It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Month: november, 2009

Perverterade incitament i Postkodslotteriet

(Publicerad 2009-11-23)

En sårbarhet i Postkodslotteriets Tittarfråga har under en tid utnyttjats av ett fåtal personer för att vinna en massa pengar. Som vanligt är incitamenten dåligt anpassade.

Aftonbladet publicerade igår artikeln Proffsspelarna blåser tittarna om personer som använder särskilda strategier för att öka sina vinstchanser i Postkodlotteriets tittarfråga.

Tävlingen
Tittarfrågan är en, oftast väldigt enkel, fråga med fyra svarsalternativ som visas under varje program. Om du tror att du har rätt svar och vill tävla ringer du 099-313 30 och har du tur kommer du igenom slumpvalet och får svara på Tittarfrågan. Därefter kommer ytterligare tre frågor. Vinnaren är den som snabbast svarat rätt på de tre ytterligare frågorna. (Beskrivningen är hämtad från Aftonbladets artikel.)

Hur man vinner
Strategin för att vinna är enkel; när frågan visas ringer du tillräckligt mycket för att komma fram till de tre frågorna, kollar upp svaren med Google och memorerar dem. Därefter ringer du upprepade gånger och varje gång du kommer fram till frågorna svarar du så fort som möjligt, med bara tre frågor räcker det förmodligen med frågans första stavelse. (Man får anta att svarsalternativens ordning inte är slumpmässig.)

En mycket enkel och, uppenbarligen, effektiv strategi. Men, även om personerna inte bryter mot varken några lagar eller regler så kan nog de flesta vara överrens om att det inte är ”fair play”.

Varför är det så här då?
Vem drabbas av det här? Vanliga tittare; de som ringer en eller ett par gånger och hoppas på att ha tur. De har inte en chans när det finns strateger med i spelet. Vad kan jag som vanlig tittare göra åt saken då? Inget, möjligen kan jag bojkotta Postkodlotteriet eller hela TV 4 men det är bara naivt, gör inget för att förbättra läget och leder dessutom till att jag inte kan vara med i spelet jag ville spela från första början.

TV 4 då, lider de av det här på något sätt? Nej, inte alls, de har endast två avsikter med Tittarfrågan och det är att (1) få en del av de 9,90 kr som det kostar att ringa och att (2) få högre tittarsiffror (som i o f leder till inkomster på andra sätt). Om man gör det sannolika antagandet att de två strateger som verkar dominera vinnarlistan inte skulle spela alls om de inte kunde vara relativt säkra på att vinna så leder det bara till att TV 4 faktiskt tjänar mer pengar.

(I sammanhanget är det förmodligen bara en spottstyver. Trots detta verkar de agera för att mörka det hela genom att inte publicera namnen på vinnare. Detta behöver dock inte vara i vinstsyfte utan kanske för att slippa behöva designa om sitt kassa system.)

Det här är ett klockrent exempel på perveterade incitament; den part som har bäst möjlighet att göra något åt problemet är inte de som får lida för det.

Jag kan inte nog understryka hur viktig ovanstående paragraf är, om du vill läsa mer om problemet rekommenderar jag Ross Andersons sida om ekonomi och säkerhet.

Några (svagt genomtänkta) förslag på vad TV 4 skulle kunna göra för att avhjälpa problemet:

  • Inför en obligatorisk betänketid på 5+n sekunder (där n är slumpmässig mellan 0 och 2 sekunder) efter att svarsalternativen lästs upp.
  • Skippa modellen med tre statiska frågor och utnyttja istället den enorma bank med enkla och medelsvåra frågor som programmet borde ha tillgång till. Att läsa in frågorna borde vara ett mindre problem.
  • Att slumpa fram ordningen på svarsalternativen är ingen självstående lösning på problemet och meningslös i samband med obligatorisk betänketid men kan säkert skydda mot andra attacker.
  • Eventuellt skulle någon form av gräns på antal samtal eller samtal per tidsenhet införas men det ligger knappast i bolagets intresse.

När det säkerhetsproblem finns i system, ägna alltid en tanke på vem som får lida och vem som har bäst möjlighet att skydda systemet. Det är sällan samma person.


Stefan Pettersson

Tre grundläggande steg för att hamna i ett botnät

(Publicerad 2009-11-20)

Network World har nyss släppt artikeln 3 Basic Steps to Avoid Joining a Botnet, tipsen är som följer (fritt översatt):

  1. Patcha systemet och håll antivirusprogrammet uppdaterat.
  2. Använd de senaste versionerna av webbläsare.
  3. Var lite mer försiktig när du får länkar eller bifogade filer.

Det finns tusen liknande artiklar (vi är skyldiga till ett par). Efter att ha läst den i Network World undrar jag om det inte är nyttigt att göra motsatsen, det borde åtminstone visa på hur lätt det kan vara att trilla dit.

Så, tre grundläggande steg för att hamna i ett botnät:

  1. Installera Windows XP, skippa gärna ett servicepack för bättre effekt men det är inte nödvändigt.
  2. Installera massor av program, som minst följande; Quicktime, Adobe Acrobat, Adobe Flash, WinAmp, RealPlayer, Java RE och Microsoft Office.
  3. Öppna Internet Explorer 6 och ge dig ut och surfa som vanligt. Det kanske tar tio minuter, det kanske tar fyra månader, men snart så är du med i botgänget.

Men, säger många, det där låter som min kompis dator. Ja men sen finns det ju väldigt många, väldigt stora botnät också, någons dator måste ju ingå i dem.

Trevlig helg i alla fall!


Stefan Pettersson

Att förstå bedrägerioffer

(Publicerad 2009-11-18)

Säkerhetsforskarlaget på Cambridge har värpt ännu ett guldägg.

Tillsammans med en av personerna bakom den brittiska TV-serien The Real Hustle (”Syna bluffen” i svensk TV) har Frank Stajano författat rapporten Understanding scam vicitims: seven principles for systems security (pdf).

Sammanfattningen av rapporten lyder:

The success of many attacks on computer systems can be traced back to the security engineers not understanding the psychology of the system users they meant to protect. We examine a variety of scams and “short cons” that were investigated, documented and recreated for the BBC TV programme The Real Hustle and we extract from them some general principles about the recurring behavioural patterns of victims that hustlers have learnt to exploit.

Rapporten tar bland annat upp det klassiska ”spelet” Monte (Youtube-film) som t ex förekommer på Drottninggatan utanför riksdagshuset. Denna och ett gäng andra bedrägerier beskrivs och i rapportens andra halva kopplas sju principer som bedragarna använder för att kunna blåsa sina offer. De sju principerna är som följer:

1. The Distraction principle
Medan du är distraherad av vad som intresserar dig kan bedragare göra vad de vill mot dig och du kommer inte att märka det.

2. The Social Compliance principle
Samhället tränar personer till att inte ifrågasätta auktoriteter. Bedragare utnyttjar denna ”minskning av misstänksamhet” för att få dig att göra som de vill.

3. The Herd principle
Även misstänksamma offer sänker guarden när alla andra i närheten verkar dela samma risker. Säker i flocken? Inte om alla konspirerar emot dig.

4. The Dishonesty principle
Allt illegalt du gör kommer att användas emot dig av bedragaren vilket gör det svårare för dig att söka hjälp från myndigheterna när du inser att du blivit lurad.

5. The Deception principle
Saker och personer är inte alltid vad de verkar vara. Bedragare vet hur de ska manipulera dig att tro att de verkligen är det.

6. The Need and Greed principle
Dina behov och önskningar gör dig sårbar. Så snart en bedragare vet vad du verkligen vill ha kan de enkelt manipulera dig.

7. The Time principle
När du ska fatta ett viktigt beslut under tidspress använder du en annorlunda beslutsstrategi. Bedragare styr dig mot en strategi som involverar mindre resonemang.

Stefan och Armanijackorna
Minns ni Stefan? Han som köpte tre skinnjackor av en ”Italienare” på en bensinmack och insåg (med frugans hjälp) att de var (rejält dåliga) piratkopior först efter att han betalat 2 000 spänn för dem.

I det fallet utnyttjade bedragaren främst ”The Need and Greed principle”; Stefan sade ju själv att han ”blev bara begeistrad av att få så mycket märkesgrejor för så lite”. Vidare gjorde jag antagandet att det hela gjordes under viss tidspress för att Stefan skulle ha begränsat med tid för att autentisera jackorna, ringa frugan, etc. Alltså ”The Time principle”. Naturligtvis passar också ”The Deception principle”.

Dessutom skulle man kunna applicera ”The Dishonesty principle”. Även om Stefan inte gör sig skyldig till ett brott i Sverige (i Italien hade det inneburit rejäla böter) så är det förstås inte helt kosher att köpa svindyra jackor billigt vid bensinmackar mitt i natten.

Uppdatering @ 13:24
Om det är något man ska ta med sig från rapporten så är det:
[…] it is naive and pointless just to lay the blame on the users and whinge that ”the system I designed would be secure if only users were less gullible”; instead, the successful security designer seeking a robust solution will acknowledge the existence of these vulnerabilities as an unavoidable consequence of human nature and will actively build safeguards that prevent their exploitation.


Stefan Pettersson

Att mäta säkerhet på Internetdagarna

(Publicerad 2009-11-06)

I veckan höll .SE sin stora, årliga konferens Internetdagarna på Folkets hus i Stockholm. En workshop hölls under rubriken ”Measuring the health of the Internet”.

Jag var inbjuden för att delta i rundbords-diskussionen om att mäta säkerhet. Ett sjukt svårt ämne, tyvärr. Man kan säga att forskningen på området till stor del drivs av Dan Geer. En ärrad veteran som var med under Project Athena och (bland annat) är känd för att ha sparkats från @stake efter att ha kritiserat deras största kund; Microsoft. Rapporten som resulterade i avskedet, en intervju av Gary McGraw.

I en presentation berättar Geer om hur han konfronterades med en Chief Information Security Officer från en stor Wall Street-bank. CISO:n sade ”Är ni säkerhetsfolk så korkade att ni inte kan berätta för mig…”:

  • Hur säker jag är?
  • Om jag har det bättre i år än vid samma tid förra året?
  • Om jag spenderar rätt mängd pengar på säkerhet?
  • Hur jag har det i jämförelse med andra i branschen?

”Om jag hade varit på någon annan avdelning på banken, obligationsportföljer, aktiehandelsstrategier eller prissättning av derivat så hade jag kunnat besvara frågorna med fem decimalers nogrannhet.”

Det är svårt att mäta säkerhet. Alla är överens om att det vore väldigt bra att kunna göra det. Det skulle leda till att vi kan kontrollera hur mycket säkerhet vi får för en viss peng, det skulle vara möjligt att kontrollera om säkerheten har blivit bättre eller sämre efter en förändring, det skulle vara en barnlek att jämföra olika system och så vidare. Framförallt; om vi kan mäta så kan vi sätta en gräns för vilken säkerhet som är tillräckligt bra och hålla oss till den. Som (svenska) kunder alltid säger; vi vill inte ha fullständig säkerhet, vi är ingen bank, vi vill ha lagom.

Mätning kräver en mätenhet och en kvantitet av detta så frågan är egentligen; vilken mätenhet ska vi använda?

Tyvärr går det inte att jämföra med att räkna pengar, mäta avstånd, väga vikter eller andra, konkreta mätningar. Säkerhet är oerhört komplext och abstrakt, det finns ingen naturlig enhet.

Vi sänker ambitionsnivån lite. Vi fokuserar på mindre system, inte en hel Bank utan kanske en applikation.

Den populäraste enheten är utan tvekan ”antal upptäckta sårbarheter”. Den användes till exempel av Microsoft under 2007 för att påvisa att Internet Explorer var säkrare än Firefox (pdf). Microsofts rapport möttes av en del kritik

Tyvärr är enheten ”antal upptäckta sårbarheter” pinsamt ofullständig. Många frågor väcks genast:

  • Hur många letade?
  • Hur länge letade de?
  • Hur duktiga var de?
  • Hur stort är systemet?
  • Hur komplext är systemet?
  • Var slutar systemet?
  • Hur allvarliga var sårbarheterna?
  • Hur svåra är sårbarheterna att utnyttja?
  • Under hur lång tid gick de att utnyttja?
  • Kommer nya sårbarheter att introduceras? Vad gäller för dessa?

Om vi ska ta hänsyn till dessa och alla andra faktorer som spelar in kommer vi att få en rejält komplicerad enhet i knäet. Med all sannolikhet kommer vi aldrig komma till den punkten eftersom det i princip är omöjligt att bestämma relationen mellan alla dessa faktorer. Man skulle lugnt kunna säga att fåniga enheter i stil med newton-ampere-sekunder-per-kilogram-kvadratmeter skulle kännas fullständigt naturliga i jämförelse…

Vi backar och förenklar ytterligare en aning. Kan vi mäta enskilda säkerhetshål?

Om vi kan bryta ner en tänkt, komplicerad mätenhet i flera, enkla enheter som genom någon relation till varandra motsvarar den komplexa borde det underlätta.  Det är lätt att se hur felbedömningar är ovanligare om mätvärdet är simpelt och väldefinierat, kanske till och med diskret. Ju fler enkla mätvärden som kombineras desto mer exakt blir i sin tur kompositvärdet.

Ett exempel på detta är Common Vulnerability Scoring System (CVSS). CVSS används för att värdera hur allvarlig en sårbarhet är genom att göra en beräkning utifrån 14 värden fördelade i tre grupper. Varje värde är diskret, det finns mellan fyra och fem alternativ för varje.  Resultatet efter beräkningen av CVSS är ett värde mellan 0 och 10 och en ”CVSS-vektor” som beskriver varje delvärde.

Jag rundar av det här innan det svävar iväg för lå(n)gt. Området är svårt och, åtminstone jag, känner att det verkar rätt hopplöst. Lyckligtvis är det inte såna som jag som arbetar med det. Jag kommer att fortsätta på ämnet en uppföljande post.

Trevlig helg!

Offentlig verksamhet har i flera fall sämre beredskap än privat verksamhet

(Publicerad 2009-10-30)

Igår fick vi se två DDoS-angrepp mot dels Basefarm (vilket drabbade media), men också mot Polisen. Människor har en förväntan om att offentlig verksamhet med stora behov av säkerhet också har det, men i praktiken är nog denna offentlig verksamhet snarare sämre skyddad än privat.

Ämnet är bekant för bloggens följare sedan tidigare. Vi har under flera år levt med en undermåligt skyddad offentlig verksamhet. Uppbyggnaden som finns i Sverige bygger på att myndigheterna själva visar intresse av att ta till sig information från bl.a. SITIC. Men det finns ingen kravställning och konsekvenserna uteblir när revision efter revision visar hur säkerheten brister.

DDoS-angrepp har exempelvis onlinespelsbranschen dragits med i flera år och vet hur man hanterar. Men först nu ombeds myndigheten för samhällsberedskap att ta fram planer för hur IT-incidenter ska förebyggas och hanteras.

Här är något jag går i borgen för
Oavsett hur många utredningar man tillsätter kommer det aldrig bli bra förrän man utkräver ansvar. Informationssäkerheten behöver införas som något man bedömer verksamhetsresultatet på, från minister och neråt. En generaldirektör skall veta att om riksrevisionens granskning visar skit, så sitter han/hon löst.

Att man har SITIC och MSB som hjälper, koordinerar och skapar planer har naturligtvis ett värde, men det finns för många system där ute för att förlita sig på välvilja och reaktivt arbete. Utkräv ansvar från höga positioner – först då kommer allmänhetens förväntningar på IT-säkerhet infrias.


Carl-Johan ”CJ” Bostorp

FBI: Cyberbrottslingar har stulit 270 miljoner från amerikanska företag

(Publicerad 2009-10-27)

FBI har nu i dagarna gjort något så unikt som att gått ut med siffror på hur mycket cyberbrottslingar stulit från amerikanska företag de senaste åren. Det är inte något säkerhetsbolags uppskattningar av värdet på information, utan rena dollar som har lämnat bankkonton.

I Sverige var det för några år sedan mycket uppmärksamhet kring hur cyberbrottslingar stal pengar från Nordea-kunder. Tillvägagångssättet var phishing-mail där man stal engångskoder, och sedan använde dessa för att logga in på offrens konton och föra över pengar till andra konton. Den exakta summan av förluster offentliggjordes aldrig, men minst tvåsiffrigt antal miljoner kronor försvann.

Att Nordea drabbades på det sättet var på grund av att man var en stor bank och att Nordeas ”skraplotter” var enklare att angripa än konkurrerande storbankers koddosor.

Företag drabbas också
Men nu har alltså FBI offentliggjort siffror som visar hur mycket amerikanska små och medelstora företag har förlorat genom liknande överföringar. Det har försökts stjälas $85M (cirka 575 miljoner kronor), och tjuvarna har kommit undan med strax under hälften – $40M (cirka 270 miljoner kronor).

Transaktionerna har gjorts med tillräckligt små summor för att det inte ska väcka någon misstänksamhet eller utlösa bankerna automatiska larm.

Trender
… och att det här hände var naturligtvis förutsägbart. Pengar lockar, och man tar enklaste vägen. Det finns två trender som är viktiga att notera från det här:

  • Cyberbrottslingar ger sig på att stjäla även från företag. Företag har ofta mer pengar än privatpersoner, så det faller naturligt att de förr eller senare blir utsatta.
  • Koddosor är inte tillräckligt skydd längre. Även om många av de utsatta företagen hade konton som bara krävde användarnamn och lösenord så har även de som använt koddosor blivit utsatta.

Det sistnämnda sker troligen genom ”man in the browser”-angrepp, där en legitim session används för att göra transaktionerna.

Inom säkerhetsvärlden är det här ett känt ämne. Exempelvis bloggade Stefan om det förra månaden här på vår blogg, och även i maj, då på OWASP Sweden-bloggen.

Vad kan jag som kund göra?
Vad rekommenderar då vi från HPS att man kan göra om man vill fortsätta använda banker online och samtidigt minska risken. Här är några konkreta råd:

  • Datorn som används för ekonomiska transaktioner skall används enbart till det. Ingen mail, inget surfande utanför bankerna.
  • Datorn ska inte vara med i företagets ”domän”. Tvärtom bör den stå så isolerad som möjligt, och med bra lösenord.

Svenska bankers utsatthet och vad banken kan göra
Här i Sverige har exempelvis Swedbank och SEB har gjort mycket av vad som är rimligt att göra. Nämligen att använda koddosor och när man signerar transaktion så matar man in totalsumman i dosan. Hos Länsförsäkringar gör man inte det, men där kontrolleras å andra sidan applikationsflödet väldigt strikt. För mer tips för vad man kan göra rekommenderar jag att läsa Continuing Business with Malware Infected Customers.

Att ta sig runt applikationsflödet är dock ingen gigantisk utmaning – ”utloggning” blir ”inloggning” för angriparen.

Att signera transaktionen med summan är bra. Men då måste kunderna veta om att det är vad som händer, och vara vaksamma att summan stämmer. Har din bank det systemet är det alltså något du behöver se till att vara vaksam på. Till skillnad från hur privatpersoner blivit ersatta för sina förluster är det relativt ovanligt att företag blir det


Carl-Johan ”CJ” Bostorp

Sundsvall 42

(Publicerad 2009-10-16)

Tillbaka från Sundsvalls årliga konferens Sundsvall 42. Materialet online.

Mitt bidrag Murphys onda tvilling finns att ladda ner här (pdf). Presentationen finns att kolla online på Prezi.

Presentationen ingick i utvecklings-tracket (B.6, 10:00-10:40 på torsdagen) och fokuserade på sju stycken fundamentala principer för hur säkra system ska designas:

  • Minimize attack surface.
  • Don’t mix code and data.
  • Security features != secure features.
  • Fail safe.
  • Minimize feedback.
  • Use least privilege.
  • Never trust external systems.

Trevlig helg!


Stefan Pettersson

Rumpbomben som får en att undra

(Publicerad 2009-10-08)

Frankrikes nationella underrättelsetjänst tycks anse att det är en bra idé att införa helkroppsröntgen på flygplatser. Detta sedan det för nån månad sedan skett ett mordförsök med en ”rumpbomb”. Men de kan väl aldrig mena allvar?

Efter ett mordförsök med en ”rumpbomb” får vi nu alltså se hur långt gångna förslagen kan vara. Att införa helkroppsröntgen är väl förvisso att föredra framför fullständiga kroppsbesiktning i det här fallet, men är de verkligen seriösa med förslaget?

I augusti var ”Feed Over E-mail” en världsnyhet. Jag bloggade om det, och P3 Nyheter intervjuade mig. Min ståndpunkt var kort att det handlade snarare om politik än något som skulle kunna göra en praktisk skillnad för den stora massan.

Liknande tror jag det är med den här storyn. Det *kan* bara inte vara så att fransmännens underrättelsetjänst är så dumma. Bruce Schneier sammanfattade argumenten mot idén redan innan den kommit ut:

  1. Man får inte plats med så mycket sprängmedel, så det kan inte bli någon stor detonation
  2. Att detonera en sådan bomb är problematiskt
  3. Den mänskliga kroppen kommer ta upp en stor del av explosionen (tänk på någon som slänger sig över en granat för att rädda sina kompisar)

Utan att gå in närmre på det så hävdar jag att det helt enkelt är en vansinnig ekvation att införa helkroppsscanners för en sådan här sak. Och det är väl klart att fransmännen förstår det! Även om vi fått se prov på att underrättelsetjänster inte är så smart som man skulle tro, så finns det ändå gränser. Så vilka är de verkliga motiven?

Jag har ett förslag: En sidoeffekt från röntgen här vore att man skulle se alla som försöker smuggla knark genom att svälja en större mängd små ”gummibollar”, var och en med bara några gram knark. Det är i praktiken ett långt större problem än människor som stoppar upp sprängmedel. Betydligt vanligare förekommande.Och vad är enklast att få folk att acceptera: att de ska bli kränkta i jakten på knark – något som är långt borta från Svensson-vardagen – eller att de ska bli skyddade från att bli sprängda i luften?

Edit: Det kan förstås också vara ytterligare ett exempel av Cover Your Ass (pun intended),  att de helt enkelt inte är seriösa med förslaget utan mest vill ha något att visa på om något nånsin skulle hända som hade kunnat upptäckas med en helkroppsröntgen.


Carl-Johan ”CJ” Bostorp