De gamla fåtöljerna på alternativbiografen Bio Rio i Stockholm känns inte som de designerstolar på konferenscenter som säkerhetsfrågor brukar diskuteras på. SEC-T är säkerhetskonferensen som på tre år har blivit en av de mer intressanta mötena för hacking och säkerhet. Kanske går det att skapa sig en tydligare bild av läget för IT-säkerhet i denna mer alternativa miljö, med hackers på rätt sida av lagen?
Grundteknikerna för en hacker kan vara slående enkla. Att trycka på F5-tangenten uppdaterar innehållet i en webbläsare när den läser en hemsida, sätt nu några tusen som gör det på samma gång och sajten kraschar! Köp botnet-mjukvara och ta kontroll över många användares datorer och gör attacken distribuerad. Estland angreps år 2007 med just en så kallad distributed denial of service attack, som slog mot parlamentet, banker, myndigheter och medier.
Ökad uppkoppling ger ökad sårbarhet. Routrar, smarta telefoner, verifieringar av köp och betalningar, trådlösa nätverk etc öppnar möjligheter för hackers att angripa. Oavsett alla PIN-koder, RFID-kort och tillgänglighetsnycklar så vet få om hur osäkra och svaga systemen är.
Årets tema på SEC-T handlar främst om komponenter inom IT-infrastrukturen, som printrar, servrar och deras operativsystem. De är områden som kan vara svåra att till sig för dem som inte är specialister.
IT-säkerhet omfattar mer än infrastruktur (nät, hårdvara, applikationer, middleware etc). Det räcker inte alltid med att uppdatera sina program, om inte apparater kopplade till nätet också har uppdaterad säkerhet, vilket de sällan får.
Apparater uppkopplade till nätet är ofta sårbara då tillverkarna sällan tänkt på att göra dem säkrare. Välkända säkerhetshål förblir oroande ofta olagade. Det säkraste nätverket är ingenting värt om någon rent fysiskt bara gå in och koppla upp sig. En allvarlig fråga med tanke på hur ofta USB-stickor används, och att den har blivit en osäker standard för många tillbehör.
Hotbilden ser förstås olika ut beroende på vem du är, vad du vill skydda och vilka dina nätvanor är. En hemmaanvändare är skyddad med sunt förnuft och säkerhetsprogram. Stora företag har kompetensen för att skydda sig, eller kan hyra in den. Det mest hotade är små och medelstora företag och större användare som är begärliga för angrepp, men inte har resurserna att skydda sig.
Alltmer av vårt vardagsliv, som banktjänster, våra relationer till myndigheter och företag samt vårt arbetsliv, flyttar ut på nätet. Var ligger ansvaret för säkerhet att använda tjänsterna och vad kostar det mig som privat användare? Att ha en fungerande, någorlunda användbar dator ur säkerhetssynpunkt kostar. Både tjänster och hårdvara åldras snabbt. Nackdelen med tunga antivirusprogram och brandväggar gör att tillgänglighet till tjänster saktas ned.
Ett vardagligt exempel ges av Julia Wolf, säkerhetsforskare på FireEye. Hon informerar om riskerna med PDF-filer, då de olika läsprogrammen (parsarna) inte läser filerna på samma sätt. Då går det att smyga sig förbi antivirusprogrammen.
Ett annat exempel är att kapa internettelefonitjänsten Skype för att få tag i modempoolers och PBX:ers (telefonväxlar för företag) telefonnummer.
Särskilt efter det stora angreppet på Estland har risken för riktigt storskaliga hackarattacker debatterats. Ribban för att utkämpa ett cyberkrig är lägre än för ett reguljärt krig.
Säkerhetskonsulten Michael Kemp talar om Nordkorea, och dess fruktade Enhet 121, med 17.000 hackers redo att utföra den käre ledaren Kim Jong Ils vilja. Den sydkoreanska militären och amerikanska säkerhetsexperter har varnat för ett nordkoreanskt angrepp på G20-mötet som hålls i Seoul i november. Kemp visar att det inte ligger mycket i varningarna. Nordkorea har mycket begränsad tillgång till internet, och intranätet Kwangmyong är inte så mycket mer tillgängligt då hårdvaran är för dyr. Det finns fem fasta telefoner per hundra invånare, och GSM-nät finns bara i huvudstaden Pyongyang. Nordkorea har vare sig kompetensen, resurserna eller infrastrukturen för cyberkrigföring. Kemp gissar att ett rykte förstärktes av experter, plockades upp av trovärdiga källor som The Economist och blev en ”sanning” då det gynnar vissa politikers och särintressens agendor.
Föredragen på SEC-T visar att säkerhetsfrågan bör tas med en nypa salt. Vissa aktörer marknadsför sig genom fruktan, osäkerhet och tvivel. För att sälja mer säkerhetstjänster, eller för att skrämma bort kunder från konkurrenters produkter. En certifiering garanterar inte säkerhet. Tveklöst orsakar hackers stora skador och det finns i längden inga osårbara system.
Ligger lösningen i bättre teknik och bättre säkerhetstänkande? Delvis, en fungerande säkerhet handlar om att väga kostnader mot sannolikheten att bli hackad. Det har blivit lättare för scriptkiddies (hackare som använder skript och program som utvecklats av andra) att utföra attacker, eller att göra angreppen mer kraftfulla genom botnets av frivilliga datorer. Det är en kostsam terrorbalans.
Tillfället gör tjuven, men motiven är olika. En del gör olagliga hack för att få uppmärksamhet och status i den egna grupp, andra utför databrott för pengarnas skull.
Lagarna behöver anpassas till vad som sker på internet, men syftena med lagarna måste vara desamma. Detta då lagarna bör företräda de värderingar som hela samhället delar. Det främsta skyddet för liv, frihet och egendom även på nätet är en moralisk känsla hos medborgarna att ”vissa saker gör man inte”. Intrång, hot och stölder leder till ett dåligt samhälle, även för förbrytaren i slutändan.