Texter

26 februari, 2020

Måste vi koppla in och upp allting?

Jamen självklart ska man ha en klocka på armen som visar vad som finns i mobiltelefonen. Den är ju så långt bort. Det är ju faktisk 10 centimeter till fickan där den ligger.

Jag har tjatat om detta ett antal gånger. Faktum är att ett av de första poddavsnitten handlade till stor del om attackerande brödrostar och annat iot-skräp. Och jag har nuddat vid ämnet här i bloggen ett antal gånger förut, så det är inget nytt. Och jag är långt ifrån ensam att klaga på iOT-enheter. Det verkar dock inte hjälpa särskilt mycket. Vi sitter i ett läge där det tjatas om att hålla allt säkert och med andra handen öser vi in möjligheten att koppla upp allt och överallt.

Jag har en radio hemma som jag lyssnar på. Den är internetuppkopplad och jag upptäckte snabbt att man kunde gå in på apparatens kontrollpanel via en webbläsare och ställa om inställningar och även ladda upp filer direkt till dess firmware. Alltså. Om jag sitter på samma nät som den, är den helt vidöppen. Inget lösenord och ingen kryptering. Jag skulle våga påstå att detta troligen är rätt vanligt på många enheter som vi gladeligen kopplar in på nätet.

Chromecast-donglar sitter ofta på företagsnät för att låta anställda visa saker på skärmar i konferensrum. Dessa enheter sitter då ofta på samma nät som resten av personalen.

Sen är det Raspberry pi-enheter som används för att generera statistik på skärmar. Dessa kan säkras rätt bra, men är det någon som ser till att övervaka, säkra, patcha och hantera dem eller sitter de bara där och kör år efter år länge efter att operativsystemet har slutat supporteras?

För några månader sedan köpte jag en ny tvättmaskin. En inbyggd WIFI-enhet som gjorde att man kunde koppla in den på nätet var ett krav för mig när jag letade efter en lämplig modell: alltså att den INTE hade någon sådan. Hade det gått att koppla in den, hade jag inte köpt den. Och jag struntar i om den inte kan koppla upp sig innan man konfigurerat den att göra så. Att den finns är illa nog.

Alla enheter som kan kopplas upp har normalt CPU, minne och lagring. Precis vad man behöver som hackare. En sådan enhet kan tas över för att sedan användas för att göra en lateral förflyttning eller som det också kallas att ”pivotera”. Detta innebär att man använder enheten som en bas för att attackera andra enheter på samma eller närliggande nät.

Förr var det skrivarna som var ”skomakarens barn”, nu har vi istället arméer av illa skötta enheter som kopplas in bara för att. Sen är det en myriad av appar som används för att styra dem och som också kan ställa till med problem.

Tidigare funderingar av mig på ämnet:

SNÄLLA – SLUTA KOPPLA IN SKRÄP PÅ NÄTET!!!! Vi har redan tillräckligt av detta mög som det är och det blir bara värre. –Erik

19 februari, 2020

Härda brandväggen i skallen

Keep an open mind.. ”but not so open that your brains fall out.” – Prof. Walter Kotschnig

Masshysterier är nog lika gamla som mänskligheten själv. Kan tänka mig att de var mindre och mer lokala på jägar-samlartiden och blev till stora spektakel när folk flyttade ihop i byar och senare städer. När någon form av rykte som leder till masshysteri dyker upp, kommer den som från början startade ryktet snabbt att gå ur vägen. Då vet ingen egentligen hur det började eller varför. Därefter sprider det sig som en löpeld och får folk att göra brott, mörda varandra eller helt enkelt göra vansinniga saker.

Masshysterier inom IT-säkerhetsvärlden är ingenting särskilt nytt heller. Jag minns alla dessa kedjebrev som förklarade vad som skulle hända om man inte skickade meddelandet vidare. ”Good times-viruset” blev till en långkörare som tog över Internet under ett tag. Det gick ut på att man inte skulle öppna brev med ärenderaden ”Good times”. Gjorde man det, blev effekten enligt varningen katastrofal med raderat data som följd. Något Good time-virus fanns inte, men varningsmeddelandet kan i sig anses vara någon form av skadlig kod, då den spred sig precis som ett riktigt virus. Men det fanns ingen teknik inblandad alls, utan det var oroliga användare som spred det utan att förstå att det troligen var skaparens mening med det.

Sen har vi alla gånger vi hört att Internet kommer gå under. Det dyker upp förståsigpåare som förutspår att nätet inte kommer kunna stå emot den enorma ökningen av attacker som sker.

Listan kan göras kilometerlång med påhittade hatsidor på FaceBook, fake news, ryktesspridning som alltid uppdateras och mängder av skitprat. De är till för att få dig att köpa ormolja, göra saker du inte borde, blir rädd och arg och till sist lura av dig pengarna.

Så det är dags att härda brandväggen i skallen. Alltså att installera det sunda förnuft som gör att man blir kritiskt granskande och börjar ifrågasätta istället för att acceptera. Här är en mycket inkomplett lista över saker som man måste göra för att få härdningen att fungera:

  • Finns det en källa till påståendet? Är den trovärdig? Ett gäng oroliga och arga personer i en Facebook-grupp är ALDRIG en trovärdig källa. Särskilt om de kommer med bevis på någonting hemskt, men dessa ”bevis” på något magiskt sätt aldrig är tillräckliga för att gå till polisen med. De som säljer problem, lösning och bevis på samma ställe är troligen bedragare.
  • Är deras lösning (som de enligt ovan säljer till dig) något som du vill ha? Siter som påstår att du har virus på din dator och säljer antiviruset är inte seriösa. Gå därifrån.
  • Hotar de dig med total katastrof om du inte gör som de säger? De där blinkande ”din dator sänder ut en ip-adress” som man kunde se för ett antal år sedan, kom med mycket skrämmande saker som skulle hända om du inte gjorde som de sa.
  • Låter det för bra/katastrofalt för att vara sant? Då är det troligen det.
  • Är det gratis utan att du riktigt vet hur de finansierar lösningen/produkten? I så fall, låt bli! Kom ihåg vårt inlägg om Avast!
  • Verkar budskapet gjort för att få dig att bli arg eller rädd? En del meddelanden kan tvärtom vara gjorda för att göra dig glad och medgörlig. Om de riktas till dig baserat på vad för grupp du tillhör på sociala media kan de vara utformade för att raljera över sådant som du inte gillar. På så sätt nästlar man sig in i ditt community och underblåser konflikter eller försöker påverka dig och gruppen.
  • Paranoia är inte paranoia om den är baserad på vettiga observationer och kritiskt tänkande. Är det rimligt att något är tveksamt, kan det vara värt att vara försiktig.
13 februari, 2020

Machine learning inom Open source

I IT-säkerhetspoddens andra specialavsnitt är Emil Wåreus (Head of Data Science på debricked) tillbaka. Den här gången pratar vi om hans favoritämne – machine learning

Att nyttja Maskininlärning har på sista tiden blivit betydligt billigare och det finns ramverk att arbeta med som kan tillämpas till sin mjukvara. 

Säkerhetsföretaget debricked hanterar extremt mycket data i sitt analysverktyg för att identifiera sårbarheter i open source. Därför används maskininlärning för att processa all information. 

Maskininlärning inte samma sak som AI 

Emil har tidigare byggt robotar (eller autonoma agenter), till exempel drönare som följde efter människor, och där noterade han att begreppet maskininlärning missförstås. Ofta blandas det ihop med AI fast det är helt separata saker. Så för att förtydliga: 

  • AI kan beskrivas, ur ett autonom-agent-perspektiv, som human, det vill säga en agent som kan förstå sin omgivning och ta beslut helt utan styrning. 
     
  • Maskininlärning däremot, ur samma perspektiv, kan delvis uppfatta omgivningen men är bättre på varseblivning. Den fungerar väl i en stängd miljön men om man tar drönararbetet som exempel är omgivningen fysisk. Maskininlärning som teknik kan då inte “förstå” omgivningen men däremot analysera bilder. Problem kan uppstå där till exempel maskininlärning kan tro att en ko kan vara i en hästhage (där ett AI, som förstår omgivningen, förmodligen skulle anta det är en häst eftersom den förstår att det är en hästhage). Det är således viktigt att träna sin maskininlärning. 

Processad information måste bli rätt 

Vi tar oss an den amerikanska databasen NVD igen, där Emil upptäckte att sårbarheterna som presenterades var missvisande. 

Sårbarheter presenteras som att 60% av produkter som visas endast har en sårbarhet och 90% med under sex sårbarheter. Det blir alltså svårt att se allvarligheten i de olika mjukvarorna och vilka projekt som innebär störst risk att nyttja. 

Debricked tar hjälp av sin egen maskininlärningsalgoritm för att samla NVD tillsammans med issues på Github (repository med mjukvaror) för att få kvalité på informationen. Den tittar till exempel på språkbruket i skapade issuen och vad för ord som den innehåller för att bilda sig en uppfattning. På så vis kan algoritmen avgöra vad som är en säkerhetsbrist och vad som till exempel är en bugg. 

Den guidar utvecklare i rätt riktning och att göra rätt. 

Algoritmen läser miljoner rader av text (från flera olika repositories) och förstår och kategoriserar problemet. 

Träna sin algoritm 

Maskininlärning måste hela tiden tränas på sådant den känner till och på sådant den inte känner till. Tekniken kallas Semi-supervised learning och där använder debricked Googles TensorFlow

Vi återanvänder häst-exemplet. Emil tränar sitt dataset med ett antal bilder på hästar och sådant som är markerat som “inte häst”. Sedan massor av bilder på sådant som är helt okänt. Algoritmen processar bilderna och förstår, och blir ännu mer träffsäker, på vad som är en “häst i en bild”. 

Det finns färdigtränade algoritmer för till exempel bildanalys och text men inte mycket för att upptäcka säkerhetsbrister. Där är debricked ledande och slår andra som gör liknande. 

 
Vad är en säkerhetsbrist? 

Debrickeds algoritm kan läsa nästan vilken text som helst och avgöra om det är ett säkerhetsproblem som beskrivs eller inte. Företaget arbetar vidare med att kategorisera vikten av hur allvarlig bristen är. 

Emil poängterar vikten att förstå sitt område som dataanalytiker. Man måste kunna till exempel säkerhet för att kunna utveckla maskininlärning som hanterar säkerhet. Man måste hela tiden jobba och undersöka hur träffsäker sin maskininlärning är. Det går inte att ha en algoritm som förutspår sju av tio fel och genererar för mycket falska larm (false positive). Det är viktigt att den data som levereras till kund är minst över 90% korrekt, så kunden kan fokusera på rätt saker. 

Avslutande tips 

Emil avrunda med tips inom maskininlärning 

  • Det är viktigt att ha låg false positive men att arbeta med att öka informationen att ta in utan att sänka kvalitén med hög träffsäkerhet 
  • Arbeta med erkända ramverk (t.ex. TensorFlow) 
  • Arbeta med matematiken för att optimera effektivt och för att förstå sin data 
  • Förstå din domän först (område) som maskininlärningen ska hantera 
  • Maskininlärning är ett medel för att nå ditt mål 
12 februari, 2020

Du kan fly, men du kan inte gömma dig

Peekaboo! Linux i Windows??? Det finns faktiskt en produkt (sök på Windows subsystem for Linux) som gör detta möjligt. Dubblerar det sårbarheterna då eller?

”Jag behöver inget virusskydd, jag har ju MAC” har jag hört ett antal gånger. Eller att ”Om du vill vara säker, kör Linux”. Ett vanligt argument för dessa påståenden är att dessa två operativsystem i sig själva är överlägsna Windows vad det beträffar just säkerhet. Historiskt har det funnits en god poäng i detta även om gapet i mångt och mycket har slutits. Nej, denna diskussion handlar om det ANDRA argumentet. Detta argument är mindre vanligt, men lyder ”En miljö attackeras i proportion till hur många som använder den”. ”Windows har många användare, därför är det osäkert.”

Så om detta argument håller är du då alltså säkrare om du viljer produkter som färre använder? Då borde ju min Windows 95 var helt idiotsäker att koppla in på nätet utan brandvägg, eller hur? Sanningen, som jag ser det, är att det är lite mer komplicerat än så. Många attacker flyger på saker som är hyggligt gemensamma mellan miljöerna som ramverk, webbläsare och mediaspelare. Det behöver inte betyda att attackerna fungerar oavsett vilket operativsystem du kör, utan snarare att det är lätt att anpassa dem för att fungera sålänge det är samma sårbarhet. En sårbarhet i tillexempel Firefox kan i vissa lägen fungera oavsett om den körs i Linux eller Windows.

Så att gömma sig i den mindre hagen är troligen en rätt bristfällig försvarsstrategi i dessa dagar. Detta är inte ett försvarstal för Windows utan ett nyktert konstaterande att ditt val av t.ex. operativsystem måste baseras på andra faktorer än hur många som faktiskt använder det.

Diskussionen om vilken modell, proprietär vs open source, som är bäst kommer pågå länge än. Min personliga reflektion är att den säkraste produkten är den som aktivt sköts om, patchas och där sårbarhetsrapporter tas på allvar och snarast lagas. Att kräva detta av sin produkt är troligen en av de viktigaste sakerna att tänka på när du letar efter ett nytt operativsystem, appliance, iot-enhet eller säkerhetslösning.

5 februari, 2020

Lösa trådar – eller vad händer just nu?

”Lösa trådar” rent diskussionmässigt är rätt ofarliga, men är trådarna elektriska, är deras löshet direkt kopplat till hur brandbenägna de är… Vet inte riktigt vart jag är påväg med den här diskussionen, det blir liksom bara lösa trådar…

Ibland känner jag för att bara skriva några tankar i största allmänhet om vad vi gör på denna podd, så det tänkte jag göra här.

Januari är över och februari känns som april rent vädermässigt. Podden går framåt med stora steg. Vi kom igång riktigt bra efter sommaren med många intressanta intervjuer. Och hela tiden har lyssnarantalet långsamt men säkert ökat. Intervjuerna drar mycket nytt folk som kanske är intresserade av personen vi pratar med eller fått veta om oss via personens sociala medier. De vanliga snacken är också populära. Att försöka gissa vad som lockar mest kan vara en utmaning, men vissa mönster kan skönjas. Enligt min högst personliga åsikt verkar det, som jag sagt tidigare, ha varit en bra idé att börja väva in fler historier i snacket,. Att blanda mer tekniska avsnitt med avsnitt som tar oss in i närliggande områden fungerar också vad det verkar. När vi pratade om Nordkorea, kunde vi bjuda på en genomgång av hackergrupperna som är kopplade till landet och samtidigt ha en diskussion om varför man hackar och vilken relation man har till resten av världen. Vi kom till och med in på ämnet ”Käre ledare”, en känd bok skriven av en politisk flykting med inside-information från Nordkoreas ledning.

Vi har också samarbetat med SIG Security, vilket gjort att ni kunnat följa deras föredraghållare som berättat om sina favoritämnen. Det blev till och med en radioteater där ostoppbar entusiasm för molnet mötte skeptisk motkraft som manade till försiktighet. Och i ett annat avsnitt fick vi veta om vad som snart kanske blir en molncertifiering som backas av EU.

Commodore 64, en dator från den tiden då datorerna verkligen såg ut som… ehh… brödboxar?

Vi stötte flera gånger på ämnet retrodatorer och hackarna som älskade dem. Jörgen Nissen berättade om de ungdomar som växte upp med hemdatorn. Pontus Berg, också känd som Bacchus från Fairlight, tyckte det handlade lite för mycket om att bryta sig in i system när vi pratade om dåtidens hackare och kom själv istället med en mycket intressant berättelse om dåtidens demoscen och spelpirater. Det blev tillsist nästan en serie om en svunnen tid som ändå var alldeles nyss.

När julen stod för dörren samlade vi ihop årets olika diskussioner som att lita på varandra till ett avsnitt om digital trust. Nyårsavsnittet sammanfattade allting och introducerade termen ”bläord”. Alltså sådant där som man har hört någon gång för mycket. 2018 års nyårsavsnitt förutspådde ju a AI skulle vara hett och nu landade termen istället som just ett ”bläord”.

Och vad händer i vår?

Vi har kört igång en miniserie på tre avsnitt i samarbete med Debricked som handlar om open source och vad en utvecklare behöver tänka på för att hålla allting så säkert som möjligt.

Intervjuerna fortsätter och vi jagar ständigt intressanta personer som kan ge sina högst personliga insikter inom säkerhetsområdet.

Och vi har inte glömt att nörden måste få vara med. Det kommer bli avsnitt där vi går ner på djupet i ämnen. Senast var det ju brandväggen, där vi ställde upp den klassiska brandväggen mot proxyn och lät dem gå en ”boxningsmatch” i tre ronder.

Vi håller redan på att dra i trådarna för att få tag på vårens talare på SIG Security och kommer fortsätta samarbeta med dem under hela 2020.

Det blir en intressant och lärorik vår här på IT-säkerhetspodden.

31 januari, 2020

Statistik inom Open source

Affärsmodell med Open source 

Allt fler företag väljer att skapa mjukvara baserat på öppen källkod (Open source). I IT-säkerhetspoddens avsnitt pratar vi med Emil Wåreus Head of Data Sience på debricked om risker kopplat till öppen mjukvara och statistik (eller fun facts).

Statistiken är viktig att förstå för att välja rätt öppen källkod och hur komplext det kan vara för att undvika säkerhetsrisker. 

   Öppen källkod kan jämförs som en rörelse där skapare nyttjar öppen källkod och publicerar sina anpassningar på internet för hela Open source-scenen. Engagemanget är stort och förslag med funktionell och säkerhetsmässiga förbättringar diskuteras inom rörelsen.  

   Det kan tyckas märkligt att företagare lämnar ut sin affärsidé och delar med sig till vem som helst och för att förstå hur det hänger ihop tar vi oss till 80-talet. Trenden var då att man såg sin mjukvara just som själva affärsidén. Resultatet blev en statisk mjukvara (eller proprietär kod) med ett hackigt community. . 

   Open source startade samtidigt på konsumentsidan där engagemanget blev stort bland användare. När det nu är utbrett på företagssidan är en vanlig affärsmodell open core där kärnan är öppen medan tilläggstjänster såsom support och konsultarbeten blir affärsmodellen. På så vis behålls engagemanget i Open source och samtidigt kan företagare vara lönsamma genom att hjälpa sina kunder med vad de faktiskt efterfrågar. 

Flera hundra beroenden 

Det många inte vet är att en öppen källkod ofta inte är just en mjukvara. Tvärtom. Vanligare är snarare att mjukvaror använder flera hundra direktimporterade mjukvaror som den är beroende av. Beroenden med sina egna öppna källkod och sårbarheter. Emil Wåreus tar ramverket React som exempel som är en plattform baserad på Java och skapat av Facebook. Verktyget är väldigt populärt just nu för att skapa webapplikationer och bygger på just öppen källkod. Men få känner till att React har ungefär 3.500 beroenden. Hur ska man ha koll på vilka man använder och vilka säkerhetsrisker det finns att nyttja ett sådant ramverk? 

   Här finns fördelen med den öppna källkodsscenen där man kan ta del av andras upptäckter och idéer till skillnad mot stängd mjukvara där tillverkaren ansvarar för att upptäcka sårbarheter och täppa till dessa. 

   För att reda ut svårigheterna finns debrickeds mjukvara som analyserar mjukvaran inom tre områden – sårbarheter, licensieringen och hälsokontroll (health check), där det sistnämnda undersöker just communityt för att analysera hur högt engagemanget såsom bidragande medlemmar. Det hela poängbedöms av debricked vilket hjälper upphovsmakarna att välja rätt öppen källkod. 

Flera datakällor för att upptäcka sårbarheter 

Debricked är integrerat med Amerikanska NISTs “National Vulnerability Database” (NVD) som är en öppen databas där man kan hitta kända sårbarheter i öppen källkod. Här rapporterar communities (till exempel Github) till NVD för analys. NVD undersöker vilken typ av sårbarhet som avses och om det är kopplat till säkerhet eller inte. Ungefär femtio nya sårbarheter registreras – per dag! 

Statistik från NVD visar vilka projekt som innehåller mest sårbarheter. Bild nedan visar de högst rankade just nu.  

   Men NVD räcker inte för att upptäcka sårbarheter så därför är databasen bara en av datakällor som debricked nyttjar. En stor del upptäcks inte eftersom NVD har koll på 50.000 projekt som har ungefär 120.000-130.000 sårbarheter. Debricked däremot hittar över 200.000 sårbarheter relaterat till säkerhet eftersom de samlar in från flera datakällor. 

   Den andra stora källan är, numera Microsoft-ägda GitHub, som debricked nyttjar som datakälla. Här undersåker debricked så kallade issues på Github. 

   Om man skapar en enkel websida baserad på öppen källkod med populära verktyg och installerar enligt standard kan man räkna med ungefär 10.000-15.000 beroende mjukvaror med hundratals sårbarheter. Nästa steg blir att analysera sårbarheten som oftast (ungefär 30%) kan täppas till genom att uppdatera. Men resten är klurigare. Man ska ställa sig frågan – använder jag den här mjukvaran? Eller kan jag bygga runt det på något vis?  

Fyra råd 

Emil Wåreus ger fyras råd för öppna källkodsprojekt.  

  • Använd debricked tidigt i processen innan du importerar mjukvara för att förstå hur säker den är och undersök poängbedömningen.  
  • Sätt policys för att blockera osäker mjukvara. På så vis hjälper man utvecklare att göra rätt och förhindra att fel kod importeras 
  • Räkna på mjukvaran som är tänkt att användas. Räkna hur mycket tid och pengar det krävs för att säkra mjukvaran 
  • Använd inte gammal mjukvara 

Man får också väga “springa framåt” mot “håll tätt bakåt” i projektet. 

29 januari, 2020

Det finns ju ingen gratis lunch

Det var något om stekt fläsk och gratis Facebook, men jag tappade koncentrationen. Såg just en söt kattbild i mitt flöde.

Heinleins sci-fi roman ”Revolt mot jorden” myntade uttrycket i fråga och det har använts många gånger sedan dess. ”The is no such thing as a free lunch” heter det på Engelska och det syftar på att allting har ett pris.

Alldeles nyss nåddes jag av nyheten att det framkommit att gratisprogrammet Avast säljer dina surfvanor på nätet. Avast, om du missat det, är ett gratis antivirusprogram som är … just det… gratis. Det propsar på att sälja dig betalvarianten genom att påstå att du har risker med din dator som kräver att du köper den för att fixa dem. Men det bleknar ju i jämförelse med att dina surfmönster säljs. Anonymt lovas det, men det kräver inte mycket fantasi för att förstå att man rätt snabbt avslöjar vem man är med hur man surfar. Så sluta använd programmet säger alla … och alla har rätt.

Det som förvånar mig är att ingen riktigt försöker förstå hur gratisprogram betalar sin skapares lön. Kan man överhuvudtaget lita på något som är gratis? Ja, jag skulle säga att det är möjligt. De flesta Linuxdistributioner kostar ingenting och de brukar inte vara några problem. Ubuntu är gratis men Canonical, deras tillverkare, tjänar pengar på support och kringprodukter. MEN! Det finns även där anledning att dra åt sig öronen ibland. Ubuntu lade för några år sedan med en programvara som kopplade ihop sökfunktionen med Amazon, vilket ledde till mycket diskussioner om integriteten. Dock är, som sagt, Linux något som är både gratis och man kan lita på rent generellt.

Sanningen är att den som vill ha programvara utan att betala MÅSTE ha kunskap om hur programmet är gratis och varför det kan vara det, annars kan det bli dyrt på något sätt.

Men även om man betalar är det värt att läsa det avtal man skriver på innan man accepterar det. Det finns betalprogram som skickar hem data om vad du gör. I och med Windows 10 har Microsoft nu en lång historia att bygga operativsystem som ”ringer hem” med all möjlig information. Detta är något som idag accepteras av de flesta, men så var det inte från början. Siten ”Bad Vista” fanns förut och protesterade mot Windows Vistas mekanismer för att skicka hem data. Google, Apple och de flesta stora leverantörerna vet mer om dina vanor än vad jag tror du är bekväm med. För att inte tala om underrättelsetjänster runt om i världen.

Nu får du gå ut och leka. Kom ihåg att varje kväll förväntar jag mig att du läser ramsan jag lärt dig tio gånger innan läggdags: TANSTAAFL. (There Ain’t No Such Thing As A Free Lunch)

23 januari, 2020

Vad intresserar oss?

Allt är ju inte hacking, inte ens för en hackare.

För snart ett år sedan, läste Mattias en bok om prepping och kom med förslaget att vi skulle intervjua författaren i vår podd. Det gjorde vi också och resultatet blev utmärkt. En fråga bara, vad har prepping med IT-säkerhet att göra. Det enkla svaret är: ingenting. Borde vi ens ha gjort intervjun? Jag anser att det var helt perfekt. Är själv intresserad av ämnet och jag tror många som håller på med IT-säkerhet också är det.

Om man är aktiv inom säkerhetsområdet, kan man ju anta att frågor om stabilitet och säkerhet inom IT-området gärna kan sprida sig till att man börjar titta på säkerhet och stabilitet inom andra områden. Samhället kan också drabbas och vad gör man om elen försvinner för några veckor? Så har en väg mellan dessa två, till synes orelaterade ämnena, bildats.

Personligen tror jag inte någon specialist mår bra av att inte bredda sitt område. IT-säkerhet går in i precis allting inom IT-området och är en viktig del i allt från lagringsteknologier till mer självklara områden som webbapplikationsutveckling.

Så en person som är intresserad av att jobba med IT-säkerhet bör bygga detta på ett fundament av andra kunskapsområden. En del IT-personer börjar som generalister i en help desk medan andra startar inom utvecklingsområdet. En del kanske bara jobbar med verksamhetsutveckling och diskuterar riktlinjer och policies skrivna på papper. Var du än kommer ifrån, glöm inte vad du lärt dig på vägen. Det kan komma väl till pass. Och glöm inte att titta runt på andra områden som kan berika dig i din gärning inom branschen. Det kan vara områden som du inte tänker på. Har du hobbies och intressen utöver IT? Fundera på om de kan ge något till ditt yrke. Tror en nyfiken hjärna som vill lära sig nya saker hela tiden vinner i längden.

Kopplingen mellan knyppling och IT-säkerhet är lite för långsökt för mig, men ni kanske kommer på någon? //Erik

16 januari, 2020

Vad tänker man vid ett angrepp?

Hacked by … Men, vänta nu, vilket språk är det där? Definitivt inte kinesiska tecken.. Jaha, ok, vi var visst inte hackade ändå..

Igår satt jag på en skakig uppkoppling mitt ute i ingenstans i en stad nära men ändå långt borta. Jag laddade IT-säkerhetspoddens hemsida och medan den laddade gick jag och gjorde annat. Väl tillbaka möts jag av att hemsidan såg ut som bilden ovan. Vad sjutton händer? En obehaglig tanke slog mig: har vi blivit hackade?

Under minuterna som gick när jag försökte avgöra vad som hänt, gick tankarna på högvarv… Men hur? Varför? Det är inte möjligt att… Allt är ju uppsatt och säkrat och patchat och … Förstår inte…

Rätt snabbt insåg jag att det var den skakiga uppkopplingen som fått nedladdningen av sidan att paja, vilket gav upphov till skräptecknen. Efter några minuter av att sidan inte laddats, fick jag kontakt med mobilmasten igen och då fungerade ju det hela utan problem.

Men medan jag jobbade tänkte jag på det ironiska i att en podd om IT-säkerhet blivit hackad. Det skulle inte vara någon hejd på skadeglädjen och kommentarerna. Det skulle ifrågasättas hur vi, som ju ska kunna sådant här, missat att sköta våra egna grejer. Detta är vad vi i dagligt tal kallar en kvalitativ förlust. Alltså en realiserad risk som leder till att vi tappar i rykte och ansedd pålitlighet. Sen finns den en kvantitativ förlust. Alltså att vi förlorar pengar. I vårt fall är det inte mycket att tala om, men hade vi sålt något via siten, hade det kunna göra ont att vara borta ett antal dagar. Även en liten webshop kan påverkas mycket negativt av nedtid.

Den tråkiga nyheten är att de flesta, om inte alla, siter är i stor risk att hackas någon gång. Ett litet misstag, en oväntad zero day, missat att lägga på senaste patchen på ett par dagar eller bara ett bortglömt konto med privilegier och ett dåligt lösenord. Det krävs inte mycket för att åka dit och få skämmas. Dataläckor idag är så vanliga att man nästan inte reagerar förrän det talas om miljontals konton vars uppgifter röjts.

Det finns ju en anledning till skammen. Om du fått inbrott hemma är det ingen som klandrar dig för valet av lås, så länge du har ett godkänt sådant. Men om någon blir hackad blir det ”Avgå! Alla! Nu!”. Skillnaden är att den som har en tjänst har både en skyldighet och en möjlighet att skydda allting själv eller anlita någon som gör det. Att inte patcha sina system är ju ingen ursäkt. Och det ställer organisationen som utsätts i mycket dålig dager.

Så vad kan jag säga: ingen ro för de trötta…

8 januari, 2020

Baksidan av multifaktor-autentisering

”Submitted for your approval, picture a man… A man who stores all his data in the cloud. Locked by a door with his phone as the only key. Convenient for him, but as all things go, one day it might be lost and his data will end up… in the Twilight zone”.

Vi och i princip alla andra sjunger multifaktorautentiseringens (MFA) lov. Slå på nu och slipp få kontot övertaget av hackare. Även om SMS-varianten inte är så säker, är den många gånger bättre än att bara använda lösenord. Bäst är ju appar som Google Authenticator och Microsoft Authenticator som används för att generera en tillfällig kod från mobilen när du loggar in på siten du ska till..

Men det finns en baksida som kommer bli allt mer och mer tydlig när alla går över till MFA. Är det att det tar längre tid att logga in? Nej, absolut inte. Det är en acceptabel ”trade off” om du frågar mig.

Nej, problemet är vad som händer när du tappar mobilen, den går sönder eller du får den stulen. Vad gör du då?

Jag kollade runt lite på det hela och exakt vad som händer när du inte längre kommer in på dina konton beror på siten i sig. En del har backuplösningar så att du kan skicka koder till telefonnummer. En del ger dig ett masterlösenord som du förväntas skriva ut och lagra någonstans eller spara i en lösenordshanterare. Detta låter dig komma in i alla fall. Men en del siter beklagar bara att ditt konto nu är omöjligt att återställa.

Det finns diverse lösningar för att backa upp authenticatorn, men det är något som kräver en del arbete för att fungera. Om du nu genererar koder för en 10-15 konton i mobilen är det hög tid att planera för hur du ska komma in i siterna om du blir av med mobilen.

Processen med borttappade lösenord är ju enkel, de flesta siter har en ”forgot my password”-knapp. Men en sådan skulle ju vara en väg runt säkerheten om det var möjligt att återställa tillgång till kontot på det sättet med MFA påslaget trots att du tappat mobilen. Så det kan aldrig bli en lösning i framtiden.

Detta har vi sett förut: hur nya lösningar rullas ut och blir riktigt populära innan problemen har lösts.

Tror detta inlägg i framtiden kommer mynna ut i en diskussion om backuper. Har du ett Office 365-konto? Ett Google konto? Bra, var är då dina backuper av innehållet på dem? Värt att fundera på, eller hur?

Scroll to top