Artiklar om IT-säkerhet

13 februari, 2019

Hitta din inspiration

Jag vet precis hur det kom sig att jag började med IT-säkerhet. Det var någon gång runt en 2001. Jag hade redan tidigare tyckte säkerhet var intressant, men inte egentligen brytt mig om området så där extremt mycket. Sommaren 2001 tog jag mig tid och patchade alla Windows servrarna. Jag såg till att de alla hade service pack 2 för Windows 2000. Sen kom hösten och den blev rykande het när Nimda äntrade scenen. Denna mask attackerade Windows 2000-servrar och de jag hade patchat och uppgraderat klarade sig givetvis. Men den stora delen av koncernen jag jobbade på hade inte uppdaterat och de fick enorma problem. Jag ingick i ett litet ad hoc-team som hjälpte andra delar av koncernen att hantera utbrottet. Detta var endast möjligt då vi själva inte var drabbade och kunde hjälpa de som var. Detta var den händelsen som gjorde att säkerhet blev en passion för mig.

Säkerhetsområdet är stort och det är omöjligt att lära sig allting om det. Jag valde nätverkssäkerhet och webbapplikationer. Vilket och blev de delar av IT-säkerhetsområdet jag ofta jobbar med. Min inspiration var de stora maskarna i början av 2000-talet. Det är så jag ”byggde min plattform” och började lära mig. Redan 2004 kände mina vänner mig som den som intresserar sig för säkerhet och på den vägen är det.

Jag tror det är viktigt för den som ska börja jobba inom IT-säkerhetsbranschen att hitta sin inspiration och vilka områden han eller hon ska vara passionerad om. Det kan vara så att ditt tidigare område dikterar var du hamnar. Om du utvecklat i php eller asp.net, kanske du blir passionerad inom webapplikationssäkerhet, medan någon som installerat PC-klienter istället börjar sin bana med att härda sagda klienter eller jobba med thin clients och härdning av dessa.

Kom tills sist ihåg att alla verktyg, certifieringar och ramverk bara kan ge dig stöd. Din passion och applicerandet av ditt kunnande är det som fäller avgörandet om vilket intryck du kommer göra på världen.

10 februari, 2019

Smarta system mot smarta hot

I veckans avsnitt sitter vi på IBMs kontor i Kista, norr om Stockholm, och pratar med Marcus Hallberg med fokus på deras SIEM system.

Det är väldigt fascinerande när han berättar deras system läser olika säkerhetsbloggar och bygger upp ett skydd utefter vad den läser… bland annat.

IBMs SIEM-system Qradar bygger på Watson vilket är det system som blev känt att de slog en människa i Jeopardy (Youtube länk här) även fast Marcus och hans team inte just har gått över till Watson.


6 februari, 2019

Koevolution – spelets regler

Det är märkligt att se hur attacker och försvar utvecklas sida vid sida. Hur det börjar är ganska uppenbart: någon hittar på ett sätt att attackera ett system. Försvararna hittar på ett sätt att göra attacken omöjlig. Efter ett tag kommer attackerarna på en metod att överlista försvaret med en mer avancerad attack. På detta sätt höjs ribban och det blir svårare att göra attacker. Då och då hittas helt nya sätt att attackera ett system på och då börjar hela processen om igen. Man kallar detta för ko-evolution.

En gång i tidernas begynnelse ansågs Caesar-skiffer säkert nog. Det byggde på att man skiftade alfabetet tre steg. A blev D och B blev E och så vidare. Under många år var detta ett tillräcklig bra metod att försvara hemligheter. Men mekaniken gjorde detta oanvändbart. Och när vi gick in i den datoriserade eran blev det en snabb kapplöpning mellan de som skyddade system och de som knäckte dem. I Bletchley park avslöjades nazisternas hemligheter av ett gäng kodknäckare. Idag dyker det upp nya sätt att kryptera information. Samtidigt knäcks system och blir oanvändbara. Kapplöpningen är i full gång. Hashningsmetoder MD5 och kryptot DES är idag inte säkra att använda. Och bli inte förvånad om de metoder som idag är säkra kommer att bli knäckta imorgon. Vi har bara pratat om kryptografi här. Samma sak händer inom hela it-världen. När jag började lära mig säkerhet, kunde man ofta bryta sig in i system med så kallade SQL-injections. Dessa attacker tog sig in i databasen bakom en webbapplikation och kunde ibland ta över systemet bakom. Idag är denna typ av attacker i stort överspelade även om de fortfarande förekommer. Detta beror självklart på att alla produkter som finns är moderna har inbyggda skydd mot detta. Så numera är det istället webbläsarna som attackeras. Ge det några år och även detta har förändrats och attackerarna har antingen hittat nya mål eller överlistat de existerande skydden. Så länge vi har IT-system kommer det aldrig vara över…

2 februari, 2019

Om avsnittet cyberattacken mot Göteborgs hamn

3e februari är inte bara min födelsedag utan även dagen då vi släpper nytt avsnitt. Den här gången djupdyker vi i Petaya  och anledningen varför Göteborgs hamn blev så hårt drabbad.

Petya, som låste datorer genom att kryptera hårddisken, spreds som en löpeld världen över hade sitt ursprung från ett Ukrainskt ekonomisystem. Sommaren 2017 fick vi verkligen uppleva att ”internets spel och lek”-tid är över när skadlig kod slår ut viktiga funktioner i vårt samhälle.

Men det är inte bara miljardföretag som drabbas av Ransomware utan vem som helst kan drabbas. I veckans avsnitt går vi också igenom hur man ska skydda sig mot Ransomware.
Och om man blivit drabbad, ska man betala då? Nej, hävdar Erik bestämt! Risken att man får tillbaka sina filer är mycket låg. Så se istället till att ta backup av de filer du inte vill bli av med.

30 januari, 2019

Tankar om samarbete

Det är kanske dags att lämna tekniken en stund och prata om samarbete. Som säkerhetskonsult, analytiker eller kanske pentestare är det lätt att vara en vägens kämpe. Med sin väska full av datorer, testutrustning och allsköns prylar drar man från kund till kund för att göra sitt jobb. Det har varit mitt liv ett antal år. Det ger en möjlighet att utmana sitt kunnande och lära sig nya ting. Men min erfarenhet är att ett litet team som samarbetar alltid är bättre. Att våra två som testar ett nätverk innebär möjligheten att bolla idéer och få nya uppslag. Hur smart du än tror att du är, kommer du aldrig kunna slå en liten grupp som samarbetar. Och den minsta gruppen är två och den största omkring fem-sex personer. Därefter blir det trögrört.

Många konsulter arbetar just i små grupper som löser problem och kommer fram med fungerande lösningar. Möjligheten att dela upp arbetsuppgifterna och hålla flera processer igång samtidigt kompenserar för den ökade kostnaden för att ha fler än en konsult.

En rätt vanlig kombination bland pentestare kan vara att ha en expert på fysiska tester, en teknisk kunnig och en som vet hur man göra social engineering-attacker. Denna grupp kan troligen ta sig in på vilken kund som helst.

Så för att sammanfatta: ensam är inte stark och specialisering inom säkerhet är ett måste.

27 januari, 2019

AI kan bli människans bästa eller sämsta uppfinning

I veckans avsnitt pratar vidare med Anders Sandberg, ni vet framtidsforskaren vid Oxford University. Och ämnet är Artificial Intelligence.

Någon sa att AI kan bli människans bästa eller sämsta uppfinning. En uppfinning man inte bara kan ”dra ur sladden till” för att stänga av. Ett komplicerat, distribuerat system som förmodligen väldigt viktigt och Anders jämför det med handeln eller elnätet – kan man dra ur sladden till ett sådant system? Förmodligen inte.

I avsnittet har vi också några bra boktips – Superintelligens (skriven av Anders chef Nick Bostrom) och Altered Carbon där den sista handlar just om det som Anders menar är fullt möjligt – Att man kan göra mjukvara av sin egen hjärna. Och det skulle vara fullt möjligt om 2050.

24 januari, 2019

Några uppskattande ord om haren

Finns det någonting fegare än en hare? Så fort den ser dig, är den borta så snabbt att den ser ut som ett streck när den rusar iväg. Är det inte mycket bättre att slåss mot fienden och vinna sin frihet? Svaret är att de flesta djur flyr när de ser någon komma. Det gäller även farliga djur som björnar. Geparder skrämmer man lättast bort med hundar. Detta trots att geparder borde kunna vinna mot en hund. I naturen undviker de flesta djur strider. Men det är inte det jag vill prata om idag. Det handlar istället om att ha överlägsna metoder för att upptäcka fara istället för att satsa på möjligheten att försvara sig eller motstå en attack.

Inom IT-världen har man tills ganska nyligen inte riktigt fattat hur viktigt det är att upptäcka hot. Mycket har handlat om starkare kontroller för att hindra intrång. Många företag och organisationer har haft loggning påslaget för alla viktiga system utan att ha haft någon mekanism för att automatiskt analysera loggarna och larma om hotfulla mönster upptäcks. För många har en lösning för att upptäcka hot på nätverket setts som för dyrt och enbart nödvändigt där man har högre kvar på säkerheten. Att upptäcka att någonting är på gång eller har hänt har varit nedprioriterat på grund av hur komplext och dyrt det är.

Men det är tyvärr en sanning att alla kassaskåp kan brytas upp av den som har tid och resurser att bryta sig in. Om du inte upptäcker att någon går lös på detta kassaskåp, kommer attacken tillsist att lyckas eftersom den som attackerar kan göra precis vad som helst och arbeta hur länge som helst utan att upptäckas.

En gång, för ett antal år sedan, kallades jag in till ett företag som råkat ut för skadlig kod. Man hade upptäckt denna för att den var så dåligt skriven att den sänkte de system den kopierade sig till. Detta var inte avsikten med den utan berodde på att den var dåligt gjord. Hade den som skrev koden varit bättre programmerare, hade kunden aldrig upptäckt denna skadliga kod som var byggd för att ligga i bakgrunden och köra.

Tiden mellan att ett system attackeras och att attacken upptäckts kan var så lång som uppemot ett år i många fall. Under denna tid kan attackeraren gör vad han/hon vill med organisationens system och nätverk.

En dövblind kanin klädd i rustning är sämre skyddad än en försvarslös kanin som vet hur den upptäcker fara och springer iväg! När såg du senast en sådan analogi på en säkerhetssite?

20 januari, 2019

Hemlig information i framtiden

I veckans avsnitt har vi Anders Sandberg med oss i studion. En framtidsforskare vid Oxford University eller ”forskar på allt sånt som är roligt” om man frågar Anders själv.

Trots nya regelverk såsom GDRP verkar det som om våra hemligheter i framtiden blir svårare att behålla. Faktum är att man ser att halveringstiden blir kortare och kortare har forskningen visat.

I avsnittet fastnar vi också kring Kinas Social Credit system – ett system där medborgare rankas utefter deras sociala och ekonomiska status. Är ett sådant system på väg till västvärlden?

17 januari, 2019

Problemet med eftersläntrarna

Nu för tiden bombarderas vi med säkerhetsfixar. De kommer varje vecka, varannan vecka eller varje månad. Vilken produkt du än har, kan du ge dig på att det kommer en säkerhetsfix till den när du minst anar. Även produkter som egentligen inte är direkt uppkopplade mot nätet eller tillgängliga för flera användare samtidigt drabbas. Och det har ingen betydelse om du är en stressad system administratör eller ägare av exakt en laptop: patcha måste du! Regelbundet.

Patchandet kan beskrivas med en normalfördelningskurva. Först en stor ”puckel” med de flesta systemägarna som lägger på de flesta patcharna. Sen en liten grupp av supernoggranna administratörer som aldrig missar en patch. Men vad finns på andra sidan av puckeln? Jo, systemen som antingen aldrig patchas eller som år efter år ligger långt efter i patcharna.

Det är dessa maskiner som blir botnet, används som instegsmaskiner in i andras nätverk eller används för att dölja attackernas ursprung. En del av dem går inte längre att patcha. De är gamla maskiner, routrar eller nätverksutrustning som getts upp av tillverkaren och nu bjuder in hackarna till dans.

En kund jag jobbade mot för några år sedan hade en stor mängd servrar som inte uppgraderats på årtionden. Den enda anledningen att vi kom på hur illa de hade det, var att de inte kunde uppgradera en specifik programvara till den senaste versionen. Detta eftersom den krävde att operativsystemet var en många år nyare version än vad de hade. Innan vi förklarade situationen för dem, insåg de inte ens att det var ett problem. Dessa system hade inte kunnat patchas på många år på grund av att tillverkaren lagt ner uppdateringarna av dem. Några av dem var dessutom nåbara från Internet. De lärde sig snabbt att det är mycket dyrare att försöka räta upp situationen och ”komma ikapp” med en stor mängd system än att kontinuerligt avsätta tid och pengar för att hålla systemen säkra.

Det är inte en ovanlig historia, men den illustrerar detta växande problem. Även i en tid av automatiska uppdateringar kan det vara en utmaning att hålla allting säkert. När du läser detta, har säkert någon av dina system just fått en ny patch som rättar ett allvarligt säkerhetshål. Så sluta läsa och börja patcha!

13 januari, 2019

Zero Trust Network

I veckans avsnitt pratar vi om Zero Trust Network eller Zero Trust Architecture (blog från Palo Alto sammanfattar väldigt bra här) och Erik får äntligen utrymme igen att glänsa efter två avsnitt där vi lyssnat eller inte nördat ned oss tillräckligt.

Enligt 90-tals designen, som så många tyvärr hänger kvar i, bygger man upp ett nätverk, så kallat DMZ, och placerar sina servrar i. De som ska exponeras mot internet går via en brandvägg som öppnar på port och IP-adressnivå:

Den nya designen, Zero Trust Network togs fram av John Kindervag när han arbetade på Forrest Research Inc (men numera arbetar på Palo Alto) och går ut på att alla nätverk är fientliga.

Erik reder ut sina tankar i designen och bland annat tar upp en fempunktlista (varför känns en sjupunktslista säkrare på nåt vis? Nåt med sagor tror jag. Nåja. Fem är det i alla fall!) som förtjänas att förtydligas här eftersom jag avbryter och flikar in om annat:

  1. Oavsett nätverk ska det alltid ses som fientligt
  2. Interna och externa hot mot nätverket pågår hela tiden
  3. Nätverkets placering är inte gott nog som skydd och räcker inte som anledning att lita på det (se första punkten)
  4. Varje enhet, användare och nätverk måste autentiseras och auktoriseras (har man svårt att veta skillnad kan man lyssna och höra den förträffliga jämförelsen med en nattklubb och tillträde till den).
  5. Policys och regelverk måste vara dynamiska och beräknade från så många källor som möjligt (här blir det rörigt – lyssna i avsnittet för detaljer)
Scroll to top