Månad: januari 2019

30 januari, 2019

Tankar om samarbete

Det är kanske dags att lämna tekniken en stund och prata om samarbete. Som säkerhetskonsult, analytiker eller kanske pentestare är det lätt att vara en vägens kämpe. Med sin väska full av datorer, testutrustning och allsköns prylar drar man från kund till kund för att göra sitt jobb. Det har varit mitt liv ett antal år. Det ger en möjlighet att utmana sitt kunnande och lära sig nya ting. Men min erfarenhet är att ett litet team som samarbetar alltid är bättre. Att våra två som testar ett nätverk innebär möjligheten att bolla idéer och få nya uppslag. Hur smart du än tror att du är, kommer du aldrig kunna slå en liten grupp som samarbetar. Och den minsta gruppen är två och den största omkring fem-sex personer. Därefter blir det trögrört.

Många konsulter arbetar just i små grupper som löser problem och kommer fram med fungerande lösningar. Möjligheten att dela upp arbetsuppgifterna och hålla flera processer igång samtidigt kompenserar för den ökade kostnaden för att ha fler än en konsult.

En rätt vanlig kombination bland pentestare kan vara att ha en expert på fysiska tester, en teknisk kunnig och en som vet hur man göra social engineering-attacker. Denna grupp kan troligen ta sig in på vilken kund som helst.

Så för att sammanfatta: ensam är inte stark och specialisering inom säkerhet är ett måste.

27 januari, 2019

AI kan bli människans bästa eller sämsta uppfinning

I veckans avsnitt pratar vidare med Anders Sandberg, ni vet framtidsforskaren vid Oxford University. Och ämnet är Artificial Intelligence.

Någon sa att AI kan bli människans bästa eller sämsta uppfinning. En uppfinning man inte bara kan ”dra ur sladden till” för att stänga av. Ett komplicerat, distribuerat system som förmodligen väldigt viktigt och Anders jämför det med handeln eller elnätet – kan man dra ur sladden till ett sådant system? Förmodligen inte.

I avsnittet har vi också några bra boktips – Superintelligens (skriven av Anders chef Nick Bostrom) och Altered Carbon där den sista handlar just om det som Anders menar är fullt möjligt – Att man kan göra mjukvara av sin egen hjärna. Och det skulle vara fullt möjligt om 2050.

24 januari, 2019

Några uppskattande ord om haren

Finns det någonting fegare än en hare? Så fort den ser dig, är den borta så snabbt att den ser ut som ett streck när den rusar iväg. Är det inte mycket bättre att slåss mot fienden och vinna sin frihet? Svaret är att de flesta djur flyr när de ser någon komma. Det gäller även farliga djur som björnar. Geparder skrämmer man lättast bort med hundar. Detta trots att geparder borde kunna vinna mot en hund. I naturen undviker de flesta djur strider. Men det är inte det jag vill prata om idag. Det handlar istället om att ha överlägsna metoder för att upptäcka fara istället för att satsa på möjligheten att försvara sig eller motstå en attack.

Inom IT-världen har man tills ganska nyligen inte riktigt fattat hur viktigt det är att upptäcka hot. Mycket har handlat om starkare kontroller för att hindra intrång. Många företag och organisationer har haft loggning påslaget för alla viktiga system utan att ha haft någon mekanism för att automatiskt analysera loggarna och larma om hotfulla mönster upptäcks. För många har en lösning för att upptäcka hot på nätverket setts som för dyrt och enbart nödvändigt där man har högre kvar på säkerheten. Att upptäcka att någonting är på gång eller har hänt har varit nedprioriterat på grund av hur komplext och dyrt det är.

Men det är tyvärr en sanning att alla kassaskåp kan brytas upp av den som har tid och resurser att bryta sig in. Om du inte upptäcker att någon går lös på detta kassaskåp, kommer attacken tillsist att lyckas eftersom den som attackerar kan göra precis vad som helst och arbeta hur länge som helst utan att upptäckas.

En gång, för ett antal år sedan, kallades jag in till ett företag som råkat ut för skadlig kod. Man hade upptäckt denna för att den var så dåligt skriven att den sänkte de system den kopierade sig till. Detta var inte avsikten med den utan berodde på att den var dåligt gjord. Hade den som skrev koden varit bättre programmerare, hade kunden aldrig upptäckt denna skadliga kod som var byggd för att ligga i bakgrunden och köra.

Tiden mellan att ett system attackeras och att attacken upptäckts kan var så lång som uppemot ett år i många fall. Under denna tid kan attackeraren gör vad han/hon vill med organisationens system och nätverk.

En dövblind kanin klädd i rustning är sämre skyddad än en försvarslös kanin som vet hur den upptäcker fara och springer iväg! När såg du senast en sådan analogi på en säkerhetssite?

20 januari, 2019

Hemlig information i framtiden

I veckans avsnitt har vi Anders Sandberg med oss i studion. En framtidsforskare vid Oxford University eller ”forskar på allt sånt som är roligt” om man frågar Anders själv.

Trots nya regelverk såsom GDRP verkar det som om våra hemligheter i framtiden blir svårare att behålla. Faktum är att man ser att halveringstiden blir kortare och kortare har forskningen visat.

I avsnittet fastnar vi också kring Kinas Social Credit system – ett system där medborgare rankas utefter deras sociala och ekonomiska status. Är ett sådant system på väg till västvärlden?

17 januari, 2019

Problemet med eftersläntrarna

Nu för tiden bombarderas vi med säkerhetsfixar. De kommer varje vecka, varannan vecka eller varje månad. Vilken produkt du än har, kan du ge dig på att det kommer en säkerhetsfix till den när du minst anar. Även produkter som egentligen inte är direkt uppkopplade mot nätet eller tillgängliga för flera användare samtidigt drabbas. Och det har ingen betydelse om du är en stressad system administratör eller ägare av exakt en laptop: patcha måste du! Regelbundet.

Patchandet kan beskrivas med en normalfördelningskurva. Först en stor ”puckel” med de flesta systemägarna som lägger på de flesta patcharna. Sen en liten grupp av supernoggranna administratörer som aldrig missar en patch. Men vad finns på andra sidan av puckeln? Jo, systemen som antingen aldrig patchas eller som år efter år ligger långt efter i patcharna.

Det är dessa maskiner som blir botnet, används som instegsmaskiner in i andras nätverk eller används för att dölja attackernas ursprung. En del av dem går inte längre att patcha. De är gamla maskiner, routrar eller nätverksutrustning som getts upp av tillverkaren och nu bjuder in hackarna till dans.

En kund jag jobbade mot för några år sedan hade en stor mängd servrar som inte uppgraderats på årtionden. Den enda anledningen att vi kom på hur illa de hade det, var att de inte kunde uppgradera en specifik programvara till den senaste versionen. Detta eftersom den krävde att operativsystemet var en många år nyare version än vad de hade. Innan vi förklarade situationen för dem, insåg de inte ens att det var ett problem. Dessa system hade inte kunnat patchas på många år på grund av att tillverkaren lagt ner uppdateringarna av dem. Några av dem var dessutom nåbara från Internet. De lärde sig snabbt att det är mycket dyrare att försöka räta upp situationen och ”komma ikapp” med en stor mängd system än att kontinuerligt avsätta tid och pengar för att hålla systemen säkra.

Det är inte en ovanlig historia, men den illustrerar detta växande problem. Även i en tid av automatiska uppdateringar kan det vara en utmaning att hålla allting säkert. När du läser detta, har säkert någon av dina system just fått en ny patch som rättar ett allvarligt säkerhetshål. Så sluta läsa och börja patcha!

13 januari, 2019

Zero Trust Network

I veckans avsnitt pratar vi om Zero Trust Network eller Zero Trust Architecture (blog från Palo Alto sammanfattar väldigt bra här) och Erik får äntligen utrymme igen att glänsa efter två avsnitt där vi lyssnat eller inte nördat ned oss tillräckligt.

Enligt 90-tals designen, som så många tyvärr hänger kvar i, bygger man upp ett nätverk, så kallat DMZ, och placerar sina servrar i. De som ska exponeras mot internet går via en brandvägg som öppnar på port och IP-adressnivå:

Den nya designen, Zero Trust Network togs fram av John Kindervag när han arbetade på Forrest Research Inc (men numera arbetar på Palo Alto) och går ut på att alla nätverk är fientliga.

Erik reder ut sina tankar i designen och bland annat tar upp en fempunktlista (varför känns en sjupunktslista säkrare på nåt vis? Nåt med sagor tror jag. Nåja. Fem är det i alla fall!) som förtjänas att förtydligas här eftersom jag avbryter och flikar in om annat:

  1. Oavsett nätverk ska det alltid ses som fientligt
  2. Interna och externa hot mot nätverket pågår hela tiden
  3. Nätverkets placering är inte gott nog som skydd och räcker inte som anledning att lita på det (se första punkten)
  4. Varje enhet, användare och nätverk måste autentiseras och auktoriseras (har man svårt att veta skillnad kan man lyssna och höra den förträffliga jämförelsen med en nattklubb och tillträde till den).
  5. Policys och regelverk måste vara dynamiska och beräknade från så många källor som möjligt (här blir det rörigt – lyssna i avsnittet för detaljer)
9 januari, 2019

Skyddet som missas

Idag har man kommit så långt att skyddsstrategier för fysiskt skydd börjar bli vanliga, men det var länge en sak man inte riktigt tänkte på när man byggde säkerhetslösningar: hur skyddar men en dator från någon som fysiskt kan nå den?

Brandväggar, antivirus och patchlösningar är verkningslösa mot brottsligen som faktiskt kommer åt din maskin där den står på kontoret. För många år sedan var det enda du kunde göra var att låsa arbetsstation, så att den som vill komma åt den var tvungen att gissa ditt lösenord. Men den uppebara lösningen var att ta fram en skruvmejsel och skruva ur hårddisken. På några minuter kunde man sen koppla in den till sin egen dator och göra en bit-för-bit kopia av den med något program av typ Ghost eller Linux dd. Därefter satte du tillbaka hårddisken i datorn och startade upp den. Användaren kanske märkte att han inte längre var inloggad, men ryckte nog på axlarna åt det och jobbade vidare.

Men det är bara ett av hoten. När firewire var vanligt, kom det upp ett nytt hot. Eftersom firewire tillät direkt tillgång till datorns minne, kunde en person som kom åt datorn fysiskt, koppla in sin dator i offrets dator via firewire och ta över inloggningen. Detta fanns fungerande program för att göra med Windows XP. Man fick då upp en kommandotprompt som kördes som systemet självt utan att behöva logga in.

Men sen måste branschen ha dragit åt sig öronen. Heldiskkryptering blev vanligt. Windows Vista kom med Bitlocker och Linux hade tidigt egna lösningar för detta. Om du installerar Ubuntu idag är det en kryssruta man kryssar i för att kryptera disken. Heldiskkrypteringen gick från att vara någonting som användes för högsäkerhetsdatorer till att bli vanligt som mekanism för att skydda vanliga kontorsdatorer. Detta har gjort att det inte längre blir en katastrof att glömma sin dator på tågstationen eller flygplatsen. Det finns attacker som fungerar även mot heldiskkryptering, men det kommer även nya, bättre skydd mot dessa. Dock är det helt klart att man idag tar fysisk säkerhet för vanliga klientdatorer på allvar. Nu är det inte bara servrarna i datorhallarna som kan stå emot en person som lyckats ta sig in på kontoret. Det viktiga är dock att verkligen använda dessa mekanismer så att informationen inte lämnar kontoret under armen på en inbrottstjuv.

6 januari, 2019

Surfa Lugnt med Karin Nygårds

Är det ett problem när de traditionella lekarna så som ”Röda vita rosen” flyttas från skogen in bakom datorskärmen och kriget flyttar in i Fortnite?

Och hur ska man reagera som lärare/förälder när ett barn säger
”Det värsta är inte att få dåliga kommentarer. Det värsta är att inte få någon alls.”?

Karin som vi pratar med i veckans avsnitt  får mycket frågor om just detta.

Vi lämnar helt enkelt IT-säkerhetspoddens comfort zone, som är mer i det tekniska området, och pratar med Karin Nygårds, ordförande på Surfa Lugnt.

Karin Nygårds (lärare, författare och ordförande för Surfa Lugnt)

Karin pratar om att vårt samhälle består av så många val att för barn och vuxna så då är det naturligt att man ser på internet som någonting oroväckande.

Vidare pratar vi också om hur skolorna och lärarna arbetar kring ämnet och att de faktiskt har väldigt bra koll på vad ungdomarna gör på nätet. Rent generellt är lärarna den grupp som har mest koll på vad barn och ungdomar gör på nätet än till exempel föräldrar och gemene man.

Avslutningsvis resonerade vi också kring när Karins 8-åriga dotter vill köpa ett par stövlar i spelet Roblox av mormors julklappspengar.

4 januari, 2019

Säkerhetsåret 2018

I poddens avsnitt runt nyår sammanfattar vi ”säkerhetsåret 2018”. Ett mellanår enligt podden och där Ransomware och cryptocurrency mining software var deras år. Det sistnämnda låter besökare får bryta kryptovaluta för att kunna läsa artiklar. Givetvis översattes det till ont uppsåt!

Värt att betänka är att det tar nästan ett år från det att en dator blir hackad till dess det upptäcks.

I avsnittet går vi igenom de läckage av information som skett och rekommendation av sidan https://haveibeenpwned.com/ och hur man ska tänka ifall man finns med i en känd läcka.

Vi nuddar även AI, där Max Tegmarks sommarprat står i fokus eftersom det blev väldigt uppmärksammat. Men hur nära är vi egentligen generellt AI?

Utöver detta nördar vi ner oss i en hel del andra ämnen. Till exempel BankID, Assange, GDPR (bra start här) och andra ämnen där vi verkligen ser anledning att djupdyka oss kring under 2019.

Scroll to top