For å lykkes må du først ha feilet…

For å lykkes må du først ha feilet! Dette er en av de grunnleggende reglene i Silicon Valley og er med norske øyne en uvanlig, men suksessfull mentalitet. Janteloven er tydeligvis ikke gyldig i det som er et av de mest innovative områder i verden.

De aller fleste av verdens største IT selskaper befinner seg i området og det er kanskje ikke merkelig at også selskaper i informasjonssikkerhetsbransjen er godt representert i området. Kanskje ikke så rart at Silicon Valley  også er et ettertraktet område for norske håpefulle bedrifter med gode ideer og produkter. Lykkes du her, lykkes du sannsynligvis over hele verden!

Nasjonal sikkerhetsmyndighet deltok i forrige uke i næringslivsdelegasjonen som fulgte kronprinsparets offisielle besøk i USA.

Sammen med Innovasjon Norges San Francisco kontor gjennomførte NSM et IT sikkerhetsseminar i Palo Alto/Menlo Park. Seminaret var et del-seminar tilknyttet til næringslivsdelegasjonen i forbindelse med kronprinsparets offisielle besøk i San Francisco. En rekke norske selskaper med spennende sikkerhetsprodukter og løsninger deltok i næringslivsdelegasjonen sammen med sentrale bedrifter/organisasjoner og myndighetsaktører fra Norge.  Under seminaret traff de representanter fra amerikansk akademia, bedrifter, organisasjoner og investorer.

NSM Direktør Kjetil Nilsen snakket om behovet for økt nasjonalt og internasjonalt samarbeid

NSM Direktør Kjetil Nilsen snakket om behovet for økt nasjonalt og internasjonalt samarbeid

Seminaret ble avholdt hos SRI International og etter en innledning fra Program Direktør Ulf Lundquist i SRI International var det klart for NSM Direktør Kjetil Nilsens hovedtale. Nilsen fokuserte i sin tale på behovet for økt innovasjon og samarbeid for å forbedre sikkerhetstilstanden, gjennom å finne smartere løsninger og produkter.

Deltakerne fikk gode diskusjoner i den påfølgende paneldebatten om sikkerhet og personvern i Big data med Chief Information Security Officer (CISO) i Facebook – Joe Sullivan, CISO hos Wells Fargo – Rich Baich og Managing Director Trident Capital – Alberto Yepez. Debattens moderator var CISO hos Silicon Valley Bank – Nick Shevelyov.

Alberto Yepez byttet stol etter paneldebatten og gikk over til å intervjue den spanske gründeren Julio Casal Martin fra Alien Vault. Martin gav gode råd om hvordan han og selskapet har lykkes med å etablere seg i Silicon Valley. Her fikk de norske gründerselskapene gode råd fra både investorsiden og gründersiden som kanskje kan komme til nytte senere.

Seminaret ble avsluttet med en energisk Ted Schlein fra Kleiner Perkins Caufield Byers – et selskap som The Wall Street Journal beskriver som det største og best etablerte investeringsselskaper i Silicon Valley. Siden oppstarten i 1972 har Schleins selskap investert tidlig i AOL, Amazon, Citric, Compaq, Google, Netscape, EA, Symantec og Sun bare for å nevne noen…

Schlein fortalte de fremmøte at cybersecurity er ett av tre hovedinvesteringsområder for de fleste som investerer i teknologi bedrifter. Årsaken er den store behovet og etterspørselen for cybersikkerhet. Schlein gjorde et sterkt poeng av at IT bransjen er en av de få bransjene i verden som sier til sine kunder at kjøper du produktet «vårt» er vi nesten helt sikre på at det gjør det vi tror det skal gjøre, men det er ikke helt ferdig enda, så vi vil forresten oppdatere hyppig underveis. Oppdateringer du som kunde selvsagt må betale for!

Det ble også tid til å knytte nye nettverkskontakter i pausene mellom de ulike foredragene på seminaret. IMG_1122Som en av deltakerne uttalte det “Du vet ikke hvem du møter som har betydning for deg, før du har møtt  dem. Men du møter ingen, dersom du bare sitter på kontoret”

Deltakerne besøkte på de tre dagene en rekke amerikanske selskaper som Microsoft, Oracle, Cisco og Palantir Technologies for å diskutere ulike områder knyttet til cybersikkerhet.

Hovedhensikten med NSMs bidrag og deltakelse er å bidra til økt innovasjon og samarbeid mellom myndigheter, bedrifter, akademia og andre miljøer i den hensikt å bidra til at det skapes nye og gode produkter som påvirker sikkerhetstilstanden i samfunnet på en positiv måte. For å få til dette er samarbeid og evne til å utveksle informasjon essensielt. NSM ser på deltakelsen i næringslivsdelegasjonen som en unik start på en forbedring av samarbeid og informasjonsutveksling.

Vi vil skrive mer om dette tema på et senere tidspunkt .

Nedenfor kan du lese hele innlegget til direktør Kjetil Nilsen i NSM:

Keynote, Stanford University, California, USA, May 8th, 2013

1. Introduction

Dear audience, Dear organizers,

Thank you Ulf for the kind introduction. Thank you ladies and gentlemen for your participation here today. It’s a great honour for me to be delivering the key note speech here at the IT-security seminar at Menlo Park.

I would like to start off by thanking the Stanford Research Institute (SRI) for hosting today’s event. As you may know SRI was established back in 1946 as a non-profit research institute and is today an important contract research institute worldwide.

I greatly appreciate the Innovation Norway Office in San Francisco for their efforts in making this event a reality. They do important work with business development programs in Silicon Valley, offered to Norwegian Early-stage technology start-ups, with ambitions and the potential for international growth.

My main message, and why we are gathered here today is that Cyberspace knows no borders. Hence, we have to increase cooperation between the public and private sector, civil and military authorities as well between nations in order to meet the present and future information technology challenges.

The government has an important role to play in supporting innovation in the private sector and academia. The government is also a big customer and the main policymaker. This creates a situation where the public and private sector must cooperate and share information about challenges and solutions.

The Norwegian National Security Authority wishes to contribute to innovation and the development of products and solutions that creates a more secure society.

I would briefly like to draw up some of the principal ICT-security challenges that we see influences public and private sector today. I will then talk about why Governments are looking for increased innovation in the field of information technology.

2. ICT-security challenges in the 21st Century.

As the director of the Norwegian National security authority, I have the privilege to be working with a team of highly skilled academics and technicians. I’m not a technical expert myself, but I find a great interest in technology, especially in how technology affects the society we live in.

My organization holds the primary responsibility for information assurance, cyber security, incident handling, cryptography, as well as certification and accreditation of secure IT-systems. Like you, we are always on the outlook for the perfect if not helpful secure ICT-solutions.

So what are the security challenges we see today and why is innovation and public private cooperation becoming so increasingly important to people?

• Understanding the threats

Today we witness a steadily increase in ICT-security threats. We see adversaries are becoming more and more sophisticated, not only government actors, but also hacktivists or “cyber activists”, and criminals. We all know about the advanced threats towards critical infrastructure and the emerging cyber-crimes. In the last years we have even seen several disturbing attacks performed by hacktivist-groups like Anonymous.

Statistics from our Operational Department shows us that the number of ICT-security related incidents handled over the last four years have tripled in number. The amount of serious data breaches are steadily growing. The number of unrecorded data security breaches is likely to be huge. On several occasions the Norwegian Government has released public warnings about extensive cyber data espionage operations – targeting vital industry. The situation seems to be the same all over the globe, also in the US. The risk and threats are growing, and we have to meet the challenges now and in the future.

• Assessing the risks

It is first when you understand the threat, that you may start assessing related risks. A number of State actors today realize that one of the major ICT-risk-factors in the future will be their ability to build secure environments connected to the Internet.

The security risks need to be taken seriously. We see that there is a lack of understanding about the necessity of patching, upgrading, and a general lack of security awareness at all levels of society. The security threats are increasing, at the same time as the vulnerabilities are growing. We witness a worrying indifference when it comes to securing business sensitive data and that is something we need to change.

3. Why innovation in secure ICT solutions?

Today it is greatly recognized that Governments cannot deliver a safer online world alone. We need to work in close cooperation with the private sector, in order to ensure a safe public infrastructure, services and devices that can be provided to our employees and the general public. In order to succeed we need to share information and know-how. Today, Governments rely more than ever on the private sector for advancing on innovation in secure ICT solutions.

We are fully dependent upon secure ICT-systems and devices in order to uphold a well-functioning and efficient economy. That is what makes us vulnerable, a shared vulnerability across the different sectors of society and across national borders. ICT systems and devices are underpinning the production and protection of assets and more importantly the welfare and prosperity of our society. The ICT revolution with Internet in the fore front has had a tremendous impact on how we do business and industry, as well as for communication and social contact between people. The number of computers and other connected ICT-devices are growing at a speed we never would have imagined. We use connected devices ranging from smart phones and tablets, to SCADA-systems used in public critical infrastructure and the individual pace-makers, and new inventions will be added every year. Most of us don´t have the fantasy to imagine what inventions will come next. In this interconnected world of ICT, new inventions still are and will be of great importance for the development of our societal values and the way we live.

In the long run, innovation is the key to business specific and country specific competitiveness. Today it is recognized more than ever that governments have a role to play in facilitating innovation in technologically oriented societies. Innovation spans far and can be closely linked to research and development.

There are several ways to stimulate innovation, but one spoken truth that seems to be repeated in many forums is that large organizations are rarely able to demonstrate innovation or renew themselves greatly. Formalities and legal form are some of the mechanisms that are deemed to work against innovation. Innovation is not something that can be adopted by it self, but is created by a need for change,

In my view, exchange of ideas, between the public and private sector, civil and military authorities, are a vital part of the solution in helping industry produce secure enough products and devices that can serve the different user segments of our society.

This also means that the weight of responsibility for cyber security relies heavily on governments and businesses, as the users or customers do not always know; nor do they always have the capacity to care for their own needs. But I believe the market will demand more and more secure solutions in the future. So it really is a business opportunity.

4. What solutions are we looking for?

Cyber security has become a top priority among several States, thus not all countries have ICT or cyber strategies in place. Norway launched its ICT strategy last year.

In my opinion, several steps need to be taken to address the security challenges we face.

• Risk management

An important part of the solution is proper risk management. We need to identify and classify our assets according to their criticality; we must assess the vulnerabilities with respect to these assets, and understand the threats they are facing. Only when we know our own risks we may make informed decisions. An appropriate risk management system is fundamental when it comes to managing protective security. In the digital world, the public and private sector share those risks. This also mean we have to share the solutions in order to move forward.

• Creating a competitive market place and competitive advantage

In my view, there is a strong need for a stronger market for ICT-security. Today the competition in the ICT marketplace focuses mostly about delivering functionality, because that is what the customer wants. This has started to change in my opinion, as the threats are increasing and more and more users, businesses and governments, will be aware of security threats. This often, due to the fact that they have experienced an incident due to lack of proper security measures. Security will be incorporated in future technology solutions. Providing user-friendly and secure solutions will become a market advantage!

I believe we are moving into a new market of rational thinking when it comes to ICT security. Some of us have compared this situation with the car industry 60 years ago.

New cars offered a lot of different functionalities, but they were pure death traps regarding safety. Over the past 60 years, the car industry has done a lot of self-regulation through innovation and standardization. Today these companies are competing on safety. You will hardly find a new car today that doesn’t have a safety belt and several airbags. Safety belts are not extra-equipment that you as a customer can choose to opt out on. The security should be built-into the devices we buy, just as the safety belts and the air-bags are in our modern cars. The public authorities, are fully dependent upon market developments in this field. Public-private cooperation should support development in this field.

• True public-private partnership

Innovation in public-private partnership is an important factor for success. A real partnership and collaboration is needed, not only nationally, but also globally. We need cooperation between Governments and Industry – crossing national borders. A true public private partnership is all about trust, information sharing, collaboration, funding, research and education.

To make this work, we need to establish an ecosystem of businesses, innovators, investors, academia and public sectors. Everybody has an interest in being a part of the eco system. We have to build on this basic interest. From the governments perspective it is important to create predictability in the governments need for products. I know that my organization can’t do this alone. We need your innovation and creativity to help us create products and solutions that creates a more secure society.

Building robust ICT-security solutions should be at the centre of attention when developing new products. Equally important are solution that helps us to deal with attacks in an effective way.

The key to efficient cyber security management consists of building well-functioning information sharing schemes, based on trust. Trust will be promoted when mutually beneficial initiatives are being worked out and implemented at the right level according to the need for information sharing.

In Norway, we have some important experiences when it comes to public-private partnerships. For years, my organization has been working closely with businesses such as Thales Norway and Kongsberg Group, developing crypto devices used for classified information. We consider this a success. Now, we need to expand the scope ………

The NSM has also developed an Early Warning System, VDI, set to monitor traffic from and to the internet, so as to help public and private businesses handling information about important security incidents in their own ICT systems. The VDI is operated by NSM. The private businesses are categorized as members and partners. Their participation is voluntary. In fact, they pay a membership fee. This we have done with good results since 2000.

• Requirements and standardization

When addressing such a competent audience as you, I can’t continue without briefly mentioning the use of requirements and standardization. International standardization and governmental requirements are important market drivers for IT-security. Standardization and requirements are also of great importance when it comes to the protection of personal data and national critical infrastructure

• International cooperation

For me, it´s obvious no country, no sector, no business can handle the security challenges, set by the rapid technological developments, alone. Collaboration is essential. Common challenges have to be met with common solutions, crossing national boundaries.

4. Some concluding remarks

To wrap up my main message here today, I believe in the innovative character of a global marketplace. Secure solutions will be a business advantage in the future, just look at the car industry as mentioned as an example. If you come up with a brilliant solution, you might become the market leader of tomorrow, filling the gap in the market place for cyber security. I also believe in industry setting standards and governments setting minimum requirements. This is necessary, both to secure proper functionality and to secure our societal values.

Today, even business continuity depends on robustness in ICT-systems and devices, as goes for proper incident response. This is especially true in a world of increasing inter-connectedness and interdependencies.

The need for innovation in the cyber domain is not something that is confined solely to the national arena. The Internet is a global network that does not stop at national borders nor do the threats and risks that make out global challenges. The same has to be said for potential solutions to these challenges. Increased cross border cooperation in meeting the needs of secure information and communication technology is what we need today!

In other words, there is not only a national market, but a huge global market for proper ICT-security solutions. The commercial market forces are probably able to find solutions, but they are also dependent on the strategic choices and feedback that governments give to them. Governments will formulate the terms but will also represent the end users in this new world of cyber or ICT.

And we should remember to remind ourselves that a lot of the security challenges probably seemed unmanageable at some point in time, but that the solutions found over time proved to work.

Finally I will call for increased collaboration between governments, industry and partners in developing networks to confront escalating global cyber threats. Now is the time to collaborate!

Thank you all for listening. I hope you will enjoy this seminar and please use your time to meet new people. I wish you all the best in making our information technology future more secure!

Posted in Informasjonssikkerhet, Innovasjon, Ledelse, samhandling, Sikkerhetstilstanden, Uncategorized | Leave a comment

Hvorfor sikker fjerntilgang i egen prosesseringsenhet?

I det som har blitt en føljetong etter innlegget Nye retninger innen krypto for BEGRENSET, nemlig hvorfor NSM mener og krever noe, har Sikkerhetsbloggen i dag kommet til «Hvorfor krever NSM at sikker fjerntilgang skal implementeres i en uavhengig prosesseringsenhet?»

Det er flere årsaker til dette, både revisjonen av forskrift om informasjonssikkerhet § 5.5 som slår fast at:

d) Forsvar i dybden. Flere funksjoner skal ivareta samme sikkerhetsbehov.

og økte trusler og angrep på Internett.

Ill.: Colourbox.no

Ill.: Colourbox.no

NSM ønsker ikke at en enkelt kompromittering av en klient-maskin skal kunne kompromittere et helt informasjonssystem og tappe dette for informasjon.

Om en vanlig klient blir infisert med skadevare er det fare for at skadevaren etablerer en forbindelse forbi den sikre fjerntilgangsløsningen og hjem til skadevarens kommando- og kontrollsystem. Da kan skadevaren både tappe klientmaskinen for informasjon, samt gå videre inn i informasjonssystemet og angripe det og hente ut mer informasjon.

Ill.: Colourbox.com

Ill.: Colourbox.no

Mange sikre fjerntilgangsløsninger er konfigurert for å gjøre denne type angrep lettere, da bare kommunikasjon som skal «hjem» går gjennom løsningen (som epost og tilgang til delte filer), mens tilgang til vanlige Internettjenester går direkte ut på nettet. Slik konfigurasjon kalles split tunneling. På denne måten sparer man trafikk mot konsentratoren og øker båndbredden mot Internettjenester. Slik nettverkskonfigurasjon er ikke godkjent for graderte informasjonssystemer.

Merk at det er ingen garanti for at en skadevare ikke kan omgå klientens sikkerhetsmekanismer og opprette forbindelse til skadevarens kommando- og kontrollsystem, selv om split tunneling ikke benyttes.

Ved å implementere den sikre fjerntilgangsløsningen i en egen prosesseringsenhet vil eventuelle kompromitteringer av klientmaskinen ikke påvirke fjerntilgangsløsningen. Altså, når skadevaren prøver å kontakte sitt kommando- og kontrollsystem på Internett, blir dens trafikk ledet direkte inn i fjerntilgangsløsningen og når aldri ut til Internett. Om den klarer å angripe systemene videre, vil den allikevel ikke ha nettverksforbindelse hjem, så informasjon vil ikke bli kompromittert. Dette forutsetter selvsagt at relevante sikkerhetsmekanismer er implementert i hjemmenettet, slik at informasjonen ikke lekker ut derfra.

Vedlagt følger videoer som illustrerer hvordan de sikre fjerntilgangsløsningene fungerer.

Ill.: Colourbox.no

Ill.: Colourbox.no

Den første videoen viser hvordan en kompromittert maskin som kun har programvarebasert (intern) sikker fjerntilgangsløsning vil etablere kontakt med kommando- og kontrollsystem, og angripe og tappe informasjonssystemet den er tilkoblet.

Den andre videoen viser hvordan en kompromittert maskin med ekstern sikker fjerntilgangsløsning ikke klarer å etablere forbindelse hjem, siden all kommunikasjon blir tunnelert hjem.

Den tredje videoen viser hvordan klientmaskinen er beskyttet mot nettverksbaserte angrep ved at først må ekstern sikker fjerntilgangsløsning kompromitteres før klientmaskinen selv kan kompromitteres. Og, dersom den eksterne løsningen kompromitteres, er fortsatt informasjonen fra klienten kryptert så ingen informasjon er kompromittert før begge løsningene er kompromittert.

2013-05-14 Lagt til setning om lekkasje fra hjemmenett.

Posted in Informasjonssikkerhet, Internettsikkerhet, Kryptografi | Leave a comment

Hvorfor kreve asymmetrisk krypto, digitale sertifikater og PKI?

I Nye retninger innen krypto for BEGRENSET stod det:

Nøkler for BEGRENSET skal komme fra en PKI som er underlagt NSMs policy og rot-sertifikattjener. Dette utelukker ikke at symmetriske nøkler kan benyttes, men de må være beskyttet av digitale sertifikater og PKI under NSMs kontroll.

NSM krever altså at man benytter asymmetrisk krypto, digitale sertifikater og PKI (offentlig nøkkelinfrastruktur) for forvaltning av nøkler for beskyttelse av BEGRENSET.

NSM anbefaler samtidig at asymmetrisk krypto, digitale sertifikater og PKI benyttes for forvaltning av kryptonøkler for andre beskyttelsesbehov.

Så til innleggets tittel; hvorfor kreve asymmetrisk krypto, digitale sertifikater og PKI?

Det korte svaret er modenhet.

Det litt lenger svaret er at asymmetrisk nøkkelforvaltning, digitale sertifikater og PKI er en moden teknologi.

Og det lange svaret følger her:

Ill.: Colourbox.no

Ill.: Colourbox.no

Tradisjonelt er nøkkelforvaltningsystemer utviklet per kryptosystem. På denne måten ender man opp med like mange nøkkelforvaltningssystemer som kryptosystemer. For små organisasjoner kan dette være uproblematisk, da man ikke nødvendigvis har mer enn en eller to kryptosystemer, men for profesjonelle nøkkelforvaltere fungerer det ikke.

Forsvaret, som har tatt frem EKNAS/NOR (Elektronisk Nøkkel Administrasjons System/Norge), har samtidig krevd at nye kryptosystemer skal tilpasses slik at de kan få nøkler fra dette nøkkelforvaltningsystemet. Men, det er forbeholdt de færreste å utvikle egne kryptosystemer og dermed kunne kreve at bestemte standarder, grensesnitt eller systemer benyttes.

Siden NSM ønsker at kommersielle produkter skal benyttes for beskyttelse av BEGRENSET, må kommersielle nøkkelforvaltningssystemer støttes og benyttes. Det er allikevel ikke, verken i brukerens eller NSMs interesse, å ende opp med et utall ulike nøkkelforvaltningssystemer. Derfor krever NSM at man standardiserer og variantbegrenser dette, og tar i bruk den beste teknologien som er tatt bredest i bruk i markedet.

Hvor modent et system eller en løsning er kan måles på ulike måter, og ikke minst vil det være ulike svar avhengig av om man ser et system for seg selv eller integrert med andre. Capability Maturity Model er en aktuell modell for å kunne vurdere modenheten til programvare eller systemer. Denne modellen omtaler følgende modenhetsnivåer:

  1. Initial – the starting point for use of a new or undocumented repeat process.
  2. Repeatable – the process is at least documented sufficiently such that repeating the same steps may be attempted.
  3. Defined – the process is defined/confirmed as a standard business process, and decomposed to levels 0, 1 and 2 (the last being Work Instructions).
  4. Managed – the process is quantitatively managed in accordance with agreed-upon metrics.
  5. Optimizing – process management includes deliberate process optimization/improvement.
Ill.: Colourbox.no

Ill.: Colourbox.no

Kilde: Wikipedia

Chris Kostick i Ernst & Young har holdt en lessons learned-presentasjon hvor han omtaler modenhetsnivået på nøkkelforvaltning for ulike anvendelser. Selv om denne presentasjonen ikke gir alle anvendelsene god skår på modenhet, oppnår den ikke navngitte PKI-løsningen et modenhetsnivå på fire.

At nivå fire har blitt nådd for PKI er ikke rart, med tanke på det omfattende standardiseringsarbeidet som er gjennomført. Algoritmer, protokoller, sertifikater og sperrelister er veldefinerte og utprøvde. I tillegg er det en rekke sertifikatpolitikker og sertifikatpraksiser som benyttes og som er åpent tilgjengelig, og PKI-produkter er evaluert og sertifisert etter publiserte profiler.

Nivå fire i modellen er altså et fornuftig og oppnåelig mål, og grunnlag for sikker nøkkelforvaltning.

Ill.: Colourbox.no

Ill.: Colourbox.no

På klientsiden har de fleste applikasjoner og tjenester implementert støtte for digitale sertifikater og PKI. Standardiseringen (formater og protokoller) som er gjort, i tillegg til at biblioteker og kryptogrensesnitt støtter asymmetriske kryptofunksjoner, gjør det relativt enkelt å støtte digitale sertifikater og PKI for nøkkelforvaltning.

At man med asymmetrisk krypto fortrinnsvis kun distribuerer offentlige nøkler er jo heller ingen ulempe…

Uten å gjennomføre en analyse av tilgjengelige løsninger for symmetrisk nøkkelforvaltning, er det klart at både standardiseringen og ikke minst markedets tilslutning til symmetriske kryptomekanismer, digitale sertifikater og PKI gjør dette til det naturlige valg for nøkkelforvaltning for beskyttelse av BEGRENSET.

Posted in Informasjonssikkerhet, Internettsikkerhet, Kryptografi, Teknisk | Leave a comment

SECURING THE HUMAN

Dersom du søker på ordet sikkerhetskultur vil du, avhengig av valg av søkemotor, få ett brukbart antall treff. Hadde du gått tilbake til 2010 hadde du ikke fått mange treff, i hvert fall ikke sikkerhetskulturbegrepet benyttet i forhold til security delen av sikkerhet. Hendelsene 22. juli 2011 endret på dette og mest av alt, 22. juli kommisjonens rapport som ble presentert 13. august 2012.

Interessen for mer kunnskap om sikkerhetskultur blant virksomheter, både offentlige og private er merkbar gjennom en økning i antall henvendelser og forespørsler om blant annet råd og veiledning knyttet til tema.  Det som etter vår oppfatning er gledelig er interessen for dette blant virksomhetenes øverste ledelse. Uten at ledere engasjerer seg, har vi liten mulighet til å forbedre sikkerhetskulturen. Noe som er vanskelig nok fra før.

Jeg har skrevet flere blogginnlegg som direkte eller indirekte omhandler sikkerhetskultur , hva det er og ikke minst hvor god eller dårlig den er.

Arbeidet med sikkerhetskultur er i ferd med å modnes. Et av tegnene på det, er en større uenighet om hva det er og hva som kreves for å endre kulturen. Jeg mener at denne uenigheten faktisk er en positiv utvikling. Vi kommer sannsynligvis lenger med å diskutere og utveksle erfaringer, enn at alle er enig med det en person eller ett miljø sier. Det blir som med ordtaket «Den som mener å ha funnet sannheten, leter ikke videre» Noe vi trenger mer av, er ydmykhet i forhold til å erkjenne at vi ikke sitter på alle løsningene og at det heller ikke finnes en enkelt løsning for å endre atferd. Det viktigste er ikke hvilket tiltak vi benytter, så lenge det gir den ønskede effekten – Innen lovens rammer selvfølgelig.

Når jeg nevner uenigheter så er det blant annet flere som tar opp spørsmålet om det i det hele tatt har en hensikt å bruke tid og ressurser på menneskelig atferd innen informasjonssikkerhet. Det er mange som argumenterer med at slike tiltak ikke virker og motargumentet er at det er brukt feil tiltak i forhold til hva de ønsker å endre.

Mennesket - sikkerhetens svakeste ledd!

Mennesket – sikkerhetens svakeste ledd!

Etter min mening har vi ikke noe valg. Så lenge den enkelte bruker fortsatt skal foreta selvstendige valg i forhold til bruk av PC, nettbrett, smarttelefon og annet, kommer man ikke utenom behovet for å gi brukeren noe de kan bruke for å foreta smarte valg (god atferd). Det betyr ikke at brukeren skal bli eksperter på informasjonssikkerhet, men så lenge det ikke finnes sikre løsninger som minimaliserer risikoen ved menneskelig atferd, så må vi ta høyde for menneskelig atferd i informasjonssikkerhetsarbeidet.

For å gjøre de riktige valgene og komme med de riktige tiltakene trengs kunnskap hos de som skal arbeide med denne problemstillingen i virksomhetene. Derfor har NSM invitert SANS til Norge for å gjennomføre kurset «Securing the human». To dagers kurset holdes i Oslo 5-6 juni med Lanze Spitzner som instruktør.  Kurset gir deltakerne unike forutsetninger for å kunne bygge sikkerhetskultur og gjennomføre holdningsskapende tiltak i sine egne virksomheter.  Det er noen kursplasser igjen, så ikke la muligheten går fra deg til å få mer kunnskap om dette.

Det er som mange har sagt før meg. Kunnskap blir sjelden feil!

Påmelding og informasjon om kurset skjer via denne linken.

Posted in Informasjonssikkerhet, Ledelse, Sikkerhetskultur | Leave a comment

Nye retninger innen krypto for BEGRENSET

Bakgrunn

De siste årene og ikke minst det siste året har det skjedd endel ting som medfører at kravene til kryptomekanismer for beskyttelse av BEGRENSET informasjon må revideres. Noe av dette er ferdigstilt og har blitt offentliggjort, men ikke alle kravdokumentene er oppdatert ennå. For å gjøre endringene og noen av vurderingene bak kjent, benyttes derfor Sikkerhetsbloggen.

Ill.: Colourbox.no

Ill.: Colourbox.no

Det har lenge vært ønskelig å benytte kommersielle mekanismer for beskyttelse av BEGRENSET informasjon. Både systemeiere og NSM  har sett at kommersielle løsninger inneholder flere og bedre kryptomekanismer, noe som var grunnlaget for at NSM publiserte «Standard Cryptographic Requirements» (senere endret til «NSM Cryptographic Requirements» i 2004).

Selv om NSM allerede for ni år siden åpnet for kommersielle, tredjepartsevaluerte produkter, har det vist seg at det ikke er mange produkter som er gode nok for å beskytte BEGRENSET.

For en tid tilbake begynte amerikanske sikkerhetsmyndigheter (National Security Agency (NSA)) å se på muligheten for å benytte kommersielle kryptomekanismer for beskyttelse av alle graderinger gjennom programmet Commercial Solutions for Classified (CSfC).

Allerede her vil noen reagere, da de ser at amerikanerne åpner for alle graderinger, mens Norge kun åpner for BEGRENSET. Det er dog en rekke flere forutsetninger som må oppfylles for at førstnevnte skal kunne bli godkjent.

CSfC baserer seg på å benytte to uavhengige kommersielt tilgjengelige løsninger som benyttet sammen gir nødvendig tillit til at sikkerheten er ivaretatt. Det enkleste eksemplet på slik bruk, er kryptert VPN hvor man etablerer kryptert tunnel gjennom en annen kryptert tunnel. Se illustrasjon under fra Commercial Solutions for Classified (CSfC) Multi-Site Virtual Private Network Capability Package:

Figure 1. Two IPsecTunnels Protect Data across a Black Network

Figure 1. Two IPsecTunnels Protect Data across a Black Network

Som nevnt over er det flere forutsetninger for få en løsning godkjent etter CSfC-programmet enn for beskyttelse av BEGRENSET. Mens NSM vil tillate de fleste kombinasjoner evaluerte og sertifiserte produkter, har NSA strengere krav til CSfC. I hovedsak går dette ut på uavhengighet. NSA krever produktene som benyttes sammen er så uavhengige hverandre som mulig, og med uavhengighet menes blant annet ulike protokoller, ulike kodebaser, ulike operativsystem, ulike kjøretidsmiljø og ulike nøkkelkilder. Dette er nærmere beskrevet i Fred Roeper og Neal Zirings presentasjon ved RSA Conference 2012.

I tillegg ble Forskrift om informasjonssikkerhet revidert i fjor sommer hvor spesielt krav til informasjonssystemsikkerhet ble forbedret. Disse kravene ligger til grunn for godkjenning av integrerte kryptosystemer.

Ill.: Colourbox.no

Ill.: Colourbox.no

Oppdaterte krav

Så til de faktiske kravene som er oppdaterte og gjeldene.

I hovedsak er kryptoløsninger for BEGRENSET sterkt integrert mot operativsystem/plattform og kommersielt utviklet. NSM ønsker ikke lenger å evaluere og sertifisere denne type kryptoløsninger, da dette forutsetter dyp kjennskap til systemet det skal integreres i og er svært ressurskrevende å gjennomføre. For slike løsninger vil NSM basere sin godkjenning på allerede gjennomførte tredjepartsevalueringer og -sertifiseringer.

Om løsningen alene ikke tilfredsstiller NSMs krav til tillit (evaluerings- og sertifiseringsnivå), kan man benytte to løsninger, som beskrevet over, og få den komplette løsningen godkjent. Dette forutsetter at løsningene er evaluerte og sertifiserte, men de kan altså være sertifiserte til et lavere tillitsnivå.

Evaluering og sertifisering skal som før følge Common Criteria, FIPS 140-2 eller andre relevante nasjonale godkjenningsordninger. NSM vil anerkjenne tilliten disse evalueringene har etablert og godkjenne løsningene for BEGRENSET.

I noen tilfeller vil det allikevel være behov for at NSM involverer seg i en tradisjonell evaluering av kryptosystemer. Dette vil være løsninger som ikke er avhengig av plattform, operativsystem eller annet. Også for disse systemene forutsettes det at de er tredjepartsevaluert/-sertifisert, eller under evaluering, før NSM begynner evaluering.

For både førstnevnte godkjenning og sistnevnte evaluering, kreves NSMs godkjenning av profil e.l. som er benyttet for evalueringen. Det er et håp om at det utarbeides en kryptoprofil innen Common Criteria som kan benyttes. Dersom dette etableres og NSM godkjenner profilen, trenger man ikke lenger følge FIPS 140-2.

Nøkkelforvaltning

Ill.: Colourbox.no

Ill.: Colourbox.no

Selv om NSM på denne måten forenkler kravene til og godkjenningen av kryptosystemer for beskyttelse av BEGRENSET, krever NSM at nøkkelforvaltningen skjer på en god måte. Nøkler for BEGRENSET skal komme fra en PKI som er underlagt NSMs policy og rot-sertifikattjener. Dette utelukker ikke at symmetriske nøkler kan benyttes, men de må være beskyttet av digitale sertifikater og PKI under NSMs kontroll.

Langtidsnøkler må være generert i maskinvarebasert kryptomodul og må regnskapsføres slik at man har komplett oversikt over hvilke nøkler som er utstedt, til hvem, i hvilket utstyr, utstedelsesansvarlig, levetid, med mer. Merk at krav til levetid før nøkler ikke er spesifisert, men vil være avhengig av krypto- og informasjonssystemet de benyttes i. Med levetid menes både tidsperiode en nøkkel er gyldig og for hvor stor datamengde en nøkkel kan beskytte.

Det at nøklene må komme fra en sertifikattjener underlagt NSM betyr ikke at NSM selv må operere utstedende sertifikattjener. NSM tillater og ønsker at brukerne selv skal håndtere egne nøkler. NSM tillater også at brukerne kan kjøpe nøkkelforvaltningstjenester fra kommersielle kryptotjenesteleverandører som er underlagt NSMs PKI.

For alle nøkler som genereres må kvaliteten vurderes før nøkkelen sertifiseres (sertifikat utstedes), og alle sertifikater må, sammen med sertifikatstatusinformasjon, publiseres i systemet de skal benyttes.

NSM ønsker ikke sentralisert nøkkeldeponering. Dette kan gjøres lokalt for gjenoppretting av data ved tap og sletting av konfidensialitetsnøkler, men forutsetter to-person-kontroll.

Algoritmer

Algoritmer som anbefales er i hovedsak begrenset til Suite B. Suite B inneholder følgende:

Funksjonalitet                  Algoritme       Nøkkellengde
 Symmetrisk kryptering           AES             128, 256
 Digitale signatur               EC-DSA          256, 384
 Nøkkeletablering                EC-DH           256, 384
 Avtrykk                         SHA-2           256, 384

I tillegg kan følgende algoritmer benyttes:

Funksjonalitet                  Algoritme       Nøkkellengde
 Digital signatur                RSA             2048, 3072, 4096
 Nøkkeletablering                DH              2048, 3072, 4096
 Avtrykk                         SHA-2           224, 512
 Symmetrisk nøkkelbeskyttelse    KW, KWP         128, 256

Dette utelukker ikke at nye proprietære NSM-godkjente algoritmer kan benyttes i spesielle tilfeller. Merk at dette vil kunne hindre interoperabilitet.

Standarder og protokoller

Selv om NSM kun har spesifisert bestemte algoritmer og nøkkellengder som kan benyttes, er det ønskelig at åpne standarder og protokoller benyttes for høyere lags håndtering eller bruk av krypto. Eksempler på dette kan være Transport Layer Security eller IPsec i stedet for å benytte proprietære protokoller.

Ill.: Colourbox.no

Ill.: Colourbox.no

Spesielt for sikker fjerntilgang (kryptert VPN) har NSM slått fast at slike løsninger skal implementeres i en separat/uavhengig prosesseringsenhet (computing base). I forhold til figuren over (Figure 1), betyr dette at man kan benytte evaluerte og sertifiserte komponenter i tunnel-i-tunnel-modus, hvor innerste tunnel kan være programvarebasert løsning på klientmaskin og ytterste tunnel håndteres av en «vpn-ruter».

NSM utarbeider for tiden kravsett til sikker fjerntilgang. Sistnevnte krav vil bestå i dette nye kravsettet, men vil også inneholde ytterligere krav til  plattform, integrasjon, nettverk og krypto.

Posted in Informasjonssikkerhet, Internettsikkerhet, Kryptografi, Teknisk | 2 Comments

Bitcoin

http://bitcoin.clarkmoody.com/

http://bitcoin.clarkmoody.com/

Det har vært mye snakk om kryptovaluta etter at Bitcoin (BTC) fra januar har steget fra ca. 75 NOK/BTC til rundt 1100, og med et smell ned igjen til rundt 600 NOK/BTC i dag.  Kommentatorer konkluderer ofte med at den økte interessen er en direkte årsak av finanskrisen, og spesielt den senere tids hendelser på Kypros.  Noen vektlegger kriminelle formål (f.eks. Silkeveien , en kriminell markedsplass skjult gjennom mix-nettverk).  Andre mener Bitcoin er på ville veier. Å manipulere kursen ved destabilisering av sentrale valutaforhandlere (DDoS-angrep) er et reelt problem synonymt med å blokkere børsen for å skape panikk. Skadevare som stjeler private nøkler og botnet med enorme regnekapasiteter er andre variabler man må regne på for å forstå sikkerheten i Bitcoin. At det i utgangspunktet ikke er anonymt, kommer kanskje som en overraskelse på mange.

Mange har kastet seg på Bitcoin i 2013 og flere går til innkjøp av dyre spesialdesignede FPGA-plattformer med mål om å tjene penger på “gruvedrift” . Man kan jo spørre seg om andelen ærlige deltakere som bare er spekulanter og hvorfor selgere av gruvedrift-verktøy ikke bruker disse til å tjene penger selv. Men at kursen oppfører seg som en ustabil berg-og-dalbane er det ingen tvil om.

Basics
Den prinsipielle forskjellen mellom Bitcoin og annen valuta, er at den i utgangspunktet ikke kontrolleres av myndigheter eller banker – den er desentralisert. Dine Bitcoins er beviselig knyttet til deg med hjelp av kryptografi og transaksjoner kontrolleres og godkjennes av frivillige, såkalte “gruvearbeidere”, som blir betalt med hjelp av helt nye Bitcoins og transaksjonsgebyr. Mekanismer sørger for at det er praktisk umulig å betale med samme mynten to steder (“double-spending“) og kontrollerer at det bare “trykkes” et forutsigbart antall nye Bitcoins hver dag.

Alt dette avhenger av at Bitcoin-nettverket og annen viktig infrastruktur ikke destabiliseres av uærlige aktører.

For å ta i bruk Bitcoin så må du opprette en eller flere Bitcoin-addresser (som et kontonummer). Til hver addresse er det knyttet et unikt  nøkkelpar (for signering) og selve addressen din er bare et kryptografisk avtrykk av den offentlige nøkkelen i dette paret.

Den private nøkkelen gir deg total kontroll over midlene tilknyttet denne addressen. Så det er enormt viktig at den oppbevares på en trygg måte (f.eks. i en TPM). Men mister du nøkkelen (data-krasj, tyveri, etc.) , så mister du nøkkelen som autoriserer din tilgang til midlene. I praksis laster du ned en Bitcoin-klient som ordner alt dette for deg, og er du heldig så både lager og lagrer klienten nøklene tilstrekkelig sikkert. I prinsippet er dette sikrere enn de bankløsningene du bruker for å logge på nettbanken din.

Kjernen av nettverket består hovedsakelig av to elementer;  transaksjoner og blokker.

Transaksjoner
En transaksjon er et digitalt dokument som inneholder relevant informasjon om transaksjonen du vil ha utført. Du spesifiserer til hvilken addresser, og hvor mye, det skal overføres, men du må også spesifiere fra hvor du henter betalende Bitcoins fra. Dette gjør du ved å referere til en eller flere foregående transaksjoner i nettverket, hvor din addresse  står som mottaker. Et viktig poeng er at bitcoinene bare eksisterer som tall i et lenket revidert nettverk av transaksjoner. Totalt antall Bitcoins som kommer inn i transaksjonen fordeles ut på de du skal betale til, og eventuelle vekslepenger sender du til din egen addresse. Det som er igjen regnes som transaksjonsgebyr til den eller de som skal behandle transaksjonen (vi kommer til dette). Når transaksjonen signeres av deg, så vil enhver i senere tid kunne verifisere at det virkelig er du som har utført transaksjonen og at den er gyldig. Når du er ferdig plasseres transaksjonen i et basseng med ubehandlete transaksjoner og  erkjennes først gyldig når den har blitt plassert i en offisielt godkjent blokk.

Blokker
En blokk er en offentlig bokføring (en forsegling) av en bolk med transaksjoner. Blokker lenkes til hverandre serielt i en blokk-lenke, hvor hver neste blokk refererer til den forrige og den som kommer etter seg. Det finnes altså en rot-blokk (den første som ble laget) og til enhver tid en siste blokk. Det er her “miners”, eller gruvearbeiderne, kommer inn. Blokker opprettes av en gruvearbeider; frivillige som donerer regnekraft til nettverket mot betaling. Gruvearbeideren får en bunke mer eller mindre tilfeldige ubehandlete transaksjoner fra bassenget og plasserer de i en ny blokk. Den første transaksjonen han plasserer i blokken er til han selv; for tiden 25 nyopprettede Bitcoins som takk for arbeidet.  Men så kommer arbeidet inn. Røft forklart så krever Bitcoin-nettverket at det skal tilstrekkelig mye regnekraft til for å opprette en ny godkjent blokk;  dette fordi det ikke skal opprettes flere eller færre enn omtrent 2016 blokker per andre uke (skal sørge for en viss stabilitet). Vanskelighetsgraden justeres deretter. For at det skal ta tilstrekkelig lang tid å opprette en blokk, så må gruvearbeideren beregne et 256-bit tidkrevende avtrykk (hash) på en spesiell form,  og her er det første-mann til mølla som vinner.

Gruvearbeidet
En 256-bit avtrykksfunksjon (hash-funksjon) H(x) er en funksjon som tar inn et vilkårlig stort tall x og regner ut et på forhånd uforutsigbart tall y=H(x) mellom 0 og 2^{256}-1 \approx 10^{77} (antall atomer i universet antas å være rundt 10^{80}). Bitcoin utnytter følgende to egenskaper ved en 256-bit kryptografisk avtrykksfunksjon for å forhindre forfalskninger:

  • Gitt et tilfeldig tall y mellom 0 og 10^{77}, så er det beregningsmessig umulig å finne et tall x slik at H(x)=y.
  • Man må i gjennomsnitt over tid prøve \frac{10^{77}}{s} ulike verdier for i for å være 100% sikker på å treffe et avtrykk som tilfredstiller H(x+i)\leq s,  hvor s er et tall mellom  0 og 10^{77}.

Gruvearbeideren får tildelt to verdier; avtrykket m_1 av forrige blokk i nettverket og (Merkle) avtrykket m_2 av transaksjonene i blokken han skal bokføre; m_1 og m_2 er bare to veldig store tall. Vanskelighetsgraden M sier enkelt og greit at blokken ikke blir godkjent før gruvearbeideren finner en verdi i slik at

H(m_1+m_2+i) \leq \mathbf{M}.

hvor \mathbf{M} er et tall mellom 0 og 10^{77} som bestemmer vanskelighetsgraden. Det mindre \mathbf{M} er, desto større blir tallet \frac{10^{77}}{\mathbf{M}}, som antyder antallet tall i gruvearbeideren må teste før han finner et avtrykk som er mindre enn \mathbf{M}. Når denne bloggen publiseres må avtrykksverdien være mindre enn \mathbf{M} \approx 10^{70.1}, slik at man må beregne avtrykksalgoritmen ca.  10^7 ganger for å treffe en verdi mindre enn \mathbf{M}.  Når gruvearbeideren finner en slik i (hvilken som helst), så sender han resultatet tilbake inn i Bitcoin-nettverket for godkjenning. Viss alt er demokratisk og fint, så kan alle beregne og sjekke at avtrykksverdien er på riktig form og være enige om at blokken kan gyldiggjøres. De andre gruvearbeiderne viser enighet ved å begynne på en ny blokk, hvor de refererer til denne som siste (i praksis skjer dette ikke fullt så enkelt, og som alltid finnes djevelen i detaljene).

Angrep mot Bitcoin
For at Bitcoin-nettverket skal fungere så er det vesentlig at ingen kontrollerer betydelige prosentdeler av beregningskraften i nettverket. Det finnes mange kjente og ukjente angrepsflater, men et typisk spørsmål som dukker opp er:

Hva om noen eier en betydelig andel av ressursene i nettverket ?

Med mer enn 50% av ressursene utgjør du selvsagt en majoritet; hvilket betyr at du dikterer demokratiske avgjørelser, som f.eks. å blokkere andres transaksjoner og blokker. Du kan kort fortalt få til en del. Men du kan ikke signere transaksjoner på andres vegne (bruke andres Bitcoins). Det finnes få formelle sikkerhetsanalyser av hva som faktisk er mulig og hvilke scenarior som utspenner seg i praksis. Argumentet at “…det er alt for dyrt å kjøpe nok av ressursene i nettverket” er ikke særlig presist. Jeg tror man bør være mer nøkterne og tålmodig vente på flere og bedre sikkerhetsanalyser. Et lettere spørsmål å svare på er:

Hva om noen knekker kryptoalgoritmene ?

Kryptoalgoritmene som brukes i Bitcoin er standard. For signering av transaksjonene dine brukes ECDSA og avtrykksalgoritmen som brukes er SHA-256; ikke kontroversielt i det hele tatt (problemene oppstår typisk, og ofte,  når noen ikke klarer å bruke eller implementere dette riktig, som åpner for sidekanalsangrep).  Men praktiske ikke-sidekanalsangrep på disse algoritmene er vi et godt stykke unna ennå.

Interesserte bør ta en videre kikk på Zerocoin og Ripple.

Posted in Informasjonssikkerhet, Internettsikkerhet, Kryptografi, Teknisk | 2 Comments

Slik ser verda ut med NSM-briller torsdag 11. april 2013

Stopping av dataangrep, analyser frå Finanstilsynet, og dansk BankID som ikkje fungerer: Her er nyhendeverda sett med NSM-briller på torsdag 11. april:

Noreg
Kvar dag er Noreg under dataangrep. Dei som prøver seg, må forbi Fredrik Fjeld i Nasjonalt tryggingsorgan, skriv Forsvarets forum. http://www.fofo.no/forsvaretsforum.no/Cybervakten.b7C_w7HW51.ips

Finanstilsynet sin årlege risiko- og sårbarheitsanalyse vart lagt fram i dag. Vi svindlast for meir enn nokon gong før gjennom angrep mot nettbankar og minibankkort. No etablerer bankane eit nytt senter for å handsame dataangrep, skriv VG. http://www.vg.no/nyheter/innenriks/artikkel.php?artid=10102440

Fem millionar kroner forsvann frå norske bankkonti i fjor, i følgje rapporten frå Finanstilsynet. Talet er lavt sammenlikna med andre land, seier seksjonssjef Frank Robert Berg. http://www.idg.no/computerworld/article270128.ece

Danmark
Dansk BankID er nede for telling, skriv digi.no. Kun nettbankar med reserveløysing er på nett. http://www.digi.no/914871/dansk-bankid-nede-for-telling

Sikkerhetsbloggen
Er Facebook Home, som etablerer eit eige startbilete på Android-telefonar, farleg? For ein gongs skyld er Nasjonalt tryggingsorgan mindre bekymra enn mange andre, skriv mobilforskar Marius Kjelstad på Sikkerhetsbloggen. Du ser innlegget rett under her.

Posted in Uncategorized | Leave a comment

Er Facebook Home farlig?

Bedrifter bør blokkere den nye app-en Facebook Home, sier sikkerhetsekspert Chester Wisniewski til ComputerSweden 9. april (http://www.digi.no/914756/advarer-mot-facebook-home). Den nye app-en, som ble lansert forrige uke, erstatter hjemmeskjermen på Android-telefoner og bringer innholdet i Facebook lenger frem på telefonen.

Vi i NSM er som regel bekymret for sikkerheten. Men akkurat i denne saken er vi mindre bekymret enn de som har uttalt seg i saken i ComputerSweden og digi.no. For ordens skyld så uttaler vi oss her kun basert på den informasjonen som er tilgjengeliggjort; appen er ennå ikke lansert og vi har således ikke hatt noen mulighet til å gjøre noen dyptgående analyser selv.

Facebook Home applikasjonen er en vanlig Android applikasjon (app), på linje med alle andre apper i Android økosystemet. Det er en app i kategorien “launcher/homescreen”, som er det programmet som styrer hjemmebildet på skjermen og oppstart av programmer. Facebook Home erstatter den vanlige applikasjonen (“Launcher”) på Android enhetene hvis brukeren gir den tillatelse til dette. Tilsvarende så kan appen enkelt fjernes igjen hvis brukeren ikke liker den, og den vanlige “Launcher” applikasjonen tar over igjen.

Som alle andre apper på Android er appen underlagt sikkerhetsmekanismene i operativsystemet, og den tekniske sikkerhetsrisikoen er således ikke større enn for andre apper. Store kompliserte applikasjoner generelt har selvfølgelig en større sannsynlighet for innebyggede programvarefeil som kan utnyttes av en angriper med onde hensikter. Men så langt finnes det svært få slike angrep på mobiltelefoner. Den innebyggede sikkerheten er god og bedre enn på de fleste vanlige datamaskiner, slik at konsekvensene av en programvarefeil som regel ikke utgjør noen betydelig risiko.

Den største risikoen forbundet med Facebook Home er sannsynligvis ikke av teknisk art. Risikoen er at Facebook benytter anledningen til å samle inn mer data om mobilbruken enn de kan gjøre med en vanlig app, fordi Facebook Home mest sannsynligvis ber om flere tillatelser til å aksessere telefonen. Dette er den avhengig av for å kunne fungere som en “Launcher”, i tillegg til å være integrert med adressebok/kontaktinfo, ringelogg, SMS logg osv..

Er Facebook Home farlig? Nei, så langt har vi ingen grunn til å anta noe slikt. Den er neppe farligere enn alle lignende applikasjoner som allerede er tilgjengelige. Bedrifter kan ha forskjellige grunner og behov for å sperre/kontrollere muligheten for ansatte til å installere apper generelt på enheter som brukes i jobbsammenheng, men vi ser altså ikke at Facebook Home utgjør noen særskilt risiko i så måte.

Posted in Uncategorized | Leave a comment

Klipp frå media onsdag 10. april 2013

Arfan Bhatti pågripeI Nasjonalt tryggingsorgan sender vi dagleg ut ei orientering om korleis medieverda ser ut med NSM-briller på. No prøver vi ei periode å leggje sakane også ut på blogg. Fungerer det? Legg gjerne inn kommentarar under.

Noreg
Den ekstreme islamisten Arfan Bhatti skal i følgje etterretningskildar vere tatt av pakistansk tryggingsteneste. Alle opplysningane i saka skal vere høgt gradert, skriv VG. http://www.vg.no/nyheter/utenriks/artikkel.php?artid=10102315

Tryggleiksekspertar åtvarar mot Facebook Home, som er eit slags skall til Android-telefonar som erstattar heimeskjermen og sørgjer for at Facebook-innhald kjem langt fram i telefonen. App-en er ikkje trygg, og ingen veit om den inneheld sårbarheiter som datasnokar kan bruke, seier en ekspert i selskapet Sophos. http://www.digi.no/914756/advarer-mot-facebook-home

Internasjonalt
Dataangrepa mot Israel frå hackergruppa Anonymous har hatt marginale konsekvensar, i følgje tryggleiksekspertar. Anonymous har hevda at dei har øydelagt for 3 milliardar dollar gjennom angrepa.
http://www.techweekeurope.co.uk/news/anonymous-israel-attacks-ineffectual-say-sources-112367

Dataangrep er langt frå krigføring, skriv Jason Healey, som er direktør i Atlantic Council. Han har sett på dei siste angrepa mot Sør-Korea på nett. http://www.usnews.com/opinion/blogs/world-report/2013/04/09/stopping-north-korean-cyber-attacks-starts-in-china

Posted in Uncategorized | Leave a comment

Ice Break 2013: Forskerkurs i kryptologi på Island 6.-12. juni, 2013

Ill.:Nico Kaiser

Ill.:Nico Kaiser

NSM er sponsor for et 6 dagers kurs i kryptologi på island, 6.-12. juni med fokus på symmetrisk kryptografi. Den rådende forståelsen av emner som blokk-chifre, strøm-chifre, hash-funksjoner, sidekanal angrep, beviselig sikkerhet, autentisert kryptering og lettvektsprimitiver vil bli presentert av verdensledende kryptologer.

Foreløpig liste over forelesere er:

Kurset er ennå ikke fulltegnet og NSM oppfordrer norske ekspertkryptologer og studenter til å melde seg på. Dette er en unik mulighet til å møte og lære av de som virkelig driver fagfeltet fremover i dag!

Et begrenset antall stipender er tilgjengelig til PhD- og Master-studenter som ikke er i stand til å skaffe midler på annen måte.

Her finner du mer informasjon.

Posted in Informasjonssikkerhet, Konferanse, Kryptografi | Tagged | Leave a comment