Netnod Tech Meeting 2019 – mötet där de tunga teknikerna diskuterar saker som du säkert inte vill genomföra i din organisation: IT-säkerhet, som är så dyrt och jobbigt och onödigt.
Fundera: Hur kommer det sig att det finns IT-organisationer som fungerar klanderfritt år efter år och så finns det de som rasar ihop hela tiden? Data läcker ut, chefer får gå, datorhallar stannar, var god försök senare och utpressare kasserar in tiotusentals kronor.
På Netnod Tech Meeting den 10 oktober skrädde man inte orden när det gäller IT-säkerhet och -skandaler. Tvärtom. Det var ett jäkla liv!
Folk som jobbat halva livet med att gräva sig ned i skadeprogram, attackmetoder och penetrationstester berättar om sina äventyr och visar systemskisser, diagram, belastningskurvor och kvadraturer och allt du behöver göra är att sitta ned, njuta, mumsa på utminuterade karameller och dra i dig kunskap.
Föredrag i urval
A cyber attack journey – from the perspective of the attacker
Vi berömmer särskilt Christoffer Strömblad på Polismyndigheten som höll föredraget A Cyber Attack Journey och visade att Polisen äntligen kommit till insikt och nu både kan redogöra i detalj för hur och varför en cyberattack genomförs och vad man ska göra för att skydda sig. Han redogjorde för hela förloppet, ”The Kill Chain” med särskild inriktning på skadeprogrammet NotPetya som i stort sett tog sig in i hela världen, och hur det eventuellt märktes hos den angripne. Eller, i idealfallet, för cyberskurken, märktes det inte alls förrän efter flera månader, och då var hårddiskarna redan tömda.
Han fortsatte med råd kring hur man ska skydda sig mot dylika attacker, som kan börja med helt ofarliga e-brev med länkar till helt ofarliga servrar som i sin tur har de farliga länkarna. Eftersom attackerna för det mesta inleds med spearfishing mot några sårbara anställda, är det viktigt att utbilda dem.
Det går inte att sätta ett filter på all, till synes harmlös inkommande datatrafik och tro att e-brev som i förstone kan verka helt legitima ska fastna i ett sådant filter. Istället arbetar spjutfiskarna numera med att långsamt bygga förtroende hos den anställde, för att till sist ändå kunna kasta in den förgiftade pilen, i form av en skadlig länk eller ett skadligt Word-makro. Jo, sådana gamla tricks används fortfarande, med framgång. Fråga därför dig själv: Vad har Word ute på Internet att göra? 20 minuter och ditt system är borta.
Utbilda! Utbilda! Utbilda! Det blir garanterat inte billgare att betala utpressarna!
How to defend against an advanced attack
Ett mera praktiskt hållet föredrag hölls av Mattias Jadesköld och Erik Zalitis som vanligen ägnar sig åt att skapa IT-säkerhetspodden. De berättade om olika typer av attacker, orsakerna till dem (pengar, pengar och pengar och eventuellt mera pengar), förklarade ingående vad en ”avancerad attack” eller ett Advanced Persistant Threat är, vilka olika delar den består av, hur den vilseleder dig och vad du kan göra åt saken.
Nämen, inte nu igen? Jo, Grabbarnas råd var det vanliga, trista: utbilda, utbilda och åter utbilda. Och använd DMARC för att verifiera all epost.
Mera
Utöver detta förnöjdes vi av Ioan Turus på Adva som berättade ingående om olika modulationsmetoder i optiska nät och hur man kunde höja kapaciteten till 400 Gbps och dessutom kontra bruset.
Susan Forney från Hurricane Electric berättade om peering och varför det är lönsamt. Vi fick fundera på varför man ska peera istället för att bara ansluta sig till Internet. Det visade sig finnas fördelar för både dig och de du peerar med.
When AI becomes super-intelligent
Dagens mest inspirerande föredrag handlade dock inte alls om IT-säkerhet, men det var oerhört nördigt och underhållande och förtjänade precis alla applåder det fick. Artificiell intelligens kommer att bli en betydande del av framtidens IT-säkerhet respektive IT-hot, särskilt när vi når ”the singularity” alltså när datorerna blir smartare än människan och kan utvecklas fortare än vi och bygga ännu smartare kopior av sig själva. Då återstår bara att rycka ur sladden.
Den brittiske entreprenören Richard Tang redogjorde för sin version av ”When AI becomes super-intelligent” och AI eventuellt avser att göra något åt Jordens överbefolkning för att rädda mänskligheten. Men kanske det ändå inte går åt skogen, resonerade han, eftersom vi sannolikt kommer att bygga in Isaac Asimovs robotikens fyra lagar i all framtida AI, nämligen:
1. En robot får aldrig skada en människa eller, genom att inte ingripa, tillåta att en människa kommer till skada.
2. En robot måste lyda order från en människa, förutom om sådana order kommer i konflikt med första lagen.
3. En robot måste skydda sin egen existens, såvida detta inte kommer i konflikt med första eller andra lagen.
0. En robot får inte genom handling, eller underlåtelse att handla, orsaka att mänskligheten skadas.
Därför kommer AI-varelserna inte att kunna utplåna mänskligheten. Lag nummer noll kom på slutet, för Asimov hittade på den sist. Den är viktigast av de fyra.
Men det kan finnas kryphål. Tang tog upp diverse metoder som AI skulle kunna använda för att utrota mänskligheten på lång sikt utan att den befintliga mänskligheten skadas. Ett exempel var att AI genom sin stora kunskap skulle kunna uppfinna ett vaccin som botade exempelvis cancer, vilket skulle göra mänskligheten oändligt tacksam, men som bieffekt skulle göra kommande generationer sterila. Vi skulle sålunda dö ut alldeles av oss själva.
Nja, det där håller inte, det är hårklyveri.
Tang hade som så mänga andra AI-domedagsprofeter helt har glömt att ta med Hans Roslings statistik i beräkningen. Rosling kunde konstatera att allt eftersom ett land blir rikare, minskar barnafödandet alldeles av sig själv. Och som faktum nummer två kunde Rosling bevisa att nästan alla världens länder blir rikare hela tiden. Sannolikt kan AI-varelserna läsa och förstå statistik.
Tang menade som avslutning att ”We need to set AI off on the right path” och det menar undertecknad är att lära maskinerna förstå statistik.
Behöver du flera anledningar att komma på mötena?
Varför ska du gå på Netnods Tech Meetings?
Man kan förledas att tro att det är för godisets skull.
Eller de utmärkta mackorna.
Eller den förnämliga middagen efteråt? Och det faktum att allt är gratis?
Nej det är inte därför. Jag upprepar Aragorns stridsrop när han eggar sina styrkor inför slaget vid Mordors portar: THIS IS NOT THAT DAY!! Du ska gå på Netnods möten för att få träffa likasinnade, suga i dig kunskap och prata med lösmynta nätverksproffs som kan fylla din skalle med allt om BGP, IPv6, routing, peering, skadeprogram, åtgärder och redundans.
Årets möte slog deltagarrekord, med 193 deltagare. Folk verkar trots allt ha fattat!
Jag hoppas vi ses på nästa möte, 25 mars år 2020!
Fast det räcker inte!
Netnods säkerhetsskyddschef Patrik Fältström har länge propagerat för att Sverige ska få en IT-haverikommission, som ska få agera som den vanliga Statens haverikommission, men i IT-ärenden (https://realistklubben.wordpress.com/2017/08/02/it-haverikommission/).
Det räcker inte, menar undertecknad. Sverige har fram till nyligen varit ett av världens främsta teknikländer. Sverige har genom sina stora upptäckare och uppfinnare visat världen hur industriell, vetenskaps- och teknikutveckling ska gå till. Ej mer. Utbildningsnivån sjunker och teknikintresset har svalnat.
När man ser hur uselt stat, kommuner, myndigheter, skolor och samhällsviktiga företag som telekomföretag, sjukhus osv (hädanefter kallade ”berörda”) fungerar cybermässigt, borde staten ställa upp ett cyberimmunitetskrav:
- Alla berörda ska omedelbart genomföra de föreskrifter som IT-haverikommissionen löpande påbjuder. Och då menar jag omedelbart. Det blir inte gratis, men det blir definitivt billigare än att råka ut för en cyberattack.
- Alla berörda ska utbilda alla sina anställda (från styrelsemedlemmar till vaktmästeri) i IT-säkerhet och låta en oberoende, extern organisation prova förståelsen minst två gånger om året. Den anställde, oavsett tjänsteställning, som inte klarar provet ska få en månad på sig att lära sig, eller får se sig om efter annat arbete. Situationen är allvarlig och en enda anställd kan äventyra eller sänka hela verksamheten och orsaka kostnader i hundramiljonerkronors-klassen och allvarligt skada samhållets förtroende för stat och kommun. Kom ihåg att det är de med mest rättigheter som kan ställa till störst skada.
- All inkommande och utgående epost ska filtreras mot skadliga meddelanden av en fristående filtertjänst. En anställd som påkoms med att skicka skadlig epost ska utredas.
- En strikt Bring Your Own Device-policy ska genomdrivas. BYOD kan inte undvikas, men utrustning som inte ägs av den berörda ska inte kunna ansluta till företagsnätet. En anställd som påkoms med att hantera interna dokument med en privat enhet ska utredas. Däribland räknas lagring, avfotografering, inspelning av samtal mm.
- Delar den berörda ut mobila enheter till de anställda, ska de vara helt krypterade, både vad kommunikation och lagring beträffar. Enheterna ska vara låsta så att de inte kan konfigureras om (installation av appar osv). En anställd som förlorat en enhet ska debiteras enhetens fulla värde och utredas för eventuellt IT-brott.
- Alla berördas datorer och mobila enheter ska fjärrkonfigureras före leverans till de anställda och får inte konfigureras om av den enskilde. Konfigurationen ska avsökas regelbundet. Upptäcks en omkonfigurering ska den enskilde utredas.
- Utkontraktering av databehandling är tillåten, men tjänstleverantörens datoranläggning ska minst uppfylla kraven för Tier-3-säkerhet. Tjänstleverantören ska han minst två redundanta anslutningar till den berörda (via Internet eller på annat sätt). Kraven på IPv6, DNSSEC och NTP-tjänst gäller även för fjärrbearbetning.
- Driftdata för berörda ska lagras och bearbetas i Sverige. Lagringen ska vara krypterad.
- Alla berörda ska ha dubbla fysiska redundanta säkerhetskopior av allt sitt driftdata i sina egna lokaler. Säkerhetskopiorna ska provas med jämna mellanrum. Med ”dubbla fysiska redundanta” menas att de båda kopiorna ska vara så åtskilda att om en lagringsstation brinner upp eller exploderar ska den andra fortsätta fungera och kunna användas för återställning av data.
- IoT-utrustning (kameror, dörrlås, belysning, smarta TV-apparater etc) får inte användas, såvida det inte kan bevisas bortom varje tvivel att den inte kan göra otillåtna uppkopplingar eller kan nås via bakdörrar.
- Video- och audio-konferensutrustning får inte användas, såvida det inte kan bevisas bortom varje tvivel att den inte kan göra otillåtna uppkopplingar eller kan nås via bakdörrar.
- Alla berörda ska spärra anslutning av USB-minnen till alla datorer.
- Alla berörda ska nyttja IPv6.
- Alla berörda ska nyttja DNSSEC.
- Alla berörda ska nyttja PTS NTP-tjänst.
- Avvikelser, driftsstopp, attacker, resultat av attacker och utbildningsbrister ska rapporteras löpande till IT-haverikommissionen.
- Dessa regler ska göras klara för var och en, liksom kostnaden för att bryta mot dem.
- Företagsledningen är ansvarig för IT-säkerheten och kommer att bestraffas om brister enligt cyberimmunitetskravet upptäcks. Tjänstemannaansvar gäller.
- Detta är skall-krav som man inte kan prata sig ifrån.
IT-haverikommissionen har rätt till oannonserade inspektionsbesök, då den berörda ska kunna bevisa att alla krav är uppfyllda. Den som inte klarar cyberimmunitetskravet ska bötfällas till en procent av omsättningen, löpande per månad tills IT-haverikommissionen är övertygad om att cyberimmunitetskravet är uppfyllt.
Tycker undertecknad.
Läs mer
Titta in hos Netnod: https://www.netnod.se/
Läs mer detaljerat om The Kill Chain: https://www.teknikaliteter.se/2018/09/04/maste-rusta-cyberforsvaret-vilket-cyberforsvar/
IT-säkerhetspodden: https://www.itsakerhetspodden.se/
This is not that day: https://www.youtube.com/watch?v=OA8wkz0uGLE
OpenAI, Icke-vinstdrivande AI-utvecklare: https://openai.com/
IT-säkerhet som ingen bryr sig om: https://www.teknikaliteter.se/2019/07/07/it-skandaler-som-ingen-bryr-sig-om/
Intelligentian tycker
Och så slutar vi med en av klokskallarna i branschen: Anne-Marie Eklund Löwinder på Internetstiftelsen som menar att Sverige faktiskt inte har råd med flera IT-skandaler. Statens och kommunernas ständigt misslyckade IT-projekt minskar förtroendet för förvaltningens famlande försök till digitalisering.
https://www.dagenssamhalle.se/debatt/vi-har-inte-rad-med-fler-it-skandaler-28863
Pingback: IT-säkerheten som vi inte vill ha – Teknikaliteter