Dignatio
  • Tjenester
  • Penetrasjonstesting
  • Forensics
  • Datagjenoppretting
  • Datasletting
  • Kontakt oss
  • Sosialt ansvar

Dignatio AS

Det vi vet, har DU Godt AV!

Den brysomme datafyren & Smittestoppmysteriet

18/4/2020

0 Comments

 
Picture

​Det har vært stort engasjement rundt ulike meninger om smittestopp-appen. Jeg har fått både klapp på skuldra og spark i baken, om enn digitalt, siden jeg delte grunnlaget for min skepsis i går. Som mange andre er jeg svært bekymra for situasjonen vi er i og jeg er absolutt ikke imot at vi skal delta i en digital dugnad for å bli kvitt denne djevelskapen av et virus. Det jeg er derimot sterk motstander av at vi skal finne oss i arroganse fra FHI´s side. Det er altså ikke Erna jeg har en beef med, men sjølvaste FHI. 
 
Det må gå an å ha flere tanker i hodet på en gang. Jeg tviler ikke på at teknologi kan være med på å bremse smitteutvikling, men det betyr ikke at man skal være ukritisk til de avgjørelser som er tatt. Det må være lov til å stille spørsmål og man bør kunne forvente å få svar. Det hadde vært såre enkelt for FHI å legge korta på bordet uten at det ville utgjort en økt sikkerhetsrisiko. Det går fint an å liste opp hvilke bransjestandarder som ligger til grunn, hvilke testregimer som er benyttet og hvilke vurderinger som er foretatt, uten å kompromittere sikkerheten. Det er også mulig å liste hva som blir logget, hvordan det blir logget og hvordan dataene er tenkt brukt. Jeg er altså hverken motstander av bruk av app, eller desentralisert lagring av data. Det handler ikke om en motstand mot teknologi, men en motstand mot hemmelighetshold rundt avgjørelser.
 
På den ene siden fremstår appen som livsnødvendig, et magisk verktøy som skal ta knekken på styggedommen. På den andre siden sier Camilla Stoltenberg, at de ikke kan si noe sikkert om hvor mange som må ta i bruk appen Smittestopp for at den skal fungere som et godt supplement til den smittesporingen som allerede pågår Hun drister seg til å anslå at 50-60% av befolkningen må ta appen i bruk. Det er helt uforståelig. Hvis man setter i gang et slikt prosjekt, bør man ha gjort visse mattematiske øvelser på forhånd for å finne ut hvor mange deltakere man behøver å få med seg, før noe gir resultat. 
 
Den eneste måten smittestopp-appen kommer til å fungere tilfredsstillende på er altså hvis nok mennesker laster den ned og bruker den. For at folk skal gjøre det, må de ha tillit til at nytteverdien er større enn en eventuell belastning. For å inngi denne tilliten i folk, må myndighetene nødvendigvis orke å besvare spørsmål og bekymringer, selv i en pressa tid. 
 
Jeg er for at folk skal kunne ta informerte valg. Det kan godt hende at dette er verdens mest geniale app, som kan bidra til å bremse virusspredning samtidig som folks personvern blir ivaretatt, men det vet vi altså fint lite om og det er der jeg mener myndighetene feiler grovt. For min del hadde det vært mye bedre om de hadde sagt «vi er i grunnen ikke så sikre på om vi har fått til dette med personvern, men håper flest mulig vil delta selv om det foreligger usikre elementer». Da kunne man i det minste fattet nettopp et informert valg. 
 
Argumentet «du deler allerede ting sosiale medier, du er overvåka», blir brukt hyppig.  Det er mulig jeg er litt sær her, men jeg forventer mer av myndighetene i et demokratisk land, enn jeg gjør av multinasjonale konsern med profitt som formål. Jeg har heller ikke blitt anbefalt av ministere eller andre myndighetspersoner å laste ned Facebook, Instagram, Google, TikTok, Linkedin, Snapchat eller noen andre sosiale medier. Det har vært mitt eget valg basert på min egen kost-nyttevurdering. Det å mistenkeliggjøre mennesker som er opptatt av personvern er fjollete. Det er nok av historiske eksempler på hvorfor personvern er en nødvendighet, uten at vi trenger å gå nærmere inn på det. 
 
For de av dere som sier, ok, så vet jeg ikke nok, men jeg velger å stole på myndighetene så er jo saken grei. Det er kjempefint at man har tillit til myndighetene. Det finnes derimot mennesker som har en god grunn til å holde personvernet mer i hevd enn andre. Advokater, leger, journalister, og psykologer er blant de som har uttrykt sin skepsis. Politiet har tatt en avgjørelse om at ansatte ikke skal installere appen før det foreligger tilstrekkelig dokumentasjon rundt sikkerhet Leger, advokater, psykologer, redaktører og journalister regnes jo normalt sett ikke til rasen grottetroll som sitter på hver sin stubbe i bjørkeskogen og drømmer opp konspirasjonsteorier. 
 
Det må være lov til å fremsette helt legitime spørsmål knyttet til sikkerhet og de vurderinger som er tatt uten at man beskyldes for å være lavpanna konspirasjonsteoretikere som ønsker å sabotere myndighetens kamp mot viruset. Det må være lov til å forvente at FHI ikke behandler befolkningen som en gjeng med trassige 5-åringer som ikke fortjener svar utover «fordi jeg har sagt at det er sånn»
 
For meg er det forskjell på debattinnlegg og det som er skrevet i stein. Jeg har uttrykt en viss skepsis på et prinsipielt grunnlag og det er jeg langt fra alene om. 
 
 
Mitt håp er at FHI kommer på banen og gir folket den informasjonen mange etterspør. Det burde være såre enkelt å få til. Hvis det av ulike grunner ikke er mulig, bør de hoste opp noen plausible og betryggende forklaringer på hvorfor det ikke lar seg gjøre. Erna, det er altså ikke deg jeg er sur på, men FHI får neppe julekort i år heller. 

Foto: Kai Hansen

0 Comments

Derfor er jeg skeptisk til smittestopp-appen

16/4/2020

0 Comments

 
Picture

I disse dager rulles det ut en app som er en del av det som beskrives som «et system for digital og automatisert sporing av nærkontakter til personer som er smittet av koronaviruset, og til å informere de personene som har vært i nærkontakt». Tanken er i og for seg hverken dum, eller uforståelig. 
 
Jeg som flere andre som jobber med datasikkerhet, er derimot relativt skeptiske til hvordan dette kommer til å fungere i praksis.  Appen er utviklet av Simula Research Laboratory som beskriver funksjonaliteten slik på sine egne sider: «Når appen er installert vil den samle data ved hjelp av GPS og Bluetooth som finnes i alle smarttelefoner. Dataene blir så kryptert og lagres i en egen, sikker skyløsning. Dersom en bruker blir konstatert smittet med viruset, vil det være mulig å spore de telefonene som har vært i nærkontakt med den smittedes de siste 14 dagene. Det sendes ut beskjed til de berørte telefonene fra helsemyndighetene, slik at eierne kan ta de nødvendige forholdsregler. Det er kun de som har valgt å laste ned appen som får varsel.
Dersom en bruker blir konstatert smittet med viruset, vil det være mulig å spore de telefonene som har vært i nærkontakt med den smittedes de siste 14 dagene. Det sendes ut beskjed til de berørte telefonene fra helsemyndighetene, slik at eierne kan ta de nødvendige forholdsregler. Det er kun de som har valgt å laste ned appen som får varsel.»

​Så hvorfor er jeg skeptisk? 
  • Det har kommet svært lite informasjon fra myndighetene om:
    • Hva som deles og lagres
    • Hvordan dette lagres
    • Hvordan det som lagres er kryptert mellom mobil og sky
    • Hvordan det som lagres er beskyttet mot datatyveri. 
    • Hvilke data anonymiseres, eller pseudonymiseres. 
  • I flere andre land har man bevisst unngått å lagre data sentralt, i Norge har man valgt en løsning der dette gjøres, uten at man har klart å rettferdiggjøre dette valget på en tilfredsstillende måte. At det gjør jobben for Simula enklere, er ikke et argument i seg selv. Av og til kan det være smart å følge med på hva kloke hoder verden over faktisk kommer fram til. 
  • I flere andre land har man valgt å ha en åpen kildekode, som er tilgjengelig for offentligheten. I Norge har man valgt å ikke gjøre dette. Fordelen ved en åpen kildekode er at folk som faktisk har peiling på sikkerhet, kan bidra til å gjøre systemet atskillig sikrere, enn det et mindre utvikler-team kan klare. En annen fordel er at ved en åpen kildekode, vil det være klart hvilke data som lagres, på hvilken måte de håndteres og så videre. 
  • Sikkerhetshistorikken til offentlige norske systemer generelt og kanskje helsesystemer spesielt, er vel ikke akkurat noe å henge i juletreet. Det har vært mer enn nok av kriser, episoder og hendelser i systemer og applikasjoner som har blitt utviklet i bedagelig tempo. Her blir vi altså bedt om å stole på noe som har blitt utviklet i hui og hast og der det meste holdes hemmelig. 
  • Både FHI og Simula Research Laboratory henviser I artikler til bransjestandarder og bruk av eksterne testkonsulenter, uten at det påpekes hvilke bransjestandarder det er snakk om, eller hvilken type tester som utføres, eller som har blitt utført. Det å foreta en skikkelig sikkerhetsgjennomgang av et system på denne størrelsen kan ta månedsvis 
 
For at jeg skal bli mindre skeptisk til dette tiltaket, må myndighetene på banen og begynne å besvare helt legitime spørsmål. Spørsmål som stilles av mennesker som vet hva de snakker om, være seg spørsmål som gjelder datatekniske spørsmål knyttet til sikkerhet, eller personvernspørsmål. Joda, det finnes argumenter både for og imot åpen kildekode. Det er helt riktig at en åpen kildekode gir slemminger en mulighet til å få et forsprang, samtidig er har vi mange dyktige sikkerhetsfolk i Norge som mer enn gjerne blir med på en dugnad. Mitt problem er at i denne sammenhengen blir befolkningen spurt om å gå med på en overvåkning vi ikke kjenner omfanget av, med metoder man ikke ønsker å avsløre, og det uten at det gis plausible bevis for at personvern og datasikkerhet faktisk er ivaretatt. 
​Foto: Kai Hansen 

0 Comments

Sikkerhetshull i kryptering av Wi-Fi

20/10/2017

0 Comments

 
Picture
Det har vært mye i mediene nå om sikkerhetshull i trådløse nettverk. Det er helt klart alvorlig og på ingen måte noe som “går over av seg selv” Det er kanskje likevel et behov for å forklare hva dette egentlig dreier seg om.

WPA og WPA2 er kort fortalt krypteringsmetoder for å sikre kommunikasjonen på et trådløst nettverk. WPA2 er den mest avanserte formen som benytter seg av en nyere standard enn sin forgjenger.

Hvis ikke du er langt over gjennomsnittet teknisk interessert har du neppe hørt om 4 way handshake, ANonce, SNonce, PMK, PTK, eller GMK. Men la meg prøve å forklare hva dette dreier seg om.

4 way handshake brukes av sikkerhetsprotokollene vi tidligere har nevnt som WPA og WPA2 for å generere en dynamiske og unike krypteringsnøkler for hver enhet som er koblet mot et trådløst nettverk. Det er to slike nøkler som blir generert PTK (Pairwise Transient Key) og GTK (Group Temporal key)

PTK blir avledet fra kommunikasjonen mellom aksesspunktet (i de fleste tilfeller en trådløs router) og enheten du prøver å koble mot nettverket, for eksempel nettbrettet ditt. En liten porsjon lynrask kommunikasjon foregår mellom routeren og enheten for å sette opp krypteringen mellom dem i unicast (unicast er et begrep som brukes i datanettverk for å betegne trafikk som går fra en enkelt maskin til en annen)

GTK dukker så opp som en ny nøkkel som routeren sender til samtlige enheter på nettverket i et BSSID (Basic Service Set IDentifier). Denne nøkkelen blir oppdatert når en eller flere enheter kobler seg fra nettverket, eller er utenfor rekkevidde. Denne nøkkelen brukes for å kryptere det vi kaller broadcast eller multicast trafikk på nettverket, der en enhet kan kommunisere med flere.

Dette har fram til nylig blitt regnet som den sikreste formen for å kryptere kommunikasjonen på et trådløst nettverk, men nå har man altså funnet ut at det ikke er like trygt som antatt. En IT-student har funnet et sikkerhetshull. Kort forklart går det ut på at man kan jukse det til slik at man kloner nettverket ditt og setter opp et falskt nettverk. For å kunne opprette et slikt falskt nettverk, må man være innen signalrekkevidde for det originale nettverket. Når du prøver å logge deg på hjemmenettverket ditt, sendes informasjon fra det falske nettverket til telefonen eller nettbrettet ditt og tvinger enheten over på det falske nettverket og skaper det vi kaller man in the middle posisjon Nå kan den som kontrollerer det falske nettverket  for eksempel tvinge deg inn på usikre sider der man lett kan snappe opp brukernavn/ passord og så videre.

Berører det deg som privatperson? Neppe, med mindre du er er kjendis, ligger langt over gjennomsnittet på lønnsstatistikken, eller har en jobb der du behandler mye konfidensiell informasjon. Å utnytte denne svakheten er tidkrevende, krever mye kunnskap, riktig utstyr og tilgang til wifi-signalet ditt. Har du derimot en bedrift i SMB-segmentet bør du nok innføre noen strakstiltak.

Så hva gjør du? Det hjelper ikke å bytte passord på routeren, eller selve routeren for den saks skyld.. Problemet ligger altså ikke i routeren din, men først og fremst i enheten du prøver å koble til nettverket. Det er i kommunikasjonen mellom router og nettbrett, pc, eller mobil at problemet oppstår. Svakeheten har fått navnet KRACK (key reinstallation attack). Her følger noen råd.

  1. Oppdater alle mobiler, nettbrett, datamaskiner og for den saks skyld annet trådløst utstyr som rutere til nyeste person av programvare.
  2. Bruk VPN
  3. Ikke send sensitive opplysninger i tekstformat “chat meldinger” osv
  4. Hvis du ikke  vil installere VPN, bruk mobildata når du logger deg på tjenester, sider og annet der du deler personlig informasjon.
  5. Bruk https på hjemmesider og se etter at de ikke blir forandret til http
  6. Skru av det trådløse nettverket ditt når det ikke er i bruk
  7. Sjekk om routeren din har innstillinger som kan øke sikkerheten
  8. Unngå public wifi som for eksempel på kafeer, flyplasser, by-nettverk osv, hvis du ikke har tenkt å skaffe deg VPN. ​
0 Comments

Å hacke et valg del 3

29/8/2017

0 Comments

 
Picture
Sist jeg stemte gikk jeg ned på den lokale barneskolen som fungerte som valglokale. Jeg ble avkrevd ID, i dette tilfellet førerkort, navn og personnummer ble sjekket mot en liste og jeg fikk så gå for å stemme. Foreløpig ikke noe digital flate å hacke. Det har vært gjort forsøk med internettbasert stemmegivning, men det er ikke tilgjengelig i år.

Skal selve valget hackes, må du bryne deg på EVA. EVA står for Elektronisk ValgAdministrasjon og er et datasystem som brukes ved valget. I dette systemet registreres alt fra partier til hvilke kandidater som stiller, valgsteder og mye mer. I dette systemet telles også stemmene, enten via maskinell telling (skanning) eller via manuell telling. Det er et begrenset antall mennesker som har tilgang til dette systemet. Les mer her.

Kan EVA hackes? Ja så klart, på lik linje med alle andre datasystemer. Er det vanskelig? Ja, det får vi virkelig håpe. I følge Valgdirektoratet er det liten grunn til bekymring rundt dette. Sikkerhetsbransjen stiller seg mer tvilsomme til om sikkerheten rundt stemmetelling er tilstrekkelig. Nettverk av datamaskiner som snakker sammen utgjør alltid en risiko. Når maskinene i tillegg snakker med hverandre over internett, blir risikoen så avgjort ikke mindre.

Spørsmålet er hva man ønsker å oppnå. Å hacke EVA vil først og fremst skape en mistillit til valgdirektoratet og myndighetene. Det er lite trolig at man klarer å smyge inn et gitt antall stemmer under stemmetelling, så diskret at det faktisk får en uttelling. Hvis man ønsker å påvirke valgresultatet finnes det, som vi så på i del 2, et utbud av muligheter for å gjøre det.
​

Hvis man først skal hacke noe, er det som regel et endemål forknippet med selve hackingen. Man kan ønske å stjele data for å få innblikk i noe som er hemmelig, man kan tenkes å manipulere data for å skade noen eller man kan ønske å holde informasjon som gissel. Det siste har vi sett stadig flere eksempler på gjennom utstrakt bruk av ransomware. Så klart kan det foreligge et utall grunner for hvorfor noen ønsker å hacke en privatperson, en bedrift eller en offentlig aktør. Saken er bare den at når vi kommer opp på statsnivå, kreves det som oftest litt mer enn gutterom-talent for å trenge seg gjennom ymse lag av sikkerhetsforordninger.

Den digitale trusselen er reell, men den kommer neppe i form av hacking av EVA. I del 4 skal vi se litt på hvordan en reelt angrep kunne ha sett ut, dersom man virkelig ønsket å påvirke hvem som styrer det norske folk.
0 Comments
    Bilde

    Author

    Lars Ludwig Sandell har bred erfaring fra internasjonalt arbeid innen IKT og medier. I 2010 ble Sandell kontrakert som ekspertrådgiver innen medier og interaktive medier for EACEA
    Sandell er etisk hacker og jobber blant annet med datasikkerhet for bedrifter. Han er grunnlegger, medeier og CTO i Dignatio AS,  norges eneste privateide firma som utvikler og leverer tjenester innenfor rettsteknisk behandling av lyd, video og data. Han har bistått organisasjoner og etater i mer enn 20 land i planlegging og gjennomføring av internettrelaterte etterforskninger.

    Archives

    April 2020
    December 2018
    February 2018
    October 2017
    August 2017
    May 2017
    December 2016
    November 2016

    Categories

    All
    Datasikkerhet
    Epost
    Hacker
    IT
    Kryptering
    Samfunn Og Sikkerhet
    Valg
    Valg2017
    Wpa
    Wpa2

    RSS Feed

  • Tjenester
  • Penetrasjonstesting
  • Forensics
  • Datagjenoppretting
  • Datasletting
  • Kontakt oss
  • Sosialt ansvar