Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Gula lappar och sätt att avslöja säkerhetsproblem » Kryptoblog

Gula lappar och sätt att avslöja säkerhetsproblem

December 29th, 2007 by Joachim Strömbergson Leave a reply »

(Det här brukar vara ett hett debattämne så jag sätter väl på mig jul-asbest-kallingarna…)

Bruce Schneier har en postning om sin blogg om hur polisen i Conyers, USA agerar för att minska mängden inbrott i parkerade bilar.

Vad polisen gör i Conyers är att gå runt på parkeringsplatser och titta vad som finns i bilarna.

Polisen letar efter gods att stjäla.

I de bilar polisen ser att det finns värdesaker att sno sätter polisen en varningslapp på bilen. En stor, gul lapp.

Här finns det saker att stjäla!

Men jösses?!

Inom IT-säkerhet pratar man om olika sätt att berätta om/avslöja säkerhetsproblem. Termer som full disclosure, reasonable disclosure används för att beskriva hur någon som upptäcker ett säkerhetsproblem agerar. Det har länge pågått en debatt om för- och nackdelarna med de olika sätten att agera.

Det är sannolikt så att hade vi inte haft folk som öppet rapporterat om svagheter i IT-system hade mängden säkerhetsproblem som fixats varit mycket mindre. Vi har efter åratal av incidenter fått upp ett arbetssätt hos de flesta företag att leta efter svagheter i sina produkter, men även fått arbetssätt att reagera på och hantera svagheter som rapporteras av användare och aktörer.

Samtidigt verkar det finnas en klar koppling mellan en publicerad svaghet och nya svagheter som elak kod använder för att ta över ett system. Att publicera en svaghet får alltså konsekvenser något den som publicerar svagheten måste vara medveten om.

Jag säger inte att man inte skall publicera. Vad jag säger är att den som levererar produkten/tjänsten svagheten är kopplad till måste få en chans att reagera. Men om denna inte reagerar går det inte heller att vänta i all evighet. Så publiceringen måste ske. Den stora frågan är vad som tas med i publiceringen. Vad är det som avslöjas om svagheten?

Detta är en svår balans. Den som publicerar vill kunna visa upp så mycket att andra skall kunna verifiera att det finns en svaghet. Samtidigt kan detta innebära att de som vill utnyttja svagheten för onda syften snabbt kan ta till sig svagheten och omsätta den i verkliga attacker.

Tittar man på publicerade svagheter varierar innehållet från allmänna beskrivningar, ex ett fel av typ XYZ har upptäckts i delen ABC av produkten GHI, till färdiga program och script för att utnyttja svagheten. Även om jag kan tycka att det är kul att testa en del exempelkod anser jag att det på det stora hela är oansvarigt.

Ett Svenskt exempel på vad jag anser vara oansvarigt avslöjande är hur Dan Egerstad på Deranged Security i höstas postade inloggningsuppgifter för eposten till olika ambassader runt om i världen på sin webbplats. Att undersöka Tor är helt rätt, att när man upptäcker säkerhetsproblem kontakta de drabbade är helt rätt. Men att hänga ut de drabbade på det sätt Dan gjorde är fel. Mycket fel.

Jag har svårt att se att polisen i Conyers agerar mycket annorlunda. Att de går runt och upptäcker att folk är slarviga med att plocka undan värdesaker är helt rätt. Men sättet man agerar för att få bilägarnas (användarnas) uppmärksamhet är fel. Man hade kunnat agera mycket annorlunda. Ex skriva upp bilnumren och sedan skicka brev (eller tom böter) till bilägarna.

Och detta kanske är poängen: Även om det är en myndighet, tom den polisiära makten som avslöjar ett säkerhetsproblem eller en svaghet går det inte att agera hur som helst. När SVT avslöjar att ICA-handlare märker om köttfärs är detta inget som drabbar utan gagnar konsumenterna. Men när polisen hjälper biltjuvarna att hitta till godsakerna är det fel sätt att agera.

Säkerhetsproblem är dumt, men det gör inte att vi kan agera korkat när vi upptäcker dom.

Uppdatering 2008-01-03:
Björn Persson pekade på att det skett en uppdatering i historien om polisen och deras gula lappar. Justin Troutman, en av användarna på Bruce Schneiers blog kontaktade polisen i Conyers och fick deras förklaring:


I contacted Conyers Police Department, basically iterating the same thought that this lets thieves know which vehicles they should be paying attention to.

Their response to me was:

“Thank you for contacting the Conyers Police Department. We appreciate that you took the time to write us with your comments about our flyer initiative.

Unfortunately, the media did not impart the whole story in regard to the flyers. Flyers were not just placed on vehicles that contained visible items. Flyers were also placed on vehicles that contained no visible items with a note saying “Nothing Observed (Good Job!)”. All vehicles were targeted. This initiative was not aimed only at vehicles that had items actually visible. Therefore, the flyers would not have been of any use to a thief for targeting vehicles since vehicles without items also received flyers. In addition, it was also not reported that all of the areas had extra patrols and officers on foot who were distributing the flyers.

We are sorry that the media did not provide this information despite the fact we asked them to. We hope that makes you see that our initiative was better planned than you believed.”

Hopefully, thieves won’t be able to easily differentiate between a flyer that indicates loot versus a flyer that indicates no loot; if the former looks noticeably different, they’ll ignore the latter.

Dvs man lappade alla bilar – Men notera att det fanns en skillnad i hur lapparna såg ut, det är inte uppenbart om skillnaden gör det enkelt att identifiera (för tjyvar) intressanta bilar eller ej.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

6 comments

  1. Björn Persson says:

    Om polisen i Conyers: Vilka skäl har du att tro att tjuvarna har någon hjälp av polisens lappar? Kan en tjuv avsöka alla bilarna på en parkering fortare genom att gå fram och läsa på varje lapp än genom att gå fram och titta in i varje bil som poliserna gjorde?

    Om Deranged Security: Vad anser du att Dan Egerstad borde ha gjort i stället? Ägnat resten av livet åt att ringa kors och tvärs i världen och försöka få folk att lyssna? Om du läste vad Dan själv skrev så vet du att han försökte ringa en av ambassaderna och blev mycket ovänligt bemött. Det var antagligen precis vad han väntade sig.

    Märk väl att de etthundra lösenorden som Dan publicerade bara var några utvalda exempel. Han avstod från att hänga ut hundratals eller kanske tusentals andra Tor-missbrukare. Dessutom skulle tillströmningen av nya missbrukare ha fortsatt oförminskat om han inte hade gjort något tillräckligt spektakulärt för att få världspressen att reagera. (Jag kan i och för sig mycket väl tänka mig att tillströmningen fortsätter ändå. Stultorum infinitus est numerus.)

  2. Joachim says:

    Aloha!

    Björn:
    Ang Polisen: Ja, jag är rätt övertygad om att det är lättare att på avstånd se polisens stora, gula lappar och koncentrera sig på dessa bilar än att gå och kolla i alla bilar. Polisen har sas gjort pre-screening av bilarna.

    Det jag inte påpekade var att polisen inte stannar kvar på parkeringsplatsen efter att man lappat bilarna, utan man kollar upp efter bilar med värdesaker, sätter lappar på dessa och går vidare.

    Ang Deranged Security:
    Svårt att säga vad han skulle gjort istället. Men att publicera den information han gjorde var fel. Jag hade antagligen: (1) Kontaktat UD med informationen (2) Fortsatt att prata med ambassader även om dom reagerat otrevligt. (3) Publicerat en lista, men sett till att anonymisera informationen. Inte lätt att få till antagligen.

    Det viktiga är: Om magkänslan säger att publiceringen av en given information leder till att någon direkt kan bli utsatt för problem så tar man bort den delen av informationen. Doubt mean no.

    Hur skulle du själv ha agerat?

  3. A says:

    Förvisso förefaller de kvalitativa aspekterna på polisens agerande och situationen rörande avslöjanden om säkerhetsbrister vara likartade, men jag misstänker att de kvantitativa variablerna skiljer betydligt. Vid ett avslöjande av en säkerhetsbrist i programvara riskerar avslöjandet omedelbart att utsätta ett mycket stort antal personer, utan rimlig kunskap och utan fungerande rutiner för att hålla sig uppdaterade, för fara. Samtidigt lämnas informationen om hur man ska bryta sig in i systemet omedelbart ut till ett också mycket stort antal personer som kan utnyttja informationen på ett brottsligt sätt. Således utsätts ett mycket stort antal datorsystem för stor risk, speciellt om inte någon patch finns. Vad gäller polisens agerande tycks situationen inte vara lika allvarlig. Den omedelbara hotökningen är sannolikt lägre pga faktorer som tillgång till avskildhet för tjuven etc. Den riskökning som polisen utsätter bilägarna för, och det därmed ökade antalet bilstölder på dessa platser, är nog marginell i jämförelse med konsekvenserna av ett oansvarigt avslöjande av ett allvarligt säkerhetsproblem i mjukvara.

    Över till DS.
    Vad jag förstått så var grunden till avslöjandet av lösenorden inte något nytt säkerhetsproblem, utan ett felaktigt användande av tor från ambassadernas sida. Det finns egentligen inte någon anledning att tro att inte någon annan kan ha gjort precis samma sak tidigare och därmed fått tag på lösenorden, då den “svaghet” som användes var väl känd. Att vänta med att offentliggöra problemen skulle sannolikt inte löst några problem, utan tvärt om riskerat att förvärra dem. Även om den information som fanns i ambassadernas brev sannolikt var av trivial karaktär, så bytte förhoppningsvis ambassaderna omedelbart lösenord och slutade använda tor på ifrågavarande sätt. Jag kan inte se att denna lösning var annat än snabb och effektiv. Det man möjligen kan framföra som kritik är att DS inte omedelbart också avslöjade ORSAKEN till att lösenorden kunnat fås, och detta, att inte omedelbart gå ut även med denna information, utsatte ambassaderna för extra fara. I detta fall fanns en omedelbar fix för ambassaderna, och det fanns inte någon egentlig anledning att vänta med ett offentliggörande, då ambassaderna knappast behövde extra tid för att kunna korrigera det enkelt åtgärdbara problemet. Orsaken till att vänta med ett offentliggörande är ju, som du skriver, att ge någon tid att korrigera ett fel som sannolikt inte finns vilt. I detta fall så var felet känt, korrektionen trivial och det fanns dessutom ett behov av att skydda tredje man. Jag kan inte säga annat än att de gjorde rätt i att avslöja problemet direkt, men tycker att de också borde avlöjat problemets orsak direkt.

    I övrigt ställer jag mig en smula frågande till den i allt genomgående principen av sekretess inom datorsäkerhetsvärlden. Naturligtvis är ett ansvarfullt avlöjande att föredra framför ett direkt offentliggörande OM det kan förväntas att säkerhetsproblemet INTE redan är känt eller finns vilt, och OM mjukvarutillverkaren kan behöva tid för att åtgärda problemet, och OM det inte redan finns en enkel fix. Är inte alla dessa “om” uppfyllda ser jag inte någon anledning till att vänta med ett avslöjande.
    Däremot finns en inte lika uppenbar fördel av ett mer långsiktigt hemlighållande. MS patchar tex vissa produkter utan att någonsin ange att det funnits fel i dem. De fel denna felaktiga felrapportering orsakar i säkerhetsstatistiken, ligger sedan till grund för mer eller mindre insatta artiklar jämförande olika produkter.

    Sedan kan man naturligtvis fråga sig om det hemlighållande som kommersiella säkerhetskonsulter regelmässigt har i förhållande till sina uppdragsgivare inte mer är ett uttryck för en ren marknadsanpassning, snarare än en långsiktig önskan att uppnå säkrare datorsystem och mjukvarumiljöer.

  4. Björn Persson says:

    Jag önskar att folk ville läsa litet mer än bara rubriken emellanåt. Lapparna ger ingen som helst ledning på avstånd. Poliserna sätter lappar på ALLA bilarna. Conyers Police Department säger:

    “Unfortunately, the media did not impart the whole story in regard to the flyers. Flyers were not just placed on vehicles that contained visible items. Flyers were also placed on vehicles that contained no visible items with a note saying “Nothing Observed (Good Job!)”. All vehicles were targeted. This initiative was not aimed only at vehicles that had items actually visible. Therefore, the flyers would not have been of any use to a thief for targeting vehicles since vehicles without items also received flyers. In addition, it was also not reported that all of the areas had extra patrols and officers on foot who were distributing the flyers.

    We are sorry that the media did not provide this information despite the fact we asked them to. We hope that makes you see that our initiative was better planned than you believed.”

    http://www.schneier.com/blog/archives/2007/12/police_helping.html#c224479

    “Jag hade antagligen: (1) Kontaktat UD med informationen”

    UD skulle ha hemligstämplat listan “av hänsyn till främmande makt” och antagligen belagt dig med tystnadsplikt. Sedan skulle listan troligen ha hamnat hos en eller annan spionorganisation – såvida inte spionerna redan hade egna Tor-noder i drift och redan hade all informationen.

    “(2) Fortsatt att prata med ambassader även om dom reagerat otrevligt.”

    Och alla de andra användarna också antar jag. Räknar du med att hinna beta av dem fortare än nya tillkommer?

    “(3) Publicerat en lista, men sett till att anonymisera informationen. Inte lätt att få till antagligen.”

    1: anonymt konto, dolt lösenord
    2: anonymt konto, dolt lösenord
    3: anonymt konto, dolt lösenord
    .

    .
    .

    100: anonymt konto, dolt lösenord

    Jo du, det skulle ha övertygat många det.

    “Hur skulle du själv ha agerat?”

    Jag skulle inte ha varit tillräckligt engagerad för att ta fram informationen till att börja med, men om vi antar att jag ändå hade gjort det så skulle jag ha skickat en varning med epost till samtliga konton: “Your email password is no longer secret. Change your password NOW and switch to encrypted protocols!”. Därefter skulle jag ha väntat 24 timmar och sedan publicerat på ett flertal ställen så att det inte skulle gå alltför lätt att censurera bort informationen. Förmodligen skulle jag ha publicerat hela klabbet – inte bara hundra ambassadkonton utan hela listan, plus programkod för att automatisera avlyssningen och detaljerade instruktioner. Jag skulle ha räknat med att massvis med tonåringar skulle använda lösenorden till att busa litet, men att skadan av det skulle vara försumbar jämfört med skadan av att folk använder Tor i tron att de skyddar sin kommunikation men i själva verket bara gör det lättare för spioner och kriminella att avlyssna dem.

    Hur mycket publicitet jag skulle ha fått på det viset vet jag inte. Det kan tänkas att Dan Egerstad åstadkom fler tidningsnotiser och varaktigare minnen hos kreti och pleti genom att vara litet hemlighetsfull och locka folk att spekulera. Å andra sidan kan det tänkas att han motverkade sitt syfte, att många som läste om publiceringen aldrig nåddes av budskapet att man inte ska använda Tor så.

  5. Joachim says:

    Björn:
    Ok, jag hade missat informationen i den kommentaren på Bruce blog. Jag har uppdaterat storyn med Justin Troutmans text. Dock kan det vara värt att notera att lapparna faktiskt skiljer, så någon slags pre-screening-problematik finns där.

    Vad gäller Deranged Security och TOR så har du antagligen helt rätt att UD antagligen skulle agera som du säger. Access till ambassaders mailkonton faller troligen under Sveriges relation till främmande makt, och då kan information som samlats in på detta sätt hamna under sekretesslagen. Att vara kreativ på egen hand när det börjar handla om mellanstatliga relationer är inget jag skulle vilja rekommendera med.

    Din idé om att maila till samtliga konton skulle antagligen ses som ett scam/phisingförsök. Och att sedan publicera hela klabbet inkl kod… IANAL, men du hade antagligen fått ett tryggt boende för ett tag framöver.

Leave a Reply

You must be logged in to post a comment.