Artiklar om IT-säkerhet

9 januari, 2019

Skyddet som missas

Idag har man kommit så långt att skyddsstrategier för fysiskt skydd börjar bli vanliga, men det var länge en sak man inte riktigt tänkte på när man byggde säkerhetslösningar: hur skyddar men en dator från någon som fysiskt kan nå den?

Brandväggar, antivirus och patchlösningar är verkningslösa mot brottsligen som faktiskt kommer åt din maskin där den står på kontoret. För många år sedan var det enda du kunde göra var att låsa arbetsstation, så att den som vill komma åt den var tvungen att gissa ditt lösenord. Men den uppebara lösningen var att ta fram en skruvmejsel och skruva ur hårddisken. På några minuter kunde man sen koppla in den till sin egen dator och göra en bit-för-bit kopia av den med något program av typ Ghost eller Linux dd. Därefter satte du tillbaka hårddisken i datorn och startade upp den. Användaren kanske märkte att han inte längre var inloggad, men ryckte nog på axlarna åt det och jobbade vidare.

Men det är bara ett av hoten. När firewire var vanligt, kom det upp ett nytt hot. Eftersom firewire tillät direkt tillgång till datorns minne, kunde en person som kom åt datorn fysiskt, koppla in sin dator i offrets dator via firewire och ta över inloggningen. Detta fanns fungerande program för att göra med Windows XP. Man fick då upp en kommandotprompt som kördes som systemet självt utan att behöva logga in.

Men sen måste branschen ha dragit åt sig öronen. Heldiskkryptering blev vanligt. Windows Vista kom med Bitlocker och Linux hade tidigt egna lösningar för detta. Om du installerar Ubuntu idag är det en kryssruta man kryssar i för att kryptera disken. Heldiskkrypteringen gick från att vara någonting som användes för högsäkerhetsdatorer till att bli vanligt som mekanism för att skydda vanliga kontorsdatorer. Detta har gjort att det inte längre blir en katastrof att glömma sin dator på tågstationen eller flygplatsen. Det finns attacker som fungerar även mot heldiskkryptering, men det kommer även nya, bättre skydd mot dessa. Dock är det helt klart att man idag tar fysisk säkerhet för vanliga klientdatorer på allvar. Nu är det inte bara servrarna i datorhallarna som kan stå emot en person som lyckats ta sig in på kontoret. Det viktiga är dock att verkligen använda dessa mekanismer så att informationen inte lämnar kontoret under armen på en inbrottstjuv.

6 januari, 2019

Surfa Lugnt med Karin Nygårds

Är det ett problem när de traditionella lekarna så som ”Röda vita rosen” flyttas från skogen in bakom datorskärmen och kriget flyttar in i Fortnite?

Och hur ska man reagera som lärare/förälder när ett barn säger
”Det värsta är inte att få dåliga kommentarer. Det värsta är att inte få någon alls.”?

Karin som vi pratar med i veckans avsnitt  får mycket frågor om just detta.

Vi lämnar helt enkelt IT-säkerhetspoddens comfort zone, som är mer i det tekniska området, och pratar med Karin Nygårds, ordförande på Surfa Lugnt.

Karin Nygårds (lärare, författare och ordförande för Surfa Lugnt)

Karin pratar om att vårt samhälle består av så många val att för barn och vuxna så då är det naturligt att man ser på internet som någonting oroväckande.

Vidare pratar vi också om hur skolorna och lärarna arbetar kring ämnet och att de faktiskt har väldigt bra koll på vad ungdomarna gör på nätet. Rent generellt är lärarna den grupp som har mest koll på vad barn och ungdomar gör på nätet än till exempel föräldrar och gemene man.

Avslutningsvis resonerade vi också kring när Karins 8-åriga dotter vill köpa ett par stövlar i spelet Roblox av mormors julklappspengar.

4 januari, 2019

Säkerhetsåret 2018

I poddens avsnitt runt nyår sammanfattar vi ”säkerhetsåret 2018”. Ett mellanår enligt podden och där Ransomware och cryptocurrency mining software var deras år. Det sistnämnda låter besökare får bryta kryptovaluta för att kunna läsa artiklar. Givetvis översattes det till ont uppsåt!

Värt att betänka är att det tar nästan ett år från det att en dator blir hackad till dess det upptäcks.

I avsnittet går vi igenom de läckage av information som skett och rekommendation av sidan https://haveibeenpwned.com/ och hur man ska tänka ifall man finns med i en känd läcka.

Vi nuddar även AI, där Max Tegmarks sommarprat står i fokus eftersom det blev väldigt uppmärksammat. Men hur nära är vi egentligen generellt AI?

Utöver detta nördar vi ner oss i en hel del andra ämnen. Till exempel BankID, Assange, GDPR (bra start här) och andra ämnen där vi verkligen ser anledning att djupdyka oss kring under 2019.

28 december, 2018

Säkerheten genom tiderna

Det är märkligt att titta tillbaka på IT-säkerheten som den såg ut på 80- och 90-talet. Visst fanns Unix tidigt med sina fleranvändarsystem där användare hölls separerade så att de inte kunde påverka varandras data. Men om man tittar på de datorer som fanns på 80-talet, var majoriteten så kallade ”enanvändarsystem”. Vare sig du hade en PC, Amiga, Mac, Atari eller C64, kom du i princip rätt in i systemet när du startade det. Inga lösenord eller rättigheter överhuvudtaget. Gamla PC-datorer hade en nyckel som stängde av tangentbordet när den vreds om. Detta var det skydd som gavs för den som lämnade sin dator påslagen över lunchen på sitt jobb. Visst fanns det undantag från den regeln, men de flesta datorer hade ingen säkerhet att tala om.

Windows hade inget lösenordsskydd förrän Windows NT kom på 90-talet. Windows 95 hade ett lösenordsskydd så att man kunde ha olika användare med olika inställningar. Om du istället avbröt inloggningsrutan, kom du rakt in i systemet!

Där det faktiskt fanns skydd, var det oftast begränsat till just användarnamn och lösenord. Protokoll som FTP, telnet och SMTP gick i klartext. Vem som helst som avlyssnade trafiken såg lösenorden som användes.

Och många protokoll kunde lätt användas utan någon form av autentisering. Gamla Windows-versioner är mycket lätt att få ut data från även om du är anonym.

I slutet av 90-talet läste jag en artikel skriven av en man som hade kollat hur många som hade brandvägg på sin dator när de gav sig ut på Internet. Svaret var: inte många. På den tiden använde man uppringda förbindelser och kunde oftast komma undan med att inte ha brandvägg. Men det kom att ändras när bredbanden blev allt vanligare.

2000-talet förde inte enbart med sig IT-kraschen utan också ett plågsamt tillnyktrande vad det gäller säkerheten. I snabb följde fick vi Nimda, Code red och senare Blaster som tog ner illa skyddade servrar. Microsoft fick ta den mesta kritiken, men säkerheten över hela brädet var bristfällig.

Sedan mitten av 2000-talet har mekanismer byggts in till höger och vänster. Bättre skydd mot buffertöverskrivningar, nedlåsta behörigheter, inmatningsskydd, brandväggar och kryptering.

Säkerhet har inte enbart drivits av en villja att skydda användarna mot dataläckage, ändring av data eller att man förstör systemen. Det har även diskuterats allt mer om integritet. De flesta stora sajterna kom med tiden att slå på kryptering och de flesta moderna eller moderniserade protokoll både krypterar och skyddar mot otillåten tillgång.

För att summera: resan vi gjort från 80-talets totalt osäkra system fram till dagens hårt nedlåsta datorer är fascinerande.

23 december, 2018

De sju nycklarna

I veckans avsnitt intervjuar Anne-Marie Eklund Löwinder som rankas som en an Sveriges främsta säkerhetsexperter.

Anne-Marie Eklund Löwvinder, Säkerhetschef IIS

Jag blir imponerad av att vårt lilla land ligger bakom idén och framför allt spridning av tanken att göra DNS-världen (vilket i princip innebär internet) säkrare. För visst, internet skulle inte ”gå ner” ifall nyckelgenereringen misslyckades såsom det lite populistiskt kan beskrivas. Utan snarare skulle internet bli bra mycket osäkrare utan DNSSEC eftersom det vanliga DNS-systemet saknar signering av namnuppslag. I vanliga ord betyder detta man kan göra en ”man in the middle attack” och enkelt uppge sig för att vara den adress en besöker skriver in.

Tänk ifall du skriver adressen till din bank. Adressen visas och sidan ser precis ut som vanligt. Allt är gott? Nja… i ett osäkert namnsystem skulle en hackare kunna uppge sig för att vara adressen till banken som ägs av någon med illasinnat uppsåt.

Vill du läsa mer detaljer om tekniken kring DNS och DNSSEC kan jag rekommendera SUNETS Jörgen Städjes artiken här.

Efter vårt snack i IT-säkerhetspodden ville Anne-Marie också förtydliga hur redundansen fungerar i DNSSEC och så här säger hon ”Redundans skapas genom att vi har två separata sajter (identisk setup men geografiskt åtskilda). 
På varje sajt finns det två av allt – HSM:er, dator, kablar, boot-OS med mera. Ifall något skulle gå sönder.”

Alla ceremonier streamas och spelas in så det går att antingen följa nyckelceremonierna i realtid eller att titta på dem i efterhand. Se till att ha gott om popcorn!

I år rullades nyckelsigneringsnyckeln (KSN) för rotzonen för allra förstas gången. Tanken var att det skulle ha skett efter fem år men av olika skäl har
ICANN inte riktigt vågat ta steget förrän nu.”

16 december, 2018

Social ingenjörskonst

Vilken är den mest kraftfulla metoden för att hacka ett företag eller en organisation? Buffertöverskrivningar? SQL-injektioner? Cross site-skripting?

För mig finns det en attackmetod som ofta är kraftfullare än någon annan och som inte löses med teknisk IT-säkerhet och det är den metoden som på engelska kallas ”Social engineering”. Det översätts ofta med ”Social ingenjörskonst” och är läran om att helt enkelt lura sig in dit man vill. För att komma in använder man oftast inga tekniska metoder att attackera utan förlitar sig på att helt enkel utnyttja den mänskliga naturen. Det handlar om att manipulera folk att göra det du vill att de ska göra. Faktum är att det kan vara så enkelt som att följa med ett stort gäng som går in genom en dörr med kortläsare för att komma in utan att ha ett kort. Eller det kan handla om att tala sig till en nyckel från receptionen, så att man kan komma in där man vill.

För ett antal år sedan, när jag var helt ny i säkerhetsbranschen, var jag inbjuden till en middag hos mitt jobb. Det bjöds öl, vin, champagne och god mat. Platsen var mitt i stan och på väg dit funderade jag på hur långt en oinbjuden gäst kunde komma. Så jag bestämde mig för att vara just en sådan. Visst var jag inbjuden, men ingen i personalen visste det. Frågan var om jag kunde komma in utan att bevisa att jag hörde dit. Sagt och gjort, jag gick rakt in och svarade på frågor utan att någonsin ange annat än vilket företag jag tillhörde. Denna uppgift var relativt lätt att ta reda på, även för en utomstående, så hade jag inte hört dit hade jag fått ett gratis mål mat utan problem.  Sanningen och säga var detta trivialt att göra och det är rätt vanligt att så är fallet.

Det krävs inte ens en talang för det. Jag jobbade en gång för ett företag som råkade ut för en sådan attack. Jag erkänner direkt att de lurade mig också. När jag och mina vänner skulle gå och äta stod de utanför ett rum och pratade i mobilen. Det var två välklädda killar som pratade italienska. Vilket i sig är en smula märkligt, då vi inte hade några italienska kunder eller kontor. Men ingen av oss tänkte så mycket på det och när vi kom tillbaka var två datorer borta. Då ska det tilläggas att vi hade kortläsare för båda sidor av dörren. Man var tvungen att dra kort både för att ta sig in och ta sig ut. Detta hindrade dem inte för att lura alla skydd vi hade och de lyckades undvika att dra uppmärksamhet till sig trots att de egentligen borde ha upplevts som att de inte riktigt hörde dit.

Tricket för att lyckas med social ingenjörskonst är att aldrig kunna ifrågasättas. Genom att vara självsäker och någotsånär verka ha en roll. Det kan vara så enkelt som att låtsas vara vaktmästare, IT-reparatör eller byggjobbare. En enkel uniformsliknande utstyrsel och man smälter in. Resten sköter man genom att agera som ens blotta existens är helt självklar och att det inte finns något tvivel om att man ska ha de rättigheter man har eller begär.

Hur mycket man än spenderar på sina larm, brandväggar och rutiner kommer ofta attacker mot den mänskliga delen av organisationen att gå rakt igenom. Det är svårt att utbilda hundra eller tusentals medarbetare i att vara kritiska och observanta.

Dessutom kräver inte social ingenjörskonst någon djup teknisk kompetens. För mig är det helt klart att denna typ av attack troligen är den kraftfullaste du kan göra mot ett företag.

Intresserad av att syssla med det? Mitt råd är att hålla dig på den vita sidan så att säga. Att bereda sig tillgång till lokaler utan att ha där att göra är mycket ofta ett lagbrott. Även om du bara vill testa, är det fullt möjligt att hamna i domstol över det. Mitt tips är att du istället skaffar dig en karriär som social pentestare. Då får du betalt för att göra det och har dessutom kundens tillstånd.

Ett tips för den som vill förkovra sig är hackerlegenden Kevin Mitnicks bok ”the art of intrusion” som beskriver ett antal helt riktiga fall där folk lyckats lura till sig rättigheter eller saker de inte ska ha. En spännande resa in i det som inte bara är möjligt och också sant och har hänt.

Vi kommer troligen få anledning att gå in djupare på detta ämne i IT-säkerhetspodden.

12 december, 2018

Vi är igång

Nyhetssidan, bloggen eller artikelserien om IT-säkerhet som är knuten till podcasten IT-säkerhetspodden är igång. 

Scroll to top