It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Month: april, 2011

Offrets dilemma

När företag blir hackade och attacken publiceras blir jag glad. Det är inte fråga om någon skadeglädje, tvärtom känner jag i regel medlidande. Jag hävdar t ex fortfarande att det är synd om HBGary, eller åtminstone om Greg Hoglund. Min glädje beror snarare på ren själviskhet. Dels kan kan lära sig mycket av andras misstag men framförallt ger det en bättre bild av vilka attacker som används och vilka som angrips. I verkligheten.

Att vara publik om intrång
Företag är ju, som bekant, ovilliga att medge att de har utsatts för lyckade angrepp. Deras resonemang är att det gör situationen värre, konsekvensen av att deras hemligheter har stulits förstärks ju av att det blir allmänt känt att de har stulits (m a o de klarar inte av att skydda sina hemligheter).

Själv resonerar jag som Don Corleone, dåliga nyheter vill man ha reda på omedelbart. Att blunda för, eller att inte känna till deras existens, är värre än att vara medveten, då har du åtminstone möjlighet att agera.

Det här kan leda till en motsättning och jag vill illustrera det med ett dilemma. Du är säkerhetsansvarig och får ett mail:

Hej, om en stund kommer jag att singla en slant för att avgöra om jag ska bryta mig in i ditt företag och stjäla dina hemligheter. Du kommer inte att kunna stoppa attacken och du kommer inte att kunna upptäcka om det har skett eller inte. Du har nu två val: vill du att jag — om jag genomför attacken (1) inte berättar det för någon eller (2) berättar för alla (massmedia)?

Dilemmat ska illustrera följande:

  1. Konsekvensen av intrånget ökar om det blir publikt.
  2. Konsekvensen av intrånget ökar om du själv inte vet att det har hänt.

Dilemmat är ju lite ansträngt och det är förstås aldrig så här svart eller vitt men om det skulle komma till sin spets, vad föredrar man?

Spontant skulle man vilja välja alternativ ett och sedan gå ut med intrånget på egna villkor och därmed behålla initiativet. Ha kakan och äta den. Den vägen blir tyvärr lite konstig eftersom det inte går att avgöra om intrånget har skett. Du kan med andra ord aldrig lova allmänheten att allt är väl, du riskerar alltid att intrånget verkligen har genomförts och att dina hemligheter eventuellt dyker upp någonstans när du är som minst förberedd. Du vet inte heller vad som har stulits eller vilka som har tillgång till det.

Ju mer man tänker på det desto rimligare verkar alternativ två men det är förenat med andra problem; du hinner t ex inte förbereda dig utan medias bild av intrånget kommer att få störst exponering.

…men annars skulle det ju inte vara ett dilemma.


Stefan Pettersson

Data om dataintrång under 2010

Verizon har släppt sin 2011 Data Breach Investigations Report (pdf) som beskriver vad som framkommit under förra årets utredningar och ställer det mot föregående år. Nytt är att Dutch National High Tech Crime Unit har ställt sig i ledet för att bidra med ytterligare data. Finns det något som hindrar nationella CERT-organisationer att gå med?

Jag räknar med intressant läsning och ber att återkomma efter påsken. Glad påsk!



Stefan Pettersson

”Vi har blivit hackade”

Första halvåret 2011 verkar bli intressant avseende intrång. Senast i raden är WordPress som har fått ett antal servrar rootade:

Tough note to communicate today: Automattic had a low-level (root) break-in to several of our servers, and potentially anything on those servers could have been revealed.

Notera särskilt kommentarerna till blogginlägget:

  • Thanks for the update team. Crap happens, but you’re always keeping us up to date. Much appreciated. Hopefully no one was exposed too badly.
  • Thank you for being transparent!
  • Thanks for the info. All the best!
  • Thanks for all your hard work, guys!
  • Thanks for keeping us in the loop.
  • Thank you for your prompt and honest post.
  • Yikes… Glad you guys are up front about it though. Much appreciated.
  • Honesty and transparency are rare. Thank you for being upfront and so quick to let us know!

Vi kanske ska revidera vår gängse uppfattning om att det är dålig PR att råka ut för intrång. Det kanske snarare är hur man hanterar intrånget som avgör allmänhetens dom.

Trevlig helg!


Stefan Pettersson

APT WTF

Det verkar som att advanced persistant threat (APT) kommer att bli årets begrepp bland oss. Det började bubbla upp i mainstream-media under förra året och har en del gemensamt med hur ”molnet” slängdes runt i början innan definitionerna hade lagt sig.

Exempel: en företrädare för RSA har gått ut med mer information om hur de blev angripna. Begreppet förekommer 25 gånger i blogginlägget (som för övrigt inte är särskilt imponerande) och jag är osäker på om jag håller med honom. Vad är det här för godtycklig uppdelning t ex?:

Advanced Persistent Threat attacks typically have three main phases. The first is the social engineering attack; that’s one of the key elements that differentiates an APT from good old hacking.

Update: Jag tror att Richard Bejtlich kommer att slå ner rätt hårt på RSA:s användning av begreppet rätt snart. Håll utkik.

Update igen: En sak kan man i alla fall inte ta ifrån RSA, de är öppna med attacken. Det är bra.

Update igen igen: Sophos blogg återger en bra, nerkokad variant av attacken som RSA har beskrivit den.


Stefan Pettersson

Kortfattat om cyberkrig

Jag har dragit mig för att skriva om cyberkrig, inlägget skulle nämligen bli för kortfattat och ointressant. Men med anledning av att ex-kollega CJ skrev om cyberkrig häromdagen känner jag mig tvingad. Without further ado; min uppfattning som den är idag:

Krig är ett sätt för två eller flera (organiserade) parter att lösa en konflikt med hjälp av våld. Krigshandlingarna kan bedrivas i olika domäner exempelvis på marken, i luften, i rymden eller till sjöss. Man skulle, något ansträngt, alltså kunna prata om markkrig eller luftkrig. ”Cyberspace” är en ny sådan domän.

Jag tycker egentligen att jag skulle kunna sluta där.

Naturligtvis är krigsföringen i den nya domänen radikalt annorlunda än i de traditionella, även om vi räknar med rymden (den riktiga, inte cybervarianten). Vi skjuter projektiler på varandra oavsett om det är på marken eller till sjöss men så är inte fallet på det digitala slagfältet.

Är den skillnaden något som behöver debatteras? Vi har ju inte sett särskilt många rubriker eller utredningar som greppar efter grässtrån, ropar efter definitioner och letar efter bevis på att det finns t ex ekonomisk krigsföring. Tänk om land A, i början av kriget, åker till land B och delar ut tillräckligt med pengar till befolkningen för att det ekonomiska systemet ska skadas/kollapsa. Eller varför inte köpa upp allt stål, allt drivmedel eller allt vatten månaden innan?

Cyberkrig är ett nytt sätt att orsaka motståndaren skada. Det skiljer sig från att slå dem på käften, skjuta dem i magen eller att skrämma dess soldater till att ge upp. Så är det.

Frågan ”finns cyberkrig?” har samma svar som ”ger angrepp i cyberspace effekt?”.

Något som brukar tas upp är det s k ”tysta” cyberkriget; att land A skulle förbereda sig för krig genom att tillskansa sig kontroll över IT-system i land B och sedan utnyttja detta när kriget ”bryter ut”. Det är ju inte heller något nytt för cyberkrigsföring. Ni kanske minns något som heter Kalla kriget? Förberedda sprängladdningar i Värtahamnen? Medlemmar från sabotageförband som bodde i lägenheter i Stockholm? Spioner på Säpo?

Cyberspace är en ny strategisk domän i krig.


Stefan Pettersson