Kryptoblog

På Linköpings universitet arrangerar Linköpings Universitet, Dataföreningen Östra Kretsen, SIG Security och Nätverket SIRNET ett seminarie om juridikens roll inom IT och Informationssäkerhet. Seminariet som går av stapeln 2007-05-10 kommer enligt inbjudan att ta upp:

IT/informationssäkerhet får en allt större betydelse i takt med att dagens samhälle blir alltmer beroende av datorer och informationssystem. Vi sätter allt mer tilltro, och högre förväntningar, på tjänster som erbjuds via Internet. Samtidigt ser vi genom massmedia hur näringslivet och offentliga organisationer kan drabbas av riktade angrepp, och den enskilde användaren utsättas för intrång i datorns programvara.

Den 10 maj belyser vi juridiken i förhållande till IT och informationssäkerhet. Vilken betydelse har juridiken i IT/informationssäkerhetsarbetet? Vilket stöd ger juridiken när det gäller att säkra samhällssystemen? Hur bidrar e-identifiering till säkrare medborgartjänster? Vad är samspelet mellan offentlighet och säkerhet? Seminariet avslutas med en paneldiskussion där alla närvarande ges möjlighet att diskutera kring dessa frågor.

Mer om seminariet, hur du anmäler dig och hur du hittar dit finns att läsa i inbjudan.

I dag kom beskeded jag väntat länge på - Nordea skall byta säkerhetslösning för sin Internetbank. Trots att Nordea en längre tid hävdat att deras nuvarande säkerhetlösning är lika säker som andra bankers, och att det är deras storlek som gör dom till den bank som drabbas av attack efter attack skall man nu alltså införa ett nytt system. Äntligen.

Det nya systemet skall enligt artikeln på IDG baseras på MasterCards Chip Authentication Protocol, vilket innebär att kunderna kommer att få en dosa. En tänkbar dosa är VASCOs DigiPass:

När en banktransaktion skall utföras stoppar kunden in sitt kort i dosan, och dosan (tillsammans med kortet) genererar en kod som sedan används för att autenticiera transaktioner på Internetbanken. Snyggt och smidigt. Visst, det finns säkerhetsbrister även med detta system, men oavsett vad Nordea tidigare hävdat är detta helt klart ett stort steg framåt. Bra jobbat Nordea och grattis Nordeas kunder.

Enda smolken i bägaren är att det nya systemet dröjer till i höst. Tills dess säger dock Nordea att den gamla lösningen är säker, bara kunderna har uppdaterade antivirus-program(!)

Pawal har bloggat om ännu ett phisingförsk mot Nordeas kunder, ännu ett försök i en allt för lång rad av försök. Till skillnad från tidigare attacker ser den här mycket mer trovärdig ut:

Skurkarna lär sig alltså och förbättrar sitt IT-system. Tyvärr finns det inga tecken på att Nordea gör detsamma. Pinsamt är ett milt ord i sammanhanget. Antagligen beror även den här attacken på att Nordea är störst, inte på att deras säkerhet är mycket svagare än den andra banker har.

NIST har precis släppt ett mycket intressant dokument om forensisk/rättsteknisk analys av mobiltelefoner. NIST Draft S800-101 - Guidelines on Cell Phone Forensics innehåller en gedigen genomgång av de olika typer av information som finns i en mobiltelefon, var och hur informationen lagras, hur den extraheras och hur den säkras som bevis. Dokumentets sammanfattning beskriver syftet och innehållet mde dokumentet:

Mobile phone forensics is the science of recovering digital evidence from a mobile phone under forensically sound conditions using accepted methods. Mobile phones, especially those with advanced capabilities, are a relatively recent phenomenon, not usually covered in classical computer forensics. This guide attempts to bridge that gap by providing an in-depth look into mobile phones and explaining the technologies involved and their relationship to forensic procedures. It covers phones with features beyond simple voice communication and text messaging and their technical and operating characteristics. This guide also discusses procedures for the preservation, acquisition, examination, analysis, and reporting of digital information present on cell phones, as well as available forensic software tools that support those activities.

The objective of the guide is twofold: to help organizations evolve appropriate policies and procedures for dealing with cell phones, and to prepare forensic specialists to contend with new circumstances involving cell phones, when they are encountered. The guide is not all-inclusive nor is it prescribing how law enforcement and incident response communities handle mobile devices during investigations or incidents. However, from the principles outlined and other information provided, organizations should nevertheless find the guide helpful in setting policies and procedures. This publication should not be, construed as legal advice. Organizations should use this guide as a starting point for developing a forensic capability in conjunction with extensive guidance provided by legal advisors, officials, and management.

 

Arbetar du med säkerhet för mobiltelefoner eller med rättsteknisk analys av IT-system borde detta dokument vara given läsning. 

Enligt en artikel i GP anser SÄPO att det finns allvarliga brister vad gäller säkerheten i Svenska kommuner, landsting och myndigheters IT-system. Enligt artikeln ser SÄPO tre huvudsakliga typer av brister

1. I dag finns det möjligheter för Sveriges fiender att ta sig in och hämta ut uppgifter eller förändra och förstöra uppgifter som är av betydelse för rikets säkerhet.
2. Man har inte gjort sin säkerhetsanalys och slagit fast vad som är värt att skydda. Det ska enligt lagen finnas en handlingsplan för hur man ska ta sig an de frågorna.
3. Det finns brister i informationsklassningen - vilken typ av uppgifter vill man behålla för sig själv och vilka är man beredd att dela med andra?

Ännu en larmrapport om sakernas tillstånd alltså. Låt oss hoppas att 2007 blir ett år med många positiva säkerhetsnyheter.  Jag skall försöka hitta fler sådana under det kommande året. Nu skall jag dock iväg och tänka på allt annat än IT-säkerhet.

Jag hoppas att ni som läser min blogg har haft ett fantastiskt 2006 och att 2007 blir ännu bättre. Gott nytt år!

Panda Software har tittat tillbaka på virusåret 2006 och utsett vinnaren i olika kategorier. Resultatlistan är en intressant och kul läsning som väl speglar utvecklingen av virus och annan elak kod som är inblandad i phising, skyddar sig själv mot annan elak kod m.m. Några av vinnarna är dom här:

The most competitive. Once the Popuper spyware has installed itself on a computer, it runs a pirate version of a well-known antivirus application. Far from trying to do the user a favor, it is actually trying to eliminate any possible rival from the computer. It seems that the fight for supremacy has also reached the world of Internet threats.

The most diligent. In general, phishing messages are aimed at gathering confidential information such as credit card numbers or account access details in order to steal money. However, this isn’t the case with BarcPhish.HTML, which goes much further, collecting information including expiry dates, CVVs (Card Verification Value), last names, membership numbers, five-digit codes, account numbers, etc. No doubt the creator was thinking “better too much than too little…”

The most archaic. Seemingly there are still some retro virus creators around. Whoever created the DarkFloppy.A worm appears not to have heard of e-mail, instant messaging or P2P systems, as the propagation methods they’ve chosen to spread this malicious code is… floppy disks. Not much chance of a massive epidemic then, is there?

The most deceitful. SafetyBar supposedly offers security information and anti-spyware downloads. However, the problem is that once downloaded, these programs then warn the user that the computer is infected by non-existent threats.

Många märkliga problem blir det…

NIST har publicerat en guide till hur du på bästa vis samlar in och hanterar loginformation i ditt system. Rapporten Guide to Computer Security Log Management tar bland annat upp:

• Hur loggar skall genereras
• Hur loggar skall överföras till en logserver
• Hur loggar skall lagras och slutligen förstöras
• Hur loggar skall analyseras

I takt med att systemen blir allt mer komplexa, och när antalet incidenter och riktade attacker ökar blir det allt viktigare att det finns spårbarhet i ditt system. Inte bara för att snabbt kunna åtgärda problem, men även för att vid en ev juridisk process kunna visa upp trovärdiga bevis. Arbetar du som CIO, IT-säkerhetschef eller sysadministratör bör du definitivt läsa igenom NISTs rapport.

För den som är intresserad finns det även några verktyg och standardiseringsarbeten värda att titta närmare på. Det finns en grupp inom IETF - Security Issues in Network Event Logging (syslog) som arbetar med att ta fram standarder för säker loggning. Rsyslog är en förbättrad syslogdemon med bland annat bättre säkerhet.

Pär Ström, integritetsentusiast (som en riksdagsman uttryckte det) känd från TV och bla pappan till webbplatsen Stoppa-storebror.se har släppt en rapport som beskriver 22 nya tekniker för övervakning av människor. I rapporten Med storebror i uppfinnarverkstaden berättar Pär Ström bland annat om tekniker som:

• Umgängesanalys och kompisdetektering
• Internetdammsugare
• Avlyssning genom mobiltelefoner

Jag upplever att Pär Ström ibland tenderar att låta en aningens lik en rättshaverist som ser ondska där det kan vara fråga om dumhet och inkompetens. Men skall man tro generaldirektören på Datainspektionen har personer som Peter Ström genom sina debatter och idoga kämpande antagligen fått utvecklingen mot ökad övervakning i Sverige att gå långsammare. Jag tycker därför att Pär Ströms senaste rapport är väl värd att läsa, även om man kanske skall smälta den med en liten nypa salt.

(2006-11-17: Ändrat Peter till Pär - tack för påpekandet om pinsam miss.)

… Då har jag ett här för dig: Strunta i aktietips du får från okända i mail. Aktie-SPAM har blivit väldigt vanligt. Oftast riktar dom sig mot aktiemarknader i USA. Det intressanta är dock huruvida tipsen är bra eller inte. Det finns en webbplats som håller koll på hur bra tipsen är.

Genom att investera ett fiktiv summa i alla aktietips som kommer i SPAM och sedan följa börskursen kontrolleras hur bra tipsen egentligen är. Det ser inte så bra ut. Sett över alla aktietips är status i dag:

Total Cash Outlay:	$70,987.00
Total Current Value:	$15,021.70
Net Profit:	- ($55,965.30)

Men scrolla även ner på sidan och kolla dom enskilda aktierna. Det är många olika aktier inom ett otal olika branscher. Men ett har dom uppenbarligen gemensamt. Dom minskar i värde.

Tro inte på dessa aktietips. Det handlar inte om välgörenhet, utan ett sätt för att få folk att köpa övervärderade aktier. Ofta följer det även med elak kod i dessa spam-mail. Så strunta i löftena om snabb rikedom, chans att få råd till en Dodge Viper (vad man nu skall med en sådan till) och behandla dessa mail på samma sätt som annan spam: Kasta dom direkt.

Jag har tidigare bloggat om The Silverbullet, Gary McGraws podcast om IT-säkerhet. Nu har jag hittat en intressant podcast om IT-säkerhet till.

Security Monkey är en podcast om säkerhetsanalys och forensisk analys. Det finns i dag 15 avsnitt som bland annat tar upp avlyssning av VoIP-trafik, analys av DDoS-attacker och mycket mer. Är du intresserad av utredning av IT-brott är detta nog en podcast värd att prenumerera på och ha i lurarna på bussen.