DN missar poängen

From: Fredrik.Reinfeldt@regeringen.se
To: nixon@lysator.liu.se
Subject: Du har vunnit!

Hej Leif,

Regeringen beslutade idag att tilldela dig en miljon kronor för att du är en sån hyvens kille.

Mvh,
Fredrik

Dagens Nyheter hade igår ett uppslag med flera texter om problemet med förfalskade ("spoofade") avsändaradresser. Och trots en lång och utförlig text och namnkunniga intervjuoffer så lyckas man ändå inte tydligt framföra själva poängen - att man kan sätta vilken avsändaradress som helst på sina mail. Man behöver inte "kapa" någons konto eller knäcka några lösenord - med en tillräckligt kapabel mailläsare är det bara att skriva vilken adress som helst på avsändarraden.

Det finns visserligen tekniker som GPG och SPF och allt vad det nu är som kan lösa eller förmildra problemet, men de kräver att man använder samma teknik i mottagaränden. Och att mottagaren verkligen bryr sig om att verifiera avsändaradressen. Det är inget som används i någon större skala.

Det hjälper bara minimalt om jag skulle GPG-signera varenda mail jag skickar, för det är mottagaren som måste kontrollera signaturen. Och alla som får ett mail med min adress som avsändare skulle behöva veta att jag alltid signerar mina mail, och veta att de ska vara misstänksamma om de får ett mail från mig som inte är signerat. (Så i praktiken bryr jag mig bara om att signera särskilt viktiga mail.)

Det enda egentliga skyddet är att så många Internetanvändare som möjligt vet att man inte blint ska lita på vad som står på avsändarraden i mail. Och här kommer DN-artikeln så väldigt, väldigt nära:

Jonas Thambert, IT-säkerhetsrådgivare på Sveriges IT-incidentcentrum, Sitic, bekräftar att problemet är stort. Och enligt honom finns det i dag bara ett sätt att skydda sig: ökad medvetenhet hos användarna (se faktaruta).

Men vad skriver DN då i denna faktaruta? Jo:

• Ha alltid uppdaterade antivirusprogram och brandväggar.
• Se till att själva operativsystemet är uppdaterat.
• Svara inte på så kallad spam.
• Exponera inte din e-postadress på hemsidor du inte litar på.
• Behåll dina lösenord och inloggningsuppgifter för dig själv, skicka aldrig dessa uppgifter via e-post.
• Byt lösenord regelbundet.

Det är på sitt sätt utmärkta råd, men... yxskaft.

Säkerhetsen fortsätter

Häromveckan åkte jag och min fru till Paris för att fira vår bröllopsdag. Det var jättetrevligt. Lite extra trevligt var det att pursern på planet från Köpenhamn spontant gav oss tre extra kvartsflaskor champagne att ta med till hotellet. Tack så mycket, SAS! Fast vi lyckades inte dricka upp alla tre, så jag försökte med berått mod smuggla med en i handbagaget på hemvägen.

Jag åkte naturligtvis fast i säkerhetskontrollen. "En flaska vin", sa röntgenkillen, och en vakt förklarade urskuldande att jag inte fick ta med den, utan att den skulle förstöras. Och så var det inte mer med det.

Hade jag verkligen varit en terrorist som hade försökt smuggla ombord flytande sprängmedel på planet hade jag kunnat svära tyst för mig själv och sedan helt enkelt försöka igen på min nästa flight om en vecka. Eller jag hade kunnat hälla sprängmedlet i en linsvätskeflaska istället, för såna får man ta med sig ombord.

På juldagen brände en misslyckad terrorist sönder sitt skrev med en icke-fungerande bomb som han hade insydd i kalsongerna. Flera länders myndigheter reagerar på detta genom att införa nakenscanners. Vilket gissningsvis bara innebär att näste terrorist-wannabe kommer att ha sprängämnet gömt i ändtarmen - ett liknande attentat har redan utförts.

Sanningen är att det är omöjligt att med hundraprocentig säkerhet hindra en intelligent terrorist att ta med sig sprängmedel ombord på ett passagerarflygplan.

Därmed inte sagt att vi ska skrota alla säkerhetskontroller på flygplatsen (nota bene, Staffan!). De fyller ändå ett syfte. Naturligtvis ska det vara någorlunda svårt att ta med sig ett skjutvapen ombord, till exempel.

Man ska också komma ihåg att de flesta terrorister in spe är ganska måttligt begåvade. (Minns till exempel den bensinfyllda bilen som kraschades in i Glasgows flygplats - de killarna hade uppenbarligen hämtat sina fysikkunskaper från Hollywood.)

Det kan alltså vara fullkomligt rimligt med en säkerhetskontroll som bara fångar korkade terrorister; för de flesta terroristerna är korkade. Och bara existensen av en kontroll kan göra en terrorist så nervös att han avslöjar sig eller begår allvarliga misstag.

Men - och det här är en av de springande punkterna - man måste också se till kostnaden för säkerhetskontrollerna. Kostnaden för själva apparaturen och kostnaden för säkerhetspersonalen. Kostnaden i förlorad arbetstid för att man måste köa en timme extra och kostnaden för missade och försenade flygförbindelser. Och den mänskliga kostnaden i form av förnedringen att bli behandlad som boskap, att få sina ägodelar genomsökta inför övriga resenärer, att få sin bröllopsdagschampagne uthälld, att få sin femtonåriga dotter nakenscannad av en fet femtioåring.

Man måste också se till helhetsbilden. Vi har inte haft en terroristincident på ett flygplan i europeiskt luftrum sedan Lockerbie-attentatet för 22 år sedan. Däremot har ett par hundra personer dött det senaste decenniet i attentat mot tåg och tunnelbana (London, Madrid). Man kan fundera över rimligheten i att jag kan ta med mig vad som helst på ett X2000-tåg som åker över Öresundsbron, men att jag inte får ta med mig en av SAS' kvartsflaskor champagne på ett flygplan.

Sanningen är att flygsäkerheten har hamnat i en ond spiral, där de ansvariga blint reagerar på varje upplevt hot med ytterligare kontroller och restriktioner, oavsett hur allvarligt eller realistiskt hotet egentligen är. De är nämligen bara ansvariga för säkerheten, inte för kostnaderna.

Det är sorgligt, men inte förvånande, att Staffan Danielsson omedelbart stödde tanken på nakenscanning med kommentaren att han "inte utesluter att klädröntgen i vissa lägen skulle kunna accepteras, om detta bedöms öka säkerheten vid flygresan".

Alla åtgärder är som vanligt OK i Staffans ögon, bara det känns som om de skulle kunna minska ett upplevt hot.

You and the Obedient Atom

Jag sitter och läser National Geographic från september 1958. Huvudartikeln har titeln "You and the Obedient Atom". Framstegsoptimism galore.

"As man stands on the threshold of the nuclear age, he looks forward to a day when all life will be altered, made easier and more fruitful by his conquest of the atom."

Det finns många fantastiska saker jag skulle kunna plocka från den artikeln, men jag nöjer mig med bilden nedan.

Ja, det är ett modelljärnvägståg som fraktar fasttejpade laboratorieråttor.

Bildtexten lyder "Anesthesized rats at Argonne National Laboratory ride a toy train to get a dose of electron rays. Legs taped to flat cars, the pass under a particle accelerator. Electrons, streaming through holes in the metal bars, bombard a small area on the back of each animal. To determine radiation sensitivity, biologists measure the time the exposed skin requires to recover. The train takes each rat under the beam at scheduled intervals. Tray contains gentian violet dye used to outline target areas."

Stort unix-botnet aktiverat

Botnets är - tyvärr - inte någonting unikt för Windows-världen. Som varje administratör av Unix-liknande system vet (eller borde veta) pågår det ständigt brute-force-attacker där knäckta maskiner försöker logga in som användare "admin" med lösenord "admin" och liknande. Lyckas angriparen logga in startar han (mer eller mindre automatiserat) ytterligare en kopia av sitt scanningsprogram på din dator.

De senaste dagarna har det här dock exploderat. SANS rapporterar mer än 100000 angripande maskiner per dygn, att jämföra med bakgrundsnivån på 30000 maskiner. Och det är bara de maskiner som råkar angripa deras sensorer; det totala antalet lär vara större. Varje angriparmaskin försöker bara logga in en eller två gånger på varje målmaskin, så det är svårt att skydda sig med fail2ban och liknande metoder. Det här är ett rejält stort botnet som någon håller på att aktivera.

Bland angriparna ser jag även en del svenska IP-adresser; typiskt ADSL-anslutna hemdatorer.

Det finns all anledning att hålla ett extra öga på sina loggar just nu, om man tillåter lösenordsbaserad fjärrinloggning.

Nixons Patenterade Trepunktslista

I dessa dagar finns det anledning att påminna om Nixons Patenterade Tvåpunktslista för en Säkrare Windows-upplevelse.

Vid närmare eftertanke finns det faktiskt ytterligare en punkt jag skulle vilja lägga till:

3. Använd en annan PDF-läsare än den ohyggligt uppsvällda Adobe Reader.

Att säkra den osäkra staten

Den 29 oktober skrev Sten Tolgfors ett brev till Myndigheten för samhällsskydd och beredskap (MSB).

I budgetpropositionen för 2010 har regeringen angivit att det finns anledning att se över informationssäkerhetsfrågorna.

No shit. Han måste läsa min blogg.

I brevet uppdras till MSB att "lämna förslag på åtgärder för att förebygga och hantera IT-incidenter [...]", vilket MSB nu gjort i form av en 69-sidig rapport.

Jag tycker att MSB:s förslag är överlag vettiga. Jag gillar särskilt punkten "MSB avser att utreda hur ett system för obligatorisk IT-incident-rapportering skulle kunna införas för statliga myndigheter.".

Det är nämligen fortfarande så att de allra, allra flesta som drabbas av IT-brott försöker tysta ner saken - det gäller såväl företag som myndigheter. För det mesta handlar det om att man är orolig för dålig publicitet. Jag känner till en incident där det skedde allvarliga intrång hos flera myndigheter via system som placerats hos dem av en outsourcing-leverantör. Fjärrinloggning med okrypterad telnet är... ingen bra idé.

Ledde det till polisanmälan och brottsutredning? Nä. Leverantören betalade skadestånd till myndigheterna i fråga, men själva brottet utreddes aldrig. Varken myndigheterna eller leverantören ville figurera i pressen.

En rapportskyldighet till SITIC skulle åtminstone vara ett första steg för att faktiskt göra nånting när en myndighet blir utsatt för IT-brott.

(I förbigående kan man förresten notera att Google gör allting rätt genom att inte lägga locket på när de drabbas av intrång.)

Men i första hand är MSBs rapport sextionio sidor argumentation för att SITIC (hej, SITIC!) ska överföras från PTS till MSB. Det är inte så konstigt, eftersom den frågan just nu utreds i utredningen Fö 2009:04, "Viss översyn av ansvarsfördelning och organisation när det gäller samhällets informationssäkerhet". Som jag skrivit tidigare ska Fö 2009:04 ta ställning till huruvida SITIC ska överföras till MSB (rätt!) eller till FRA (fel, fel, fel!).

I morgon 1 februari ska utredningen presentera sin slutrapport sitt första delbetänkande. Det ska bli mycket spännande att se vilket svar man kommer fram till. Rätt eller fel?

Gunnel Wallin (c) vill låta barn behandlas av kvacksalvare

Normalt sett har riksdagspartierna ett internt filter för att hålla de värsta dårfinkarna borta från riksdagen. Centerpartiets filter verkar dock fungera otillförlitligt.

Gunnel Wallin, centerledamot för Skåne, som tidigare gjort sig omtalad genom Riksdagens inköp av vattenvirvlare, har ånyo visat framfötterna genom motion 2009/10:So327, Komplementär och alternativ medicin i vården. I den argumenterar hon för att kvacksalverilagens bestämmelse att enbart legitimerad sjukvårdspersonal får undersöka och behandla barn under åtta år ska avskaffas.

Det är en sak om vuxna människor själva vill utsätta sig för verkningslösa mumbo-jumbo-behandlingar, men det är en helt annan sak när det gäller värnlösa barn.

Sjuka barn ska behandlas med riktig sjukvård, inte bluffbehandlingar. Punkt.