Nu är det slut på ursäkter för osäkra mobiler

Det mest intressanta är att för en månad sedan fick myndigheter i England godkänt att använda Iphone till känsliga mejl, skriver Åsa Schwarz.

Publicerad: 2012-12-24 03:00, i Computer Sweden

För två år sedan skrev jag en krönika om säkerhet i mobiler. Då var det kaos, de smarta telefonerna tog över marknaden. De hade massor av användarvänliga funktioner men den lilla säkerhet som fanns, användes inte. Om du inte hade en Blackberry förstås, fast då slapp du användarvänligheten i stället. Krönikan slutade med en fundering om vad jag skulle skriva nu, två år senare.

Det har hänt mycket sedan sist. Enligt en undersökning av Techtarget är säkerhet en parameter i 80 procent av fallen när företag köper mobiler. Mobile device management, mdm, är på stark frammarsch. Det är bra eftersom MDM-system möjliggör att alla telefoner har samma säkerhetsprofil. Visserligen har endast 19 procent av företagen ett mdm-system i drift men ytterligare 8 procent håller på att installera ett. Dessutom utvärderarhela 39 procent sådana system. För två år sedan exploderade marknaden för smarta telefoner. Nu kommer de snart att användas på ett säkert sätt.

Under hösten har Blackberry förlorat sin ena stora prestigekund efter den andra. Pentagon, motsvarigheten till Migrationsverket och Tullverket i USA, byter från Blackberry till Iphone. Det mest intressanta för oss är att för en månad sedan fick myndigheter i England godkänt att använda Iphone till känsliga mejl. Tidigare fick bara Blackberry användas. En förutsättning är självklart att säkerhetsmekanismerna som finns används.

Eftersom vi har en liknande lagstiftning för personuppgifter i Sverige borde det även vara möjligt för myndigheter här.

Rent tekniskt ser jag inga problem med det, men det finns två stora utmaningar. Den ena är att förklara för användarna varför telefonen plötsligt bara accepterar ett lösenord som är minst åtta tecken långt. Den fyrasiffriga koden knäcks lätt på 30 minuter.

Den andra är att implementera en process där alla användare får en mobil som kommunicerar med det interna nätet på ett säkert sätt. För att lösa det är ett mdm-system ett måste.

Men Android då, frågar ni nog, är det säkert? Svaret blir: det beror på. Till skillnad från Iphone har Android en öppen arkitektur som varierar från tillverkare till tillverkare. Från och med version 4.0 finns kryptering av minnet vilket är en av de viktigaste funktionerna för att skydda data. Alla tillverkare har inte ens kommit till version 4 och funktionen för kryptering måste aktivt slås på. Det finns andra betänkligheter också, men sammanfattningsvis är krypteringen på senare versioner av Android hyfsad.

Det är bara att konstatera, det finns inga undanflykter längre. Det går att göra sina mobiltelefoner säkra. Det är på tiden nu när vi nästan använder dem mer än våra datorer.

Tio tips för säker utveckling

”Det kostar 5-10 procent mer att utveckla ett säkert system än ett taffligt och osäkert system”, skriver Åsa Schwarz.

Publicerad: 2012-12-02 14:21, i Computer Sweden

Många it-system är osäkra, andra är direkt livsfarliga. Vissa hävdar att det beror på att leverantörerna som utvecklar dem är okunniga. Det tror inte jag. Däremot tror jag att de gillar pengar. En kvartalsrapport med fina siffror sitter aldrig fel.

Det kostar 5–10 procent mer att utveckla ett säkert system än ett taffligt och osäkert system. Om organisationen som gör systemet aldrig arbetat på ett säkert sätt tidigare, kan kostnaden vara ända upp till 25 procent högre, men minskar snabbt när processerna sätter sig. Trots kostnaden lönar sig investeringen eftersom högre kvalitet radikalt minskar antalet driftavbrott, lyckade hackarangrepp och annat elände. För att inte tala om huvudvärken som du slipper.

När utvecklingen läggs på en extern leverantör uppstår problemet att du tar affärsrisken medan leverantören levererar mot en kravspecifikation. Om säkerhet inte är med i specifikationen kommer säkerhet inte att levereras. Varför ska leverantören minska sina marginaler med 5–10 procent? Om någon oombedd räknar in säkerhet i priset, kan den till och med förlora affären eftersom kunden väljer ett billigare alternativ.

Det finns bara en lösning. Ha med säkerhetskrav i upphandlingen och följ upp dem. Tro mig, du vill inte ha program som inte klarar åtminstone nedanstående:

1. Systemet ska inte ha något av Sans 25 programmeringsfel och om det är en webbapplikation ska det inte ha några av säkerhetshålen i Owasp Top 10.

2. Leverantören ska specificera vilka mjukvaraukomponenter, inklusive versionsnummer, som har använts för att skapa systemet.

3. Leverantören ska enbart använda standardiserade metoder för kryptering och signering. All säkerhetsrelaterad dokumentation ska vara tillgänglig på förfrågan.

4. Du ska ha rätt att säkerhetsgranska systemet.

5. Leverantören ska överlämna dokumentation om hur systemet installeras med ett minimum av åtkomsträttigheter till operativsystemet samt vilken nätverkstrafik som är nödvändig för att systemet ska fungera i aktuell miljö.

6. Leverantören ska ange cykeln för uppdateringar.

7. Leverantören ska kunna visa hur säkerhetsarbetet är integrerat i systemets hela livscykel.

8. Beroende på vilket som kommer först ska leverantören informera om sårbarheter som upptäcks i systemet inom 30 dagar alternativt när en uppdatering som löser problemet kommer.

9. Systemet ska logga alla händelser och följa siem-standarder.

10. Systemet ska kunna identifiera och autentisera användare samt bekräfta behörighet. Det ska följa öppna iam-standarder.

Egentligen ska du göra en säkerhetsanalys för att hitta rätt säkerhetsnivå och kostnadskostym. Men ovanstående punkter är en bra början. Då står du inte med lång näsa när systemet kraschar eller pulveriseras av hackare. Och du kan lugnt slänga huvudvärkstabletterna.

 

 

Helheten är viktigast för din säkerhet

”Tyvärr löser inte ett enskilt antivirusprogram problemet med elak kod”, skriver Åsa Schwarz.

Publicerad: 2012-11-10 09:00, i Computer Sweden

”I dag har jag kringgått antivirussystem. ” Ögonen glänste på min kollega Mattias när han nöjt sa det under senaste afterworken. Det är inte så konstigt som det låter. Antivirussystem finns hos alla av våra kunder och vid penetrationstester är de en naturlig del.

Traditionellt samlar antivirussystemen på sig en stor mängd av så kallade signaturer av elak kod som de sedan jämför med filerna på dina datorer. Angreppssättet kallas för svartlistning och fungerade hyfsat tidigare men det blir allt svårare av flera skäl.

För det första ökar antalet kända virus lavinartat. Så fort de modifieras marginellt krävs en ny signatur. För det andra har vi fått allt fler svarthattar som hackar för sitt uppehälle. När de upptäcker ett nytt säkerhetshål eller utvecklar egen kod använder de informationen i riktade attacker.

Förr om åren gjorde de virus som spreds i stor skala och kunde fångas upp och analyseras. Nu behåller de kunskapen för sig själva. Det gör att det finns allt mer elak kod som cirkulerar på den svarta marknaden.

De flesta antivirussystem letar numera inte bara efter signaturer utan även efter misstänkta mönster och beteenden. Resultatet blir bättre men faktum kvarstår att de fortfarande letar efter saker de känner till.

Sammanfattningsvis kan ett traditionellt antivirussystem bara mota bort hackare och virus som använder kända metoder. De är en hygienfaktor men står inte pall mot avancerade hackarattacker. Dessutom är olika antivirussystem bra på olika saker, men fungerar inte alltid om de installeras på samma maskin.

På senare tid har en metod som kallas vitlistning kommit i fokus. I stället för att försökta hitta alla program som gör fel saker, godkänns endast ett visst antal program som gör rätt saker.

Nackdelen med tekniken är att det krävs en finjusterad databas som passar just dina system utan att hindra affärsverksamheten.

Fördelen är att det är mycket mindre risk att riktade attacker lyckas.

Tyvärr löser inte ett enskilt antivirusprogram problemet med elak kod. Först måste du bestämma vilken information som är värd att skyddas. Sedan krävs en väl genomtänkt strategi som innefattar flera olika typer av skydd: antivirusprogram, brandväggar, intrångsupptäcktssystem, ids, och eventuellt vitlistning av applikationer.

Det är inte heller fel att ha flera typer av antivirusprogram installerade på olika datorer. Eftersom en stor del av företagens information finns på mobila enheter måste en extra tanke ägnas åt dem. Framför allt ska vi komma ihåg att säkerhetsarbetet är så mycket mer än antivirusprogram. En enskild säkerhetsmekanism kan alltid kringgås. Det är helheten som är viktigast.