I veckans avsnitt går vi till botten i ämnet kryptering. Och vi börjar verkligen från början. För flera tusen år sedan dolde Ceasar sina meddelande med ett så kallat ceasarschiffer.
En annan tidig variant av kryptering är den rulle som de gamla grekerna och spartanerna använde.
Sen nämns Enigma innan vi går vidare med de nuvarande tekniker som används för att kryptera sin information.
Men är det verkligen bra i alla lägen att kryptera sina meddelanden?
Säkerhet är ju dyrt och komplicerat och vi ser gång på gång hur det slarvas med det bland mindre nogräknade aktörer. Varje gång det händer något, står de som slarvat eller helt enkelt inte riktigt förstått området och försöker förklara sig. Men det är en annan typ av säkerhetsentrepenörer som faktiskt kan vara riktigt skadliga för hela branschen. Och det är de som far med osanning och överdrifter för att få affärer eller locka kunder. Detta var till viss del ett värre problem i början av 2000-talet då branschen var i sin linda och man kunde sälja säkerhetslösningar med ord som ”terrorism”, ”cyberbrott” och ”hackers”. Man hade vaknat ur sin törnrosa sömn och allting verkade farligt. Idag är det inte så stort behov av att överdriva hot för att driva affärer till sig. Säkerhetsområdet har under de senaste 5-6 åren varit glödhett. Men det finns fortfarande ”charlataner” som säljer undermåliga lösningar baserade på skrämselpropaganda. Vill man botanisera i området, finns Attrition.orgs sida där den hänger ut folk i säkerhetsområdet som bygger sin hela verksamhet på tvivelaktiga lösningar som säljer lösningar med löften om ”100% säkerhet mot hackare” eller folk som inte riktigt är värda sitt goda namn. Vill man se hur en bransch som denna faktiskt drar till sig en del lycksökare, är det bara att gå till http://attrition.org/errata/charlatan/
En varning bara: de flesta artiklarna talar om saker som hände för 15-20 år sedan och den är ganska USA-centrerad. Personligen tycker jag att den är en utmärkt exposé över en del av ”hästhandlarna” och den gör att man förstår hur de arbetar och vad de håller på med.
När jag började på mitt förra jobb, startade min första arbetsvecka med utredningen av en säkerhetsprodukt som skulle vara det bästa sedan skivat bröd. Jag fick i uppgift att se om den var värd att utvärdera vidare. Den såldes med ord som att den var ”oknäckbar” och ”byggde på en patenterad lösning”. Visst låter det bra med att den är patenterad. Jag köper inte sånt rakt av utan, skaffade fram patentpappren och kunde snabbt konstatera att den var patentsökt, inte patenterad. Dessutom var beskrivningen full med överdrifter och lösningar förklarade med en kort beskrivning av den typ som chefer gillar för att snabbt sätta sig in i ett område. Visst är det bra, men inte i ett patentpapper som ska förklara varför det ska patenteras. Själva implementationen hade ett antal tveksamheter. Men det som fick mig att totalt slå bakut var att de stolt berättat att det var en unik kryptografi uppfunnen av personen som hade startat företaget. Alltså en regel inom kryptografin: det är inget problem att skapa ett krypto som du själv inte kan knäcka. Men blandar man in andra i bilden, blir det rätt snabbt en helt annan situation. Alla seriöst byggda produkter bygger på kryptografi som är vältestad under många år och allmänt känd. Denna lösning kanske inte såldes med fruktan, men den såldes med direkta osanningar och dessutom med löften som inte går att infria (”Garanterat oknäckbar” ?).
Så var försiktig när någon säljer säkerhet med fruktan eller vidlyftiga löften om perfekt säkerhet. Ulf Peder Olrogs gamla slagdänga ”Allting kan man sälja med mördande reklam – Kom och köp, kom och köp konserverad gröt” klingar rätt bekant även här
Eftersom som vi tar hårt integritet och informationssäkerhet i vår podd börjar Erik med att läsa ur sin dagbok från 2010. ”kära dagbok….” i vårt senaste avsnitt.
Anledningen var att Erik satt i publiken när Julian Assange höll föredrag i Stockholm sommaren 2010. Besöket och händelserna kring just Assange resa till Stockholm skapade världsnyhet och förändrade världens syn på Julian Assange och skadade även Wikileaks rykte.
I avsnittet tar nämner jag en artikel som jag lovade att länka till – kommer här – länk.
Vi har själva att hålla isär namnet så därför kommer här en liten snabbförklaring med länkar:
Vi pratar även om 1177-läckan och här berättar Mattias om de två gånger han ringt dem. Lika bra att outa det nu så det inte blir ett scoop när IT-säkerhetspodden blir ”big in japan”.
Det finns få yrken där gamla sanningar förblir gångbara. En läkare måste lära sig nya metoder att hela och de senaste medicinerna och vi som jobbar i IT-säkerhetsbranschen är om möjligt i en av de mesta föränderliga områden som finns. Föreningen OWASP ger ofta ut nya guider för säkerhetspecialister och dessa uppdateras med regelbundna intervaller. När jag skriver detta är deras berömda topp 10-lista uppdaterad 2017. Denna lista beskriver de 10 mest viktiga attackerna en utvecklare och systemadministratörer måste skydda mot. Det kanske låter som att det inte var igår den uppdaterades, men betänk att versionen innan daterar till 2013. Denna lista uppdateras alltså nästan var femte år. Och tittar man på varje version, ser man att mycket förändras i vilka risker som beskrivs. På fyra-fem år försvinner en del av attackerna från listan, en del ändras totalt och en del tillkommer. Det gäller att hålla koll på detta hela tiden!
När jag började min karriär var många webapplikationer sårbara för directory traversal-attacker. Där man kan bryta sig ur webbserverns sökväg och möjligen köra program på serverns operativsystem. Idag är denna typ av sårbarheter allt ovanligare. De finns men det är inte så vanliga att hitta längre. Så om detta är vad du lärde dig när du började, är det många nya attacker som du har varit tvungen att lära dig under åren.
Som du säker nu förstått, ändras attackytan konstant. Förr var allt fysiskt, sen kom virtualiseringen, sen kom molnet och nu talar alla om AI. Varje nytt paradigm kommer med helt nya delar att skydda och en ny helt okänd attackyta. En säkerhetsspecialist MÅSTE hela tiden studera, observera och träna sig för att alltid kunna hantera en allt mer komplicerad värld. Många certifieringar tar med detta genom att kräva att man uppnår ett visst antal poäng per för att behålla certifieringen. Dessa poäng får man genom att gå kurser, skriva säkerhetsinformation eller gå igenom webbseminarier.
Vad kommer vi se för attacker om 10 år? Förändringstakten är så hög just nu att man lätt kan gissa på att några helt nya områden kommer öppnas upp och några områden kommer försvinna till bakgrunden. Om du ska jobba i branschen, måste du ha koll på allt detta och hela tiden förstå vad som är på horisonten.
Veckans avsnitt kom till efter att Marcus mailade oss efter förra veckans avsnitt med anledning att han kände att vi fångade tekniken bra – SIEM-systemet men inte pratade ut tillräckligt om organisationen, människorna bakom systemet. Säkerhetsteamet (SOC och CSIRT).
Marcus och hans team arbetar som säkerhetsanalytiker – alltså analyserar det som systemet upptäcker och letar efter intrång och onaturligt beteenden i system. Händer något skickas det vidare till de som åtgärdar problemet (CSIRT teamet).
Jag vet precis hur det kom sig att jag började med IT-säkerhet. Det var någon gång runt en 2001. Jag hade redan tidigare tyckte säkerhet var intressant, men inte egentligen brytt mig om området så där extremt mycket. Sommaren 2001 tog jag mig tid och patchade alla Windows servrarna. Jag såg till att de alla hade service pack 2 för Windows 2000. Sen kom hösten och den blev rykande het när Nimda äntrade scenen. Denna mask attackerade Windows 2000-servrar och de jag hade patchat och uppgraderat klarade sig givetvis. Men den stora delen av koncernen jag jobbade på hade inte uppdaterat och de fick enorma problem. Jag ingick i ett litet ad hoc-team som hjälpte andra delar av koncernen att hantera utbrottet. Detta var endast möjligt då vi själva inte var drabbade och kunde hjälpa de som var. Detta var den händelsen som gjorde att säkerhet blev en passion för mig.
Säkerhetsområdet är stort och det är omöjligt att lära sig allting om det. Jag valde nätverkssäkerhet och webbapplikationer. Vilket och blev de delar av IT-säkerhetsområdet jag ofta jobbar med. Min inspiration var de stora maskarna i början av 2000-talet. Det är så jag ”byggde min plattform” och började lära mig. Redan 2004 kände mina vänner mig som den som intresserar sig för säkerhet och på den vägen är det.
Jag tror det är viktigt för den som ska börja jobba inom IT-säkerhetsbranschen att hitta sin inspiration och vilka områden han eller hon ska vara passionerad om. Det kan vara så att ditt tidigare område dikterar var du hamnar. Om du utvecklat i php eller asp.net, kanske du blir passionerad inom webapplikationssäkerhet, medan någon som installerat PC-klienter istället börjar sin bana med att härda sagda klienter eller jobba med thin clients och härdning av dessa.
Kom tills sist ihåg att alla verktyg, certifieringar och ramverk bara kan ge dig stöd. Din passion och applicerandet av ditt kunnande är det som fäller avgörandet om vilket intryck du kommer göra på världen.
I veckans avsnitt sitter vi på IBMs kontor i Kista, norr om Stockholm, och pratar med Marcus Hallberg med fokus på deras SIEM system.
Det är väldigt fascinerande när han berättar deras system läser olika säkerhetsbloggar och bygger upp ett skydd utefter vad den läser… bland annat.
IBMs SIEM-system Qradar bygger på Watson vilket är det system som blev känt att de slog en människa i Jeopardy (Youtube länk här) även fast Marcus och hans team inte just har gått över till Watson.
Det är märkligt att se hur attacker och försvar utvecklas sida vid sida. Hur det börjar är ganska uppenbart: någon hittar på ett sätt att attackera ett system. Försvararna hittar på ett sätt att göra attacken omöjlig. Efter ett tag kommer attackerarna på en metod att överlista försvaret med en mer avancerad attack. På detta sätt höjs ribban och det blir svårare att göra attacker. Då och då hittas helt nya sätt att attackera ett system på och då börjar hela processen om igen. Man kallar detta för ko-evolution.
En gång i tidernas begynnelse ansågs Caesar-skiffer säkert nog. Det byggde på att man skiftade alfabetet tre steg. A blev D och B blev E och så vidare. Under många år var detta ett tillräcklig bra metod att försvara hemligheter. Men mekaniken gjorde detta oanvändbart. Och när vi gick in i den datoriserade eran blev det en snabb kapplöpning mellan de som skyddade system och de som knäckte dem. I Bletchley park avslöjades nazisternas hemligheter av ett gäng kodknäckare. Idag dyker det upp nya sätt att kryptera information. Samtidigt knäcks system och blir oanvändbara. Kapplöpningen är i full gång. Hashningsmetoder MD5 och kryptot DES är idag inte säkra att använda. Och bli inte förvånad om de metoder som idag är säkra kommer att bli knäckta imorgon. Vi har bara pratat om kryptografi här. Samma sak händer inom hela it-världen. När jag började lära mig säkerhet, kunde man ofta bryta sig in i system med så kallade SQL-injections. Dessa attacker tog sig in i databasen bakom en webbapplikation och kunde ibland ta över systemet bakom. Idag är denna typ av attacker i stort överspelade även om de fortfarande förekommer. Detta beror självklart på att alla produkter som finns är moderna har inbyggda skydd mot detta. Så numera är det istället webbläsarna som attackeras. Ge det några år och även detta har förändrats och attackerarna har antingen hittat nya mål eller överlistat de existerande skydden. Så länge vi har IT-system kommer det aldrig vara över…
3e februari är inte bara min födelsedag utan även dagen då vi släpper nytt avsnitt. Den här gången djupdyker vi i Petaya och anledningen varför Göteborgs hamn blev så hårt drabbad.
Petya, som låste datorer genom att kryptera hårddisken, spreds som en löpeld världen över hade sitt ursprung från ett Ukrainskt ekonomisystem. Sommaren 2017 fick vi verkligen uppleva att ”internets spel och lek”-tid är över när skadlig kod slår ut viktiga funktioner i vårt samhälle.
Men det är inte bara miljardföretag som drabbas av Ransomware utan vem som helst kan drabbas. I veckans avsnitt går vi också igenom hur man ska skydda sig mot Ransomware.
Och om man blivit drabbad, ska man betala då? Nej, hävdar Erik bestämt! Risken att man får tillbaka sina filer är mycket låg. Så se istället till att ta backup av de filer du inte vill bli av med.
Det är kanske dags att lämna tekniken en stund och prata om samarbete. Som säkerhetskonsult, analytiker eller kanske pentestare är det lätt att vara en vägens kämpe. Med sin väska full av datorer, testutrustning och allsköns prylar drar man från kund till kund för att göra sitt jobb. Det har varit mitt liv ett antal år. Det ger en möjlighet att utmana sitt kunnande och lära sig nya ting. Men min erfarenhet är att ett litet team som samarbetar alltid är bättre. Att våra två som testar ett nätverk innebär möjligheten att bolla idéer och få nya uppslag. Hur smart du än tror att du är, kommer du aldrig kunna slå en liten grupp som samarbetar. Och den minsta gruppen är två och den största omkring fem-sex personer. Därefter blir det trögrört.
Många konsulter arbetar just i små grupper som löser problem och kommer fram med fungerande lösningar. Möjligheten att dela upp arbetsuppgifterna och hålla flera processer igång samtidigt kompenserar för den ökade kostnaden för att ha fler än en konsult.
En rätt vanlig kombination bland pentestare kan vara att ha en expert på fysiska tester, en teknisk kunnig och en som vet hur man göra social engineering-attacker. Denna grupp kan troligen ta sig in på vilken kund som helst.
Så för att sammanfatta: ensam är inte stark och specialisering inom säkerhet är ett måste.
Senaste kommentarer