Det senaste dygnet har jag sett två social engineering attacker som båda använder sig av ett en webbadress faktiskt står på det stället man väntar sig, men att innehållet som sedan levereras kommer från angriparen.

Det första, lite mindre nytt, är ett exempel på hur man med social engineering kan utnyttja en XSS-sårbarhet för att få ett skal hos den man angriper. Genom att skicka en reflected-länk lurar man på användaren en java applet från en “pålitlig” sida.

Den andra är det Michal Zalewski som visar hur en användare som går till din sida kan skickas till get.adobe.com, och sedan levereras en flash_updater11.exe som kommer från din site.

Båda de här attackerna är närmare specialiseringar av metoder som redan fungerar på majoriteten av användare. De flesta behöver inte se en fullt korrekt länk till det betrodda stället för att ändå klicka sig vidare och köra all kod som kommer deras väg. Men båda de här attackerna har en bättre chans att fungera på de som ändå kollar lite grann. Kanske på de som har fått råd på vad de ska klicka och inte klicka på för länkar…

Och återigen så syns mönstret. Säkerhetsexperterna kommer med ett råd, som sedan angriparsidan använder till sin egen fördel. Det haussas om antivirus – så då säljs det “antivirus” och diverse antivirusvarningar dyker upp i bannerform. Det haussas om uppdateringar av flash – så då använder sig malwarefolket av du-måste-uppdatera-flash-för-att-se-den-coola-videon.

Allt det här går in i min kampanj Stop hogging the end user! som jag startade i oktober förra året, efter att ha upptäckts MSB:s datorstödda informationssäkerhetsutbildning för användare. Trogna läsare känner igen sig i temat att trasha MSB för att de inte prioriterar riskerna.

Användare ska inte behöva läsa och förstå en tjock bok med “regler” som dessutom sällan stämmer. När råden som ges titt som tätt inte håller måttet så gör användaren rätt i att strunta i det.

Ytterligare känga delar jag nu också ut till PTS, som har lagt upp råd om att ansluta trådlöst på stan. Det är för komplicerade råd, användare förstår inte vad som står där. Den vanlige användaren har ingen bedömningsgrund för om deras brandvägg är “uppdaterad och rätt inställd”, lika lite som de har en bedömningsgrund för om deras antivirusprogram är “uppdaterat och rätt inställt”.

Oftast är det bästa rådet att helt enkelt ge upp. Det är för krångligt och inte värt ansträngningen. Tänk risk istället för sårbarhet. Och precis rådet att se till risken har även Sean från F-Secure gett i samband med Flame/Skywiper.

Så… chilla lite och fundera igenom det här: vilka fem råd vill du ge den vanliga användaren, som den dessutom kan genomföra utan besvär? Vad gör störst skillnad för minst insats för någon som tror att man startar Internet genom att trycka på det blå E:et?

Ingen kan väl vid det här laget ha undgått det stora haveriet hos Tieto. Det har påverkat mångas vardagsliv när system för instanser som apoteken (alla) och bilprovningen plötsligt får stora problem som i sin tur som propagerar ut sig till slutkunderna.

Olikt för mig så har jag hittills varit rätt tyst om det, för mig har det här inte varit några nyheter och jag har ställt mig vid sidan av för att se på spektaklet och vad omvärlden kommer fram till. Men efter dagens artikel i DN kan jag bara inte hålla mig längre från att säga någonting.

Flera parter har i samband med haveriet börjat skriva om att MSB nu utreder haveriet som om det vore något förmildrande. För läsare kan det också tyckas att “å så bra att någon gör något!”. Låt mig då framföra en motsatt spekulation i den frågan. Att MSB utreder det här kommer resultera i … ingenting. Inget nytt kommer komma fram. MSBs rekommendationer före incidenten kommer vara exakt de samma som efter. MSBs krav på myndigheter likaså. Vad utredningen kommer säga är att det är viktigt att tänka på riskerna när man lägger ut sin data, vilket (you guessed it) inte är några nyheter!

MSBs stora problem är nämligen att de inte når ut i verkligheten. Jag har skrivit om det tidigare, och kommer sannolikt få skriva om det igen eftersom man från myndighetshåll visat sig tvärdöva för den kritiken. Mitt favoritexempel på det är från i somras då Fredrik Sand och Patrik Fältström i en debatt gång på gång berättar att nuvarande arbete inte når ut, nuvarande krav inte följs och på mottagarsidan i den debatten sitter Marita Ljung från näringsdepartementet och Richard Oehme, chef för enheten för samhällets informationssäkerhet. Ifall ni inte vill se hela, kolla från 29 minuter in och framåt (särskilt 53.30 in är också intressant). Från myndighetssidan bemöts inte det här misslyckandet med annat än en attityd av att “jaja, det tar ju tid” och “det måste varje myndighet följa, det är inte upp till oss”, men avsaknaden av handling är påtaglig.

Istället kan skönjas en förnekelse av att det ens finns några problem. Exempel: I sammanhanget att säkerhetsarbetet bland myndigheterna är en stor soppa med alldeles för många kockar som har oklara uppgifter, säger Marita bland annat att “Det viktiga är väl att vi upptäcker de hot som finns och kan identifiera de hot som finns”. Jag håller inte med. Det viktiga är att riskerna identifieras, riskerna omhändertas, att det vidtas åtgärder och att det finns uppföljning. Det hela är mycket symtomatiskt för hur långt efter myndigheterna ligger i det här tänket. Att känna till hot som man varken värderar eller agerar på är … inte särskilt mycket värt.

Och sedan konferensen i somras har MSB fortsatt i sitt spår att skriva dokument som är enkla att förkasta eftersom de är fortsatt verklighetsfrämmande och inte gör vad som behövs för att de ska vara underlättande för säkerhetsarbetet. Jag har framfört mina synpunkter om vad jag anser skulle underlätta, men håller inte andan för att de omhändertas, just med tanke på MSBs historik av att gräva ner sig i sin position och vara döva för synpunkter utifrån.

Och det är tyvärr i allt det här problemet ligger. Från departements och styrningshåll tycker man att allt är bra – trots att det uppenbart saknas åtgärder, trots att det uppenbart saknas uppföljning, trots att det uppenbart saknas konsekvenser för ledningen som inte omhändertar de risker som finns.

Som medborgare är jag inte alls nöjd över hur informationssäkerhetsarbetet bland svenska myndigheter bedrivs.

För det privata så anser jag som tidigare att det skall sköta sig självt. Om ett företag vill ta riskfyllda beslut skall det vara fritt fram att göra det. Men myndigheter måste ha en gräns för hur oförsiktiga de får vara, det måste finnas krav för hur man ska bygga samhällskritiska system och jag vet inte hur mycket det behöver fumlas bland myndigheterna innan det framstår som självklart.

Till MSB: jag vet att ni läser, och jag skulle bli glad om ni visar att jag har missuppfattat situationen. Kom fram och kommunicera!

DigitalBond har uppmärksammat ett ärende hos ICS-CERT, där en tillverkare av ett industrisystem har sagt att de inte tänker åtgärda en sårbarhet trots att det finns en färdig exploit för att köra kod.

Jaha, och vad gör man då om man nu sitter med nyköpta grejer som man budgeterat skall hålla i 15 år? Verkar ju uppenbarligen som att man får leva med sårbarheten i 15 år också då. Vad än värre – att de fortsätter sälja produkten utan någon som helst information om sårbarheten.

Läsarfrågan: Tycker du att det är ok att vi i Sverige köper in och installerar sådan utrustning i samhällskritisk infrastruktur?

Om inte så kanske du som jag tycker att det ligger på MSB att använda sitt bemyndigande enligt 2006:942, 34 §, och kräva att så inte sker.

När man arbetar på den defensiva sidan av säkerhet upptäcker man att det inte bara är sårbarheterna som räknas. Faktum är att sårbarheterna spelar en ganska liten roll, så länge sannolikheten att de utnyttjas är låg och konsekvenserna ocks…

Den löst sammansatta gruppen “Anonymous”, som tidigare tagit på sig ansvaret för en mängd IT-angrepp, har nu börjat intressera sig för industrikontrollsystem. Det säger en bulletin från ICS-CERT, en del av DHS (Department of Homeland Security, …

Ni kommer väl ihåg mitt blogginlägg om att halkrisken är fortsatt stor på grund av ekonomin?Idag har MSB tagit i frågan och meddelat att de kommer göra en utredning.Från en artikel i DN:Jan Schyllander säger dock att sjukvårdskostnaderna för…

Har precis sett på en videosnutt från Folk och Försvar. En kommentar från Richard Oehme, chef på MSB för enheten samhällets informationssäkerhet, fick mig att gå i taket. Det gällde incidenten i Motala innan jul, då ett bostadsbolags Styr-Re…

Idag har Myndigheten för Samhällsskydd och Beredskap publicerat nya dokument. Dokumentnamnen är:Fastställa säkerhetsåtgärderUtforma policy och styrande dokumentUtforma säkerhetsprocesserBeslut 2aBeslut 2bÖvergripande utforma LISHar du synpunk…