It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Month: september, 2012

Säkerhet och begagnade bilar

Jag behöver av olika anledningar köpa en bil och det kommer att bli en begagnad en. Jag har länge fruktat inför det här, dels för att mina bilrelaterade kunskaper är synnerligen begränsade men framför allt för att jag tror på alla fördomar om bilförsäljare.

Used car sign

De flesta av mina åsikter om begagnade bilar kommer från min favoritekonomiuppsats (om man kan ha något sånt) The Market for Lemons: Quality Uncertainty and the Market Mechanism av George Akerlof. Jag har tydligen nämnt den tidigare på bloggen.

Den handlar i korthet om att marknaden för begagnade bilar tenderar att dra till sig dåliga bilar (lemons) snarare än bra bilar (cherries) eftersom köpare har dåliga förutsättningar för att avgöra bilens skick. Säljare inser att köpare inte kan se att bilen är dålig, marknadsför den som bra, köpare inser detta och börjar utgå från att bilarna är dåliga, säljare av bra bilar låter bli att sälja dem på marknaden för att köpare utgår från att de är dåliga, ond spiral. Bad driving out the good.

Jag känner att jag inte har någon som helst anledning att lita på en bilförsäljare. Det ligger i säljarens intresse att sälja en så dålig bil som möjligt för så högt pris som möjligt. Oftast är bilhandlare dessutom köpare emellanåt så när du ska sälja din bil till dem vill de ge så lite pengar som möjligt för en så bra bil som möjligt.

Det här är ju något som gäller oavsett vad man ska köpa men för mig blir det av någon anledning extra tydligt i samband med bilköp.

Ännu värre blir det när man har ”en bil i inbyte”. Det är lätt att tolka det som att handlaren gör dig en tjänst, är bussig, som tar hand om din gamla häck till bil nu när du ska köpa en finare. Det är ju kanon, handlaren fixar med avställning o s v så att du slipper…

…men nu är du ju både köpare och säljare, handlaren kan lura dig två gånger.

I säkerhetsvärlden är det här ett vanligt problem, två parter som inte litar på varandra. Verisign är i den branschen, Kerberos bygger på det. Enter the trusted third party.

Kvarndammen är ett exempel på en bilhandlare som utnyttjar detta. Man låter en s k värderingsman värdera bilen, utifrån denna värdering sker sedan en auktion. Tanken är att värderingsmannen är oberoende och inte har något incitament att vare sig över- eller undervärdera bilen. Lysande.

Modellen vilar dock på att tredjeparten, värderingsmannen, är pålitlig. Värderingsmannen ska bara vara intresserad av att ge en rättvis bedömning av bilens värde, inget annat. Själv känner jag att jag litar på värderingsmannen, åtminstone i mycket större utsträckning än på godtycklig bilhandlare eller Blocket-försäljare. Jag ska dock erkänna att jag inte har några särskilda belägg för detta förtroende. Jag skulle dock önska att Kvarndammen hjälpte mig på traven lite:

  • Skriv ut namnet på värderingsmannen, utnyttja att hon vill uppehålla sitt goda rykte om rättvisa värderingar.
  • Var tydligare med att värderingsmannen inte har några ekonomiska incitament som gynnar vare sig säljare eller köpare. (Om det nu är så det ligger till, vilket jag verkligen hoppas.) Hon ska t ex absolut inte få procent på försäljningspriset.

Ska man ta det ännu längre kanske det går att skapa en lönemodell som gynnar rättvisa värderingar. Omvänd procent på skillnaden mellan listpris och slutgiltigt pris kanske?

(Nej, det här är inte avsett att vara reklam för Kvarndammen, bara ytterligare en observation av säkerhet i vardagen.)

En annan intressant funktion är hur själva auktionen går till. Vid sluttiden som publiceras för varje objekt börjar en nedräkning på tre och en halv minut, om ett nytt bud läggs under denna nedräkning börjar nedräkningen om. Så fortsätter det till någon har det högsta budet.

Det är ett sätt att undvika s k auction snipers där oärliga typer budar över med en liten summa precis innan auktionen är över. Som vanligt har säkerhetsfunktioner bieffekter, hur länge är det tillåtet att förlänga budgivningen? En viss tid? Ett visst antal bud? Hur skyddar du mot att någon snipear den sista förlängningen? För dyrare objekt är det möjligt att avskräcka genom att sätta en lagom hög minsta-höjning men generellt är det ett svårt problem.

Annars kan man ju alltid DoS:a sajten efter att man har lagt sitt bud så att det blir svårt för övriga att buda över. Det känns dock lite fantasilöst. Vad sägs om att sätta sitt användarnamn till

<script>window.location.href="http://www.aftonbladet.se/";</script>

och sen lägga ett bud så att användarnamnet visas på budsidan.

…vi får se om det blir ett vrakpris. Trevlig helg!

BYOD-säkerhet är en svår gränsdragning

På Skydd 2012 i förra veckan var jag med på en paneldebatt om bring your own device, BYOD. Tyvärr var panelen i princip överens om läget, vilket alltid är tråkigt vid debatter. Jag tänkte oavsett ge min bild av detta hype-omgärdade fenomen som till och med är viktigare än molnet. Vem kunde ha anat?

Det man läser i tidningar om BYOD tenderar vara ganska onyanserat. Ofta låter det som att alla är rörande överens om vad exakt BYOD är för något, frågan är om du har skrivit en säkerhetspolicy eller inte. Så är det inte, BYOD kan betyda vad som helst.

Låt oss börja med att konstatera att BYOD, oavsett vad man rimligen kan mena med det, kommer att sänka säkerhetsnivån. Men, det kanske är värt det.

Med det ur världen… Vad innebär BYOD? Som fan av akademiska, abstrakta definitioner skulle jag säga:

BYOD innebär att organisationen minskar sin kontroll över sina data och ökar användarens kontroll med förhoppningen att det är värt risken.

Minskad kontroll över data, sänkt säkerhetsnivå. Det viktiga är att inse att kontrollen och därmed säkerhetsnivån går att variera. Frågan är hur mycket du är beredd att sänka nivån och hur du avgör om du har sänkt den tillräckligt.

Det här är ju förstås frågor som är omöjliga att besvara entydigt, däremot kan det vara värt att fundera kring olika metoder att sänka sin säkerhetsnivå. (Ja, lite cyniskt uttryckt.) Låt till exempel personal…

  • skicka och ta emot mail på sin privata telefon,
  • koppla upp sig med vpn hemifrån med privat hemdator,
  • dela filer med Dropbox i projektgrupper,
  • använda usb-minnen för att överföra filer fritt eller varför inte
  • ta anteckningar på möten med EverNote på en privat iPad.

Du kanske tycker att den om Dropbox är att tänja på begreppet, jag tycker nog inte det, BYOD handlar inte så mycket om prylarna i sig, snarare om mjukvaran på dem. Jag skulle till exempel inte tycka att det ”räknades” om jag fick ha min egen device men var tvungen att flasha om den enligt arbetsgivarens direktiv. Jag vill ratta arbetsgivarens data med mina egna verktyg, om de sedan kommer på någon särskild hårdvara eller inte spelar ingen roll.

Bring your own tools eller BYOT, vore ett bättre begrepp.

Angående exemplen ovan: är det en stor risk att ha filer på Dropbox? Är det ett problem att hantera mail på privata telefoner? Egna datorer då? I stort rör det sig om två risker man utsätter sig för: (1) risken för dataläckor och (2) risken att de egna verktygen utgör en svaghet i organisationens försvar (läs: någon hackar den anställdes hemdator som har tillgång till företagsnätverket).

Det finns inget recept på hur man ska hantera BYODT, var man ska dra gränsen för säkerhetsnivån. Däremot finns bokstavligt talat hundratals artiklar som tar upp en massa punkter som är nyttiga att tänka på. Exempelvis de sju tips som CIO nämner.

Allt det här förutsätter naturligtvis att dina data är värda att skyddas. Om din verksamhet inte är känslig för dataläckor eller intrång i övrigt och det finns tydliga fördelar med att låta anställda använda sina egna verktyg har du förstås inget att oroa dig över, det är bara att åka.

Däremot, om dina data är skyddsvärda lutar jag dock åt att det är ett för stort risktagande just för att det är svårt att sätta en lagom nivå och avgöra om den är lagom. En okänd risknivå måste anses vara lika med en hög risknivå.

Förutom det som står i alla andra artiklar skulle jag:

  1. göra mig beredd på konsekvenserna av intrång till följd av BYOD-tavlor och
  2. ta tillvara på möjligheten att understryka den anställdes ansvar för de data de hanterar.

Den sistnämnda punkten blir förstås svår som Tomas Djurling påpekade under debatten. Man kan inte göra så mycket mer än att avskeda en person, möjligen i kombination med en rejäl avhyvling om man är lagd åt det hållet, om den har uppvisat grov oaktsamhet. Samtidigt handlar det ju faktiskt om ett givande och ett tagande, som Marcus Ehrstrand från McAfee så elegant uttryckte det under samma debatt.

Under ett sådant här inlägg kan man inte undvika att påpeka att många förmodligen kör med BYOD redan, utan att veta om det. Undersök saken. Om läget är så kan man antingen satsa på att stävja beteendet eller få upp det på bordet, lite som att legalisera spel (eller motsvarande).

Även om en okänd risknivå är att jämföra med en hög risknivå så måste det vara ännu värre att inte veta om att man har en okänd risknivå.

Presenterar på Skydd 2012

Ser man på, jag tillhör eliten. Jag antar att det är vad som händer när säljare säger:

—Förresten, jag skickade in en bio på dig till konferensen.

Anywho… Jag ska alltså presentera på konferensen Skydd 2012 den 19 september klockan 14:30 i Stockholmsmässans sal F1, rubriken är Fastighetsteknik och IT-säkerhet i praktiken. Kolla in programmet (pdf).

Presentationen kommer att handla om hur fastighetsteknik skiljer sig från it, vilka problem fastighetstekniken lider av och, förstås, vad jag tycker att man ska göra åt det. Det är egentligen inga konstigheter, mina åsikter om sånt här skiljer sig inte bara för att det handlar om små, inbyggda datorer i ett litet rum bredvid en hiss i en fastighet jämfört med vanliga datorer med Windows, Linux eller vad det nu kan vara i en serverhall.

Jag kommer att lägga upp presentationen online också. For what it’s worth, jag är en sträng motståndare till Death by Powerpoint™ så mina presentationer brukar vara ganska tråkiga utan tillhörande tal.

Om inget oväntat händer kommer jag också att delta i en paneldebatt om BYOD, något jag faktiskt aldrig har skrivit om på bloggen. Jag tänker mig att jag kör ett blogginlägg i ämnet innan panelen.

Det är förmodligen fredag när du läser det här, så trevlig helg!

Säkerhet och säkerhet och spärrar

Svenska språket saknar engelskans motsvarighet till safety. Medan engelskan kan prata om car security för att mena säkerhet mot inbrott i och stöld av bilar (larm, rattlås o s v) kan de också prata om car safety för att mena säkerhet för bilens passagerare (bilbälte, airbag o s v).

I Sverige får vi nöja oss med bara ”säkerhet” tills vidare men vem vet, Svenska akademien kanske löser även det i framtiden.

Intressant är att security och safety inte sällan motverkar varandra. Skolexemplet är dörrar för utrymning av byggnader.

Utrymningsskylt

I syfte att skydda byggnaden är det inte alls en bra idé att sätta upp utrymningsdörrar och spiraltrappor eftersom de är utmärkta vägar in för t ex inbrottstjuvar. I syfte att skydda människor vid brand däremot… Med dörrar kommer man sedan in på detaljer som att det ska vara lätt att öppna dörren vid brand men svårt annars.

DN körde en artikel här om dagen om hur SL:s glasspärrar ibland är farliga:

När tunnelbanespärren smällde igen om Anna Fredriksson fick hon blåmärken på ryggen och ett blödande jack ovanför ögat. ”SL:s krig mot plankarna leder till att vanliga resenärer bokstavligen kommer i kläm”, säger Mikael Sundström, ordförande i Kollektivtrafikant Stockholm.

Det är viktigt att ta hänsyn till sådana omständigheter när man designar säkerhetslösningar, det är lätt att ökad security innebär minskad safety eller vice versa. Det här är en av anledningarna till att ställa sig frågan ”Vilka andra risker introduceras?” när man utvärderar en säkerhetsmekanism. Jag har tagit upp detta tidigare i samband med ett inlägg om att ha reservnycklar hos larmbolaget.

Som vanligt är det extremt svårt att avgöra om svaret på frågan är värt det. Som sägs i artikeln, någon miljon människor passerar spärrarna varje dygn och majoriteten klarar sig utmärkt. Hur många skador är vi beredda att acceptera?

Vem kunde tro att SL:s spärrar skulle vara så illustrativa?