V2Security: En anmeldelse
V2security er blevet et fast indslag i mit forår. Også i år havde Version2 sørget for strålende vejr. Sidste år var der kritisk behov for det, for da tog check-in en evighed – vist nok fordi navneskiltsprinterne var for sløve. Men Version2 lyttede til vores kritik, og i år kunne man printe hjemmefra, så check-in tog 1 minut. Sådan skal det gøres!
I år var det endnu vigtigere end sidste år, for jeg har aldrig set så mange deltagere. Og en succes giver naturligvis nogle logistiske udfordringer.
Jeg brugte det trykte program sammen med udskrift af ”mine” oplæg hjemmefra. Programmet virkede fint, men hvis jeg havde layoutet programmet, ville jeg nok have puttet kortet i midtersiderne og ikke opslaget før midtersiderne. Kortet skal i øvrigt opdateres med forpladsen, hvor garderoben og de ekstra toiletter er.
Headset-oplæggene virker fint. Kun ved eet oplæg oplevede jeg en smule bøvl med at få lyden igennem. Specielt er det skægt, at man kan tale med sidemanden uden at hviske og uden at det forstyrrer andre. Bliv ved med headsettene.
Stolerækkerne ved V2scenen lider lidt under, at der ikke lige er een tom kolonne i midten, så det ville være muligt at komme ind midt i rækken. Jeg oplevede i hvert fald en del tomme sæder, som var svære at komme ind til.
I år startede alle keynotes kl. hel, og i de fleste oplæg med kvarters opløsning. Tak for det, for det mindes jeg var ret rodet sidste år.
Mohaiman Rahim, DTU: TPM Sniffing and Injection: Hacking the popular cryptoprocessor with cheap tools
At V2security sætter sin hovedtaler på som den første taler på V2scenen er mig en gåde.
Titlen er ganske vist lidt kryptisk, men konsekvenserne er vidtrækkende.
Det var en tydeligt nervøs Mohaiman, der præsenterede sit projekt, hvor han overtog sikkerhedschippen (TPM). Det skete med simple midler, der dog krævede det store IT-kørekort, men ikke millioner af kroner.
Sikkerhedschippen bruges bl.a. til BitLocker. Så bruger man BitLocker til full disk encryption, så kan du ikke længere blot læne dig tilbage, hvis din laptop bliver stjålet. Hvis Mohaiman kan overtage kontrollen med TPM, så er tilliden til TPM væk.
Mohaiman forklarede også, at det skyldtes et idiotisk design, hvor man har en bus, som man antager ikke bliver modificeret af en angriber, for kan du lave man-in-the-middle her, så er det game over. Havde data på bussen været krypteret, så havde Mohaiman ikke kunnet lave sit angreb.
Mohaiman, du er min helt. Vi skal have flere som dig, men hold kæft hvor er det træls, at vi ikke kan stole på TPM'en. (Men selvom du er min helt, så skal du altså lige teste dine slides på et Apple Watch: Hvis du ikke kan læse dine slides der, så er teksten for lille.)
Edy Almer, Logpoint: Maximizing SOC Efficiency with ChatGPT: Harnessing the Power of Large Language Models
Der er et før og efter ChatGPT - også i sikkerhedsbranchen.
Edy lægger ud med med at spørge, hvem der havde brugt ChatGPT. Det havde alle.
Alligevel starter Edy med Adam og Eva. Først i de sidste 10 minutter kommer han hen til brugen af ChatGPT i sikkerhed. Og her viser han kun overordnede ideer - ikke konkrete eksempler, som er lavet med ChatGPT.
Det virkede lidt som om han kun præsenterede ideer, men aldrig selv havde udført disse ideer.
Den mistanke blev styrket, da jeg efter oplægget spurgte, om han havde kørt en ChatGPT-konkurrent på sin egen hardware. "Det er alt for langsomt," svarede han. Men da jeg så fortæller ham, at det har jeg og at det er ca. samme hastighed som den gratis ChatGPT, så måtte han erkende, at han aldrig havde prøvet det.
Så kære Version2: sørg venligst for at oplægsholderne faktisk har prøvet det, de taler om - eller i det mindste gør det klart, at de lige nu fantaserer. Varm luft er der rigeligt af.
Jakob Krabbe Sørensen, Complycloud og Carina Lucas-Sennenwaldt – Børns Vilkår: Datatilsynet på besøg hos Børns Vilkår – hør hvad der skete!
Børns Sikkerhed er underlagt nogle specielle regler, og fik besøg af Datatilsynet for at få verificeret at de lever op til disse. Datatilsynet sendte et varslingsbrev med hvad der ville være fokus på.
Carina havde en fin analogi med at være til eksamen: Forbered en relevant gennemgang, og så lader eksaminator dig nok styre slaget.
Der var fokus på: Artikel 30 fortegnelse, og at hver politik medfører en procedure som følges op af en kontrol. En fin forståelig gennemgang.
Kære Version2: Der var ingen slides i dette oplæg, men desværre slukkede ingen for jeres ellers fine pauseskærm, og den distraherede noget.
Hans Jayatissa og Andrew Michal, KMD: Hvordan forbereder man sig på, at kvantecomputere vil kunne bryde de mest gængse krypteringer?
Hvis du er i sikkerhedsbranchen og ikke er klar over, at kvantecomputere ændrer spillereglerne for kryptering, så har du sovet i timen.
Så jeg håbede dette oplæg tog udgangspunkt i problemet og så kikkede på, hvordan vi kommer i mål.
Desværre startede de fra scratch: Har man virkelig behov for at vide, hvordan en kvantecomputer virker, for at kunne forstå implikationerne for kryptering? Det mener jeg ikke.
Derudover var de kort omkring af quantum cryptography. Tidsmæssigt brugte de præcis den længde, som jeg fandt rimeligt, men de gjorde det desværre ikke klart, hvorfor quantum cryptography ikke er en løsning for de fleste. Der manglede lidt: Her er en formel-1 bil, der kræver specielle baner, og du har ikke råd til den, derfor er det ikke en løsning på dit transportbehov, og derfor bruger vi ikke mere tid på den. Jeg tror de færreste forstod, at quantum cryptography kræver line-of-sight eller en direkte fiber (uden routere) mellem de to parter, og derfor er både dyrt og upraktisk for de fleste.
Til slut kom vi så til den gode del: De lavede en OK præsentation af NIST’s konkurrenceog efterfølgende standardisering. Vi kommer ikke ned i hvad lattice based encryption egentlig er (men se https://www.youtube.com/watch?v=6qD-T1gjtKw for et underholdende forsøg på at forklare det). Udrulningen kommer til at tage noget tid, men at det er en bunden opgave, som vi skal igennem - og nogen skal skynde sig mere end andre pga. collect-now decrypt-later problemet.
Alt i alt et OK oplæg, men overskriften var misvisende og burde have indikeret, at det var for folk uden kendskab til problemet.
Eller rettere: Det ville have været et OK oplæg, men det var utilgiveligt, at der ikke var en eneste Star Trek reference: En af topkandidaterne i NIST’s konkurrence hedder Dilithium og er fra CRYSTALS projektet. Come on! Hvis du ikke skal vise din Star Trek viden på en IT-konference, hvor skal du så?
Jan Trzaskowski, Copenhagen Business School: Hvorfor skal du være bekymret for dit privatliv?
Jeg kan godt lide Jan. Jeg tror vi deler mange grundlæggende værdier.
Jan er ikke bange for at stikke en nål ind lige der, hvor der gør ondt. Som nu det at klikke ”I accept” til terms and conditions som man aldrig har læst. Jeg havde en periode, hvor jeg gjorde en dyd ud af faktisk læste dem, før jeg klikkede "ja", og gør det stadig ind i mellem. Men Jan forklarede, at det var en rationel strategi ikke at læse dem: Du ville jo acceptere dem alligevel og ikke kunne ændre dem, så du ville kun opnå at spilde din tid.
Vi ved at der er nogle omkostninger for samfundet, når vi bruger bl.a. sociale medier, og nogle af disse giver permanent skade. Vi kan næppe lovgive os ud af det, men vi er nok nødt til at gøre det tydeligere, hvad det koster os at bruge teknologi, for vores mentale sundhed bliver udfordret af datadrevne forretningsmodeller.
Oplæg i sal 6 (You know who you are)
Hvis du skal lave et godt oplæg, så er der flere muligheder: Du kan være underholdende eller du kan give ny information til publikum. Dette oplæg havde hverken eller. Og der var åbenlyse muligheder for forbedringer: ”Vi dækker det hele, from the bottom of the sea to the depth of space.” Ville det ikke have været skæggere med: ”From the depth of the ocean to the depth of space”?
Vi sad og krummede tæer, og der var da heller ingen spørgsmål bagefter. Havde vi ikke siddet midt på rækken, så havde vi sneget os ud under oplægget.
Kære Version2: Hvis ikke sal 6 skal blive en sal, som man undgår, kan I så ikke prøve at få udstillerne til at tale om noget spændende, sjovt eller noget de brænder for?
Jeppe T. Jacobsen, Lasse Kronborg og Marc Schack - Forsvarsakdemiets Institut for Militær Teknologi: Cybertruslen i lyset af Ukrainekrigen
Denne debat tog fat i spørgsmål, som jeg selv har tumlet med: Hvor meget kan man som privatperson deltage i støtten til Ukraine uden at blive et legitimt mål?
Som IT-folk kan vi deltage i IT-angreb eller udarbejde malware. Men hvor går grænsen? Debatten viste med al tydelighed, at det ved vi ikke. Reglerne for krig er ikke blevet moderniseret.
At få reglerne moderniseret i FN vil heller ikke være at foretrække: De lande, som har samme værdier som os, er ikke nok til et flertal, så en bedre løsning er, at vi er en gruppe, der laver et forslag og selv går foran.
Birgitte Toxværd, Kromann Reumert: EU-US Data Privacy Framework – holder den i EU-retten?
Hvis du beskæftiger dig med GDPR, så har du hørt om Schrems I, der underkendte Safe Harbour-aftalen som overførselsgrundlag til USA, og om Schrems II, der underkendte Privacy Shield-aftalen. EU-US-DPF er Kommissionens 3. forsøg på at ignorere Snowdens afsløringer.
Birgitte gav en fin juridisk gennemgang af problemerne ved aftalen, og gav mig en forståelse for, at nogle af de juridiske krumspring er nødvendige for at kunne få det til at passe ind i amerikansk lov: Det er ikke alt sammen lavet for at snyde os til at tro, at der er lavet reelle ændringer denne gang.
Birgitte var da heller ikke overbevist om, at aftalen ville holde til en tur i EU-Domstolen.
Jakob Bindl, Federal Commissioner for Data Protection and Freedom of Information: Looking into Microsoft: Why Office 365 is a no go for public bodies
Jakob havde ikke lært at lave backup: Hans laptop var crashet aftenen før, og han havde ikke sendt et tidligere draft til Version2.
Kære Version2: Det kan I godt hjælpe folk lidt med. Giv dem f.eks. et Nextcloud upload link, og få talerne til at uploade drafts af deres slides og lad dem opdatere løbende.
Så det var en lidt flov Jakob, der gik på scenen.
Indlægget var baseret på de 18(!) tyske datatilsyns samlede vurdering (som vist nok er denne https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/104DSK-Festlegung-Microsoft-Onlinedienste.pdf?__blob=publicationFile&v=2 baseret på denne https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf) om at det offentlige i Tyskland ikke må benytte Microsoft Office 365. Han gennemgik punkterne og gjorde klart, at dette ikke blot kunne klares ved at ændre aftalen med Microsoft. Således vil hverken SCC eller TIA løse problemet.
Jeg spurgte, om punkterne også holdt for private organisationer, og det gjorde de væsentlige punkterne.
Vi var nogle, der under spørgsmålsrunden fnisende var lidt fristede til at bede om en kopi af hans slides – men vi holdt os i skindet.
Stefan Soesanto, Center For Security Studies, ETH Zurich: Digital Warfighting in Ukraine: Volunteers, Applications, and uncomfortable questions
Her var en titel, der i den grad var spot on: Oplægget bekræftede en del af bekymringerne fra Forsvarsakademiet tidligere, men gik noget mere i dybden med, hvordan Ukraines IT-Army virker. Det tog udgangspunkt i Stefans analyse (https://css.ethz.ch/en/center/CSS-news/2022/06/the-it-army-of-ukraine.html).
IT-Army har en defensiv gren og en offensiv gren.
Den defensive gren finder sårbarheder i Ukraines IT – altså noget lignede bug bounties. Den ide kunne jeg egentlig godt lide, og jeg tænkte på, om det ville give problemer at gøre det i Danmark i fredstid, så vores egen infrastrukturs sikkerhed kunne styrkes.
Den offensive gren var at finde sårbarheder i russernes IT, bygge malware og deltage i DDoS-angreb. Præcis som Forsvarsakademiet kom man frem til, at dette bringer dig i en gråzone mellem kombattant og civil. Og hvis man gør dette lovligt, hvordan vil man så skelne mellem kriminelle, der angriber udenlandske services og en glorværdig IT-kriger? Det bliver i hvert fald ikke nemt.
Clearview.AI var et andet eksempel. Clearview.AI laver ansigtgenkendelse og finder så informationer om personen ud fra profiler på sociale medier og lign. Den prisværdige ide var at identificere russiske soldater, kontakte de pårørende med kondolencer for at give dem closure, og så begrave soldaten. Men det blev i stedet brugt til at sende fotos af den døde i dødssituationen med blod og indvolde og teksten ”This is the price you have to pay when you come to Ukraine.” ISIS havde gjort noget lignede over for koalitionens soldater.
Stefans budskab var: Hvis du stiller IT-infrastruktur til rådighed for IT-Army Ukraine, så skal du holde et vågent øje med, at det bliver brugt på den måde, som du finder ansvarlig.
Alt i alt et virkeligt oplysende oplæg, der gav appetit på at læse hele hans analyse.
Max Schrems, noyb: Planning for a Schrems III
Max er min helt, og jeg fornemmede, at det også gjaldt for andre – både i og udenfor salen. Der var i hvert fald en hel rand af stående mennesker – både siderne og bagved, og jeg var heldig at få en siddeplads. Her kunne det have været praktisk, hvis man til dette oplæg kunne have slået salen sammen med sal 5 (som var lige bag forhænget).
Der var ikke voldsomt meget nyt. Schrems mener stadig at TIAs og SCC er bullshit og ikke er nok, når vi taler USA.
Den største ændring i år var, at vi nu har den præcise tekst, men der er ikke ændret noget væsentligt fra sidste år. Problemet kan stadig opsummeres til, at FISA 702 gælder globalt for amerikanske virksomheder, og denne konflikter direkte med de europæiske menneskerettigheder om retten til privatliv.
En perle, som jeg ikke fangede sidste år, er, at både USA og EU er enige om, at deres egne borgere har ret til privatlivsbeskyttelse. Amerikanerne mener blot ikke at andre landes borgere har den ret.
Schrems uddybede lidt om, hvad EU-Domstolen har af muligheder. En mulighed, som jeg ikke havde hørt om før, er ”stay”. Det betyder at domstolen ikke lader de nye regler træde i kraft før der er en afgørelse. Hvis vi får det, så er overførsler til USA altså ulovlige som minimum indtil der er en afgørelse. Schrems vurderer en afgørelse tidligst kommer om 2 år.
Jeg har vist sagt det før: Få nu flyttet jeres cloud til europæiske udbydere, så I ikke pludselig står med et sagsanlæg fra en sur Schrems eller lign. For benytter I amerikansk kontrollerede cloudservices så det formodentligt ulovligt. Og lad for GDPRs skyld være med at putte flere data i amerikansk kontrollerede cloudservices.
Udstillere
Det virker fint med udstillere - specielt det, at man kan komme hen på standen bagefter et oplæg for at få uddybende information. Fundamentalt kan jeg også godt lide, at der er alt fra den lille startup til multinationale sikkerhedsfirmaer: Det giver en god dynamik.
Det er også lykkedes at opdrage udstillerne til ikke at være pushy: Jeg talte med flere, som guidede mig videre til nogle helt andre, så det var rart at mærke, at der ikke nødvendigvis var et salgsmål, der skulle opnås.
Og så lige en speciel hilsen til een udstiller: Datatilsynet. I er blevet en central spiller på dette område, og derfor er det rigtigt godt, at I stiller op (også selvom I kun kan give svaret "Det må bero på en konkret vurdering").
På gensyn næste år
Næste V2security er planlagt til 1-2. maj 2024. Første maj? WTF?! FØRSTE MAJ?! Dét er I nødt til at gøre bedre i 2025. Vi er altså nogen, der har noget vigtigere at tage os til lige den dato!
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
