It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Tagg: öppenhet

Säkerhet och begagnade bilar

Jag behöver av olika anledningar köpa en bil och det kommer att bli en begagnad en. Jag har länge fruktat inför det här, dels för att mina bilrelaterade kunskaper är synnerligen begränsade men framför allt för att jag tror på alla fördomar om bilförsäljare.

Used car sign

De flesta av mina åsikter om begagnade bilar kommer från min favoritekonomiuppsats (om man kan ha något sånt) The Market for Lemons: Quality Uncertainty and the Market Mechanism av George Akerlof. Jag har tydligen nämnt den tidigare på bloggen.

Den handlar i korthet om att marknaden för begagnade bilar tenderar att dra till sig dåliga bilar (lemons) snarare än bra bilar (cherries) eftersom köpare har dåliga förutsättningar för att avgöra bilens skick. Säljare inser att köpare inte kan se att bilen är dålig, marknadsför den som bra, köpare inser detta och börjar utgå från att bilarna är dåliga, säljare av bra bilar låter bli att sälja dem på marknaden för att köpare utgår från att de är dåliga, ond spiral. Bad driving out the good.

Jag känner att jag inte har någon som helst anledning att lita på en bilförsäljare. Det ligger i säljarens intresse att sälja en så dålig bil som möjligt för så högt pris som möjligt. Oftast är bilhandlare dessutom köpare emellanåt så när du ska sälja din bil till dem vill de ge så lite pengar som möjligt för en så bra bil som möjligt.

Det här är ju något som gäller oavsett vad man ska köpa men för mig blir det av någon anledning extra tydligt i samband med bilköp.

Ännu värre blir det när man har ”en bil i inbyte”. Det är lätt att tolka det som att handlaren gör dig en tjänst, är bussig, som tar hand om din gamla häck till bil nu när du ska köpa en finare. Det är ju kanon, handlaren fixar med avställning o s v så att du slipper…

…men nu är du ju både köpare och säljare, handlaren kan lura dig två gånger.

I säkerhetsvärlden är det här ett vanligt problem, två parter som inte litar på varandra. Verisign är i den branschen, Kerberos bygger på det. Enter the trusted third party.

Kvarndammen är ett exempel på en bilhandlare som utnyttjar detta. Man låter en s k värderingsman värdera bilen, utifrån denna värdering sker sedan en auktion. Tanken är att värderingsmannen är oberoende och inte har något incitament att vare sig över- eller undervärdera bilen. Lysande.

Modellen vilar dock på att tredjeparten, värderingsmannen, är pålitlig. Värderingsmannen ska bara vara intresserad av att ge en rättvis bedömning av bilens värde, inget annat. Själv känner jag att jag litar på värderingsmannen, åtminstone i mycket större utsträckning än på godtycklig bilhandlare eller Blocket-försäljare. Jag ska dock erkänna att jag inte har några särskilda belägg för detta förtroende. Jag skulle dock önska att Kvarndammen hjälpte mig på traven lite:

  • Skriv ut namnet på värderingsmannen, utnyttja att hon vill uppehålla sitt goda rykte om rättvisa värderingar.
  • Var tydligare med att värderingsmannen inte har några ekonomiska incitament som gynnar vare sig säljare eller köpare. (Om det nu är så det ligger till, vilket jag verkligen hoppas.) Hon ska t ex absolut inte få procent på försäljningspriset.

Ska man ta det ännu längre kanske det går att skapa en lönemodell som gynnar rättvisa värderingar. Omvänd procent på skillnaden mellan listpris och slutgiltigt pris kanske?

(Nej, det här är inte avsett att vara reklam för Kvarndammen, bara ytterligare en observation av säkerhet i vardagen.)

En annan intressant funktion är hur själva auktionen går till. Vid sluttiden som publiceras för varje objekt börjar en nedräkning på tre och en halv minut, om ett nytt bud läggs under denna nedräkning börjar nedräkningen om. Så fortsätter det till någon har det högsta budet.

Det är ett sätt att undvika s k auction snipers där oärliga typer budar över med en liten summa precis innan auktionen är över. Som vanligt har säkerhetsfunktioner bieffekter, hur länge är det tillåtet att förlänga budgivningen? En viss tid? Ett visst antal bud? Hur skyddar du mot att någon snipear den sista förlängningen? För dyrare objekt är det möjligt att avskräcka genom att sätta en lagom hög minsta-höjning men generellt är det ett svårt problem.

Annars kan man ju alltid DoS:a sajten efter att man har lagt sitt bud så att det blir svårt för övriga att buda över. Det känns dock lite fantasilöst. Vad sägs om att sätta sitt användarnamn till

<script>window.location.href="http://www.aftonbladet.se/";</script>

och sen lägga ett bud så att användarnamnet visas på budsidan.

…vi får se om det blir ett vrakpris. Trevlig helg!

Annonser

Slutsatser av intrånget hos Formspring

Det sociala nätverket Formspring gick här om dagen ut med att de har haft intrång. Nätverket har flera miljoner användare men ”bara” omkring 420 000 hashar har gjorts publikt tillgängliga. Den publicerade listan innehåller enligt utsago bara hasharna och inte användarnamn eller mailadress. Hasharna, för övrigt, var saltade SHA256. Det finns några intressanta punkter i Formsprings blogginlägg.

Screenshot from Formspring's blog post on the breach.

(1) Det var inte offret själv som upptäckte intrånget, det var en användare som hittade dumpen på ett hackerforum och hörde av sig till Formspring. Vi har redan lärt oss av Verizons Data Breach Investigations Report att det är så i majoriteten av fallen (92 % under 2011): någon annan än offret upptäcker intrånget.

(2) Man hade förberett sig med möjligheten att tvinga till lösenordsbyte vid inloggning. Mycket effektivare än att be snällt. Om ett system inte har särskilda säkerhetsbehov så är sådan funktionalitet, att kunna tvinga byten efter t ex intrång, viktigare än att tvinga regelbundna byten.

(3) De är rätt förtegna om hur intrånget gick till tyvärr men som de skriver: någon bröt sig in i en utvecklinggsserver och lyckades använda den åtkomsten för att komma åt produktionsdatabasen. Det är så dataintrång går till; ofta krävs bara en, tillräckligt stor maska någonstans för att kunna riva upp hela mattan.

(4) Man är i begrepp att gå över till kraftiga lösenordshashar, OpenBSD-projektets Blowfish-baserade bcrypt (PostScript) med salt och stretching närmare bestämt. Bra val! För lösenordshashar gäller samma sak som för kryptering: designa inte dina egna algoritmer eller implementeringar.

(5) Formsprings snabba och relativt öppna hantering av intrånget leder också till att deras PR inte lider allt för svårt. Samma sak som gällde när WordPress hackades för något år sedan. Det här är en jätteviktig punkt, en läsvärd artikel på FastCompany diskuterade det här för någon månad sedan, The Top Mistakes Companies Make In Data Breaches:

  1. Failing to use peacetime wisely.
  2. Failing to respond with the speed stakeholders expect.
  3. Falling short of full transparency.
  4. Providing details before all the facts are known.

Jag är naturligtvis ett fan av att utnyttja fredstiden, eller, som en kapten sa under min GU: det tillfälliga läget av okrig.

Hälsa och säkerhet

Bloggrannen Cornucopia? skrev i veckan om AstraZenecas förargliga varsel i Södertälje och fick en kommentar från en läsare (Cornus fetstil):

Precis min spaning; och jag råkar vara utbildad läkare. Att KI eller AZ skulle syssla med att främja människors ”hälsa” är naturligtvis skrattretande absurt. Deras levebröd är just att människar har ohälsa, och där finns alltså inget som helst incitament att främja någon ”hälsa”. Hälsa främjas, precis som du skriver, av motion, tallriksmodellen, solsken, meningsfullt socialt liv, närhet, och i bästa fall kärlek. Lejonparten av dagens läkemedel har i princip syftet att minska biverkningarna från felaktig kost, stillasittende, och ensamhet. Att främja hälsa är extremt enkelt och billigt – mycket svårt att tjäna pengar på dvs. Att producera molekyler kallade läkemedel har däremot stora profitmarginaler.

Det kan vara det nyktraste jag läst på länge och jag kan inte låta bli att dra paralleller till säkerhetsbranschen. Det är svårt att tjäna pengar på säkerhetsarbete genom att:

  1. Förorda ordning, reda och disciplin.
  2. Hävda att man inte ska lägga all kraft på att förebygga problem.
  3. Säga att säkerhet är enkelt, det handlar bara om att göra det.
  4. Förespråka öppenhet gällande säkerhetsproblem.
  5. Tjata om att övning är viktigt.

Vad sysslar jättarna i branschen med? De stora är de som utvecklar och säljer produkter. Jag undrar om det verkligen är att gå för långt att använda den andra meningen i citatet ovan för att beskriva de flesta.

Analogin haltar lite. Vi har nämligen en extraordinär omständighet i vår bransch, något vi i princip bara delar med Polisen och Försvarsmakten; vi har intelligenta, antagonistiska motståndare. Motståndare gör säkerhet svårt. Inom ”hälsovården” har man inga intelligenta motståndare.

Det är fortfarande en mycket tänkvärd liknelse.