Göm strömkabeln!

När vi ändå är inne på polisbilar; Police laptop stolen from cruiser parked at dealership:

A police department laptop computer containing "a fair amount of records" was stolen from a marked cruiser and an on-board camera was damaged while the cruiser was left at an auto dealership for service, said Chief Jon Tretter.
[...]
The police chief said he's been advised that it's unlikely anyone could access personal information stored on the stolen laptop because the battery is so old it barely functions without a companion power cord.
[betoning tillagd]

Tack till Martin dF för tipset! Trevlig helg!

--
Stefan Pettersson

Insiders, outsiders och övervakning

Sent i höstas försökte en person (Herve Falciani) på IT-avdelningen på franska banken HSBC att sälja information om kunder till myndighetspersoner i Frankrike som jagar skattesmitare. Läs mer till exempel här:

"It is now clear that the theft, which was carried out by an employee of the IT department about three years ago, could concern about 15,000 current clients whose accounts were opened in Switzerland before October 2006," said Alexandre Zeller, CEO of the Swiss branch of the bank.

Två intressanta saker:
  1. Det här är ett (ovanligt) exempel på en riktig insiderattack.
  2. Det upptäcktes inte av banken utan av någon annan som sedan berättade det för dem. Tre år senare. Det här är vanligt däremot.
Jag har tidigare skrivit om insiders, bland annat att vad man kan göra åt det men också att anställda egentligen inte är det största problemet. Den andra punkten som också har berörts här var när Verizon kom ut med sin Data Breach Report 2009 där det sades:

69 % av intrången upptäcktes av tredje part

Det här betyder helt enkelt att det ringer, man plockar upp luren och hör något av nedanstående:

- Hej, någon från en av era IP-adresser sitter och gissar lösenord till vårt VPN.
- Hej, jag hittade just några av era interna dokument på Rapidshare.
- Hej, en kopia på databasen från ert CRM lades ut på Flashback i morse.
- Hej, det står "Hacked by Dr. Hacker!" på en av era hemsidor.
- Hej, jag blev just kontaktad av en snubbe som ville sälja en lista på era kunder till mig.

Ni fattar.

Man kan aldrig stoppa alla attacker hela tiden, så är det. Kvar finns upptäckt och reaktion. När någon har tillgång (oavsett om det är webbapplikationens tillgång via SQL-injection, administratörens p g a det svaga lösenordet eller om personen är administratören) är all bets off. Det enda som finns kvar är att upptäcka det och göra något åt det. Övervakning kan täcka alla tre scenarier och beroende på hur det implementeras innebär det stark eller svag accountability.

Det finns bara en sak som är värre en att bli hackad, det är att bli hackad och inte upptäcka det (något förenklat förstås). Glad påsk!

--
Stefan Pettersson

Myndigheter i UK i farten igen

Det har tidigare skrivits här om hur det brittiska parlamentet blivit hackade och att MI6 har tappat bort USB-minnen. Nu var det dags igen. Händelsen är väl inte sensationell men de två föregående förtjänar sällskapet.

Government Communcations Headquarters (GCHQ) har sedan 2005 förlorat 35 laptops varav tre stycken var klassade för "Top Secret"-klassad information. Det är rimligt att anta att den klassningen kräver kryptering men å andra sidan är de hot som en sån här myndighet ställs inför betydligt värre än your-average företag. Kraven på att krypteringen görs rätt borde med andra ord vara rätt höga.

--
Stefan Pettersson

MI6 tappade bort ett okrypterat USB-minne

(Publicerad 2009-05-08)

Uppgifter har kommit fram om att en kvinnlig agent 2006 tappade bort ett USB-minne med topphemlig okrypterad information. Som ett resultat behövde mångmiljonoperationen ställas in och agenter flyttas om då deras liv riskerades.


Man upphör aldrig att förvånas. Tydligen har MI6 inte varit ett dugg bättre än det svenska försvaret som också tappade bort ett okrypterat USB-minne förra året.

Inte ens de som har mångmiljon-investeringar, en tradition av säkerhet och hemlighållande och där människors liv står på spel klarar tydligen av något så "avancerat" som att kryptera sin data. Herregud!

Hur man kan tillåta så känslig information ligga okrypterad på något så lättappat som USB-minnen är bortom mig. Att varken någon inom organisation eller någon ansvarig politiker reagerat tidigare är fullkomlig skandal!

Har man svårt att hitta budget för att köpa in kommersiell mjukvara eller hårdvara så finns ju för tusan gratisalternativ som TrueCrypt. Kvar finns bara eventuell lösenordshantering, något som dessa organisationer bör vara väldigt vana vid. Jag ser verkligen INGA godtagbara ursäkter för det inträffade. In med lite nytt fräscht tänkande - och låt er gärna inspireras av hur drogkartellerna sköter sin säkerhet.
  1. Kryptera
  2. Lösenordshantera
  3. Plocka in nytt blod
Ett exempel på hur lösenordshantering INTE skall skötas kommer även det från Storbrittanien. Då hade man tejpat fast lösenordet på USB-minnet. Lättanvänt, men inte så smart...

--
Carl-Johan "CJ" Bostorp

USA ligger före, Sverige efter

(Publicerad 2009-02-06)

Efter att Obama blivit president har Homeland Security fått direktiv att skydda informationsnätverk. En punkt i detta är "Mandate Standards for Securing Personal Data and Require Companies to Disclose Personal Information Data Breaches". Det liknar vad Kalifornien och 43 andra stater redan har, och vad Sverige också borde ha.


Obama har gjort gott på sitt vallöfte om att lyfta informationssäkerhet som en fråga för landets säkerhet. På vita husets webbsida för homeland security kan man numera se sex olika punkter som ska förstärkas. Mycket föredömligt. Det är ett ämne i sig som jag kommer återkomma till, och jämföra med hur det ser ut i Sverige. Men idag är det bara en av punkterna som behandlas här.

Debatten som funnits rör huruvida lagstiftandet verkligen gör nytta. Å ena sidan hävdas att:
  • Genom tvingande att offentliggöra ges incitament att förbättra säkerheten.
  • Varje person har rätt att veta om deras personliga data kommit på drift.
Å andra sidan argumenteras det mot det för att:
  • Sannolikheten för att bli offer för identitetsstöld efter ett intrång är mycket låg, kring 2%
  • Ett offentliggörande skulle inte kosta så mycket i förhållande till vad som redan lagts ut.
  • Marknaden kanske sköter det själv genom att konsumenter väljer att gå till de som är schyssta och självmant meddelar när de haft intrång.
  • En desensiteringsprocess skulle sättas igång och konsumenterna skulle inte längre reagera efter ett antal intrång offentliggjorts. [Tänk: vargen kommer!]
Jag som jobbar med IT-säkerhet ”ute på fältet” kan bara konstatera att oavsett vilket så är varje intrång en källa till mycket värdefull information. Vid varje intrång kan man se exakt vad som har gått fel i de förebyggande åtgärderna. Det är värdefull information för alla. Dessutom får man publika exempel på att saker faktiskt händer, vilket behövs för att bemöta ”det händer inte mig”-attityden. Faktum är oftast: det händer flertalet, det kan hända dig, det kan ha hänt dig utan att du märkt det.

Utöver det så har jag lätt att hålla med om argumenten för lagstiftning, medan argumenten mot känns väldigt tama, långsökta och felaktiga.

--
Carl-Johan "CJ" Bostorp

RSS 2.0