Etikettarkiv: IT-säkerhet

Är du morgondagens Alan Turing?

Den som bara är lite nyfiken av sig har nog någon gång ramlat över namnet Cicada 3301. En organisation (eller vilka nu som står bakom namnet) som organiserat sex (kända) pussel på internet och i verkligheten.

Varje gång har det handlat om ett gäng gåtor som ska lösas, där den första exempelvis varit ganska enkelt (att kunna tyda Caesarchiffer) och de efterföljande sedan blivit allt svårare.

Nu hittar KTH och Sveriges militära underrättelse- och säkerhetstjänst (MUST) på en liknande tävling på KTH:s centrala campus vid Valhallavägen. Fast i en lättviktsversion i jämförelse med Cicada 3301:s tävlingar (eller…).

Förstår du vad ”NDQ GX OBVD GHW KBU?” betyder är det en bra start. Styr sedan kosan hit.

PS. Tävlingen pågår till 13 november klockan 23:59:59. DS.

Ta en kurs i etisk hackning

Nu har det startats en kurs i att bryta sig in i it-system. Ja, på ett etiskt sätt alltså. En kurs där den vita hatten ska sättas på skallen snarare än den svarta.

Det är Gabriella Hernqvist, kommunikationsansvarig på skolan för elektro- och systemteknik vid KTH som kommer med tipset. Enligt vad hon kan se så är KTH-kursen den enda i sitt slag i Sverige.

Bakom kursen står Pontus Johnson (professor i industriella informationssystem och huvudansvarig), samt Mathias Ekstedt (professor i industriella informations och styrsystem).

Mathias Ekstedt , professor på KTH.

Enligt professorsduon används etiska eller ”goda” hackare i dag för att hitta säkerhetsluckor i ett företags eller myndighets datornätverk. I kursen som i höst ges på KTH för första gången kommer studenterna lära sig hur detta går till genom att hacka ett labb som efterliknar ett företags it-miljö. Detta i jakten på flaggor som KTH:s lärare placerat ut.

För att utföra angreppet är studenterna fria att använda sin fantasi och verktyg tillgängliga på internet som nätverks- och sårbarhetsskanning, plattformar för utveckling av exploits, fjärrstyrning av datorer och lösenordsknäckning.

Jag slår en signal till Mathias Ekstedt för att ta reda på mer.

– Kursen går bland annat ut på att lära sig olika typer av verktyg och angreppssätt för att aktivt attackera en it-infrastruktur. Den etiska aspekten här är att man gör det med ett gott uppsåt, man attackerar sig själv för att hitta sårbarheter. Detta är också en väletablerad metod att
säkra upp it-system. Själva grundidén är att studenterna får lära sig att tänka som en hacker och därmed bli bättre både på att hitta säkerhetshål och skydda it-system.

Hur vet ni att inte illasinnande människor söker sig till kursen?

– Det vet vi förstås inte, och vi kan förstås inte heller ta ansvar för vad människor gör med sina kunskaper. Så är det med alla ingenjörsämnen. Det går ju till exempel att designa en bil med säkerhetsbrister baserat på kunskaper tillägnade på ett universitet. Som en del av kursen får
studenterna skriva en uppsats om etiska dilemman som finns när det kommer till hackning och vi diskuterar sedan dessa uppsatser på gemensamma seminarier. Kursens namn ger en fingervisning att etiken är viktig i sammanhanget. Och även om vi antagligen inte kan hindra någon som bestämt sig för att göra något dumt så kan vi motverka naivitet bland kommande ingenjörer.

Här kan du läsa mer om kursen.

Trumps mobil och läckorna

För någon dryg vecka sedan publicerade satirtidningen The Seattle Tribune en klart underhållande artikel om de läckor som på sistone sipprat ut obekväm information till media. Dels från den amerikanska presidenten Donald Trumps egna administration, dels från olika amerikanska departement (får man anta). Läckor som fick Vita husets pressekreterare Sean Spicer att häromveckan gå igenom sina kollegors mobiltelefoner.

”Reportern” Lucas Bagwell artikel är högintressant, satir eller inte. Skulle det kunna vara så att det går att hacka presidentens mobil, och vad skulle man då kunna få ut för information eller ställa till med?

Jag kontaktar KTH Lars-Olof Strömberg som bland annat jobbat som forskare i ämnet IT-säkerhet på KTH. Hur ser han på saken?

– Det är mycket osannolikt att läckor skulle kunna komma från en hackning av POTUS privata mobiltelefon, detta eftersom han bara använder den för privata ärenden inklusive Twitter. För alla tjänsteärenden använder han en av Secret Service och NSA specialbyggd samt krypterad mobiltelefon. En mobil som även president Obama brukade under sitt sista år i Vita Huset. Den använder amerikanska militära kryptoalgoritmer.

Detta får mig att fundera över vad för mobiltelefoner som POTUS använder.

– President Obama hade tidigare en modifierad Blackberry 8830 World Edition som sin privata mobiltelefon (med extra krypto), samt en Blackberry 8900 som sin officiella krypterade tjänstetelefon. Den senare ansågs föråldrad och för osäker för ett år sedan, och ersattes då av en ”säkrad” Samsung Galaxy S4, typgodkänd av DISA – Defense Information System Agency – under deras DMCC-S program. Telefonen är typgodkänts för hemlig information av NSA, och används även av andra högre amerikanska regeringstjänstemän, exempelvis John Kerry. Den inbyggda kameran har kopplats ur, och externa telefonsamtal kan endast kopplas via Vita Husets eller Pentagons växlar. Endast av DISA typgodkända Android-appar från DISA:s egen Mobile Application Store (MAS) kan laddas ner och användas.

Se där, se där. Låter ju tryggt.

Men…

Med tanke på hur Donald Trump använder Twitter är det inte utan att jag funderar över vad som skulle hända om någon hackade Trumps telefon för att sedan skriva en ovanligt olämplig tweet.

Bedrägerier är företagens ansvar…

… och inte konsumenternas.

Det menar Björn Lundgren, forskarstuderande i ämnet filosofi vid KTH.

Han jobbar bland annat med frågor och filosofiska aspekter rörande information och informationssäkerhet.

I en debattartikel på DN:s webbplats skriver han (tillsammans med Amelia Andersdotter) att det inte är rimligt att Sverige har en lagstiftning där det är upp till konsumenterna att bevisa att deras e-legitimation missbrukats för att teckna till exempel ett SMS-lån. Sveriges riksdag måste omgående ändra lagen så att företagen får bevisbördan för att deras tekniska infrastruktur inte har fallerat.

Enligt Björn Lundgren är det bråttom. Den senaste tiden har flera fall uppmärksammats där människor blivit bestulna på sina identiteter och där brottslingarna tagit just dyra SMS-lån eller handlat saker med hjälp av offrens mobila bank-id.

Som lagen ser ut i dag är det alltså upp till den som drabbats att bevisa att hon eller han inte tagit lånen, eller att köpt en vara/tjänst. Författarna i artikel på DN-debatt säger att det behövs ett starkare konsumentskydd, och det med en gång.

Anledningarna är flera. Förutom ett bättre skydd för konsumenten blir det också betydligt billigare för de allra flesta att placera ansvaret hos företagen.

”Att flytta kostnaden för säkerhet från företagen till konsumenterna och polismyndigheten tar inte bort den. Det enda resultatet är att mycket tid och pengar måste läggas på åtgärder som har få förutsättningar att lösa de underliggande problemen. Det är både dyrare och sämre än att avkräva av marknaden att lösa sina egna problem”, skriver Björn Lundgren i debattartikeln.

Intressant läsning, så följ länken ovan!