Ads 468x60px

maanantai 13. elokuuta 2012

Onko henkilöstön tietoturvatietoisuudella mitään väliä?

Immunityn (Immunity Inc.) Dave Aitel on herättänyt laajaa verkkokeskustelua henkilöstön tietoturvakoulutukseen hyvin kriittisesti suhtautuvalla artikkelillaan [1]. Hän kyseenalaistaa tietoturvakoulutuksen hyödyt, vedoten siihen että koulutuksen käynyt henkilö saattaa silti sortua avaamaan haitallisen liitetiedoston tai klikkaamaan haitallista linkkiä.

Artikkelissa mainitaan, että edistyneen tietoturvatietoisuusohjelman omaavilla yrityksillä ns. "click-through rate" eli todennäköisyys sortua em. hyökkäyksiin on edelleen luokkaa 5-10 prosenttia. Suomalaisiin organisaatioihin vertailu ei ole aivan suoraviivaista, koska mm. suomen kieli on pitkään toiminut suojamuurina haittaviestejä vastaan. Tilanne on kuitenkin muuttumassa automaattisten käännöstyökalujen parantuessa. Toisaalta kansainvälistymisen myötä myös englanninkielisen viestinnän osuus kasvaa. On siis hyvin kuviteltavissa että vastaavantyyppisiä lukemia saataisiin myös, jos asiaa lähdettäisiin tutkimaan Suomen mittakaavassa.

Vastakkaisen näkökulman tarjoaa Brent Hutflessin postaus Infosec Island -blogissa [2]. Hänen mukaansa tietoturvakoulutuksella on merkitystä, mikäli yksikin koulutuksen käynyt henkilö tunnistaa hyökkäyksen ja raportoi sen. Näin organisaatio pystyy reagoimaan hyökkäykseen ja mahdollisesti rajoittamaan sen vaikutuksia. Pahin tilanne on, jos hyökkäystä ei koskaan havaita vaan vasta sen seuraamukset.

Tietoturvatietoisuus ja sen ylläpito on myös tärkeä osa tietoturvallisuuden kerrosmallia - mikään kerros yksinään ei pysty estämään kaikkia hyökkäyksiä mutta yhdessä toimien hyökkäyksen todennäköisyys saadaan hyväksyttäviin rajoihin.

Millainen sitten on hyvä tietoturvakoulutus? Tämä on ikuisuuskysymys, eikä yhtä kaikille organisaatioille sopivaa mallia varmastikaan tulla löytämään. Oleellista on se, että henkilöstö saadaan ymmärtämään tietoturvallisuuden merkitys, ja tähän käytännön esimerkit ovat huomattavasti tehokkaampia kuin kalvosulkeiset. Itse painotan aina myös esimerkillä johtamista - mikäli lähiesimies ei ota tietoturvallisuutta vakavasti, ei näin tee myöskään alainen. Organisaation työvälineiden ja työskentelytapojen tulee myös mahdollistaa ja ohjata tietoturvalliseen toimintaan.

KPMG tarjoaa tietoturvakoulutuksia, joihin suosittelen organisaation avainhenkilöitä tutustumaan. Mielellämme myös avustamme organisaatioita tietoturvatietoisuuden kehittämisessä ja sopivan koulutusmallin laatimisessa.

/Samuel Korpi/

[1] Why you shouldn't train employees for security awareness, CSO Online, 18.7.2012

[2] Why Effective Awareness Training Matters, Infosec Island, 13.8.2012

perjantai 10. elokuuta 2012

”All publicity is good publicity”

Loman jälkeen päivitin itseäni ajan tasalle. Tein kevään OpenX-ongelmista1 jonkin sortin post mortemia. Tuli yksi oivallus. OpenX firmana saattaa hyötyä viallisen softansa todennäköisesti sadoille asiakasorganisaatioille ympäri maailmaa aiheuttamista ongelmista. Saivatpahan julkisuutta! Ennen näitä murtoja OpenX-mainosalustaa käytti yksi prosentti maailman Web-palveluista2. Nyt siitä tietää huomattavasti suurempi joukko. Google Trendsin näkökulmasta tapauksien julkisuus ei ole ollut suurta3, mutta minä en tiennyt mitään koko tuotteesta ennen tätä. Hyötyy OpenX juuri tässä tapauksessa tai ei, seuraava logiikka käsittääkseni pätee yleisesti:

Julkisuutta kiinnostava tietoturvavahinko toimii välttämättä samalla markkinointitiviestintänä. ”All publicity is good publicity”, sanoi Hollywoodin povipommi Mae West. Julkisuuden haittojen minimoimiseksi ja hyötyjen maksimoimiseksi kannattaisi olla suunnitelma. Oma organisaatio pitäisi saada näyttämään mahdollisimman hyvältä sen prosessin aikana, kun moka ja ongelma huomataan ja korjataan. Tänä päivänä kukaan ei tuomitse lopullisesti mitään softaa tai organisaatiota vain siksi, että sinne murtauduttiin. Jokainen ymmärtää, että täydellistä turvallisuutta ei ole, ja että järkeviä riskejä on pakko ottaa.

Tarvitaan nopea prosessi sen päättämiseksi, milloin vahinkoa ei voida, tai ei kannata enää pitää ainakaan kokonaan salassa. Kaikki mikä kerrotaan muualle kuin viranomaisille tulee melko varmasti pian julkisuuteen, joten se kannattaa kertoa saman tien tehokkaasti kaikille, esim. julkistaa Web-sivulla ja lehdistötiedotteena. Pitää valmentaa ja saattaa ajan tasalle sopiva henkilö (johtaja tai tiedottaja, ei nörttiä tai kesäapulaista) kertomaan ongelmasta soitteleville toimittajille ja muille, joita asia saattaa kiinnostaa, tai jopa koskea omakohtaisesti. Lisäksi suunnitteilla oleva EU:n tietoturva-asetus saattaa vaatia joka tapauksessa tiedottamaan esimerkiksi niille tahoille, joiden henkilötietoja on joutunut vääriin käsiin. Käytännössä tämäkin tieto menee helposti julkisuuteen.

Organisaation pitää osoittaa, että se ymmärtää ongelman ja korjaa sen. Analyysi ongelman konkreettisista, teknisistä detaljisyistä kertoo ymmärtämisestä. Tiedotus kenties myös organisaation prosesseihin liittyvistä juurisyistä olisi hyvä tuoda julkisuuteen. Esimerkki: ”Käytimme sisäverkossa Acme Oy:n tuotetta, jossa oli XYZ-tyyppinen haavoittuvuus. Haavoittuvuus oli tiedossa, mutta siihen ei ollut valmistajalta saatavana päivitystä. Hyökkäys tuli sisään saastuneella Web-sivulla olleesta linkistä. Päivitys on nyt saatu ja asennettu, siivoamme järjestelmiä ja jatkossa vaadimme järjestelmiemme valmistajilta nopeampaa päivityssykliä ja tarvittavia suojauskeinoja.”

Laittakaa tietoturvavahinkojen käsittelyyn liittyvät prosessit ajoissa kuntoon, ja katsokaa, että esiinnytte eduksenne, kun jodutte/pääsette julkisuuteen esittelemään (erinomaisia) tietoturvaprosessejanne!

(1)
http://www.cert.fi/ohjeet/2012/ohje-2012-04.html, tsekkaa ainakin CERT.Fin antama linkki takaisin tähän blogiin ;-)

(2)
http://w3techs.com/technologies/details/ad-openx/all/all

tiistai 7. elokuuta 2012

Moraalinen hämmennys + mukautuvainen teknologia = tulipaloja politiikkatyhjiössä

Vasant Raval kirjoittaa (vain ISACAn jäsenille) käsitteistä informaatioetiikka ja politiikkatyhjiö. Mikä on oikein ja hyvää informaation suhteen, mitä haluamme ja mitä tarvitsemme? Jos emme mieti tätä, luomme arvojemme vastaisia IT-järjestelmiä. Luomme tehottomia, hallitsemattomia tekniikoita, käytäntöjä ja politiikkoja. Raval lanseeraa termin moraalinen agentti: ihmiset, roolit ja tiimit, jotka tekevät päätöksiä IT-järjestelmien elinkaaren aikana. Lopputulos heijastelee sekä tiedostettuja että tiedostamattomia informaatioeettisiä arvoja, joita kaikilla johdosta koodariin on.

Tietoteknikka on Ravalin mukaan luonteeltaan mukautuvaista (engl. "malleable"). Se "muoto", jonka järjestelmät saavat, on liiankin helposti väärä. Näin käy, jos kehittämistä ohjaa huonosti tiedostettu käsitys siitä, mitä kaikki asianosaiset haluavat ja tarvitsevat. Järjestelmät ovat monimutkaisia. Todella harva ymmärtää niitä. Kaikki menee uusiksi 10-15 vuoden välein. Juuri siksi IT on niin "pehmeää" ja "muodotonta", tilapäistä ja virtaavaa. Juuri siksi ilman selkeää etiikkaa ei ole mitään mahdollisuutta saada sitä "kuosiin", oikeaan muotoon. Ilman tiedostettua, eriteltyä, yhdessä pohdittua käsitystä hyvästä ja huonosta informaation käsittelystä ei voi olla järkeviä ja sitouttavia sääntöjä, ja koko homma jää muodottomien IT-järjestelmien valuma-aukkojen paikkailuksi.

Informaation mikroetiikassa on monia puolia. Meidän pitää hankkia mahdollisimman paljon "hyvää" informaatiota tehdäksemme työmme mahdollisimman hyvin. ("Eat like a bird!", sanoo Guy Kawasaki, ja vitsailee, että kolibri syö painonsa verran päivässä.) Toisaalta tietoa pitää jakaa mahdollisimman tehokkaasti. ("Shit like an elephant!", hän jatkaa, ja toteaa, että Norsu ulostaa 100 kg päivässä.) Tiedon pitäisi pysyä oikeana ja ajankohtaisena ja olla sellaisessa muodosssa, että sitä on helppo käsitellä, myös uusilla ja yllättävillä tavoilla. Tietoa ei saa kuitenkaan hankkia liikaa auktorisoimattomilla tavoilla eikä rajoitettuun jakeluun tarkoitetuista dokumenteista ja tietokannoista, ellei sinun roolillasi ole niihin oikeuksia. Tiedon arvo pitää ymmärtää ja sopimusten, lain ja muun toimintaympäristön vaatimukset pitää tiedostaa ja hyväksyä ja sisäistää. Pitää osata pelätä myrskyisiä paikkoja, palvelujen avaamista julkisiin verkkoihin.

Mikäli tarpeita mietitään edellä luetellulla tavalla yksittäisten järjestelmien kannalta, jäädään helposti tälle mikroetiikan tasolle: "Tämän järjestelmän pitää suojata näitä tietoja!". Se ei riitä. Meidän pitää tiedostaa nimenoman moraalisten agenttien kokonaisvaltainen asenne ja arvot kaikessa informaationkäsittelyssä, eli makroetiikka. Miten kehittäjät ja käyttäjät ja johto mieltävät kaiken tiedon ympärillään? Mitä tietoa he haluavat ja jaksavat hankkia ja jakaa? Miten he haluavat prosessoida ja kontrolloida sitä? Mitä vaaroja heidän vallitseviin asenteihinsa liittyy?

Vasta kun informaatioeettinen, moraalinen hämmennys on saatu kirkastumaan, päästään eroon "politiikkatyhjiöstä", kun voidaan oikeasti ja uskottavasti sopia, miten toimitaan. Näin luodaan vankka eettinen astia, josta "pehmeä" tekniikka saa muotonsa, ja joka kestää teknologian sukupolvivaihdokset.

Viitteitä:

Luciano Floridin informaation filosofian sivut
http://www.philosophyofinformation.net/Welcome.html

Vasant Raval: "Policy Vacuums"
http://www.isaca.org/Journal/Past-Issues/2012/Volume-3/Pages/Policy-Vacuums.aspx (vain ISACAn jäsenille)

J.H. Moor: "Why we need better ethics for emerging technologies" (laajentaa informaatioetiikan ongelmaa esim. genetiikan ja robotiikan lainsäädännön kehittämiseen)
http://commonsenseatheism.com/wp-content/uploads/2011/03/Moor-Why-We-Need-Better-Ethics-for-Emerging-Technologies.pdf

Guy Kawasaki: http://www.amazon.com/Rules-For-Revolutionaries-Capitalist-Manifesto/dp/088730995X

perjantai 3. elokuuta 2012

Elokuun parhaat tietoturvalinkit - osa 2

Web-sovellukset
 OWASP Hackademic Challenges

Finding backdoor shells

Bypassing WAFs – new tool released (BH)

OWASP Xelenium tool – identify web app vulns

XSS exploit toolkit. Tool not released publicly yet – anyone at Defcon?

Forensiikka
Metasploit tool for incident response – by Konrads Smelkovs (KPMG UK)

Anti-forensics – some interesting ideas

Final part of a series analysing PDF malware

Online traceability – Collecting robust evidence for copyright infringement

Low cost USB drive duplicator

torstai 2. elokuuta 2012

Elokuun parhaat tietoturvalinkit

Yleiset:

All of the latest vulnerabilities each week

Finding bugs faster with a webmatrix local reference instance – Toby Clarke (former KPMG UK pentester)

Summer of breach – overview of the breaches so far this summer

Exploiting Windows 8 Apps

Exploit mitigation improvements in Windows 8 (BH)

Ubisoft Uplay exploit

Chasing APT – Interesting read

TeamCymru reading room – some useful templates for securing routers and servers

NATO offers free online cyber defence awareness course

Hacking Huawei – Defcon talk

Good article on memory dumping techniques

Sidejacking SSL cookies – this didn’t work on a VM I tried – but I didn’t play for long

Mobiili:

Pwn2own goes mobile – big cash prizes

OWASP iOS developer Cheat Sheet

iOS backup guide

X-Ray – Android vuln scanner (DARPA funded project)

SiRA – Semi-Automated iOS Rapid Assessment

Sophos Free Anti-Virus for Android

Android vs iOS – Security showdown

Työkalut:
 0-day (as of today) – Linux priv escalation – Use at your own risk!

MS12-043 Microsoft XML Core Services PoC

Metasploit NTLM Relay Module

opendlp tool – identify sensitive data on hundreds of systems (with screenshots – looks cool)

Clodcracker.com – commercial service to crack PPTP VPNs (MS-CHAPv2) in 24 hours

[Smart Meters]

Open source framework for testing smart meters is released

OptiGuard – collection of tools to assess Smart Meters

[Scada]
Common Industrial Control System Vulnerability Disclosure Framework