Nätsäkerhet – verkliga och inbillade hot

Hur säkert är ditt nätverk? Tänk om någon hackade din printer? Hur undviker du att din dator smittas med virus?

De gamla fåtöljerna på alternativbiografen Bio Rio i Stockholm känns inte som de designerstolar på konferenscenter som säkerhetsfrågor brukar diskuteras på. SEC-T är säkerhetskonferensen som på tre år har blivit en av de mer intressanta mötena för hacking och säkerhet. Kanske går det att skapa sig en tydligare bild av läget för IT-säkerhet i denna mer alternativa miljö, med hackers på rätt sida av lagen?

Grundteknikerna för en hacker kan vara slående enkla. Att trycka på F5 tangenten uppdaterar innehållet i en webbläsare när den läser en hemsida, sätt nu några tusen som gör det på samma gång och sajten kraschar! Köp botnet-mjukvara och ta kontroll över många användares datorer och gör attacken distribuerad. Estland angreps år 2007 med just en så kallad distributed denial of service attack, som slog mot parlamentet, banker, myndigheter och medier.

Ökad uppkoppling ger ökad sårbarhet. Routrar, smarta telefoner, verifieringar av köp och betalningar, trådlösa nätverk etc öppnar möjligheter för hackers att angripa. Oavsett alla PIN-koder, RFID-kort och tillgänglighetsnycklar så vet få om hur osäkra och svaga systemen är.

Årets tema på SEC-T handlar främst om komponenter inom IT-infrastrukturen, som printrar, servrar och deras operativsystem. De är områden som kan vara svåra att till sig för dem som inte är specialister.

IT-säkerhet omfattar mer än infrastruktur (nät, hårdvara, applikationer, middleware etc). Det räcker inte alltid med att uppdatera sina program, om inte apparater kopplade till nätet också har uppdaterad säkerhet, vilket de sällan får. Apparater uppkopplade till nätet är ofta sårbara då tillverkarna sällan tänkt på att göra dem säkrare. Välkända säkerhetshål förblir oroande ofta olagade.

Det säkraste nätverket är ingenting värt om någon rent fysiskt bara gå in och koppla upp sig. En allvarlig fråga med tanke på hur ofta USB-stickor används, och att den har blivit en osäker standard för många tillbehör.

Hotbilden ser förstås olika ut beroende på vem du är, vad du vill skydda och vilka dina nätvanor är. En hemmaanvändare är skyddad med sunt förnuft och säkerhetsprogram. Stora företag har kompetensen för att skydda sig, eller kan hyra in den. Det mest hotade är små och medelstora företag och större användare som är begärliga för angrepp, men inte har resurserna att skydda sig.

Alltmer av vårt vardagsliv, som banktjänster, våra relationer till myndigheter och företag samt vårt arbetsliv, flyttar ut på nätet. Var ligger ansvaret för säkerhet att använda tjänsterna och vad kostar det mig som privat användare? Att ha en fungerande, någorlunda användbar dator ur säkerhetssynpunkt kostar. Både tjänster och hårdvara åldras snabbt. Nackdelen med tunga antivirusprogram och brandväggar gör att tillgänglighet till tjänster saktas ned.

Ett vardagligt exempel ges av Julia Wolf, säkerhetsforskare på FireEye. Hon informerar om PDF-filers risker, då de olika läsprogrammen (parsarna) inte läser filerna på samma sätt. Då går det att smyga sig förbi antivirusprogrammen.

Ett annat exempel är att kapa internettelefonitjänsten Skype för att få tag i modempoolers och PBX:ers (telefonväxlar för företag) telefonnummer.

Särskilt efter det stora angreppet på Estland har risken för riktigt storskaliga hackarattacker debatterats. Ribban för att utkämpa ett cyberkrig är lägre än för ett reguljärt krig.

Säkerhetskonsulten Michael Kemp talar om Nordkorea, och dess fruktade Enhet 121, med 17 000 hackers redo att utföra den käre ledaren Kim Jong Ils vilja. Den sydkoreanska militären och amerikanska säkerhetsexperter har varnat för ett nordkoreanskt angrepp på G20-mötet som hålls i Seoul i november. Kemp visar att det inte ligger mycket i varningarna. Nordkorea har mycket begränsad tillgång till internet, och intranätet Kwangmyong är inte så mycket mer tillgängligt då hårdvaran är för dyr. Det finns fem fasta telefoner per hundra invånare, och GSM-nät finns bara i huvudstaden Pyongyang. Nordkorea har vare sig kompetensen, resurserna eller infrastrukturen för cyberkrigföring. Kemp gissar att ett rykte förstärktes av experter, plockades upp av trovärdiga källor som The Economist och blev ”sanning” då det gynnar vissa politikers och särintressens agendor.

Föredragen på SEC-T visar att säkerhetsfrågan bör tas med en nypa salt. Vissa aktörer marknadsför sig genom fruktan, osäkerhet och tvivel. För att sälja mer säkerhetstjänster, eller för att skrämma bort kunder från konkurrenters produkter. En certifiering garanterar inte säkerhet. Tveklöst orsakar hackers stora skador och det finns i längden inga osårbara system.

Ligger lösningen i bättre teknik och bättre säkerhetstänkande? Delvis, en fungerande säkerhet handlar om att väga kostnader mot sannolikheten att bli hackad. Det har blivit lättare för scriptkiddies (hackare som använder skript och program som utvecklats av andra) att utföra attacker, eller att göra angreppen mer kraftfulla genom botnets av frivilliga datorer. Det är en kostsam terrorbalans.

Tillfället gör tjuven, men motiven är olika. En del gör olagliga hack för att få uppmärksamhet och status i den egna grupp, andra utför databrott för pengarnas skull.

Lagarna behöver anpassas till vad som sker på internet, men syftena med lagarna måste vara desamma. Detta då lagarna bör företräda de värderingar som hela samhället delar. Det främsta skyddet för liv, frihet och egendom även på nätet är en moralisk känsla hos medborgarna att ”vissa saker gör man inte”. Intrång, hot och stölder leder till ett dåligt samhälle, även för förbrytaren i slutändan.

Waldemar Ingdahl
VD tankesmedjan Eudoxa
www.internationalpropertyrightsindex.org

3

Kommentarer

  1. Scary Devil Monastery

    Intressant artikel.

    Ur rent praktisk synvinkel vill jag här hävda att det största problemet som finns och alltid har funnits ur säkerhetssynvinkel är och förblir fenomenet PEBKAC – Problem Exists Between Keyboard And Chair.

    Du kan ha en fullständig säkerhetslösning med chiffernycklar som dynamiskt byts, enbart kabelöverföring, låsta och begränsade nätverk som kräver multipel verifiering…och allt åsidosätts första gången en användare sätter sig ned och väljer ett lättknäckt lösenord.

    USA har i sin ohemult storvulstiga Office Of Homeland Security uppskattningsvis 850000 anställda med ”Top Security” clearance. En stor del av dessa är civila konsulter. När en säkerhetslösning bevisligen är lika effektiv som den svagaste länken i kedjan säger det sig själv att en kedja med 850000 länkar aldrig kan vara särskilt stark.

    Windows Vista/7 har förmodligen den bästa användarsäkerheten out-of-the-box av alla Microsoft’s OS menade för hemanvändare hittills (vilket i och för sig inte säger så mycket) – men användare missar rutinmässigt att uppdatera, och installerar rutinmässigt programvara och aktiv-x utan att låta vare sig antivirus eller antimalware-programvara ens sniffa på det de installerar.

    Den ”normala användaren” på internet utför i sin vanliga vardag på nätet ekvivalenten av att dansa naken på E4’an, tatuerad med sina persondetaljer och hållande en stor neonskylt ovanför huvudet med namn och hemadress klart synlig. Det säger sig självt att första steget, andra steget, och tredje steget till bättre säkerhet är att lära vanliga användare sunt förnuft av samma slag som det man i vanliga livet får lära sig.

    Jag känner folk som använder standardlösningen att utföra samtliga sina digitala ärenden – spel, surf, med mera – från virtuella maskiner de kör på sina datorer. Det är inte direkt svårt.

    Problemet, i min mening, är att vanliga användare idag helt enkelt inte är förmögna att göra riskbedömningar. Och ofta värjer sig in i det sista mot att behöva lära sig tillräckligt mycket för att kunna göra en sådan.

    Vad jag har sett hittills är att det sorgligt nog verkar vara 50-talisterna och äldre som är de mest nyfikna – den äldre generationen som lär sig hantera datorer vill ofta veta var farorna ligger. 70-talisterna kan man nästan betrakta som en ”förlorad generation” i det avseende…

  2. Hej Scary Devil Monastery

    Läget är lite svårt att sätta fingret på, det finns som sagt mycket FUD i branschen. Ja, det finns risker för vanliga användare och kryptering kommer säkert att användas mer. Lösningen på säkerhetsproblem har hittills setts som en teknisk lösning, de stora vinsterna kan göras i vardagssäkerhet och nätikett.

  3. Scary Devil Monastery

    ”de stora vinsterna kan göras i vardagssäkerhet och nätikett.”

    Något som traditionellt har varit mycket svårt att lära folk som inte har intresse av IT. För många kan just spelkonsollsprincipen eller ”dumb terminal” vara en lösning…men om vi skall titta på ett fenomen som kunde orsaka den fördumningen som Nicholas Carr teoretiserar om så är det nog just det.

    Arthur C. Clarke brukade säga att ”Sufficiently advanced technology is indistinguishable from magic”. Den gränsen har vi i och med informationsteknologiåldern sedan länge passerat. Just här och nu har vi ett paradigm där en mycket liten minoritet faktiskt vet vad som är möjligt och inte – för resten, den breda massan av användare – och, än värre, beslutsfattarna – är IT bara frågan om en form av nyttig men ack så störande form av magi.

    När det gäller mer eller mindre alla andra teknologiska landvinningar i samhället har vi tagit för givet att merparten lär sig tillräckligt mycket för att hjälpligt kunna hantera den även på underhålls och säkerhetsnivå. Ta exempelvis den bilförare som inte kan kontrollera däcktryck och olja – han/hon blir inte långvarig i trafiken.

    Det här problemet gäller i min erfarenhet till största delen de som idag är 40-50 år. 60/70-talisterna primärt kan man nästan betrakta som ”Den förlorade generationen”. Bland de som är äldre än så hittar man vad jag kan se fler som är nyfikna och villiga att lära sig, och hos de yngre hittar vi de som växte upp med datorn som något naturligt.

    Min tanke är att vi kommer att få vänta tills majoriteten av den vuxna befolkningen är de som vuxit upp med förförståelse inom grundläggande informationsteknologi innan vi har en chans att överhuvudtaget lära ut vanlig grundläggande netiquette och sunt förnuft.

Kommentera artikeln