det senare märks minst men åsamkar ofta störst skada.

Hela detta scenario kan låta väl negativt, men det är inte det jag vill lyfta fram utan vikten av att i förväg ha fattat ett antal viktiga beslut så att IT-incidenten hanteras för organisationen på ett korrekt sätt. Flertalet pusselbitar faller ofta på plats när rutinen sätts på pränt, men den enskilt viktigaste pusselbiten faller ofta i skymundan och det är själva övandet.

Det är lätt att stå vid en whiteboard och dra några sträck, men när det verkligen gäller är det andra färdigheter som sätts på prov. Dessa färdigheter, oavsett vilka förutsättningar organisationen har, måste tränas in för att fungera tillfredställande. Bäst av allt är att det är en ovanligt stimulerande träning.

© 2008 Thomas Nilsson, Certezza AB

Går förändringsarbetet i takt med förändringen?

Fri, 29 Feb 2008 12:00:00 GMT

Den märkliga vinter som varit i år börjar lida till sitt slut. Rent meteorologiskt är det vår ända uppe längs hälsingekusten och vi skriver slutet av februari. Fjällvärlden har visserligen haft en relativt normal vinter snömässigt men visst har det varit mildare än normalt. Det milda vädret har å sin tur inneburit en ovanligt blåsig vinter. Kanske inte samma vindtoppar som de senaste åren, men överlag en otroligt blåsig vinter.

Det är intressant med väder ur flera perspektiv. Det är ett ämne som man kan prata om med nästan vem som helst och det är ett ämne som berör oss i allra högsta grad - väder fascinerar. Att dra en parallell till informationssäkerhet och inte minst IT-säkerhet är kanske en aningen långsökt. Men visst finns det paralleller! Den parallell som man kanske inte först tänker på, men som berör oss i vår profession i hög grad är förmågan, eller oförmågan, att förutspå händelser och inte minst förstå samband.

En ständigt pågående process i det undermedvetna hos flera av oss är mantrat hot, risk och sårbarhet. Gemene man kanske inte alltid använder den nomenklaturen i tankarna, men tankarna finns förmodligen där. Vi skulle troligen inte dränera våra husgrunder om det inte förelåg någon som helst risk för nederbörd. Men, nu har vi nederbörd och grunderna är normalt konstruerade och dränerade för att klara den nederbörd vi normalt utsätts för. Vi är med andra ord inte sårbara ur det perspektivet och just detta är troligen inget vi går och funderar på dagligdags.

Orosmolnet som tornat upp är givetvis hotet om en större klimatförändring. Sannolikt kommer väderkartan att ritas om. Ingen vet ännu i vilken utsträckning. De vi vet däremot är att vi har anpassat våra skyddsåtgärder, med större eller mindre marginaler, till vad vi tidigare benämnde som normala väderförhållanden. Den sannolika reaktionen är att vi ökar marginalerna för att klara en större variation, men vi kommer troligen inte att anpassa oss för de nya risker som hotbilden faktiskt medför.

Reaktionsmönstret skiljer sig inte nämnvärt när vi förflyttar tankebanorna till informations- och IT-säkerhetsområdet. In i det längsta anpassar vi befintliga skyddsmekanismer till nya hotbilder. Dessvärre finns det ofta en gräns för något som trots allt konstruerades för att möta 90-talets hotbilder. I takt med att detta blir allt mer uppenbart så uppdagas ett generationsskifte där infrastrukturdesignen ikläder sig en central roll. Men tack och lov ökar också vår riskmedvetenhet i dessa frågor och förståelsen för hur viktigt riskanalysarbetet är.

Det är glädjande att se att informationssäkerhetsarbetet och det tekniska IT-säkerhetsarbetet äntligen börjar stråla samman. Med ett gemensamt fokus får vi säkerhetslösningar som faktiskt utgår från vad som är skyddsvärt.

Med hopp om en fantastisk vår utan några oroande inslag av frost som sätter krokben för höstens skörd.

© 2008 Thomas Nilsson, Certezza AB

Den högra hjärnhalvan saknas

Thu, 31 Jan 2008 12:00:00 GMT

Nu har det gått ganska exakt ett år sedan jag la krönikeskrivandet på hyllan. Motivationen började tryta och behovet att lägga det hela åt sidan för en längre tids eftertanke blev allt större. Det föll sig helt naturligt efter 10 år och 100 alster. Jag har sedan dess fått flera förfrågningar, men jag har helt enkelt inte haft den rätta längtan förrän nu. Kanske är det alla spontana kommentarer, många med superlativ, som fått mig att längta igen. Kanske är det privilegiet att skriva om något som berör i allt större utsträckning som väcker längtan. Oavsett vad som väcker den känslan så är längtan en av de härligaste drivkrafterna och den tycker jag vi ser för lite av i dag.

Oavsett vad som ger motivation är motivationen avgörande för mycket av det vi presterar. När motivationen inte finns där utan när något snarare går på rutin så löper vi ofta en större risk sägs det. Eller? Det är uppenbart att det är avsaknaden av rutiner som medför att den ena elementära luckan efter den andra gör att informationen sipprar ut som från ett såll. Å andra sidan kan man inte täta ett såll bara genom bra rutiner. Vi vill gärna se händelser ur ett svart/vitt perspektiv. Färg skapar dimensioner och informations- och IT-säkerhet är ett målande exempel på detta. Det går inte att tänka enbart svart/vit och det är grundproblemet.

I alla faser, oavsett om det är rent strategiskt, eller mer handgripligt kring en analys, i en design, ett införande eller kanske i en revision, så krävs ett angreppssätt ur flera dimensioner och ur fler infallsvinklar. Inte sällan krävs samverkan av flera säkerhetsexperter för att få en fullständig belysning. Därför kan det tyckas lite lustigt att IT-säkerhetsbranschen är ovanligt personfixerad.

Personfixeringen är en nödvändighet för att nå ut i media. Positivt är att för de allra flesta är målet att sprida kunskap inom området till gemene man. Var och en är medveten om att det är den enskilt viktigaste preventiva åtgärden. Därifrån är steget betydligt längre till att vända in och ut på en enskild lösning för att eliminera alla tänkbara sårbarheter. Här krävs inte bara några kloka ord utan en otrolig mängd kreativitet i kombination med en nedtoning av det logiska tänkandet.

Skall vi möta morgondagens hotbilder med risker som vi ännu inte lyckats förutse krävs ordning och reda i form av riktlinjer och instruktioner, men det krävs samtidigt ett fullständigt oreglerat rum där vi ohämmat tillåts lyfta fram den högra hjärnhalvan för att minimera sårbarheterna.

© 2008 Thomas Nilsson, Certezza AB

En oroväckande händelse

Wed, 20 Dec 2006 12:00:00 GMT

Det är alltid spännande så här års att summera det gångna året. När jag tänker tillbaka så är det en händelse som är starkare än allra andra. Inte för att händelsen i sig är speciellt märkvärdig utan vad händelsen hade för inverkan. Jag tänker på det som har belysts som ett intrång mot SAP.

I sak så har SAP publicerat ett webgränssnitt till sin FirstClass (fc.sapse) som tillåter inloggning med traditionellt användarid och lösenord. Till och med användarregistreringen är publicerad publikt, men ger visserligen bara access till allmän information. Detta är så långt från ordet stark autentisering man kan komma. Något som är en självklarhet i ett sammanhang likt detta.

I media framhålls det att intrång har skett till SAPs interna infrastruktur, men så är inte fallet. Däremot har servern döpts till SAPnet vilket ytterligare förvirrat rapporteringen. Få har rapporterat om att servern har en gammal version som har en rad kända sårbarheter som i sig kan göra information lättillgänglig. När det senare visade sig att det var en person på SSU som överlämnat inloggningsuppgifterna så gick musten ur dem som var övertygade om att någon kommit över uppgifterna genom att avlyssna ett krypterat trådlöst nätverk i Skövde.

Varför skulle någon för övrigt vilja krångla till det så oerhört, speciellt när det fanns kända brister som rätt nyttjade kunde ge samma resultat? Det är inte första, och heller inte sista gången det målas upp scenarios som hämtade ur bestsellers. Det faktum att vi är lata av vår natur glöms lätt bort. Jag vågar påstå att denna skandal aldrig hade skett om man agerat på samma sätt som alla andra företag och organisationer som hanterar känslig information gör.
Jag vill absolut inte försvara det som inträffat utan kan bara konstatera att det näst intill var ett dukat bord.

Den sammantagna bilden är skrämmande och visar på ett lågvattenmärke vad gäller så väl informations- som IT-säkerhet. Bara det faktum att det tog nästan ett år innan intrånget uppmärksammades är förbluffande. Det är också ett lågvatten att den som obehörigen fick tillgång till informationen också tog del av den. Inte minst i ett känsligt läge som en valrörelse är.

Givetvis går det att hitta mängder med likartade fall som förtjänar samma utmärkelse, men unikt i detta fall är att det påverkade valresultatet. Till vems fördel är för tidigt att säga.

Givetvis finns det fler händelser under det gångna året som förtjänar uppmärksamhet men tyvärr innehåller denna historia alla tänkbara ingredienser. Min förhoppning är att alla lär av denna händelse och jag hoppas att något annat liknande inte händer igen då konsekvenserna kan bli förödande.

© 2006 Thomas Nilsson, Certezza AB

Har innehållskontrollen någon framtid?

Fri, 15 Dec 2006 12:00:00 GMT

I den ständiga kampen att tillåta god trafik och neka ond trafik, tillförs allt mer intelligens för att fatta rätt beslut. Dessa beslut baseras på utseendet på informationen som passerar tillsynssystemen. Men, morgondagens informationsutbyte kommer inte att tillåta, i samma utsträckning som idag, denna insyn. Detta är en förutsättning för att öka kunnandet om exempelvis ett protokoll och därmed mer effektivt skilja ond från god.

För att skydda känslig information används kryptering allt oftare som ett verktyg. Detta gör att informationen endast görs tillgänglig för den som har rätt till informationen. Detta är en naturlig process, som givetvis kräver att man väljer rätt väg för att den skall bli bekväm för den enskilde att använda. Det är dock snarare en administrativ än en teknisk diskussion och i detta avseende saknar den betydelse.

Dagens skyddsmekanismer har sedan länge lämnat stadiet där man enbart fattar beslut baserat på protokollets uppförande, t.ex. att jämföra med gällande standarder. Sådan typ av beslutsunderlag påverkas inte av att trafikinnehållet krypteras. Men merparten av skyddsmekanismerna förutsätts ha total insyn. Det går att rada upp massor av exempel, med allt från antivirus till intrångsdetektering, som grundar sin teknik på insyn i datapaketen. Det är lättare att besvara frågan om den ställs omvänt, vilka skyddsmekanismer fungerar utan insyn. Det korta och förenklade svaret är då få.

Dessa två skeenden är svåra att kombinera. Inte sagt att det är omöjligt, men det kräver att man redan nu tar seriöst på problembilden. Insyn är idag en etablerad förutsättning för att skydda vår infrastruktur, och omvänt vill vi se till att känslig information inte kommer fel part till del.

Den diskussion som nu måste till är huruvida det skall finnas punkter i infrastrukturen där information inte passerar annat än i klartext. Alternativet är att det finns punkter där dekryptering och kryptering tillåts för att möjliggöra insyn, vilket föranleder att krypteringsnycklar måste deponeras. En naturlig följd av att insyn försvåras är att låta skyddsmekanismerna närma sig källan där det ofta är lättare att möjliggöra insyn. En ytterligare dimension är hur man skall hantera trafik som man inte får insyn i. Det är ingen hemlighet att en verksamhet som inte vill se dagens ljus tidigt anammat tekniker för att hindra insyn.

Det finns inget rätt eller fel i denna diskussion. Viktigt är att konstatera att vi närmar oss ett nytt vägskäl där vi ånyo måste välja väg.

© 2006 Thomas Nilsson, Certezza AB

Svårt att leva upp till basnivån?

Wed, 15 Nov 2006 12:00:00 GMT

Att inte ha rutiner för incidenthantering och utredning är en tickande bomb när det gäller den reaktiva IT-säkerheten. IT-avdelningens prioriteringar stämmer inte alltid överens med ledningens.

Enligt PTS Mörkertalsundersökning från 2005 har endast hälften av alla organisationer en dokumenterad rutin för hur IT-säkerhetsincidenter skall rapporteras internt. Oacceptabla siffror! Eftersom internrapportering är grundläggande inom incidenthantering (BITS 2006:1 13:2), är det nära till hands att dra slutsatsen att man i hälften av fallen inte har någon rutin alls för hur en IT-säkerhetsrelaterad incident ska hanteras.

Utan dokumenterade och inarbetade rutiner agerar ofta systemadministratörer godtyckligt och ostrukturerat vid en incident. Beslut som att t.ex. koppla ur nätverkssladden fattas helt utan tanke på vilka följder det får och utan bedömning av resursens värde för organisationen. Är det exempelvis företagets Webbplats som går ner kan det leda både till betydande inkomstbortfall och till trovärdighetsförluster för organisationen. Incidenthanteringsrutinen måste följaktligen vara baserad på en korrekt utförd riskanalys för att ha något värde.

Vanligt förekommande är att administratörer enbart städar i det system som varit iblandad i en extern incident. Det kan, med en aning tur, räcka för att hålla angriparen borta, i alla fall från just det specifika systemet. Om incidenten inte utreds grundligt och korrekt är det lätt att missa att angriparen kanske faktiskt också lyckats ta steget över till ett annat system och även där har en bakdörr. Detta skulle en korrekt incidenthantering och en datorforensisk utredning ha påvisat.

Det är också lätt att bli riktigt mörkrädd när man hör talas om systemadministratörer som utan en tanke raderar trojaner som hittats vid de schemalagda anti-virusgenomsökningarna av ett system. Möjligen har trojanen enbart nyligen adderats till signaturfilen från tillverkaren, men kan ha funnits en längre tid på systemet och redan ha hunnit tjäna sitt onda syfte.

Även när det gäller interna incidenter så är vikten av en väl inarbetad rutin och skickliga incidentutredare av stor vikt. Det behövs genomarbetade och förutbestämda kommunikationsvägar, som t.ex. kontakt med fackförbund och personalavdelning. På den tekniska sidan finns stor risk att en oerfaren utredare missar viktig information eller behandlar den felaktigt.

IT-säkerhetsbranschen har i flera år påpekat att även ledningen måste engageras i IT-säkerhetsfrågor, och att de måste styra och prioritera organisationens arbete även inom IT-säkerhetsområdet. Nu blåser det nya vindar. IT-säkerhetsfrågor och då speciellt hur organisationen hanterar IT-säkerhetsincidenter har hamnat högre upp på dagordningen och uppmärksammas även utanför IT-avdelningen. Ta till vara på detta för att införa rutiner och kompetens i den utsträckning som krävs.

© 2006 Pontus From, Certezza AB

Ensam är inte stark

Fri, 10 Nov 2006 12:00:00 GMT

Oavsett hur stor arsenal av IT-säkerhetsprodukter du har och oavsett hur mycket tankemöda som ligger bakom, så finns det en risk som vi alla är utsatta för och som vi på egen hand inte kan skydda oss från och det är den distribuerade belastningsattacken (DDoS).

En belastningsattack under 2005 kunde utsätta måltavlan för ca 4Gbit/s och under 2006 har vi sett siffror kring 8Gbit/s. Givetvis kommer dessa siffror att öka, troligtvis exponentiellt då inte bara tillgänglig bandbredd ständigt ökar utan också på grund av att antalet noder (zombies) i ett BOT-net ökar. Miljoner noder i ett BOT-net är en realitet redan idag.

Det bästa botemedlet är givetvis att agera så nära källan som möjligt. Men, detta är än så länge ett teoretiskt resonemang och det skulle kräva ett samarbeta mellan världens alla Internetleverantörer av aldrig skådat slag. Därmed inte sagt att det inte kan bli en realitet på lång sikt.

På kort sikt är det din Internetoperatör som kan bidra till att mildra effekten av en distribuerad belastningsattack. Vi ser allt tydligare att Internetoperatören går från att enbart frakta IP-paket i snabbare och snabbare takt till att lyfta fram andra värden i den ökade konkurrensen. Ett av dessa värden är Internetoperatörens förmåga att addera skydd till den egna infrastrukturen som i slutändan kommer kunderna till del.

Givetvis är det av största vikt att operatörens egen utrustning inte utgör källan till oro, men jag upplever att det stadiet är passerat för det stora flertalet. Däremot upplever jag inte att alla har fungerande lösningar för att skydda sig mot belastningsattacker än mindre att man kommunicerat ut denna tjänst till sina kunder.

Det är viktigt att operatören väljer en lösning som inte får motsatt effekt. Om de exempelvis skulle filtrera bort trafik med din destinationsadress så är belastningsattacken mer än lyckad. Om det skulle filtrera bort trafik med källadress kan attacken också mycket väl vara lyckad. En intelligent belastningsattack ser givetvis till att använda källadresser på kunder, leverantörer, partners etcetera som kan utgöra din målgrupp. Operatörens målsättning måste vara att enbart stoppa otillåten trafik för att hindra att du som måltavla träffas, direkt eller indirekt.

Även om du köper en tjänst som bidrar till att mildra skadorna av en belastningsattack så bör du ändå hålla ett vakande öga på din infrastruktur. Du kommer givetvis att upptäcka när en belastningsattack inträffar, men ett vaket öga kan upptäcka avvikelser som tidigt indikerar vad som komma skall. Ju tidigare man kan agera desto mindre skada åsamkar belastningsattacken.

© 2006 Thomas Nilsson, Certezza AB

Trafikpolisen är död – Länge leve trafikpolisen

Wed, 01 Nov 2006 12:00:00 GMT

Efter att ha varit symbolen för IT-säkerhet så är nätverkets klassiska trafikpolis, brandväggen, på väg att pensioneras. Det råder inte några tvivel om att brandväggen i sin initiala form snart har spelat ut sin roll. Vi kan helt enkelt inte enbart förlita oss på att en komponent, som endast fattar sina beslut på enkla kriterier såsom IP-adresser och TCP-portar, kan utgöra kärnan i ett skydd. Denna typ av komponent kommer framgent enbart att fungera som ett första yttre skydd och den förutsätter understöd av betydligt intelligentare komponenter för att ge ett fullvärdigt skydd.

Morgondagens (läs dagens) infrastruktur kräver ett helt nytt tänk än när vi först kopplade upp oss till Internet och skyddade oss med vår första brandvägg. Begrepp som insida och utsida är sedan länge utraderat och vi är väl införstådda med att varje öppning i brandväggen, oavsett riktning, också medför en ökad exponering och därmed en ökad risk.

Första steget i rätt riktning är att segmentera infrastrukturen i avsevärt fler zoner och att tillföra betydligt mer protokollintelligens. Infrastrukturens trafikpolis kommer då inte bara ha ett bättre underlag för att fatta beslut, övervakningen kommer att utökas till att även omfatta delar av den företagsinterna trafiken dock fortsatt med ett tämligen statiskt regelverk.

Morgondagens regelverk kommer att utgå från individens behov och det kommer att dynamiskt komponeras för att passa de sessioner som för tillfället erfordras. Detta kommer att ske i samspel mellan de inblandade parterna där ändpunkterna kommer att spela en lika central roll som de komponenter som centralt hanterar infrastrukturens alla zoner. Detta kommer att ställa högre krav på att administrationen inte kompliceras vilket i sin tur innebär att all logik och dynamik måste ske i bakgrunden. Den stora utmaningen är att identifiera de verkliga kommunikationsbehoven och att anpassa ett regelverk därefter.

Det råder inte några tvivel om att den klassiska trafikpolisen närmat sig pension. Den renässans som nu omdanar detta område kommer att resultera i nya typer av trafikpoliser som inte enbart är stationerad centralt i infrastrukturen utan de kommer att vara naturliga inslag ute på fältet. Besluten huruvida trafik mellan två punkter skall tillåtas eller ej kommer att baseras på en mängd olika iakttagelser trafikpoliser emellan och beslutsgrunderna kommer att vara kopplad till dig som individ och det behov som är kopplat till just din profil.

© 2006 Thomas Nilsson, Certezza AB

Mobilen – Nästa informationsläcka

Mon, 23 Oct 2006 12:00:00 GMT

Må hända att mobilen är en läcker pryl och statussymbol för flera användargrupper, men vid professionell användning där mobilen blir en del i den företagsinterna it-infrastrukturen är det inte längre någon lek. Här krävs ett minutiöst arbete för att hindra att mobilen blir företagets nästa informationsläcka.

Jag är djupt imponerad av den tekniska utvecklingen av mobilen. Tänk att de radiotekniskt lyckats blanda trådlöst nät med blåtand i samma lilla enhet, att de fortsatt lyckats krympa batterierna samtidigt som kapaciteten bara ökar och att de lyckats addera allt fler funktioner utan att mobilen varken blir större eller tyngre.

Dessvärre imponerar de informationstekniska landvinningarna föga. Det tillhör snarare sent 90-tal att stolt presentera funktioner för att synkronisera mejl, kalender, kontakter, filer etcetera. Förenklat lyckas vi nu få ut mer eller mindre känslig företagsintern information till våra mobiler dock utan en tanke på hur detta skall skyddas. Där har mobiltelefontillverkarna ännu inte sitt fokus.

Utvecklingsplanen för mobilen borde egentligen ha varit omvänd, gärna med en IT-säkerhetsprodukt som modell. Det vill säga först skapa en säker plattform som klarar omvärldens allt tuffare hotbilder, en plattform som inte röjer känslig information vid en attack och framför allt en plattform som tål att mobilen hamnar i orätta händer utan att den lagrade informationen går samma öde till mötes.

Det finns givetvis 3:e partsprodukter som vädrar morgonluft för att täppa till alla de tänkbara säkerhetsproblem som en mobil är förknippad med. Utmaningen ligger i att hålla nere såväl de fasta som de rörliga kostnaderna som i en mobillösning ofta visar sig oskäligt höga. Givetvis har den mobila lösningen som integrerats i it-infrastrukturen ett högt verksamhetsvärde för allt fler målgrupper, något jag själv kan intyga efter att ha varit en flitig brukare i 6-7 år. Men, risken är överhängande att kostnadsjakten resulterar i en halvfärdig säkerhetslösning för mobilen.

De tjänster som idag säljs för att realisera den perfekta mobila lösningen har heller inte haft ett tydligt säkerhetsfokus. Inte blir det bättre när man i marknadsföringen säger att de är "i princip" säkra. Kan man friskriva sig mer tydligt? Det är också skrämmande att tjänsteleverantörerna inte aktiverar de säkerhetshöjande funktionerna, exempelvis stödet för stark autentisering och kryptering, som trots allt finns i de produkter som används för att realisera tjänsterna. Tyvärr är det nog så att vill man vara på den säkra sidan skall man realisera detta i egen regi.

© 2006 Thomas Nilsson, Certezza AB

Autentisering och kryptering hänger ihop

Mon, 09 Oct 2006 12:00:00 GMT

Få har väl undgått sista tidens debatt om man-in-the-middle-attacker där det påvisats att det är möjligt att etablera en krypterad session med en falsk part, snyggt och prydligt med tänt hänglås och allt, för att sedan påbörja vad användaren tror är normala ekonomiska transaktioner som var och en skyddats med engångslösenord. Den falska sajten påbörjar parallellt, i takt med att engångslösenorden avlämnas, att utföra andra transaktioner hos den tilltänkta parten än vad som ursprungligen var tänkt. Varken användaren eller den tilltänkta parten är för stunden medveten om att detta sker. Skadan upptäcks först när någon av de två parterna noterat transaktioner som avviker från det normala.

Dessvärre har det debatterats om olika typer av man-in-the-middle-attacker och bilden har blivit skev och förvirrad. Traditionellt har en sådan attack handlat om att aktivt delta i nyckelutbytet. Detta har uppnåtts genom att få dataströmmen att passera en punkt där det finns möjlighet att lyssna på datat och där nyttja svagheter i nyckelutbytesprotokollet för att komma över de värdefulla sessionsnycklarna. En attack som är lätt att realisera i en labbmiljö, medan det i den verkliga världen är ett omfattande arbete att styra om dataflöden till lämpliga punkter för avlyssning.

Då är det betydligt enklare att lura en användare att besöka en falsk sajt genom att skicka falsk e-post där användaren ombeds besöka den falska sajten. Om man lyckas lura användaren till sajten kommer den krypterade sessionen att förhandlas fram med den sajten. Någon energi behöver därför inte läggas på att knäcka krypteringen eftersom den dekrypteras snyggt och prydligt i den falska sajten, emedan användaren är helt ovetande. Det hela är möjligt eftersom få har vävt samman metoden för att autentisera en användare med metoden för att åstadkomma en krypterad session. Istället har flera intressanta sajter den lösningen att först etablera den krypterade sessionen och därefter utföra själva autentiseringen som ofta består av engångslösenord som genereras i en dosa eller skrapas fram på ett plastkort.

Hade man beaktat att det finns en väl fungerande metod för att autentisera användaren och sedan använda den som en del vid etableringen av den krypterade sessionen då hade detta scenario inte varit möjligt. Detta har alltså ingenting att göra med vilken metod som valts för autentisering, ej heller val av nyckelutbytesalgoritmer, krypteringsalgoritimer eller nyckellängder. Det har enbart att göra med valet av en otidsenlig design som har uppenbara brister.

© 2006 Thomas Nilsson, Certezza AB

Bra förarbete är A & O

Mon, 02 Oct 2006 12:00:00 GMT

I ett framgångsrikt informations- och it-säkerhetsarbete är vanligtvis ett bra förarbete såsom förstudie, analys och design nyckeln till framgång. Visst ser man fortfarande omvända förfaranden där man först väljer verktyg och sedan funderar på implementation och vilka eventuella behov som kan tillgodoses. Ett skeende som tack och lov blir allt ovanligare.

För de allra flesta börjar processen med ett nytt behov skall tillgodoses och att man kan anta att det kan medföra nya risker för det man tidigare ringat in som mer eller mindre skyddsvärt. För den medvetne har processen ett tydligt mål - att i möjligaste mån tillgodose behovet utan att göra något avkall på den skyddsnivå som tidigare bestämts. Om man väljer att lägga ett tydligt fokus på själva förarbetet finns alla möjligheter att infria målet. Väljer man däremot att förflytta fokus till själva implementationsfasen är risken stor att man tvingas göra avkall på det ursprungliga behovet eller att man tvingas ta onödiga risker.

En svår gränsdragning är huruvida ett förarbete skall innefatta tester och utvärderingar av verktyg som en förstudie kan ha resulterat i? Det som talar för att det skall rymmas inom ramen för ett förarbete är att det finns en uppenbar risk att man inte tydligt nog kan specificera ett verktyg utan att riskera att det verktyg som senare väljs inte uppfyller de förväntade kraven. Detta kan tyckas märkligt men vis av erfarenhet finns det allt för många verktyg som inte håller måttet och därigenom äventyrar hela lösningen. I flera sammanhang kan det upplevas som en nackdel att det inte går att göra förarbetet helt tillverkaroberoende. Viktigt är att denna gränsdragning tydliggörs på samma sätt som övriga mål och avgränsningar för uppdraget.

Försvårande är när man redan valt en färdig lösning för att tillgodose ett behov. Exempelvis en modul till PA-systemet som gör det möjligt att rapportera frånvaro via ett webbgränssnitt på en publik webb som i sin tur kommunicerar med det interna PA-systemet. Här är man helt i armarna på tillverkaren och får ställa sitt hopp till att denne har eliminerat alla tänkbara risker. Detta har ofta visat sig vara en utopi. Visst kan man kanske få några garantier i ett försäljningsögonblick men när skadan väl är ett faktum kommer en förklaring som innebär att du ensam är ansvarig. Det behöver absolut inte vara något fel på den färdiga lösningen men det måste konstateras att den inte äventyrar något innan lösningen införskaffas. Visst kan det ligga ett gediget förarbete bakom en lösning likt denna men inte sällan saknas kunskaper i informations- och it-säkerhet - numera ett naturligt inslag i alla it-relaterade förarbeten.

© 2006 Thomas Nilsson, Certezza AB

Rättsröta

Mon, 26 Jun 2006 12:00:00 GMT

Den mängd felaktiga beslut som fattas i samband med bekämpning av it-relaterade brott gör att förtroendet för våra folkvalda, lagstiftare, åklagare och polis är mycket lågt i dessa sammanhang. Kritiken bör i huvudsak riktas mot våra folkvalda, deras sakkunniga och lagstiftarna. När justitieministern fäller ett uttryck som "Användningen av lagrad trafikdata är ett av de mest effektiva verktyg polis och åklagare har för att klara upp brott idag" och därefter läser faktapromemorian (2004/05:FPM23) som låg till grund till förslaget är det uppenbart för alla med någorlunda kännedom om de byggstenar som Internet vilar på att kunskapsglappet är gigantiskt.

I faktapromemorian pekar de ut Network Transfer Protocol (NTP) som ett av de protokoll till vilket trafikdata bör lagras. Network Transfer Protocol är ett protokoll som inte omnämns i en enda RFC! I promemorians ordförklaring medges att det kanske är Network Time Protocol som avses men varför skulle man vilja lagra trafikdata för ett sessionsoberoende protokoll, som används för att synkronisera tid, när de pekat ut e-post och ip-telefoni som kärnområden? Ytterligare exempel i promemorian som visar kunskapsglappet är när de beskriver 123.456.789 som en typisk ip-adress, när de försöker sig på att beskriva ip-telefoni och när de beskriver NAT som en adresskonvertering mellan ip-telefoni och vanlig telefoni. Detta är tyvärr inte det enda förarbetet som skrämmer.

Gemensam nämnare är att de försöker se Internet ur ett telefoniperspektiv. De tänker sig klassiska kretskopplade mönster där det finns nav som håller ordning på all trafik och som några få aktörer råder över. Om man till denna skeva världsbild adderar peer-to-peer, kryptering och förbindelselösa protokoll så är förvirringen total.

Inte nog med att de lider av ett stort kompetensglapp de måste också bli mycket tydligare. Det går inte att som i förarbetet (prop 2002/03:62) till ändringen av §5 i förvaltningslagen säga att myndigheterna är skyldig att ta emot elektronisk post i textformat utan att närmare förklara vad som avses med begreppen. Hade de exempelvis förtydligat vad de avser med textformat hade offentlig sektor kunnat lägga uppskattningsvis en kvarts miljard kronor per år på något vettigare än att bekämpa skräppost.

Om vi skall kunna bekämpa it-brottslighet professionellt och med hög effektivitet krävs en mer verklighetsanpassad och inte minst tydligare lagstiftning. Det är nästintill humoristiskt när lagar som stiftats före skrivmaskinens tillkomst tillämpas på teknik som hela samhället idag står och faller med. De folkvalda och lagstiftarna måste acceptera den omdaning som skett och skapa regelverken därefter. Annars kommer allt fler skyldiga att undgå straff och inte minst kommer allt fler oskyldiga att drabbas när nuvarande lagstiftning tillämpas.

© 2006 Thomas Nilsson, Certezza AB

Sommarbrott

Mon, 12 Jun 2006 12:00:00 GMT

Det är ingen nyhet att bostadsinbrotten ökar under sommarmånaderna och vi tar numera för vana att vidta brottsförebyggande åtgärder såsom att engagera grannar, förbättra lås och låta bostaden se bebodd ut genom att exempelvis ha tvätt hängande på tork ute. Vi har tyvärr inte samma goda vana vad gäller att bekämpa it-brott under sommarmånaderna. De avfolkade arbetsplatserna är ett alltför lättfångat byte under semestertiderna.

Diverse projekt forceras igenom för att nå målet som ofta är driftsättning innan midsommar och inte ofta hamnar aktiviteter som kodgranskning och sårbarhetstester i skymundan. Dessa nyexponerade system utgör inte sällan en bra språngbräda vid ett intrång. En annan klassisk språngbräda som görs gällande under sommaren är sommarorganisationens svårigheter att hantera de sårbarheter som offentliggörs under semestermånaderna. Sommarorganisationen måste dessutom sovra bland mer eller mindre revolutionerande upptäckter som trummas ut via media där nyhetstorka i kombination med hungriga vikarier kan få vad som helst att bli förstasidesstoff.

Sommaren kan dock inte göras skyldig för att möjligheterna att logga och spåra intrång befinner sig vid lågvattenmärket. Visserligen kan ofta någon, om man är tillräckligt snabb och kreativ, lägga ett pussel med de standardloggar som ofta finns till hands för att påvisa ett intrångsförsök eller kanske till och med konstatera ett lyckat intrång. Denna "någon" är dock sällan närvarande när det görs gällande och det tillhör ovanligheten att det är denna "någon" som upptäcker ett intrångsförsök. Vanligtvis är det den drabbade som upptäcker incidenten och endast i de fall spåren är mycket tydliga. Med den insikten kan envar förstå hur stor risk eller chans det är att sommarorganisationen upptäcker ett pågående intrångsförsök varför förövaren kan agera tämligen obemärkt under semestertider.

Trots att företag och organisationer är mer sårbara under sommarmånaderna så vidtas inte samma förebyggande åtgärder som kring de mer konkreta bostadsinbrotten. Visserligen håller timglaset inför midsommar på att rinna ut, men det finns fortfarande tid att agera. Här följer tre konkreta förslag. 1) Initiera de projektet som krävs för att höja lägsta nivån, det finns ingen anledning att skjuta på det till efter semestern. 2) Ha en tydlig incidentplan på plats. 3) Ge sommarorganisationen förtroende att agera. Låt inte den handlingsförlamning som allt för ofta infinner sig, där man hellre väljer att avstå från att agera i rädslan av att göra fel, prägla även denna sommar. De allra flesta kan prestera betydligt mer än vad man många gånger vågar, inte minst i en situation som snarare skall präglas av sunt förnuft och logiskt tänkande än av hierarkiska beslutsvägar.

© 2006 Thomas Nilsson, Certezza AB

Respekten för internet avtar

Mon, 29 May 2006 12:00:00 GMT

Analysföretagen är eniga, det investeras i it-säkerhet som aldrig förr och investeringarna väntas fortsätta kommande år. Inte oväntat är it-säkerhet ett kraftigt tillväxtområde och det är en av de branscher som förutspås växa allra snabbast. Givetvis är internet den enskilt starkaste drivkraften för den ökade fokuseringen på it-säkerhet samtidigt kan vi konstatera att respekten för internet fortsätter att avta och att allt för många lösningar är designade för att möta 90-talets hot snarare än dagens hot.

De investeringar som görs riktas snarare mot att realisera nya tillämpningar än att höja nivån på befintliga tillämpningar och befintliga säkerhetslösningar. Listan över exempel där mer finns att önska kan göras lång. Här kommer ett axplock utan inbördes ordning och utan att göra gällande att detta är de mest häpnadsväckande exemplen. Dessa är illa nog.

VPN-lösningar utan kryptering och stark identifiering. Ringa accesskontroll till egen infrastruktur. Avsaknad av tillämpningsbara policys och riktlinjer. Känsliga system skyddas enbart med användarid/lösenord. Obefintlig kontroll över vad som överförs till och från internet. Undermåliga loggrutiner där såväl historik som knytning till individer är obefintlig. Känslig infrastruktur sammankopplas med okänd infrastruktur. Generös tilldelning av admin-rättigheter. Avsaknad av tidssynkronisering. Spam-lösningar i strid med gällande RFC's. Ringa förekomster av redundans för kritiska tillämpningar. Intrång som inte utreds. Illa fungerande DNS. IP-adress som enda accesskontroll av känsliga system. Horder av it-säkerhetsprodukter i disharmoni som istället för att samverka, motverkar varandra. Undermåliga rutiner för patchningar och uppdateringar. Överföring av krypteringsnycklar i klartext. Standard lösenord på nätverkskomponenter. Bruk av tvivelaktiga svartlistor. Projekt utan naturliga inslag av it-säkerhet. Känslig information i klartext på bärbar utrustning. Trådlösa nätverkskort aktiverade i klientdatorer anslutna till känslig infrastruktur. Illa genomförda riskanalyser. Sammanblandning av känsliga och mindre känsliga system.

Det är dags att dra upp huvudet ur sanden och konstatera att det nu krävs riktade insatser för att lyfta nivån på säkerhetslösningarna till en acceptabel nivå. Detta är inte bara ett tekniskt och strukturellt problem utan det krävs också stora doser kompetenshöjning. Både i det breda perspektivet, där användarna lär sig grundläggande it-säkerhet ur deras horisont, och i det djupa perspektivet där tekniker och specialister ges tid och möjlighet att lyfta sig till dagens nivå. Det hela måste sedan mynna ut i en levande förbättringsprocess. Det är svårt att se direkt ekonomisk avkastning på investeringen, men det skall ställas mot det omvända. Vad är kostnaden om investeringen uteblir?

© 2006 Thomas Nilsson, Certezza AB

IT-säkerhetsprodukter är färskvaror

Mon, 15 May 2006 12:00:00 GMT

Floran av antalet it-säkerhetsprodukter, aktörer och tillverkare blir allt större. Till alla snabbväxande branscher söker sig inte bara seriösa aktörer, utan också aktörer som förväntar sig snabb avkastning och aktörer som inte räds för att använda mer eller mindre seriösa metoder. Alla mer eller mindre relevanta hotbilder som trummas ut i rask takt parallellt med allt fler vinklade undersökningar har väl inte undgått någon. Enda syftet med detta är att göra tillverkaren hörd och sprida ett budskap som direkt eller indirekt talar för deras produkt.

Ur ett historiskt perspektiv, om man nu kan tala om historiska perspektiv i Internetsammanhang, så är it-säkerhetsbranschen inne i sin andra kraftiga uppgång. I en tillbakablick till mitten av 90-talet när branschen växte explosionsartat ser man flera paralleller till den uppgång vi upplever idag. Brandväggen är en komponent som tydligt exemplifierar detta.

I mitten av 90-talet fanns det en handfull seriösa och starka alternativ till brandväggsprodukter. Sedan dessa har några slagits ut, några har blivit uppköpta, några har tynat bort och några få har vuxit sig riktigt starka. Lycksökarna på mitten av 90-talet skördade tidigt frukterna och var inte speciellt intresserade av att se någon längre livslängd på sin brandväggsprodukt, med några få undantag. Vinnarna var de som var fast beslutade att löpande utveckla sin brandväggsprodukt för att möta ständigt nya hotbilder och nya kundkrav.

Vinnarreceptet, då som nu är detsamma; en ständig produktutveckling för att möta en föränderlig omvärld och it-miljö. Skillnaden är att idag är det inte en handfull seriösa och starka alternativ, det är ofantligt fler alternativ och det är än svårare att välja ut vinnarna. Men, om man håller sig till aktörer som är fast beslutna att fortsätta leverera och utveckla it-säkerhetsprodukter som snabbt anpassar sig till den förändring som ständigt sker så är risken mindre att man investerat i lösningar som efter kort tid visat sig värdelösa.

IT-säkerhetsprodukter är alltså inte färskvaror i den bemärkelsen att de skall bytas ut så snart bäst-före-datumet passerat utan färskvara i den bemärkelsen att de intar en hög utvecklings- och förändringstakt där hotbilder och kundkrav är de starkaste drivkrafterna. Till detta skall adderas it-branschens i särklass bästa kvalitetsprocess av den enkla anledningen att man helt enkelt inte tillåts göra några misstag i denna typ av produkter. Om du efter en tid känner att de tillverkare du har valt för dina it-säkerhetsprodukter inte håller måttet, byt! Det finns ingen anledning att vara trogen en lycksökare med kortsiktiga ambitioner.

© 2006 Thomas Nilsson, Certezza AB

Enkelspåriga riskanalyser

Tue, 02 May 2006 12:00:00 GMT

För allt fler är äntligen informationssäkerhetspolicyn en realitet. För flera har det varit en lång resa och ett ständigt dåligt samvete. Slutligen kan aktiviteten bockas av och läggas till handlingarna.

Detta scenario stämmer väl överens med hur verkligheten ser ut för många. De allra flesta har också insett att detta inte är en engångsaktivitet utan en cyklisk process. Dock är det okänt för det stora flertalet att kvaliteten i de riskanalyser som görs ofta är undermålig och eftersom detta är den enskilt viktigaste källan till informationssäkerhetspolicyn så innebär det att även dessa kan vara behäftade med stora brister.

Ett problem är att riskanalysen alltför ofta fokuserar på ålderdomliga hotbilder. Det innebär inte att det är irrelevanta hotbilder, men det snabbt ökande antalet nya hot gör att gapet mellan verkligheten och vad riskanalysen omfattar är alltför stor. Ett annat problem är att de som genomför riskanalysen ofta är för långt från verksamheten och att sakkunskapen om internetrelaterade hot och nya hotbilder lyser med sin frånvaro. Det glöms ofta bort att riskanalysarbetet är en sökande och upptäckande process, inte en process där man väljer redan upptrampade stigar.

För något år sedan lamslogs ett helt socialkontor under närmare en vecka på grund av att en främmande dator anslutits till det interna nätverket och relativt omgående smittat ned samtliga handläggares datorer. Från ansvarigt håll gav man lugnande besked att man hade ringat in skadan och påpekade att kärnverksamheten inte var påverkad. Jag undrar om handläggarnas klienter hade samma uppfattning?

Denna hotbild har de allra flesta med i sin riskanalys nu för tiden. Förhoppningsvis har man också lärt sig att identifiera vad som egentligen är kärnverksamheten. Precis som med hotbilden så finns det mer att önska vad gäller identifieringen av vad som är skyddsvärt. För de allra flesta är det en övervikt mot att identifiera olika former av information som skyddsvärd. Även här måste man undvika att välja redan upptrampade stigar och tänka fritt.

Ett tydligt exempel där invanda avgränsningar gör att man missar hotbilder är e-post. Vem har med nätfiske och svartlistning i sin riskanalys? Två hot som kan bli ödesdigra för en verksamhet och där konsekvenserna kan bli allt från ekonomiska förluster till oönskad medieuppmärksamhet.

Oerhört mycket bra arbete har lagts på att strukturera riskanalysarbetet vilket givetvis har flera fördelar. Dessvärre har det strukturerade tillvägagångssättet en tendens till att kväva den kreativitet som trots allt är nyckeln till en lyckad riskanalys. Det går inte att negligera det faktum att en risk existerar även om man inte lyckats identifiera den.

© 2006 Thomas Nilsson, Certezza AB

Är du del i en pågående distribuerad belastningsattack?

Tue, 25 Apr 2006 12:00:00 GMT

Ett stort antal av världens referensklockor på nätet står under en ständig och aldrig avtagande belastningsattack. Den utförs dygnet runt av inte ont anande konsumenter. Likheten med ett gigantiskt "botnet" är slående.

Det hela handlar om att D-Link har försett flertalet av sina routrar, brandväggar och accesspunkter med en hårdkodad lista med adresser till ett 50-tal Stratum 1 NTP-servrar. Återkommande skickar de en NTP-fråga slumpvis till någon av servrarna i listan. Besvaras inte frågan, som dessutom ställs med en uråldrig version av protokollet, så väljs en ny server i listan. Problemet är att många servrar inte svarar på förfrågningar med den uråldriga versionen av protokollet. Detta resulterar i att flertalet frågor förblir obesvarade varvid lasten ökar ytterligare. Mätningar som gjorts på Stratum 1 NTP-servern i Danmark visar att D-Linkutrustning står för upp till 90% av alla förfrågningar.

Att D-Link har valt att använda stratum 1 NTP-servrar är allvarligt. Förenklat är dessa synkroniserade direkt till en källa för UTC och är att betrakta som primära källor för tid. De är högst upp i NTP-hierarkin och är en referens för övriga NTP-servrar i hierarkin. Dessa är absolut inte tänkta att användas som en direkt tidskälla för ändutrustning utan dessa hänvisas till NTP-servrar med lägre stratum-nivå. Att D-Link använder dessa referensklockor för att synkronisera tid är inte bara ett brott mot flertalet av de NTP-policys som upprättats, det är också misshushållning av resurser och inte minst äventyrar de driften av dessa viktiga referensklockor.

Netgear gjorde en liknande fadäs våren 2003 där man hårdkodat adressen till NTP-servern på universitetet i Wisconsin i sina konsumentroutrar. Det drabbade visserligen bara en part, men å andra sidan fick universitetet lägga ner sin verksamhet en tid. Netgear förstod ganska snart sitt misstag, rättade till det samt bidrog dessutom med medel till universitetet som plåster på såren. D-Link har inte lärt sig av Netgears misstag. Trots massiv kritik under våren har de ignorerat den belastningsattack de är orsak till. I förra veckan kom en första kommentar där de nu lovar att inom kort ge besked hur de kommer att agera.

Detta problem har flera dimensioner. Den som utsätts för en attack likt denna har svårt att värja sig. Att neka trafik innebär dessvärre att trafiken ökar. Trafiken måste blockeras så nära källan det bara är möjligt för att ge effekt, vilket är svårt när det rör sig om miljontals olika källor. Även om D-Link tar sitt förnuft till fånga och korrigerar sitt misstag så tar det mycket lång tid innan programvaran i de aktuella utrustningarna uppdaterats. Konsumentledet är inte direkt känt för att uppdatera programvara i nätutrustningen och med tanke på den installerade volymen så kommer denna attack att pågå under mycket lång tid. Detta är dock ingen ursäkt för att tillverkaren inte skyndsamt skall rätta till denna allvarliga fadäs. Det du som D-Linkägare kan göra redan nu för att inte delta i den distribuerade belastningsattacken är att se till att du specificerar en NTP-server.

© 2006 Thomas Nilsson, Certezza AB

Incidentträning

Sun, 02 Apr 2006 12:00:00 GMT

Den ena rapporten efter den andra visar samma sak - allt färre vågar ta ansvar. Det har till och med gått så långt att man konstaterar att det är bättre att vara passiv än att agera. Framförallt är det våra folkvalda som fått klä skott för dessa iakttagelser och påstående. Faktum är dock att samma beteenden går att finna inom IT-branschen och inte minst inom IT-säkerhetsområdet.

Ett tydligt exempel där frånvaro av ansvar och engagemang kan få ödesdigra konsekvenser är IT-relaterade incidenter. Det kan vara allt från att en incident går obemärkt förbi till att man under hanteringen av en incident väljer att inte agera vilket i båda fallen kan orsaka stora skador. En otydlig ansvarfördelning och rädslan för att göra fel är ofta orsakerna till ett tvivelaktigt agerande i samband med en IT-relaterad incident. Flera hävdar att lösningar som helt eller delvis utkontrakterats lider mer av detta än lösningar som hanteras i egen regi. Detta påstående kan visserligen vara sant, samtidigt har den som utkontrakterat en lösning ofta tvingats gå igenom ansvarfördelning och avgränsningar varför man i flera fall är bättre rustade för hur man agerar vid en incident än andra.

Det är först vid en incident som bristerna brukar uppdagas och då är det ofta för sent att korrigera bristerna och incidenten kommer sannolikt att hanteras helt planlöst. Därför är det av största vikt att återkommande testa och träna de delarna av en organisation som berörs av en IT-relaterad incident. Test bör i möjligaste mån efterlikna en skarp incident och det bör givetvis ske oanmält för att träna under så realistiska förhållanden som möjligt. Detta bör sedan följas upp med någon form av workshop där man tillsammans går igenom händelseförloppet och stämmer av och justerar incidentplanen och andra incidentrelaterade dokument så att dessa stödjer incidentprocessen på bästa sätt. Syftet med en incidentträning får inte vara att leta syndabockar för det kommer sannolikt att prägla incidentprocessen negativt vilket i sin tur visar sig när det är skarp läge. Nej, syftet med övningen är skapa en trygg och intrimmad incidentorganisation.

Incidentövningar i IT-säkerhetssammanhang är inget märkligt. Det borde vara lika självklart som att testa att det verkligen går att återläsa en säkerhetskopia. Trots denna självklarhet är inte incidentträning någon vanligt förekommande företeelse. Den gamla devisen att "övning ger färdighet" gäller givetvis även här. Till denna devis kan adderas det faktum att det är bättre att öva en gång än ingen gång alls, men det lågvattenmärket borde rimligen inte behöva vara en realitet i ett IT-samhälle.

© 2006 Thomas Nilsson, Certezza AB

Nygamla risker

Tue, 21 Mar 2006 12:00:00 GMT

Nya aktörer, nybyggda infrastrukturer och inte minst nya tillämpningar har åter givit skjuts åt gamla risker. Den mest omtalade risken just nu är ARP-poisoning. En relativt gammal teknik som gör det möjligt att inom ett nätsegment styra om trafiken mellan två parter via en tredje part, vilket i sin tur möjliggör allt från avlyssning till förvanskning av data. Konkret utnyttjar man en brist där många TCP/IP-implementationer, utan att ha ställt någon ARP-fråga, accepterar ett ARP-svar varvid en utomstående enkelt kan ändra i de sårbara datorernas ARP-cache.

Granskar man mediarapporteringen under de sista månaderna lyfts den gamla tekniken fram som något nytt och skrämmande. Tyvärr finner man också direkta felaktigheter i rapporteringen, vilket inte är ovanligt i dessa sammanhang. Det målas upp scenarios med allt från att denna teknik kan användas över världsdelar, till att banktransaktionerna är i farozonen. Parallellt haglar varningarna för att utbyta känslig information via IP-telefoni tätt.

Här är det på plats med ett förtydligande. ARP-poisoning kräver att förövaren har access till samma nätsegment som någon av de datorer man har för avsikt att attackera och det är inte sannolikt att ett Internetcafé i USA och en organisation i Sverige befinner sig i samma nätsegment. Därmed inte sagt att ett Internetcafé i USA inte kan användas för att attackera en organisation i Sverige, men det är högst osannolikt att man enbart använder sig av ARP-poisoning för att styra om trafiken via Internetcafét.

Det kan sedan tyckas vara märkligt att en ny, känslig tillämpning - som exempelvis IP-telefoni - inte tagit lärdom av historien. Det är inte speciellt svårt att skydda sig mot ARP-poisoning, vilket varje brandvägg med självaktning visat. Det är också märkligt att de allra flesta fortfarande väljer att utbyta känslig trafik i klartext, trots att det aldrig har varit enklare att kryptera och autentisera data än vad det är idag. I stället förlitar sig de flesta på infrastrukturen, trots att man sällan har 100% kontroll över den.

Den överdrivna tilltron till infrastrukturen ger ofta bränsle till historier likt denna. I bästa fall har man separerat infrastrukturen och skiljt känsliga tillämpningar från övriga tillämpningar och är därmed mindre sårbar. Dessvärre är det mer troligt att man dragit fördel av att använda andra och snabbare konfigurationsmöjligheter. Ett slående exempel är IP-telefonens datoruttag som otvivelaktigt placerar ansluten dator i samma nätsegment som IP-telefonin vilket indirekt underlättar för attacker likt denna.

Detta är inte sista gången man dammar av gamla risker och kopplar samman dem med ny teknik. Det kan inte nog poängteras vikten av att lära av historien. Gamla kända attacker skall helt enkelt inte vara möjliga att återupprepa i ny teknik.

© 2006 Thomas Nilsson, Certezza AB

Har du koll på svartlistorna?

Mon, 06 Mar 2006 12:00:00 GMT

Det finns 100 tals mer eller mindre kända svartlistor. Utöver dessa finns det ytterligare flera tusen svartlistor, allt från fria publika svartlistor till kommersiella svartlistor. Gemensamt för de allra flesta är att lista de IPadresser som man av någon anledning anser att man skall blocka trafikflödet från. Om du finns med i en svartlista så innebär det alltså att någon anser, utifrån mer eller mindre tydliga kriterier, att trafik från din IP-adress skall blockeras.

Orsaken till att man hamnar på en svartlista varierar. Initialt var det väldigt enkla kriterier som sattes upp för en svartlistning. Det kriterie som är mest känt är att lista IPadresser över SMTPservrar som klassats som öppna reläer och tillika är en av förutsättningarna för att skicka spam. Övriga SMTPservrar kan sedan använda denna lista för att, på mer eller mindre god grunder, blockera trafik från den aktuella IPadressen med hänvisning till att den kan användas för att skicka spam.

Kriterierna för svartlistning blir fler och fler. Idag kan det räcka med att du har en mailbrandvägg som frontar ditt mailsystem och du har fortsatt valt att ditt mailsystem skall skicka NDR (Non-Delivery-Reports) i stället för din mailbrandvägg för att svartlistas. Om du har en dator som sprider skadlig kod eller utför belastningsattacker är risken för en svartlistning stor. Sker detta dessutom bakom en av ditt företags IPadresser är det alltså företaget som svartlistas.

Metoderna för att skapa listorna har gått från manuell rapportering, via automatisk insamling till att detektorer etableras hos operatörerna. Detta i kombination med att kriterierna blir allt fler och allt komplexare gör att logiken bakom vad som svartlistas blir allt svårare att förstå. Adderar också det faktum att en stor andel av IPadresserna tilldelats dynamiskt och att listor kan nästlas in i varandra så framträder en bild som nästintill kan liknas med ett kaos.

Det är inte märkligt att allt fler svartlistas på tvivelaktiga grunder. De som råkat ut för detta har också upplevt svårigheten att göra "avbön". Det tar inte bara stora resurser i anspråk utan är också förenat med såväl badwill som stora kostnader under den tid man är utestängd på grund av en svartlistning.

De som använder sig av svartlistorna måste i allt större utsträckning än vad som sker idag kritiskt välja vilka svartlistor man anser rimma väl med ens egna kriterier för svartlistning och framför allt inte se detta som ett engångsval utan som en levande process.

© 2006 Thomas Nilsson, Certezza AB

Blanda ihop faktorerna

Mon, 20 Feb 2006 12:00:00 GMT

Det är inte längre någon förstasidesnyhet att ett lösenord är otillräckligt för att kontrollera en uppgiven identitet. Denna vetskap gör det allt mer självklart att stärka autentiseringsmekanismen och inte enbart förlita sig på lösenord. En växande marknad innebär som alltid ett större utbud och en hårdare konkurrens. Tyvärr håller inte alla lösningar måttet och upptäckten att man blivit förd bakom ljuset kanske visar sig först när skadan är ett faktum.

En av de vanligare fallgroparna är att tillverkaren anser sig ha en tvåfaktor autentisering. För att rätt värdera olika lösningar måste man förstå de tre tydligt definierade typerna av autentsering.

Typ 1 - "Något du vet", exempelvis ett lösenord.
Typ 2 - "Något du har", vanligtvis en fysisk tingest.
Typ 3 - "Något du är", exempelvis ett fingeravtryck.

En tvåfaktor lösning innebär att man kombinerar två typer för att kontrollera en uppgiven identitet. Exempelvis ett engångslösenord genererat av en fysisk dosa som skyddas med en PIN-kod. Tyvärr är det inte alltid två skilda typer som används i en tvåfaktor lösning utan den kan använda sig av faktorer av samma typ. Exempelvis kan de två faktorerna vara dels ett lösenord och dels en PIN-kod. I detta fall en kombination av faktorer av samma typ, typ 1 faktorer, vilket gör att det bara behövs en metod för att knäcka lösningen.

Vad gäller typ 2 faktorerna så är alla inte överens om att det skall vara en fysisk tingest. Exempelvis är det hårfint om man verkligen kan anse att ett nyckelpar som lagrats på en hårddisk verkligen är något du har. Det finns nämligen en risk att någon annan också har dem. Ytterligare en variant på typ 2 är "var du är". Problemet är att det blir allt svårare att säkerställa detta, för att inte säga omöjligt. Tidigare kunde man exempelvis vid en uppringd anslutning kontrollera numret varifrån man ringde. I dagens gränslösa IP-värld är detta näst intill en omöjlighet.

Vad gäller typ 3 faktorerna, där bland annat biometrisk identifiering hör hemma, är problemet inte längre tillförlitligheten i tekniken utan främst marknadsacceptansen vilket måste beaktas vid val av lösning. Tekniker som förutom att säkerställa din identitet också kan fastställa om du är gravid eller har ett skadligt blodtryck är ett tydligt exempel på en lösning som kan möta motstånd.

Faktum är att vissa lösningar på marknaden för stark autentisering inte är bättre än en förstärkt lösenordspolicy. En lösningen värd namnet skall åtminstone bestå av två skilda typer av autentiseringsmekaniser. Hur mycket man än önskar så finns det ingen enkel genväg till stark autentisering.

© 2006 Thomas Nilsson, Certezza AB

Lever du som du lär?

Mon, 06 Feb 2006 12:00:00 GMT

De flesta har haft en relation med Internet långt över ett decennium. Alla har i någon form råkat ut för mer eller mindre allvarliga incidenter. Medvetenheten om så väl möjligheterna som riskerna med Internet har aldrig varit större. Trots detta är varken informations- eller IT-säkerhet ett naturligt inslag i alla IT-projekt.

Medvetenhet är som bortblåst när man i flera fall sjösätter IT-projekt utan att ha en ringa tanke på vilka eventuella hot och risker slutprodukten utsätts för. Fem i tolv är det inte ovanligt att någon yppar en undran som resulterar i en kommentar som är snarlik den som kreatören i Sundbyberg fällt ett antal gånger "Tänkte inte på det". Givetvis får inte tidplanen påverkas av det inträffade eftersom tidplanen redan reviderats vid ett antal tillfällen. Ytterligare förseningar är inte att tänka på! Slutprodukten skall nu med blixtens hastighet och till en försumbar kostnad förses med en lösning som gör den osårbar.

Lösningen som gör slutprodukten osårbar varierar. Någon förordar den där lådan som innehåller alla tänkbara skydd till kostnaden av en PC, någon annan nämner den där nya programvaran från den stora leverantören, en tredje tror inte att det är någon risk att exponera slutprodukten. Oavsett vilken väg man väljer så finns det inget underlag som belyser vilka risker och hot som slutprodukten kan tänkas vara utsatt för utan lösningen som väljs för att skydda slutprodukten grundas på något annat. I bästa fall grundas det på erfarenhet från likartade projekt, vad det nu kan tänkas vara värt. Inte sällan väljs en temporär lösning för att vinna tid. För övrigt tenderar den temporära lösningen ofta till att bli den permanenta lösningen då varken tid eller medel infinner sig i ett senare skede. Går allt väl sker leveransen i tid och slutprodukten är osårbar. Dessvärre så är det sällan lyckliga slut på dessa projekt. Tiden kommer förr eller senare i kapp verkligheten.

Det förvånande är inte att det fortfarande existerar IT-projekt som inte har naturliga inslag av informations- och IT-säkerhet. Det förvånande är att det återupprepas gång efter annan. Den enda rimliga förklaringen till att det fortsätter i samma dåliga anda är att man hittills haft tur och inte råkat ut för några allvarliga incidenter. I alla fall ingenting man är medveten om. Det är inte långt borta att dra slutsatsen att det finns mängder med halvtaskiga slutprodukter som skyddas med halvdana lösningar där man inte har en aning om den verkliga hotbilden. Det är inte märkligt att det dagligen läcker ut information såsom kreditkortsnummer, personuppgifter och företagshemligheter.

© 2006 Thomas Nilsson, Certezza AB

Omvänd policy

Mon, 23 Jan 2006 12:00:00 GMT

I den ständiga jakten på att göra sig hörd trumfar den ena efter den andra med allt högre procenttal för att lyfta fram hotbilder relaterade till egen och inhyrd personal. Inte sällan nämns procenttal närmare 90%. Vill man vända på detta, säger samtidigt den som vill göra sig hörd att endast 10% av hoten kommer utifrån. Mer nyktra undersökningar nämner att 1/3 kan relateras till interna hotbilder och 2/3 till externa hotbilder. Har procenttalen egentligen någon betydelse?

När man kopplade samman den egna IT-infrastrukturen med Internet var fokus givetvis att skydda sig mot det okända. Likhetstecken sattes mellan Internet och det okända. Samtidigt infördes få, i vissa fall inga, begränsningar för access till Internet. Få såg då några risker med att ge den egna IT-infrastrukturen frikostig access till Internet. Detta föranledde i sin tur att man ofta använt två helt olika grundprinciper för interna respektive externa hotbilder. Den externa policyn utgår från att allt är förbjudet och man specificerar vad som skall tillåtas vid access från Internet. Den interna policyn är helt omvänd, den utgår från att allt är tillåtet och man specificerar vad som skall förbjudas vid access till Internet. Med det historiska perspektivet är det inte speciellt häpnadsväckande att fokus flyttats från externa till interna hotbilder. Självklart väljer den illasinnade att utföra sina attacker från en punkt där denne kan operera ostört, obehindrat och osynligt.

Det har gått mer än ett decennium sedan stora flertalet anslöt sig till Internet och formade sina policys. Vi kan idag konstatera att den slapphänta policyn för vad som tillåts, eller rättare sagt förbjuds, vid access till Internet är en belastning idag. Det är inte ovanligt att detta är den största enskilda IT-säkerhetsrisken för en organisation idag. Dessvärre är det inte bara att byta grundprincip och utgå från att allt är otillåtet och sedan specificera allt som skall tillåtas. Allt för många har nämligen inte en aning om vad som skall tillåtas, än mindre vad som kan relateras till den egna verksamheten.

För att lyckas med att byta grundprincip utan att bli en belastning för såväl den egna verksamheten som de interna användarna krävs en minutiös kartläggning av trafikslag, protokoll, format etc. Detta är ett utmärkt tillfälle att ta stöd av säkerhetspolicyn med tillhörande dokument för att se hur väl de fungerar i praktiken. Det finns tyvärr en risk att även säkerhetspolicyn kommer att påverkas, direkt eller indirekt, av detta förändringsarbete. Det finns ingen anledning att skjuta upp detta förändringsarbete. Det blir bara än mer omfattande med tiden och under tiden utsätts er organisation för risker helt i onödan.

© 2006 Thomas Nilsson, Certezza AB

2005 - Ett händelserikt IT-säkerhetsår

Mon, 19 Dec 2005 12:00:00 GMT

När ett årsskifte närmar sig är det ofrånkomligt att tänka tillbaka på året som varit och i samma stund låta fantasin dra iväg och förutspå det kommande året. Inom IT-säkerhetsområdet är det extra tacksamt att göra såväl en tillbakablick som att fundera på vad det kommande året har i görningen.

2005 var året då IDS (Intrusion Detection System) gick i graven. För flertalet är IDS det där kostsamma systemet som står i ett hörn och samlar falsklarm. Rätt använd så var IDS ett ovärderligt verktyg, men som med så många andra verktyg så måste det utvecklas för att leva vidare. Under det gångna året bytte IDS skepnad och blev IPS (Intrusion Prevention System). Ett aktivt verktyg som inte bara kompletterar brandväggen utan allt oftare utmanar brandväggen på grund av brandväggens svårighet att lära sig det allt viktigare applikationslagret. IPS kan mycket väl visa sig bli det kommande årets viktigaste nätsäkerhetsinvestering.

2005 var året då nätfisket (phising) blev en realitet för de allra flesta. Det behövs som alltid några uppseendeväckande händelser innan problemet tas på allvar. I fjolårets sista krönika gav jag förslaget att addera SPF (Sender Policy Framwork) till listan med nyårslöften för att minska problemet med nätfiske. Under det gångna året har DNSsec blivit en realitet för se-domänen och därmed är det dags för ett nytt nyårslöfte, att implementera DNSsec för att öka tilltron till den egna domänen.

2005 var året då patchhantering blev en aktivitet som för många är den enskilt viktigaste åtgärden för att skydda exponerade resurser. Samtidigt blev år 2005 det år då allt fler exploits blev allmänt kända långt innan någon patch fanns tillgänglig för den aktuella såbarheten. Det mesta talar för att trenden håller i sig och därmed är en väl fungerande patchhantering inte längre ensamt tillräcklig för att skydda exponerade system. Parallellt med utökade skydd måste tillverkarna lägga mer krut i kvalitetsarbetet för att minska antalet sårbarheter och när väl skadan är skedd måste de ha beredskap och resurser för att agera betydligt snabbare. Det är inte sannolikt att man, som i flera fall, kan fortsätta och följa en på förväg uppgjord kalender för patchdistribution, exempelvis andra tisdagen i varje månad, utan patchar måste släppas utan fördröjning.

2005 var året då EU-parlamentet röstade ja till lagring av trafikuppgifter. 2006 kommer att inledas med en debatt om vad som egentligen skall lagras i enlighet med beslutet och vad som avses med Internet telefoni, e-post och Internetåtkomst. Debatten efterföljs senare av en ny debatt om verkligen alla Sveriges ca 350 operatörer berörs och om det verkligen tar 50 år att göra en enkel databassökning på 20.000 terabyte. 2006 kommer också bli det år då gemene man lär sig att bli garanterat anonym på Internet. Det är inte osannolikt att kvällspressen tar täten och ger de bästa råden.

Jag tar slutligen tillfället i akt att tillönska ett gott nytt år. Glöm inte bort att addera skottsekunden vid tolvslaget!

© 2005 Thomas Nilsson, Certezza AB

Förbättrad spårbarhet i jakten på terrorister

Tue, 06 Dec 2005 12:00:00 GMT

Ingen har väl undgått att Sverige med Thomas Bodström i spetsen driver ett förslag i EU som skall mynna ut i gemensamma regler för lagring av data om telefon- och Internettrafik. Syftet är att trafikuppgifter ska bevaras av Internet-, telefoni-, tjänste- och nätleverantörer under en viss tid för att kunna användas vid brottsbekämpning.

Dessvärre är förslaget ännu så pass otydligt att man inte kan avgöra vad som egentligen menas med de olika avgränsningarna. Förtydliganden som nämnts under resans gång är att man med Internettrafik endast avser e-post, men man nämner samtidigt IP-telefoni inom ramen för telefoni. Parallellt finns det skrivningar som nämner Internet i generella ordalag och i ursprungsdokumentet radas alla tänkbara protokoll upp. På en punkt är man dock tydlig, man har inte för avsikt att lagra innehållet utan endast trafikuppgifter. Var gränserna i realiteten kommer att dras är synnerligen grumligt.

Helt klart är att hela resonemanget sker på en nivå som kan bli svår att översätta i praktiken. Diskussionen i EU''''s RIF-råd (justice and home affairs) handlar inte så mycket om realisering av förslaget utan snarare hur man skall kunna övertyga parlamentet att detta är ett bra förslag. Tack och lov har det aktuella utskottet (LIBE) sågat förslaget. Mötet i RIF-rådet i den 1-2 december verkar dessvärre inte ha hörsammat utskottets betänkande om att dra tillbaka förslaget utan ställer sin förhoppning till en omröstning i parlamentet den 13 december.

Det finns en tydlig trend som förslaget inte tagit hänsyn till och det är att trafikmönstren ändras. Vi går från att kommunicera med eller via centrala punkter till att kommunicera sinsemellan. Vi går från att kommunicera i klartext till att kommunicera i krypterad form. Vi går från förbindelseorienterade protokoll till förbindelselösa protokoll.

Den som har onda avsikter, eller bara vill skydda sin integritet, kommer givetvis att ändra sitt trafikmönster i snabbare takt för att minska risken att bli röjd. För att trafikuppgifterna skall ha något värde förutsätts givetvis att man kan härleda uppgifterna till en dator, allra helst en individ. Detta är inte någon skillnad mot idag när data inhämtas i samband med en utredning. En tydlig trend som kan konstateras är att det är allt svårare att göra denna härledning. Jag behöver knappast redogöra för hur enkelt det är att dölja sin identitet på Internet.

Jag är stark förespråkare för att använda alla till buds stående medel för att stävja brott. Tyvärr har det målats upp en bild av att detta förslag kommer att vara ett avgörande medel i kampen mot den grova brottsbekämpningen. Mer sannolikt är det att de trafikuppgifter som lagras i enlighet med förslaget med tiden kommer att vara värdelöst för den grova brottsbekämpning men det kanske kan leda till att ett eller annat pojkstreck kan avslöjas vilket knappast var ursprungstanken med förslaget.

© 2005 Thomas Nilsson, Certezza AB

Tickande risker

Tue, 22 Nov 2005 12:00:00 GMT

Det är inte lång tid sedan vi gick från sommartid till normaltid. En förändring som idag nästintill obemärkt passerar våra IT-system. Annat var det för ett decennium sedan, då krävdes stora insatser för att ställa om alla klockor. Nu förstår alla klockor, utom klockan i bilen, när det är dags för skifte mellan sommar- och normaltid. Dessutom med ett millenniumskifte i bagaget står vi stärkta inför alla tänkbara förändringar i tid. Eller gör vi det?

Det är inte många som är medvetna om att vi skall addera en skottsekund (leap second) i år lagom till tolvslaget på nyårsafton. Orsaken till att man lägger till eller drar ifrån skottsekunder är att jorden inte riktigt roterar med ett varv per dygn och detta måste kompenseras med några års mellanrum. Det är The International Earth Rotation Service (IERS) som håller reda på detta och beslutar när skottsekunder skall läggas till eller dras ifrån. Därför skall ni den dagen till ära räkna in tolvslaget så här 23:59:59, 23:59:60, 00:00:00. Senast detta skedde var för sju år sedan, nyårsafton 1998. Det var alltså innan vi gjort alla ändringar inför millenniumskiftet och innan gemene man förstod vikten av att använda NTP för att ha rätt tid, spårbar tid, i datorerna. Hur våra IT-system kommer att hantera denna skottsekund återstår att se. Det finns en risk att man under de sju år som gått sedan sist har förbisett denna händelse i allt från operativsystem till applikationer.

En annan tickande risk är att Microsoft har bestämt sig för att inte åtgärda den hårdkodade begränsningen i W32time som innebär att man inte kan hantera NTP-svar med en precision bättre än -30 (se krönika i CS 2/9). Sveriges Provnings- och Forskningsinstitut (SP) har planer på att uppgradera de tidsservrar som etablerades 2000/2001 vilka är direkt spårbara till den svenska officiella tidsskalan UTC(SP). En uppgradering av de tidsservrar som finns hos SP och Netnod innebär att precisionen förbättras och den kommer sannolikt att hamna på -31 eller -32. Detta får till följd att alla som använder W32time för att synkronisera tiden mot dessa tidsservrar kommer att betrakta svar från dessa som skräp. I början av november har SP gjorts medvetna om detta problem även om de inte direkt har något ansvar för problemet, men de är nu införstådda med följden av en uppgradering. Lösningen för att säkerställa tidssynkronisering i Windows 2003/XP är att envar ersätter W32time med en NTP/SNTP programvara som inte innehåller samma hårdkodade begräsningar som W32time har.

© 2005 Thomas Nilsson, Certezza AB

Medborgarcertifikat – Vilken mess

Tue, 08 Nov 2005 12:00:00 GMT

I samband med invigningen av Sweden ICT Week lyfte Ulrika Messing fram två delar ur IT-propositionen som hon ansåg var speciellt viktiga för framtiden. Dels hur man med IT kan klara av de ökade vårdkraven och dels den viktiga utvecklingen av eID som anses vara avgörande för utvecklingen av E-tjänster.

Tyvärr finns det inte några avgörande förslag i IT-propositionen hur eID, eller som de benämndes inledningsvis medborgarcertifikat, skall utvecklas. Med närmare fem års historik kan det konstateras att utvecklingen inte motsvarat förväntningarna. Orsakerna är flera, men det som återkommande anses hämmande är avsaknaden av tjänster som nyttjar eID. Det är inte så märkligt med tanke på att själva upphandlandet av eID har haft hämmande effekter på utvecklingen. Hur stor del kan diskuteras.

Tillit är ett av de tre ledorden för IT-propositionen. Ett ord som givetvis måste genomsyra även ett eID. Få är medvetna om att Sverige, tillsammans med Portugal och Litauen, är de enda EU-länderna som inte har någon utfärdare som står under tillsyn. De som idag utfärdar eID, utfärdar "avancerade elektroniska signaturer". Orsaken är att marknaden inte efterfrågat "kvalificerade elektroniska signaturer". En stor skillnad för innehavare av eID är att utgivningen av "kvalificerade elektroniska signaturer" är reglerad i lag (2000:832) vilken ställer höga krav på utfärdaren och ger brukaren viss rätt till skadestånd om utfärdaren inte uppfyllt kraven. Jag är inte orolig att dagens utgivare av eID inte kan leva upp till lagkraven, men ett ändrat ställningstagande skulle ge medborgaren större tillit till eID.

Prissättningen har helt klart haft hämmande effekt för att införa eID. Initialt var den löpande kostnaden för att kontrollera eID så hög att man helt enkelt undvek att utveckla stöd för dem. Detta är något som eID fortfarande lider av trots förbättrade prisnivåer, vilket har resulterat i att medborgare identifierar sig med helt andra metoder, alternativt använder eID endast vid den allra första identifieringen varefter andra metoder tar vid. Marknaden för alternativ till eID har därför växt sig stark under åren.

Ytterligare en hämmande effekt är att varje utgivare har sin egen implementationsmodell vilket har gjort arbetet omfattande med ökade kostnader som följd. Detta har banat väg för en ny marknad med produkter och tjänster som förenklar implementationen av eID. Dock är dessa förenade med nya kostnader och ånyo är man mer eller mindre upplåst till en leverantör. Det hade varit betydligt bättre att från första stund lägga krut på att standardisera gränsytorna.

Slutligen kan konstateras att målet med att låta marknaden förse medborgarna med eID kolliderar med att man i upphandlingarna endast väljer ut några få utgivare. En utgivare som uppfyller lagkraven för "kvalificerade elektroniska signaturer" borde rimligen kvalificera sig som utgivare av eID.

Antingen har vi en väl fungerande marknad i kombination med enhetliga standards eller så utser vi en utfärdare av eID som också dikterar standards. Dagens mix är olycklig, inte minst för den som skall implementera och dra vinning av eID.

© 2005 Thomas Nilsson, Certezza AB

Var rädd om dina nycklar!

Wed, 26 Oct 2005 12:00:00 GMT

Användandet av tekniker för kryptering och stark identifiering ökar och det är väldigt positivt. Det är det självklara sättet att minska riskerna för att information hamnar på villovägar och för att säkerställa att information utbyts mellan rätt parter. Dessvärre har den starka fokuseringen på algoritmer och nyckellängder, som till stor del har grund i USA's exportrestriktioner, medfört att nyckelhanteringen hamnat i skymundan.

Redan i slutet av 1800-talet konstaterade holländaren Auguste Kerckhoffs att säkerheten i ett välgjort krypteringssystem enbart ska vara beroende av att man hemlighåller nyckeln. Drygt 100 år senare verkar denna till synes enkla princip ha fallit i glömska.

Kreativiteten för att skapa, förvara och utbyta nycklar är slående. Vad sägs om slumptal i excel för att skapa nyckeln? Eller vad sägs om att förvara nycklarna i lösenordsskyddade worddokument, zipfiler eller i värsta fall rena textfiler? Listan kan göras lång. Till detta kan sedan adderas ett av de vanligaste verktygen för utbyte av nycklar, nämligen mejlen. Mejlen skickas självklart i klartext. Alla förstår att detta är undermåligt, men ändå är detta en realitet. Om Auguste hade vetskap om hur det förhåller sig idag skulle han vända sig i graven både en och annan gång, per dygn.

För att underlätta nyckelutbyten och hindra att nycklar röjs, har bra metoder för nyckelutbyten utvecklats. Ett exempel på detta är IKE (Internet Key Exchange, RFC2409). Dessa metoder kräver vanligtvis någon form av grundinformation för att möjliggöra ett nyckelutbyte. Ett vanligt förekommande exempel på grundinformation är "Pre-Shared Key", en delad hemlighet. "Shared" betyder i det här fallet *inte* att hemligheten skall delas med allt och alla. Det är med andra ord minst lika viktigt att skydda grundinformationen som själva nycklarna.

Detta kanske låter självklart, men det tåls att upprepa i all sin enkelhet. Nycklar måste skapas på ett sådant sätt att det inte finns något som helst mönster i hur nycklarna skapas. Nycklar måste förvaras på ett sådant sätt att de är och förblir hemliga. Slutligen måste nycklar utbytas på ett sådant sätt att nycklarna förblir hemliga och givetvis måste du vara helt säker på att nycklar utbyts med rätt part. Just själva utbytet kräver den allra största uppsträckningen.

Räds inte för att ta till metoder som känns hämtade ur en spionthriller för att utbyta nycklar eller andra hemligheter. Algoritmer och nyckellängder må vara viktiga, men det är trots allt nyckelhanteringen som är allra viktigast och det är där allra mest krut skall läggas.

© 2005 Thomas Nilsson, Certezza AB