Kristoffer Qvists blogg om allt möjligt

Etikett: Säkerhet

Säkerhet och publicitet – mina tankar

Jag lyssnade för ett tag sedan till en video från YouTube-kanalen Chris Titus Tech som fångade mitt intresse. Själva videon handlade om en säkerhetsforskare som publicerade en s.k. zero-day-bugg som fanns i fönsterhanteraren KDE. Själva buggen patchades inom 24 timmar. Säkerhetsforskaren publicerade säkerhetshålet publikt, antingen utan eller samtidigt som han tog kontakt med utvecklarteamet.

Enligt mig, och även kanalens huvudperson, så var det inte ett jättebra beslut. Framförallt handlar det om att forskaren inte gett utvecklarna tid att täppa till säkerhetshålet innan informationen gjordes publik.

Jag anser att utvecklarna bör få en chans att fixa en patch till säkerhetshålet som uppdagades. Detta innan publikation om fyndet. Jag anser att det handlar om att minimera risken att säkerhetshål inte ska kunna användas av (ondsinta) personer och/eller organisationer så länge säkerhetshålet finns. Det finns andra som (tyvärr) inte riktigt håller med denna åsikt.

Jag tycker att det är i allas intresse att säkerhetshål täpps till snarast möjligt. Samtidigt anser jag att när dessa uppdagas att utvecklaren av mjukvaran uppmärksammas på det privat, via ett meddelande eller e-post. Då minimeras risken att potentiellt ondsinta personer och organisationer får kännedom om sårbarheten innan den är åtgärdad, och därmed ökar risken för att dessa utnyttjar den. Jag säger inte att det är en garanti för att sårbarheterna inte kommer att användas, däremot tänker jag att färre ondsinta personer blir medvetna om det och därigenom blir det färre som riktar illasinnad kod mot sårbarheten.

Därför använder man unika användarnamn och lösenord

Data”. Bild av TheDigitalWay. Licens: CC0.

I somras upptäcktes det att MyHeritage, en släktforskningssajt, råkat ut för ett dataintrång. Bland datan som har läckt ut ingår drygt 92 miljoner unika e-postadresser och hashade lösenord. Dessa skall ha varit registrerade hos MyHeritage vid 26 oktober 2017. Kreditkortsinformation skall inte ha läckt ut, då den informationen sparas på separata servrar. MyHeritage skall efter att incidenten upptäckts ha tagit alla de steg som krävs av GDPR och planerar att inom kort även implementera tvåfaktorsinloggning, skriver de i sitt blogginlägg. De uppmanar sina användare att byta lösenord.

Genom att använda samma användarnamn och lösenord på flera plattformar kan eventuella ondsinta hackare komma åt data i olika molnplattformar. Visst kan det nämnas att tvåfaktorsautenticering försvårar det något för dessa hackare, men jag anser att man kan försvåra det ännu mer.

Ett problem med många tjänster och mjukvara är att man själv inte kan styra över dess säkerhet. Man får helt enkelt förlita sig på att de programmerare som gör mjukvaran till tjänsterna gör ett så gott jobb som möjligt. Det man kan göra som användare är att använda unika användarnamn och e-postadresser på olika tjänster som man använder.

Problemet som gemene man kan uppleva här är förstås att det är något svårt att hålla reda på samtliga konton om det är unika e-postadresser till samtliga nya konton. Men genom att åtminstone ha ett par e-postkonton till sitt förfogande utökar man attackvektorn något, vilket leder till att färre konton potentiellt riskerar att bli påverkade. Detta till följd av att hackare använder användarnamn och e-post som gemensamma nämnare för att kunna identifiera enskilda användare över flera tjänster.

Spara unika användarnamn i lösenordshanterare

Användarnamn och lösenord kan sparas i lösenordshanterare för att förenkla administrationen. Detta gör det enkelt att använda rätt inloggningsuppgifter till samtliga tjänster. Det finns förstås olika lösningar, och dessa fungerar också på olika sätt. De kostar oftast även därefter.

Personligen föredrar jag själv applikationer som finns lokalt på datorn, även om så kallade molnlösningar finns som synkroniseras över flera enheter. Vad gäller rekommendationer mm. tänker jag inte skriva i detta inlägg, eftersom det inte är dess huvudsyfte. Är man däremot i behov av att nå konton både via mobiltelefon, platta och dator kan förstås applikationer som synkroniseras med varandra över enheter vara att föredra.

Skippa säkerhetsfrågorna i kommande projekt

Bild på ett digitalt hänglås, som en person trycker på.

Säkerhet. Bild av Geralt. Licens: CC0.

Säkerhetsfrågor har förmodligen varit väldigt vanliga tidigare i olika webbprojekt. Dock finns det fortfarande idag ingen industristandard kring vilka frågeställningar man bör ha. Det i sin tur har lett till kassa frågeställningar (som i värsta fall kan vara enkla att gissa svaren på).

Jag måste använda säkerhetsfrågor…

OWASP, Open Web Application Security Project, skriver angående dessa frågor. Visst nämns några viktiga punkter om man nu behöver använda sig utav säkerhetsfrågor (men det är inget jag själv rekommenderar att ha på en sida över huvud taget):

  1. Minnesvärda säkerhetsfrågor. Om användarna inte kan minnas svaret, vad har man uppnått då?
  2. Oföränderlig. Användarna bör inte kunna ändra svaret. Exempelvis kan den man är förälskad i idag vara någon annan än den för fem år sedan.
  3. Fungera för typ alla. Alla har kanske inte träffat den rätte ännu… Eller så har man valt att vara singel? Det gäller att välja frågor som fungerar helst för alla.
  4. Säkra. Svaret på frågan bör vara svår att gissa och inte enkel att få fram via offentliga register. Vad har de flesta delat om sig på sociala medier, likt Facebook?

Vad kan användas istället?

Tack för att du frågade! Istället för tidigare nämnda saker kan man istället använda olika lösningar, såsom multifaktorautentisering. Exempel är när man använder lösenord i samband med ”Google Authenticator” då man loggar in på deras tjänster. Genom att använda sig av dessa uppfyller man ett säkert inloggningssystem enligt SS-ISO 27001:2014. Jag är medveten om att det har utkommit nyare versioner av nämnd standard 2017, dock har jag inte läst den uppdaterade versionen.

Om man använder sig utav WordPress, Joomla! eller Drupal finns det olika färdiga alternativ man kan använda. WordPress har några (gratis) tillägg i deras katalog som kan användas. Det finns även vissa som har det som premiumtillägg i en säkerhetslösning.

Joomla! har också dokumenterat multifaktorautenticering i deras manual. I och med att jag själv inte fastnat för Joomla! kan jag inte säga något om deras tillägg.

Drupal har också tillägg. I nuläget finns det ett som är stabilt för Drupal 7, men i alpha-fas för Drupal 8.

Smarta hem (och bilar) osäkra?

Grafik över uppkopplade enheter.

Network”. Grafik av: Jeferrb. Licens: CC0.

I och med att det skapas allt fler apparater inom IoT, till exempelvis smarta hem, bildas det fler produkter som är sårbara för olika typer av attacker. Hur sårbara produkterna är beror på både tillverkaren och användaren. Här gäller inte heller ”men det kommer ju inte hända mig, jag är ointressant”, eftersom sårbarheterna utnyttjas av automatiserade hot. Detta kan du läsa mer om längre ned i inlägget.

Till att börja med vill jag säga att jag upplyser om eventuella sårbarheter som kan utnyttjas. Jag uppmuntrar på inget sätt till brottsligt agerande. Blogginlägget är menat till för läsaren att ta nödvändiga steg till att säkra sina egna uppkopplade enheter/prylar. Genom detta uppmuntrar jag till proaktivt agerande från läsarens sida.

Bakgrund

Svenska YLE (en del av ett finländskt public service-bolag) skrev redan 2016 om problemet. I artikeln kan man dels läsa om ett finländskt bolags äldre automatiseringssystem som fortfarande används för värme och ventilation. Många av dessa system skall enligt artikeln använda sig utav standardlösenord och användarnamn. I artikeln nämndes även en bostadsrättsförening i Linköping som hade blivit offer för en attack. Attacken gjorde att varmvattnet stängdes av för samtliga boende i föreningen.

För några år sedan kunde säkerhetsforskare styra bilen genom uppkopplade laptops, skrev cbc.ca. År 2016 visade ett kinesiskt forskningsteam hur de kunde ta över kontrollen över en Tesla. Enligt artikeln skall Tesla ha fått kännedom på detta i förhand och därefter åtgärdat säkerhetshålen innan publicering.

Men jag bör väl inte vara intressant?

Som jag tidigare skrev, så används automatiserade system för att hitta sårbarheter. Systemen kan vara del av botnät, som skickar ut automatiserade förfrågningar. Därefter vid träff kan ”ägaren” av botnäten gå vidare med mer detaljerade attacker. Även om man inte är intressant som person , enligt sig själv, så kan ens enheter vara måltavlor för att användas i botnät.

Har du hört talas om Mirai? Det är en mjukvara som har använts för DDoS-attacker via IoT-prylar. Programvaran riktade sig in på sådant som fortfarande hade standardanvändarnamn och -lösenord satta från fabrik. Dessa enheter användes sedan för att utföra DDoS-attacker mot olika mål som ondsinta hackers kunde ha.

Skydda smarta hem (och bilar)

Vad gäller smarta bilar…

En sak som är viktig att peka ut i sammanhanget med smarta bilar, som Scientific American skriver, är att det inte är enkelt att utnyttja sårbarheter i moderna bilar. Det har tagit tid och mycket arbete för forskare att undersöka nämnda fel. Om samtliga bilmodeller som var sårbara har uppdaterats med de senaste uppdateringarna bör alltså forskarna inte kunna återskapa sina undersökningar. Det samma gäller förstås ondsinta hackers.

…och smarta hem

Vad gäller ens smarta hem så finns det viktiga steg man själv kan göra som användare. Till att börja med kan man fråga sig om man verkligen behöver den uppkopplade funktionaliteten? Om inte, så är det bättre att låta bli att koppla upp enheten mot internet.

Om du nu skulle behöva ha funktionalitet, kan det vara en bra idé att skapa ett ytterligare nätverk för enheterna. Inom nätverk kallas detta för en ”demilitariserad zon”, DMZ. Detta nätverk bör inte ha någon åtkomst till ditt huvudnätverk. Hur man kan åstadkomma separata nätverk kan ske på två sätt; dels genom ett gästnätverk om routern stödjer det, eller genom att använda en ytterligare router.

Det är förstås bra (och viktigt) att alltid ändra lösenordet på samtliga sina IoT-enheter efter att man köpt dessa.

© 2022 qvi.st

Tema av Anders NorenUpp ↑