Sedan den 8:e augusti i år har någon börjat läcka data från ett intrång hos Webgate, det 10:e största israeliska datacentret med cirka 8500 kunder och 6000+ israeliska domäner. Läckan sker på en sida som öppnade den 1:a augusti och säger sig finnas för att just läcka data från israeliska siter och organisationer. Det ska ses i ljuset av att Israels vice utrikesminister tidigare i år uttalade sig väldigt taggigt om att sådana cyberangrepp ansågs vara terrorism och skulle vedergällas oavsett var i världen personen som låg bakom det befann sig.

Har precis läst ett par artiklar i CSO, “Why you shouldn’t train employees for security awareness” skrivet av Dave Aitel, och svaret på den, “Security awareness can be the most cost-effective security measure” av Ira Wrinkler.

För att summera så tycker Dave att security awareness inte fungerar tillräckligt bra och att man bör lägga resurser på annat. Ira har tolkat det som att Dave menar att om inte utbildningen är 100%:ig är den inte värd att göra, och menar att man ska titta på skillnaden mellan om man genomfört utbildningen eller inte. Ett skydd som inte är 100%:igt kan fortfarande vara värdefullt.

Jag håller helt med Ira i hans resonemang, inom säkerhetsvärlden möter jag alltför ofta en binär syn på saken. Ett skydd behöver långt ifrån alltid vara 100%:igt för att det ska vara värt att ha det.

Men… Ira använder en argumentation som visar hans läggning åt försvarssidan. Dave å sin sida kommer defintivt från angreppssidan. I dess renaste form ser jag argumenten såhär:

Försvarssidan: Om jag eliminerar 5 av mina 10 SQL injection så är jag 50% säkrare.
Angreppssidan: Jag behöver bara en sårbarhet. Om du har 10 SQLi och plockar bort 5, har risken inte minskat med många procent, och definitivt inte 50%.

Angreppssidan står för facit. Eliminering av 50% av sårbarheterna påverkar risken enbart genom att risken för att sårbarheterna upptäcks minskas. Vad det sedan är värt i risk-% har att göra med hur lätta de kvarvarande sårbarheterna är att hitta för just din angripare, och hur de åtgärdade sårbarheterna resulterar i att ett pågående angrepp hanteras av dig.

Min egen åsikt? För att citera mig själv från ett inlägg från 2006 på Dave’s mailinglista daily-dave:

Exactly *who* are you protecting from *what*

En del hot bemöts bra genom utbildning. Andra inte. Också beroende på övriga befintliga säkerhetsskydd. Komplicerat som vanligt alltså

Det senaste dygnet har jag sett två social engineering attacker som båda använder sig av ett en webbadress faktiskt står på det stället man väntar sig, men att innehållet som sedan levereras kommer från angriparen.

Det första, lite mindre nytt, är ett exempel på hur man med social engineering kan utnyttja en XSS-sårbarhet för att få ett skal hos den man angriper. Genom att skicka en reflected-länk lurar man på användaren en java applet från en “pålitlig” sida.

Den andra är det Michal Zalewski som visar hur en användare som går till din sida kan skickas till get.adobe.com, och sedan levereras en flash_updater11.exe som kommer från din site.

Båda de här attackerna är närmare specialiseringar av metoder som redan fungerar på majoriteten av användare. De flesta behöver inte se en fullt korrekt länk till det betrodda stället för att ändå klicka sig vidare och köra all kod som kommer deras väg. Men båda de här attackerna har en bättre chans att fungera på de som ändå kollar lite grann. Kanske på de som har fått råd på vad de ska klicka och inte klicka på för länkar…

Och återigen så syns mönstret. Säkerhetsexperterna kommer med ett råd, som sedan angriparsidan använder till sin egen fördel. Det haussas om antivirus – så då säljs det “antivirus” och diverse antivirusvarningar dyker upp i bannerform. Det haussas om uppdateringar av flash – så då använder sig malwarefolket av du-måste-uppdatera-flash-för-att-se-den-coola-videon.

Allt det här går in i min kampanj Stop hogging the end user! som jag startade i oktober förra året, efter att ha upptäckts MSB:s datorstödda informationssäkerhetsutbildning för användare. Trogna läsare känner igen sig i temat att trasha MSB för att de inte prioriterar riskerna.

Användare ska inte behöva läsa och förstå en tjock bok med “regler” som dessutom sällan stämmer. När råden som ges titt som tätt inte håller måttet så gör användaren rätt i att strunta i det.

Ytterligare känga delar jag nu också ut till PTS, som har lagt upp råd om att ansluta trådlöst på stan. Det är för komplicerade råd, användare förstår inte vad som står där. Den vanlige användaren har ingen bedömningsgrund för om deras brandvägg är “uppdaterad och rätt inställd”, lika lite som de har en bedömningsgrund för om deras antivirusprogram är “uppdaterat och rätt inställt”.

Oftast är det bästa rådet att helt enkelt ge upp. Det är för krångligt och inte värt ansträngningen. Tänk risk istället för sårbarhet. Och precis rådet att se till risken har även Sean från F-Secure gett i samband med Flame/Skywiper.

Så… chilla lite och fundera igenom det här: vilka fem råd vill du ge den vanliga användaren, som den dessutom kan genomföra utan besvär? Vad gör störst skillnad för minst insats för någon som tror att man startar Internet genom att trycka på det blå E:et?

Frågan om full disclosure, att avslöja allt eller inte, har under åtminstone 20 år pågått på IT-säkerhetsscenen. Det handlar om man som forskare skall avslöja sådant som kan hjälpa “the bad guys”. Från den sidan som propagerar för full disclosure använder man två argument:

1. Utan att sårbarheten är allmänt känd kommer leverantören inte åtgärda den (inom rimlig tid)
2. Utan att känna till sårbarheten kan man inte skydda sig mot den

På punkt 2 skrev jag 2006 ett inlägg på daily-dave som förklarade min syn på det då Microsoft valde att i tysthet patcha ett säkerhetshål tillsammans med andra patchar.

På punkt 1 finns åtskilliga historier, men i princip så ser vi samma sak spela upp sig på andra områden där IT nu gjort och gör intåg, som vi såg för 10-20 år sedan inom den generella IT-sfären. Leverantören går in i förnekelseläge och blir arg på den som hittat deras smuts under mattan, kallar den som publicerar info om smutsen som oansvarig och lägger all skuld på denne ifall något skulle inträffa. (Ja, skitsamma om sårbarheten finns där på grund av leverantörens slarv, ifall ingen känner till det så finns den ju inte? Och ifall inte välmenande säkerhetsforskare letar, så skulle ingen annan heller leta…)

För en månad sedan har den här full disclosure-debatten tagit ett saftigt steg in i “verkligheten” då holländska forskare har labbat fram en variant av influensa (H5N1, som både fågelinfluensan och svininfluensan tillhör) som sprider sig lätt mellan människor. Forskarna vill publicera sin metod för att ta fram den smittsamma versionen, men det finns en stor oro för vad det kommer innebära. Ska man verkligen ge den informationen till “the bad guys” sådär öppet?

Men i det här fallet försvinner ett argument. Vi har inte så himla lätt att patcha människan, även om vaccin skulle kunna liknas vid det. Alla har inte tillgång till vaccin, det är inte ett 100-procentigt skydd och det är definitivt inte gratis. Å andra sidan har vi den här gången också en tydlig antagonistisk motståndare – det är en rätt hög risk att det förr eller senare kommer ett virus som sprider sig på det här sättet och då har vi mycket att vinna på att vara beredda.

En anledning till att man på IT-säk sidan valde full disclosure var att alla sårbarheter inte är så enkla att fixa på kort tid. Så är fallet även här – vi kan inte ta fram ett bra vaccin på 0-tid.

Lösningen borde därför vara densamma även här. Ge tillgång till information om hur viruset framställs enbart till de som har en historia av att forska och tillverka vaccin. Gå inte ut med det publikt förrän ett vaccin är klart, och i det här fallet så behövs ju faktiskt inte ens det – vaccinet finns ju redan och vi vill inte utsätta jordens befolkning för onödig risk, allra minst de som inte har råd med vaccinet.

Och i annat fall borde vi luta oss mer åt hållet att inte avslöja just eftersom det är så svårt att “patcha” människan.

Ingen kan väl vid det här laget ha undgått det stora haveriet hos Tieto. Det har påverkat mångas vardagsliv när system för instanser som apoteken (alla) och bilprovningen plötsligt får stora problem som i sin tur som propagerar ut sig till slutkunderna.

Olikt för mig så har jag hittills varit rätt tyst om det, för mig har det här inte varit några nyheter och jag har ställt mig vid sidan av för att se på spektaklet och vad omvärlden kommer fram till. Men efter dagens artikel i DN kan jag bara inte hålla mig längre från att säga någonting.

Flera parter har i samband med haveriet börjat skriva om att MSB nu utreder haveriet som om det vore något förmildrande. För läsare kan det också tyckas att “å så bra att någon gör något!”. Låt mig då framföra en motsatt spekulation i den frågan. Att MSB utreder det här kommer resultera i … ingenting. Inget nytt kommer komma fram. MSBs rekommendationer före incidenten kommer vara exakt de samma som efter. MSBs krav på myndigheter likaså. Vad utredningen kommer säga är att det är viktigt att tänka på riskerna när man lägger ut sin data, vilket (you guessed it) inte är några nyheter!

MSBs stora problem är nämligen att de inte når ut i verkligheten. Jag har skrivit om det tidigare, och kommer sannolikt få skriva om det igen eftersom man från myndighetshåll visat sig tvärdöva för den kritiken. Mitt favoritexempel på det är från i somras då Fredrik Sand och Patrik Fältström i en debatt gång på gång berättar att nuvarande arbete inte når ut, nuvarande krav inte följs och på mottagarsidan i den debatten sitter Marita Ljung från näringsdepartementet och Richard Oehme, chef för enheten för samhällets informationssäkerhet. Ifall ni inte vill se hela, kolla från 29 minuter in och framåt (särskilt 53.30 in är också intressant). Från myndighetssidan bemöts inte det här misslyckandet med annat än en attityd av att “jaja, det tar ju tid” och “det måste varje myndighet följa, det är inte upp till oss”, men avsaknaden av handling är påtaglig.

Istället kan skönjas en förnekelse av att det ens finns några problem. Exempel: I sammanhanget att säkerhetsarbetet bland myndigheterna är en stor soppa med alldeles för många kockar som har oklara uppgifter, säger Marita bland annat att “Det viktiga är väl att vi upptäcker de hot som finns och kan identifiera de hot som finns”. Jag håller inte med. Det viktiga är att riskerna identifieras, riskerna omhändertas, att det vidtas åtgärder och att det finns uppföljning. Det hela är mycket symtomatiskt för hur långt efter myndigheterna ligger i det här tänket. Att känna till hot som man varken värderar eller agerar på är … inte särskilt mycket värt.

Och sedan konferensen i somras har MSB fortsatt i sitt spår att skriva dokument som är enkla att förkasta eftersom de är fortsatt verklighetsfrämmande och inte gör vad som behövs för att de ska vara underlättande för säkerhetsarbetet. Jag har framfört mina synpunkter om vad jag anser skulle underlätta, men håller inte andan för att de omhändertas, just med tanke på MSBs historik av att gräva ner sig i sin position och vara döva för synpunkter utifrån.

Och det är tyvärr i allt det här problemet ligger. Från departements och styrningshåll tycker man att allt är bra – trots att det uppenbart saknas åtgärder, trots att det uppenbart saknas uppföljning, trots att det uppenbart saknas konsekvenser för ledningen som inte omhändertar de risker som finns.

Som medborgare är jag inte alls nöjd över hur informationssäkerhetsarbetet bland svenska myndigheter bedrivs.

För det privata så anser jag som tidigare att det skall sköta sig självt. Om ett företag vill ta riskfyllda beslut skall det vara fritt fram att göra det. Men myndigheter måste ha en gräns för hur oförsiktiga de får vara, det måste finnas krav för hur man ska bygga samhällskritiska system och jag vet inte hur mycket det behöver fumlas bland myndigheterna innan det framstår som självklart.

Till MSB: jag vet att ni läser, och jag skulle bli glad om ni visar att jag har missuppfattat situationen. Kom fram och kommunicera!

Hotbilden mot svenska företag och myndigheter är mycket påtaglig, men staten skall inte lägga sig i hur det privata hanterar de hot som finns. Vill regeringen visa vägen skall det göras främst för de egna myndigheterna.

Det är tveklöst så som John Daniels skriver i DI-debatt 21/11, att det idag bedrivs verksamheter som är direkta hot mot Sveriges välstånd. Det behöver vi bekräfta på ett tydligare sätt. Men inom cyberområdet finns det flera egenskaper som gör det direkt olämpligt för staten att gå in och ta på sig en skyddande roll. Risken är enorm att man istället för att ha någon verklig effekt istället börjar jaga hägringar.

Det jag vill se från statligt håll är främst tre saker:

För det första behövs ett lagstiftande som lägger kostnaden för intrången hos den som brustit i skyddet. För att exemplifiera varför det behövs så kan man se på hur halkbekämpningen fungerat de senaste vintrarna. Kostnaden av en otillräcklig halkbekämpning bärs av helt andra aktörer än de som har hand om halkbekämpningen. Hade kostnaden burits av de som kunnat förbättra halkbekämpningen hade dessa haft starka ekonomiska incitament att göra ett bättre jobb. Det handlar om miljarder i extra samhällskostnader. Därför anser jag det vara mycket viktigt att skapa den situationen kring all säkerhet – oavsett om det gäller halkrisk eller informationsskydd.

För det anrdra efterfrågar jag att incidenter offentliggörs. Vårt största problem idag är nämligen att hotbilden bara ses som ett spöke som någon drar fram i budgettider, men som inte så många egentligen tror på. Medvetenheten om hotbilden hos svenska företag och myndigheter ÄR låg, men den är det för att det lilla som sipprar fram inte känns relevant. Exempelvis producerar redan myndigheten för samhällsskydd och beredskap (MSB) information, men den har varken formatet eller tyngden som gör att tillräckligt många beslutsfattare anser den användbar.

För det tredje anser jag det nödvändigt att man ställer säkerhetskrav på samhällskritiska system. Idag är det upp till varje aktör att följa sitt eget godtycke efter befintlig förmåga, och det är inte tillräckligt när det byggs system med livslängder på 15-30 år. Ser man bara 10 år bakåt i tiden inser man hur snabbt hotbilden förändras, och jag kan garantera att förändringen av de samhällskritiska systemen inte hänger med i det tempot vi nu ser. Idag är det fritt fram att köpa in system som tillverkaren vet har säkerhetsbrister som är så allvarliga de kan bli, men där tillverkaren varken åtgärdar ellersäger ett knyst om det till sina kunder. Det skall vara självklart att våra samhällskritiska system inte skall byggas på sådant skräp.

Svenska myndigheter måste sedan låta det privata sköta sig självt. Visst vill vi att brott som sträcker sig över landsgränder fortsätter bekämpas, men när det kommer till skyddet vill vi inte ha en tung statlig apparat som jagar hägringar. Vill regeringen visa sin duglighet får de börja med sina myndigheter. Först när man hittat ett bra recept för att säkra upp dem är det läge att vända sig till det privata.

Jag har tidigare varit kritisk till användandet av de helkroppsskanners som används på vissa (främst amerikanska) flygplatser. Främst för att jag menat att pengarna kunnat användas mycket bättre, kostnaden för dessa maskiner är hög och det har inte kommit fram några siffror på hur många incidenter man anser att dessa förhindrat. Övriga “kostnadsaspekter” (privacy, hälsa) kan också vägas in i dessa beslut.

Nu har EU-kommisionen varit vänliga nog att förbjuda en typ av helkroppsskanners på samtliga flygplatser i Europa, och gör så med hänvisning till hälsoskäl. Väv in min teori i det och få fram (tillspetsat): vill ni slösa pengar så lägger vi oss inte i, men ni får inte äventyra medborgarnas liv medan ni gör det.

Skönt att någon drar en gräns till slut, även om jag kan tycka att gränsen dras rätt långt bort ifall den placeras först där människor dör. Samtidigt är det talande att det alls behöver göras. Att det här behöver göras på EU-nivå är ju på grund av att det finns för många på lokal nivå som har ett sådant tunnelseende att de inte ser att vad de håller på med är sjabbig, ineffektiv säkerhet som förutom sin höga kostnad i andra aspekter, dessutom kostar fler liv än det räddar.

Informationen om Duqu fortsätter rulla in. Tidigare inlägg om hur Duqu installerats får därför ännu ett tillägg nu. Duqu har inte bara installerats med begränsningar om när i kalendertiden, utan även hur länge användaren varit inaktiv. Då worddokumentet öppnats har koden bara lagt sig i minnet, och därefter väntat på att användaren skall vara inaktiv i 10 minuter innan ändringar börjar skrivas till olika permanenta delar av systemet. Alltså ännu ett exempel på hur det designat för att försvåra upptäckt.

Vid det här laget har det också ansamlats tillräckligt mycket indicier för att på goda grunder dra slutsatsen att det var Duqu som Iran hade hittade tidigare i år, det “virus” som de kallade för “Stars”. Både namn och datum matchar väldigt väl vad man hittat för Duqu:

The dates of the incident correlate with the history of discovery in Iran of a virus called Stars. At that time Iranian specialists didn’t share samples of the discovered virus with any of the anti-virus companies, and this, it has to be said, was a serious mistake, which gave rise to all subsequent events in this saga. Most probably, the Iranians found a keylogger module that had been loaded onto a system and which contained a photo of the NGC 6745 galaxy. This could explain the title Stars given to it.

Intressant är ju också konstaterandet att eftersom den här informationen inte delades, så drabbades inte bara andra stater och organisationer fortsättningsvis, utan även Iran. D’oh!? Ibland blir hemlighetsmakeriet för stort då de som har behov av informationen för att skydda sina system inte får den.

Min syn på frågan är att det nästan alltid är den defensiva sidan som tjänar på en stark informationsdelning, Risken är naturligtvis att om man delar allt man hittar, så ligger det viktig information i vad som INTE delas, eftersom en angripare då kan dra slutsatser om vad som inte upptäckts. Så det är inte helt uppenbart…

När man arbetar på den defensiva sidan av säkerhet upptäcker man att det inte bara är sårbarheterna som räknas. Faktum är att sårbarheterna spelar en ganska liten roll, så länge sannolikheten att de utnyttjas är låg och konsekvenserna ocks…

Dåligt fungerande säkerhet kommer från såväl lokala allmäntyckare, säkerhetsproffs och politiker. Politikerna och tyckarna kan enklast beskyllas för att vara okunniga, ignoranta och korrupta, medan det för säkerhetsproffsens del oftast handla…