It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Tagg: incidenthantering

Förberedelser i bild

Det här fotot har cirkulerat i mer än en vecka nu men det förtjänar det. Fotot är taget av en fotograf på Reuters medan stormen Sandy låg över New York och New Jersey. Lägre Manhattan i mörker med hotfulla moln över, en fastighet lyser som om inget har hänt. 200 West St, Goldman Sachs huvudkontor.

Det här handlar förstås uteslutande om att Goldman Sachs var mer förberedda än sina grannar, vilket de var medvetna om:

We wanted to take this opportunity to let you know that we have strong business continuity plans in place at Goldman Sachs Asset Management and are open for business. Most NY-based employees are working from home or are partnering with their global and US counterparts to cover important items.  Our portfolio management teams are actively engaged and are closely monitoring our client portfolios.

Anledningen är att de har räknat på hur mycket pengar de förlorar (läs: inte tjänar) om de måste avbryta handeln. (Enligt en bekant med god insyn i detta så handlade Goldman ”som fan” under hela Sandy.)

Jag återberättade för några år sen historien om Morgan Stanleys säkerhetschef Rick Rescorla och den 11 september. En fantastisk historia som förmodligen inte är helt sann men ändå är bra och framförallt illustrativ.

Trevlig helg!

Incidenthantering

I slutet på 80-talet, när internet fortfarande använde pottan, fanns en ung man som hette Robert Morris. Han är känd för att vara skapare av en av de första datormaskarna, program som autonomt sprider sig från dator till dator. Masken i fråga, the Morris Worm eller ibland the Internet Worm, släpptes lös den 2 november 1988 och infekterade UNIX-maskiner genom att utnyttja säkerhetsbuggar i sendmail och fingerd samt trust-förhållanden (rsh) och svaga lösenord.

En betydande del av internet infekterades. På grund av en blunder i designen kunde masken infektera samma dator flera gånger, efter tillräckligt många infektioner kunde inte datorerna klara antalet processer längre och lade av.

Det finns massor av text att plöja om den här erfarenheten: Gene Spaffords analys och RFC 1135 är bra. Det är förresten tråkigt att begreppet helmintiasis som RFC:n använder inte fick fäste. Helmintiasis är nämligen benämningen på ”[i]nfektioner orsakade av rundmaskar (nematodinfektioner) och bandmaskar (cestodinfektioner)”.

Internet var designat för att klara av fysiska angrepp, om en central router slogs ut skulle trafiken routas om automatiskt. Internet var inte bara ett sätt att koppla ihop forskare, internet var själv ett forskningsprojekt inom survivability. Internet var dock inte rustat för masken.

Vad gjorde då DARPA som var ansvarig för internet när det begav sig? Installerade de antivirus-program på alla servrar? Utvecklade de och sålde brandväggar med unified threat management? Startade de ett regulatoriskt organ som gav ut pärmar med obligatoriska säkerhetskrav?

Nej.

När man insåg att man var dåligt förberedd startades Computer Emergency Response Team Coordination Center vanligtvis känt som CERT® Coordination Center.

Man förberedde sig på incidenthantering.

Vad är det fina med den åtgärden? Jo, CERT kunde agera på allt. Det spelade ingen roll om det var en mask eller hackerintrång eller vilken metod masken eller hackern använde. Det var ett generellt skydd, inte heltäckande men generellt.

Varje gång det händer något så är de värdefulla. Det är enkelt att räkna upp hundra situationer då en UTM-brandvägg är fullständigt värdelös men det är svårt att komma på särskilt många relevanta situationer där förberedd incidenthantering är det.

På sätt och vis är en förberedd incidenthanteringsgrupp den ultimata säkerhetsåtgärden. Varför är då min upplevelse att företag investerar tvärt om?

Rick Rescorla

Det tråkiga med att arbeta med säkerhet är att det är lite action på riktigt. Även om intrång är vanligare än de flesta tror så är det forfarande relativt ovanligt. Det handlar huvudsakligen (förhoppningsvis) om rutiner och förberedelser. Dessutom, ju hårdare du jobbar i den gråa vardagen, desto mindre chans är det att det blir ”allvar”.

Soldater har en liknande situation. Boken Bravo Two Zero, om en grupp från brittiska specialförbandet SAS som ska sabotera kommunikationsledningar i Irak under Gulfkriget,  inleds med ”Every soldier hopes for a major war in his lifetime. This one was mine.”

Som bekant förespråkar jag övning.

Rick Rescorla var sedan i början av 90-talet säkerhetschef på Morgan Stanley. Morgan Stanley har länge varit en av de största hyresgästerna i World Trade Center och Rescorla hade under 1992 påpekat för WTC-ägarna att säkerheten i garaget borde skärpas. Ett exempel på en attack som Rescorla föreslog var att köra in och detonera en bil med sprängämnen. Den 26 februari 1993 hände just detta. Sex personer omkom och något tusental skadades.

Vid evakueringen 1993 tyckte Rescorla att det gick för långsamt och efter att förslag om att byta kontorsbyggnad hade nekats från ledningen införde han regelbundna, oförberedda utrymningsövningar. Man kan enkelt tänka sig att det knorrades en hel del varje gång 3 000 personer fick släppa allt, ställa upp i korridoren och gå ner för trapporna två och två, påhejade av en säkerhetschef med tidtagarur och megafon.

Många av de anställda på Morgan Stanley slussar en hel del pengar under en arbetsdag så det handlar inte om några billiga övningar. IT-avdelningen var nog inte heller särskilt förtjusta över att backupbanden skulle förvaras i en annan byggnad på andra sidan bukten.

Rescorla såg det första planet träffa det andra tornet från sitt kontor på morgonen den 11 september 2001. Morgan Stanleys anställda var alltjämt informerade om att de inte skulle lyssna till vad hyresvärden sade åt dem i sådana här situationer (de uppmanade alla att stanna) och började på Rescorlas initiativ utrymma byggnaden. Precis som vanligt. Den här gången ljöd nationalsången och gamla, brittiska soldatvisor från säkerhetschefens megafon under evakueringen.

Omkring 15 minuter senare, när det andra planet träffade den byggnad som Morgan Stanley fanns i, var majoriteten av deras 2 700 anställda, och några hundra besökare som råkade vara där, ute ur byggnaden. Recorla och tre av hans assistenter gick åter in i byggnaden för att fortsätta evakueringsarbetet.

Beroende på vilken källa man väljer att lita på så förlorade Morgan Stanley sex eller tretton av sina medarbetare den 11 september. Fyra av dem var Rescorla och hans tre assistenter.

Från artikeln A Survival Guide to Catastrophe i Time:

Between songs, Rescorla called his wife. ”Stop crying,” he said. ”I have to get these people out safely. If something should happen to me, I want you to know I’ve never been happier. You made my life.” Moments later, he had successfully evacuated the vast majority of Morgan Stanley employees. Then he turned around. He was last seen on the 10th floor, heading upward, shortly before the tower collapsed. His remains have never been found.

Hollywood-aktigt? Ja, definitivt. Rescorla lämnade två barn efter sig och var dessutom dekorerad veteran från Vietnamkriget. Det är sånt här det görs filmer om. Riktigheten i informationen om sådana här sensationella historier ofta väldigt skakig så man ska ta det med en nypa salt.

Faktum kvarstår, i säkerhetsbranschen är det sällan allvar men det kan vända väldigt snabbt. Kommer man att ha kontrollen och rutinen som krävs för att hantera det? Det är en viktig fråga oavsett om ett flygplan plötsligt krashar in i byggnaden bredvid dig eller om en kollega kommer in och frågar om du har skapat ett konto med namnet x_marty på den viktiga servern.


Stefan Pettersson