Har du en router hemma som är 10 år gammal? Eller en trådlös accesspunkt från 2015 som du kör ditt nätverk genom? Detta kan visa sig vara ett problem. Första gången jag stötte på problemet var 2006 när jag läste om att en person hade klagat på en populär tillverkare av nätverksutrustning avsedd för hemmabruk. Han hade nämligen klagat på att han tidigare rapporterat ett allvarlig säkerhetshål i en av deras produkter och att de hade inte svarat eller gjort något åt detta problem trots att det gått flera månader sedan han hörde av sig. Detta verkar tyvärr vara ganska vanligt, men vad som är värre är när det överhuvudtaget inte kommer någon säkerhetsfix.

Din billiga hemrouter kan vara så gammal att tillverkaren helt enkelt inte skapar rättningar för den längre. De rekommenderar istället att man köper en ny modell och kör den istället. En del tillverkare av enheter man kopplar till nätet lägger in gamla versioner av Linux-kärnan som aldrig uppdaterats trots att det finns nya versioner.

Om man kollar efter uppdateringar eller nya versioner av firmware får man bara veta att ”du har den senaste versionen”, vilket gör det lätt att tro att allting är i sin ordning. Vi har diskuterat liknande problem med uppdateringar i tidigare inlägg på denna blogg. Men detta är ett separat problem och blir allt värre när mängden övergivna produkter blir kvar, uppkopplade på nätet.

Det finns idag ingen riktigt bra lösning på problemet, utom att möjligen välja produkter som har lite längre livslängd och byta ut dem när de inte längre underhålls. Detta kan innebära att du får köpa lite dyrare saker, men i längden blir både ditt hemmanätverk och Internet säkrare.

• 0 comments

I veckans avsnitt pratar vi att NIST förkastat sina gamla rekommendationer med komplicerade lösenord som som regelbundet behöver bytas till någonting helt annat.
Det är längden på lösenordet som är avgörandet och inte hur många gånger man byter a mot @.

Lösenord i all ära men är det inte lite omodernt att logga in överallt för lösenord kommer ju alltid kunna hackas.

Vad ska man ha istället då?

Vidare tar vi upp ersättare såsom biologiska inloggningar och multifaktorautentisering.

• 0 comments

Jag har märkt en intressant sak: många företag och organisationer blandar ihop säkerhetsskanningar med pentest. Ett pentest är när man på ett kontrollerat sätt försöker bryta sig in i ett system, medan en sårbarhetsskanning bara försöker hitta möjliga sårbarheter. Detta är mycket märkligt, men jag har sett det många gånger. Felet verkar även finnas bland de som jobbar inom området. För ett antal månader sedan hjälpte jag till att intervjua en arbetssökande till en tjänst som pentestare. Han berättade att han sökte tjänsten eftersom han var intresserad av säkerhet. Jag frågade vad han hade gjort för typer av säkerhetarbeten. Han sa att han kört programmet Nessus ett par gånger och lämnat över resultaten till någon annan att tolka. Nessus är ett program som hittar vanliga miskonfigurationer och säkerhetshål i tjänster. Ganska uppenbart kanske, men han fick inte jobbet.

Jag läste på ett forum för pentestare där en del personer beklagade av säkerhetsföretag säljer sårbarhetsskanningar som pentester. De betalar ett företag för att skanna av deras tjänster och komma med en automatgenererad rapport över ”allvarliga säkerhetshål”. Detta är knappt ett halvt pentest om ens det.

Betänk att pentest är en förkortning av penetrationstest, vilket innebär som ovan skrivet är att en inhyrd konsult eller flera försöker ta sig in i systemet. Lyckas de, lämnar de över en rapport som förklarar hur de tog sig in. Om ett försök att faktiskt hacka systemet inte görs, är det inte ett pentest. När jag gör pentester brukar jag faktiskt lämna in även hittade sårbarheter och miskonfigurationer, för att jag hittade dem på vägen när jag analyserade systemet för sårbarheter. Det tycker jag ingår i ett bra test även om det inte är huvudsyftet med det.

Så varför är inte en sårbarhetsskanning tillräcklig? Jo, för att den inte hittar problem med systemlogiken. Den kan se att en programvara har sårbarheter som potentiellt skulle kunna användas för att ta sig in. Men den kan inte hitta felaktigheter i hur t.ex. en webbapplikation hanterar inloggningen, som möjliggör att man tar över sessionen.

Sen är sårbarhetsskanningar dåliga på att hitta alla fel. Jag gjorde en gång ett pentest mot en webbapp och min programvara, Burp suite hittade ingenting. När jag klistrade in lite javaskriptkod direkt i ett inmatningsfält, hittade jag en möjlighet att köra javaskriptkod hos andra användare och läcka ut information den vägen. På så sätt kunde jag få ut data från andra användares ärenden (det var ett ärendehanteringssystem). Ett automatiserat program hade aldrig kunnat förstå vidden av problemet.

En annan attack jag gjorde mot en kund var att ladda upp ett dokument som i själva verket var ett litet program. Men detta kunde jag på under fem minuter ta över servern som körde webbapplikationen och även hela nätverket. Alla dessa attacker är värda oändligt mycket mer än att bara lämna in en rapport där det står att HTTP-protokollet stöder version 3.0 av SSL vilket inte är bra.

Om du anlitar någon att göra ett pentest på din miljö, se då till att du verkligen får vad du betalar för. Som jag skrev förut finns det många som säljer dåliga tjänster därute.

• 2 comments

Jag var lite nervös inför veckans avsnitt eftersom vi valt att ta en ny infallsvinkel i avsnittet. Nämligen en mer personlig intervju. Tanken var att vi skulle få reda mer på personen bakom själva tekniken.

Vi har ju bjudit in många till våra avsnitt tidigare men då har vi pratat om tekniken. Nu ville jag att vi skulle prata mer om personen. Bakgrunden, kopplingen till säkerhetsbranschen och eftersom det var Åsa Schwarz vi pratade med, hennes författarskap.

I mina anteckningar, ja manus om du vill, inför intervjun skrev jag ”Det verkar som att samtidigt som du grundar bolag blir du också författare. Vad var det som fick kreativiteten att flöda? (här vägrar jag fråga ”hur har du tid som mamma till två barn, författare och säkerhetsspecialist) ”

Klassiker! Jag valde att stryka mitt lilla skämt innan jag skickade henne frågorna men faktum var att hon själv nämnde det under intervjun vilket jag tyckte var roligt.

Vi pratar en hel del om hennes böcker, naturligtvis om ”de sju nycklarna” men även hennes andra vilket ni kan finna här på (Bokus-länk).

• 0 comments

Det är många olika ord i omlopp inom IT-säkerhetsområdet och därför tänkte jag beskriva några av dem:

– Vulnerability / Sårbarhet
En sårbarhet är ett fel i ett program som kan utnyttjas för att ta över programmet, hindra det från att fungera eller ändra i dessa funktion.

– Exploit / Som substantiv: kod som utnyttjar sårbarhet, som verb: att utnyttja en sårbarhet
Kod som utnyttjar en sårbarhet för att attackera ett program eller en maskin. Virus, masker och annan farlig kod använder exploits för att ta kontroll över system. Jag har inte hittat något riktigt bra Svenskt ord för exploit.

– Payload
Koden som ska köras på ett system som just tagits över. Automatiserade programvaror som MetaSploit framework består normalt av exploitkod för att ta sig in i systemet och en payload som utför önskade attacker. En vanlig payload är ett reverse-shell, som är en kommandoprompt med fulla rättigheter som upprättas mellan ditt system och det du just tagit över. Exploitkoden är som en missil med payloaden som sin stridsspets.

– Malware / Farliga program
Program som egentligen inte är virus, utan men har oönskad effekt. Malware kan ofta spela in tangentbordstryckningar(keyloggers), skicka iväg kontokortsuppgifter från din maskin eller visa oönskad reklam.

– Threat / hot
Ett hot är något som kan skada, skapa oönskade förändringar eller förstöra. Exempel på hot: inbrott, stulna datorer eller stöld av hemlig information.

– Threatagent / hotagent Någon som genomför ett hot. Om hotet är inbrott, är en inbrottstjuv en hotagent.

– Risk Ett vanligt sätt att se en risk är att se den som något som uppstår när sårbarhet och en hotagent existerar samtidigt. En dåligt låst dörr är en sårbarhet medan en inbrottstjuv är en hotagent. Tillsammans uppstår en risk!

– CIA-triaden
Confidentiality, Integrity, Availability. Detta är en enkel men effektiv metod för att analysera IT-säkerhetsrelaterade hot. Confidentiality (konfidentialitet) handlar om att hantera hot om informationsläckage. Det kan handla om allt från att hindra attackerarna från att läsa hemliga dokument till att undvika läckage av kontokortsuppgifter. Integrity (Integritet) handlar om hot mot informationens pålitlighet. Det handlar ofta om att skydda dokument eller information från obehörig förändring. Ett exempel finns i filmen Wargames där huvudpersonen attackerar sin skolas datorsystem för att ändra och förbättra sina betyg. Tillgänglighet (Availability) handlar om hot mot systemets nåbarhet. Om man tänker stänga ner databaser eller skicka miljontals anrop till ett system för att lasta ner det, faller attacken inom denna kategori.

Detta är inte en komplett lista på något sätt. Definitionerna kan säkert också debatteras, men denna lista är menad för att klargöra de olika begreppen som ofta används i t.ex. säkerhetsbulletiner. Området kan fördjupas nästan hur mycket som helst. Och ja, det blir lätt mycket svengelska, det erkänner jag.

• 0 comments

I veckans avsnitt går vi till botten i ämnet kryptering. Och vi börjar verkligen från början. För flera tusen år sedan dolde Ceasar sina meddelande med ett så kallat ceasarschiffer.

En annan tidig variant av kryptering är den rulle som de gamla grekerna och spartanerna använde.

Sen nämns Enigma innan vi går vidare med de nuvarande tekniker som används för att kryptera sin information.

Men är det verkligen bra i alla lägen att kryptera sina meddelanden?

• 0 comments

Säkerhet är ju dyrt och komplicerat och vi ser gång på gång hur det slarvas med det bland mindre nogräknade aktörer. Varje gång det händer något, står de som slarvat eller helt enkelt inte riktigt förstått området och försöker förklara sig. Men det är en annan typ av säkerhetsentrepenörer som faktiskt kan vara riktigt skadliga för hela branschen. Och det är de som far med osanning och överdrifter för att få affärer eller locka kunder. Detta var till viss del ett värre problem i början av 2000-talet då branschen var i sin linda och man kunde sälja säkerhetslösningar med ord som ”terrorism”, ”cyberbrott” och ”hackers”. Man hade vaknat ur sin törnrosa sömn och allting verkade farligt. Idag är det inte så stort behov av att överdriva hot för att driva affärer till sig. Säkerhetsområdet har under de senaste 5-6 åren varit glödhett. Men det finns fortfarande ”charlataner” som säljer undermåliga lösningar baserade på skrämselpropaganda. Vill man botanisera i området, finns Attrition.orgs sida där den hänger ut folk i säkerhetsområdet som bygger sin hela verksamhet på tvivelaktiga lösningar som säljer lösningar med löften om ”100% säkerhet mot hackare” eller folk som inte riktigt är värda sitt goda namn. Vill man se hur en bransch som denna faktiskt drar till sig en del lycksökare, är det bara att gå till http://attrition.org/errata/charlatan/

En varning bara: de flesta artiklarna talar om saker som hände för 15-20 år sedan och den är ganska USA-centrerad. Personligen tycker jag att den är en utmärkt exposé över en del av ”hästhandlarna” och den gör att man förstår hur de arbetar och vad de håller på med.

När jag började på mitt förra jobb, startade min första arbetsvecka med utredningen av en säkerhetsprodukt som skulle vara det bästa sedan skivat bröd. Jag fick i uppgift att se om den var värd att utvärdera vidare. Den såldes med ord som att den var ”oknäckbar” och ”byggde på en patenterad lösning”. Visst låter det bra med att den är patenterad. Jag köper inte sånt rakt av utan, skaffade fram patentpappren och kunde snabbt konstatera att den var patentsökt, inte patenterad. Dessutom var beskrivningen full med överdrifter och lösningar förklarade med en kort beskrivning av den typ som chefer gillar för att snabbt sätta sig in i ett område. Visst är det bra, men inte i ett patentpapper som ska förklara varför det ska patenteras. Själva implementationen hade ett antal tveksamheter. Men det som fick mig att totalt slå bakut var att de stolt berättat att det var en unik kryptografi uppfunnen av kvinnan som hade startat företaget. Alltså en regel inom kryptografin: det är inget problem att skapa ett krypto som du själv inte kan knäcka. Men blandar man in andra i bilden, blir det rätt snabbt en helt annan situation. Alla seriöst byggda produkter bygger på kryptografi som är vältestad under många år och allmänt känd. Denna lösning kanske inte såldes med fruktan, men den såldes med direkta osanningar och dessutom med löften som inte går att infria (”Garanterat oknäckbar” ?).

Så var försiktig när någon säljer säkerhet med fruktan eller vidlyftiga löften om perfekt säkerhet. Ulf Peder Olrogs gamla slagdänga ”Allting kan man sälja med mördande reklam – Kom och köp, kom och köp konserverad gröt” klingar rätt bekant även här

• 0 comments

Eftersom som vi tar hårt integritet och informationssäkerhet i vår podd börjar Erik med att läsa ur sin dagbok från 2010. ”kära dagbok….” i vårt senaste avsnitt.

Anledningen var att Erik satt i publiken när Julian Assange höll föredrag i Stockholm sommaren 2010. Besöket och händelserna kring just Assange resa till Stockholm skapade världsnyhet och förändrade världens syn på Julian Assange och skadade även Wikileaks rykte.

I avsnittet tar nämner jag en artikel som jag lovade att länka till – kommer här – länk.

Vi har själva att hålla isär namnet så därför kommer här en liten snabbförklaring med länkar:

• WikiLeaks – ja, själva huvudpersonen i pjäsen så att säga.
• Wikipedia – Nära, och det vi sluddrar på när man pratar på. Ingen förklaring behövs här.
• OpenLeaks – Nedlagd sida men som skapades av Assange avhoppade parhäst Daniel Domscheit-Berg.

Vi pratar även om 1177-läckan och här berättar Mattias om de två gånger han ringt dem. Lika bra att outa det nu så det inte blir ett scoop när IT-säkerhetspodden blir ”big in japan”.

• 0 comments

Det finns få yrken där gamla sanningar förblir gångbara. En läkare måste lära sig nya metoder att hela och de senaste medicinerna och vi som jobbar i IT-säkerhetsbranschen är om möjligt i en av de mesta föränderliga områden som finns. Föreningen OWASP ger ofta ut nya guider för säkerhetspecialister och dessa uppdateras med regelbundna intervaller. När jag skriver detta är deras berömda topp 10-lista uppdaterad 2017. Denna lista beskriver de 10 mest viktiga attackerna en utvecklare och systemadministratörer måste skydda mot. Det kanske låter som att det inte var igår den uppdaterades, men betänk att versionen innan daterar till 2013. Denna lista uppdateras alltså nästan var femte år. Och tittar man på varje version, ser man att mycket förändras i vilka risker som beskrivs. På fyra-fem år försvinner en del av attackerna från listan, en del ändras totalt och en del tillkommer. Det gäller att hålla koll på detta hela tiden!

När jag började min karriär var många webapplikationer sårbara för directory traversal-attacker. Där man kan bryta sig ur webbserverns sökväg och möjligen köra program på serverns operativsystem. Idag är denna typ av sårbarheter allt ovanligare. De finns men det är inte så vanliga att hitta längre. Så om detta är vad du lärde dig när du började, är det många nya attacker som du har varit tvungen att lära dig under åren.

Som du säker nu förstått, ändras attackytan konstant. Förr var allt fysiskt, sen kom virtualiseringen, sen kom molnet och nu talar alla om AI. Varje nytt paradigm kommer med helt nya delar att skydda och en ny helt okänd attackyta. En säkerhetsspecialist MÅSTE hela tiden studera, observera och träna sig för att alltid kunna hantera en allt mer komplicerad värld. Många certifieringar tar med detta genom att kräva att man uppnår ett visst antal poäng per för att behålla certifieringen. Dessa poäng får man genom att gå kurser, skriva säkerhetsinformation eller gå igenom webbseminarier.

Vad kommer vi se för attacker om 10 år? Förändringstakten är så hög just nu att man lätt kan gissa på att några helt nya områden kommer öppnas upp och några områden kommer försvinna till bakgrunden. Om du ska jobba i branschen, måste du ha koll på allt detta och hela tiden förstå vad som är på horisonten.

• 0 comments

Veckans avsnitt kom till efter att Marcus mailade oss efter förra veckans avsnitt med anledning att han kände att vi fångade tekniken bra – SIEM-systemet men inte pratade ut tillräckligt om organisationen, människorna bakom systemet. Säkerhetsteamet (SOC och CSIRT).

Marcus och hans team arbetar som säkerhetsanalytiker – alltså analyserar det som systemet upptäcker och letar efter intrång och onaturligt beteenden i system. Händer något skickas det vidare till de som åtgärdar problemet (CSIRT teamet).

• 0 comments