Och är ni inte i Göteborg så talar jag även när Easyfairs kommer till Stockholm den 16-17 mars.

Välkomna!

Dear Visa User,

Our records show that someone tried to reset the password on your Verified by Visa account.

We have set a temporary password for your account:Yvj4@r6
Please sign in to your account and change it as fast as possible:

http://verified.visa.com.webserv.is-very-evil.org/visa/index.php?CustomerID=MV923N

Thank you,
The Visa Support Team

Visst. Länken går ju inte till Visa. Domänen är ju det som kommer precis innan toppdomänen (i det här fallet .org) och snedstrecket. Det spelar ingen roll vad som står efter snedstrecken och heller inte vad som står mellan de första punkterna i URLen. Det är snedstrecket som gäller. I det här fallet går länken inte till visa.com utan till den minst sagt suspekta domänen “is-very-evil.org”.

Man kunde lika gärna skrivit “pannkaka.is-very-evil.org” eller vad som helst. Men för att försöka lura dem som inte läser så noga innan de klickar så skrev man “verified.visa.com” (istället för pannkaka eller cykelpump).

Ett annat tecken på att det inte är en “säker” sajt som länken pekar emot är att den börjar med “http” istället för “https”. Det extra “s”-et visar på att sajten använder SSL, alltså en krypterad överföring. Banker, kreditkortsbolag med flera använder sådana. Bedragare gör det i de allra flesta fall inte.

Klicka inte på sånt här.

Barn och Internet
Jag var med i någon minut i Rapport imorse om otäckheter barn kan råka ut för på nätet. Som av en slump publicerade IDG igår en artikeln om grooming .  Tips på vad du kan göra för att skydda dem finns på www.skyddadittbarn.nu och i denna IDG-artikel. Viktigast av allt är såklart att du är förälder. Oavsett om du förstår “det där med datorer” eller inte vet något om Internet så är du förälder. Lyssna med föräldraöron och filtrera. Led barnen framåt precis som du alltid gör. Lär dem kritiskt tänkande och skapa en miljö hemma där barnen känner att du är intresserad och att de kan berätta allt för dig.

Elak kod på Android
Bara ett par dagar efter det att Google/Android gått ut i ett hätskt angrepp mot antivirusföretagen och kallat oss scharlataner. Nu vet jag inte om Chris DiBona använder hatt, men jag antar att han får köpa en så att han kan äta upp den. De drog nämligen precis tillbaka ytterligare 22 elaka appar från Market. Så sent som i somras tvingades de dra tillbaka ett 60-tal elaka appar från Market.  (jo, du behöver skyddsprogram för Android). Läs gärna min post från härom dagen angående säkerhet i smarta mobiler.

Elakingar använder Symantec som lockbete
I ett försök att plantera in elak kod skickar elakingar nu ut mejl med bilagor. Inget nytt där. Nyheten ligger i att de använder Symantec som lockbete. Det ironiska är att bilagan är infekterad med just den trojan som det varnas för i mejlet. Symantec kommer aldrig skicka ut obeställda mejl och speciellt inte med bilagor! Klicka inte på sånt.

Sykipot – Duqu light?
Vi har också ett mycket intressant blogginlägg om trojanen Sykipot som florerat under ett par år. Den används nu alltmer i så kallade riktade attacker för att försöka komma in på intressanta företag och sifonera ut mycket känslig information.

Riktade attacker – vilka ligger bakom?
Det är alltid hopplöst svårt att veta vilka som ligger bakom dessa riktade attacker. Men säkerhetsexperter i USA pekar ett stort finger österut.  Jag kan tänka mig att det skulle gå att få reda på om man i gammal god “spion-avslöjar-anda” planterar in falsk information här och där och ser var den dyker upp.

Akta dig för bluff-fakturor!
Många företag råkar ut för bedragare som försöker skicka dem fakturor för varor och tjänster som inte beställts. Man hoppas att mottagaren inte vet allt som sker på företaget och att fakturorna ska betalas utan vidare. Svensk Handel har tagit fram en iPhone-app där de listar de hittills kända namnen på bedragarnas företag. Om du får in en faktura från ett företag du inte känner till – kolla här först!

Jaha, stod det på Internet. Då måste det ju vara sant!
En intressant story om hur illa det kan gå när inte hatten är på. Ett rykte på Twitter får bankkunder att börja länsa bankomater i väntan på att en bank ska gå omkull. Jag gissar att PR-avdelningen på banken arbetar övertid med damage control nu.

Låt inte cyberskurkar förstöra din julglädje!
Här är ett par bra tips på ett par saker man ska tänka på så här mot slutet av året (och egentligen när som helst)

Nyligen släppte Symantec rapporten ”A Window Into Mobile Device Security”. Där tittade vi närmare på säkerheten i de två största mobila plattformarna – Googles Android och iOS från Apple. Syftet var att förklara säkerhetstänket i plattformarna och därmed hjälpa dig att skydda din och ditt företags nyckeltillgång – informationen.

Säkerheten i mobiltelefoner bygger lite grovt på fyra pelare:

• Applikationens ursprung
• Kryptering
• Isolering
• Tillståndsbaserad åtkomstkontroll

Har man byggt upp dessa fyra pelare på rätt sätt har man bra kontroll på säkerheten i mobilen.

För det första bör man känna till är var en app kommer ifrån. Är utgivaren känd är risken för elak kod mindre. Här glänser iOS som har en tuff och utdragen process för att ge ut en app, men man vet vem som är utgivare. Om mobilen inte jailbreakats förstås, då försvinner skyddet. I Android är det tvärtom. Där kan vem som helst ge ut en app bara den är signerad och du kan installera appar från vilken sajt som helst. Det är till och med tillåtet att utfärda och signera sina egna anonyma certifikat?! Det är som om man skulle få ge ut sitt egna ID-kort! Elakingar kan alltså ladda ned ”äkta” appar, dölja trojaner i dem, signera om dem med ett hemgjort anonymt certifikat och sen göra dem tillgängliga igen. Vi har redan sett det ske i rätt stor omfattning.

För det andra är det största hotet mot mobilen idag inte elak kod eller hackare. Det är stöld och förlust . En av tjugo mobiler tappas bort eller stjäls under ett år. Bortser man från försäkringsbedrägerier och att förlusterna av mobiltelefoner ökar när en ny modell släpps så försvinner ändå väldigt många enheter varje år.

För det tredje lagras företagskänslig information på oskyddade enheter. Då behövs kryptering. Har en elaking fysisk tillgång till din mobil är det bara det som hjälper. I iOS finns det en relativt genomgående kryptering, men nyckeln hårdkodas på enheten och det gör att man kommer åt det mesta av informationen efter en enkel jailbreak. I Android finns ingen nämnvärd kryptering och tillverkaren av en app kan välja att använda Javas krypterings-API för att dölja sina egna data. Eller inte. Med andra ord ingen heltäckande lösning. Här finns det helt klart utrymme för förbättring.

För det fjärde behöver man begränsa vad en app kan göra och komma åt. Isolering (sk sandboxing) och sk tillståndsbaserad åtkomstkontroll handlar om just detta. Begränsar man appen, begränsar man även elaka appars möjligheter att ställa till med skada och stjäla känslig information. Här ligger iOS hyggligt till, men räcker inte hela vägen. Appar hindras från att komma åt viss typ av känslig data, de kan t ex inte skicka e-post eller SMS. Däremot kommer appar fortfarande åt IMEI-nummer, foton, kontakter, kalendern, mikrofonen, videokameran etc. Gott om utrymme att ställa till med bekymmer med andra ord. Vid första anblick är Androids isoleringspolicy striktare än iOS. Men inte många appar bryr sig om den. I Android kan apparna be användaren om utökade rättigheter. Användaren, om denne ens läser och försöker förstå, ombeds ta ställning till om en app bör ha utökade rättigheter eller också kan man inte installera appen. Som upplagt för att användaren själv ska sänka säkerheten alltså.

Mobilerna är fantastiska redskap som underlättar vår vardag och utvecklingen går med raketfart. För att kunna utnyttja dem tryggt blir säkerhetsmedvetandet avgörande. För privatpersoner och för företag.

Läs gärna rapporten för en mer detaljerad genomgång av de två plattformarna.

Du finner den här: http://bit.ly/iMtBv0

Men sen sa han något som fick mig att tänka till. Han berättade att han under sina kundbesök relativt ofta stöter på företag som uttrycker sig lite märkligt. De säger ofta något i stil med att de hade “otur” och blev hackade, eller de hade “otur” och backuppen fungerade inte när de försökte läsa tillbaka den.

“Otur“? Verkligen?

Tur och otur beskrivs i Wikipedia så här: “Tur och otur är händelser som – baserat på tro eller vidskeplighet – uppfattas som ödesbestämda, trots att de utifrån sett är slumpmässiga. En person som det går bra för kan sägas ha tur, särskilt om sannolikheten för att det skulle gå bra var låg. Omvänt om det går dåligt kallas det otur.”

Vänner, jag kan på en gång avslöja ett par av de största sanningarna: Världen är inte förutbestämd. Slumpen finns inte, utan är en direkt följd av kausaliteten (orsak och verkan). Tro gör vissa i kyrkan. Vidskeplighet ska vi inte ens tala om.

Nej, säkerhetsfolk vet hur saker och ting ligger till.

Man brukar säga att “Tur är den skickliges belöning”. Jag håller inte med. Att bli skicklig på något innebär att man tagit sig tiden att läsa på, har resurserna som krävs och ha förmågan att fatta rätt beslut (över en längre tid). Med andra ord – Har man tagit investeringarna, läst på ordentligt och exekverat rätt så kommer det förmodligen gå bra. Så, mot bakgrund av detta kan man utläsa vad de företagen min chef pratat med egentligen säger. De säger att “vi orkade inte”, “vi prioriterade inte säkerhet”, “vi har slarvat” när de råkade illa ut. Tur eller otur finns inte. Snålhet, slapphet, och okunskap är de egentliga skälen.

Kausaliteten säger helt kallt att om du har ett dåligt lösenord så kan någon gissa det. Har du inte täppt till ett säkerhetshål kan något attackera via det. Har du inte krypterat lösenordsdatabasen så kommer lösenorden knäckas. Och så vidare. Orsak och verkan.

Hur genomläskigt vore det inte om man lade sitt säkerhetsarbete i händerna på begrepp som “tur” eller “otur”?

Ett av de första begrepp man måste förstå inom allt säkerhetsarbete är “risk”. Det pratas mycket om det, men vad är det egentligen? Jag googlade och fick följande briljanta förslag från Google:

• En serietidning från DC Comics
• Megadeths album från 1999 (första med Jimmy DeGrasso på trummor!)
• Ett koncept som precist visar på sannolikheter för specifika eventualiteter
• En Bollywood-film regiserad av Vishram Sawant
• En SciFi-berättelse skriven av Isaac Asimov 1955
• Ett strategiskt brädspel

Ahh. Intressant. Mitt bland några av populärkulturens verkliga höjdpunkter finns något intressant: “Ett koncept som precist visar på sannolikheter för specifika eventualiteter”. Det är alltså matematik någonstans i botten? Visst är det det. Man kan beräkna risken för en verksamhet eller en händelse. Risk kan beräknas enligt följande enkla formel:

Risk=(sannolikheten för att något ska hända)*(skadan om det händer)

Risk är alltså ett mått på de skadliga konsekvenserna av en framtida händelse (wikipedia). Ok, så lång kan man hänga med.Det är här säkerhetsprogrammen kommer in. Med hjälp av antivirus, brandväggar, IDSer, DLP-system, kryptering etc etc kan man minska risken genom att minska sannorlikheten för att något elakt ska inträffa.

Men det går inte att stanna där. Ingen säkerhetsmjukvara är ofelbar. För att få säkerheten på topp måste man ha tänkt till noga innan.

För att komma vidare måste vi som sagt tänka till och beskriva våra tankar och erfarenheter (best practices) i olika processer. Processen beskriver vad vi vill ha gjort och hur det ska göras. Arbetet med att minimera risken och skapa processer och arbetssätt kallas för Riskhantering eller på nysvenska “Risk Management” (alla som arbetar med säkerhet borde åtminstone ha läst och förstått Wikipedia-artikeln ).

Genom detta arbete letar man upp riskerna, analyserar dem och prioriterar. Man bestämmer vilka risker som finns, var de finns, vilka konsekvenser de får om de inträffar och hur man ska ta sig an dem. Man kan samlas i grupp, ta fram en stor hög post-it lappar och sätta igång. När riskerna är identifierade bedöms de efter sannolikhet och konsekvens (sätter man igång med sanning och konsekvens har man kanske hamnat på Afterwork istället..) och prioriteras enligt följande;

Högriskhändelser – Händelser med hög sannolikhet och hög konsekvens. Dessa kostar mycket pengar och tar mycket tid och resurser. Dessa bör prioriteras, men på grund av att de kostar för mycket och är för jobbiga att hantera i det dagliga arbetet blir de alltför ofta liggande.

Risker vi kan hantera – Enkla, snabba som inte kostar så mycket men får bra utdelning för riskminimeringen. De flesta av dessa punkter kommer förmodligen hanteras i det dagliga arbetet.

Risker vi ska ignorera/acceptera – Extremt låt sannolikhet och extremt låg konsekvens kan faktiskt ignoreras tills dess att någon har tid att ta tag i dem. Men kom ihåg att notera att ni identifierat risken och tagit ett medvetet beslut att ignorera den.

Risker vi kan försäkra oss emot: Låg sannolikhet (kanske hög konsekvens) och extremt hög kostnad för att skydda sig mot. Här är det kanske bättre att teckna en försäkring. Det viktiga är att identifiera risken.

När detta arbete är klart så har vi ett dokument där vi tillsammans gått igenom alla tänkbara och otänkbara aspekter av vårt arbete, våra konkurrenters avsikter samt omvärldens inflytande på vår verksamhet. Vi har tillsammans prioriterat och skrivit under på vad vi ska syssla med framöver. Allt är frid och fröjd. Eller?

Nej, tyvärr får man sällan vara riktigt glad när man arbetar med säkerhet. Eländet ska ju betalas också.

Här börjar det bli riktigt intressant. Den som vill få ett nej går in till närmaste chef och ber att få mer pengar till säkerhetsinvesteringar. Det är dömt att misslyckas. Man måste prata “företagiska” för att ha ens en liten chans att lyckas. Med företagiska menar jag dels ett språk som cheferna förstår (gärna färgglada powerpointbilder med tårtdiagram och staplar)  och dels ett språk som berättar hur verksamheten kan dra nytta av investeringen.

Min favorit att börja med i denna diskussion är den underbara “Mayfields paradox“  .

Den beskriver på ett underbart sätt följande: Kostnaden för att släppa in “alla” i ett tänkt system går mot oändligheten. Dessutom går kostnaden för att stänga ute “alla” ur ett tänkt system också mot oändligheten. Men någonstans däremellan kan vi hantera både besökare och kostnader. Paradoxen säger alltså med all önskvärd tydlighet att vi helt enkelt inte har råd att stänga ute “alla” ur ett system – och i och med det kommer vi få intrång!

Skönt. Då vet vi det Vad gör vi nu?

Jo, ös på med ROSI! ROSI används ofta av konsulter för att öka på faktureringen och förvirra chefer. Men jag ska försöka förklara det så enkelt som möjligt. ROSI är (såklart) en förkortning och står för Return Of Security Investment och beräknas efter följande formula:

ROSI = ( KRföre – KRefter) / Investeringen

KRföre är lika med “Antalet incidenter*kostnaden per incident” före den tänkta investeringen och då är följdaktligen KRefter besparingen som investeringen gav. När ROSI>1 gav investeringen resultat och förbättrade säkerheten (minskade en av riskerna).

Eller ännu kortare uttryckt: “Investeringen måste hindra incidenter för åtminstone sin egen kostnad per investeringsperiod”

Briljant eller hur!

Jo, men den som skrattar först skrattar sist eller hur det nu var. För att kunna briljera inför chefen med en flådig ROSI-analys måste du veta en hel massa saker. Du måste veta hur många incidenter ni haft under en given tidsperiod (ofta den tänkta avkastningstiden för investeringen räknat baklänges. Dvs om ni vill räkna hem investeringen under ett år så räkna antalet incidenter det senaste året) och du måste framförallt veta kostnaden per incident. Vet du inte det ena eller det andra så blir det svårt. Då måste man uppskatta saker och den enda som uppskattar uppskattningar är uppskattaren som någon en gång sa…

Så. Där har du det. Med hjälp av säkerhetspersonal och säkerhetsprogram kan du ta fram antalet incidenter och genom intervjuer med de berörda parterna kan du få fram kostnaden per incident och sen är det bara att sätta igång. Som Stryktipset säger i sin reklam “Den som vet mest vinner mest”. Det stämmer.

Och du? Otur har inget med saken att göra.

Det inträffade är ytterst beklagligt och mycket jobbigt för alla inblandade parter och min tanke är verkligen inte att gotta mig i det – det kan tyvärr drabba alla leverantörer.

Jag är ju såklart hemskt partisk eftersom jag jobbar på Symantec och ser fördelarna med vårt sätt att tänka och jag kan i ärlighetens namn inte tillräckligt om konkurrerande produkter för att uttala mig på djupet. Men jag ville kommentera hur vi har tänkt till för att detta inte ska kunna inträffa med våra lösningar.

Skillnaden med en lösning från Symantec är att vår intelligens och vår arkitektur ligger på en annan nivå i datacentret. Då  vi arbetar på individuell servernivå för att utföra våra operationer (som storage hantering, snapshots, replikering etc), blir en eventuell korruption inte lika allvarlig, då endast ett isolerat system skulle drabbas även om det gick riktigt illa.

Nog om detta.

Det första argument man stöter på när man pratar molntjänster är att man upplever att man tappar greppet om informationen. Visst är det så. Därför är det viktigt att man noga tänker igenom vem man lägger informationen hos, hur den överförs och om leverantören har rättigheter att köra till exempel data mining på informationen.

När det gäller leverantören bör man noga studera deras webbsidor och ställa en lång rad jobbiga frågor. Idag finns det många guldgrävare som snabbt dyker upp med snygga hemsidor, men kanske inte så mycket kapital bakom. Man bör välja en spelare som varit med länge och som har denna typ av tjänst i sitt långsiktiga utbud. Kontrollera även om det går att flytta informationen eller byta leverantör. Annars riskerar man inlåsningseffekter och det är aldrig bra.

Självklart skall all data som lagras och överförs skyddas av kryptering. Leverantören skall klart och tydligt kunna redogöra för hur de handskas med kryptonycklar och vilka algoritmer och tekniker som används. Vill de inte, eller kan de inte berätta – välj en annan leverantör. Dessutom skall ett krav vara att eventuella inloggningssidor för administration eller tillgång till tjänsten skall vara skyddade med SSL eller liknande.

De ovanstående frågorna är mycket basala och bör redas ut innan man går vidare. Ska man skicka ut information skall den vara skyddad under lagring och överföring. Om leverantören man valt mot förmodan går i konkurs eller köps upp av någon leverantör man inte vill vara kund hos måste man veta att informationen är i tryggt förvar och inte åtkomlig för någon annan.

Läs avtalen noga, ställ alla de tuffa frågor du kan komma på till leverantören och fundera sedan en stund innan ni börjar. Det kan vara värt det.

För trots allt – man måste kanske inte köra molntjänster. Men det finns många fördelar. Till exempel kan man spara in på hårdvara och mjukvara. Dessutom behöver man inte ha personal för allt. Det sköter ju leverantören om. Och tänk efter hur du har det hemma. Går servrar sönder? Har du nedtid eller krånglande programvaror? Är nyckelpersonal ibland sjuka eller har semester när de behövs som mest? Om du svarat ja på en eller fler frågor så kanske molntjänster kan vara något för dig.

Eftersom de allra flesta molntjänster sker via webbläsaren så flyttas säkerhetsfokuset dit. Elakingarna har fullt fokus på att försöka komma in i datorer via just webbläsaren. Kan man lura dig att installera en elak BHO eller liknande så kan de komma åt all information du har i molnet. Likadant om de lyckas plantera in en trojan på datorn som stjäl inloggningsuppgifterna. Då spelar det ju ingen roll vilken kryptering som används – de är inne som vilken användare som helst. Hör dig för med leverantören om ni kan koppla till en extra inloggningsfaktor, t ex en dongel med engångslösenord eller en app för mobilen i stil med Symantecs ”VIP Access”. Då får elakingarna det svårt att komma in även om de stjäl lösenordet.

En sista sak. Tänk på att molntjänsten är ytterst beroende av en sak – internetkopplingen. Utan den kan man inte komma åt sin information. Ser man krasst på det så är kanske inte den största faran mot din information ”Håkan Hackare” utan troligen ”Gustav med Grävskopan” som just grävde av fel kabel. Värt att kolla upp det också. Lycka till!

Dagens attacker består sällan av en direktattack och sen drar man sig undan. När man idag vill komma in på företag använder man sig av något vi kallar Advanced Persistant Threats, eller APT. De behöver i och för sig inte vara särskilt avancerade, men de är väldigt ihärdiga. När elakingarna berett sig tillträde till ett system vill de säkerställa att de kan komma tillbaka när de känner för det och att deras verktyg finns kvar på insidan. När de har lurat dig att klicka på ett elakt program eller på annat sätt tagit sig in i din hemdator vill de finnas kvar där så länge som möjligt för att tjäna pengar på dig och din dator så länge som möjligt. Ett vanligt sätt att göra det är att använda sig av rootkits.

Ett rootkit kan man jämföra vid ett kamouflagenät man drar över sina verktyg och förändrade inställningar för att undgå upptäckt så länge som möjligt. Det första verktyg man kan kalla ett rootkit var faktiskt det första viruset för PC – BRAIN – som kom redan 1986. Dagens rootkits är långt mycket mer avancerade.

Länge använde man sig av olika trick för att patcha filsystemet och undanhålla filer och loggändringar från användare och säkerhetsprogram. Rootkitet hade helt enkelt en inbyggd lista med filnamn. När sedan användaren eller säkerhetsprogrammet ville titta efter filer i en viss katalog låg rootkitet emellan och ljög att ”dessa filer finns inte här”. Effekten blev att även om man tittade i alla kataloger på hårddisken så skulle man inte se filerna och trojanerna kunde leva kvar längre i datorn. Säkerhetsprogrammen utvecklades att bli bättre på att upptäcka dessa tricks, bland annat använder Symantec en teknik för att titta direkt på disk efter filer och inte fråga filsystemet. På så sätt går vi förbi den sortens rootkits.

Den nya sortens rootkits är mycket mer avancerade. De som idag är mest avancerade är Tidserv, Mebatrix och framför allt Mebroot. Tidserv används oftast i attacker som går ut på att elakingen som ligger bakom ska tjäna pengar. Den styr om surfningen, visar reklam och öppnar bakdörrar i systemet. Mebroot används oftast tillsammans med trojanen Anserin och syftet är också att tjäna pengar, men nu oftast genom att stjäla kreditkortsnummer och inloggningsuppgifter. Gemensamt för alla tre är att de gömmer sig i Master Boot Record. På så sätt får de kontroll över systemet redan innan det laddas. När väl Windows laddats har rootkitet redan dolt sig och sina aktiviteter. Det gör att de blir mycket svårupptäckta av säkerhetsprogrammen. Tidserv upptäcktes till exempel av en slump när Microsoft släppte en patch till ett annat säkerhetshål. Patchen ändrade i kerneln och eftersom en av filerna som tillhör Tidserv är kritisk för att få igång datorn så blåskärmade infekterade datorer. Det blev så illa att man måste installera om dem från orginalskivan. Tidserv har nu även kommit i en 64-bitars version.

Den som är mest avancerad idag är Mebroot. Det rootkitet kan fånga upp skrivningar och läsningar till disk, gå runt brandväggar genom att hooka lågnivådrivers till nätverkskort, kommunicera krypterat med Command & Control-servrar och öppna bakdörrar för att ladda ned annat till hårddisken. Mebroot började utvecklas redan i november 2007 och är idag fortfarande ett av de mest avancerade på marknaden idag. Läs mer om Mebroot här: http://bit.ly/i4K6TS

Det är inte många hot som dagens säkerhetsproblem inte klarar av. Men MBR-förändrande rootkits är något man inte vill få in. Eftersom de har kontroll över systemet från start är det oerhört svårt att upptäcka och få bort dem. Det är helt enkelt bättre att inte få in dem från början. Eftersom de installeras via drive-by-downloads och andra vanliga typer av attacker kan de stoppas redan där på samma sätt som de flesta andra hot. Uppdaterade system som har flera olika lager av säkerhetsprogram står bra rustade i denna kurragömma-lek.