Black Hat USA 2011: dag 2

Dagen inleddes med att ikonen Mudge höll keynote med fokus på hans arbete för amerikanska staten (DARPA) där han började arbeta för något år sedan. Ett av hans första "stordåd" är Cyber Fast Track, möjligheten för små företag och enskilda grupper (läs: hackergrupper á la l0pht) att få statlig finansiering för forskning och utveckling. Teoretiskt har det varit möjligt att göra det förut, det har bara varit sådär byråkratiskt komplicerat som saker kan bli på myndigheter i USA. Häftigt initiativ TBH, programmet drog igång någon dag innan Blackhat, återstår att se vad som kommer från det. Kommer "statliga" hacker spaces att få en uppsving?

Mudge pratade förstås om fler saker, bl a ett fenomen som ligger mig nära om hjärtat. Jag har länge tyckt att Microsoft borde släppa Word/Excel/Powerpoint Light. Jag skulle hävda att bara någon procent av användarna utnyttjar mer än några procent av funktionaliteten i Office-paketet. Mudge jämförde det med sportbilar där man fick betala mer för de som var lättare (titan och kolfiber) men färre funktioner (ingen AC, inga fönsterhissar, ingen cruise control). Det handlar om att minska attackytan: dagens säkerhetsprogramvaror blir bara större och mer komplicerade för varje år medan medelantalet rader kod för malware fortsätter att vara 125 (tydligen). Jag vet inte om jag tycker att den beräkningen går att rättfärdiga men poängen är oantastlig.

Talet innehöll även ett utlägg om hur författare av malware och antivirusföretag spelar varandra i händerna. Nähä?

Malware cleaning with Sysinternal tools
Resten av förmiddagen spenderade jag på workshop med Mark Russinovich från Microsoft, mannen bakom Sysinternals-verktygen. Han visade hur man ska använda Process Explorer, Autoruns och Process Monitor för att städa Windows-datorer från malware. Det fanns presentationer parallellt som var intressanta också men de tar jag på film istället. Det var i a f kul att höra hans syn på Windows; han var väldigt tydlig på punkten att han inte var inblandad i utvecklingen av Vista, bara Windows 7...

Crypto for pentesters
Thomas Ptacek och hans kollega utan namn drog en underhållande genomgång av ett fåtal av de vanliga fallgropar man hamnar i när man ger sig på kryptering. Är man elak kan man säga att om du skriver något som rör kryptering och du använder funktioner som är på lägre nivå än GnuPG- eller Truecrypt-binärerna är du ute på för djupt vatten. Det var det gamla vanliga: t ex det är inte lätt att implementera en egen MAC, så fort du slappnar av kommer padding-djuret att bita dig i rumpan. (Det  finns en anledning till att HMAC är invecklat.) Vidare är strömkrypton som bara består av en enkel XOR-operation, föga överraskande, svaga. Det man egentligen implementerar är det gamla polyalfabetiska Vigenére-kryptot, först känt som "le chiffre indechifférable". Det var många, många år sedan Kasiski knäckte det (det stod sig dock i många hundra år innan). Testa dig fram statisktiskt hur lång nyckeln är, dela upp meddelandet i ett alfabet för varje tecken i nyckeln, fortsätt som för monoalfabetiska chiffer, space är vanligast därefter kommer bokstaven E o s v.

Matasano, där Ptacek arbetar, har publicerat ett wargame där man kan öva på att knäcka liknande kryptoimplementeringar. Ett fantastiskt initiativ måste jag säga, om jag bara kunde hitta länken också...

Faces of Facebook
Pudelns kärna: Alessandro Acquisti från Carnegie Mellon visade hur han och hans team hade lyckats kombinera ansiktsigenkänning, Facebook och Internetsökningar för  att kunna rikta mobilkameran mot en person (á la augmented reality) och få upp personens namn, SSN, DoB, adress, intressen och sånt. Riktigt imponerande arbete.   Det såg ut som att det var fler än jag som filmade under demot så det kanske dyker  upp något på YouTube. Man behöver ingen vidare fantasi för att se vad något sånt här kan komma att användas till. The future is both exciting and terrifying.

Chip & PIN is definately broken
Avslutade dagen med att gå på en presentation som fortsätter på samma spår som gänget från Cambridge stakade förra året. I korthet, med hjälp av MITM mellan ett EMV-kort och en EMV-terminal kan man plocka upp PIN-koden. Detta _ska_ inte vara möjligt p g a kryptering, när terminalen och kortet ska komma överens om hur PIN-koden ska överföras skickas en signerad lista på vilka metoder som accepteras över (inte olikt hur SSL fungerar). Även om överföring av PIN i klartext inte finns med i listan kan detta läggas till av MITM-shimmen, förändringen accepteras trots att signaturen inte stämmer(!). Som MITM kan man alltså alltid tvinga fram klartextöverföring av PIN-koden och sedan spara den. Skrämmande nog har tydligen sådana här makapärer (trojanade EMV-terminaler) rapporterats in till polisen redan under 2008. Jag återkommer om det här.

--
Stefan Pettersson

Black Hat USA 2011: dag 1

Det var en ganska bra line-up under onsdagen, totalt kördes nio parallella tracks: bit flow, threat intel, next-gen web, breaking software, embedded exploitation, deeper analysis samt två workshop-spår.

Keynote
Morgonens keynote-talare var Cofer Black, en välrenomerad herre med 28 år inom underrättelsetjänsten bakom sig; CIA counter-terrorism (CT). Han inledde helt oblygt med att berätta att han för tio år sedan, den 5 augusti 2001, var talare på en liknande scen, Black var då chef för CT-avdelningen, och att han då (kanske lika oblygt) konstaterade att det fanns individer som var motiverade att genomföra ett stort attentat mot amerikaner, möjligen i USA. Vi vet alla vad som hände ungefär en månad senare. Han blev alltså, enligt egen utsago, inte förvånad den 11 september 2001.

Ett av Blacks huvudspår i sitt anförande var svårigheten (1) att validera hot och (2) att få överordnade att förstå/acceptera att det finns hot. Det senare ett problem som vår bransch alltså delar med underrättelsetjänsten. "[The need for] validation of threats and attacks will come to your world", sade han uttryckligen. Ja kanske det. Kanske den dag vi har kommit så långt att vi inte behöver oroa oss över den småbrottslighet som står för majoriteten av alla attacker.

Vidare föreslog han att den bekanta förkortningen CBRN: chemical, biological, radation, nuclear; borde bytas ut mot KBC: kinetic, bacteriological och... cyber. Som exempel på kinetic attacks gavs hotellen i Mumbai för några år sedan samt the DC Sniper. Naturligtvis faller även attacken på Utöya i Norge här. Bakteriebiologiska attacker har dessutom tydligen blivit mycket enklare på sista tiden. Slutligen pekade han på Stuxnet. "The Stuxnet attack is the rubicon of the future", tillsammans med en kommentar om att det p g a kostnaderna måste ha varit en stat som legat bakom... Det som imponerade på Black verkade vara övergången från mjukvara till fysisk förstörelse i verkligheten.


War Texting
Don Andrew Bailey från iSEC Partners visade vad han hade hittat för problem i de gränssnitt vissa inbyggda system har mot mobilnätet. Huvuddemot i presentationen, som var omtalat, var att de låste upp och startade en Subaru över mobilnätet genom att skicka SMS till larmsystemet. Häftigt och väl genomfört av Bailey men knappast oväntat, man kan känna sånt här på sig. Det är typiskt att sådana här system har levt i skyddad verkstad bara för att ingen har tittat efter ordentligt och så fort någon sätter sig ner och tittar visar det sig vara en hel del damm bakom soffan.

Jag gillade särskilt exemplet med Zoombak, en liten dosa med GPS som man kan lägga i bilen eller dotterns ryggsäck för att sedan kolla var de befinner sig med hjälp av en webbsida. Genom att replaya SMS-meddelanden (i vilka en IP-adress har ändrats) kunde han lura dem att rapportera in till honom över Internet. Det var också möjligt att, missade hur det gick till exakt, flooda Zoombak med felaktiga         koordinater så att din bil ser ut att stå i Afghanistan. Utvecklat i skyddad verkstad.

Det är svårt att överblicka hur stort problem det här är. Om man dock betänker hur billiga sådana här kretsar är och hur praktiskt det är att kunna fjärrstyra något från i princip varsomhelst så kan man anta att de sitter i många, många system. En stor anledning till att problemet med just dessa gränssnitt är att utvecklare blir  tvungna att designa protokollen själva, något som är långt från trivialt. Det är bara att acceptera att allt som kan angripas per definition är säkerhetssystem; om  det sedan är en brandvägg, tunnelbanespärr eller Daughter Tracker 2000 är egalt.

Hacking Google ChromeOS
Matt Johansen och Kyle Osborn från Whitehat Security hade fått prestigeuppdraget att göra tester mot Googles nya operativsystem ChromeOS. Ur användarens synvinkel gör ChromeOS egentligen bara en sak; kopplar upp mot Internet och öppnar en Chrome-browser. Det finns ingen åtkomst till filsystem eller liknande utan detta är tänkt att skötas med molntjänster över webben.

Det första de började kika på var extensions till Chrome (browsern). Dessa är inte att likställa med add-ons till t ex Firefox, extensions är mer som vanliga webbapplikationer.

Faktum är att de hittade ett väldigt allvarligt problem: extensions till Chrome kommer med särskilda rättigheter som säger vilka URI:er de får kontakta och det är utvecklarna själva som sätter dessa (patterns i stil med http|https://*/* förekommer med andra ord). Om en extension med lössläppta rättigheter har en cross-site scripting-sårbarhet och en angripare kan utnyttja detta mot dig kan de injicera JavaScript i alla sidor du har öppna.

Alltså, en extension som har *://*/*-rättigheter och inte kodar utdata som kommer från en angripare är att likställa med att det finns XSS-sårbarheter i alla sidor du besöker.

Ett kortare recept: (1) hitta extensions där du har möjlighet att skicka indata, RSS-läsare, mailklienter o s v, (2) välj ut alla som har galna rättigheter, (3) leta efter cross-site scripting-sårbarheter. (Ironiskt nog tänker jag mig att de med *-rättigheter också har XSS-sårbarheter i större utsträckning än andra extensions.)

Google har tydligen ett par idéer om vad de ska göra åt (det svåra) problemet. Spontant känns det som att * borde förbjudas helt för domäner, möjligen att subdomäner som *.domän ska vara tillåtet. Det är dock många intressen som spelar in här (jag har säkert missat någon anledning till att tillåta *-domäner) där en kan vara strävan att ta marknadsandelar. Om det är skitjobbigt att få din applikation att fungera p g a komplexa rättigheter kommer du utveckla för någon annan, om du utvecklar för någon annan kommer användare att köpa av någon annan. Business á la Facebook...

Black Ops of TCP/IP 2011
Dan Kaminsky var tillbaka med ännu en installation av sin gamla hederliga Gott & Blandat-presentation. Årets upplaga innehöll lite BitCoin, lite UPNP, lite klassisk IP spoofing samt hur man kan upptäcka att man är "utsatt" för net neutrality. Innehållet var halvintressant, jag går dock slaviskt och tittar på Kaminsky för att insupa den obegränsade glädje han utstrålar över att göra det han gör. Han får mig  att _vilja_ sätta mig i två veckor och titta på packet captures. :-)

Apple iOS 4 Security Evaluation
Dino Dai Zovi från Trail of Bits har gjort ett hästjobb med att reversa iPhones operativsystem. Presentationen behandlade några av de säkerhetsfunktioner som kommer med moderna iOS-versioner (>= 4.3): ASLR, NX, kodsignering, sandboxing och datakryptering.

En intressant finding var att väldigt, väldigt få av alla tredjepartsappar är kompilerade position-independent så att de täcks av ASLR helt och hållet. Ingen av de som är listade topp tio, inte ens Angry Birds. (Det här är ett generellt problem med ASLR.)

Vidare gladde det mig att han konstaterade att stulna eller förlorade enheter utgör den största risken. Om du är någon av mina kunder har du hört mig säga det många gånger, att Dino säger det har dock betydligt mer tyngd.

Några avslutande konstateranden angående iOS: använd iPad 2 (det finns inga boot ROM exploits), vänta på iOS 5 innan ni inför det på företaget, BlackBerrys dataskydd är mycket mer sofistikerat, iPhone 3 borde inte tillåtas på företag, Android saknar både NX och ASLR samt har ett svagare kodsignering och dataskydd.

--
Stefan Pettersson

Fear and loathing

Första veckan i augusti går konferenserna Black Hat Briefings USA 2011 och Defcon 19 i Las Vegas, Nevada. Jag och kollega Per-Åke aka Pelle ska dit och representera. Viss information overload gör det dock svårt att förutse vad som väntar. Det skulle nästan krävas en heldag att sätta sig in i allt som försigår under bara Defcon, till det kommer sedan Blackhat, som är avsevärt smalare, och hela Las Vegas för den delen.

 

 

Det vankas många bra presentationer; jag ser särskilt fram emot Chip & PIN is definately broken, Black Ops of TCP/IP 2011, Sticking to the Facts: Scientific Study of Static Analysis Tools, SSL And The Future Of Authenticity och flera andra...

 

Vi får se hur mycket bloggande som är möjligt under veckan, om inte annat borde det finnas en hel del trådar att dra i efteråt. Hoppas att ni har eller får en bra semester så länge!

 

--
Stefan Pettersson

Säkerhetskryssning: incidenthantering

Tillbaka från Dataföreningens årliga säkerhetskryssning, i år på temat incidenthantering. Helgen började på söndagen vid lunch med introduktion och föreläsning i DF:s lokaler på Vasagatan. Schemat var sedan rätt späckat efter att Birka Paradise äntrats vid fyratiden ända fram till lunch på måndag. Konferensen var väl inte allt det jag hoppats på men hade sina höjdpunkter:

Peter Jonsson från Seccredo talade om krishantering generellt med fokus på hur människor reagerar och bör hanteras. Han berättade bl a (något flyktigt) om Morgan & Stanleys säkerhetschef Rick Rescorlas arbete kring 9/11, en riktigt kärv lirare. Det är lätt att bli rörd när man läser om Rescorlas insatser.

Bosse Norgren från Rikskrim underhöll som vanligt med sin bister-humoristiska syn på tillvaron som polis och vad man bör tänka på när man ska kontakta ordningsmakten vid en IT-incident. Norgren var bland annat ledande i utredningen om hotet mot KTH i mars i år. Man kan inte tvinga någon att uppge sitt lösenord men tydligen kan nationella insatsstyrkan främja frivillighet...

Chaterine Rudström, kammaråklagare på Åklagarmyndigheten i Uppsala berättade ingående om polisens begränsningar gällande husrannsakan i IT-system. Det verkar onekligen som att husrannsakningar i "molnet" är ett rejält problem för tillfället...

Dag Öhrlund berättade (sent) på kvällen om hur det är att vara deckarförfattare (Dag har bland annat deckarromanen Mord.net på sitt samvete). Under helgen kom också många tips om hur man hanterar (och framförallt hur man inte bör hantera) journalister som ställer jobbiga frågor.

--
Stefan Pettersson


För mycket fritid?

Investera i så fall i några av presentationerna från den excellenta konferensen Shmoocon som går i början av varje år på USA:s östkust. Video och slides från konferensen finns att ladda ner.

Några ödmjuka rekommendationer
Wifi Security, or Descending into Depression and Drink med Mike Kershaw. Mike är skaparen av Kismet och bör därför anses vara något av en auktoritet på området.

GSM: SRSLY? med Chris Paget och Karsten Nohl är bra om man vill ha det senaste om hur det går för GSM:s A5/1 (spoiler: inte så där superbra). Joachim Strömbergson har skrivit om dessa attacker tidigare, bra introduktion.

Tales from the Crypto med G. Mark Hardy. Mark har ett fett CV och har nog många intressanta historier i bagaget. (Update: glöm vad jag sa, inte så intressant.)

Better Approaches to Physical Tamper Detection med Roger Johnston och Jon Warner borde vara väldigt intressant för den som är intresserad av säkerhet på bredden. Jag tror att Roger Johnstons bok Security Sound Bites är bra (hinner förhoppningsvis med den under sommaren).

--
Stefan Pettersson

Aftermath Pwn2Own 2010 Dag 1

Man är mer eller mindre tvungen att hålla med The Register om resultatet. De inleder sin artikel med "It was another grim day for internet security at the annual Pwn2Own hacker contest Wednesday [...]":

Safari på OS X
För tredje året i rad använde Charlie Miller ett av sina, enligt utsago, 20 fungerande exploit till Safari på Snow Leopard för att plocka hem en Macbook. Det verkar inte som att exploitet var särskilt märkvärdigt men gjorde uppenbarligen jobbet.

Safari på iPhone
Trion Halvar Flake, Vincenzo Iozzo och Ralf-Philipp Weinmann lyckades utnyttja ett säkerhetshål i Safari på en iPhone och tog sig förbi kodsigneringskravet i operativsystemet genom att stuva om befintlig kod i minnet istället för att använda shellcode. Metoden bygger på samma princip som return-to-libc. Läckert!

IE 8 på Windows 7
Om något av bidragen ska anses som en skräll är det väl Peter Vreugdenhil som gick på tjuren direkt och passerade två av mina favorit-skydd DEP och ASLR i Windows 7 genom ett hål i IE 8. Tricket gick vägen genom att använda synergier med ett annat säkerhetshål. Peter har dokumenterat det hela; rejäl minneskorruptionsporr (pdf). Också läckert!

Slutsatser
Att utnyttja säkerhetshål på de här plattformarna, i synnerhet i de två sista fallen, är kolossalt svårt idag på grund av bättre kvalitet i utvecklingen och generiska skydd som DEP och ASLR o s v. Men, om det finns tillräckliga incitament för riktigt vassa lirare att titta på problemen så kan de knäcka dem.

Om man står på den försvarande sidan ska man alltid komma ihåg: det är relativt billigt att hindra majoriteten från att lyckas men det är snordyrt att hindra de riktigt duktiga. Förmodligen är det för dyrt. Var går gränsen då, undrar du. Ja, då är vi tillbaks på att-mäta-säkerhet-spåret, det där jag har lovat att återkomma till. Det ska jag fortfarande.

--
Stefan Pettersson


Den fjärde årliga Pwn2Own-tävlingen

Uppdatering @ 15:18: Några timmar kvar nu, följ händelserna live på Twitter under #pwn2own.

Imorgon startar konferensen CanSecWest i Vancouver och med detta även tävlingen Pwn2Own som anordnas av TippingPoint. Förra året skrev jag om denna tävling när Charlie Millier plockade hem en Mac efter att ha utnyttjat ett säkerhetshål i Safari.

Vi får se hur det går imorgon. Tills dess kan ni underhålla er med andra, relaterade inlägg om till exempel Lisbeth Salander och penicillin.

--
Stefan Pettersson

Early bird i två veckor till

OWASP AppSec Research Stockholm 2010 går av stapeln 21-24 juni på Stockholms universitet. Det är två veckor kvar av den billigare "early bird"-registreringen. Passa på att registrera!

--
Stefan Pettersson


CFP deadline för OWASP AppSec Research 2010

På söndag är sista chansen att skicka in bidrag till OWASP AppSec Research Stockholm 2010.

Mer exakt är deadline den 7 februari 23:59 "Samoa time" det vill säga när sista delen av jordklotet blir måndag. Samoa time ligger 12 timmar efter oss i Sverige så här har vi fram till 11:59 på måndagen att skicka in bidrag.

Konferensen tar emot tre typer av bidrag:
  • Publish or Perish: Granskade 12-sidors forskningsuppsatser som kommer att publiceras formellt av Springer Verlag.
  • Demo or Die: Framförs som en vanlig presentation men ska fokusera på ett demo av ett program till skillnad från en Powerpoint-serie. Bidraget ska bestå av en helsidas sammanfattning och skärmdumpar.
  • Present or Repent: Presentationsbidrag ska bestå av en "extended abstract" om två sidor.
På konferenssajten finns utförliga instruktioner för hur bidrag ska skickas in.

 

--

Stefan Pettersson


Att mäta säkerhet på Internetdagarna

(Publicerad 2009-11-06)

I veckan höll .SE sin stora, årliga konferens Internetdagarna på Folkets hus i Stockholm. En workshop hölls under rubriken "Measuring the health of the Internet".

Jag var inbjuden för att delta i rundbords-diskussionen om att mäta säkerhet. Ett sjukt svårt ämne, tyvärr. Man kan säga att forskningen på området till stor del drivs av Dan Geer. En ärrad veteran som var med under Project Athena och (bland annat) är känd för att ha sparkats från @stake efter att ha kritiserat deras största kund; Microsoft. Rapporten som resulterade i avskedet, en intervju av Gary McGraw.

I en presentation berättar Geer om hur han konfronterades med en Chief Information Security Officer från en stor Wall Street-bank. CISO:n sade "Är ni säkerhetsfolk så korkade att ni inte kan berätta för mig...":
  • Hur säker jag är?
  • Om jag har det bättre i år än vid samma tid förra året?
  • Om jag spenderar rätt mängd pengar på säkerhet?
  • Hur jag har det i jämförelse med andra i branschen?
"Om jag hade varit på någon annan avdelning på banken, obligationsportföljer, aktiehandelsstrategier eller prissättning av derivat så hade jag kunnat besvara frågorna med fem decimalers nogrannhet."

Det är svårt att mäta säkerhet. Alla är överens om att det vore väldigt bra att kunna göra det. Det skulle leda till att vi kan kontrollera hur mycket säkerhet vi får för en viss peng, det skulle vara möjligt att kontrollera om säkerheten har blivit bättre eller sämre efter en förändring, det skulle vara en barnlek att jämföra olika system och så vidare. Framförallt; om vi kan mäta så kan vi sätta en gräns för vilken säkerhet som är tillräckligt bra och hålla oss till den. Som (svenska) kunder alltid säger; vi vill inte ha fullständig säkerhet, vi är ingen bank, vi vill ha lagom.

Mätning kräver en mätenhet och en kvantitet av detta så frågan är egentligen; vilken mätenhet ska vi använda?

Tyvärr går det inte att jämföra med att räkna pengar, mäta avstånd, väga vikter eller andra, konkreta mätningar. Säkerhet är oerhört komplext och abstrakt, det finns ingen naturlig enhet.

Vi sänker ambitionsnivån lite. Vi fokuserar på mindre system, inte en hel Bank utan kanske en applikation.

Den populäraste enheten är utan tvekan "antal upptäckta sårbarheter". Den användes till exempel av Microsoft under 2007 för att påvisa att Internet Explorer var säkrare än Firefox (pdf). Microsofts rapport möttes av en del kritik...

Tyvärr är enheten "antal upptäckta sårbarheter" pinsamt ofullständig. Många frågor väcks genast:
  • Hur många letade?
  • Hur länge letade de?
  • Hur duktiga var de?
  • Hur stort är systemet?
  • Hur komplext är systemet?
  • Var slutar systemet?
  • Hur allvarliga var sårbarheterna?
  • Hur svåra är sårbarheterna att utnyttja?
  • Under hur lång tid gick de att utnyttja?
  • Kommer nya sårbarheter att introduceras? Vad gäller för dessa?
  • ...
Om vi ska ta hänsyn till dessa och alla andra faktorer som spelar in kommer vi att få en rejält komplicerad enhet i knäet. Med all sannolikhet kommer vi aldrig komma till den punkten eftersom det i princip är omöjligt att bestämma relationen mellan alla dessa faktorer. Man skulle lugnt kunna säga att fåniga enheter i stil med newton-ampere-sekunder-per-kilogram-kvadratmeter skulle kännas fullständigt naturliga i jämförelse...

Vi backar och förenklar ytterligare en aning. Kan vi mäta enskilda säkerhetshål?

Om vi kan bryta ner en tänkt, komplicerad mätenhet i flera, enkla enheter som genom någon relation till varandra motsvarar den komplexa borde det underlätta.  Det är lätt att se hur felbedömningar är ovanligare om mätvärdet är simpelt och väldefinierat, kanske till och med diskret. Ju fler enkla mätvärden som kombineras desto mer exakt blir i sin tur kompositvärdet.

Ett exempel på detta är Common Vulnerability Scoring System (CVSS). CVSS används för att värdera hur allvarlig en sårbarhet är genom att göra en beräkning utifrån 14 värden fördelade i tre grupper. Varje värde är diskret, det finns mellan fyra och fem alternativ för varje.  Resultatet efter beräkningen av CVSS är ett värde mellan 0 och 10 och en "CVSS-vektor" som beskriver varje delvärde.

Jag rundar av det här innan det svävar iväg för lå(n)gt. Området är svårt och, åtminstone jag, känner att det verkar rätt hopplöst. Lyckligtvis är det inte såna som jag som arbetar med det. Jag kommer att fortsätta på ämnet en uppföljande post.

Trevlig helg!

--
Stefan Pettersson

Sundsvall 42

(Publicerad 2009-10-16)

Tillbaka från Sundsvalls årliga konferens Sundsvall 42. Materialet online.

Mitt bidrag Murphys onda tvilling finns att ladda ner här (pdf). Presentationen finns att kolla online på Prezi.

Presentationen ingick i utvecklings-tracket (B.6, 10:00-10:40 på torsdagen) och fokuserade på sju stycken fundamentala principer för hur säkra system ska designas:
  • Minimize attack surface.
  • Don't mix code and data.
  • Security features != secure features.
  • Fail safe.
  • Minimize feedback.
  • Use least privilege.
  • Never trust external systems.
Trevlig helg!

--
Stefan Pettersson

Gästbloggar om konferenser i Krakow

(Publicerad 2009-05-18)

Jag och CJ har varit en vecka i Krakow på två konferenser.

Först deltog vi OWASP AppSec 2009 och sedan den polska konferensen CONFidence 2009. Vi rapporterade om de presentationer vi såg på OWASP Swedens blogg.

--
Stefan Pettersson

OWASP AppSec Europe 2009, keynote första dagen

(Publicerad 2009-05-13)

OWASP AppSec i Krakow, Polen har börjat. Första dagens keynote ges av Ross Anderson från universitetet i Cambridge.

Ross är en av mina stora förebilder i branschen, precis som Schneier har han en väldigt bred och klar syn på säkerhetsfrågor.

Security economics
Inte helt oväntat så fokuserade Ross på ekonomiska aspekter av säkerhet. Han, och ett gäng andra forskare, kallar området för "security economics". Den centrala idén är upptäckten att system ofta inte brister av tekniska skäl utan på grund av att incitamenten att skydda dem ligger på fel personer. Den eller de personer som har bäst möjlighet att göra ett system säkert är inte samma person eller personer som lider av dess säkerhetsbrister.

Security economics kan förklara många av de fundamentala problem som finns inom säkerhet. Varför skulle en användare betala för antivirus när det skyddar mot malware som attackerar Microsoft (masken Blaster)?  Masken utnyttjar ju till och med säkerhetshål som Microsoft själva är ansvariga för.

Är säkerhet kommersiellt irrationellt?
Utvecklarnas incitament för säkerhet är i direkt konkurrens med vad som är kommersiellt rationellt. På 90-talet (innan de ägde marknaden) hade Microsoft (enligt utsago) talesättet "We'll ship it on tuesday and get it right by version 3". Det låter illa men när man tänker efter är det helt rimligt. Att ta marknaden  fort genom att tillfredsställa kunder och därmed få stor användarbas leder till att utvecklare vill göra sina program för plattformen. Stort utbud av programvara leder sedan till fler användare. Cirkeln är sluten.

Så, hur lockar man användare? Funktionalitet. Hur lockar man utvecklare? Besvära dem inte med säkerhet. Användarna får ta kostnaden för säkerhetsproblem. Facebook-grundaren Mark Zuckerberg (som också har tagit över sin marknad totalt) formulerade sig så här:

"Growth is primary, revenue is secondary."

Det handlar alltså om klassisk "customer-lock-in". Om vi hoppar framåt lite:

När man tänker på ett systems säkerhet bör man alltså ta reda på vem som har störst möjlighet att göra det säkert alternativt försvara det. Krasst sett är det den personen som borde få lida för eventuella säkerhetsbrister.

Här ligger lagstiftning om att hålla utvecklingsföretag ansvariga för säkerhetshål  väldigt nära. Det är ingen idé att skriva något om detta här, Bruce Schneier har förstås redan beskrivit det hela mycket väl:

Information Security and Externalities

Software Makers Should Take Responsibility

--
Stefan Pettersson

RSS 2.0