cybersakerhet

Tänk på hur internet en gång var

Jag vill knyta an till min kollega Lennart Bonneviers blogginlägg efter Internetdagarna och till flera andra inlägg på Twitter som konstaterar att något håller på att hända som kanske inte är enbart positivt. Den känslan har förstärkts allt eftersom jag har fördjupat mig i hur det står till med säkerheten för Internet of Things, IoT. Sakernas internet på svenska. Min trendspaning är en aning dyster.

Hypponen’s law: ”Whenever an appliance is described as being ”smart”, it’s vulnerable

Mikko Hyppönens ”lag” är nog i grunden korrekt. I huvudsak inget av de hjälpmedel, apparater och redskap som vi väljer att ansluta till internet har designats med säkerhet som någon dominerande ingrediens. Det har inte minst bevisats av världens första sökmotor för IoT, Shodan.

Internet förr

Nostalgi eller inte. Jag är en riktig internetkramare. Internet är den största gemensamma kommunikationsplattformen som någonsin skådats. Internet var en gång i tiden ett löftets land med väldigt lite bekymmer och oro för kriminalitet och personlig integritet. I internets ungdom var det mest stordatorer och minidatorer som var uppkopplade, därefter kom PC-vågen och efter det smarta telefoner och surfplattor som alla i huvudsak hade en sak gemensamt. Det fanns i allmänhet en människa någonstans i loopen som övervakade vad som hände. Även om möjligheten att veta vad som faktiskt händer under huven har blivit allt mer begränsad.

Det var på sitt sätt en magisk värld. I denna magiska virtuella värld fanns ingen brottslighet, ingen oönskad reklam, inga annonser och väldigt lite bekymmer med säkerhet – mest för att nätinvånarna (netizens som de kallades) som regel kände varandra, eller åtminstone kände till varandras organisatoriska tillhörighet. Den världen utgjorde en tekno-utopism där John Perry Barlow’s “Declaration of the independence of cyberspace” som inleddes med orden “Governments of the industrial world, you weary giants of flesh and steel, I come from cyberspace, the new home of mind. On behalf of the future I ask you of the past to leave us alone. You are not welcome among us. You have no sovereignty where we gather….” fick kultstatus.

Internet senare

Trettio år senare håller bedragare, tjuvar och spioner på att förändra internet till en plats i kaos. Eller som Bruce Schneier uttrycker det:

“The internet era of fun and games is over”

Från och med 1993 har köttvärlden och cybervärlden, från början två parallella universum, alltmer kommit att integreras med webben som den stora katalysatorn. Detta nya universum är en märklig plats, både fantastisk och oroväckande. Tillräckligt lång tid har förflutit för att vi ska börja ana hur den uppkopplade världen kommer att te sig. Och det är inte alltid en vacker syn. Ibland är den till och med riktigt skrämmande. 2007 sade Vint Cerf (han som brukar kallas internets fader) vid World Economic Forum att 25 procent av alla datorer eller 150 miljoner ingick i något botnet, av ägaren ovetandes och ovilligt. Idag finns det datorer i allt.

Eller närmare bestämt, allt är en dator: En telefon är en dator som man kan ringa med. Ett kylskåp är en dator som håller livsmedel kallt. En uttagsautomat är en dator där man kan hämta pengar. En bil är inte längre någon mekanisk transportanordning utan snarare en dator med fyra hjul och en motor. Detta är sakernas internet.

Inom 5-10 år kommer (förmodligen lågt räknat) 1 miljard kylskåp, 2 miljarder bilar, 5 miljarder handhållna enheter och armbandsur et cetera att vara uppkopplade till internet. Många med mycket bristfälliga implementationer av allt från själva IP-stacken till knasiga applikationer och administrationsverktyg. Det är vad vi måste hantera.

Vilka scenarior kan vi föreställa oss?

En analytiker vid Atlantic Council, Jason Healey, har beskrivit några framtidsscenarior för internet. I korthet beskrivs varje scenario enligt följande:

Status quo – vi fortsätter som nu. Cyberrymden är i allmänhet en säker plats där man gör affärer och kommunicerar även om kriminella fortsätter att göra mångmiljonkupper och stjäl massiva mängder personinformation och underrättelsetjänster från en stat försöker komma över militära och industrihemligheter från en annan.

En konflikthärd – en värld där cyberkrigföring blir allt vanligare, i huvudsak en extrapolering av den militarisering som vi redan kan skönja?

Balkanisering – cyberrymden faller sönder i nationella territorier – det finns inget gemensamt internet, bara en samling nationella nätverk. Den utvecklingen har diskuterats tidigare och går under beteckningen Splinternet.

Paradiset – cyberrymden blir en fantastiskt säker plats där spioneri, krigföring och brottslighet är mycket ovanligt.

Cybergeddon – det sista slagfältet mellan det goda och onda, en virtuell, misslyckad värld med allt vad det innebär.

Realistiskt står vi förmodligen mellan två av dessa möjliga scenarior – en blandning av balkanisering och mellanstatliga konflikter – båda är extrapoleringar av trender vi redan ser.

Tre iakttagelser om informationssäkerhet och IoT

Angrepp är enklare än försvar – Komplexitet är säkerhetens värsta fiende. Komplexa system är svåra att säkra av massor av anledningar och detta gäller särskilt för datorer och internet. Internet är den mest komplexa maskin som någonsin byggts och det är svårt att skydda. Fördel angriparen.

I sammankopplingar uppstår nya sårbarheter – Ju mer vi kopplar ihop saker till varandra, desto mer påverkar sårbarheter i en sak en annan. Det kan finnas två säkra system som när de kopplas samman skapar säkerhetsluckor och öppnar för angrepp.

Internet gynnar angriparen – Attacker skalar. Internet är ett enormt verktyg för att göra saker mer effektivt. Det gäller också attacker. Internet gör det möjligt att anfalla i en omfattning som annars vore omöjligt.

Vi pratar om miljontals enheter som kan utnyttjas för att attackera någon vital funktion, och koden som användes vid historiens största överbelastningsattack Mirai, som skrevs av någon smartskalle har offentliggjorts. Den användes vid en överbelastningsattack som fick relativt stora konsekvenser då Dyns DNS-tjänster vek ner sig. Drabbade var bland andra Twitter, Pinterest, Reddit, GitHub, Tumblr Spotify PayPal, Verizon, Comcast, Netflix, MSB och krisinformation.se.

Vem som helst kan använda koden. Man har identifierat ett par dussin botnät som gör det. Någon av er kan hyra tid på den mörkare delen av webben för att attackera någon annan. Och det blir allt farligare ju mer kritiska våra system blir. Attacken mot Dyn var trots allt relativt harmlös. Några webbsajter gick ned, men inga människor dog. Sakernas internet kommer att påverka världen på ett helt annat direkt och mycket fysiskt sätt: bilar, vitvaror, termostater, flygplan, pacemakers. Det finns verklig risk för liv och egendom. Och vi pratar om riktigt katastrofala risker. Hur ska vi hantera dem?

Etiketter:
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Lars Magnusson 15 december 2016, kl 08.10

    Som vanligt har min ”SNUS.se”-kollega Anne-Marie levererat en bulls eye-kommentar. Det sorgliga är att åtgärderna har varit kända i åratal, Sans Institut och OWASP-gruppen har sedan runt år 2000 publicerat sina Top 25 och Top 10 Vulnerability Lists, vad som gör att vi får det mesta av sårbarheter. Samma sårbarheter har listats i 16 år.

    Högskolorna och IT-gymnasierna är ett av felen, de kunde ha haft SANS Top 25 och OWASP Top 10 som sina guidelines till rätt sorts programmering. Men så har inte skett. De kör utbildningar som lär programmerare samma fel som man gjorde på -70/-80-talen. För felen är de samma oavsett vilket språk man kör i. Dags för att föra in IT-säkerhet som obligatoriskt på 1:a året i högskolevärlden, en halv termin som grund, med SANS/OWASP, nätrisker samt EU-GDPR. I UK har ISC2.org gått samman med flera högskolor och byggt en modern Infosek-utbildning baserat på CISSP-certifieringen.

    Svara
  • Karina 15 december 2016, kl 14.28

    MYCKET intressant inlägg! TACK!

    Svara