Självklart vill buset komma in i molnet

”Gå inte på reklamen som säger att du inte behöver oroa dig. Du kan aldrig lägga över ansvaret för säkerheten till molnet”, skriver Åsa Schwarz.

Publicerad: 2012-09-09 03:00, i Computer Sweden

Häromdagen fastnade jag för en bloggpost som handlade om trojanen OSX Crisis. Det som fångade min uppmärksamhet var att den inte bara kan exekveras på Windows-mobiler, Mac och pc utan även på virtuella maskiner. Det är alltså första steget ut i den virtuella världen för vad som med ett samlingsnamn kallas för elak kod.

Trojanen avlyssnar ett antal program som till exempel Skype och Messenger för att sedan skicka informationen till en ip-adress. Den utnyttjar att våra datorer förvandlats till övervakningscentraler med kamera, gps, telefoner och ljudinspelningar.

Möjligheterna att tanka ned information om oss är numera oändliga. Sammanfattningsvis kan en person få total insikt i all kommunikation som användaren har, oberoende av vilken teknisk plattform som används.

Nu är just den här trojanen inte speciellt spridd. Men tyvärr är virus- och trojanmakare både rationella och lata så vi kommer säkert få se ett antal både bättre och effektivare kopior.

Förr var det enkelt att råda bot på problem med elak kod. Standardrekommendationen var att ha en brandvägg, ett antivirussystem och se till att uppdatera systemen. All trafik in och ut ur nätverket skulle skannas för elak kod. Om något dök upp, skulle ett larm gå centralt. Den stora utmaningen låg i att få användarna att inte klicka på fel länk.

Nu krävs det mer för att vi ska hålla jämna steg med buset. Därför bokade jag en lunch med Per Hellqvist på Symantec. Jag frågade honom vad företag ska fokusera på i framtiden för att slippa de största problemen med elak kod.

”Det blir allt viktigare med säkerhet i webbläsaren. Ju fler affärssystem som ligger i molnet, desto fler angrepp sker den vägen. Bovarna dras dit pengarna är. Två-faktor-autentisering borde vara ett krav”, sa han.

Jag frågade också hur han trodde att den elaka koden skulle se ut om fem år:

”Jag tror att nästa steg är att angripa själva molntjänsterna, inte bara inloggningen.”

Det har han säkert rätt i. Det är där pengarna kommer att finnas. Det är där som stora delar av våra elektroniska liv utspelas. Det är där allt kommer att hända.

Så klart buset vill in i molnet.

Då kan vi luta oss tillbaka och låta leverantörerna av molntjänster hantera problemen. Det är de som får övervaka och bygga stabila tjänster när den elaka koden strömmar till. Visst låter det bra? Det vi glömmer bort är att om de misslyckas är det vår affär som riskeras.

Gå inte på reklamen som säger att du inte behöver oroa dig. Du kan aldrig lägga över ansvaret för säkerhet till molnet.

Du måste fortfarande ställa krav på säkerhet även om outsourcing har fått snyggare gränssnitt och bytt namn.

Den svagaste länken avgör din säkerhet

”Kan någon ta över identiteten på ett ställe är det lätt att komma vidare”, skriver Åsa Schwarz.

Publicerad: 2012-08-17 03:00, i Computer Sweden

Journalisten Mat Honan blev tokhackad. Hans Iphone, Ipad och Macbook var helt raderade. Någon annan twittrade rasistiska åsikter i hans namn och googlekontot var borta. Angreppet hade främst gjorts genom social engineering och visade på brister i flera datorjättars rutiner. Han beskriver själv hur alla foton på hans dotters första levnadsår var försvunna. Det är en personlig tragedi men jag skulle vilja lyfta problematiken ur ett företags synvinkel.

Vad Mat Honan inte beskriver är hur hans källor riskerade att bli komprometterade eller hur hans anseende som journalist var i fara. Vem vill avslöja saker till en person som inte kan hålla dem hemliga?

Det samma gäller de flesta företag. Våra kunder måste lita på att vi hanterar deras information på ett säkert sätt och att vi inte blir hindrade av att hela vår tekniska plattform blir raderad.

Hacket belyser också ett antal trender. Den första är att våra digitala identiteter är beroende av ett antal dominerande amerikanska företag. Anledningen till att jag poängterar att Twitter, Amazon och Apple är amerikanska är att USA inte har samma syn på relationen mellan personlig integritet, företag och nationens intressen som vi är vana vid i Sverige. Det kunde vi se i Wikileakshärvan då ett antal amerikanska företag hjälpte USAs regering att snabbt strypa både datorkraft och finansiering.

En annan trend är att våra digitala identiteter börjar bli allt mer gränslösa. Eftersom de skapas av en kedja av företag är det den svagaste länken som sätter nivån på säkerheten. Kan någon ta över identiteten på ett ställe är det lätt att komma vidare.

En tredje trend är att gränsen mellan digitalt privatliv och livet som anställd suddas ut allt mer. Både tekniskt och socialt. Det pågår allt fler diskussioner om att släppa in privat utrusning i företagens nät. Jag är även övertygad om att ett stort antal Iphones, Ipads och Macar säkerhetskopieras i Icloud utan att företagsledningen reflekterar över det. Bara mejlen i dem måste motsvara oändliga mängder känslig information.

Sammanfattningsvis är säkerheten hos många svenska företag på samma nivå som den svagaste länken i de anställdas digitala identitet. Företagets anseende kan sitta i händerna på en supportkille på Amazon. Sedan kan vi konstatera att om Sverige och USA någon gång kom i digitalt trubbel är vi rökta. De äger oss. Men den diskussionen hör hemma i en thriller.

Däremot ska vi inte glömma de positiva sidorna med utvecklingen. Tillgängligheten är mycket högre i dag än för tio år sedan. Säkerheten blir oftast bättre i molnet än om datorerna skulle stå i hemmet eller i företagens datorhallar.

Jag säger därför inte att du ska vara paranoid. Det viktiga är att du vet risken och ser sambanden. Sedan är det upp till dig om du vill ta den eller inte.

Oj, jag skickade mailet till fel adress.

”Börja med att förutsätta att mejlsystemet är affärskritiskt Och se till att verksamheten fattar beslut om vilka upptider som är rimliga.”, skriver Åsa Schwarz.

Publicerad: 2012-05-25 03:00, i Computer Sweden.

Jag blev iskall i magen. Hjärtat slog ett extra slag. Jag var tvungen att läsa mottagaren till mejlet en extra gång. Det var fel adress. Jag ville sjunka genom marken. Jag hade skickat ett brev där jag skrev hur tråkigt mitt jobb var till chefen i stället för till sambon. De hade samma förnamn.

Känner du igen det där? Det behöver inte vara till chefen, det kan lika gärna vara affärshemligheter till en konkurrent eller kärleksbrev till fel kollega. När jag har analyserat säkerhetsproblem med mejlsystem så är den vanligaste incidenten att brev kommer fel när användaren varit för snabb och valt fel mottagare.

Ett annat problem är att mejl oftast skickas i klartext vilket gör att vem som helst som fångar upp trafiken kan läsa mejlet. Detsamma gäller om någon stulit eller hackat sig in på en dator där det finns en mejlklient. Allt går att läsa. Det är dessutom lätt att fejka avsändaradressen och därmed hela innehållet. Sammanfattningsvis så är majoriteten av mejlsystem inte säkra.

Det konstiga är att många företag fortfarandeenvist anser att mejlsystemet inte är affärskritiskt. Jag hävdar att de har fel. Under det senaste tio åren har vi ändrat vårt sätt att arbeta. I många företag skickas nästan all information någon gång via mejlsystemet. Samtidigt blir vi allt mer mobila och får mejl i telefoner och surfplattor. De flesta människor har någon gång blivit av med sin mobiltelefon.

Det finns två vägar att gå för att minska risken. Den ena är att skaffa ett nytt system eller uppgradera det befintliga så att det har funktioner för kryptering och signering. Det är lätt och relativt billigt. Problemet är att det även måste finnas en struktur för hantering av krypteringsnycklar, inte bara internt utan även med samarbetspartner. Det är inte alls lika lätt och det är där projektet ofta strandar.

Den andra vägen är vara pragmatisk. Börja med att förutsätta att mejlsystemet är affärskritiskt och se till att verksamheten fattar beslut om vilka upptider som är rimliga. Utifrån det är det lätt att arbeta med tillgänglighetsfrågor som elförsörjning, internetleverantörer och säkerhetskopiering.

Se därefter över klientsidan, speciellt den mobila. Det viktiga är att se på telefoner på samma sätt som datorer. De ska levereras till användarna med fördefinierade säkerhetsinställningar. Allt annat är dömt att misslyckas. Det ska finnas regler för uppdateringar, brandvägg, antivirus och kryptering . Lösenord och automatisk utloggning ska vara obligatoriskt.

Nyckeln är att ifrågasätta hur mycket information som behöver ligga på klienterna. Ibland räcker det med dagens mejl utan bilagor. Då minskar risken betydligt.

Slutligen ska mejlen användas med sunt förnuft. Det är lättare sagt än gjort. Det finns minst en som saknar det i alla större organisationer.