Aktuellt? 100 procent.
Nyttigt? 100 procent.
Skrämmande? 100 procent.
Next Generation Threats 2013 inleddes med en ordentlig skrapa om att vi tänker helt fel och letar efter fel saker i cyberkrigets hetta. Det var Shawn Henry, före detta FBI-medarbetare, som sade det. Han vet uppenbarligen vad han pratar om. Hans exempel är amerikanskt, men ändå allmängiltigt.
Antag att du är ute och går på en gata. Plötsligt blir du beskjuten. Kulorna visslar runt huvudet. Funderar du i panikens stund på vilken kaliber kulorna hade eller hur stora hålen i väggen bakom dig blir? Du tar skydd, försöker förstå vem som sköt och varifrån skotten kommer.
Shawn Henry, vd för Crowdstrike och tidigare chef för FBI:s cyberbrottsutredningar. Bild: Niklas Hildén
Eller tänk dig att du kommer hem en kväll och ser att någon har sparkat in din dörr. Ringer du bara låssmeden och säger att låset är trasigt? Låssmeden kommer, fixar låset och du går tryggt och lägger dig. Eller?
Det är så säkerhetsarbetet fungerar på de flesta företag i dag. Man försöker skärma av sig från yttervärlden och blir man beskjuten försöker man uppskatta vilken typ av attack det var och hur stora skadorna blev. Men det är egentligen sekundärt. Vem var det som attackerade? Vad ville de ha? Finns de kvar? De frågorna är mycket viktigare. Ordet för dagen är ”riktade attacker” och ... det är dig som attackerna riktas mot.
Cyberbrott på beställning
Crime as a service, caas, har varit på tapeten länge. Du behöver inte begå cyberbrott själv om du bara hostar upp lite pengar. På Next Generation Threats fick vi prisexempel av Maxim Goncharov från Trend Micro. Priserna på serverhyra och programvara för cyberbrott är kraftigt konkurrensutsatta och har dykt ordentligt på senare år.
Ddos och phishing kan köpas i parti och minut. Vill du ha en osänkbar server att lägga dina barnporrbilder på i något mindre nogräknat land, outsourcad hos någon som struntar i alla abuse-rapporter, plus 24/7 kundsupport? Det finns att få till det facila priset av cirka 600 dollar i månaden. Ingen stor summa, förvisso. Lagom för varje företagsam script-kiddie som för tillfället råkar hata regeringen, bankerna, försvaret eller ... dig.
Vi får hoppas att ingen från Al-Qaida satt i lokalen. De skulle kunna få så dumma idéer. Det tycks som om sagda organisation som vanligt förklarat jihad mot västvärlden och denna gång ska den vara elektronisk. De är inte dummare än att de kan köpa skräddarsydda brott. Precis som vilket annat företag som helst har terroristerna insett att man ska koncentrera sig på sin kärnverksamhet och låta andra sköta it-tjänsterna. Våra 180 miljoner öppna routrar är som en utsträckt hand (se nedan).
Det handlar om vår hälsa
Styrning av tillverkningsprocesser är ett område där säkerhetsarbetet uppenbarligen släpar långt efter. Tung industri, vattenverk, värmekraftverk, avloppsrening och liknande verkar inte tro att de är lika hotande som de glänsande aktiehandlarna. Men tyvärr är de det. Och medan aktiehandlarna bara handlar med okänsliga pengar, handlar vattenverken med din och min hälsa. Av någon korkad anledning är svenska vattenverk inkopplade på internet.
Mattias Wecksten. Bild: Audrone Vodzinskaite
Mattias Wecksten från Högskolan i Halmstad visade hur enkelt det kan vara att via ett komprometterat scada-system feldosera kemikalier och skapa en förgiftning.
Man drar sig till minnes Hasse Alfredssons parafras på Fänrik Ståls sägner: ”Hurra för löjtnant Schiller, som pest i vattnet spiller! När Schiller kom var klockan slagen och fienden blev lös i magen.”
Ryck pluggen eller använd en datadiod (http://www.nexor.com/data-diodes), som de gör på svenska kärnkraftverk. En datadiod är den enda apparat som kan förhindra att känsliga processer förändras, samtidigt som den ger full insyn för de som behöver.
Http är INTE vanligast på nätet
Internet är trasigt, menade Claudio Guarnieri från Rapid 7. Saker som inte borde vara på internet tycks ändå trängas om hackarnas uppmärksamhet. Internet of things kan måhända bli västvärldens förbannelse. Embedded-apparater som trådlösa routrar, elektroniska brödrostar och nätverksanslutna tv-apparater (med inbyggd kamera) innebär risker som vi ännu inte ens funderat på.
Christopher Soghoian. Bild: Niklas Hildén
Http borde vara det vanligaste protokollet på internet, men det kommer bara på andra plats. I stället är det embedded-apparaternas upnp som leder ligan, ett protokoll som inte borde komma utanför hemmets väggar. Bland annat tycks ungefär 180 miljoner hemmaroutrar ligga öppna för attack, eftersom de skyltar med upnp-protokollet utåt. Det borde de inte göra.
Vad kan hända? Genom att greja med dns i routern kan terrorister dirigera om ett helt folks bankaffärer till fejkade sidor. Plötsligt kan svenska folket inte längre göra bankaffärer eller betala räkningar. Landet stannar av pengabrist. Mycket elegantare än att ddos:a bankerna.
Kanske du borde uppdatera firmware i din wi-fi-router? Kan den uppdateras? Vet ej. Finns det uppdateringar? Sannolikt inte. Får man någon varning om att programvaran lider av säkerhetshål? Nej. Och om det fanns uppdateringar, skulle Svensson kunna införa dem? Eventuellt. Och om 100 miljoner människor uppdaterade sina routrar och fem procent misslyckades, så skulle tillverkarna plötsligt stå där med fem miljoner kundförfrågningar. Förstår du varför det inte finns några uppdateringar?
Wi-fi kan bli din undergång
Det behövdes en uppfriskare på Next Generation Threats 2013, och det var James Lyne från Sophos som stod för den. Han visade en massa enkla, farliga grejor. Allt för enkla, faktiskt. Till exempel att alla mobiltelefoner med wi-fi påslaget ständigt annonserar alla nät de känner till, även om de inte är inloggade. Det gäller bara att suga upp alla förfrågningar, och hittar man exempelvis nätet ”Regeringskansliet” kan man starta en spoof-server som medger att telefonen i fråga loggar in automatiskt, varefter man kan snoka ostört i den. Jamen, wi-fi är väl fint? Det ska man väl ha igång? Nej. Det kan vara det där e-brevet du skickade från Arlanda just innan du gick ombord som blir spiken i kistan för ditt företags it-säkerhet.
Flera av talarena på evenemanget uttryckte sina farhågor för den bristande utbildningen inom datorområdet. Den nya generationen som kommer ut på arbetsmarknaden har ingen aning om datorsäkerhet och struntar således i det. Moderna människor laddar ned vad som helst, klickar på vad som helst som blinkar trevligt, utan att ägna en tanke på vad som finns inuti. Om apparaten är vit och blank och fin är den säkert bra. Den är ju gjord av en välkänd tillverkare. De måste väl ha koll? Eller? Den svenska skolan överöser eleverna med bärbara datorer i dag, men gör i princip ingenting för att lära eleverna faran med användningen.
Vem borde förvånas?
Koll, ja, vem har det nu för tiden? Det verkar bara som om det är NSA och deras allierade som har någon egentlig koll. Christopher Soghoian från American Civil Liberties Union höll en mycket engagerad föreläsning om vad NSA borde göra och vad de faktiskt hade haft för sig.
Men det har blivit så mycket skriverier om NSA på den senaste tiden att folk jag mötte i korridorerna börjar kräkas på det. Fenomenet är känt. Fint. Tack så mycket. Nu går vi vidare. Spioneri, kryptering och kodknäckning har varit med oss sedan romartiden. Vem borde egentligen vara förvånad nu?
Egentligen är hemligt spioneri mot medborgarna bara bortkastade pengar när alla så gärna berättar om sitt liv, sitt hat, sina konspirationer och sina brott på Facebook, öppet för alla och envar. Där behövs inga bakdörrar. Det finns big data-metoder att samla in det automatiskt och inläggen rasar in.
Här har Software AG, ett företag i big data-branschen hjälpt undertecknad med en kort, men fullt legal dammsugning av Twitter. Vi höll på i två minuter och sög i oss allt med nyckelordet ”Obama”. Förstora bilden för att se alla dumheter som folk bara vräker ur sig helt frivilligt. Sedan slår man på sökning av ”non-neutral messages” och kan sila fram hatkörerna. (klicka för att förstora)
Meningslösheter engagerar tyvärr
Andra rubriker i media engagerar mycket mer än de tråkiga, esoteriska artiklarna om datorsäkerhetens brister, till exempel AIK:s förlust, din nya vårgarderob, kocknisses nya tjatiga grillrecept, de senaste popbanden och prinsessan XY:s tuttar som syns på en bild. Meningslösheter som kan resultera i ett fniss, men inte mycket mer.
Vad ska man göra åt saken?
- Eftersom vanligt folk, inklusive it-chefer, är för dumma för att klara sig undan phishingbrev, måste man få ett stopp på det.
- Eftersom det finns alldeles för många barnporrbilder på alldeles för många skottsäkra servrar runt om hos olika skurknationer, måste man få ett stopp på det.
- Eftersom det är så lätt för alla och envar att köpa en ddos-attack, eller för en statlig organisation att sänka ett land man är missnöjd med, via internet, måste man få ett stopp på det.
Jag har redan talat om vad jag tycker borde göras. Och jag föreslår att någon som säljer en next generation-brandvägg får komma till tals på nästa Next Generation Threats. De har gått längre än att bara försöka hålla yttervärlden borta från företaget. De kan analysera trender och hitta elak programvara dold inuti vad som verkar vara snäll programvara – och det på en mikrosekund.
Hjälpte Next Generation Threats 2013? Att döma av verkligheten: Nej. Välkommen till Next Generation Threats 2014, 24 september nästa år.
