Heinleins sci-fi roman ”Revolt mot jorden” myntade uttrycket i fråga och det har använts många gånger sedan dess. ”The is no such thing as a free lunch” heter det på Engelska och det syftar på att allting har ett pris.

Alldeles nyss nåddes jag av nyheten att det framkommit att gratisprogrammet Avast säljer dina surfvanor på nätet. Avast, om du missat det, är ett gratis antivirusprogram som är … just det… gratis. Det propsar på att sälja dig betalvarianten genom att påstå att du har risker med din dator som kräver att du köper den för att fixa dem. Men det bleknar ju i jämförelse med att dina surfmönster säljs. Anonymt lovas det, men det kräver inte mycket fantasi för att förstå att man rätt snabbt avslöjar vem man är med hur man surfar. Så sluta använd programmet säger alla … och alla har rätt.

Det som förvånar mig är att ingen riktigt försöker förstå hur gratisprogram betalar sin skapares lön. Kan man överhuvudtaget lita på något som är gratis? Ja, jag skulle säga att det är möjligt. De flesta Linuxdistributioner kostar ingenting och de brukar inte vara några problem. Ubuntu är gratis men Canonical, deras tillverkare, tjänar pengar på support och kringprodukter. MEN! Det finns även där anledning att dra åt sig öronen ibland. Ubuntu lade för några år sedan med en programvara som kopplade ihop sökfunktionen med Amazon, vilket ledde till mycket diskussioner om integriteten. Dock är, som sagt, Linux något som är både gratis och man kan lita på rent generellt.

Sanningen är att den som vill ha programvara utan att betala MÅSTE ha kunskap om hur programmet är gratis och varför det kan vara det, annars kan det bli dyrt på något sätt.

Men även om man betalar är det värt att läsa det avtal man skriver på innan man accepterar det. Det finns betalprogram som skickar hem data om vad du gör. I och med Windows 10 har Microsoft nu en lång historia att bygga operativsystem som ”ringer hem” med all möjlig information. Detta är något som idag accepteras av de flesta, men så var det inte från början. Siten ”Bad Vista” fanns förut och protesterade mot Windows Vistas mekanismer för att skicka hem data. Google, Apple och de flesta stora leverantörerna vet mer om dina vanor än vad jag tror du är bekväm med. För att inte tala om underrättelsetjänster runt om i världen.

Nu får du gå ut och leka. Kom ihåg att varje kväll förväntar jag mig att du läser ramsan jag lärt dig tio gånger innan läggdags: TANSTAAFL. (There Ain’t No Such Thing As A Free Lunch)

• 0 comments

För snart ett år sedan, läste Mattias en bok om prepping och kom med förslaget att vi skulle intervjua författaren i vår podd. Det gjorde vi också och resultatet blev utmärkt. En fråga bara, vad har prepping med IT-säkerhet att göra. Det enkla svaret är: ingenting. Borde vi ens ha gjort intervjun? Jag anser att det var helt perfekt. Är själv intresserad av ämnet och jag tror många som håller på med IT-säkerhet också är det.

Om man är aktiv inom säkerhetsområdet, kan man ju anta att frågor om stabilitet och säkerhet inom IT-området gärna kan sprida sig till att man börjar titta på säkerhet och stabilitet inom andra områden. Samhället kan också drabbas och vad gör man om elen försvinner för några veckor? Så har en väg mellan dessa två, till synes orelaterade ämnena, bildats.

Personligen tror jag inte någon specialist mår bra av att inte bredda sitt område. IT-säkerhet går in i precis allting inom IT-området och är en viktig del i allt från lagringsteknologier till mer självklara områden som webbapplikationsutveckling.

Så en person som är intresserad av att jobba med IT-säkerhet bör bygga detta på ett fundament av andra kunskapsområden. En del IT-personer börjar som generalister i en help desk medan andra startar inom utvecklingsområdet. En del kanske bara jobbar med verksamhetsutveckling och diskuterar riktlinjer och policies skrivna på papper. Var du än kommer ifrån, glöm inte vad du lärt dig på vägen. Det kan komma väl till pass. Och glöm inte att titta runt på andra områden som kan berika dig i din gärning inom branschen. Det kan vara områden som du inte tänker på. Har du hobbies och intressen utöver IT? Fundera på om de kan ge något till ditt yrke. Tror en nyfiken hjärna som vill lära sig nya saker hela tiden vinner i längden.

Kopplingen mellan knyppling och IT-säkerhet är lite för långsökt för mig, men ni kanske kommer på någon? //Erik

• 0 comments

Igår satt jag på en skakig uppkoppling mitt ute i ingenstans i en stad nära men ändå långt borta. Jag laddade IT-säkerhetspoddens hemsida och medan den laddade gick jag och gjorde annat. Väl tillbaka möts jag av att hemsidan såg ut som bilden ovan. Vad sjutton händer? En obehaglig tanke slog mig: har vi blivit hackade?

Under minuterna som gick när jag försökte avgöra vad som hänt, gick tankarna på högvarv… Men hur? Varför? Det är inte möjligt att… Allt är ju uppsatt och säkrat och patchat och … Förstår inte…

Rätt snabbt insåg jag att det var den skakiga uppkopplingen som fått nedladdningen av sidan att paja, vilket gav upphov till skräptecknen. Efter några minuter av att sidan inte laddats, fick jag kontakt med mobilmasten igen och då fungerade ju det hela utan problem.

Men medan jag jobbade tänkte jag på det ironiska i att en podd om IT-säkerhet blivit hackad. Det skulle inte vara någon hejd på skadeglädjen och kommentarerna. Det skulle ifrågasättas hur vi, som ju ska kunna sådant här, missat att sköta våra egna grejer. Detta är vad vi i dagligt tal kallar en kvalitativ förlust. Alltså en realiserad risk som leder till att vi tappar i rykte och ansedd pålitlighet. Sen finns den en kvantitativ förlust. Alltså att vi förlorar pengar. I vårt fall är det inte mycket att tala om, men hade vi sålt något via siten, hade det kunna göra ont att vara borta ett antal dagar. Även en liten webshop kan påverkas mycket negativt av nedtid.

Den tråkiga nyheten är att de flesta, om inte alla, siter är i stor risk att hackas någon gång. Ett litet misstag, en oväntad zero day, missat att lägga på senaste patchen på ett par dagar eller bara ett bortglömt konto med privilegier och ett dåligt lösenord. Det krävs inte mycket för att åka dit och få skämmas. Dataläckor idag är så vanliga att man nästan inte reagerar förrän det talas om miljontals konton vars uppgifter röjts.

Det finns ju en anledning till skammen. Om du fått inbrott hemma är det ingen som klandrar dig för valet av lås, så länge du har ett godkänt sådant. Men om någon blir hackad blir det ”Avgå! Alla! Nu!”. Skillnaden är att den som har en tjänst har både en skyldighet och en möjlighet att skydda allting själv eller anlita någon som gör det. Att inte patcha sina system är ju ingen ursäkt. Och det ställer organisationen som utsätts i mycket dålig dager.

Så vad kan jag säga: ingen ro för de trötta…

• 0 comments

Vi och i princip alla andra sjunger multifaktorautentiseringens (MFA) lov. Slå på nu och slipp få kontot övertaget av hackare. Även om SMS-varianten inte är så säker, är den många gånger bättre än att bara använda lösenord. Bäst är ju appar som Google Authenticator och Microsoft Authenticator som används för att generera en tillfällig kod från mobilen när du loggar in på siten du ska till..

Men det finns en baksida som kommer bli allt mer och mer tydlig när alla går över till MFA. Är det att det tar längre tid att logga in? Nej, absolut inte. Det är en acceptabel ”trade off” om du frågar mig.

Nej, problemet är vad som händer när du tappar mobilen, den går sönder eller du får den stulen. Vad gör du då?

Jag kollade runt lite på det hela och exakt vad som händer när du inte längre kommer in på dina konton beror på siten i sig. En del har backuplösningar så att du kan skicka koder till telefonnummer. En del ger dig ett masterlösenord som du förväntas skriva ut och lagra någonstans eller spara i en lösenordshanterare. Detta låter dig komma in i alla fall. Men en del siter beklagar bara att ditt konto nu är omöjligt att återställa.

Det finns diverse lösningar för att backa upp authenticatorn, men det är något som kräver en del arbete för att fungera. Om du nu genererar koder för en 10-15 konton i mobilen är det hög tid att planera för hur du ska komma in i siterna om du blir av med mobilen.

Processen med borttappade lösenord är ju enkel, de flesta siter har en ”forgot my password”-knapp. Men en sådan skulle ju vara en väg runt säkerheten om det var möjligt att återställa tillgång till kontot på det sättet med MFA påslaget trots att du tappat mobilen. Så det kan aldrig bli en lösning i framtiden.

Detta har vi sett förut: hur nya lösningar rullas ut och blir riktigt populära innan problemen har lösts.

Tror detta inlägg i framtiden kommer mynna ut i en diskussion om backuper. Har du ett Office 365-konto? Ett Google konto? Bra, var är då dina backuper av innehållet på dem? Värt att fundera på, eller hur?

• 0 comments

Morsan visade mig en bild av hur en tidning på 50-talet trodde att 2000-talets hem skulle kunna se ut. Den visade ett vardagsrum och vi var båda fascinerade över att TVn faktiskt så ut som en riktig platt-TV och satt upphängd på väggen. Det var exakt det enda de fått till rätt. Alla andra saker i rummet hade ett av två problem:

• De var för radikala gissningar
• De var för konservativa gissningar

Rummet såg ut som ett typiskt 50-talsrum, alltså en konservativ gissning, och ingenting kändes framtida. Andra idéer var opraktiska saker som idag inte går att bygga eller ingen någonsin tänkte på – man byggde andra, mer användbara prylar istället.

Så nu är vi där igen. Bara för att årtalet känns jämnt och vi kommit på att vi står på randen på ett nytt decennium, så måste alla gissa på vad som händer fram till 2030? Har vi någonsin gjort rätt i detta avseende? Svaret är varken Nostradamus och någon annan kan sägas ha kommit fram med en komplicerad uppsättning gissningar som träffat ens i närheten av facit. Detta glömmer vi nu för resten av inlägget och börjar (kill)gissa helt vilt.

Konservativa gissningar:

Multifaktorautentiseringen tar över och lösenorden försvinner, attackerna fortsätter att bli allt smartare och farligare. För ett tag kommer sociala medier hålla världen i ett järngrepp. Allt blir uppkopplat… Alltså verkligen allt… Livslängderna för varje system går ner och ingenting blir varaktigt. Sårbarheterna blir allt fler trots bättre kodningstekniker. Alla teknologier går upp en Internet (Radio, TV, bilar, flyg, broar)

Normala gissningar:

En ny, disruptiv teknologi kommer ändra precis allt. För tio år sedan var det smarttelefonen. Vad blir det denna gång? Blir det bara en EN ny uppfinning? Allt fler blir uppkopplade, Afrika kommer fram som en allt mer viktig spelare, ivrigt påhejade av Kina. Då och då kommer en charlatan fram och lurar oss att köpa något som till sist bara visade sig var en bluff. Internet kommer helt eller delvis sluta fungera ibland på grund av nya attacker. Det blir troligen mest en irriterande sak än något som kastar oss tillbaka till tidigare epoker. Mynt och sedlar blir ovanliga och fasas ut i stora delar av världen. Övervakningen är överallt och algoritmerna som räknar ut vad vi vill, tänker göra och hur vi kan påverkas blir kompetenta … på riktigt… AI blir bättre och mer effektivt. Vi får se nya attackvektorer som vi aldrig hade kunna gissa. … Och jag har säkert missat alla andra saker som kommer hända.

Radikala gissningar:

Det första maskin-människa-interfacet blir populärt. Det blir på mode att operera in datorer i huvudet. William Gibson får förhoppningsvis uppleva detta och se hur Neuromancer kan se ut i verkligheten.

Vi bygger den första AI:t med lika många (simulerade) neuroner som en människa. Den är inte självmedveten. En världsomspännande katastrof dödar en signifikant del av mänskligheten.

Vansinniga gissningar:

Disco gör comeback och dragspelsmusik blir populärt igen. Den vanliga huskatten evolverar fram tummar och tar över världen.

Vad tror ni? Har jag fel eller har jag fel?

//Erik

• 0 comments

Som du säkert vet, är det ”blå laget” försvarare och det ”röda laget” attackerare. Dessa färger används ofta när man beskriver en grupp av pentestare som ett ”red team”. Blandar man röd och blå, får man lila. Något lila lag finns ju inte, men detta är något jag vill slå ett slag för.

Om du jobbar med att attackera webbapplikationer, är det en mycket bra sak att ha kunskaper i hur man bygger dessa. Tvärtom är också sant.

När jag första gången byggde ett REST API, visste jag direkt hur det borde byggas för att skydda mot attackerare, eftersom jag har testat andra kunders sådana. Det visade sig vara mycket fördelaktigt att utgå från att man ibland är en anfallare och se om man kan få igenom skadliga anrop i systemet man just byggt. Givetvis kan inte detta ersätta att man låter en oberoende testare gå lös på det senare, men det gör mycket för att höja grundnivån redan från början.

Men om man börjar på det ”blå laget” och bygger system och applikationer, hur blir man bättre på ”red teaming” ? På samma sätt: man vet hur saker fungerar, vilket gör att sårbarheter och attacker helt plötslig blir mycket enklare att förstå. En låssmed är väl förberedd att lära sig bryta sig in i byggnader.

Personligen skulle jag säga att jag inte ens tror att det är möjligt att bli med i det röda laget med mindre än att du kan djup systemadministration och infrastrukturdesign. All programmering, som jag skrev, är av godo här.

Så se till att skaffa dig en djup förståelse av allting som du är satt att attackera. Det räcker inte enbart med mantrat ”tänk som en hackare”, även om det hjälper (det skrev jag ju i ett tidigare blogginlägg!)

• 0 comments

Vårt första avsnitt av IT-säkerhetspodden lades upp utan för mycket fanfar söndagen den 25 november 2018. Det är nu drygt ett år sedan i dessa dagar.

Själva idén till podden verkar ha olika förklaringar beroende på när du frågar oss. Exakt vad som ledde fram till att vi kom på detta är jag inte helt klar på. Men jag hade gjort ett videoklipp där jag förklarade hur man metodiskt felsöker som jag mest minns för mitt stolpiga talande efter manus och min oförmåga att uttala ”Google Chrome” korrekt. Denna gav både mig och Mattias lite blodad tand, eftersom det var han som hade föreslagit att jag skulle spela in inslaget som började som en föredragning av mig inför mina kollegor. Sen hade en annan kollega på vårt gemensamma jobb tidigare drivit en podd. Så det låg liksom i luften på något sätt.

En kväll satt vi på en restaurang och bestämde oss för att hålla en podd live. Den spelades inte in, men vi låtsades att det var på riktigt. Vårt första avsnitt är baserat på vad vi pratade om den kvällen och handlar om virus. Jag börjar med att skämta om att jag hoppas vi plockas upp för sändning, precis som pilotavsnitt av TV-serier används för att övertyga TV-nätverken att köpa en säsong av serien.

Så var vi alltså igång och vi pratade om filterbubblor, DMARC, Zero trust network. Mattias tyckte att vi borde gör intervjuer, vilket vi rätt snabbt insåg var en bra grej. Det både drog nya lyssnare och dessutom fick vi möjligheten att låta andra berätta spännande historier. Intervjuerna, visade det sig snart, blev populära och vi fortsatte.

Det var ganska klart rätt snabbt att vi inte kände att vi var tvungna att hålla oss strikt till ett område och med avsnittet om prepping gick vi till och med utanför vad som traditionellt menas med IT-säkerhet.

Mattias och jag har några gånger stått på scen och pratat om olika ämnen inom IT-säkerheten, vilket gått bra och dragit publik.

Under hösten tyckte vi att vi skulle slå ett slag för historieberättandet och började därför att försöka väva in intressanta berättelser i avsnitten.

Vi har hunnit med att starta ett mycket lyckat samarbete med SIG Security, göra totalt runt 60 avsnitt under denna tid.

• 0 comments

”Man ska driva IT utan att vara någon form av IT-fascister” tyckte min dåvarande kollega, som kastats ut från vår IT-avdelning eftersom han aldrig gjorde något. Sagde kollega var mycket villig att hjälpa till att skruva upp ens Whiteboard, men kunde tre veckor efter att han börjat inte anse att han var redo att ta tag i arbetsuppgifterna. På detta ställe, som det är så länge sedan jag jobbade på att det nog är preskriberat, blev man inte sparkad med mindre än att man skruvade ner armaturen och försökte sälja den. Så han fick bli någon form av hjälpreda i hopp om att pensionen snart skulle stunda.

Bitter på att inte längre få vara domänadmin, en behörighet han gärna gav bort till andra vanliga användare tills jag kom på honom, startade han sedermera sin egen ”skugg-IT” som en form av gerillaverksamhet. Denna var beskaffad så att han var IT-chef, systemadministratör, nätverkstekniker och möjligen också bödel. Han pratade vitt och brett om att ”IT inte fungerade” och implicerade att vi andra på IT-avdelningen, som sagt, var ”IT-fascister”. Han startade sin egen vidöppna filserver med sin egen dator och en Windows-utdelning och lät folk spara filer där eftersom ”backuperna ändå aldrig fungerar”. Hur han själv skulle backa upp dem hade han ingen plan för. Dessutom var han ofta förbannad på mig som var lokal IT-chef och fick ta emot hans tirader. Vi hade en skrivare och den, röstades det fram av de som satt på hans våningsplan, skulle skriva ut på båda sidorna. Det tyckte inte han, och att man kan ändra den inställningen själv visste han inte. Så han bombarderade mig med gliringar och stod och stirrade ner mig när jag satt i mitt arbetsrum. Detta pågick tills jag blev rödglödgat förbannad och sa en del mindre väl vald ord till honom. Efter det lugnade han ner sig och nöjde sig med att bara muttra lite ibland.

Innan dess hade vi en praktikant som uppskattade att vi hade en fast Internetlina som han sa till mig att han ”testade hur bra den höll”. Detta gjorde han inför mig och vår nätverksadministratör som verkade mindre imponerad. Testningen gick till på så sätt att han satt och råtankade och delade filer på Napster, som var den stora ”killerappen” för dagen. Den var ju Internets variant av ”fem-fingers-rabatt”.

De användare som hade möjlighet, det vill säga ALLA, krävde att få vara lokala administratörer på sina Windows NT- och 2000-burkar. På grund av flathet från ledningen fick de vara det.

Men nu ska vi givetvis inte bara gnälla på Windows-användarna. En användare satte upp SMB-filesharing på sin Red hat Linux och hade konfigurerat masterbrowsern på att publicera en tom lista på filservrar till hela nätet. Han kunde inte nå företagets lokala filservrar…. det kunde ingen annan på kontoret heller.

När vi övervakade nätverket såg vi att två datorer hade det ökända spionprogrammet ”Netbus” installerat. De datorerna stod bredvid varandra. Lätt att gissa anledningen, men om du inte gjort det, här är den: bordsgrannarna hade installerat programmet på varandras datorer för att leka med det.

En dag skulle jag visa för en gäst hur man kunde spåra på problem på nätet. Vi stod i ett korskopplingsrum och en av portarna på en switch blinkade med en enorm hastighet. Jag knatade till den användaren som porten gick till och förklaringen var den film han satt och laddade ner från någon piratsida. Han lovade att sluta så fort den var nedladdad. Men helst inte före det.

En gång drabbades vi faktiskt. Det var ”I love you”-viruset som kom på besök. Vår hemsida kördes på en Windows server och web redaktörerna hade hela sidan mappad som en enhetsbokstav i sina Windows-klienter. Det slutade med att tusentals bilder försvann från webben. Vad lärde vi oss av det… Inte mycket…

Denna cirkus pågick fram tills vi började gå igenom en utsäljnings- och uppstyckningskarusell och därefter började ju IT-marknaden att mogna. När man tittar tillbaka på det hela inser man att säkerheten nog var sådär på de flesta ställen. Alla var lokala administratörer, alla IT-människor var domän admins och det fanns inga hinder för vad man fick sätta upp och koppla in på nätet. Dessutom surfade folk till alla sidor de kunde komma på och satte upp fildelningstjänster som kördes på deras maskiner som lokala admins. Att ingenting värre hände berodde på att, som Marcus Murray säger, ondskan inte ännu hade mognat. Alla elaka hackers hölls bort av den stora brandväggen. Det var på den tiden det räckte. Längtar jag tillbaka? Nej, aldrig. Mina gråa hår är på väg och jag behöver inte flera.

• 0 comments

Den reformerade hackern Michael Calce, också känd som Mafia boy, hade en del att säga om att ”tänka utanför boxen”. Han menade att det finns två sorters människor, de som tänker innanför boxen och de som tänker utanför den. Men han sa också att för en hacker är det inte ens så; där finns det ingen box. Detta tankesätt säger det mesta du behöver veta om hacking och hackers.

Man kan alltså alltid göra saker på sådana sätt som bryter mot reglerna om hur allting måste fungera och vinna stora segrar.

Tänk dig att ett jaktflygplan sänder ut en signal, så att det flygvapen som äger planet vet att det inte är fientligt. Detta är gjort på ett mycket säkert sätt, och verkar inte kunna hackas. Kommunikationen sker mellan plan och flygledning och mellan flygledning och plan. En säkerhetsexpert kanske säger att allt som behövs för att kunna säkerställa att ingen kan knäcka krypteringen i systemet och utge sig för att vara ett vänligt inställt flyg är gjort. Men en hackare tänker längre än så. Denna hackare ser framför sig ett fientligt flygplan som tar emot signaler från flygledningen och vidarbefordrar det till första bästa av deras egna plan. Sedan tar det fientliga planet emot svaret och skickar det vidare till flygledningen. De ser ett plan på sin radar och får radiokommunikation om att det är ett av deras egna, vilket inte stämmer. Hackaren här har förstått att signalen inte anger det riktiga planets position och det därför inte går att säkerställa att källan för signalen är det plan man egentligen pratar med. En säkerhetsdesigner har nog valt detta sätt att arbeta på för att inte röja planets position om fienden skulle kunna dekryptera signalen. Ett väldigt talande exempel om skillnaden hur säkerhetsspecialister och hackare tänker. Detta har märkligt nog hänt på riktigt och beskrivs i en av de många säkerhetsböcker jag läst genom åren.

Det finns hur många exempel som helst där man ser hur saker används på förbryllande sätt för att kunna göra intrång eller läcka information. En IDLE-scan är något som visar på detta. Om man avsöker ett nät, kan den du gör det mot se vad du håller på med. Detta kan avslöja dig som hackare. Låt oss istället säga att du hittar ett annat system som är väldigt inaktivt. Du kan då förfalska din traffik så den ser ut som den kommer detta system. Svaret på om portar är öppna eller inte skickas då felaktigt till detta system istället för till dig som attackerare, vilket påverkar det. När du sedan pratar med det inaktiva systemet kan du se på hur TCP-protokollets segmentsnummer ändras i kommunikationen och avgöra om det system du i smyg avsöker har portar öppna eller inte. Att komma på att man kan göra något sånt här för att dölja sin egen identitet är genialiskt och kräver ett mycket kreativt sinne.

Det är något av en kliché vid det här laget: men du måste tänka som en hackare och inte som en försvarare när du bygger säkerhet i verkligheten. Allting kan missbrukas och en attackerare behöver bara en väg in för att lyckas. Så det kan se ganska orättvist ut, och det är precis vad det är. Det får vi alla som är i denna svängen leva med.

• 0 comments