Migrerat och klart + OWASP Top 10

Det där var ingen höjdare att göra manuellt, men nu är migreringen i a f klar. För er som missade början av det hela så har vi, som sagts i nya bloggens först post, flyttat till molnet.

Cloud computing

I övrigt på tapeten är mötet med OWASP Sweden på Omegapoint ikväll där den nya versionen av Top Ten (pdf) ska diskuteras. Jag tror att placeringen av cross-site scripting som tvåa på listan kommer att väcka störst debatt. Jag och CJ ska dit, hoppas att vi syns där!

--
Stefan Pettersson

USA utvecklar programvara för att komma runt webbcensur?

(Publicerad 2009-08-14)

De senaste dagarna har det förekommit notiser om att USA håller på att testa programvara för att komma runt den webbcensur som finns i bland annat Kina och Iran. Enligt uppgift är Google, Yahoo och Microsoft med i satsningen. Men vad väntar man sig egentligen åstadkomma?

Enligt Reuters så heter det nya systemet "Feed Over E-mail" och en sida på Google Code antyder att systemet kommer använda sig av SMTP och POP3 som protokoll. Om nyheten är sann (det finns inga pressmeddelanden om det på Broadcasting Board of Governors hemsida, vilket är byrån sägs ligga bakom projektet) så är frågan vad man egentligen förväntar sig uppnå med det.

Skulle en sådan tjänst slå igenom är det högst osannolikt att den ignoreras av censurregimerna. Det innebär inte direkt några stora tekniska utmaningar att istället för att göra pattern matching på webbsidor istället göra det på e-post.

Finns det då något som kan göras för att vanlig pattern matching inte ska fungera? Koda eller kryptera informationen på något sätt? Även om så vore fallet så ska det ut till en stor del av befolkningen och då kommer sättet det kodas på bli allmänt känt och på ena eller andra sättet skulle man kunna hitta även dessa meddelanden.

I grunden är det här en katt-och-råtta-lek. Och kommer alltid att förbli:
  • En stat kommer aldrig kunna hindra *alla* från att nå vissa sajter - det kommer alltid gå att komma runt det genom olika typer av tunnlar och proxies med diverse kryptering.
  • Samtidigt kommer aldrig alla kunna kringgå skydden - data måste i slutändan hamna hos användaren och vet alla om hur den kan erhållas i klartext så kan staten göra detsamma längs vägen och göra bedömningar utifrån det. Enda sättet vi idag känner till att komma runt något sådant är genom asymmetrisk kryptering. Men en stat har inga problem att genomföra man in the middle attacker - det enda man kan göra mot dem är att upptäcka dem och staten bryr sig föga om att bli "upptäckt" som de som spionerar på trafiken - alla vet ändå om det.
Några alternativ vi här uppe i skrapan ser som mer rimliga är:
  • Det är ett rent politiskt utspel
  • Ken Berman har missuppfattat något
  • Syftet med programmet har missuppfattats av media och oss andra
  • Det är en distraktion för att dölja något annat [konspirationsteori ftw]
Ett femte alternativ är de helt enkelt är så vansinnigt okunniga och ignoranta att de tror att det gör någon skillnad.

Ett sjätte alternativ är att det är något ruskigt innovativt som slår världen med häpnad. Eller i vart fall mig.

--
Carl-Johan "CJ" Bostorp

Kinesisk delegation

(Publicerad 2009-06-03)

Vi hade besök från Kina igår, närmare bestämt från Zhejiang-provinsens "Information Industry Department". Säljchef Stefan berättade om HPS och jag och Jocke om vad vi ser som de större säkerhetsproblemen idag.

Min del handlade om skiftet från att attackera servrar till att rikta in sig på klienter och hur detta gjorts framgångsrikt över webben. Mer eller mindre samma innehåll som föregående blogpost om Attacker från legitima siter.

Delegationen verkade nöjd med besöket. Stort tack till vår tolk Yanan Li. Yanan har stor erfarenhet som guide och tolk åt kinesiska besökare, han är dessutom frilansfotograf.

Foto: Yanan Li

--
Stefan Pettersson

Malena Ernman och Carl-Johan

(Publicerad 2009-06-02)

Malena Ernman övar på nationalsången utanför vårt fönster och Carl-Johan debatterar för säkerhet i utvecklingsprojekt.

På lördag är det landskamp i fotboll, vanligtvis bryr jag mig inte så mycket men de ska ju faktiskt spela precis utanför kontorsfönstret. För någon timme sedan var schlager-operasångerskan Malena Ernman nere på gräsplanen och övade på nationalsången. (Det är inte hon på bilden, hon smet så kvickt att det blev en bild på en vaktmästare istället.)


In other news så fick CJ precis en debattartikel publicerad på TechWorld, rubriken är "SSL säkrar inte din webbapplikation?". Poängen är inte att SSL är dåligt utan att "vi använder SSL" ofta är standardsvaret när man ställer en fråga om säkerhet till en leverantör.

För inte så länge sedan var jag inblandad i en upphandling av en "informationsspridningsprodukt" (lagom intetsägande, ja). Av fyra leverantörer var det bara en som inte automatiskt svarade "SSL" på första frågan om "hur de arbetar med säkerhet i utvecklingen".

--
Stefan Pettersson

Det hände en av oss - då tar jag till mig

(Publicerad 2009-03-19)

Erfarenheter är vårt överlägset bästa sätt att lära oss på. Även om vi vet att något inte är bra, även om vi får höra det och kan förstå det teoretiskt, så är det ibland först när något personligt inträffar som det känns verkligt.


Igår nådde nyheten fram till mig att en kollega i branschen dog i söndags. Han jobbade nere i Karlskrona, tillhörde precis som jag och Stefan en generation som vuxit upp med datorer och var även han djupt insatt i teknisk IT-säkerhet. Dödsorsak: brand i hemmet.

Jag blir förvånad över hur personligt och nära det hela känns för mig.  Trots att jag bara hade växlat några ord med honom så känner jag mig betydligt mer påverkad av hans frånfälle än av diverse bränder och elände jag hört om i min geografiska närhet.  Det hände en av oss!

Så fungerar vi nog alla, om än i olika grad. Erfarenhet väger tungt, teori mindre tungt. För ett och ett halvt år sedan flyttade jag och min fästmö från lägenhet till villa. Sedan flytten har våra brandvarnare aldrig blivit uppskruvade, utan har istället bara legat högt upp på hyllor och skåp. Detta trots att vi för ett halvår sedan hade en besiktningsman hemma hos oss som påpekade just detta. Vi har hela tiden gått omkring och tänkt ”det fixar vi senare” eller ”nästa gång vi håller på med rummet så ordnar vi det då”, samtidigt som en svag gnagande känsla av att det där är nog inte så bra funnits där.

Att dra parallellen till IT-världen är enkel. Flera undersökningar av intrång har visat att man genom rimliga åtgärder hade kunnat förhindra cirka 90% av dem. Oftast är det enkla småsaker som alla redan känner till, men som det slarvats med. Det är lätt att föreställa sig att det rationaliserats bort i tankarna med resonemang som ”det har ju ändå inte hänt någonting”, och större delen av tiden så fungerar resonemanget. Men när olyckan väl är framme kan konsekvenserna bli katastrofala. Då känns det hela väldigt onödigt. Det hade ju varit så enkelt att förhindra!

Att man pratar om sina erfarenheter är jätteviktigt. Samtidigt kan det vara svårt att våga om det är något man skäms för och man räds konsekvenserna av att berätta. Min erfarenhet säger dock att i rätt sällskap så finner man ofta förståelse, och tillsammans blir man starkare.

Med detta vill jag uppmuntra alla våra läsare att prata mer om sina erfarenheter. Själv går jag hem och skruvar upp mina brandvarnare.

--
CJ

Premiär för vår blogg!

(Publicerad 2009-01-15)

Nu är det då äntligen dags för oss att påbörja vår nya blogg. Precis som vår kollega Jocke von Braun är inne på i sin blogg så ser vi förbättringspotential i den nuvarande IT-säkerhetsdebatten.

Under förra året så stötte vi på mängder med exempel på kunskapsbrister och missförstånd i detta ämne: felaktig fakta, saknade sammanhang, långa tider mellan händelse eller publikation i utländsk media till dess att det nådde ut på bredd även i Sverige. För att inte nämna en del viktiga frågor som över huvud taget inte nådde ut.

Vi vill därför med vår blogg erbjuda en pålitlig källa där vi lyfter fram sådant som annars har svårt att komma fram. Vårt fokus kommer inte ligga på att kritisera andra, utan på att utifrån vår erfarenhet och kunskap analysera och dra slutsatser kring sådant som är aktuellt – vare sig det är något vi själva kommit i direktkontakt med, något som vi läst om i bloggar eller något vi hittat i media. Genom det hoppas vi speciellt tilltala de likasinnade som precis som vi vet att ”djävulens finns i detaljerna”.

Samtidigt kommer bloggen vara ett personligt utlopp för oss.  Vi har under åren haft många intressanta diskussioner internt på HPS.  Oftast börjar dessa med ett utspel från en i rummet som har en åsikt om någon fråga. Inte så sällan har det varit jag som stått för dessa, och medarbetare som vare sig de velat eller inte fått ta del av den senaste "CJ-analysen". Nu är det dags för Sverige att ta del av dessa analyser! Med mig har jag min kollega Stefan Pettersson som jag alltid kunnat förlita mig på då jag behövt prata av mig. Tillsammans hoppas vi kunna erbjuda mycket intressant läsning framöver, och vara ett konkret komplement till en annars svävande IT-säkerhetsdebatt!

Mvh Carl-Johan Bostorp

Ursäkta röran, vi flyttar till molnet

"The computer industry is the only industry that is more fashion-driven than womens-fashion. Maybe I'm an idiot, but I have no idea what anyone is talking about." -Larry Ellison (Oracle-grundaren) om "Molnet"

Vi har efter en del funderande bestämt oss för att flytta ut bloggen i "molnet". Under en period framöver kommer våra gamla inlägg att migreras över. Tyvärr har man inte möjlighet att bakdatera inlägg på blogg.se vilket kommer att resultera i en jädra massa aktivitet under en och samma månad för att sedan återgå till normal frekvens.

Hoppas att ni har överseende med detta!

Bonus: Schneiers åsikter om säkerhetsproblemen med att ha tjänster i molnet; Be Careful When You Come to Put Your Trust in the Clouds.

Hur tar vi hänsyn till det här?
Vi kan inte göra något åt att blogg.se t ex har en SQL injection-sårbarhet i någon parameter någonstans som leder till att våra inlägg kan ändras. Vi får helt enkelt lita på att de har koll på läget. I det här fallet anser vi att risken är låg, inte för att det är låg sannolikhet utan för att det inte påverkar oss i någon vidare utsträckning.

Vad som är viktigare för oss däremot är att allt arbete vi lägger på att skriva inlägg inte går förlorat för att blogg.se får en hårddiskkrash och inte har backup. Vi kan minska följderna av detta problem genom att ta egna kopior på inläggen, exempelvis via ett script som hämtar och arkiverar uppdateringar via RSS.

Sammantaget innebär det här en säkerhetsnivå som vi tycker är acceptabel.

--
Stefan Pettersson

Nyare inlägg
RSS 2.0