Månad: januari 2020

31 januari, 2020

Statistik inom Open source

Affärsmodell med Open source 

Allt fler företag väljer att skapa mjukvara baserat på öppen källkod (Open source). I IT-säkerhetspoddens avsnitt pratar vi med Emil Wåreus Head of Data Sience på debricked om risker kopplat till öppen mjukvara och statistik (eller fun facts).

Statistiken är viktig att förstå för att välja rätt öppen källkod och hur komplext det kan vara för att undvika säkerhetsrisker. 

   Öppen källkod kan jämförs som en rörelse där skapare nyttjar öppen källkod och publicerar sina anpassningar på internet för hela Open source-scenen. Engagemanget är stort och förslag med funktionell och säkerhetsmässiga förbättringar diskuteras inom rörelsen.  

   Det kan tyckas märkligt att företagare lämnar ut sin affärsidé och delar med sig till vem som helst och för att förstå hur det hänger ihop tar vi oss till 80-talet. Trenden var då att man såg sin mjukvara just som själva affärsidén. Resultatet blev en statisk mjukvara (eller proprietär kod) med ett hackigt community. . 

   Open source startade samtidigt på konsumentsidan där engagemanget blev stort bland användare. När det nu är utbrett på företagssidan är en vanlig affärsmodell open core där kärnan är öppen medan tilläggstjänster såsom support och konsultarbeten blir affärsmodellen. På så vis behålls engagemanget i Open source och samtidigt kan företagare vara lönsamma genom att hjälpa sina kunder med vad de faktiskt efterfrågar. 

Flera hundra beroenden 

Det många inte vet är att en öppen källkod ofta inte är just en mjukvara. Tvärtom. Vanligare är snarare att mjukvaror använder flera hundra direktimporterade mjukvaror som den är beroende av. Beroenden med sina egna öppna källkod och sårbarheter. Emil Wåreus tar ramverket React som exempel som är en plattform baserad på Java och skapat av Facebook. Verktyget är väldigt populärt just nu för att skapa webapplikationer och bygger på just öppen källkod. Men få känner till att React har ungefär 3.500 beroenden. Hur ska man ha koll på vilka man använder och vilka säkerhetsrisker det finns att nyttja ett sådant ramverk? 

   Här finns fördelen med den öppna källkodsscenen där man kan ta del av andras upptäckter och idéer till skillnad mot stängd mjukvara där tillverkaren ansvarar för att upptäcka sårbarheter och täppa till dessa. 

   För att reda ut svårigheterna finns debrickeds mjukvara som analyserar mjukvaran inom tre områden – sårbarheter, licensieringen och hälsokontroll (health check), där det sistnämnda undersöker just communityt för att analysera hur högt engagemanget såsom bidragande medlemmar. Det hela poängbedöms av debricked vilket hjälper upphovsmakarna att välja rätt öppen källkod. 

Flera datakällor för att upptäcka sårbarheter 

Debricked är integrerat med Amerikanska NISTs “National Vulnerability Database” (NVD) som är en öppen databas där man kan hitta kända sårbarheter i öppen källkod. Här rapporterar communities (till exempel Github) till NVD för analys. NVD undersöker vilken typ av sårbarhet som avses och om det är kopplat till säkerhet eller inte. Ungefär femtio nya sårbarheter registreras – per dag! 

Statistik från NVD visar vilka projekt som innehåller mest sårbarheter. Bild nedan visar de högst rankade just nu.  

   Men NVD räcker inte för att upptäcka sårbarheter så därför är databasen bara en av datakällor som debricked nyttjar. En stor del upptäcks inte eftersom NVD har koll på 50.000 projekt som har ungefär 120.000-130.000 sårbarheter. Debricked däremot hittar över 200.000 sårbarheter relaterat till säkerhet eftersom de samlar in från flera datakällor. 

   Den andra stora källan är, numera Microsoft-ägda GitHub, som debricked nyttjar som datakälla. Här undersåker debricked så kallade issues på Github. 

   Om man skapar en enkel websida baserad på öppen källkod med populära verktyg och installerar enligt standard kan man räkna med ungefär 10.000-15.000 beroende mjukvaror med hundratals sårbarheter. Nästa steg blir att analysera sårbarheten som oftast (ungefär 30%) kan täppas till genom att uppdatera. Men resten är klurigare. Man ska ställa sig frågan – använder jag den här mjukvaran? Eller kan jag bygga runt det på något vis?  

Fyra råd 

Emil Wåreus ger fyras råd för öppna källkodsprojekt.  

  • Använd debricked tidigt i processen innan du importerar mjukvara för att förstå hur säker den är och undersök poängbedömningen.  
  • Sätt policys för att blockera osäker mjukvara. På så vis hjälper man utvecklare att göra rätt och förhindra att fel kod importeras 
  • Räkna på mjukvaran som är tänkt att användas. Räkna hur mycket tid och pengar det krävs för att säkra mjukvaran 
  • Använd inte gammal mjukvara 

Man får också väga “springa framåt” mot “håll tätt bakåt” i projektet. 

29 januari, 2020

Det finns ju ingen gratis lunch

Det var något om stekt fläsk och gratis Facebook, men jag tappade koncentrationen. Såg just en söt kattbild i mitt flöde.

Heinleins sci-fi roman ”Revolt mot jorden” myntade uttrycket i fråga och det har använts många gånger sedan dess. ”The is no such thing as a free lunch” heter det på Engelska och det syftar på att allting har ett pris.

Alldeles nyss nåddes jag av nyheten att det framkommit att gratisprogrammet Avast säljer dina surfvanor på nätet. Avast, om du missat det, är ett gratis antivirusprogram som är … just det… gratis. Det propsar på att sälja dig betalvarianten genom att påstå att du har risker med din dator som kräver att du köper den för att fixa dem. Men det bleknar ju i jämförelse med att dina surfmönster säljs. Anonymt lovas det, men det kräver inte mycket fantasi för att förstå att man rätt snabbt avslöjar vem man är med hur man surfar. Så sluta använd programmet säger alla … och alla har rätt.

Det som förvånar mig är att ingen riktigt försöker förstå hur gratisprogram betalar sin skapares lön. Kan man överhuvudtaget lita på något som är gratis? Ja, jag skulle säga att det är möjligt. De flesta Linuxdistributioner kostar ingenting och de brukar inte vara några problem. Ubuntu är gratis men Canonical, deras tillverkare, tjänar pengar på support och kringprodukter. MEN! Det finns även där anledning att dra åt sig öronen ibland. Ubuntu lade för några år sedan med en programvara som kopplade ihop sökfunktionen med Amazon, vilket ledde till mycket diskussioner om integriteten. Dock är, som sagt, Linux något som är både gratis och man kan lita på rent generellt.

Sanningen är att den som vill ha programvara utan att betala MÅSTE ha kunskap om hur programmet är gratis och varför det kan vara det, annars kan det bli dyrt på något sätt.

Men även om man betalar är det värt att läsa det avtal man skriver på innan man accepterar det. Det finns betalprogram som skickar hem data om vad du gör. I och med Windows 10 har Microsoft nu en lång historia att bygga operativsystem som ”ringer hem” med all möjlig information. Detta är något som idag accepteras av de flesta, men så var det inte från början. Siten ”Bad Vista” fanns förut och protesterade mot Windows Vistas mekanismer för att skicka hem data. Google, Apple och de flesta stora leverantörerna vet mer om dina vanor än vad jag tror du är bekväm med. För att inte tala om underrättelsetjänster runt om i världen.

Nu får du gå ut och leka. Kom ihåg att varje kväll förväntar jag mig att du läser ramsan jag lärt dig tio gånger innan läggdags: TANSTAAFL. (There Ain’t No Such Thing As A Free Lunch)

23 januari, 2020

Vad intresserar oss?

Allt är ju inte hacking, inte ens för en hackare.

För snart ett år sedan, läste Mattias en bok om prepping och kom med förslaget att vi skulle intervjua författaren i vår podd. Det gjorde vi också och resultatet blev utmärkt. En fråga bara, vad har prepping med IT-säkerhet att göra. Det enkla svaret är: ingenting. Borde vi ens ha gjort intervjun? Jag anser att det var helt perfekt. Är själv intresserad av ämnet och jag tror många som håller på med IT-säkerhet också är det.

Om man är aktiv inom säkerhetsområdet, kan man ju anta att frågor om stabilitet och säkerhet inom IT-området gärna kan sprida sig till att man börjar titta på säkerhet och stabilitet inom andra områden. Samhället kan också drabbas och vad gör man om elen försvinner för några veckor? Så har en väg mellan dessa två, till synes orelaterade ämnena, bildats.

Personligen tror jag inte någon specialist mår bra av att inte bredda sitt område. IT-säkerhet går in i precis allting inom IT-området och är en viktig del i allt från lagringsteknologier till mer självklara områden som webbapplikationsutveckling.

Så en person som är intresserad av att jobba med IT-säkerhet bör bygga detta på ett fundament av andra kunskapsområden. En del IT-personer börjar som generalister i en help desk medan andra startar inom utvecklingsområdet. En del kanske bara jobbar med verksamhetsutveckling och diskuterar riktlinjer och policies skrivna på papper. Var du än kommer ifrån, glöm inte vad du lärt dig på vägen. Det kan komma väl till pass. Och glöm inte att titta runt på andra områden som kan berika dig i din gärning inom branschen. Det kan vara områden som du inte tänker på. Har du hobbies och intressen utöver IT? Fundera på om de kan ge något till ditt yrke. Tror en nyfiken hjärna som vill lära sig nya saker hela tiden vinner i längden.

Kopplingen mellan knyppling och IT-säkerhet är lite för långsökt för mig, men ni kanske kommer på någon? //Erik

16 januari, 2020

Vad tänker man vid ett angrepp?

Hacked by … Men, vänta nu, vilket språk är det där? Definitivt inte kinesiska tecken.. Jaha, ok, vi var visst inte hackade ändå..

Igår satt jag på en skakig uppkoppling mitt ute i ingenstans i en stad nära men ändå långt borta. Jag laddade IT-säkerhetspoddens hemsida och medan den laddade gick jag och gjorde annat. Väl tillbaka möts jag av att hemsidan såg ut som bilden ovan. Vad sjutton händer? En obehaglig tanke slog mig: har vi blivit hackade?

Under minuterna som gick när jag försökte avgöra vad som hänt, gick tankarna på högvarv… Men hur? Varför? Det är inte möjligt att… Allt är ju uppsatt och säkrat och patchat och … Förstår inte…

Rätt snabbt insåg jag att det var den skakiga uppkopplingen som fått nedladdningen av sidan att paja, vilket gav upphov till skräptecknen. Efter några minuter av att sidan inte laddats, fick jag kontakt med mobilmasten igen och då fungerade ju det hela utan problem.

Men medan jag jobbade tänkte jag på det ironiska i att en podd om IT-säkerhet blivit hackad. Det skulle inte vara någon hejd på skadeglädjen och kommentarerna. Det skulle ifrågasättas hur vi, som ju ska kunna sådant här, missat att sköta våra egna grejer. Detta är vad vi i dagligt tal kallar en kvalitativ förlust. Alltså en realiserad risk som leder till att vi tappar i rykte och ansedd pålitlighet. Sen finns den en kvantitativ förlust. Alltså att vi förlorar pengar. I vårt fall är det inte mycket att tala om, men hade vi sålt något via siten, hade det kunna göra ont att vara borta ett antal dagar. Även en liten webshop kan påverkas mycket negativt av nedtid.

Den tråkiga nyheten är att de flesta, om inte alla, siter är i stor risk att hackas någon gång. Ett litet misstag, en oväntad zero day, missat att lägga på senaste patchen på ett par dagar eller bara ett bortglömt konto med privilegier och ett dåligt lösenord. Det krävs inte mycket för att åka dit och få skämmas. Dataläckor idag är så vanliga att man nästan inte reagerar förrän det talas om miljontals konton vars uppgifter röjts.

Det finns ju en anledning till skammen. Om du fått inbrott hemma är det ingen som klandrar dig för valet av lås, så länge du har ett godkänt sådant. Men om någon blir hackad blir det ”Avgå! Alla! Nu!”. Skillnaden är att den som har en tjänst har både en skyldighet och en möjlighet att skydda allting själv eller anlita någon som gör det. Att inte patcha sina system är ju ingen ursäkt. Och det ställer organisationen som utsätts i mycket dålig dager.

Så vad kan jag säga: ingen ro för de trötta…

8 januari, 2020

Baksidan av multifaktor-autentisering

”Submitted for your approval, picture a man… A man who stores all his data in the cloud. Locked by a door with his phone as the only key. Convenient for him, but as all things go, one day it might be lost and his data will end up… in the Twilight zone”.

Vi och i princip alla andra sjunger multifaktorautentiseringens (MFA) lov. Slå på nu och slipp få kontot övertaget av hackare. Även om SMS-varianten inte är så säker, är den många gånger bättre än att bara använda lösenord. Bäst är ju appar som Google Authenticator och Microsoft Authenticator som används för att generera en tillfällig kod från mobilen när du loggar in på siten du ska till..

Men det finns en baksida som kommer bli allt mer och mer tydlig när alla går över till MFA. Är det att det tar längre tid att logga in? Nej, absolut inte. Det är en acceptabel ”trade off” om du frågar mig.

Nej, problemet är vad som händer när du tappar mobilen, den går sönder eller du får den stulen. Vad gör du då?

Jag kollade runt lite på det hela och exakt vad som händer när du inte längre kommer in på dina konton beror på siten i sig. En del har backuplösningar så att du kan skicka koder till telefonnummer. En del ger dig ett masterlösenord som du förväntas skriva ut och lagra någonstans eller spara i en lösenordshanterare. Detta låter dig komma in i alla fall. Men en del siter beklagar bara att ditt konto nu är omöjligt att återställa.

Det finns diverse lösningar för att backa upp authenticatorn, men det är något som kräver en del arbete för att fungera. Om du nu genererar koder för en 10-15 konton i mobilen är det hög tid att planera för hur du ska komma in i siterna om du blir av med mobilen.

Processen med borttappade lösenord är ju enkel, de flesta siter har en ”forgot my password”-knapp. Men en sådan skulle ju vara en väg runt säkerheten om det var möjligt att återställa tillgång till kontot på det sättet med MFA påslaget trots att du tappat mobilen. Så det kan aldrig bli en lösning i framtiden.

Detta har vi sett förut: hur nya lösningar rullas ut och blir riktigt populära innan problemen har lösts.

Tror detta inlägg i framtiden kommer mynna ut i en diskussion om backuper. Har du ett Office 365-konto? Ett Google konto? Bra, var är då dina backuper av innehållet på dem? Värt att fundera på, eller hur?

Facebook Spotify Soundcloud Apple Rss

Senaste avsnitten

Scroll to top