2015-10-02

Information ger makt!

Delar du ut information så kan du;
1. utnyttjas
2. visa makt
3. skapa förtroende

Så dela med dig kontrollerat!
Det är informationssäkerhet.

2015-08-29

Vad är "hemlig dataavläsning"?

Inrikesminister Anders Ygeman presenterade 2015-08-28 Regeringens skrivelse 2014/15:146 "Förebygga, förhindra och försvåra – den svenska strategin mot terrorism".
I den presskonferens som följde pekade ministern på hemlig dataavläsning som ett möjligt tvångsmedels för avlyssning.
Vad är i detta sammanhang "hemlig dataavläsning"? Förmodligen refererar ministern till SOU 2005:38 -- Tillgång till elektronisk kommunikation i brottsutredningar m.m. samt SOU 2012:44 -- Betänkande av Utredningen om vissa hemliga tvångsmedel  där detta begrepp används och föreslås som ett möjlig tvångsmedel.

Värdering av de juridiska argumenten i utredningarna lämnar jag åt sidan och fokuserar på de möjliga tekniker som kan finnas i detta begrepp. Jag uppfattar "hemlig dataavläsning" som riktade åtgärder mot en eller ett fåtal personer beslutad av domstol. D.v.s. inte den allmänna lagringen som teleoperatörer är ålagda att utföra.
Det är alltså frågan om att plantera teknik eller programvara i utrustning som den misstänkte förfogar över. Detta kräver att myndighet på något sätt får tillgång till utrustningen, fysiskt eller via internet. Fysiskt kan det vara fråga om att ansluta loggningsutrustning som keyloggers eller sniffers som samlar ihop information, lagrar och levererar till myndighet. Att göra fysiska ingrepp i misstänktas utrustning eller bostäder är förenat med problem och risken för att det skall upptäckas är stor. Ett par alternativ står då till buds, endera utnyttja sårbarheter i produkter och dess programvaror som illasinnade hackers har för vana. Ett andra är att helt enkelt lura användaren att installera avlyssningsprogramvara. Det senare förutsätter någon form av undercoververksamhet som nog inte är förenlig med svensk rättstradition. Att någon med ont uppsåt är beredd att klicka på en länk i ett mail från Polisen är knappast troligt.

Att utnyttja sårbarheter för hemlig dataavläsning.

Stor del av de problem vi har med virus, trojanska hästar, "maskar" under samlingsnamnet "skadlig kod" (malware) beror på att de produkter vi använder har sårbarheter (buggar) som tillverkaren inte känner till vid leverans. Det pågår en ständig kamp och kapplöpning mellan de som söker sårbarheter som kan användas i onda syften och leverantörernas förmåga att rätta och distribuera rättningarna (patchar). I denna kamp finns också antivirusföretagen som tillverkar och säljer programvara för att bromsa spridning av och skadeverkning från skadlig kod.

Det finns en internationell marknad för handel med upptäckta men ännu inte allmänt kända sårbarheter som förmodligen omsätter stora belopp. Denna marknad är i huvudsak svart men ibland blir en grå verksamhet känd. På försommaren hackades det italienska "säkerhetsbolaget" Hacking Team som specialiserat sig på att sälja okända sårbarheter (Zero-day) till polis och underrättelsetjänster i många länder. Då även amerikanska myndigheter fanns på kundlistan så det är troligt att det är denna typ av företag som svensk polis behöver anlita för att köpa verktyg för "hemlig dataavläsning".

Ett ytterligare alternativ som förekommer, framförallt i USA, är att med lag tvinga IT-företag att medverka till att skapa produkter eller tjänster där myndigheter har bakdörrar för avlyssning alternativt att IT-företagen själva åläggs att selektivt eller brett avlyssna och leverera informationen till myndigheter.

Men Snowden-avslöjandena har gjort att IT-företagen har blivit ovilliga att medverka. De ser en internationell motvilja mot produkter som USA har avlyssningsmonopol på. De lägger in krypton i sina kommunikation för att försvåra avlyssning. De skapar som t.ex. Apple lösningar där det inte är möjligt att gå runt krypteringen, inte ens för Apple själva. Tjänsten iMessage är idag avlyssningssäker så länge ingen fysiskt har haft möjlighet att gå in i telefonen (iPhone) och detta är ett förhållningssätt som fler IT-företag håller på att ta efter.

För att svensk polis och andra myndigheter skall kunna genomföra "hemlig dataavläsning" där tekniken som skall avlyssnas i huvudsak är amerikansk krävs ett nära samarbete med USA och dess arbete med avlyssning. Motviljan hos konsumenter och andra kunder till att köpa utrustning med bakdörrar som i varje fall amerikanska myndigheter har tillgång till kommer nog att få IT-företagen att vara fortsatt motvilliga till detta.






2015-06-21

Har du makt? Har du fiender?

Informationskrigföring är nu en realitet. Det utövas av både politiska och ekonomiska skäl. Det kan vara en del av organiserad brottslighet, det kan också utövas av stater eller terroristorganisationer.
Gemensamt för dessa operationer är att de oftast angriper någons eller någon grupps trovärdighet genom att sprida falsk information eller illasinnade rykten.
Informationskrigföring är ett mycket billigt sätt att föra "krig" och möjligheten att spåra källan till angreppen kan vara begränsad. Vi kan därför förutse att detta sätt att utöva makt kommer att eskalera kraftfullt och att metoderna blir fulare.

Så har du makt, tänk igenom vilka anklagelser du skulle få svårt att värja mot.
Tänkbart är t.ex. att bli anklagad för eller påkommen med att syssla med barnpornografi.
Att plötsligt få besök av Polisen som gör husrannsakan, tar med din dator och anhåller dig. Att detta sedan följs av rubriker i media om att du är föremål för förundersökning om barnpornografibrott. Hur ser din framtid ut nu? Hur ser den ut om det dessutom hittas "bevis" på din dator och du kanske blir fälld för brottet?

Allt detta kan ske utan att du gjort något olagligt.
Det är som känt svårt att skydda sig mot datavirus och skadlig programkod. Det är dessutom i princip omöjligt om det är ett riktat, kvalificerat angrepp som någon är beredd att lägga lite pengar på. Det går att ta över din dator, plantera lämpliga bevis, radera spåren och därefter se till att Polisen och media får lämpliga tips. Därefter blir det svårt att hävda sin oskuld. Även om bevisen inte räcker för en fällande dom, ja att det rent av går att bevisa att du inte är skyldig så kommer du att vara skadad och dömd av många enligt uttrycket "ingen rök utan eld".

Kan man skydda sig mot detta? Helt är nog svårt men man kan göra så gott man kan. Konsekvent leva efter de råd om god datorhygien som finns. T.ex. använda starka lösenord, unika på varje tjänst, aldrig använda öppna wifi-nät, aldrig använda publika datorer (internetcaféer, bibliotek m.m.), aldrig klicka på mailade länkar även om de ser ut att komma från kända avsändare. Bara öppna väntade bilagor i mail. Inte låna ut den dator där du läser dina mail, inte ens till familjemedlemmar.
Sedan skall man vara förberedd på att den här typen av anklagelser kan komma och ha en genomtänkt strategi för hur dessa skall hanteras.

2015-04-27

Nätneutralitet och sårbarhet

Dagens Nyheter skriver idag om ett tidigare beslut i EU-parlamentet att nätet skall vara neutral och all trafik skall behandlas lika. EU:s ministerråd går emot detta beslut och vill att "speciella tjänster" skall prioriteras såsom självkörande bilar och medicinska tjänster.
Men öppnas denna möjlighet till prioritering kommer också värdering av tjänster och dess samhällsnytta att behöva göras. Här kommer förmodligen kommersiella aktörer arbeta för att deras tjänster får prioritet och därmed bli mer kommersiellt attraktiva. Är självkörande bilar ett samhällsintresse eller ett affärsintresse?
Men en annan risk med prioritering är säkerheten i de tjänster som prioriteras. Bygger dessa på att de ges bättre prestanda och svarstider i nätet så är de sårbara. Nätverksaktörerna kan bara garantera en viss del av den tillgängliga kapaciteten. Men är nätet inte tillgängligt p.g.a. tillfälliga fel får inte inte heller de prioriterad tjänsterna någon kapacitet. System eller tjänster som bokstavligt är nödvändiga för liv och hälsa (såsom just självstyrande bilar och medicinska system) får inte vara beroende av kontinuerligt tillgång till internet. De behöver byggas med redundans och autonomi d.v.s. att de kan fatta rätt beslut under ett avbrott i internetförbindelsen.
Att utformat system med förutsättningen att man alltid har tillgång till prioriterad koppling till internet är en stor risk i sig. Bygger man säkert så faller behovet av prioritet.

Prioriterad internetförbindelse är bra för kommersiella tjänster där man kan få konkurrensfördelar, t.ex. film och annan trafik som kräver hög kapacitet.
"Samhällsnyttiga" tjänster får inte bli beroende av prioriterat nät, skulle de bli det kan de bli farliga den dag nätet är oåtkomligt!

2015-03-20

Värdet av osäkra webbtjänster

Detta kommer att vara en ganska cynisk bloggpost men tyvärr, det är allt för ofta sant.

Det kommer regelbundet rubriker om att kända företag och organisationers webbtjänster är "hackade"  eller har svåra sårbarheten som kan ha utnyttjas av utomstående. Ofta visar det sig att det underleverantörer i form av webbtjänsteföretag som haft dålig säkerhet. De kända varumärkena som som då svärtas är det en obehaglig överraskning för. De hade valt en tjänst som funktionellt fungerade väl till ett acceptabelt pris. Tjänsteföretaget verkade seriöst och kanske redan hade bra referenser från andra kända varumärken.
Helt plötsligt uppdagas det att tjänsteföretaget blivit "hackat" och att känslig personlig information kan ha läckt ut för tusentals användare och att det varit möjligt att avlyssna deras trafik under en tid.
  • Hur kan detta hända?
    Det är svårt att skapa "säkra" webbtjänster, programmeringen måste vara mycket disciplinerad och utvecklarna måste vara välutbildade i säker applikationsutveckling. Sedan upptäckts hela tiden sårbarheten i operativsystem, webbservrar m.m. som kan utnyttjas för intrång. Det behövs  en mycket aktiv förvaltning för att hantera dessa sårbarheten.
    Sedan finns det också en ovana och kanske okunskap om hur man ställer säkerhetskrav på tjänsteleverantörer och ofta, om sådana krav trots allt ställs, en ointresse från tjänsteleverantören att avtal om detta.
  • Vilka drabbas?
    Först och främst de som får sina personliga uppgifter exponerade och kanske utnyttjade. Sedan kan förtroendet för de som i god tro köpt tjänsterna. Varumärkesskadan kan bli omfattande.
  • Varför uppdagas liknande gång på gång?
    Säkra webbtjänster är inte enkla att skapa. Många utvecklare kan skapa funktionella tjänster, få av dem klarar också av att utveckla säkra tjänster. Här ligger nog problemet. Det är lätt att hitta utvecklare som snabbt och billigt tar fram bra funktion. Sedan är "time to market" viktigt för att snabb skapa ett kassaflöde i tjänsteföretaget. Säkerheten blir då medvetet eller omedvetet eftersatt, det finns inga pengar i att satsa på säkerhet. Så länge det går bra flödar pengarna in och genom tjänsteföretaget. Ofta är det ganska litet kapital bundet i företaget så skulle det värsta hända så kan man ta en konkurs och starta om med nytt namn.
    Det kommersiella värdet är helt enkelt högre för en osäker tjänst.
  • Hur kan man då som köpare av webbtjänster minska risken att bli "hackad", förlora kunder och användares förtroende och i värsta fall sin verksamhet?
    I första hand ställa krav på tjänsteleverantören, att kontraktera skadestånd om tjänsten blir hackad. Vidare skall krav på leverantören att ha standardiserade processer för säkerhet t.ex. enligt IEC/ISO 27001. Att man följer de rekommendationer som organisationen OWASP ger för säkra webbapplikationer. Hanterar tjänsten personuppgifter så skall också ett personuppgiftsbiträdesavtal tecknas. När man kommit så här lång med sin tjänsteleverantör så inser man att priset förmodligen blir mycket högre än vad konkurrenten tar för samma funktion. Men vad kan en osäker webbtjänst kosta din verksamhet i slutändan?