Bitcoin – att spåra eller att icke spåra

Skriv en kommentar
17 mars 2014 23:05

Ett litet annorlunda inlägg idag – mera som en förfrågan om möjligheten att spåra Bitcoin transaktioner till er som är fördjupade i Bitcoinprotokollet.

För några månader sedan skulle jag hålla en föreläsning så jag forskade lite kring hur anonyma Bitcoin transaktioner egentligen var. Mycket av den akademiska diskussionen pekade på att ”default” Bitcoin transaktioner inte alls var särskilt ”anonyma”.

Sammanfattat:

  • Bitcoin är uppbyggt för att alla ska kunna bekräfta tidigare transaktioner (genom blockchain)
  • De flesta online plånbokstjänster och exchangers begär någon typ av bekräftelse på användarnas identitet
  • Det är därför inte alltför lätt att köpa/sälja Bitcoins helt anonymt (dvs. på ett sätt som inte kan härledas tillbaka till en fysisk person)
  • Anonymiteten bakom transaktionen är kopplat till Bitcoin adressens anonymitet (kan adressen knytas till en fysisk person så är det kört)
  • Det börjar nu finnas verktyg för att enklare spåra transaktioner till olika adresser (t.ex. http://www.quantabytes.com/)
  • Det finns flera sätt att försvåra spårningen av en transaktion (t.ex. bitcoin mixers, en adress per transaktion, molntjänster, TOR) men det är oklart i vilken omfattning dessa används
  • Mixers verkar ha en dålig omsättning i dagsläget, vilket gör det ganska lätt att spåra transaktioner som går genom dem (http://miki.it/pdf/thesis.pdf)
  • Skuggadresser (a.k.a. shadow addresses som ofta skapas när det överblivna värdet av en transaktion ska föras tillbaka till avsändaren) kan användas vid spårning av någon (http://miki.it/pdf/thesis.pdf)
  • Det finns försök för att göra Bitcoin mer anonymt (t.ex. Zerocoin)

Om man ser på detta från polisens perspektiv, som vill hitta en person som har skickat eller tagit emot BTC så verkar det finnas några intressanta alternativ.För att spåra en person som gjorde/tog emot en transaktion via en särskild adress kan polisen:

  • Undersöka om adressen användes av en molntjänst (typ online plånbokstjänst eller exchanger) och sedan begära ut information om personen bakom transaktionen. (Här borde polisen även kunna få tag på handlingarna som användes för att bekräfta identiteten på personen när användarkontot skapades)
  • Försöka få ut användarens IP adressuppgifter från molntjänsten
  • Försöka hitta tidigare transaktioner kopplade till adressen och använda sig av punkt 1 och 2 för att identifiera personen bakom den
  • Söka öppna källor för att se om adressen har använts i något annat sammanhang där man kan hitta andra uppgifter som kan knytas till överföraren – t.ex. epostadress

Men det verkar finnas ett till alternativ som inte verkar vara särskilt väl utforskat. När en Bitconklient vill föra över ett värde från en egen adress till en annan adress, så måste den rimligen informera (broadcast) denna transaktion till så många som möjligt så att transaktionen kan bekräftas av ”the miners”. Förutsatt att detta broadcast sker från en klient som inte använder en anonymiseringstjänst (som t.ex. TOR eller VPN) så borde avsändarens IP adress framgå från själva förfrågan och därigenom vara tillgänglig för alla miners (och andra nodes som råkar hålla utkik efter sådana sändningar). Om detta nu stämmer så verkar polisen ha två till sätt att identifiera personen bakom en Bitcoin transaktion:

  1. Begära ut IP adressen till den som skickade bekräftelseförfågan från olika mineres (Jag kan tänka mig att det inte är många miners som lagrar sådana uppgifter, men det borde ju finnas någon som polisen kan vända sig till…)
  2. Sätta upp en egen lyssningsnod som lagrar alla bekräftelseförfrågan (och därigenom kunna spåra ner en IP adress vid behov)

 

Detta är altså min teori och jag skulle bli väldigt glad om ni som kan mer om själva Bitcoinprotokollet kunde kommentera på den!

Incidentrapportering

Skriv en kommentar
7 februari 2013 20:46

Som jag nämnde i ett av mina allra första inlägg här så tycker jag att det där med incidentrapportering, det är goa grejer det! Nu verkar mina spekulationer vara på väg att uppfyllas.

För någon vecka sedan lyckades TechWeek  få tag på ett utkast till ett EU:s förslag om Cybersäkerhetsstrategi. I detta utkast sägs det att företag och myndigheter kommer att behöva rapportera incidenter av väsentlig betydelse (significant impact). Det blir intressant att se hur uttrycket kommer att översättas till verkligheten men det är absolut ett steg i rätt riktning. Inte bara för att det kommer att öka behovet av säkerhetskonsulter men också för att det kommer att tvinga organisationer att ta säkerhet på allvar. Artikeln citerar ett företag som är rädd för att deras aktiekurs kommer att falla om de råkar ut för en säkerhetsincident. Men det är väl lite det som är vitsen med det hela. Erbjuder man en tjänst där det är viktigt att säkra informationen så ska väl det vara en nyckelfaktor för företagets framgång (eller undergång).

Det kan mycket väl vara så att begreppet är tillräckligt luddigt och vagt för att bara kunna användas för riktigt stora incidenter som påverkar hela samhället. Men det är fortfarande en bra början. EU har ju påbörjat arbetet med att säkra kritisk infrastruktur och det här kan vara en väldigt viktig del i det arbetet också. Är det så att ett elverk i ett land inser att deras styrsystem är under attack och de är tvungna att rapportera detta så kan andra elverk få upp ögonen för incidenten och hindra att attacken eskalerar.

En annan aspekt är vart incidenten ska rapporteras. Ska det rapporteras till allmänheten eller bara till en CERT eller en myndighet som har sekretesskrav på sig och får bara använda uppgifterna för statistiska ändamål och för att hjälpa till att lösa problemet?

Artikeln pratar om en ”draft proposal” vilket innebär att det fortfarande är en lång väg innan principerna i förslaget förvandlas till EU lagstiftning och implementeras i medlemsländerna men jag tycker att det här (med undantag för EC3) är det bästa som kommit ur EU på ett bra tag och det blir spännande att se den fortsatta utvecklingen.

Windows 8 och Metro i företagsmiljöer

Skriv en kommentar
13 juni 2012 20:21

Antoine Leblond, chef för webbtjänster på Microsoft, gick nyligen ut och försökte lobba för hur bra Windows 8 kommer att vara för företag. Jag är inte lika optimistisk.

Jag förstår tanken bakom varför MS har skapat Metro. Surfplattor är informationsförmedlare där informationsinmatningen och redigeringsbehoven är begränsade. Därför väger användarvänligheten mer än precisionen i gränssnittet. Dvs. det är viktigare att komma igång snabbt och att effektivt ta till sig informationen än att skriva långa texter eller ändra i tabeller. Oavsätt vad man tycker om utseendet på Metro (jämfört med andra operativsystem) så verkar den i alla fall möta dessa krav.

Sen så har vi de traditionella skrivbordsoperativsystemen där precision är viktigt. Markören, musen, skärmen, m.m. har tillmötesgått detta behov under en lång tid. Surfplattornas ankomst har inte ändrat på det här behovet på något sätt.

Faktum är att företag behöver båda systemen. Det finns vissa som framför allt behöver ta till sig information och för dem passar surfplattan perfekt. För resten av hantlangarna (som implementerar alla beslut som surfplattenissarna kommit fram till) behövs en annan typ av verktyg. För dem funkar de traditionella operativsystemen med avancerade program mycket bättre.

Nu har MS försökt klämma in allting i ett operativsystem och försöker återigen få användarna att anpassa sig efter hur MS tycker att vi ska jobba – vad MS tycker blir lättare för oss (jfr. The Ribbon – hur jäkla mycket enklare är det egentligen?). Men de glömmer att medans det blir jättebra för vissa (de som kör på surfplatta) att Win8 defaultar till Metroläge så kommer andra att bli väldigt frustrerade av det (de som sitter med en PC eller bärbar).

Ett annat problem är att MS verkar ha glömt att det var surfplattenissarna som krävde införandet av surfplattor på jobbet till att börja med. Men de ville egentligen inte ha ”surfplattor”, de ville ha iPads. Vist, nu kan de få en Windowsplatta som är fullt integrerad i företagsinfrastrukturen men snygghetsfaktorn och hippfaktorn uteblir. Kontentan: cheferna m.m., vars jobb verkligen kan effektiviseras av surfplattor, kommer att vara sura för att de sitter där med en sunkig Metroplatta istället för en iPad.

Som jag redan nämnde kommer resten av fotfolket avsky Win8 för att den tvingar på dem Metro – något som de inte kommer att ha någon användning för.

De enda som förmodligen blir glada är teknikerna som slipper administrera och underhålla olika operativsystem i en Windowsbaserad infrastruktur. Men i övrig känns det som alla andra kommer att bli lagom missnöjda.

Som det kanske märks är jag inte särskilt optimistisk till att Windows 8 (såsom det ser ut idag) blir en stor succe bland företagen. Men det blir inte första gången som MS försöker få oss att anpassa vårt beteende och arbetssätt till vad de tycker blir bättre – så vi får väl se om de lyckas…

Säkerhetsluckor upptäckta i chipp – vad gör vi nu?

Skriv en kommentar
31 maj 2012 20:03

Vad blir konsekvensen av att man nu bekräftat att det finns säkerhetsluckor i integrerade kretsar?

Kommer ni ihåg Southpark The Movie? Kommer ni ihåg hur Cartman fick ett V-chip installerat i huvudet som gav honom elstötar varje gång han svor? För er som viste vad ett V-chip var även innan filmen låter kanske även ”clipper chip” bekant. Ni vet, chippet som skulle installeras i alla telefoner och modem för att kryptera telekommunikationen och öka säkerheten.  Fast NSA skulle ha en supernyckel för att kunna lyssna in på all kommunikation.

Varför dra upp alla dessa fina minnen? Jo, för nu har vi äntligen fått (offentlig) bekräftelse på att det finns integrerade kretsar med bakdörrar som öppnar upp för regeringar att hålla på med sattyg.  

Några forskare hittade en säkerhetslucka i själva kiseln av ett Actel/Microsemi ProASIC3 chipp som marknadsförs som ett chipp som ”erbjuder en av den högsta designsäkerhetsnivån inom industrin”. De lyckades ta sig runt säkerhetsspärrarna och analysera trojanens dolda funktioner. Dessa inkluderade bl.a. möjligheten att stänga av alla säkerhetsfunktioner på chippet, att programmera om kryptonycklarna, att ändra lågnivåfunktioner i chippet och att permanent sabotera chippet. Genom att utnyttja de dolda funktionerna kan även nya trojaner med ytterligare funktioner skapas i chippet. Enligt QVL är bakdörren så djupt inbakat i chippet att den inte kan stängas med patchar eller uppgraderingar. Det är bara att acceptera att all utrustning som använder samma familj av chipp har äventyrats.

Vist är det lite kul att vi nu gått full cirkel tillbaka till Clipper-chippet? Det chippet kritiserades för att om NSAs supernycklar äventyrats så skulle alla kunna avlyssna de krypterade samtalen. Situationen är detsamma för chippen som omfattades av den nuvarande forskningen. Det spelar egentligen ingen roll vem det var som skapade bakdörren ursprungligen. Nu kan alla använda sig av den (nåja, i alla fall de som kan hitta nyckeln som skyddar de dolda funktionerna).

Det jag tycker blir spännande är att se om vi nu blir tvungna att tänka om vissa grundläggande principer rörande IT säkerhet. Med QVLs upptäckt kan det bli helt betydelselöst vilken typ av kryptering vi använder i WiFi-n eller VPN-n eller vilka manicker vi sätter upp för att filtrera flödet mellan företagsnätverket och internet. Byggstenen som hela IT-samhällets säkerhet bygger på har nu visat sig vara en tidinställd bomb – vad gör vi nu?
 

Kriminalisering av hackerverktyg

Skriv en kommentar
11 april 2012 22:04

Jag förstår inte varför ett pressmeddelande från Europaparlament om att dataintrång ska kriminaliseras i EU lyckades väcka rabalder. Wired lyckades t.ex. publicera en skräckinjagande populistisk artikel om ämnet utan något som helst sakligt innehåll. Detta beror egentligen på att pressmeddelandet inte innehöll något mer än allmänna uttalanden om saker som redan är reglerade i stor utsträckning.

Men vist är det lätt att fantasin far iväg när man läser att ett utkast till en lag ska kriminalisera innehav av ”hacking tools”, eller för att citera meddelandet:

The proposal also targets tools used to commit offences: the production or sale of devices such as computer programs designed for cyber-attacks, or which find a computer password by which an information system can be accessed, would constitute criminal offences.

Och det var det här som fick Ryan Singel på Wired och alla som kommenterade hans artikel att börja fantisera vilt om vad som komma skall.

Jag (liksom resten av allmänheten som inte har tillgång till utkast till lagförslag från EU) har inte läst utkastet till lagförslaget, men tänkte dra analogier till existerande regler för att exemplifiera varför nyhetsvärdet av just kriminalisering av hackerverktyg är lika med noll.

 

Internationellt

Faktum är att redan för tio år sedan var våra politiker igång med att kriminalisera hackerverktyg genom Europarådets konvention om IT-relaterad brottslighet. Konventionens sjätte artikel handlar om missbruk av apparatur (det finns ingen officiell svensk översättning av konventionen så den följer här på engelska):

Article 6 – Misuse of devices

1 Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right:

a) the production, sale, procurement for use, import, distribution or otherwise making available of:

i. a device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with Articles 2 through 5;

ii. a computer password, access code, or similar data by which the whole or any part of a computer system is capable of being accessed, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5; and

b) the possession of an item referred to in paragraphs a.i or ii above, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5. A Party may require by law that a number of such items be possessed before criminal liability attaches.

Ja, där har ni det. Politikerna och experterna var överens om att det ska vara förbjudet med apparater inklusive datorprogram som kan begå dataintrång, avlyssning och allt annat som förbjuds av konventionen. Det är väl ungefär så som Europaparlamentets pressmeddelande beskriver läget och det är så här Wired och deras läsare uppfattar lägen när de börjar hoppa upp och ner.

Fast som alla andra huvudregler i juridiken så har även denna regel några undantag. Och de lyder så här:

 2 This article shall not be interpreted as imposing criminal liability where the production, sale, procurement for use, import, distribution or otherwise making available or possession referred to in paragraph 1 of this article is not for the purpose of committing an offence established in accordance with Articles 2 through 5 of this Convention, such as for the authorised testing or protection of a computer system.

Detta är varför det inte finns något anledning oroa sig för det som står i pressmeddelandet om kriminalisering av hackerverktyg.  Lagstiftaren insåg redan för tio år sedan att det fanns ett legitimt användningsområde för hackerverktyg. Därför krävdes det brottsligt uppsåt/avsikt för att innehav, hantering, tillverkning osv av hackerverktyg skulle anses vara olagligt.

 (De som är lite uppmärksamma har märkt att jag inte nämner den sista punkten i artikeln som i viss mån låter länder göra undantag från vissa delar av artikeln. Fast eftersom Sverige inte hade några reservationer vid underskriften av konventionen så var tanken att vi skulle implementera den i sin helhet.)

 

I EU

Mitt andra exempel rör sig om ett tvingande EU rambeslut från samma era (2001) som alla EU länder var skyldiga att implementera senast den andra juni 2003. Rambeslutet i fråga är Rådets rambeslut om bekämpning av bedrägeri och förfalskning som rör andra betalningsmedel än kontanter.

Artikel 4 i rambeslutet behandlar brottslighet i samband med särskilt anpassad programvara. Där står det följande:

Varje medlemsstat skall vidta nödvändiga åtgärder för att säkerställa att följande handlingar är straffbara när de är uppsåtliga:

Bedräglig tillverkning, mottagande, anskaffande, försäljning eller överlämnande till annan person eller innehav av

– redskap, föremål, datorprogram och alla andra instrument som är särskilt avsedda för att föröva något av de brott som avses i artikel 2 b,
– datorprogram som är avsedda för att begå något av de brott som avses i artikel 3.

Artikel 3 i sin tur beskriver datorrelaterade brott rörande transaktioner av pengar. Jag kan nämna här att den praktiska omfattningen av dessa artiklar är inte alls är särskilt vid men min poäng är att här har vi en till bestämmelse som förbjuder innehav och hantering av vissa typer av hackerverktyg. Men observera att även här är hantering av dessa program bara förbjudet om det föreligger ett bedrägligt motiv/uppsåt. Så återigen har våra ‘säkerhetsforskare’ inget att oroa sig för.

 

Tillbaka i Sverige

Hur ser det ut i den svenska lagstiftningen då? Jag kan börja med att säga att Sverige har skrivit under men inte ratificerat Europarådets konvention. År 2005 presenterades ett promemoria (DS. 2005:6) på uppdrag av Justitiedepartementet vars slutsats var att vi skulle ratificera konventionen. Men så gjorde vi alltså inte. (Anledningen till detta är nog att de svenska lagarna redan då täckte stora delar av brotten som omfattas av konventionen och att EU började samtidigt med olika harmoniseringsinitiativ som ändå täckte stora delar av konventionens bestämmelser.)

Detta innebär inte att Sverige inte har implementerat de ovan nämnda bestämmelserna om att kriminalisera innehav och användning av hackerverktyg. Promemorian jag nämnde tidigare tydliggör att brottsbalkens bestämmelser om förberedelse och stämpling till brott även täcker befattning av olika hjälpmedel, inklusive programvaror, som är särskilt anpassade för att begå IT-relaterade brott (promemorian nämner datavirus som exempel). Självklart innehåller även den svenska lagen, i form av brottsbalken, ett krav på att uppsåt att utföra eller främja brott ska föreligga för att det ska vara olagligt att befatta sig med hackerverktyg. Inte nog med det, för att förberedelse för dataintrång ska vara straffbart (dvs. tillverkning, hantering, försäljning m.m. av hackerverktyg) krävs det att brottet inte hade varit ringa hade det förverkligats. (För er som är intresserade kan ni kolla upp brottsbalken kapitel 4 paragraf 9c och 10 om dataintrång samt kapitel 23 paragraf 2 om förberedelse.)

 

Jaha, och?

Kontentan av det hela är att den globala experitsen och lagstiftarna insåg redan för tio år sedan att de måste göra undantag för ‘hederlig’ användning av hackerverktyg. Detta har inte förändrats på något sätt utan tvärt om så har det blivit ännu viktigare med forskning kring IT-säkerhet och IT-relaterad brottslighet. Konceptet att kriminalisera hackerverktyg som är avsedda att användas för brott är i viss utsträckning redan implementerat i alla EU länder och stora delar av västvärlden. Varför skulle EU nu helt plötsligt kriminalisera innehav av dessa verktyg som krävs för forskning och annat legitimt ändamål? Jag har mina förutfattade meningar kring ‘experter’ på olika departement och politiker, men inte ens de är dumma nog att förstöra en hel industri på det sättet.

Om det är något man kan bli förbannad på är själva pressmeddelandet från Bryssel som hör hemma på en kvällstidnings löpsedel. Läser man bara pressmeddelandet så låter det som utkastet till laget innehåller något nytt. Så är alltså fallet inte. Det som sannolikt kommer hända är att EU kommer att använda de nya lagstiftningsverktygen som tillkom genom Lissabonfördraget för att tvinga EU länderna att harmonisera/anpassa sina lagar till principerna som alla var överens om redan för tio år sedan. Tyvärr tror jag att de som ser det här som ännu ett steg mot 1984 kommer att bli lagom besvikna (fast det förutsätter att de läser mer än bara löpsedlar).

 

Bonus – för att juridik är inte alltid tråkigt

För den stakars saten som läst så här långt har jag ett litet bonus i form av ett exempel på hur fel det kan bli vid översättningar. Europarådets konvention har ingen officiell svensk översättning (så vitt jag vet). Men promemorian jag nämnde innehåller en preliminär översättning. Här är originaltexten på engelska och den preliminära svenska översättningen:

i) a device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with Articles 2 through 5;

i) en apparat vari ingår ett datorprogram som är skapat eller anpassat främst för att begå något av de brott som straffbeläggs i enlighet med artiklarna 2-5,

Tankar kring BYOD

3 kommentarer
15 november 2011 22:36

Konceptet ”bring your own device” började bre ut sig på riktigt med lanseringen av iPad-en. Det är väldigt intressant att analysera varför just denna pryl blev så revolutionerande för (framför alt) män i ledande ställningar, men något som alla kan enas om är att Paddan skapade fruktansvärd huvudvärk för IT-enheter över hela världen.

Mycket har sagts kring varför egna surfplattor och smarta telefoner är ett hot för organisationens säkerhet och mycket av detta är ganska uppenbart. På sina håll lyckades IT-avdelningar få någorlunda koll på den nya fetischismen genom att konfigurera/säkra enheter som organisationen köpt in åt användarna. Problemet med denna lösning är att det inte är det användarna vill ha. Användarna vill använda samma pryl för privata och jobbrelaterade ändamål. Däri ligger problemet – hur säkrar man företagsdata på en enhet som är så osäker som den bara kan bli?

Jag önskar att jag hade svaret på denna fråga, men jag tror mig i alla fall ha hittat några av principerna. <disclaimer>Jag hävdar inte att jag har kommit på dessa koncept själv utan det här är de olika principerna som jag läst mig till som jag tror kan få en BYOD implementering att funka</disclaimer>

Det första och kanske mest uppenbara är att man måste skapa en säker miljö och utrymme på enheten. Detta kan lämpligen skapas genom en app som självfallet krypterar allt som den lagrar på enheten. Den ska också använda en sandlådeprincip där den försöker hålla sig borta från operativsystemet så mycket som möjligt. Ett eget interface (färgkoder, inloggningsfönster som dyker upp på olika ställen vid varje inloggning, osv) för inloggning kan, t.ex. komma en lång väg för att ”lura” vanliga key-loggers. Appen ska casha så lite som möjligt på själva enheten och istället jobba mot företagsinfrastrukturen. Uppkopplingen måste självklart ske på ett säkert sätt.

Och då har vi kommit fram till den nästa svåra biten. En av anledningarna varför folk vill använda sina privata prylar för jobbändamål är att de har ett busenkelt användargränssnitt. Om appens användargränssnitt inte håller samma nivå av användarvänlighet som de inbyggda funktionerna på enheten kommer ingen att använda den och då är vi tillbaka till ruta ett – användaren kommer att hitta alternativa lösningar för att komma åt företagsdata. Det är just därför virtualiseringslösningar inte funkar för t.ex. surfplattor. De erbjuder jättebra säkerhet, men att använda ett skrivbordsgränssnitt anpassat för datormöss som interface till pekplattor är hopplöst.  Särskilt för användare som vill ha surfplattor just för att de är så enkla att använda.

Lösningen är därmed ett användarvänligt gränssnitt. En användarvänlig mail-klient, kalender, adressbok, dokumenthanterare osv (och självfallet, vid behov gränssnitt till andra företagsprogram). Poängen är att användarna vill ha surfplattor/smart mobiler för att de är enkla och smidiga.  Om de hade varit ute efter säkerhet hade de valt andra lösningar. Slutsatsen är att säkra men oanvändbara appar/lösningar kommer att förbli oanvända.

Den tredje principen som organisationer bör börja använda är informationsklassificering. Det finns massor av olika modeller för hur organisationer kan gå igenom och klassificera sina tillgångar i form av data och information. Om organisationen går igenom en sådan process så blir det väldigt mycket enklare att skapa grupper och policys och styra tekniskt vilken typ av data som får användas var.

Det kräver engagemang från ledningen, beslut, planering, tid och resurser men om ledningen verkligen vill kunna använda sina privata handhållna prylar så går det faktiskt att fixa till det. Fördelen är också att har man väl gjort en informationsklassificering kan det visa sig att organisationen kan uppnå lämplig säkerhet genom vissa ganska enkla restriktioner och inte alls behöver en den säkra appen jag nämnde tidigare. Till exempel, det kan vara helt OK att synka kalenderns rubriker och adressboken med alla typer av privata mobila enheter. Det kanske också är OK att synka rubrikerna i e-posten till de anställdas privata telefoner/surfplattor/datorer. Har man ett system för att klassificera dokument kan man också fixa till det så att vissa dokument kan nås från privata enheter och andra inte. Organisationer med högre säkerhetsbehov kan kombinera detta med den säkra appen jag pratade om. Så att när användaren ser att han/hon fått mailet han/hon väntat på i den gemensamma/publika mailboxen i telefonen kan han/hon logga in i den säkra appen och läsa hela mailet.

Att genomföra informationsklassificering på en organisation är ingen lätt sak att göra och jag har fortfarande inte sätt någon app som har funktionerna jag nämnde. Men nu har principerna kring hur man kan implementera BYOD i en organisation börjat klarna, i alla fall i min lilla hjärna.

Sprutande bankomater och insulinpumpar

5 kommentarer
5 november 2011 21:42

Bankomater har varit svarta hål för mig. Inte för att de slukar pengar, utan för att de har legat utanför min säkerhetsradar. I och för sig använder jag flitigt exemplet hur bankomaterna i Tyskland råkade ut för en post-y2k bugg under nyårsskiftet 2006-2007 nästan samtidigt som en djävulusisk storm drog in över Tyskland men jag har aldrig riktigt stött på pen-tester av bankomater.

Barnaby Jack verkar vara en av dem som forskat ordentligt kring bankomatsäkerhet. Hans tal som skulle hållas på Black Hat konferensen 2009 blev inställd eftersom bankomatleverantörerna inte kunde täppa till hålen som han upptäckt. Året därpå visade han däremot upp sin rootkit som kunde få tillgång till administratörers lösenord och PIN koder på bankomater men även kunde få bankomater att spruta ut pengar.

En rootkit för bankomater? Ja, varför inte? De har ju direktuppkoppling till Internet (eller telefonlina) så att hitta dem kan ju inte vara så där jättekomplicerat. Enligt Jack funkar war-dialing (och dess IP baserade motsvarighet) suveränt. Och om det funkar med rootkits så måste det ju finnas en stand-alone dator i själva bankomaten som man kan leka med.

Fast det typiska är att detta är ett klassiskt exempel på hur det alltid är den svagaste länken som fallerar. Hela säkerhetstänket kring bankomater koncentrerar sig på fysisk säkerhet. Det verkar vara väldigt svårt att fysiskt rubba på en bankomat. Samtidigt så finns det en mekanism som sprutar färg på sedlarna, för att markera dem som stulna, om någon försöker bryta sig in i en bankomat. Jag kan tänka mig att många ingenjörer hade det väldigt kul när de designade de fysiska säkerhetsaspekterna kring bankomater. Men de verkar absolut inte ha lagt ner lika mycket krut på att säkra uppkopplingen som råkar gå genom Internet.

Jag blir alltid lika fascinerad när det kommer fram såna här uppgifter för att jag inte kan fatta hur företagen tänker i sådana lägen. Inser de verkligen inte att om deras produkt inte lever upp till de förväntade säkerhetskraven så kommer deras företag att gå omkull ganska omgående (se DigiNotar)?

För bankomater är säkerhetskravet uppenbart – utan en lämplig säkerhet skulle ingen använda sig utav dem (varken banker eller bankkunder). Problemet är att krav på säkerhet stannar inte vid uppenbara saker. Numera behöver företag säkerställa att alla sina produkter som kan kopplas ihop med något (särskilt om det rör sig om trådlösa uppkopplingar) är säkra. Och det räcker inte bara med att själva produkten är säker, även ihopkopplingen/uppkopplingen behöver vara säker.

Till exempel, vår vänn Barnaby Jack lyckades också hacka sig in i insulinpumpar som används på sjukhus. Numera kan han få alla insulinpumpar (från en leverantör) inom 100 meters avstånd att pumpa patienterna fulla av insulin utan att den sedvanliga varningssignalen om ökad dosering hörs. Men det riktigt sjuka är att kommunikationen mellan pumpen och dosseringsenheten är helt utan kryptering.

Åter igen ställer jag frågan, hur tusan tänkte dem? Nu råkade det vara en forskare som upptäckte säkerhetsbristerna och gjorde ingen skada på vägen. Men vad skulle hända med företaget om låt säga 10 personer dog för att någon (t.ex. en konkurrent eller ”terrorister”) upptäckte dessa fel? Vad skulle hända med företaget om en person dog på detta sätt? Ingen skulle köpa deras produkter längre för ingen skulle vilja associera sig med dem. Trots allt, det är oftast ryktet som ryker vid en säkerhetsinciden. Det gick bra för RSA att skicka ut nya USB dongles till sina kunder, men hur många kunder valde att se efter andra, säkra, lösningar?

Så, jag uppmanar alla som jobbar med produktutveckling (enginjörer, programmerare, alla) – snälla, ta det där med säkerhet på allvar. Era jobb kan hänga på det!

Kul med Siri

Skriv en kommentar
27 oktober 2011 18:18

Det första jag tänkte på när Apple officiellt lanserade Steve-phone och Siri var: hm… ett nytt (beta) program som verkar ha tillgång till hela operativsystemet och all härlig personlig information på telefonen – undrar hur länge vi behöver vänta innan härliga sploits dyker upp för det?!?

Nu har det ju visat sig att standardinställningen för Siri låter alla som har fysiskt tillgång till telefonen komma åt allt som Siri kommer åt, även när inloggningsfönstret är aktivt, vilket är ju inte så där jättebra. Men den inställningen kan de säkerhetsmedvetna ändra på. Det jag väntar på fortfarande är l33t h4x00rn som lyckas med att mata in en riktig buffer overflow genom att använda röstigenkänningen. Typ: ”Siri, new email to steve@apple.com. back slash x no space e nospace b no space back slash x no space one no space f no space back slash…osv”

Kanske lite överkurs men vist skulle det vara roligt?

En annan rolig grej som jag vill testa är om man kan krascha Siri genom att läsa upp Monty Pythons ”Philosopher’s song” riktigt snabbt.

Men seriöst talat läste ett inlägg någonstans för inte så länge sedan där en medlem i ett av de större jailbreak-teamen lyckades snacka lite med en Apple anställd som jobbar som iOS utvecklare på Defcon eller Black Hat (kommer inte ihåg). Utvecklarna kunde självklart inte gå in på detaljer men berättade öppet om hur det finns stora strukturella säkerhetshål i iOS som jailbreakgängen inte har identifierat ännu. Det visade sig att utvecklarna är under en sån stor tidspress att leverera nya funktionaliteter att de inte har tid att ta sig an säkerhetsproblemen. Lägger man ihop två och två (utvecklare under tidspress + nytt systemomfattande beta program) så blir det ganska uppenbart att Siri kommer att vara en attackvektor en lång tid framöver.

Facerape vs. fildelning

5 kommentarer
23 oktober 2011 21:05

När jag läste artikeln om att det finns tre specialiståklagare i Sverige dedikerade åt att jaga fildelare ställde jag mig frågan: varför är fildelning högre prioriterat än dataintrång?

Det pragmatiska svaret är, naturligtvis, att mycket mer lobbypengar läggs ner på att sätta dit fildelare än det läggs ner på att sätta dit hackare. Sen så finns det betydligt fler fildelare än hackare – eller?

I januari i år publicerade Datainspektionen en rapport om ungdomar och integritet. Rapporten grundar sig på en undersökning som omfattade 522 personer mellan 15 och 18 år gamla. För att citera rapporten

”Nära hälften av de som använder Facebook (vilket väldigt många gör) har blivit utsatt för en s.k. ”facerape”. Detta innebär att Facebook-kontot kapas av någon annan som skriver roliga/taskiga saker.”

Om man översätter detta till juridiska så har mer än hälften av ungdomrna i Sverige utsatts för dataintrång. Hoppsan! Jag tolkar det här som att det finns en jääääkla massa ungdomar som håller på och hackar sig in i sina jämnårigas konton.

Varför ägnar sig inte lagens änglar åt att utreda dessa brott? Det kan väl inte vara så himla svårt för Facebook att vinna lite pluspoäng bland föräldrar och politiker genom att sätta upp en gemensam anmälningssida med polisen och att försöka hitta ungarna som tycker det är roligt att hacka konton. Eller?

Uppenbarligen sätter juridiken käppar i hjulet:

  • Under gällande lagstiftning får internetleverantörer, vid dataintrång, bara lämna ut abonnemangsuppgifter till polisen om polisen tror att brottet kan leda till ett fängelsestraff.
  • Med tanke på att vi har den s.k. ”ungdomsrabatten” lär en domstol aldrig skicka en underårig till fängelse oavsett hur många konton han/hon hackat. Så även om Facebook lämnade över IP adresser till polisen så skulle polisen aldrig kunna reda ut vem IP adressen tillhörde.
  • Sen har vi det här med att en företrädare för socialtjänsten ska närvara förhör med ungdomar som inte fyllt arton (om det är möjligt och det kan ske utan men för utredningen). Inte heller särskilt pragmatiskt i denna sammanhang.

M.a.o. i praktiken är det väldigt svårt för polisen att ens försöka utreda facerape även om det är uppenbart att det handlar om konkret dataintrång. Det har funnits ett antal försök att i alla fall förenkla punkt 1 ovan så att polisen kan få fram abonnemangsuppgifter utan kravet på sannolik fängelsestraff. Dessa försök har tyvärr varit knutna till datalagrinsdirektivet, och annat smått och gott  som fått allmänheten att explodera. Vilket är lite synd för nu kan polisen inte utreda brott som berör varannan svensk ungdom.

Som det är nu kan polisen inte ens vidta ”alternativa” åtgärder.  Egentligen tror jag att det som krävs är att skrämma ungdomen lite och uppmärksamma föräldrarna på vad ungarna håller på med. Jag tror att det hade varit avskräckande nog för allra flesta av dessa ”hackare” om polisen knackade på och hade en liten diskussion med dem och deras föräldrar om att det är olagligt (för att inte prata om omoraliskt) att hålla på och hacka andras konton. Men så som det ser ut idag, kan polisen inte ens göra detta. Och eftersom vi inte lär se lobbyorganisationer som kommer att kasta pengar på detta problem så får ungdomarna väl leva med att deras konton blir kapade lite då och då.

Incidentrapportering och vägen till bättre säkerhet

6 kommentarer
19 oktober 2011 23:46

Mycket har talats om hur EU direktivet som uppdaterar vissa frågor om kommunikationstjänster ställer nya krav på hur cookie filer får användas på webbsidor. Men väldigt lite har sagts om hur samma direktiv introducerade konceptet av incidentrapportering i EU sammanhang. Denna typ av rapporteringskrav kommer från USA där vissa stater ansåg att företag måste informera allmänheten om säkerhetsincidenter där personuppgifter äventyrats.

Det är tack vare sådana lagkrav i USA som Sony gick ut med information ganska snart efter att deras nätverk blev hackade och miljontals personuppgifter och kreditkortsnummer kom i orätta händer. Eftersom sådana rapporteringskrav inte finns i EU var det inte förvånansvärt att Holländska DigiNotar inte var måna om att berätta om omfattningen av säkerhetsincidenten som de råkade ut för.

Att rapporteringskrav av säkerhetsincidenter leder till bättre säkerhet är ganska uppenbart. Företag tycker i allmänhet inte om att behöva hålla presskonferenser om pinsamma incidenter. Om de var tvungna att göra så varje gång de blev hackade skulle de förmodligen ta säkerheten på större allvar och lägga ner mer pengar och resurser på att öka säkerheten. Resultatet – ökad skydd av företagshemligheter och personuppgifter.

Första steget till incidentrapportering togs, som sagt, i samma direktiv som ställde nya krav på hur cookie filer får användas av webbsidor. I dagsläget omfattar rapporteringsplikten i princip bara telefonoperatörer och internetleverantörer. I direktivets inledning talar man dock om hur viktigt det är att införa obligatoriska rapporteringskrav för alla tjänster som behandlar personuppgifter.

Om vi ser historiskt på den juridiska utvecklingen inom IT och särskilt inom området cyberbrottslighet så har det väldigt ofta rört sig om en reaktorisk process. En incident får lagstiftaren att reagera. Till exempel, inom en månad efter att information om Stuxnet viruset blev allmänt tillgängligt surrade väldigt många beslutsfattare i Bryssel om att man måste snabba upp arbetet med att säkra kritisk infrastruktur.

Förhoppningsvis kommer DigiNotar incidenten att snabba på processen i Bryssel så att rapporteringskravet av säkerhetsincidenter ökas ut inom en inte för avlägsen framtid.

Vi kan i alla fall alltid hoppas!

Gratis nyhetsbrev
Välj ett nyhetsbrev:
Weekly - Security -
Open Source Update





Please don't insert text in the box below!
Kontakta oss
Postadressen är:
TechWorld, Karlbergsvägen 77, 106 78 Stockholm

För prenumerationsärenden:
Logga in här eller ring 08-799 62 39.




Copyright © 1996-2013 International Data Group
Sök efter artiklar och produkter: