It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Month: oktober, 2010

Säkerheten i Adobe Reader

Adobe har gått ut med hur de ska fixa problemen med Adobe Reader. Det är en ganska komplicerad historia med sandboxing av renderingsfunktionen och sånt. Dessutom är det en hel del kod som ska skrivas om (försvarligt beslut med tanke på kodens historia).

My two pennies worth; om du har ett program som du använder jätteofta för att lösa väldigt begränsade uppgifter – I det här fallet Adobe Reader för att titta på vanliga PDF-filer du har hämtat från Internet – utnyttja detta faktum och lämna de flashiga funktionerna därhän. Anamma den gamla UNIX-filosofin med att göra en sak och att göra det bra.

Inbäddade objekt, hyperlänkar, Javascript, kryptering, kopieringsskydd, åtkomst till filsystem/register o s v, allt det där används i princip aldrig av majoriteten av deras användare. Jag är säker på att det skulle vara mer värt (säkerhetsmässigt, se nedan) att lansera Adobe Reader Light, en simpel PDF-läsare, än att ta fram utstuderade säkerhetslösningar.

…men, självklart har Adobe goda ekonomiska incitament att stödja många avancerade funktioner i sin gratisläsare. Annars skulle de aldrig kunna sälja sina betal-program som kan implementera dessa funktioner i PDF-dokument.


Stefan Pettersson

Boktipset 2: Cryptography Engineering

Cryptography Engineering (CE) är bättre Applied Cryptography i mer eller mindre alla avseenden, för de flesta. Huvudanledningen är att den är praktiskt inriktad vilket är vad de flesta av oss behöver. Den fokuserar mer på hur man ska använda kryptografi snarare än hur det fungerar.

Kryptering som implementeras fel är nästan alltid ett högaktuellt ämne; nyligen presenterades till exempel Padding Oracle-attacken som utnyttjade bristen på autentisering av kryptotext i bl a ASP.NET-cookies. Ännu mer nyligen gick ElcomSoft ut med att de hittat en sårbarhet i BlackBerrys sätt att generera kryptonycklar från lösenord vilket ledde till att bruteforce-attacker blev avsevärt mer effektiva än vad de borde vara.

Oftast är det inte problem i algoritmerna som utnyttjas, det är problem i implementeringen av dem. Det är därför den här boken är viktig.

Två aspekter som jag tycker gör boken särskilt läsvärd är den uppfräschande diskussionen om en adversial setting och orädslan för att tydligt rekommendera vissa algoritmer och tekniker samt motiveringar för detta.

Jag skulle argumentera för att en god orientering inom kryptografi nästan är att betrakta som obligatoriskt om man arbetar med säkerhet eftersom det är en sådan fundamental teknologi i de flesta säkerhetssystem.

Kolla in bokens hemsida eller köp den på t ex Adlibris för 263 spänn.

(Jag är inte sponsrad av Adlibris btw, jag bara köper böcker där…)


Stefan Pettersson

Bottar

I datorspel online är det så gott som alltid förbjudet att använda bottar för att sköta spelet. Bottar är autonoma program spelar spelet åt dig och gör det som datorprogram är bäst på; löser uppgifter som är tråkiga och repetitiva eller uppgifter som kräver snabb reaktionsförmåga och exakthet. Under mitten och slutet av 90-talet fanns aimbots till Doom och Quake, dessa följde sedan med till Counterstrike och andra spel som blivit än mer tävlingsinriktade. Se ett bra exempel på Youtube. Diablo, och senare, World of Warcraft har också haft problem med bottar som outtröttligt letar efter guld eller eftertraktade svärd och andra prylar. Bottar ger dig också fördelen med parallelisering då en person kan ”sköta om” flera bottar samtidigt.

Synen på bottar
Det är allmänt accepterat att det är fult att använda sig av bottar, det har utvecklats flera system som t ex Warden och PunkBuster för att stävja fuskandet. Resultatet är den gamla vanliga kapprustningen med bot-program som försöker komma runt dessa o s v. Det kom till och med en (enligt utsago) riktigt bra bok i ämnet för två-tre år sen; Exploiting Online Games av Gary McGraw och Greg Hoglund.

Guess what! Till skillnad från vad man kan tro har världens börser inga problem med botprogramvaror som sköter trading och kan utnyttja fördelarna med konstant uppmärksamhet, outtröttlighet och blixtsnabba reaktioner…

De är nämligen tillåtna. Det kallas dock algorithmic trading (och intressant nog robo trading). Till råga på allt verkar det anses ganska okontroversiellt. Själv gissade jag att det knorrades lite över dessa.

Sårbarheter i algoritmerna
I helgen visade det sig att två norrmän står åtalade för olaga kurspåverkan efter att ha hittat och utnyttjat svagheter i en börsbot som körs av den amerikanska mäklaren Interactive Brokers Groups dotterbolag Timber Hill:

Larsen och Veiby köpte först en större post aktier i ett av företagen. Därefter köpte de och sålde ytterligare småposter. När Timber Hill tolkade det som att efterfrågan på aktien stigit satte det upp kursen på aktien. Då sålde de två sitt ursprungliga aktieinnehav med förtjänst.

Själva hävdar de att de bara var smartare än sin motståndare, börsbotten. Skulle det vara olagligt att med samma medel lura människor?

Oinformerade tankar
Spontant undrar jag om inte två olika börsbottar kan hamna i tillstånd där de reagerar på varandras beslut. Då kan man tänka sig att det är svårt att hinna med som vanlig, seg människa.

The system goes on-line August 4th, 1997. Human decisions are removed from strategic defense. Skynet begins to learn at a geometric rate. It becomes self-aware at 2:14 a.m. Eastern time, August 29th. In a panic, they try to pull the plug.

Scary isn’t it? 🙂

Uppdatering 10:02: Ser man på; Handlarbugg sänkte världens börser.


Stefan Pettersson