Quis custodiet ipsos custodes?

Jeg har et kæmpe problem med den selvbestaltede "cyber-sikkerhedsbranche".

Jeg stoler ikke på dem.

Jeg kender mange rare mennesker i branchen som jeg stoler på, men jeg stoler ikke på de virksomheder de arbejder i og for, og overhovedet ikke på branchen som helhed.

Tag f.eks den seneste historie:

CTO i "ExpressVPN" moonlightede for en arabisk petro-despot med at hacke computere i USA.

Historien jeg linker til, handler om hvordan medarbejderne er lidt rystede over at ledelsens svar var "Det vidste vi da godt."

Eller tag SolarWinds, der i stort omfang markedsførte sig som et "cyber-værktøj" til at opdage uønsket netværkstraffik.

I over 20 år har jeg hørt vedvarende rygter om at de virksomheder som lever af "malware-detection" også er en væsentlig kilde til malware-varianter, dels for at kunne påpege at man fanger mere end konkurrenten, men også i visse tilfælde som en service til efterretningstjeneste der havde brug for at undvige installeret mal-ware scanning software.

Fundamentalt set er forretningsmodellen lige så korrupt som for efterretningstjenester: "Trusselniveauet er ekstremt højt, men vi kan naturligvis ikke fortælle hvorfor vi siger det, men send flere penge".

Det er naturligvis også derfor så meget markedsføring fra branchen bruger så meget tid på at virksomhedens ledelse har specialstyrkerne eller efterretningstjenesterne på CV'et.

Selvfølgelig opstår der ikke et boom-marked uden kunder klar til at kaste penge i et sort hul.

Hvis jeg kniber øjnene tæt sammen, kan jeg næsten godt skimte hvordan en CIO kan nå den konklusion, at den rigtige måde at implementere et Virtual PRIVATE Network er at hyre nogle tidligere specialtropper.

Det kræver sådan set kun at man totalt har misforstået både hvad et VPN skal gøre godt for og hvordan det virker.

Ligeledes kan jeg også godt næsten sætte mig ind i hvordan folk der er vant til at gå igennem lufthavnenes sikkerheds-teater et par gange om måneden, kan få den ide at "malware scanning" kan forhindre software med sprængstof i skoene eller over 100ml væske i at komme ind i deres virksomheds netværk.

Det minder mest af alt om de overtroiske våbenkapløb der endte med at grundlægge moderne kemi som videnskab: Middelalderfyrsterne frygtede trolddom og magi, så de var naturligvis nødt til at hyre deres egen troldmand og magiker.

Ironien i at Hjemmeværnet blev hacket er i den forbindelse næsten ikke til at klare, og det burde få et rationelt handlende forsvarsudvalg til at udbede sig en redegørelse for hvordan det ville have forandret situationen hvis det påtænkte cyberhjemmeværn havde været funktionsklar da det skete.

Svaret er naturligvis "Ikke en tøddel."

Hvilket, som sagt, i et nærmest utroligt sammenfald, er hvor meget jeg stoler på "cybersikkerhedsbranchen".

phk

Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Nis Schmidt

Hvilket, som sagt, i et nærmest utroligt sammenfald, er hvor meget jeg stoler på "cybersikkerhedsbranchen".

Ha ha! Tak, for et sjovt blog-indlæg; det er triste tider, men lad det ikke gå dig på.

Er det relevant? For omverdenen, måske; men mon ikke de tænkende har nået samme konklusion?

  • 26
  • 0
#2 Jorgen Hansen

Læg så dertil at staten tvinger samtlige borgere til at acceptere alen lange uforståelige kontrakter med store udenlandske IT virksomheder og integreret al kommunikation med det offentlige på deres software platforme og hardware. Et sikkerhedshul exponerer alle brugere. Vi har gjort samfundets kommunikations infrastruktur meget sårbar.

  • 33
  • 0
#3 Bjarne Nielsen

Apropos ExpressVPN, så er her en anden, som også har set Reuters pressemeddelse: https://restoreprivacy.com/expressvpn-executive-uae-surveillance/

Og fra samme sted, et par dage før, en artikel om, hvordan ExpressVPN just er blevet opkøbt af Kabe (tidligere kendt som Crossrider, som var kendt som distributør af malware). Kabe, som også har opkøbt andre VPNs og en håndfuld VPN review site (sjovt nok, så har de VPNs som Kabe har opkøbt nu en fremtrædende placering): https://restoreprivacy.com/kape-technologies-owns-expressvpn-cyberghost-...

De to ting er ikke umiddelbart forbundet, udover at det virker til at sige noget om den generelle tilgang til det at drive en forretning. Men vi hører jo ofte det synspunkt, at virksomheders eneste formål er, hurtigst muligt og på mest effektive vis, at berige deres ejere, uagtet hvad det så måtte betyde for kunder, samarbejdsparterne og samfund, så vi bør vel ikke være overraskede.

Som minimum bør det løfte et øjenbryn, når man reelt sælger elatisk i metermål, og bliver købt af nogen, som tidligere har vist sig ude at stand til at sælge elatisk i metermål på reel vis.

Det er mit indtryk, at dette ikke er et enestående eksempel, men at det godt nok ligger i den kedelige ende, hvad eksempler angår.

  • 23
  • 1
#4 Bjarne Nielsen

Fra oplægget:

Jeg kender mange rare mennesker i branchen som jeg stoler på, men jeg stoler ikke på de virksomheder de arbejder i og for, og overhovedet ikke på branchen som helhed.

Det synes jeg godt nok at jeg rigtigt mange gange er kommet ud i, sådan helt generelt. Jeg synes også tit at jeg ser dygtige, kloge og fornuftige folk arbejde for steder og sager, som er tvivlsomme eller direkte problematiske, og det gør mig altid trist.

Men det kan godt være at "cyber-sikkerhedsbranchen" i særlig grad tiltrækker plattenslagere og lykkeridder; det er jo en branche, hvor der er uhyre svært at vurdere kvalitet, hvad gør det temmeligt svært for dem, som måtte levere reel kvalitet.

PS: Jeg kan nok undlade at foreslå en mærkningsordning :-).

  • 16
  • 0
#6 Anders Olesen

Hvis jeg kniber øjnene tæt sammen, kan jeg næsten godt skimte hvordan en CIO kan nå den konklusion, at den rigtige måde at implementere et Virtual PRIVATE Network er at hyre nogle tidligere specialtropper.

Ja, det er en næsten morsom historie med ham Gericke. Minder lidt om den om James Clapper, der umiddelbart efter at have løjet for alle kongress-medlemmer om den ulovlige masseovervågning af amerikanere (hvilket Snowden vistnok angavn som dråben, der fik ham til at blæse i fløjten) bliver ansat på CNN som deres senior national security analyst :-D Hvis man kniber øjnene tæt sammen. kan man måske osse se hvorfor et nyhedsorgan synes at det var en lys ide :)

Lur mig om der ikke bliver smidt alle mulige rygter i søen om konkurrenterne når man ikke lige kan klare sig på ærlig vis... Hvis man så også kan få sin regeringen til at blackliste konkurrenterne... Så er det jo rigtigt smart.

Jeg har fået samme tanke. Jeg tænker at i det mindste nogle af de mere eller mindre understøttede anklager om sikkerhedsbrister/huller/backdoors, lige så meget er en del af business-warfare som it-sec-problematikker.

  • 15
  • 0
#7 Ditlev Petersen

Historien er som taget ud af en flyvsk og ikke helt sammenhængende krimi eller agentroman. En hvor nye afsløringer, f.eks. gummimasker der flåes af, hele tiden ændrer historien.

Og så er det ikke en krimi, bare business.

  • 5
  • 0
#9 Morten Nissen

Jeg er egentligt enig i det hele. Det er en branche der er dybt afhængig af frygten for et enormt tab. På den anden side står der nogle IT folk som måske/måske ikke forstår hvad IT sikkerhed er. De har i hvert tilfælde nok ikke nødvendigvis den samme opfattelse som du eller andre dybt faglige stærke profiler. Så scenen er: man har typisk en ansvarlig for sikkerhed. Man ved at hvis han ikke gør det ordentligt så kan konsekvensen være enorm. Jeg kan godt forstå hvorfor det er nærliggende for de fleste at få en 3. part til at komme og revidere sittuationen.

I forlængelse af det opstår der det problem at stort set alle der revidere rigest tilstand vil også sælge en løsning efterfølgende. Helt som næsten alt andet man køber målt i timer - levernadøren er mere interasseret i næste salg frem for det man lige har købt.

  • 1
  • 0
#10 Henrik Juul Størner

... hvilket jo i mange organisationer er en umulighed.

Men hvis man sætter sig ned, trækker vejret dybt et par gange, og glemmer alt det glittede salgsmateriale, så finder man ud af at man kan forbedre sikkerheden allermest ved at træne sine medarbejdere, og give dem værktøjer til at opføre sig fornuftigt.

Hvis vi kan lære alle at lade være med at klikke på underlige links i e-mails ville ransomware stort set være udryddet.

Hvis vi kan lære alle at elske en password manager ville password læk være en saga blott.

Kombiner det med en ordentlig backup og gode patch-rutiner, så er du nået meget, meget langt.

Men det kræver at man tænker sig om i stedet for bare at købe det nyeste tekno-fix eller bestille endnu en konsulentrapport.

  • 7
  • 0
#11 Ditlev Petersen

Hvis vi kan lære alle at elske en password manager ville password læk være en saga blott.

Mja, en pålidelig passwordmanager brugt korrekt kan forhindre, at en eller anden bruger samme password hele vejen rundt. En passwordmanager kan ikke forhindre et geni i at kvaje sig.

Og lige som hvem skal vogte disse vogtere, hvem skal så programmere passwordmanagerne?

Stadig nok det bedste, der haves endnu.

Der er stadig masser af svage punkter ud over at folk klikker på underlige link. Selv om den slags spiller en ret stor rolle.

  • 4
  • 0
#13 Bjarne Nielsen

Hvis vi kan lære alle at lade være med at klikke på underlige links i e-mails ville ransomware stort set være udryddet.

Hvis vi kunne få ledelsen (og andre med større magt end teknisk indsigt, ja, HR, jeg kigger også på jer) til at lade være med at rundsende emails med underlige links med en lettere ubehjælpsom tekst om, at det haster og er vigtigt, så ville vi være kommet langt.

  • 14
  • 0
#14 Poul-Henning Kamp Blogger
  • 13
  • 0
#15 Henrik Juul Størner

En passwordmanager kan ikke forhindre et geni i at kvaje sig.

Den eneste tekniske løsning på det problem vil bringe dig i konflikt med straffelovens paragraffer om drab.

Sikkerhed er ikke absolut, vi taler om sandsynligheder (eller rettere: risici). Hvis jeg kan reducere risikoen for et katastrofalt angreb med 90% blot ved nogle få simple tiltag, så er det et godt sted at starte.

Ligesom når jeg sikrer mit hjem - der starter jeg også med at huske at lukke vinduerne og låse døren. De eksplosionssikrede vinduer er langt nede på prioriteringslisten.

  • 1
  • 0
#17 Ole Kaas

Hvis vi kunne få ledelsen (og andre med større magt end teknisk indsigt, ja, HR, jeg kigger også på jer) til at lade være med at rundsende emails med underlige links med en lettere ubehjælpsom tekst om, at det haster og er vigtigt, så ville vi være kommet langt.

Her kan man undre sig over at såkaldte "professionelle" email systemer stadig ikke skelner mellem intern og extern email og bare presenterer det hele i en pærevælling...

Eller - når nu ikke systemet kan dette og iøvrigt heller ikke kan whiteliste godkendte domæner - laver redirect url (a la bit.ly) fra virksomhedens eget TLD.

Et plugin i min arbejdspostkasse forsøger med noget gamefication, hvor der sendes falske-falske-mails - hvor man kan erhverve sig stjerner og achievements hvis man rapporterer dem. Nu har jeg så rapporteret et par fishingforsøg - qua min træning - hvor jeg IKKE er blevet "belønnet"... noget security træning af en slags. Der er indtil flere tegn på phishing:

  • Ingen forudgående forventning om at modtage mailen.
  • firmaets TLD er ikke i linket når man "hover" musen.
  • Urgency feeling - det er vigtigt at du clicker på linket i en fart.

Måske mailen er god nok - jeg ved det ikke. Men hvis den er, er det lidt fjollet at træne sit personale og så efterfølgende lave (unødvendige) undtagelser.

  • 5
  • 0
#19 Povl H. Pedersen

Branchen består af mange forskellige virksomheder.

Alle ved vel at ExpressVPN o.lign. ikke leverer noget privacy, men den flytter din privacy exposure til en anden levarandør end din ISP. Mange bruger den også kun til at omgå geoblokering af indhold.

Men når man køber produkter - eller på anden måde anskaffer dem (Skattesystemet i Ukraine = NotPetya), så skal man tænke dem ind i sit overordnede infrastruktur design. Og hegne tingene ind. Og man er nødt til at have en vis grad af tillid til indhegningen. Og antage at da det er et helt andet produkt, så er det i det mindste sværere at komme ud.

Den største risiko er i de fleste tilfælde stadig fejl 30, det er ikke blevet til fejl 40 med alderen. De digitale indfødt er privacy og security fremmede. Og det løser man ikke alene med produkter.

  • 0
  • 0
#20 Lasse Mølgaard

Her kan man undre sig over at såkaldte "professionelle" email systemer stadig ikke skelner mellem intern og extern email og bare presenterer det hele i en pærevælling...

Ikke på min arbejdsplads! :-)

Her bliver alle mails som kommer fra ikke-firmarelaterede domænet flagget med en besked skrevet med neonorange baggrund med følgende besked:

"Ekstern email! Vær ekstra varsom med at reagere på information i denne mail!"

Personligt synes jeg det støjer mere end det gavner, fordi al mailkorrespondance med kunder er per definition en korrespondance imellem en intern email adresse og en ekstern email adresse.

  • 2
  • 0
#21 Sune Marcher

Her bliver alle mails som kommer fra ikke-firmarelaterede domænet flagget med en besked skrevet med neonorange baggrund med følgende besked:

Flagget hvordan? Et UI-element (som man sandsynligvis ender med at blive trænet i at ignorere), eller bliver mail body text omskrevet af et eller andet emsigt software?

Vi bruger gmail for business, den tilføjer en external label – det støjer ikke super meget, men kan også forholdsvist nemt overses 🤷‍♂️

  • 0
  • 0
#22 Lasse Mølgaard

Flagget hvordan? Et UI-element (som man sandsynligvis ender med at blive trænet i at ignorere)

Aner ikke hvordan Exchange server håndtere tingene, men Postfix kan sagtens se forskel på mails til mailbokse, som kommer fra eksterne email adresser vs interne adresser.

Det bruger den blandt andet til om den skal tjekke DMARC i DNS, eller den kan antage at e-mailen stammer fra en lokal bruger.

Det ligger derefter til højrebenet at tilføje en X-header med eksempelvis teksten "X-external-mail", hvis mailen stammer ikke fra en lokal konto og lave en GPO til Outlook som holder øje med om headeren findes hvorefter mailen flagges i mailbakken.

  • 0
  • 0
#23 Bjarne Nielsen

al mailkorrespondance med kunder

Kun kunder? Det har vi også fået, og da vi er gået i skyen, så flages også beskeder fra byggeserver, versionskontrolserver, wiki, incidenshåndteringssystem og gruppechatserver. Hvem sagde ulven kommer?

Og man kan så i systemet vælge at stole på udvalgte eksterne afsendere ... hvorved den loader billeder i mailen, men den neonfarvede advarsel består.

Jeg tror, at der skal arbejdes lidt videre med den ide.

  • 1
  • 0
#24 Sune Marcher

Aner ikke hvordan Exchange server håndtere tingene, men Postfix kan sagtens se forskel på mails til mailbokse, som kommer fra eksterne email adresser vs interne adresser.

Jeg mente ikke hvad der kigges på for at klassificere, men om advarslen vises som et UI-element i mailprogram/webapp, eller om mail-body bliver modificeret (ligesom visse mailservere havde tendens til at tilføje "ER SCANNET MED SNAKE-OIL ANTIVIRUS" footers).

  • 0
  • 0
Log ind eller Opret konto for at kommentere