Texter

8 januari, 2020

Baksidan av multifaktor-autentisering

”Submitted for your approval, picture a man… A man who stores all his data in the cloud. Locked by a door with his phone as the only key. Convenient for him, but as all things go, one day it might be lost and his data will end up… in the Twilight zone”.

Vi och i princip alla andra sjunger multifaktorautentiseringens (MFA) lov. Slå på nu och slipp få kontot övertaget av hackare. Även om SMS-varianten inte är så säker, är den många gånger bättre än att bara använda lösenord. Bäst är ju appar som Google Authenticator och Microsoft Authenticator som används för att generera en tillfällig kod från mobilen när du loggar in på siten du ska till..

Men det finns en baksida som kommer bli allt mer och mer tydlig när alla går över till MFA. Är det att det tar längre tid att logga in? Nej, absolut inte. Det är en acceptabel ”trade off” om du frågar mig.

Nej, problemet är vad som händer när du tappar mobilen, den går sönder eller du får den stulen. Vad gör du då?

Jag kollade runt lite på det hela och exakt vad som händer när du inte längre kommer in på dina konton beror på siten i sig. En del har backuplösningar så att du kan skicka koder till telefonnummer. En del ger dig ett masterlösenord som du förväntas skriva ut och lagra någonstans eller spara i en lösenordshanterare. Detta låter dig komma in i alla fall. Men en del siter beklagar bara att ditt konto nu är omöjligt att återställa.

Det finns diverse lösningar för att backa upp authenticatorn, men det är något som kräver en del arbete för att fungera. Om du nu genererar koder för en 10-15 konton i mobilen är det hög tid att planera för hur du ska komma in i siterna om du blir av med mobilen.

Processen med borttappade lösenord är ju enkel, de flesta siter har en ”forgot my password”-knapp. Men en sådan skulle ju vara en väg runt säkerheten om det var möjligt att återställa tillgång till kontot på det sättet med MFA påslaget trots att du tappat mobilen. Så det kan aldrig bli en lösning i framtiden.

Detta har vi sett förut: hur nya lösningar rullas ut och blir riktigt populära innan problemen har lösts.

Tror detta inlägg i framtiden kommer mynna ut i en diskussion om backuper. Har du ett Office 365-konto? Ett Google konto? Bra, var är då dina backuper av innehållet på dem? Värt att fundera på, eller hur?

26 december, 2019

Hur blir 2020-talet? Ingen aning…

2020 .. Vad skulle Nostradamus ha sagt? Bara nonsens, antar jag. Det brukar vara så med honom.

Morsan visade mig en bild av hur en tidning på 50-talet trodde att 2000-talets hem skulle kunna se ut. Den visade ett vardagsrum och vi var båda fascinerade över att TVn faktiskt så ut som en riktig platt-TV och satt upphängd på väggen. Det var exakt det enda de fått till rätt. Alla andra saker i rummet hade ett av två problem:

  • De var för radikala gissningar
  • De var för konservativa gissningar

Rummet såg ut som ett typiskt 50-talsrum, alltså en konservativ gissning, och ingenting kändes framtida. Andra idéer var opraktiska saker som idag inte går att bygga eller ingen någonsin tänkte på – man byggde andra, mer användbara prylar istället.

Så nu är vi där igen. Bara för att årtalet känns jämnt och vi kommit på att vi står på randen på ett nytt decennium, så måste alla gissa på vad som händer fram till 2030? Har vi någonsin gjort rätt i detta avseende? Svaret är varken Nostradamus och någon annan kan sägas ha kommit fram med en komplicerad uppsättning gissningar som träffat ens i närheten av facit. Detta glömmer vi nu för resten av inlägget och börjar (kill)gissa helt vilt.

Konservativa gissningar:

Multifaktorautentiseringen tar över och lösenorden försvinner, attackerna fortsätter att bli allt smartare och farligare. För ett tag kommer sociala medier hålla världen i ett järngrepp. Allt blir uppkopplat… Alltså verkligen allt… Livslängderna för varje system går ner och ingenting blir varaktigt. Sårbarheterna blir allt fler trots bättre kodningstekniker. Alla teknologier går upp en Internet (Radio, TV, bilar, flyg, broar)

Normala gissningar:

En ny, disruptiv teknologi kommer ändra precis allt. För tio år sedan var det smarttelefonen. Vad blir det denna gång? Blir det bara en EN ny uppfinning? Allt fler blir uppkopplade, Afrika kommer fram som en allt mer viktig spelare, ivrigt påhejade av Kina. Då och då kommer en charlatan fram och lurar oss att köpa något som till sist bara visade sig var en bluff. Internet kommer helt eller delvis sluta fungera ibland på grund av nya attacker. Det blir troligen mest en irriterande sak än något som kastar oss tillbaka till tidigare epoker. Mynt och sedlar blir ovanliga och fasas ut i stora delar av världen. Övervakningen är överallt och algoritmerna som räknar ut vad vi vill, tänker göra och hur vi kan påverkas blir kompetenta … på riktigt… AI blir bättre och mer effektivt. Vi får se nya attackvektorer som vi aldrig hade kunna gissa. … Och jag har säkert missat alla andra saker som kommer hända.

Radikala gissningar:

Det första maskin-människa-interfacet blir populärt. Det blir på mode att operera in datorer i huvudet. William Gibson får förhoppningsvis uppleva detta och se hur Neuromancer kan se ut i verkligheten.

Vi bygger den första AI:t med lika många (simulerade) neuroner som en människa. Den är inte självmedveten. En världsomspännande katastrof dödar en signifikant del av mänskligheten.

Vansinniga gissningar:

Disco gör comeback och dragspelsmusik blir populärt igen. Den vanliga huskatten evolverar fram tummar och tar över världen.

Vad tror ni? Har jag fel eller har jag fel?

//Erik

11 december, 2019

Dags att gå med i det lila laget?

Go purple team! Go to new places, create new systems… and destroy them…

Som du säkert vet, är det ”blå laget” försvarare och det ”röda laget” attackerare. Dessa färger används ofta när man beskriver en grupp av pentestare som ett ”red team”. Blandar man röd och blå, får man lila. Något lila lag finns ju inte, men detta är något jag vill slå ett slag för.

Om du jobbar med att attackera webbapplikationer, är det en mycket bra sak att ha kunskaper i hur man bygger dessa. Tvärtom är också sant.

När jag första gången byggde ett REST API, visste jag direkt hur det borde byggas för att skydda mot attackerare, eftersom jag har testat andra kunders sådana. Det visade sig vara mycket fördelaktigt att utgå från att man ibland är en anfallare och se om man kan få igenom skadliga anrop i systemet man just byggt. Givetvis kan inte detta ersätta att man låter en oberoende testare gå lös på det senare, men det gör mycket för att höja grundnivån redan från början.

Men om man börjar på det ”blå laget” och bygger system och applikationer, hur blir man bättre på ”red teaming” ? På samma sätt: man vet hur saker fungerar, vilket gör att sårbarheter och attacker helt plötslig blir mycket enklare att förstå. En låssmed är väl förberedd att lära sig bryta sig in i byggnader.

Personligen skulle jag säga att jag inte ens tror att det är möjligt att bli med i det röda laget med mindre än att du kan djup systemadministration och infrastrukturdesign. All programmering, som jag skrev, är av godo här.

Så se till att skaffa dig en djup förståelse av allting som du är satt att attackera. Det räcker inte enbart med mantrat ”tänk som en hackare”, även om det hjälper (det skrev jag ju i ett tidigare blogginlägg!)

4 december, 2019

Ett år i ”etern”

Generisk bild av tårta. Vi spelar in ljud här! Vad vet vi om clipart?

Vårt första avsnitt av IT-säkerhetspodden lades upp utan för mycket fanfar söndagen den 25 november 2018. Det är nu drygt ett år sedan i dessa dagar.

Själva idén till podden verkar ha olika förklaringar beroende på när du frågar oss. Exakt vad som ledde fram till att vi kom på detta är jag inte helt klar på. Men jag hade gjort ett videoklipp där jag förklarade hur man metodiskt felsöker som jag mest minns för mitt stolpiga talande efter manus och min oförmåga att uttala ”Google Chrome” korrekt. Denna gav både mig och Mattias lite blodad tand, eftersom det var han som hade föreslagit att jag skulle spela in inslaget som började som en föredragning av mig inför mina kollegor. Sen hade en annan kollega på vårt gemensamma jobb tidigare drivit en podd. Så det låg liksom i luften på något sätt.

En kväll satt vi på en restaurang och bestämde oss för att hålla en podd live. Den spelades inte in, men vi låtsades att det var på riktigt. Vårt första avsnitt är baserat på vad vi pratade om den kvällen och handlar om virus. Jag börjar med att skämta om att jag hoppas vi plockas upp för sändning, precis som pilotavsnitt av TV-serier används för att övertyga TV-nätverken att köpa en säsong av serien.

Så var vi alltså igång och vi pratade om filterbubblor, DMARC, Zero trust network. Mattias tyckte att vi borde gör intervjuer, vilket vi rätt snabbt insåg var en bra grej. Det både drog nya lyssnare och dessutom fick vi möjligheten att låta andra berätta spännande historier. Intervjuerna, visade det sig snart, blev populära och vi fortsatte.

Det var ganska klart rätt snabbt att vi inte kände att vi var tvungna att hålla oss strikt till ett område och med avsnittet om prepping gick vi till och med utanför vad som traditionellt menas med IT-säkerhet.

Mattias och jag har några gånger stått på scen och pratat om olika ämnen inom IT-säkerheten, vilket gått bra och dragit publik.

Under hösten tyckte vi att vi skulle slå ett slag för historieberättandet och började därför att försöka väva in intressanta berättelser i avsnitten.

Vi har hunnit med att starta ett mycket lyckat samarbete med SIG Security, göra totalt runt 60 avsnitt under denna tid.

27 november, 2019

Kontra(s)-säkerhet

Yes, we have no security… We have no security today.

”Man ska driva IT utan att vara någon form av IT-fascister” tyckte min dåvarande kollega, som kastats ut från vår IT-avdelning eftersom han aldrig gjorde något. Sagde kollega var mycket villig att hjälpa till att skruva upp ens Whiteboard, men kunde tre veckor efter att han börjat inte anse att han var redo att ta tag i arbetsuppgifterna. På detta ställe, som det är så länge sedan jag jobbade på att det nog är preskriberat, blev man inte sparkad med mindre än att man skruvade ner armaturen och försökte sälja den. Så han fick bli någon form av hjälpreda i hopp om att pensionen snart skulle stunda.

Bitter på att inte längre få vara domänadmin, en behörighet han gärna gav bort till andra vanliga användare tills jag kom på honom, startade han sedermera sin egen ”skugg-IT” som en form av gerillaverksamhet. Denna var beskaffad så att han var IT-chef, systemadministratör, nätverkstekniker och möjligen också bödel. Han pratade vitt och brett om att ”IT inte fungerade” och implicerade att vi andra på IT-avdelningen, som sagt, var ”IT-fascister”. Han startade sin egen vidöppna filserver med sin egen dator och en Windows-utdelning och lät folk spara filer där eftersom ”backuperna ändå aldrig fungerar”. Hur han själv skulle backa upp dem hade han ingen plan för. Dessutom var han ofta förbannad på mig som var lokal IT-chef och fick ta emot hans tirader. Vi hade en skrivare och den, röstades det fram av de som satt på hans våningsplan, skulle skriva ut på båda sidorna. Det tyckte inte han, och att man kan ändra den inställningen själv visste han inte. Så han bombarderade mig med gliringar och stod och stirrade ner mig när jag satt i mitt arbetsrum. Detta pågick tills jag blev rödglödgat förbannad och sa en del mindre väl vald ord till honom. Efter det lugnade han ner sig och nöjde sig med att bara muttra lite ibland.

Innan dess hade vi en praktikant som uppskattade att vi hade en fast Internetlina som han sa till mig att han ”testade hur bra den höll”. Detta gjorde han inför mig och vår nätverksadministratör som verkade mindre imponerad. Testningen gick till på så sätt att han satt och råtankade och delade filer på Napster, som var den stora ”killerappen” för dagen. Den var ju Internets variant av ”fem-fingers-rabatt”.

De användare som hade möjlighet, det vill säga ALLA, krävde att få vara lokala administratörer på sina Windows NT- och 2000-burkar. På grund av flathet från ledningen fick de vara det.

Men nu ska vi givetvis inte bara gnälla på Windows-användarna. En användare satte upp SMB-filesharing på sin Red hat Linux och hade konfigurerat masterbrowsern på att publicera en tom lista på filservrar till hela nätet. Han kunde inte nå företagets lokala filservrar…. det kunde ingen annan på kontoret heller.

När vi övervakade nätverket såg vi att två datorer hade det ökända spionprogrammet ”Netbus” installerat. De datorerna stod bredvid varandra. Lätt att gissa anledningen, men om du inte gjort det, här är den: bordsgrannarna hade installerat programmet på varandras datorer för att leka med det.

En dag skulle jag visa för en gäst hur man kunde spåra på problem på nätet. Vi stod i ett korskopplingsrum och en av portarna på en switch blinkade med en enorm hastighet. Jag knatade till den användaren som porten gick till och förklaringen var den film han satt och laddade ner från någon piratsida. Han lovade att sluta så fort den var nedladdad. Men helst inte före det.

En gång drabbades vi faktiskt. Det var ”I love you”-viruset som kom på besök. Vår hemsida kördes på en Windows server och web redaktörerna hade hela sidan mappad som en enhetsbokstav i sina Windows-klienter. Det slutade med att tusentals bilder försvann från webben. Vad lärde vi oss av det… Inte mycket…

Denna cirkus pågick fram tills vi började gå igenom en utsäljnings- och uppstyckningskarusell och därefter började ju IT-marknaden att mogna. När man tittar tillbaka på det hela inser man att säkerheten nog var sådär på de flesta ställen. Alla var lokala administratörer, alla IT-människor var domän admins och det fanns inga hinder för vad man fick sätta upp och koppla in på nätet. Dessutom surfade folk till alla sidor de kunde komma på och satte upp fildelningstjänster som kördes på deras maskiner som lokala admins. Att ingenting värre hände berodde på att, som Marcus Murray säger, ondskan inte ännu hade mognat. Alla elaka hackers hölls bort av den stora brandväggen. Det var på den tiden det räckte. Längtar jag tillbaka? Nej, aldrig. Mina gråa hår är på väg och jag behöver inte flera.

20 november, 2019

Det finns ingen låda

Det krävs en speciell hjärna för att se att det det inte finns någon sked… Eller i detta fall ingen låda. Denna hjärna kan användas för att skapa säkerhet eller bryta ner den.

Den reformerade hackern Michael Calce, också känd som Mafia boy, hade en del att säga om att ”tänka utanför boxen”. Han menade att det finns två sorters människor, de som tänker innanför boxen och de som tänker utanför den. Men han sa också att för en hacker är det inte ens så; där finns det ingen box. Detta tankesätt säger det mesta du behöver veta om hacking och hackers.

Man kan alltså alltid göra saker på sådana sätt som bryter mot reglerna om hur allting måste fungera och vinna stora segrar.

Tänk dig att ett jaktflygplan sänder ut en signal, så att det flygvapen som äger planet vet att det inte är fientligt. Detta är gjort på ett mycket säkert sätt, och verkar inte kunna hackas. Kommunikationen sker mellan plan och flygledning och mellan flygledning och plan. En säkerhetsexpert kanske säger att allt som behövs för att kunna säkerställa att ingen kan knäcka krypteringen i systemet och utge sig för att vara ett vänligt inställt flyg är gjort. Men en hackare tänker längre än så. Denna hackare ser framför sig ett fientligt flygplan som tar emot signaler från flygledningen och vidarbefordrar det till första bästa av deras egna plan. Sedan tar det fientliga planet emot svaret och skickar det vidare till flygledningen. De ser ett plan på sin radar och får radiokommunikation om att det är ett av deras egna, vilket inte stämmer. Hackaren här har förstått att signalen inte anger det riktiga planets position och det därför inte går att säkerställa att källan för signalen är det plan man egentligen pratar med. En säkerhetsdesigner har nog valt detta sätt att arbeta på för att inte röja planets position om fienden skulle kunna dekryptera signalen. Ett väldigt talande exempel om skillnaden hur säkerhetsspecialister och hackare tänker. Detta har märkligt nog hänt på riktigt och beskrivs i en av de många säkerhetsböcker jag läst genom åren.

Det finns hur många exempel som helst där man ser hur saker används på förbryllande sätt för att kunna göra intrång eller läcka information. En IDLE-scan är något som visar på detta. Om man avsöker ett nät, kan den du gör det mot se vad du håller på med. Detta kan avslöja dig som hackare. Låt oss istället säga att du hittar ett annat system som är väldigt inaktivt. Du kan då förfalska din traffik så den ser ut som den kommer detta system. Svaret på om portar är öppna eller inte skickas då felaktigt till detta system istället för till dig som attackerare, vilket påverkar det. När du sedan pratar med det inaktiva systemet kan du se på hur TCP-protokollets segmentsnummer ändras i kommunikationen och avgöra om det system du i smyg avsöker har portar öppna eller inte. Att komma på att man kan göra något sånt här för att dölja sin egen identitet är genialiskt och kräver ett mycket kreativt sinne.

Det är något av en kliché vid det här laget: men du måste tänka som en hackare och inte som en försvarare när du bygger säkerhet i verkligheten. Allting kan missbrukas och en attackerare behöver bara en väg in för att lyckas. Så det kan se ganska orättvist ut, och det är precis vad det är. Det får vi alla som är i denna svängen leva med.

6 november, 2019

Det är en server och inte en clownbil!

Adobe acrobat, Bonzibuddy och Realplayer… Precis vad en server behöver för att fungera. Sen kan man ju som admin surfa på skumma sidor utan att man blir uppkallad till chefen. Perfekt. ”Zero effort administration” – helt utan baksidor. Inga problem! Säkerhet är bara en fluga.

Dags att ta oss tillbaka till 2011, när jag skrev en lite magsur kommentar riktad till alla systemadministratörer som lade in massor av program på servrarna och körde dem därifrån istället för att använda fjärrverktyg som man ju ska. Detta gäller främst Windows-administratörer, men även slarviga Linux-administratörer som kör X-Windows på servrarna (varför??) och sköter dem lokalt. Texten är på Engelska.

It’s a server, dammit!

The days of Nimda, Blaster and Sasser are long gone and good riddance to them. Don’t get me wrong, there have been many worm attacks since and there will be more of them in the future. It’s just that worms spreading from system to system have joined the back of the queue. Old system administrators like me fondly (not really) remember running with CD-roms trying to disinfect PCs after pulling the plug on the network. Last time I had to do that was somewhere around 2002 or maybe it was 2003.

A few years later I was dumbfounded when vulnerabilities came out that could be used by worms and no wide-spread attacks ever appeared. If you take a look at the exploits being used on the Internet you might see a pattern emerging: more and more of the attacks mix types. That is, they use more than one attack vector and often combine different kinds of exploits. The reason is probably two-fold: better security defaults on servers and the need of a flexible approach to circumvent security. The first one is simply that products are better secured out of the box with less attack surface. Most operating systems either firewall listening ports or don’t have any open ports when installed. Services are better secured out of the box as well. The mixed approach simply means that ”modern” attack code exploit vulnerabilities in conjunction with other vulnerabilities and also tries to avoid the most obvious network attacks. An all out ”scan and attack everything you see on the network” is likely to be thwarted by firewalls on the hosts and intrusion detection systems. Remember the download.ject-attack? It exploited a vulnerability in Microsoft IIS to plant exploit code that attacked any un-patched clients surfing to the infected web server. That was frightening back in 2004. 1] But today that’s a pretty common way for an exploit to work. By exploit I mean a program that uses one or many vulnerabilities to attack one or many systems. What it does with exploited systems and how it gets there defines what it should be called, but terms like ”virus”, ”worm”, ”backdoor” or ”malware” are sometimes too precise. Real exploits have blurred the lines between those terms for a long time now.

But this is really nothing new; those mixed attacks have ”evolved” from simple things like worms scanning for open ports to ”morphs” that use different approached to ”attack the desktop rather than system”. The most obvious attack vector nowadays is through a web browser and that has been the truth for many years now. All browsers I know of have had a number of vulnerabilities and the ways most of them use plug-ins aren’t helping either. So long story short: a server that often have people logged on at the console is a more ”juicy” target than one that is administered remotely. And don’t think ”Remote Desktop” or ”Terminal Services” won’t count, they do! Whether you connect to a server with RDP, a shell over SSH or actually sit on the console doesn’t matter that much. There is some confusion with the nomenclature when it comes to logons, so let me sort them out. In Windows, when you logon to the desktop, it counts as an ”interactive logon” regardless if you do it locally, over remote desktop or over remote desktop in console mode. In contrast: access to a Windows server through, let’s say, a web service counts as a network logon and will not give you a desktop. This is quite a bit of an oversimplification, I know.

Citrix and terminal servers pretty much have to allow interactive logons or they wouldn’t work, but way too often people logon to normal production servers interactively. And it gets worse, many administrators I have known (including me at times) like using the servers as extended desktops.

The solution is easy but painful:

  • Don’t allow the server network to access the Internet unless needed. And if so, only to selected sites or services.
  • Don’t administer the server from itself on a day-to-day basis. Remote administration is preferable.
  • Logout when you’re done.
  • Don’t surf to the Internet from any server unless it’s a part of its operation.
  • Don’t leave a pile of unorganized scripts and programs strewn all over the server.
  • Don’t install software that is meant to be used on a workstation.
  • Respect network flow rules and network zones!

Those tips are just meant to foster a more secure approach towards administration of servers. There are many best practices and processes that should be implemented. So in short: treat your server as a workstation and it shall be attacked like a workstation.

1] http://en.wikipedia.org/wiki/Download.ject

30 oktober, 2019

Den långa svansen

Jag får inte matematiken att fungera riktigt, men det är nog det som är meningen med detta skämt. Fungerar bättre om man tänker på ”server” som en teknisk pryl och inte en servitör.

Idag är ju en majoritet av systemen byggda med säkerhet som ett viktig mål. Det går inte att fortsätta använda uråldriga principer för att skapa nya program och ny hårdvara. Så allting borde ju vara på väg i rätt riktning. Och det är det nog faktiskt. Men… Om man nu skulle tro att det inte finns en stor del kvar av en svunnen tid, är det bara att titta runt.

ShodanHQ visar hur mycket gammalt skräp som fortfarande finns uppkopplat. Eller webbtjänster med sårbarheter man trodde vara borta sedan länge. Eller system som inte är patchade eller helt enkelt saknar krav på inloggning för att få användas. Det är snart ett år sedan Pewdiepie fick gratis reklam på tusentals osäkra skrivare uppkopplade till nätet. Riktigt bedrövligt att det fortfarande finns skrivare du kan koppla upp till över Internet. Vem kopplar i dessa tider överhuvudtaget in saker utan en brandvägg? Alltså utan en teknologi som folk började använda på bred skala när bredbanden blev populära.

Jag talar både om saker som borde försvunnit för 15 år sedan, men lika mycket om saker som är moderna men inte klarar av att stå på nätet. Den stora massan av undermåliga system formar en lång svans av plattformar för hackare att ta över. På 2000-talet var en stor mängd av skräpet dåligt skyddade Windows-burkar som folk kopplade in utan någon brandvägg. Windows XP hade en riktigt värdelös brandvägg som inte blev användbar förrän man faktiskt fick ordning på den med service pack 2 år 2004.

En del saker var kanske någotsånär säkra när de var nya men har, som sagt, sedan länge övergetts av tillverkaren. Detta har vi pratat om i tidigare inlägg, men det är fortfarande värt att tänka på. För något år sedan fick jag en fråga av en kund vad man kunde göra med en Windows NT-server som måste vara kvar och kopplad till nätet. Hur skulle den skyddas om den var tvungen att vara nåbar över SMB-protokollet? De portarna är bland de farligaste att ha öppna på en gammal Windows server. Windows NT slutade utvecklas 1999 för att sätta saker i perspektiv. Det har ingen egen brandvägg och inget skydd mot nätverksbaserade attacker att tala om.

Sen har vi saker som är skrivna i sedan länge övergivna ramverk och programspråk. Webbapplikationer som saknar all typ av skydd mot de vanligaste attacktyperna på nätet.

Ibland är dessa system ett blödande skotthål i ett annars tätt pansar. En uråldrig enhet tillhörande ett nätverk av ordentligt skyddade servrar med välbyggda applikationer. Denna svaga punkt, kan negera allt annat skydd.

Varför finns denna lång svans av smitthärdar kvar i dessa dagar? Det är svårt att säga, men det är fortfarande ett stort problem, och visar inga tecken på att minska. Detta ska läggas till det faktum att det idag dessa dagar kopplas in allt fler och fler enheter till Internet. Hur blir det med IPV6? Kommer det blir ännu värre? Framtiden ser inte ljus ut här.

23 oktober, 2019

Vi behöver inte fler rockstjärnor

Artistens tolkning av begreppet ”Rockstar developer”, som det borde tolkas.

För ett antal månader sedan skrev jag om vikten av samarbete snarare än att försöka lösa alla problem själv. Och det är fortfarande givetvis sant. Dock verkar inte alla företag och organisationer fatta detta, så man vill istället slå ett slag för ”rockstjärnan”. Titeln ”Rockstar developer” syftar på en utvecklare som med sin attityd och sitt kunnande är en enmans (eller kvinnas!) armé. En person som är en legend som är superkreativ på samma sätt som en riktig rockstjärna. Dock förväntas denna person på något märkligt sätt att följa regler och fungera bra i team samt inte knarka på arbetsplatsen.

Jag känner till många ”rockstjärnor” som jag sett under mina dagar i branschen. De behöver givetvis inte vara just utvecklare, men de är alltid samma typ av person: kan allt, gör allt och vill dessutom bygga allt själva. De lämnar efter sig egenbyggda lösningar som fungerar olika bra. Ingen har insikt i dem och de är inte dokumenterade. På ett av mina jobb såg jag ett verktyg byggt av en talangfull anställd som gjort allting och sedan lämnat bygget. Jag såg rätt snabbt att denna applikation var redigt problematisk. Den var om jag minns rätt öppen för SQL-injektioner, Local File Inclusions och XSS. Jag läckte snabbt ut lösenordet ur databasen och meddelade sedan IT-ansvarige och förklarade att detta måste fixas omedelbart. ”Rockstjärnan” som skapade detta verktyg hade visserligen byggt något som var mycket användbart, men hade trots allt ingen koll på säkerheten.

En ”Rockstjärna” jobbar på sitt eget rykte och är känd för att leverera och lösa alla problem utan att för den delen lyssna på vad någon annan har att säga. Lösningarna är enligt vederbörande ett tecken på genialitet och kreativa idéer. Men kreativa lösningar är dåliga lösningar som inte följer någon form av standarder. Personen vägrar, som sagt, låta andra göra någon del av jobbet, eftersom det då solkar ner Rockstjärnans rykte som perfekt och ofelbar. Siten Daily WTF är full av exempel på program och kod efterlämnade av dessa hjältar som ingen vågat kritisera eller granska.

Rätt uppenbart är dessa personer, särskilt om de är utvecklare, en källa för stora problem för folk inom säkerhetsbranschen.

Så vad vill man ha? Precis vad jag sagt tidigare: en grupp med olika kompetenser som samarbetar och levererar en uttestad och säker produkt utan att det blir en utpekad persons ”pet project”. Gruppen kan komma att förändras, men arbetet fortsätter och dokumenteras. Produkten hålls säker genom att använda standardiserade ramverk, följa säker utveckling enligt t.ex. OWASP och ha ett ”livscykel”-tänkande.

Detta tangerar min tidigare diskussion om ”De som lovar för mycket”. Dock pratar vi här lika mycket om utvecklare som andra roller inom IT-världen, eftersom dessa påverkar organisationens säkerhet. Så IT-säkerhetsbranschen själv är lika sannolik att ha dessa personer som på något sätt anser sig stå över kritik och att behöva följa en metodik som fungerar.

17 oktober, 2019

Hur ser moder natur på IT-säkerhet?

Charles Darwin, mannen, vars teorier kanske inte är de bästa när det gäller IT-drift. Eller är de? Kanske är det precis så man ska göra?

Ibland kan man sticka ut huvudet lite, vilket jag gjorde för en 10 år sedan, då jag skrev om moder natur och kritiserade idén med proaktivt säkerhetsarbete. Menat mest för att få folk att tänka, snarare än att slå fast några teser. Varsågod! Ja, det är på Engelska.

Why won’t we ever get rid of vulnerable software and hardware? What does it take to make everything perfectly secure? Most people I ask those questions respond by saying it cannot be done and I think they’re right. But why do we still act as if there was a way to make all security problems go away?

I think there are a lot of different reasons that causes us to push forward to remove all risks by being “proactive”. To be proactive is thus to solve any problem before it appears, right? If so, why do we need early warning system to be proactive? Just let that sink in for a moment.

If you detect a problem before it gets critical, you’re not really proactive. You’re reactive, but reacting in time. The word “proactive” means to “(…) initiate change rather than reacting to events.” 1) In order to be proactive, you cannot ever look at any values or logs, because the moment you detect that something heading the wrong way, you’re reacting to an event. The only true way to be “proactive” is to be Nostradamus. And his track record is … well … almost entirely wrong.

So, what’s the point of this discussion? I’m not trying to discourage early detection of problems or forward planning. Those two factors can really increase reliability and uptime for any system. The problem is that we see any problem “getting through” as a total failure.

Good security involves protecting a system in proportion to the loss a compromise would cause. This is in many of the security books you can read. By implication, a sound security plan accepts that enough resources spent by an attacker will give them a good chance to actually succeed. This also means giving up the pipe dream of never getting hacked or having a system failure.

If Mother Nature applied for the position of system administrator, no one would hire her.

– ”So, how would you make sure the network can handle an intrusion?”
– ”I would let it happen and let the devices that survive remain online afterwards.”

Not exactly what you want to hear from your system administrator? Still, that’s how it’s done in reality. When an intruder is successful, smart people learn how it was possible for the intruders to get through and then they adapt their infrastructure to cope with the new situation. And sometimes they still get hacked again, until their security is good enough to stand the test of time. But this cannot last either, because any security stance will weaken over time. So the cycle repeats as long as there are enough dangerous risk agents around. There is a reason risk management plans include terms such as “annual rate of occurrence” and “single loss expectancy”. Security planners actually expect attacks to be successful more than once in the life time of an organization. With as little exposure of vital systems as possible, smart and fast detection of attacks, forward planning (this is as close to “proactive” you get in reality) and reduction of complexity of the systems; you can mitigate your risks. But eliminating them? Please! Not even Mother Nature would try to do that! Instead plan ahead and learn how to survive when it happens while still upholding a good security regiment.

Anyone talking about “zero tolerance” or “proactive security” is either blind or not telling you the truth.

Scroll to top