Föreläsning vid Södertörns Högskola 14 november 2012 av Anna-Karin Hatt, It- och energiminister.
Saxat:
"Vi befinner oss mitt i ett paradigmskifte, där gamla sanningar och affärsmodeller skakas om i grunden. Och det finns en hel del därute som inte är så förtjusta i den utvecklingen, av en mängd olika skäl. De är de som bygger vindskydd och försöker hålla sig kvar i det som varit. Men vi andra, vi som tillhör de som hellre bygger väderkvarnar än vindskydd, vi har all anledning att se det som nu händer som en fantastisk möjlighet. Och vi har all andledning att tillsammans värna det öppna nätet. För med hjälp av it och med hjälp av internet kan vi stärka människors rättigheter. I Sverige och utanför vårt lands gränser. Och det är väldigt viktigt i sig."
http://www.regeringen.se/sb/a/203611
torsdag 15 november 2012
söndag 11 november 2012
Weekly summary - v.45
I've had a interesting week.
I done some testing with NFC and this is what i learned:
I done some testing with NFC and this is what i learned:
- NFC from one phone to another phone is not easy. - They don't understand each other all the time and its not easy to hold your phone together when connecting.
- Android demands that you wake your phone before scanning any NFC tags.
- There will be pwnage
- Found some XSS
- An open redirection
- and a SMS service that we could call from anywhere to any one.
Windows 8 Security
Earlier this week I read this Swedish article about how AVs would lose market shares to Microsoft because of how much harder it would be to circumvent the new security features in Windows 8.
http://www.idg.se/2.1085/1.475481/microsoft-dodar-virusskydden
The security features mentioned was Smartscreen, URL reputation, Filesystem filter and the new Windows Defender.
Microsoft is really good on keeping there OS updated, but they still leave allot of issues untouched and they cant fix all the problems on installed programs, how much they want to.
Thats why it was especially interesting to see this article in the Hacker News
http://thehackernews.com/2012/11/hackers-release-windows-phone-8-malware.html
I'm looking forward too see what will revealed on 24 Nov.
I see a future for AV, but they need to focus on IPS, FIM (File Integrity Monitoring), White Listing and DLP. And they need to loose the name AV.
http://www.idg.se/2.1085/1.475481/microsoft-dodar-virusskydden
The security features mentioned was Smartscreen, URL reputation, Filesystem filter and the new Windows Defender.
Microsoft is really good on keeping there OS updated, but they still leave allot of issues untouched and they cant fix all the problems on installed programs, how much they want to.
Thats why it was especially interesting to see this article in the Hacker News
http://thehackernews.com/2012/11/hackers-release-windows-phone-8-malware.html
I'm looking forward too see what will revealed on 24 Nov.
I see a future for AV, but they need to focus on IPS, FIM (File Integrity Monitoring), White Listing and DLP. And they need to loose the name AV.
onsdag 7 november 2012
AV security problems
If it’s a
program and written in any code then there will be bugs and maybe security
problems.
We have
seen vulnerability’s on several AV over the years. This time it's Sophos.
Here is the
Metasploit Payload Demo for Sophos PDF vulnerability:
fredag 2 november 2012
tisdag 11 september 2012
BYOD was killed by her father
A year ago
I was holding a speech on how to look at your internal network (client), at
that time the word BYOD was in its mother’s womb. My point then was that your
client internal network is just an extension of Internet.
I now you
think - Dude, his crazy…...
So how did
I get to this conclusion?
The
combination of device and user gives certain access to information.
To day you
have laptops on your client network that's connecting to all the services, and
there by the information, which is accessible to that user with that device.
When that
device and user is traveling, you have installed different controls (Disk
encryption, VPN) so that specific device and user combination will be given the
same access to information as when sitting in-house.
That device
will be connecting to the office over a network that we would have classed as
internet (Hotel WLAN, 3G or worse - Defcon network). The device will be exposed
to all evil and should thereby be secured for that environment. Otherwise you,
as an administrator or even CIO, should not give that device and user access to
the information.
You have
already started a policy work where you say that if the following controls are
in place on the device and for that approved user, then it’s OK to access this
information.
OK. Let’s
take another example - SmartPhone.
Maybe you
have a policy that’s says it’s OK to check you mail on your phone if you use a
certificate for transport and the user can present the write credentials.
Again that
device is exposed on Internet and again you give that device and user access to
certain information.
Depending
on your possibility to enforce controls on that device and user they will get
access to certain information.
One last
example – Internet user.
No device
control and no user control gives access to company website and the possibility
to send mail to your company.
Why is this
different from your internal client network? I know:
- Company brand – You need to protect your brand. Your face towards internet. If there’s a botnet using you domain or IP it would be bad for the company brand. So controls to protect the brand should be in place.
- Secured network – If you have a client network that you have full control over the devices and where all devices are stationary. Administratively fully controlled.
This leaves
us with following:
A device
that is OK to access information externally and is OK to be exposed to Internet
can also coexist with devise under no control but on your network - An
extension of internet, a.k.a. guest network. You just put the same controls in
effect. Is our brand safe, is this a secured network, can I validate the device
and can I validate user. And depending on those controls give access to certain
information.
The
discussion in the IT-community is how to handle BYOD’s.
Well….what
controls do you have in place? If you know that, you know which sort of
information that device and user will have access to.
That’s why
BYOD was killed by her father. Because he thought that he could give all
information to a device and user with no control.
måndag 27 augusti 2012
Ekobrottsmyndigheten VS Krypteradtrafik
När Ekot annonserade nyheten så stannade min hjärna.
Vad....
Vad sa dom....
http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=5241785
"-För att bekämpa den grövsta brottsligheten behöver vi naturligtvis ha verktyg att göra det och ett sätt är att dekryptera information" säger tydligen Jan Tibbling, kammaråklagare.
Det låter rimligt.
"– Ja, till exempel. När vi har tillstånd att lyssna på den (trafiken) så ska vi också ha möjlighet och höra vad som sägs eller tyda vad som sägs och då måste vi komma åt krypteringen."
Okej...det blir lite motsägelsefullt eftersom kryptering är till för att skydda informationen så att användaren inte kan bli avlyssnad.
Såvida man inte har valt ett dåligt lösenord, en dålig algoritm eller implementation så ska det inte gå att dekryptera.
Om då myndigheter vill komma åt informationen utan att den avlyssnade vet om det så finns det ett par problem.
1. Antingen så får man använda sig av en huvudnyckel och det har ju visat sig tidigare att en sådan inte kommer på villovägar eller blir felaktigt använd. Vad är nyckeln för att kunna läsa all krypterad trafik i Sverige värd?
2. Eller så kan vi införa ett krav på att lämna in den privatnyckel och på så sätt dekryptera trafiken. Återigen så finns det ett ställe som är intressant att hacka och nyckeln kan komma på villovägar. Inga garantier att information inte används på ett felaktigt sätt.
3. Och så finns alternativet som nämns i artikeln. Att läsa innan kryptering. Att myndigheter ska ha ett program som ska köras innan informationen blir krypterad.
Enl. Ekot så hävdar dom att Anders Ahlqvist som är it-brottspecialist på Rikspolisstyrelsen, "Han förespråkar i stället att kunna få tag på informationen innan den misstänkta brottslingen krypterar informationen genom så kallad hemlig dataavläsning."
Okej.
Någon som har hört talas om FBIs 'Magic Lantern' som kan installeras utan användarens vet om det och på så sätt samla in information utan användares vetskap. Koden är t.o.m. exkluderade från, vad jag vet, de flesta AV.
'Magic Lantern' blev senare knäckt och omskrivet för att vem som helst ska kunna använda den. Det nya namnet är 'Green Lantern'. Fortfarande så missas det av de flest AVn.
Hur jag än vrider och vänder på denna fråga så är den för mig en död fråga. Jag ser ingen lösning på den här frågan utan att skapa mer risker än vad man löser problem.
Jag var inte orolig när FRA började lyssna för om jag vill så krypterar jag, men om det kommer en lagändring för att få igenom detta så är jag orolig.
En fråga som jag däremot funderar över är hur gjorde vi med Ekobrott innan internet och datorer. Då hade dom inte tillgång till kommunikationen heller.
Vad....
Vad sa dom....
http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=5241785
"-För att bekämpa den grövsta brottsligheten behöver vi naturligtvis ha verktyg att göra det och ett sätt är att dekryptera information" säger tydligen Jan Tibbling, kammaråklagare.
Det låter rimligt.
"– Ja, till exempel. När vi har tillstånd att lyssna på den (trafiken) så ska vi också ha möjlighet och höra vad som sägs eller tyda vad som sägs och då måste vi komma åt krypteringen."
Okej...det blir lite motsägelsefullt eftersom kryptering är till för att skydda informationen så att användaren inte kan bli avlyssnad.
Såvida man inte har valt ett dåligt lösenord, en dålig algoritm eller implementation så ska det inte gå att dekryptera.
Om då myndigheter vill komma åt informationen utan att den avlyssnade vet om det så finns det ett par problem.
1. Antingen så får man använda sig av en huvudnyckel och det har ju visat sig tidigare att en sådan inte kommer på villovägar eller blir felaktigt använd. Vad är nyckeln för att kunna läsa all krypterad trafik i Sverige värd?
2. Eller så kan vi införa ett krav på att lämna in den privatnyckel och på så sätt dekryptera trafiken. Återigen så finns det ett ställe som är intressant att hacka och nyckeln kan komma på villovägar. Inga garantier att information inte används på ett felaktigt sätt.
3. Och så finns alternativet som nämns i artikeln. Att läsa innan kryptering. Att myndigheter ska ha ett program som ska köras innan informationen blir krypterad.
Enl. Ekot så hävdar dom att Anders Ahlqvist som är it-brottspecialist på Rikspolisstyrelsen, "Han förespråkar i stället att kunna få tag på informationen innan den misstänkta brottslingen krypterar informationen genom så kallad hemlig dataavläsning."
Okej.
Någon som har hört talas om FBIs 'Magic Lantern' som kan installeras utan användarens vet om det och på så sätt samla in information utan användares vetskap. Koden är t.o.m. exkluderade från, vad jag vet, de flesta AV.
'Magic Lantern' blev senare knäckt och omskrivet för att vem som helst ska kunna använda den. Det nya namnet är 'Green Lantern'. Fortfarande så missas det av de flest AVn.
Hur jag än vrider och vänder på denna fråga så är den för mig en död fråga. Jag ser ingen lösning på den här frågan utan att skapa mer risker än vad man löser problem.
Jag var inte orolig när FRA började lyssna för om jag vill så krypterar jag, men om det kommer en lagändring för att få igenom detta så är jag orolig.
En fråga som jag däremot funderar över är hur gjorde vi med Ekobrott innan internet och datorer. Då hade dom inte tillgång till kommunikationen heller.
tisdag 12 juni 2012
Nya ransomware
Hela tiden kommer det nya versioner av ransomware.
Detta är dagens:
Sidan som presenteras för användaren är rätt väl arbetad, men det finns flera saker som pekar på att sidan inte är legitim. T.ex. felstavningar (böjningar), mailadress till Polisen med .COM och hur man har valt att skriva datumet med "/". Även om vi börjar bli mer vana med "/" istället för "-".
Vad är ransomware?
En programvara som kryptera filer och sedan kräver användaren på pengar för att dekryptera. Filer som brukar bli kryptera är t.ex. bilder (semestern) och office-dokument.
Så hur får man detta på sin dator?
Tyvärr så visar det sig att antivirus inte ger ett fullgott skydd. I detta fall så fanns en av de mer kända AV installerat på den datorn.
Troligtvis har användaren valt att besöka sidor av mindre tillförlitlig karaktär och i och med det troligen råkat ut för en "drive by".
Oavsett så ska man har antivirus på sina datorer och SmartPhones, men även undvika webbsidor av tveksam karaktär. Till sidor av tveksam karaktär hör porrsidor, sidor med SN till mjukvara och som det verkar vara i detta fall en sida med färdiga skolarbeten.
Följ fråga:
Vilka regler och lagar har man brutit? T.ex. så har man, förutom det rent uppenbara att kräva folk på pengar, använt sig av Polisens vapen.
Detta är dagens:
 |
| Denna sida presenteras för användaren. OBS ingen av företagen som nämns har tillfrågats om hur delaktiga de är. |
Sidan som presenteras för användaren är rätt väl arbetad, men det finns flera saker som pekar på att sidan inte är legitim. T.ex. felstavningar (böjningar), mailadress till Polisen med .COM och hur man har valt att skriva datumet med "/". Även om vi börjar bli mer vana med "/" istället för "-".
Vad är ransomware?
En programvara som kryptera filer och sedan kräver användaren på pengar för att dekryptera. Filer som brukar bli kryptera är t.ex. bilder (semestern) och office-dokument.
Så hur får man detta på sin dator?
Tyvärr så visar det sig att antivirus inte ger ett fullgott skydd. I detta fall så fanns en av de mer kända AV installerat på den datorn.
Troligtvis har användaren valt att besöka sidor av mindre tillförlitlig karaktär och i och med det troligen råkat ut för en "drive by".
Oavsett så ska man har antivirus på sina datorer och SmartPhones, men även undvika webbsidor av tveksam karaktär. Till sidor av tveksam karaktär hör porrsidor, sidor med SN till mjukvara och som det verkar vara i detta fall en sida med färdiga skolarbeten.
Följ fråga:
Vilka regler och lagar har man brutit? T.ex. så har man, förutom det rent uppenbara att kräva folk på pengar, använt sig av Polisens vapen.
torsdag 12 april 2012
I ett samhälle där
vi mer och mer anammar tekniken och där skyddsmekanismerna för våran digitala
information för det mesta ligger efter, så är det lätt att se hur säkert det är
med att förvara informationen utskrivet på papper.
I Eslövs kommun har
dom i dagarna blivit drabbade av ett Ransom virus som håller flera av kommunens
filer gisslan mot betalning. Att betala i dessa fall lönar sig sällan och
oavsett status av backuper eller vilka algoritmer (dekryptering) som använts
vid kryptering så behöver informationen vara tillgänglig, för annars kunde vi
lika gärna ha haft den i pappersform.
Det man inte tänker
på till att börja med är att största delen av den information som finns
tillgänglig i digital form idag, är också skapad digitalt. Vi har inte hunnit
eller inte bryt oss om att digitalisera den befintliga pappers informationen.
Ta t.ex. det
kontrakt (fördelning av fritidshus) som min Farfars far skrev med sin bästa
kompis i börja på 1900-talet. Det har idag ingen laglig betydelse eftersom
huset är sålt, men eftersom det tillhör min historia så tycker jag att det vore
intressant att ha sett kontraktet och det skulle vara mycket enklare att göra
det digitalt än att åka till en avlägsen släkting, vilket då troligen inte blir
av. Dessutom skulle detta kontrakt, om det var sökbart, vara intressant för
andra som t.ex. en informationskälla för hur man skrev kontrakt eller för
släktforskning.
Vi kommer inte få
mindre information som ska skyddas eller mindre skydds värd information.
Dessutom, även om
användaren ska utbildas, så kan vi inte lägga över hela säkerhetsarbetet till
användarna av informationen. Definitivt inte i ett samhälle där högre och högra
krav ställs på att man ska specialisera sig för att kunna lös sin huvudsakliga
arbets uppgift.
Så vad är
resultatet?
Om informationen ska
vara tillgänglig och, utan större krav på användaren, också skyddad, så kommer
kravet på att säkerställa att allt detta faller på plats hamnar på den
IT-person som ska administrera systemen där informationen ska hanteras och
förvaras. Kravet kommer inte bara vara på att du ska veta hur man konfigurerar
systemet och säkerhetsprodukterna, utan också på hur man ska göra när det blir
problem. Katastrofhantering.
Samhället kommer att
behöva ställe högre krav på oss systemadministratörer. Det kommer nog inte
räcka med att man tycker det är roligt med datorer för att få jobba med vissa
system, utan i sin förlängning så kommer nog även ett krav på någon form av
licensiering eller certifiering, även om det inte är några garantier.
I vissa delar av
samhället kan man reda nu se ett försök till detta. T.ex Försvarsmakten där det
krävs både Certifieringar (system och informationshantering) och RK
(Säkerhetsklassning: http://sv.wikipedia.org/wiki/S%C3%A4kerhetspr%C3%B6vning)
för få jobba med vissa system.
Frågan är bara
vilken certifiering, vems licensiering och när insikten kommer, för tydligen så
krävs det något större än Tieto's diskhaveri i höstas.
lördag 4 februari 2012
Förtroende
För nästa två år
sedan, efter att ha installeratom Windows 7, så provade jag idé jag hade. Jag
gick in i Windows certifikat store och tog bort alla root och mellanliggande
certifikat som inte litade på.
Jag gjorde det på
grund ut av 2 orsaker:
1. Jag ville se hur
det skulle gå att använda datorn efteråt och
2. jag litade på
alla certifikat utgivare som fanns i mitt store. Jag tappade lite för troendet
för Microsoft gallringsprocess sedan root-certifikatet Bastupojkarna hade
släppts igenom. Observerar att detta var innan alla certifikat utgivare vart
hackade.
Det första som hände
var ingenting. Till min förvåning så fungerade allt som vanligt och direkt kom
jag och tänka på att Windows har en funktion för att uppdatera certifikaten,
som redan fanns i tidigare Windows versioner, det intressant var dock att i Windows
7 så sker detta per automatik när du presenteras för ett certifikat som du inte
har i ditt certifikat store.
Efter att ha
editerat GPOn på min dator så kom inte de certifikat som jag hade tagit bort
tillbaka. Äntligen fick jag bestämma vad som var OK och inte
Till att börja med
så slutade en hel del program och webbsidor att sluta fungerar. Intressant var också att sidor som jag hade
stort förtroende för använde certifikatutgivare som inte hade något förtroende
alls för.
Det andra som inte
hade tänkte på tidigare var att till skillnad från t.ex. FireFox så presenterar
inte IE vilket certifikat du inte litar på. Den säger bara att du inte litar på
det och innan du vet om det är ett certifikat som är uppåt väggarna eller inte
så måste du välja om du litar på det eller inte.
Eftersom rapport
efter rapport har kommit på att så har jag varit inne och tagit bort certifikat
och de sidor som jag surfar som nu använder certifikat som jag inte litar på så
har jag först och främst påpekat att jag tycker att dom ska byta och från fall
till fall valt om jag ska godkänna just deras certifikat.
Som ni förstår blir
det bara svårare och svårare att göra något på Internet och nu efter det att
VeriSign har medgivit att de också har blivit utsatta för att lyckade attacker
så känns det inte längre hållbart.
Så vart står jag nu?
Återigen så är det
punkterna 2:
1. Det är bara
IT-geeks som jag och nu du som förstår och gör sådan här åtgärder. Ingen av
mina icke IT-umgängen vet, förstår eller bryr sig. Dom litar blint på att allt
är OK om det står HTTPS eller som t.o.m. adressfält är grönt. Dom har inte en
tanke på att det finns andra program än deras browser som använder certifikat.
2. Om man inte kan
lite på de största certifikat utgivarna i världen. Vilka kan man lite på. T.ex.
så genomfördes attacken mot VeriSign redan 2010 och det är först nu vi som ska
lite på får information att dom har haft intrång och ändå vet vi inte hur allvarligt
intrånget var. Vad kan vi lite på?
Det finns redan
flera projekt och diskussioner om hur detta ska lösas t.ex. DANE, men det är
inget som är tillräckligt stor omfattning för att man ska kunna byta lösning.
Vi får helt enkelt
fortsätta att lite på företag som saknar mitt förtroende och hoppas att
resultatet av alla dessa rapporter är hårdare krav på revision, auditing och
pentestning.
http://securityaffairs.co/wordpress/2246/hacking/verisign-hacked-why.html
http://blogs.entrust.com/enterprise-authentication/?p=377
http://securityaffairs.co/wordpress/2246/hacking/verisign-hacked-why.html
http://blogs.entrust.com/enterprise-authentication/?p=377
onsdag 18 januari 2012
Ser bra ut på papperet.
I ett yrke där man aldrig känner sig fulllärd och där det kommer nya ideer och tekniker hela tiden, så känns det väldigt konstigt att man skulle kunna lära sig särskilt mycket om hur man hackar ut ifrån en 4 sidors artikel i en pappers tidning.
En bra start som max.
En bra start som max.
onsdag 11 januari 2012
Tunn gräns mellan reklam och hack
Satt och tittade på nyheter från CES-mässan på IDGs hemsida och som vanligt så är sidorna fyllda med reklam i flash.
När jag hade läst själva introduktionen till "artikeln" så började scrolla ner för att läsa resten, eftersom man envisas med att stoppa in reklam mellan. Under tiden jag scrollar fastnar mina ögon på en annan artikel och jag slutar scrolla.
Plötsligt hoppar skrämen till och den börjar spela upp en flash över större delen av skärmen. Det är reklam för Kanal 5:s nya säsong av Wipeout. Oj, tänkte jag, vad musen är känslig, jag tyckte inte att jag tryckte på knappen.
Jag stänger av flashen och kommer tillbaka till artikeln och för musen över skärmen och märker till min förskräckelse att en timer börjar räkna ner från 3 när jag för musen över den flash som ligger mellan introt och artikeln. När timern når 0 så hoppar flashen upp.
Det är för mig inget konstigt att det händer saker när man flyttar musmarkören över skärmen, titta bara på vad som händer när du drar musen över t.ex Google:s kartor, men att så brutalt slänga upp en reklam på det sättet kändes påtagligt otrevligt och jag har nu fått en stark lust att inte surfa IDG.
När jag hade läst själva introduktionen till "artikeln" så började scrolla ner för att läsa resten, eftersom man envisas med att stoppa in reklam mellan. Under tiden jag scrollar fastnar mina ögon på en annan artikel och jag slutar scrolla.
Plötsligt hoppar skrämen till och den börjar spela upp en flash över större delen av skärmen. Det är reklam för Kanal 5:s nya säsong av Wipeout. Oj, tänkte jag, vad musen är känslig, jag tyckte inte att jag tryckte på knappen.
Jag stänger av flashen och kommer tillbaka till artikeln och för musen över skärmen och märker till min förskräckelse att en timer börjar räkna ner från 3 när jag för musen över den flash som ligger mellan introt och artikeln. När timern når 0 så hoppar flashen upp.
Det är för mig inget konstigt att det händer saker när man flyttar musmarkören över skärmen, titta bara på vad som händer när du drar musen över t.ex Google:s kartor, men att så brutalt slänga upp en reklam på det sättet kändes påtagligt otrevligt och jag har nu fått en stark lust att inte surfa IDG.
Prenumerera på:
Inlägg (Atom)