Skriv ut

Joachim StrömbergsonHackersäker är inte maffiasäker

SEE 2012 Alla litade på TI:s radioprogramvara Z-stack och använde den i stora volymprodukter. Tills någon tog sig en titt och det visade sig att slumptalsgeneratorn inte fungerade. Felet ligger inte i att använda någon annans lösning – vilket nästan alltid är bättre än att utveckla själv. Felet är att inte testa.
Det var ett av budskapen från Joachim Strömbergson, som är säkerhetskonsult på sitt eget företag Secworks. Han föreläste på SEE-mässans sista dag.

– Vi hjälper folk att hitta fram till säkerhetslösningar. Kunderna är allt från stora myndigheter till små startuppföretag med en eller två personer.

Det finns gott om verktyg och metoder för att testa säkerhet. De går under namn som Diehard, Metasploit, fuzzying och Wireshark.

Joachim Strömbergson rekommenderar dock inte metoden ”hacker challenge” eller ”black box  testing” – att sätta en hackare på att försöka knäcka säkerhetssystemet.

– De jobbar en vecka och de är säkert duktiga. Och de kanske hittar någon brist som kan rättas till. Eller de kanske inte hittar någonting alls. Och du tror att du kan vara nöjd, säger Joachim Strömbergson.

– Men tänk om det är maffian som är din angripare och de har resurser att lägga tio miljoner på ett angrepp – då är en hackerkonsult inte rätt jämförelse.

– Och att en hacker inte hittar en svaghet, betyder inte att den inte finns.
 
– Säkerhet kostar pengar och är till för att skydda dina investeringar, påpekar Joachim Strömbergson.

Det första steget i konstruktionen av skyddet är att identifiera den potentiella angriparen. Om den är en konkurrent som vill klona din konsumentprodukt har du ingen nytta av ett skydd mot hackare eller datorvirus.

– Det ska vara rätt typ av säkerhet. Allt annat är slöseri med pengar, säger Joachim Strömbergson.

Är kryptering alltid viktigt? Nja, om du bygger en elmätare är det viktigaste snarare att garantera att den avlästa siffran för elmätaren är korrekt än att den inte kan avlyssnas.

Det är nästan aldrig någon vits med att utveckla egna lösningar.

– Det finns många mycket bra säkerhetslösningar på marknaden, i komponenter, inbyggda kärnor, moduler och mjukvarubibliotek.

Att bygga en egen kryptoalgoritm är ett rent slöseri med pengar enligt Joachim Strömbergson.

– Om du tror att din applikation kräver en ny algoritm är mitt förslag att du sätter dig ner och tar en kopp kaffe och tänker efter en gång till.

Att ha en säkerhetslösning som bygger på att tekniken i lösningen i sig är hemlig, är inte att rekommendera.

– Bra säkerhet handlar om att ha så lite hemligheter som möjligt. Ju färre hemligheter, desto enklare är systemet att ersätta om det blir komprometterat, säger Joachim Strömbergson.

– Om säkerheten bygger på att ingen vet hur systemet fungerar så är det mycket svårt att ersätta.

Att lösningen i sig är hemlig gör den dessutom omöjlig att utvärdera. Den som istället köper ett system som bygger på kända standarder vet vilken nivå av säkerhet den får för pengarna.

Trots detta finns flera exempel på säkerhetsprodukter som använt – och använder – hemliga lösningar.

Sådana system tycks alla gå samma öde till mötes. En vacker dag knäcks de, och så ligger hela systemet öppet. Ett exempel är Etsis standarder för satellitkommunikation A5-GMR-1 och -2. De knäcktes i början av året.

I slutet av 2011 köpte två tyska säkerhetsforskare  två satellittelefoner och började skicka testdata.

– Det visade sig vara lätt att räkna ut hur kryptona fungerade, och vilka nycklar som användes, säger Joachim Strömbergson.

– Det var tokvärdelöst! Men folk har inte vetat hur dåligt det var, eftersom det varit hemligt.

Teliasonera säljer VPN-lösningar över 3G och GSM.

– De berättar inte hur saker som nycklar genereras och hur det är testat. Du vet att det är en egen förbindelse och att den är krypterad. Men eftersom du inte vet hur det funkar internt måste du lita på vad dom säger.

– Jag känner till fall där deras teknik används där man lägger egen säkerhet ovanpå – man betraktar den som en öppen kanal, säger Joachim Strömbergson.