PRISM-tilpasset sikkerhed

Nu da PRISM er blevet afdækket, er der mange der sidder og stirrer fortabt på sikkerhedsinstruksen og en blinkende cursor...

Man skal vælge sine slagsmål med omhu, ikke mindst et hvor modstanderne har så mange resourcer som her.

Det første man skal gøre sig klart er derfor hvad man ikke kan og derfor ikke vil forsøge at forsvare.

Blokering af Google, FaceBook, Skype osv ?

Glem det.

Afværge identifikation og tracking af brugere og computere der har en browser ?

Glem det.

Begge dele kan gøres, men nettet bliver "oldnordisk" af det og medarbejderne vil forsøge at arbejde uden om sådanne restriktioner.

Men der er andre steder hvor organisationen typisk har kontrollen, som bør kulegraves.

Det siger sig selv at enhver anvendelse af "Cloud" og ${Shit} As Service skal kigges på i det absolut mest skeptiske lys og leverandørene skal kigges efter i sømmene.

Det der er unikt her og som mange "vi har skrevet en god stærk kontrakt"-advokater totalt overser, er at der er tale om uigenkaldelige begivenheder.

Kørekortsregisret er uigenkaldeligt stjålet, det bliver aldrig hemmeligt igen, for der er ingen måde at bevise at alle ulovlige kopier er opsporet og slettet.

Datalækager står på den måde i stærk kontrast til f.eks et oppetidskrav, hvor man via økonomisk kompensation kan blive holdt skadesløs.

Som udgangspunkt skal man derfor ikke lægge nogen data ud "i skyen" eller ${Shit} As Service, med mindre man kan leve med at der bliver taget kopier af dem.

Det betyder at man enten bliver nødt til at sortere sine data i "vigtig" og "mindre vigtige" eller også behandle dem alle som "vigtige" og betale de øgede driftsomkostninger.

Google Docs og Office 365 kan fint bruges til alt muligt trivielt: Firmasporten, invitationer til salgsgasudslip, personalelisten.

Men Bestyrelsesreferatet, Truslen om sagsanlæg fra en utilfreds kunde, Ideen til et nyt produkt, Patentansøgningen ?

Jeg ville sige blankt nej.

Et eller andet sted imellem disse to yderpunkter skal den ansvarlige ledelse trække en klar rød streg, som medarbejderne kan se og der skal betales IT omkostninger for alt der ligger på den sikre side af stregen og for besværet med at håndtere stregen.

Hvor stregen går i forhold til CPR numre, personoplysninger, fakturering osv, bør være indlysende for enhver.

På samme vis skal ledelsen trække en rød streg igennem hvad der kan kommunikeres med kolleger, kunder, leverandører og pressen via sociale media og hvornår man skal sige "ring lige til mig på tlf eller send mig en email".

Medarbejderes forwarding af email skal naturligvis også gennemgås: Antag at enhver net/web baseret emailportal er usikker, med mindre firmaet selv kører den.

Egentlige "Cloud" services er endnu mere fuzzy.

Der er ikke noget problem i at bruge en eller anden "Storage in the cloud" service, hvis bare man kun gemmer kompetent krypterede data derude.

Det bekvemme ved "Cloud" forsvinder dog hurtigt, hvis man skal igennem en kompetent authentisering hvergang man skal åbne en fil.

Men f.eks at dumpe vel-krypterede backup-kopier hos Amazon burde ikke volde problemer.

Brugen af "cloud" faciliteter til egentlig databehandling betyder, IBMs jævnlige press-releases til trods, at der ikke kan bruges kryptering: Antag, med mindre andet kan bevises, at data bliver aflyttet.

Back-office systemerne er den helt store betændte tommeltot. Det er typisk ikke noget man bare lige skifter ud eller migrerer og derfor er der nok kun en ting at gøre: Kør vognene i cirkel og byg barrikaderne højere.

Husk i den forbindelse de tværgående forbindelser: Alt skal være krypteret. (Det var her CSC+Politiet dummede sig)

Det siger sig selv at alle logfiler skal læses skeptisk og atypiske mønstre eller begivenheder skal forklares til bund, hvergang.

Er der en chance for migrering, så tænk rigtig grundigt over hvem der kigger med over skulderen i de forskellige løsninger.

Den samme røde streg som ovenfor bør kunne genbruges mht til data på transportable devices:

Ingen følsomme data på private devices, alle officielle devices skal være behørigt krypteret (Af hensyn til tyveri osv.)

Spørgsmålet om hvilke devices man faktisk kan stole på er utroligt betændt.

Flere af læserne påpegede ganske observant at både Rusland og Kina havde udviklet "officielle" Linux og BSD distributioner fordi de ikke stoler på Microsoft og Apples produkter.

Et simpelt statistisk overslag vil dog hurtigt vise at det er urealistisk at noget "desktop" operativsystem der har en brugbar browser er uden spandevis af sikkerhedshuller og derfor er det maksimalt de med vilje indbyggede svagheder disse StatsLinuxer råder bod på.

Jeg kan ikke med oprejst pande påstå at der er særlig håndfast evidens for at en "kontor-computer" er mere eller mindre sikker fordi den kører FreeBSD eller Linux, dertil udgør browsere, Java, Flash osv. alt for store kodebaser.

På den anden side tæller Microsoft og Apples deltagelse i PRISM programmet meget, meget tungt imod dem.

For det første: Hvad bliver der rapporeret tilbage ? Nøglen til den krypterede disk ?

For det andet: Tvungne opdateringer man ikke kan få detaljeret indsigt i ? Den mekanisme er for perfekt til installering af backdoor/keylogger osv.

Med Open Source er man bedre stillet, men ordentlig sikker er man kun, hvis nogen man stoler på faktisk har gjort sig umagen at læse den næsten kvarte milliard linier kode vi typisk taler om, alt inklusive.

Mac brugerne vil blive et stort problem, men PC brugerne ville jeg forklare sagens alvor og migrere dem til en eller anden Linux eller BSD baseret kontor-løsning.

Husk at checke maskinerne for remote-management features i BIOS-settings, ud over IPMI dukker alle mulige andre private skodting op nu om dage.

Mobiltelefoner, smartphones, anser jeg for en "lost cause".

Jeg har endnu ikke fundet en smartphone der ikke stank langt væk af elendigt kodede programmer som ikke kan stoppes og ikke slettes.

Desuden mangler alle smartphones jeg har set det helt basale "administrator" koncept der gør at organisationen kan gennemføre en IT-sikkerhedspolitik som brugeren ikke kan fravælge.

MAO: Absolut ingen data fra den forkerte side af den røde linie på smartphones.

Og langt hen ad vejen er det altsammen det præcist samme jeg ville have sagt for en uge siden, hvis det lyder mere fornuftigt end det plejer er det ikke fordi jeg er blevet klogere.

Næste Blogindlæg: Niels Bohrs løsning.

phk

Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Deleted User

Som altid rammer du hovedet lige på sømmet, i en skarp og præcis sammenfatning.

I mit stille sind, har jeg et håb om, at med hensyn til offentlig IT, vil politikerne frem over tale om, "før og efter PRISM+CSC+Politi" og tage fremtidige beslutninger i det lys.

Men her er det måske mig der er naiv!

  • 2
  • 0
#2 Deleted User

Nu vi er inde på at Politi og andre gov's burde kryptere deres data. Hvilket de naturligvis bør gøre for at beskytte mine data - som jo tilhører MIG.

Det er ikke mange år siden, at vi har haft diskussionen om NemID - og at det er bevist i deres egene dokumenter, at Staten har mullighed for at skaffe sig adgang til min PRIVATE nøgle. Det er desværre ikke svært for hverken Staten eller en hacker at finde min private nøgle, idet den ligger på en central server hos DanID.

Min nøgle er per definition kompromiteret i det øjeblik den genereres hos DanID.

Burde det ikke være på tide vi indkræver, at vi vil have en ægte privat nøgle? Open source vil også være dejligt - så alle websites osv. havde mulighed for at bruge digitale signaturer - fremfor at DanID skal have penge for at vi bruger deres total usikre løsning. Det er ikke til at fatte vi har spildt vores skatte-kroner på sådan noget ?

Mon DanID bruger IBM mainframes med zOS ? ;-)

  • 3
  • 1
#3 Peter Holm Jensen

f.eks. en ssh forbindelse ikke kan knækkes hvis man er NSA (hvor mange nøgler var det lige der blev genereret af en Debian sidst der var en ups i tilfældige tal), eller hvad med gpg krypterede filer og ikke mindst hvad med ensfs og truecrypt. Der er garanteret nogle regnedrenge hos NSA der fedter rundt med nogle primtal.

  • 0
  • 0
#4 Kenn Nielsen
  • 0
  • 0
#6 Claus Bruun

[qoute] Desuden mangler alle smartphones jeg har set det helt basale "administrator" koncept der gør at organisationen kan gennemføre en IT-sikkerhedspolitik som brugeren ikke kan fravælge. [/qoute]

På windowsphone påtrykker exchangeserveren en sikkerhedspolitik som fx. kræver PIN kode og sætter telefonen til at autolåse efter X min, hvis den ikke benyttes.

  • 1
  • 0
#9 Casper Bang

Desuden mangler alle smartphones jeg har set det helt basale "administrator" koncept der gør at organisationen kan gennemføre en IT-sikkerhedspolitik som brugeren ikke kan fravælge.

Ehh så synes jeg du skal opgradere din Nokia 3210 til iOS eller Android. På iOS og Android, når man aktiverer Exchange synkronisering, ligger man under for Exchange serverens/administratorens sikkerhedspolitik. På Android ser det f.eks. således ud.

Mobiltelefoner, smartphones, anser jeg for en "lost cause".

99% af Android er open source, så det er da bare at gå i gang, jeg tester gerne når du frigiver Phandroid. Bemærk, du skal nok lige opgrade din Nokia først.

  • 0
  • 1
#11 Anders Pallisgaard

Hej Poul-Henning!

Kan du uddybe hvad du forstår ved den "sikre side af den røde streg"? Er det fx at et firma selv drifter en løsning på egen server i eget serverrum/datacenter med eget personale? Og i så fald, vurderer du sådan en løsning som værende mere sikker (overordnet set) end en SAAS løsning hos fx Google, Microsoft eller CSC? Her tænker jeg ikke kun sikkerhed i forhold til PRISM, men på alle mulige andre sikkerhedsforanstaltninger det kræves for at drifte en løsning på sikker vis. Fx ISO 27001.

Mvh. Anders

  • 0
  • 0
#12 Poul-Henning Kamp Blogger

Kan du uddybe hvad du forstår ved den "sikre side af den røde streg"?

Den røde streg skiller de oplysninger du kan leve med bliver stjålet/aflyttet/lækket, fra de oplysninger hvor det ville gøre oprettelig skade.

En datafil med rådata til telefonbøger er på den ene side, det er måske et økonomisk tab, men mere er det heller ikke.

Politiets, Skats og CPRs databaser er på den anden side: Slipper de ud ændrer det uoprettligt på borgernes muligheder for privacy.

  • 0
  • 0
#14 Anders Pallisgaard

Jeg tænkte mere på selve implementeringen af det "sikre" system. Altså hvordan strikker vi et system sammen som er godt nok til de følsomme oplysninger? Svaret på det er måske egne servere i eget serverrum/datacenter med eget personale. Men anser du sådan en løsning for mere sikker (overordnet set) end "Cloud" og ${Shit} As Service? Her tænker jeg fx på ISO 27001 og alt muligt andet man nu som firma skal til at have styr på.

  • 0
  • 0
#18 Morten Wegelbye Nissen

Jeg er blevet anbefalet true-crypt. Er det OK efter din mening?

IMHO kommer det an på hvad du beskytter mod. Er det fysisk tyveri så vil jeg sige ja.

Men alt andet: Problemet er det OS du bruger. Bliver det leveret fra et firma der har en aftale med NSA? Eller er dit system knækket på en anden måde. (Trojan, backdoor, whatever) Givet at du ser dine data ukrypteret på din skærm, kan dit OS også.

  • 0
  • 0
#19 Erik Hougaard

Desuden mangler alle smartphones jeg har set det helt basale "administrator" koncept der gør at organisationen kan gennemføre en IT-sikkerhedspolitik som brugeren ikke kan fravælge.

Faktisk har Windows Phone 8 lige præcis det, kaldet "firma-apps" på dansk eller company apps - Der følger en IT-sikkerhedspolitik med.

http://www.windowsphone.com/en-us/how-to/wp8/people/what-is-a-company-ac...

Aktiveres det, går mobilen i "firma-mode" og bliver styret centralt (Skal undlade at kommentere på paradokset over at det er Microsoft der leverer denne feature)..

  • 0
  • 0
Log ind eller Opret konto for at kommentere