Hver mann sin PKI?

Posted on May 16, 2012 by Lars Olaussen

Håndtering av passord er, som håndtering av nøkler, ikke lett. Det har allikevel skjedd endel de siste årene for å forenkle vanlige (hjemme)-brukeres passordhåndtering. Det har vært stor fokus på folkeopplysning, som å fortelle at man bør unngå å ha de samme passordene på alle steder på nettet, og det har kommet passordhåndteringsprogrammer som generer sterke passord, og lagrer og synkroniserer disse mellom forskjellige enheter.

Eksempler på passordhåndteringsprogrammer er Password Safe, KeyPass og LastPass.

Ill.: www.colourbox.no

Som for passord, begynner det etterhvert også å bli mange anvendelser av nøkler og sertifikater som brukere må håndtere selv. Selv om det nok ikke foreløpig er like utbredt, vil mer avanserte brukere nok allerede ha vært borti flere systemer hvor nøkler og sertifikater har vært brukt.

Eksempler på systemer som benytter nøkler og sertifikater som vanlige (hjemme)-brukere kan komme borti:

  • 2-veis autentisering på nettsider (som Skandiabanken)
  • Administrasjonssertifikat i nettverksutstyr
  • Filkrypteringsnøkler (som EFS, komprimerte arkiv og datafiler for Outlook)
  • Fjerntilgangssertifikater (som virtuelle private nett (VPN) og Secure Shell (SSH))
  • Gjenopprettingsnøkler for krypterte minnepinner
  • Harddiskkrypteringsnøkler
  • Kryptert e-post (som Pretty Good Privacy (PGP) og varianter, og S/MIME)

I tillegg kommer sertifikater fra eID-leverandører, men dette er nøkler og sertifikater som brukeren ikke selv forvalter.

Ill.: www.colourbox.no

De fleste anvendelsene listet her, utenom PGP, er for brukeren selv; brukeren håndterer nøkler for selv og de trenger ikke distribueres til andre. Det betyr allikevel ikke at alle nøkkelhåndteringsproblemene er løst. Fortsatt gjenstår viktige deler, slik som nøkkelgenerering og sikkerhetskopi og gjenoppretting.

Ønskede egenskaper i et nøkkel- og sertifikathåndteringsprogram for vanlige brukere kunne dermed være noe som:

  • Slumptallsgenerering (med mulighet for import fra ekstern slumptallskilde)
  • Nøkkelavledningsalgoritmer
  • Nøkkelgenerering for symmetriske og asymmetriske nøkler
  • Sertifikatgenerering (med mulighet for å bestemme hvilke felter sertifikatet skal ha) og signering sertifikatet (mulighet for minimum én-lags PKI)
  • Passord- eller nøkkelbeskyttet nøkkellager
  • Sikkerhetskopi og gjenoppretting av nøkler
  • Synkronisering av nøklene mellom forskjellige enheter

Det finnes store avanserte systemer, som PKI-produkter, som kan gjøre flere av disse tingene, men det er ikke programmer som vanlige brukere kan forholde seg til. Det finnes også mange enkle verktøy som tar hånd om enkelte punkter i listen, men gjerne via kommandolinje, som igjen gjør det vanskelig for vanlige brukere.

Dersom noen har forslag til applikasjoner, systemer eller tjenester som vanlige brukere kan bruke for å håndtere nøkler og digitale sertifikater (X.509), hadde det vært fint om dere skriver det inn i en kommentar nedenfor.

Om noen har flere idéer til hva et slikt program burde inneholde av funksjonalitet, er det fint om disse også skrives inn i kommentarfeltet.

Posted in Kryptografi, Teknisk | 1 Comment

Sosial manipulering – Hva er det?

Posted on May 14, 2012 by Roar Thon

Dette innlegget er en forkortet versjon av en lengre artikkel som ble publisert i NSM/NorCERTs Kvartalsrapport for 1. kvartal 2012. Du kan lese hele artikkelen her

Kombinasjonen av sosial manipulering og teknologiske sårbarheter blir i større grad benyttet i det vi definerer som målrettede angrep mot enkeltansatte i virksomheter og bedrifter. Angrepene trenger ikke engang å være teknisk sofistikerte når man får ansatte ubevisst til å implementere angrepet mot sin egen arbeidsgiver. I denne artikkelen forsøker vi å sette fokus på hva sosial manipulering er og hvilke spørsmål den enkelte bør stille seg for redusere muligheten for og ubevisst hjelpe trusselaktørenes til å lykkes med sine forsøk på å infiltrere datasystemer.

Sosial manipulering er ikke noe nytt. Mennesker har lurt hverandre siden tidenes morgen og det finnes like mange variasjoner av sosial manipulering som det finnes løgner.

Sosial manipulering er ikke annet en løgner og illusjoner satt i system av en eller flere mennesker som benytter dette som et verktøy for å nå sine mål. Sosial manipulering kan f.eks. være å bruke reell informasjon til å skape en situasjon eller benytte forfalsket eller ikke-reell informasjon til å skape den samme situasjon.   Situasjonene som oppstår har ofte til hensikt å skape følelsesmessige reaksjoner hos mottaker som f.eks. å skape tillit gjennom utseende, språk og budskap for deretter å få til en bestemt reaksjon/handling hos mottaker.  Situasjonen som skapes kan være av fysisk eller elektronisk art med den felles hensikt å skape en reaksjon/handling som gjør det mulig å skaffe seg f.eks. informasjon. Informasjonen kan enten føre direkte til målet eller fremskaffe mer informasjon på veien mot et mål.

Målet kan være mangeartet, men økonomiske motiver er ofte en dominerende faktor.  Verdifull og sensitiv informasjon kan ha en høy økonomisk verdi når informasjonen havner i de «urette» hender.  For NSM/NorCERT er sosial manipulasjon noe vi i økende grad ser benyttet i målrettede dataangrep med den hensikt å skaffe tilgang til sensitiv informasjon.

Informasjon har en varierende verdi avhengig av hvem som trenger den og til hvilket formål. Informasjon som vi anser å være triviell kan være viktig for en som bedriver sosial manipulasjon. Det betyr ikke at vi skal beskytte vår trivielle informasjon bedre, men vi må forsøke å øke forståelsen for at ikke alt bestandig er hva det utgir seg for å være. Dersom vi hadde vært i stand til å leve etter ordtaket om at «du skal ikke tro på noe av det du hører og bare halvparten av det du ser» ville vi ha gjort det veldig vanskelig for trusselaktørene å bedrive sosial manipulasjon.

For å nevne noen av kategoriene vi kan plassere sosial manipulasjon inn i, kan det være alt fra brev, reklame, websider, telefonsamtaler, tekstmeldinger, e-post, til det fysiske møtet med en eller flere personer.

Med andre ord kan sosial manipulasjon være alt fra e-posten fra en forretningsmann i Nigeria med tilbud om å gjøre deg rik i en fei, brevet fra et advokatkontor i Hong Kong som forteller at du har arvet en onkel du aldri har hørt om, eller telefonen fra Microsoft som forteller at du har problemer med datamaskinen din. Dette er eksempler som er av global karakter og som i realiteten retter seg mot enhver som ikke forstår at de blir utsatt for sosial manipulasjon i den hensikt å loppe dem for penger. Når vi kaller dette eksempler av global karakter er det fordi mennesker over hele kloden utsettes for denne type manipulering 24/7 med en viss variasjon av budskap og presentasjon.

At trusselaktørene benytter denne type metodikk kan ikke forklares med noe annet enn at de tjener nok på metodikken til at det lønner seg rent økonomisk. Forhåpentligvis har du og din bedrift blitt i stand til og indentifisere å motstå denne type manipulasjon.

Den sosiale manipulasjon som benyttes i målrettede dataangrep har som regel en helt annen grad av individualitet og karakter. Budskap og presentasjon er ofte bearbeidet på en slik måte at den bare passer en enkelt person, eller en mindre gruppe nøkkelansatte i bedriften.

Selv om en trusselaktør sannsynligvis må bruke noe mer ressurser på å planlegge et målrettet angrep mot en ansatt i en bedrift er det grunn til å anta at dette også lønner seg. Et godt målrettet angrep er vanskelig å motstå fordi det som oftest tar utgangspunkt i enkeltindividets hverdag, personlige interesser og har et mer subtilt budskap enn tilbudet fra den nigerianske forretningsmannen. Vi i NSM/NorCERT ser hvordan denne metoden de siste årene er blitt benyttet i flere alvorlige saker som defineres som dataspionasje.

Les hele artikkelen her

Posted in Internettsikkerhet, Sikkerhetskultur, Sosial manipulasjon | Leave a comment

Om influensa, lungebetennelse og kreft

Posted on May 7, 2012 by Kjetil Berg Veire
Den nasjonale folkehelsa for datasikkerhet i Norge er blant verdens beste, i følgje Microsofts siste sikkerhetsrapport. Men lungebetennelse, som dataangrep mot nettbanker, og kreft, som målrettede dataangrep, er på fremmarsj, i følge både Microsofts og NSMs rapporter. Ill.foto: Colourbox.com

Den nasjonale folkehelsa for datasikkerhet i Norge er blant verdens beste, i følge Microsofts siste sikkerhetsrapport. Men lungebetennelse, som dataangrep mot nettbanker, og kreft, som målrettede dataangrep, er på fremmarsj, i følge både Microsofts og NSMs rapporter. Ill.foto: Colourbox.com

Fredag hadde vi i Nasjonal sikkerhetsmyndighet et pressemøte for teknologijournalister sammen med Microsoft om våre siste rapporter og hva de viser. Når rapportene i så stor grad omtaler det samme, er fellesmøter en god måte å forklare sammenhenger og trender på. Microsofts siste Security Intelligence Report (SIR) (pressemelding), som blant annet er basert på informasjon fra 600 millioner PC-er rundt om i verden, viser blant annet at Norge er blant de minst infiserte landene i verden. Det er gode nyheter.

Dataangrep er trussel

Samtidig ligger infeksjonene av Adware og downloadere mye høyere enn resten av verden. Hvorfor er vanskelig å si, men det kan ha med at nordmenn i så stor grad bruker Facebook å gjøre, at vi har stor bredbåndsbredde og mye datatrafikk, eller at vi rett og slett er litt naive i forhold til hva vi klikker på.

Rapporten fra Microsoft slår også fast at målrettede dataangrep utgjør en stor risiko for bedrifter over hele verden, også i Norge. Når dataangrepene først forekommer mot en bedrift, kan tapet bli stort.

Et rent Internett

Det er en trend vi i Nasjonal sikkerhetsmyndighet kan bekrefte. I siste kvartalsrapport fra NorCERT, som vi la ut på nett i dag, skriver vi at dataspionasje mot samfunnsviktig infrastruktur fortsetter. Og politisk aktivisme på nett, og rent hærverk (som for eksempel å stjele sensitiv informasjon og legge den ut på nettet), er en stadig økende trussel både mot offentlige og private virksomheter.

Kort oppsummert er det norske Internettet er ganske rent, faktisk blant de reneste i verden i følge Microsoft, men vi ser fremdeles økende trusler innen et vidt spekter fra adware til politisk aktivisme og hærverk på nett, og til målrettede spionasjeangrep. Første kvartal i 2012 ble det startet åtte nye alvorlige saker i NorCERT, mens det i samme tidsrom ble behandlet hele 19. Våre folk i NorCERT har travle tider. Mye tyder på et fortsatt travelt år for alle som jobber med datasikkerhet.

En nasjonal folkehelse

Vi må tenke på folkehelsa, sier min kollega, seksjonssjef Eldar Lillevik i NorCERT. Han sammenligner de ulike datavirusene og hackingforsøkene med den nasjonale folkehelsa. Du har influensa, som Adware representerer. Det er sykdommer som er plagsomme, men som ikke er svært alvorlige, og som går over med litt behandling. Så har du lungebetennelse, som forsøk på å stjele penger fra norske banker og bankkunder gjennom såkalte nettbanktrojanere. Norske banker og bankkunder utsettes i stadig større grad for dette. Og så har du alvorlige krefttilfeller, som målrettede dataspionasjeforsøk mot norske høyteknologibedrifter, mot forsvarssektoren og mot olje- og gassektoren. Dette er bedrifter som ofte er av stor verdi for Norge både nå og fremover, og som kan tappes for store verdier i hundre-millionerklassen hvis forsøkene lykkes.

Selv om den nasjonale folkehelsa i forhold til influensa i følge Microsofts rapport er blant de beste i verden, er det altså ingen grunn til å hvile på laurbærene. Lungebetennelse og kreft er på fremmarsj og i stadig økning. Det er bare å brette opp ermene. Og hvorfor har ikke Norge det reneste Internettet i verden, spør Eldar, med vår bruk av teknologi, verdier og kunnskap?

Posted in Uncategorized | Leave a comment

Hva er “farligst” på nett?

Posted on May 4, 2012 by Roar Thon

Det er jo fredag, så hva er bedre enn å ta opp tråden hvor NRK nyhetene sluttet i går med overskriften…. ”Religiøse sider farligere enn porno”. Artikkelen viser til en rapport utgitt av Symantec som uttaler at internett sider med innhold av religiøse og ideologiske internettsider har overtatt tronen som de farligste sidene å besøke.

Tidligere var ordtaket at det farligste ordet på internett var ”gratis” (free) tett fulgt av ordet sex. Det har nå muligens endret seg noe da Symantec i sin rapport skriver at religiøse og ideologiske sider har tre ganger så mange trusler som en gjennomsnittlig pornoside.

Internettsider med høyest infeksjonsrate er:

  • Blogs & Web communications 19,8 %
  • Hosting/Personal hosted sites 15,6 %
  • Business/economy 10,0 %
  • Shopping 7,7 %
  • Education & Reference 6,9 %

Pornografiske nettsteder får en 10 plass på Symantecs liste med en infeksjonsrate på 2,4 prosent. Det man bør merke seg er at blogger og personlige hjemmesider topper denne listen forholdsvis klart i forhold til andre kategorier.

Analysen er gjort etter at man har skannet 8,2 milliarder URL for å lete etter skadevare (malware) og hvor man i gjennomsnitt fant at 1 av 156 unike internettsider  inneholdt skadevare av en eller annen karakter.

Symantec har ut i fra sin analyse kommet frem til at 61 % av sidene med skadevare er helt vanlige internettsider (kommersielle eller private) som er blitt kompromittert og infisert med skadevare i den hensikt å ramme de som besøker disse sidene. Det kommer ikke helt klart frem i rapporten om de øvrige 39 % er sider som ene og alene har til hensikt og «fange» de forbipasserende for å infisere dem med skadevare. Selv om dette er uklart, er ikke denne typen internettsider et ukjent fenomen.

Hva skjer dersom du besøker en slik infisert internettside? Sikkerhetsbransjen kaller denne type hendelser for «Drive-by attacks» hvor du besøker en internettside som allerede er infisert og som har til hensikt å infisere din enhet som du benytter til å surfe med. Du kan komme til denne siden helt tilfeldig eller du har fått tilsendt en link via e-post eller blitt anbefalt å sjekke ut linken fra en venn via sosiale medier. Når du kommer til den infiserte siden kan den vise deg akkurat det du forventet. Samtidig får du uvitende litt mer i tillegg uten at du nødvendigvis er i stand til å oppdage at din enhet er blitt angrepet av skadevare. Hensikten bak denne type angrep er i all hovedsak å genere en eller annen form for økonomisk gevinst for de som står bak skadevaren eller den ondsinnede koden.

Hvorvidt du (din enhet som du surfer på nettet med) blir infisert, er avhengig av flere faktorer. Den første er det grunnleggende spørsmålet om du bruker beskyttelse i form av sikkerhetsprogrammer. Den neste er hvor avansert skadevaren er og hvorvidt du har oppdatert sikkerhetsprogrammene dine med siste oppdatering. Et av de mange selskapene som leverer sikkerhetsprogramvare rapporterte at de alene blokkerte over 5,5 milliarder skadevare angrep i 2011!

Til syvende og sist er det faktisk din egen adferd på nett som avgjør hvor stor risiko du har for å bli infisert. Dersom du takker ja til alle tilbud du måtte motta på internett og klikker ukritisk på enhver link, vil du med stor sannsynlighet bli en del av dem som sikkerhetsprogrammene ikke var i stand til å hjelpe før det var for sent.

Så når jeg startet innlegget med å henvise til at det «farligste» ordet på nettet var “gratis” skal jeg avslutte med å påstå at vi er vår egen verste fiende dersom vi ikke er bevist vår egen adferd på nett.

Måtte du få en trygg og infeksjonsfri helg på internett.

Rapporten kan lastes ned i sin helhet herfra.

Posted in Internettsikkerhet, Sikkerhetskultur, Sosial manipulasjon, Sosiale medier, Uncategorized | Leave a comment

RdRand

Posted on April 16, 2012 by Lars Olaussen

Med Intels nye Ivy Bridge-prosessorer kommer RdRand-instruksjonene. Disse instruksjonene skal gi store mengder gode slumptall direkte fra prosessoren. Som tidligere nevnt (her og her) er god slumptallsgenerator viktig for å lage gode nøkler.

Også AMD jobber med å implementere slik teknologi, men foreløpig er lanseringsdato ukjent.

I den gode artikkelen Behind Intel’s New Random-Number Generator i IEEE Spectrum September 2011 er teknologien bak RdRand beskrevet. I tillegg har Intel lagt ut implementeringsveiledning for RdRand her. Sistnevnte inneholder også litt mer teknisk informasjon om bruk av AES-CBC-MAC for utjevning av slumptallsstrømmen og hvordan dette benyttes som frø til AES-CTR for å møte krav i NIST Special Publication 800-90.

Ill.: www.colourbox.no

NSM synes det er bra at en god slumptallsgenerator implementeres i prosessoren; på denne måten kan alle brukere få tilgang til gode slumptall. I maskiner med Trusted Platform Module (TPM) har man kunnet bruke denne til det samme, men det er hovedsakling bare datamaskiner for bedriftsmarkedet som har TPM.

Når slike muligheter tilbys i maskinvaren, er det viktig at programvaren utnytter dette. For de fleste anvendelser vil NSM se det naturlig at plattformen håndterer tilgangen til slumptallsgeneratoren. Dette kan fore eksempel gjøres ved at eksisterende API for slumptallsgenerering henter slumptall fra  TPM eller CPU når dette finnes, enten direkte/alene eller som enda en kilde til plattformens slumptallsgenerator.

I enkelte systemer benyttes forskjellige deterministiske variable (som prosess-identifikater, arbeidsminne og nettverksadresse (MAC)) som ingredienser i en miks som blir tilsynelatende tilfeldig. Dersom man legger til ovennevnte slumptallskilder i denne miksen, vil alle applikasjoner og tjenester som benytter APIet for å generere slumptall få bedre slumptall uten at applikasjonen eller tjenesten må skrives om.

Tidligere har AES blitt implementert i prosessorer fra både AMD og Intel. Det som kan bli mulig nå er å benytte både slumptallsgenerering og AES-kryptering i prosessoren. Man kan altså generere en nøkkel, kryptere det man vil beskytte med nøkkelen og så kryptere nøkkelen med en offentlig nøkkel. På den måten kan man hindre at nøkkelen blir tilgjengelig for resten av systemet.

Posted in Kryptografi, Teknisk | Comments Off

Nøkkelen er nøkkelen

Posted on April 13, 2012 by Lars Olaussen

Kerckhoffskjente prinsipp sier at et «kryptosystem skal være sikkert selv om hele systemet, unntatt nøkkelen, er kjent». Det er nøkkelen som beskytter eller gir tilgang til informasjon. Dersom flere får tilgang til (kopi av) nøkkelen, vil flere få tilgang til informasjonen. Dette er helt analogt meg en husnøkkel. Jo flere som har nøkkelen, jo flere kommer inn, uansett om de er ønsket eller ei.

Selv om NSM enig i Kerckhoffs prinsipp, har NSM i god tradisjon benyttet egne, hemmelige [1] algoritmer for beskyttelse av gradert informasjon. Dermed har angriperen måtte både finne algoritme og nøkkel for å kunne dekryptere informasjonen som våre kryptosystemer har beskyttet.

NSM godkjenner allikevel bruk av kjente algoritmer (som tidligere nevnt her) for beskyttelse av gradert informasjon på gitte graderinger.

Men, tilbake til prinsippet og nøkler. NSM er veldig opptatt av kvaliteten og sikkerheten til nøkler og dette sikres gjennom nøkkelhåndteringen. Med nøkkelhåndtering menes for eksempel:

  • Nøkkelgenerering
  • Nøkkelbeskyttelse
  • Nøkkelbruk
  • Nøkkeldeponering og sikkerhetskopi
  • Nøkkelsletting

NSM ser at en rekke løsninger kommer nøkkelferdig (ikke i betydningen hus) og det gjør at man med en gang begynner å lure. Og hvis man ikke begynner å lure, burde man gjøre det.

Ill.: www.colourbox.no

Når kryptoutstyr kommer med ferdige nøkler betyr det at man ikke har kontroll over nøkkelgenereringen eller om det finnes noen sikkerhetskopier. Noen ganger blir sistnevnte presentert som et gode; dersom man mister egne nøkler, kan man ta kontakt med leverandør og få tilgang til disse igjen (forhåpentligvis gjennom en autorisert prosess). Andre ganger er det en selvfølge at leverandøren ikke har tatt kopi av nøklene før utstyret ble levert.

I tillegg må man huske at leverandøren må følge lover og regler i det landet det holder til i. Så dersom leverandøren har laget en nøkkel og har en kopi, kan landets myndigheter ved lov få tilgang til nøkkelen.  Dette er også viktig å tenke på når man lagrer nøkler i skyen, og skyen glir over himmelen og landegrenser.

Når prinsippet er at alt kan være kjent, utenom nøkkelen, må man være helt sikker på at nøkkelen ikke kjent for uvedkommende. NSM ønsker derfor ikke nøkkelferdige løsninger. Det beste er om man kan benytte et av NSMs allerede godkjente nøkkelhåndteringssystemer, men om dette ikke lar seg gjøre, må leverandøren også tilby et sertifisert nøkkelhåndteringssystem og en godkjent slumptallsgenerator.

  • Et godt nøkkelhåndteringssystem må håndtere alle aktuelle operasjoner for nøkkelen og gjøre det på en god måte. Det an gjøres fra det enkle, som kun å holde oversikt over hvilken nøkkel-ID som befinner seg i hvilket utstyr, til det mer avanserte, som nøkkeldeponering og -gjenoppretting.
  • En god slumptallsgenerator gir grunnlaget for en god nøkkel og må sørge for at like nøkler aldri kan lages.

At NSM ønsker egen kontroll med nøkler, står ikke i strid med tidligere innlegg om bruk av Buypass’ eller Comfides’ PKI-løsninger. NSMs krav gjelder for skjermingsverdig informasjon, mens i det tidligere innlegget ble det pekt på allerede godkjente løsninger for bruk mot offentlig forvaltning.

[1] Hemmelige i vanlig forstand, ikke nødvendigvis graderingen HEMMELIG.

Posted in Kryptografi, Teknisk | 1 Comment

Dioder

Posted on April 2, 2012 by Lars Olaussen

Dioder er, i følge Wikipedia, «ikke-lineære elektriske komponenter som leder elektrisk strøm bare i en retning». Nå er ikke ikke-lineære elektriske komponenter hovedfokus for Sikkerhetsbloggen, så «dioder» kan kanskje betegne andre komponenter?

Ill.: www.colourbox.no

Det at dioder leder elektrisk strøm i bare en retning har gjort at man bruker ordet diode også for enheter som overfører informasjon i en retning. Det man ønsker er å overføre informasjon fra system A til system B, uten at informasjon i system B lekker tilbake til A. Her er altså system B et sensitivt (høyt) system som vil ha informasjonfra et åpent (lavt) system, A.

Et eksempel på slike systemer kan være et gradert kommando og kontroll-system som vil ha inn vær- og trafikkmeldinger.

I seg selv er ikke dette noe «hokus pokus» å få til. Dersom man bruker optisk fiber mellom systemene, kan man bare kutte (retur-) fiberen som går fra sensitivt system til åpent system. Dermed er man sikret at informasjon bare går én vei. Men, i praksis er ingenting så enkelt. For å sørge for blant annet flytkontroll vil det være behov for en slags to-veis-kommunikasjon.

Ill.: www.colourbox.no

Siden man ønsker er å unngå to-veis-kommunikasjon, må man etablere moduler på hver side av én-veis-fiberen som håndterer datatrafikken. Denne enheten vil på lav side terminere kommunikasjonen og klargjøre den for overføring. På høy side vil informasjon så tas imot og «tilbakeføres» til den kommunikasjonsformen den var på, som kan gå videre inn i systemet. Det er viktig at dataformater og protokoller på hver side er kjente, slik at eventuelle overføringsfeil blir korrigert og informasjonen kan benyttes som «vanlig» på innsiden.

Fra å kun ha mulighet til å overføre enkle informasjonsobjekter, som filer, har dioder blitt stadig forbedret og kan nå også overføre «live» datastrømmer, som video på nett. Men dette krever tilpasning av diode-løsningen mot aktuelle videotjenester.

Det er allikevel viktig å merke seg at selv om man åpner for feed av webvideo, betyr det ikke at man kan sitte og lete etter interessante videoer på Youtube. Man må derimot statisk sette opp forbindelser mot for eksempel NRK1, NRK2 og NRK3.

Selv om en diode sikrer at informasjonen bare kan gå en vei, vil den ikke gi beskyttelse mot eventuell skadevare som er gjemt i informasjonen som blir overført. Det vil derfor være nødvendig å ta i bruk ulike former for innholdsfiltrering og gode mekanismer for å detektere og stoppe skadevare fra å trenge inn i systemet. En diode vil heller ikke kunne garantere at informasjonen som overføres faktisk er korrekt eller umanipulert. For å oppnå dette er det nødvendig å ta i bruk mekanismer for autentisitets- og integritetsbeskyttelse av informasjonen mellom kilden (utsteder av vær- og trafikkmeldinger) og dioden.

Ill.: www.colourbox.no

Dioder kan også benyttes i forbindelse med lagring av informasjon. Man kan for eksempel sette opp et avlåst skap med en datamaskin (i en datahall) og kun ha strømkabel og fiberkabel inn i skapet. På denne måten kan (klartekst) data lagres/logges til datamaskinen i skapet, uten at andre som har fysisk tilgang til datahallen får tilgang til informasjonen.

I forhold til SCADA-systemer (Supervisory Control And Data Acquisition) hvor man ikke ønsker ytre påvirkninger (man ønsker å beholde integriteten til systemet), kan man også benytte dioder for å sørge for at loggdata og systeminformasjon kan sendes ut av systemet. Her er altså systemet som skal beskyttes på «lav» side i forhold til innledningen over.

Posted in Teknisk | Comments Off

A new era for IT security

Posted on March 30, 2012 by Kjetil Berg Veire

We are entering a new era when it comes to internet-connected devices. In a few years, tens of billions of non-PC devices will communicate via the Internet. It will be of great importance to our societies, but raises fundamental questions when it comes to security.

This week I attended the conference Amphion Forum in Munich, together with the Director General of the NSM, Kjetil Nilsen. The forum is facilitated by Mocana, and is, according to the organizers, the leading forum in the world for smart devices security. [Update: You will find presentations from the conference here]. The forum was especially dedicated to non-PC internet-connected devices. That means iPads, other tablets and smart phones, but also devices underpinning enterprise, healthcare, industrial processes and communication, such as components in SCADA-systems (which, for instance, is running critical infrastructure as power supply or oil production), insulin pumps or pace-makers. New things, devices and gadgets are added every year. Most of us do not have the fantasy to imagine what will come next.

- The computing shift is dramatic, said CEO of Mocana, Adrian Turner.

Cisco has predicted that the number of internet-connected devices will reach 20 billion by 2020. Ericsson has predicted 50 billion devices by the same year. Today there are five times more non-PC devices than PCs. The market for internet-connected devices is already a trillion dollar economy when it comes to hardware, software and services. Every industry is affected. But the industry is in denial that there is a problem with security, even though there is, according to Mr. Turner.

Director General Kjetil Nilsen from the Norwegian National Security Authority delivered the key note speech at the Amphion Forum in Munich Wednesday this week.

Director General Kjetil Nilsen from the Norwegian National Security Authority delivered the key note speech at the Amphion Forum in Munich Wednesday this week.

When all sorts of different devices are underpinning our critical infrastructure, the potential consequences of security incidents also grow bigger. An infected PC is not necessarily a problem for any other than the user who  cannot get his or her work done. Whereas when the electronic, internet-connected devices don’t perform properly, it can have physical consequences, for example in power plants, in insulin pumps or pace-makers. The SCADA-systems controlling the industry are one of the challenges we are facing.

- These systems are not secure, said professor Jerker Delsing at the Luleå University of Technology in Sweden, pointing out that functionality, robustness and a whole lot of other factors come before considering security in the industry.

- There are critical assets at stake, stated Director of the Norwegian National Security Authority, Kjetil Nilsen. The exchange of ideas, between the public and private sector, civil and military authorities, is a vital part of the solution, he said.

- First of all, we need to understand the challenges in the security environment. Secondly, we need to find appropriate and effective global measures to mitigate the risks. Both aspects need to be addressed in the appropriate international and national arenas, in dialogue between the State, the public and Industry, so as to secure the future generation of Information Technology users, he said.

He also pointed out that risk management, creating a competitive market for IT security, innovation, a true public-private partnership, requirements and standardization across sectors and international cooperation was important to solve the situation.

- In my view, exchange of ideas, between the public and private sector, civil and military authorities, is a vital part of the solution, helping industry produce secure enough mobile devices that can serve the different user groups in society, he said.

Posted in Uncategorized | Comments Off

Når avtrykksalgoritmer ikke hjelper

Posted on March 27, 2012 by Lars Olaussen

En avtrykksalgoritme er en algoritme som tar inn en melding av vilkårlig lengde og gir et resultat av fast lengde. Dette brukes ofte i forbindelse med digitale signaturer, hvor man i stedet for å signere et helt dokument, signerer et avtrykk av dokumentet.

Dette krever blant annet sikkerhet for at ingen andre meldinger kan gi samme avtrykk, ellers ender man opp med at to ulike dokumenter kan ha samme, gyldige signatur.

Ill.: www.colourbox.no

For et system NSM ble bedt om å se på, ble det foreslått å bruke avtrykk for å skjule deler av innholdet. Systemet bestod blant annet av en database hvor innholdet skulle record-krypteres, men for å kunne søke effektivt i denne databasen ønsket man å søke på et par sensitive felt. Forslaget var da å lage avtrykk av disse feltene og lagre avtrykkene sammen med resten av den krypterte record‘en.

Ved søk i databasen ville man lage et avtrykk av søkestrengen, finne dette i databasen og hente ut record‘en. Denne kunne så sendes til rette vedkommende, med autorisasjon til innsyn, uten at databaseadministrator eller andre uvedkommende kunne se innholdet.

Problemet med denne løsningen var at feltene de ønsket å lage avtrykk av var betydelig mindre enn selve avtrykket. Dermed ble utfallsrommet av avtrykk betydelig mindre enn det teoretiske utfallsrommet som den aktuelle avtrykksagloritmen (SHA-256) gir.

For å eksemplifisere dette; dersom databasen består av sensitive personopplysninger og man har knyttet disse til personer, ønsker man altså å kryptere all informasjon om personen, samt lage to avtrykk, Avtrykk(<fornavn>) og Avtrykk(<etternavn>). For å finne personen i databasen, lager man avtrykk av fornavn og etternavn og søker etter dette i databasen. Deretter tar man den krypterte record‘en til denne personen, sender innholdet til autorisert personell som så dekrypterer innholdet.

Ill.: www.colourbox.no

Siden antall fornavn og etternavn ikke er veldig stort (i forhold til 256 bit) blir utfallet av et slikt avtrykk lite. Dersom man ser på Jenters første fornavn 2002-2011 finner man 571 unike fornavn, og i kombinasjon med flere fornavn, samt guttenavn, ender man kanskje opp med noen tusen unike kombinasjoner av fornavn. Uten tilsvarende referanse for etternavn, kan man kanskje anta at det ikke er mer enn noen tusen etternavn heller.

Dersom databaseadministratoren ønsker å finne ut hvilke navn databasen består av, er det bare å lage en avtrykkstabell av alle kjente fornavn (enkle og doble) og en annen av alle kjente etternavn. Deretter er det bare å matche disse avtrykkene med innholdet i databasen og navnene blir kjent for den de skulle være skjult for.

Posted in Kryptografi, Teknisk | Comments Off

Beskyttelse av sensitiv informasjon

Posted on March 22, 2012 by Lars Olaussen

Lesere av Sikkerhetsbloggen har sikkert allerede forstått at NSM er positive til Public Key Infrastructure og digitale sertifikater. En av oppgavene NSM har er håndtering av nøkler for graderte systemer. I hovedsak skjer dette ved bruk av EKNAS/NOR (Elektronisk Krypto Nøkkeladministrasjonssystem for Norge) som forvaltes av National Distributing Authority Norway (NDA) i NSM. Dette er et spesialutviklet system for generering og distribusjon av nøkler, samt regnskapsførsel av nøkler og kryptoutstyr. Mer om dette vil komme i et senere innlegg.

I tillegg håndterer NSM asymmetriske nøkler, men dette er bare for lavgraderte (BEGRENSET) anvendelser.

NSM har ingen myndighet eller krav til krypto utenom sikkerhetsloven, men tilbyr allikevel råd og veiledning i forbindelse med bruk og implementering av krypto. Dette tilbys stort sett andre offentlige etater, men NSM kan også hjelpe andre halvoffentlige eller private organisasjoner med dette. Rådene NSM gir i disse tilfellene er basert på de anbefalte kravene til Moderate nivå, gitt i kapittel 8 av NSM Cryptographic Requirements.

Ill.: www.colourbox.no

Ett av rådene NSM har gitt har vært i forbindelse med etablering av eID i Norge. NSM har anbefalt at en offentlig PKI-løsning (med lokale sertifikater og private nøkler i hardware) til landets borgere bør opprettes for å tilby brukerne en god og sikker måte å autentisere seg overfor staten og hverandre. Selv om det ikke har blitt etablert som en offentlig løsning, tilbyr Buypass og Commfides sertifikater på hardware token for integritetsbeskyttelse, autentisering og signering.

I tillegg har NSM anbefalt at en slik løsning også må tilby konfidensialitetstjenester. Dette for å sørge for god toveis konfidensialitetsbeskyttelse mellom borgerne og staten, og mellom borgerne. Også dette tilbys fra ovennevnte leverandører.

Selv om NSM ikke har ansvar for personvern eller annen beskyttelse av personlige opplysninger, mener NSM at god integritetsbeskyttelse, sterk autentisering og konfidensialitetsbeskyttelse er nødvendig for å oppnå god grunnsikkerhet for samfunnets bruk av Internett.

Disse løsningene åpner altså for full ende-til-ende-sikkerhet mellom borgere og staten, mellom borgere og mellom borgere og bedrifter, men de benyttes i liten grad.

Posten har for en liten stund tilbake lansert Digipost. Dette er en elektronisk postkasse hvor man får tilsendt brev fra deres samarbeidspartnere og kan få tilgang til disse fra hvor enn man er i verden, uten å måtte gå hjem til sin egen fysiske postkasse. Det som er spesielt i denne sammenheng er at man trenger enten BankID eller Buypass for å registrere seg der.

Altså, for å registrere seg for å få tilgang til en side for å lese brev, trenger man et Buypass-sertifikat som gir mulighet for at avsenderen kunne kryptert brevet og sendt det direkte til mottaker, uten at Posten trenger å ha brevet i klartekst på sine servere.

Også på Altinn kan man benytte Buypass-sertifikatet for å logge inn, og her kan man også benytte Commfides-sertifikat. Det kunne dermed blitt åpnet for at alle som har logget inn med slike sertifikat kan få tilsendt dokumenter kryptert i sertifikatets levetid. På den måten kunne Altinn kryptert alle dokumentene som skulle ut med brukernes sertifikater og deretter sendt dokumentene til e-postadressene som er registrert i sertifikatet.

Ill.: www.colourbox.no

Den vanlige motforestillingen mot PKI er at det er dyrt å utstede og håndtere sertifikater og token til sluttbrukere, og at det er vanskelig for sluttbrukerne å installere og ta i bruk løsningene. Allikevel viser det seg at det er to løsninger som er utbredt i Norge og som brukere, enten gjennom jobben eller på eget initiativ, har skaffet seg og benytter.

Nøkkelhåndteringen, som normalt sees på som det vanskeligste ved bruk av krypto, er altså håndtert av tredjepart. Det er derfor synd at ikke flere gode ende-til-ende-sikkerhetsløsninger tilbys når det finnes nøkkelhåndtering for å understøtte dem.

Posted in Kryptografi, Teknisk | 6 Comments