Per Hellqvist om IT-säkerhet och sånt

Det pratas mycket om molnet hit och molnet dit. En del tycker att det bara är “hajp” och en del ser nyttan i det. Visst är det mycket hajp men jag tycker ändå att vi kommit över toppen på “hajp-kurvan” och nu är på väg in i en miljö där vi faktiskt kan urskilja den verkliga nyttan med molnet både för privatpersoner och företag.

För dig som privatperson märker man väl molnet mest i tjänster om Facevook, Wikipedia, Flickr, Google Docs och liknande (populärt kallat Web 2.0) medans det för företag finns en stor mängd tjänster man kan utnyttja. Dessutom börjar många företag börjat bygga interna “privata” moln med tjänster som bara finns inom företaget.

Det pratas en del om riskerna med molnet. Visst finns det risker. En hel massa till och med. Vad händer till exempel med min information om molnet-leverantören går i konkurs? Kan jag enkelt byta leverantör om jag vill? Avlyssning, tjänstenekningsattacker etc etc.

I går pratade jag med en mycket säkerhetskunnig person och han hävdade att det största hotet mot molnet kommer i ett så kallat “skarpt läge”, dvs när krig eller hot om krig föreligger. Det är en mycket bra iakttagelse. Din information lagras ju någonstans i “molnet”, dvs i något datacenter någonstans i världen. Vad händer i så fall med din information, dina tjänster och dina möjligheter att utföra affärer via molnettjänsten om landet hamna i skarpt läge och bestämmer sig för att blockera in och utgående trafik till landet. Då är man, som det heter, toast.

Jag håller med om riskbilden, men ur ett ekonomiskt perspektiv och även andra perspektiv så är fördelarna med molnettjänster övervägande. Det ÄR billigare och enklare helt enkelt.

För min del tycker jag att den största risken en vanlig dag är Gurra med Grävskopan som kapar en kabel någonstans. Då är man ju helt utelåst från sin information om sina applikationer.

Och eftersom mer och mer av företagets information befinner sig utanför företagets skyddande väggar så är det ur ett säkerhetsperspektiv ett läge som inte känns helt ok. Men, som sagt, ur ett helhetsperspektiv så överväger fördelarna i dagsläget.

Vad vill jag ha sagt med allt detta? Jo, eftersom mer och mer information och fler och fler tjänster läggs ut i molnet så blir “accesspunkten” mer kritisk. Och vilken är den? Jo, webbläsaren. Om jag vågar kika lite i kristallkulan så är det inte helt svårt att se att Googles vision kommer att bli den som vinner. De säger att operativsystemet blir alltmer ointressant och att det är webbläsaren som kommer gälla. Webbläsaren BLIR liksom operativsystemet kan man säga.

Det gör att säkerheten i webbläsaren blir alltmer kritisk. Elakingarna är helt klart intresserade av att infektera oss via webbläsaren och dess insticksprogram. Om man kan lägga in en BHO eller något “trojaniserat” insticksprogram som snappar upp inloggningar eller avlyssnar information så kan man ta del av mycker intressant.

Ur detta perspektiv är Bit9’s senaste rapport mycket nedslående.(Den är i korthet återberättad i denna artikel i PC för Alla för dig som inte orkar registrera dig på Bit9’s sajt).

Det finns MASSOR med sårbarheter i webbläsarna och dess insticksprogram. En del är kritiska, andra jobbiga, somliga bara irriterande. Varje gång en sådan här artikel publiceras dyker det alltid upp diskussioner om vilken webbläsare som är “säkrast” (för mig finns inte “säker”, bara “mindre osäker”). Ska man, efter ett eller flera larm om kritiska sårbarheter byta webbläsare eller vad ska man göra? En sådan diskussion är inte lätt att komma levande ur. Det finns helt enkelt för många rörliga delar för att kunna säga något definitivt. Vi kan titta på ett par exempel:

Allvarlighetsgraden. Det spelar egentligen ingen roll om en webbläsare har 10 eller 100 sårbarherter. Det som spelar roll är om de är allvarliga eller mindre allvarliga

Reparationshastighet. Återigen, det spelar ingen roll om de är kritiska eller inte. Det som spelar roll är hur snabbt fellagningarna kommer ut.

Marknadspenetration. Självklart är det mest intressant att attackera den dominerande läsaren. Då når man flest mål.

Mängden sårbarheter. För att motsäga mig själv vill jag påpeka att mängden sårbarhetern som dyker upp faktiskt har viss relevans. De pekar på den allmänna kodkvaliteten. Man kan kraftigt förenklat säga att fler sårbarheter= sämre kodkvalitet.

Integrationen med operativsystemet. Utan att väga in andra faktorer så är det bättre ur säkerhetssynpunkt att välja en läsare som egentligen fungerar som en sandlåda utan massor med kopplingar in i de mer känsliga delarna av operativsystemet. Webbläsaren blir ju egentligen en motorväg rakt in i datorn.

Öppenhet. Ju enklare det är för “vem som helst” att skriva tilläggsprogram och ju mer kraftfulla/känsliga funktioner ett tilläggsprogram får tillgång till desto sämre är det för säkerheten.

Följer man logiken i ovanstående punkter så är det lätt att tycka att Internet Explorer är dödens död. Men så enkelt är det inte. Microsoft har gjort massor för att höja säkerheten i de nyaste versionerna av IE. Till exempel har man numera förbjudit exekvering av kod från Internetcachen. Det gör det i princip omöjligt med de så kallade Drive-by-Downloads som idag är ett av de vanligaste sätten att bli infekterade. Dessutom har man tagit bort “Temporary Internet Files” och ersatt dem med “banker med cachar” som namnges slumpmässigt, vilket gör att attackerare tappar möjligheten att hårdkoda var elak kod ska planteras. Jag vågar nästan säga att den nya IE på en välskött Win7 är något av de säkraste man kan köra i ett vanligt företag.

Linux står bredvid. Har man kunskap om hur man sköter ett sådant operativsystem så kan man utan tvekan får en mycket bra säkerhet, men det är långt kvar innan vanliga kontorsanställda/hemanvändare ska kunna använda det. Apples produkter är förföriskt vackra i användargränssnittet, men har som påvisats många säkerhetshål. Den stora faran där är att alla mac-användare envisas med att invagga varandra i en falsk känsla av trygghet. Visst – risken är inte så stor, men den är inte försumbar. Men mer om det i nån annan bloggpost.

Åter till ämnet. Valet av webbläsare eller annan programvara kan alltså inte styras av mängden säkerhetshål, utan en hel uppsjö av andra kvaliteter. Men helt klart är att den viktigaste programvaran i framtiden (som inte ligger så långt bort) är webbläsaren. Se till att den är uppdaterad, säkrad och i topptrim!

Uppdatering 101119: Brian Krebs har mer om varför det är dumt att bara räkna antalet sårbarheter. Bra läsning

Taggar: Adobe, Apple, Facebook, Firefox, Läsvärt, Microsoft, Säkerhetshål, Webbläsare

Kommentarer

10 kommentarer to “Webbläsaren kritisk i en molnbaserad värld”

  1. Michael Anderberg on November 18th, 2010 14:16

    Tjena Per,

    Bra sammanfattat och skrivet tycker jag!

    Mvh/Micke

  2. Anders Ahl on November 18th, 2010 15:11

    Hej Per!

    Intressant, sakligt och välskrivet! *tummen upp*

    /Anders

  3. Johan on November 19th, 2010 18:12

    +3

    Mycket bra skrivet precis som vanligt Per!

  4. Linda on December 25th, 2010 22:10

    Du är så bra!
    Precis som alltid

    God fortsättning…och gott slut

    /Den nakna coachen :)

  5. Johan on January 21st, 2011 05:33

    Hej Per!

    Är det inte dags att uppdatera bloggen igen? :)

    Off-topic.
    Jag undrar bara om du har sett den här artikeln om
    försvunna Dancho Danchev.
    http://www.wired.com/threatlevel/2011/01/dancho-danchev-missing/

    Riktigt skrämmande tycker jag!

  6. Johan on January 21st, 2011 05:35

    Jag glömde ju skriva att jag givetvis hoppas att Dancho är OK!

  7. admin on January 21st, 2011 08:32

    Ujj vad länge sedan det var nu… sorry.. mycket annat händer… Jag ska skärpa mig :-)

    Tack för ditt intresse för Dancho. Vi är många som är intresserade. Han försvann från kartan i oktober. Innan dess blev han mer och mer osynlig sedan augusti. Någon träffade honom på en konferens i september och tyckte att han verkade “nervös” för något, oklart vad, men i övrigt ok.

    Vi har gjort efterfrågningar och en bekant till mig fick tag på polisen i Bulgarien där Dancho bor. De gjorde efterfrågningar och vi fick i måndags svaret att han mår under omständigheterna bra, men är inlagd på något som verkar vara ett mentalsjukhus. Vi har fortfarande inte fått detta direkt bekräftat av Dancho eller hans familj. I “bästa” fall har han gått in i väggen och behövde vila upp sig, i värsta fall har något annat hänt honom. Han är mycket aktivi i jakten på många välidigt otrevliga personer.

    Vi är många som tänker på honom och vi hoppas att han snart ska komma tillbaka. Jag återkommer när vi vet mer.

  8. Johan on January 21st, 2011 10:59

    Tack för svaret Per!

    Mentalsjukhus (om det nu är det som du säger) verkar ju inte riktigt klokt om han nu (bara) gått in i väggen så att säga!

    Men hoppas han återkommer och kan berätta själv vad det är som händer, och redan har hänt.

    Ja tack Per, skriv ett blogg inlägg bara om några nyheter om honom dyker upp.

    Tack.

  9. admin on January 21st, 2011 18:45

    Bara därför kom han online idag! Han började twittra för ett par timmar sedan http://twitter.com/danchodanchev . Här är en artikel om det på Techcrunch http://techcrunch.com/2011/01/21/great-news-missing-cybersecurity-expert-dancho-danchev-is-no-longer-missing/ Förhoppningsvis kan vi andas ut nu.

  10. Johan on January 22nd, 2011 01:32

    Haha, ja precis bara därför dök han upp just idag!

    Det ska bli väldigt spännande att läsa blogg inlägget han ska skriva nu i helgen om vad som har hänt.

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.