2019-02-14

Cyberförsvarsdagen 2019 eftermiddag

Detta inlägg sammanfattar eftermiddagen på Cyberförsvarsdagen 2019 som anordnas av SOFF tillsammans med MSB, FRA och Försvarsmakten. Förmiddagen kan du läsa om här.

Stöd mitt bloggande via Patreon: https://www.patreon.com/kryptera

Den internationella kontexten och dess påverkan på Sverige

Moderator: John Ahlmark, kommunikatör FRA

Supply Chain Security

Pia Gruvö, chef avdelningen för krypto och it-säkerhet Must

Pia berättar hur allt hänger ihop, för när jag började för 30 år sedan i branschen så fokuserade vi på algoritmer i kryptoapparaterna. Sedan blev det fokus på lådorna och nu tittar vi också på Supply Chain Cyber Security. Vi är bl.a. rädda för exfiltration via bakdörrar eller om man stänga ner eller styra system via bakdörrar.

Högassuransprodukter är de produkterna vi måste ha mest företroende för. Sådana produkter är exempelvis kryptoprodukter och vi väljer framförallt svenska produkter och detta har nu även Regeringen insett.

Ett exempel där det gick fel är en kryptoleverantör som anlitade en underleverantör som tillverkade kretsar. Och maskinen för att tillverka dessa kretsar var anslutna mot internet.

Man måste köpa komponenter från andra länder till kryptosystem. Då måste vi bygga system så att om det följer med en bakdörr så blir den isolerad och inte kan göra någon skada. Försvar på djupet är viktigt samt de mest kritiska produkterna måste komma från företag som man har förtroende för.

Outsourcing

Kommendör Jan Kinnander, Chef för Säkerhetskontoret på MUST

Jan börjar med att berätta om vad MUST är och de tre delar som MUST består av och att han är chef för den militära säkerhetstjänsten. Pia är chef för en av delarna under mig som jobbar med krypto och it-säkerhet, vi har också en enhet som jobbar med kontraspionage samt en del som jobbar med säkerhetsskydd.

Han berättar även att underrättelsetjänster är lata, de tar den enklaste vägen in när de vill göra intrång. Det är ett högt tryck när det gäller intrång mot underlverantörer och det beror på flera saker såsom att det är många ägg i samma korg, många har ett svagare skydd än exempelvis än en myndighet. Även kan en leverantör ha flertalet underleverantörer. Att säkerhetspröva utländsk personal är ett stort problem då vi inte har lika mycket information.

Just när det gäller leverantörer så ingår detta i säkerhetsskyddsförordningen från och med 1:a April 2018. Som tillsynsmyndighet har vi större möjligheter att exempelvis att stoppa en upphandling.

Brister som Jan Kinnander, Chef för Säkerhetskontoret på MUST ser gällande outsourcing:

Säkerhetsanalys
Säkerhetsprövning av personal
Tidsförhållanden

Och tillstryker att ansvar inte kan outsourcas. Är det här slutet för outsourcing? Nej, men vi måste ha en större transparens. En större kunskap vilka krav som ställs på myndigheten och hur dessa uppfylls.

Utkontraktering och överlåtelse av säkerhetskänslig verksamhet – Förslag till kompletteringar till den nya säkerhetsskyddslagen

Stefan Strömberg, särskild utredare Utredningen om vissa säkerhetsskyddsfrågor

Säkerhetsskyddslagstiftningen har utvidgats och omfattar en utökad skyldighet att ingå säkerhetsskyddsavtal. Tidigiare så behövdes exempelvis inte säkerhetskyddsavtal vid samarbeten exempelvis. Men samarbeten som går fortlöpande mellan myndigheter är dock undantagen. Nya säkerhetsskyddslagen har även nya tångsmedel. Viktigt är även en proportionalitet

Stefan berättar om skillnaden mellan lag och förordning.

Försvarsmakten och Säkerhetspolisen blir samordningsmyndigheter för tillsynsmyndigheter. Nytt är även en anmälningsskyldighet samt sanktionsavgift som beslutas av tillsynsmyndigheten.

Säkerhetsskyddschefen blir obligatorisk för alla verksamheter som driver säkerhetsskyddad verksamhet men yttersta ansvaret är hos GD eller VD. Avtalet är också en viktig del och inte bara nya säkerhetsskyddslagen.

Panelsamtal – Hur ändrar vi säkerhetsbeteendet?

Christer Samuelsson, head Cyber security CGI
kmd Jan Kinnander, chef säkerhetskontoret Must Försvarsmakten
Pia Gruvö, chef avd. krypto och it-säkerhet Must Försvarsmakten
Stefan Strömberg, särskild utredare

Först berättar Christer att han är från det privata och att samverkan är viktigt och att vi förstår varandra mycket bättre och vi förstår våra brister vilket är bättre vid våra upphandlingar.

Moderator John Ahlmark från FRA frågar Stefan om de nya lagarna och om de verkligen behövs. Och Stefan säger att det eg. är lite tråkigt att detta behövs men har tyvärr blivit ett måste. Avdramatisera genom att göra det till en fråga för alla som jobbar på ett företag.

Jan säger att regelverket är värdelöst. Det är att det används på rätt sätt, det handlar om attityder och kunskap.

John frågar om nya regelverket kan hämna istället för att ge verkan? Javisst kan det var så men vi måste alla prata om detta.

Pia är den som fått flest frågor under sitt tal. Och många handlar om ett land 10 timmar mot öst och eventuella bakdörrar, men Pia framhåller att eventuellt är läckorna efter Snowden som är det stora problemet. Alla bakdörrar som NSA stoppat in i produkter.

Tjänstemannaansvar? Vi måste komma rätta till med problemen och inte hänga ut någon. Många gånger har det också handlat om en kommunikationsfråga, gällande exempelvis inom Transportstyrelsen säger Jan.

Metoder och verktyg för cyberförsvar

Moderator: Annika Biberg, principal security consultant Nixu

MITRE:s attackramverk ATT&CK – Processer och tekniker för att upptäcka angripare inne i ditt nätverk

Mattias Almeflo, principal security consultant Nixu

Mattias berättar om ramverket ATT&CK som utvecklats av det oberoende och icke vinstdrivande företaget MITRE. Förkortningen står för Adversarial Tactics, Techniques and Common Knowledge. Ramverket fokuserar mycket på post-exploitation, dvs redan när angriparna finns i nätverket.

Även så bygger ramverket helt på empirisk data och är således rejält underbyggt. Det som ATT&CK även gör är att den går att använda för att attribuera och spåra till angripare på exempelvis landsnivå. 43% av alla attacker går att härleda till specifika länder.

LOLBins är fillösa attacker och har funnits sedan 2014 och där ser man en ökning. Mer än hälften av alla attacker enligt en källa använder LOLBins såsom Powershell.

”Living of the land” och detta är något som ATT&CK hjälper till att upptäcka. TTP:er används för detta och togs fram efter den första APT1-rapporten, Mattias använder även Biancos ”Pyramid of Pain”:

Bästa av allt är att det är gratis och du kan även använda ATT&CK för att göra benchmarks för att jämföra IT-säkerhetsprodukter.

CIS20 grundläggande kontroller och exempelvis en IT-säkerhetsprodukter såsom Tripwire kan visa på att dessa två inte täcker upp allt genom att titta i ATT&CK.

Panelsamtal – Vad kan ATT&CK bidra med idag?

Mattias Almeflo, principal security consultant Nixu
Robert Jonsson, btr. chef CERT-SE/MSB
Ammi Lovén, seniorkonsult Secana

Moderatorn Annika frågar om det här är ett bra ramverk? Ja tycker både Robert och Ammi och Robert tillägger att det är bra för att alla pratar samma språk. MSB använder inte själva men berättar gärna för andra hur de ska arbeta.

Mattias, har du några praktiska exempel på hur man ska ta till sig ramverket? Ja, exempelvis när man arbetar med härdning av system så kan man när man är klar med härdningen se om man åtgärdad allting. Även kan du testa din förmåga att upptäcka attacker och vart era luckor är.

Ammi tycker även att ATT&CK-ramverket kan användas för övningar.

Mattias säger att Lockheed Martins Cyber Kill Chain och ATT&CK överlappar även. Ena utesluter inte det andra och man bör inte lägga alla ägg i samma korg.

Att säkerställa Sveriges framtida cyberförmåga

Moderator: Klas Lindström, VD och grundare 4C Strategies

Framtidens säkra IT-miljöer

Madeleine Kempe, cyber security program manager Saab

Madeleine berättar om framtidens utmaningar och hur vi ska hantera arvet. Vi har nya system som ska utvecklas och vi måste även ta hand om legacy. Vi har bl.a. KSF 3.1 och ISO-27000 att förhålla oss till. Men snart även säkerhetsskyddslagen och NIS-direktivet.

Fyra principer för säkra lösningar enligt Madeleine Kempe som är cyber security program manager på försvarsföretaget Saab:

Säkerhet från grunden
Standard
Kategorisera, klassificera
Tydlig styrning

Panelsamtal – Hur stärker vi Sveriges cyberförsvarsförmåga?

Lars Nicander, enhetschef ISSL och CATS FHS
Dag Ströman, chef CSEC FMV
övlt Patrik Ahlgren, chef Cyberförsvarssektionen LEDS CIO Försvarsmakten
Madeleine Kempe, cyber security program manager Saab

Dag ströman säger att vi måste anta att angriparna är i våra system. Klas frågar Patrik vad som är viktigt för Sveriges cyberförsvarsföråga och Patrik berättar att alla måste vara medvetna om hotet. Man måste konstruera dessa system med säkerhet i åtanke och inte hela jobba reaktivt.

För Försvarsmaktens del så måste vi ha funktionalitet i våra system så vi behöver alla tre förmågor. Vi behöver även förmågor att attackera och skydda IT-system säger Patrik Ahlgren.

Men hur ska privata aktörer få koll på hotet? Jo vi alla myndigheter såsom MSB, Försvarsmakten och Säkerhetspolisen har ett gemensamt ansvar.

Lars Nicander säger att vi måste ha en cybersäkerhetskoordinator hos statsrådsberedningen i Regeringen. Vi har haft 7 st utredningar och alla har lagt fram en strategi. Bästa svepskälet till att vi inte har det är att alla säger att vi har ansvarsprincipen.

Dag tycker att vi ska skapa en nationell styrmodell för cybersäkerhet istället för att använda silosar och alla uppfinner eget.

Kanske titta på den norska modellen med en myndighet som har större ansvar. Patrik tror dock inte på en ny myndighet, men absolut på en cybersäkerhetskoordinator. Främst för att koordinera cybersäkerheten inom Regeringskansliet. Vart leder resan med ett cybercenter?

Alltid viktigt med kommunikation mellan totalförsvarsmyndigheter. Dag frågar vilken som skulle vara den allvarligaste incidenten? Alla produkter som innehåller samma sårbarhet som kan utnyttjas av en angripare: monokultur. En angripare skulle kunna slå djupt och brett.

Politikerdiskussion

Moderator: Johan Wiktorin, director intelligence PwC

Niklas Karlsson (S) Ordförande Försvarsutskottet
Beatrice Ask (M) Vice Ordförande Försvarsutskottet
Daniel Bäckström (C) Ledamot Försvarsutskottet

Johan frågar hur vi skapar en sund säkerhetskultur i Sverige? Säkerhetskulturen är väldigt varierande beroende på vem man pratar med. Man måste öka medvetenheten på ett bredare plan. Vid rekrytering av chefer och det är alldeles för dyrt när det går åt skogen. Vi hade förr fluor-tanten men vi måste nu ha en cyber-tant säger Beatrice. Någon som kommer och påminner om och om igen. Vi är väldigt naiva idag och man behöver bara säga Transportstyrelsen eller Svenska kraftnät.

När det gäller internationella diskussioner om cyberattacker så pågår det fria kriget och Kina är inte intresserade av att diskutera detta.

Attacker mot det politiska systemet är också farligt. Läckta medlemsdatabaser från partier är inte bra och även när människor utger sig för att vara Beatrice Ask.

Vilka är de värsta attackerna? En mycket snabb aggregerad attack som slår ut mycket innan vi hinder reagera. Attacker mot hälso- och sjukvårdssystem som kan släcka liv. Attacker mot logistik och transporter i samhället.

Siggesigge var ett lösenord som användes inom valrörelsen för något år berättar Niklas. Scenarion som bygger på att grupper som ställs mot grupper är ett problem och att det inte går att lita på information som man får säger Beatrice.

Beatrice lärde sig på 112-dagen att man ska öva analogt. Man blir då ställd!

Niklas säger att våra mediavanor förändras och vår konsumtion blir digitaliserad och individualiserad.

Är 5G ett nationellt säkerhetsintresse? Det är en komplicerad och svår fråga säger Beatrice och den har många bottnar. Vad är det värsta scenariot och hur kan det hända?

När det kommer snabba kriser i samhället så är inte alltid våra budgetsystem förberedda. Det är givetvis billigare att investera i flygplan än att skogen brinner ner.

Kompetensförsörjning?

En specifik utbildning inom försvaret såsom tolkskolan för de som är intresserad av cybersäkerhet. Försöker bygga en rekrytering på frivillighet inom Hemvärnet.

Myndigheter som upptäcker saker såsom FRA måste även ha befogenheter att agera. Underrättelseförmågan är central i sammanhanget och ställer krav på tid och ledningssystem. Vi måste också bygga upp det psykologiska försvaret, bygga upp en vilja att försvara vårat land.

Kopplingen mellan hybridkrigföring, AI och forskning är viktig och FOI kommer att få mer pengar. Biologiska vapen är också något som oroar oss i statsrådsberedningen.

2019-02-13

Cyberförsvarsdagen 2019 förmiddag

Detta är den första delen av två från Cyberförsvarsdagen 2019. Detta inlägg sammanfattar förmiddagen och vill du läsa om eftermiddagen kan du göra det här.

Stöd mitt bloggande via Patreon: https://www.patreon.com/kryptera

Inledning. Moderator Annika Avén, SOFF

Inledningstal av Robert Limmergård, SOFF. Robert berättar att det är fjärde året nu som Cyberförsvarsdagen går av stapeln och han ställer sig frågan: Vad är nytt?

Panelsamtal

genmaj. Fredrik Robertsson, CIO Försvarsmakten
Dan Eliasson, GD MSB
Dag Hartelius, GD FRA
Robert Limmergård, Generalsekreterare Säkerhets- och försvarsföretagen (SOFF)

Hur skapar vi en bättre försvarsförmåga?

Samverkan och dialog. Ingen löser detta problem själv utan det är myndigheter och företag tillsammans.

Dan Eliasson, GD MSB

Så handlingsorienterade som möjliga. MSB:s jobb är att säkerställa bredden i cyberskyddet och nämner även totalförsvarsplaneringen.

En driver är att skapa robusta och hållbara system som även fungerar i kris. Vi myndighetschefer kommer att jobba tillsammans.

Dag Hartelius, GD FRA

Samtliga talare nämner ett nationellt cybersäkerhetscenter.

Sveriges välstånd är beroende av vår industri och export. Sverige är attraktivt och FRA jobbar med att förhindra industrispionage bland annat.

Bilden är inte längre nattsvart när det gäller cybersäkerhet.

Fråga från moderator till Fredrik: Vilken roll skulle FM ha i ett cybersäkerhetscenter?

FM skulle bygga ett samarbete utifrån befintliga roller.

Dag: Våra uppdragsgivare förväntar oss att vi gör mer. Snabbare upptäcka och åtgärda och presentera en lägesbild när det gäller cyberhotet. Vilka förmågor har vi tillsammans vi myndigheter.

Fråga från moderatorn: Vad har hänt, vad är det som är nytt? Dag från FRA berättar att vi har gjort mycket för att upptäcka hot. Rekryteringsutmaningar som alla vi har, det är en tuff arbetsmarknad. Sommarlovön är ett nytt initiativ av FRA för att väcka intresse bland 15-16 åringar berättar Dag Hartelius som är generaldirektör (GD) på FRA.

Dag berättar även om att Riksbanken som FRA jobbar med att hjälpa inom cybersäkerhetsområdet blir bättre. Det är sällan FRA berättar om vilka uppdragsgivare som de har men just när det gäller Riksbanken.

Framtidens digitala ekosystem

Moderator: Jonas Stewén, Combitech

Daniel Jaurén, FRA

För cirka 10 år sedan så började digitaliseringen och allt skulle kopplas upp, och det gick fort och fel. Väldigt stark förmågeutveckling på CNE-området hos många länder.

Attackerna mot Sverige styrs av en nationell agenda, vilket är också en ny trend. De vill uppnå en effekt snarare än att genomföra informationsstölder.

Länder som bedriver en aktiv utrikespolitik kommer också att lämna spår på cyberarenan. Fler aktörer och en snabb höjning av lägstanivån hos aktörerna. Våg 2 och 3 när det gäller aktörerna kommer att gå mycket snabbare och bli en mer integrerad del i deras verksamhet.

Vad är det som angrips då? Man går inte direkt mot sitt mål, det är en oerhört komplex bild än att titta direkt på skyddsvärdena.

Vi som underrättelsetjänst lägger en bild. Vi samlar på bitar och lägger ett pussel, vi måste se till att dessa pusselbitar inte försvinner från Sverige.

Vad kan FRA göra då? Givetvis kan vi samarbeta, men jag skulle vi slå ett slag för hotbildsperspektivet och angriparperspektivet. Våra angripare kanske vet mer om vad som är skyddsvärt. De mål som klarar sig bäst mot angrepp är de som kan lära sig från tidigare hack och måla upp en hotbild. Ja, du kommer att bli hackad! Den offensiva sidan kommer att vinna. Vi kommer inte att kunna stoppa hacken men vi kommer att kunna hitta dom tidigt.

Hur jobbar FRA med hotinformation? Vi jobbar dels proaktivt då vid stödjer myndigheter och statligt ägda bolga. Vi jobbar även reaktivt med TDV-sensorer och SIGINT. Givetvis larmar vi även om hotaktörer går mot mål i Sverige som inte omfattas av TDV-sensorerna.

Robert Jonsson, MSB / CERT-SE

Robert berättar först hur de nordiska CERT-organisationerna är organiserade. I norden har vi ett samarbete som heter Nordic CERT Cooperation (NCC) som bygger på ett MOU samt överenskommelse inom nordiska ministerrådet. På EU-nivå så delar vi operativ information i ett samarbete som heter EGC, European Governmental CERTs.

Ett globalt nätverk som heter International Watch and Warning Network (IWWN). Och i samband med NIS-direktivet så skapades CSIRTSs Network (CNW) som är på EU-nivå. Även är detta samarbete en bas för ENISAs övningsserie Cyber Europe. Värdefullt forum för nationer som inte har haft en CERT tidigare.

Övriga forum som CERT-SE jobbar med är FIRST och TF-CSIRT.

Men vad gör man då i samarbeten? Man delar information, med stöd av exempelvis trafikljusprotokollet (TLP). Specifika incidenter såsom WannaCry och även på automatiserat sätt med MISP-plattformen.

Jacob Henricsson, Foreseeti

Börjar med att prata om Robin Blokkers citat från förra året där han ansåg att vi måste börja fixa sårbarheter från 90-talet först. Sen berättar han om att allt blir uppkopplat. Det blir mycket billigare att ha SIM-kort i alla saker och koppla upp dom och även GPS-brickor blir billigare.

De största hoten är fortfarande samma som de gamla. Jacob visar en bild från OWASP Topp 10 från 2010 och visar hur den nya från 2017 ser ut.

Men vad kan vi göra åt detta då? Om vi inte digitaliserar det så behöver vi inte hålla koll på cyberhoten. Det blir mycket dyrare att hacka det.

Vanliga cybersäkerhets problem som Foreseeti ser är:

Gamla produktionssystem med många användare
Återanvändning av användarkonton
Platta nätverk
Bra segmentering – men kortsluts genom lönndörrar
Kombinerade sårbarheter

Alla deltagare: Vilken kompetens saknas? Vi måste göra cybersäkerheten sexigt igen säger Robert. Faktum kvarstår vi kommer att digitalisera saker vare sig vi vill eller inte säger Daniel, vi måste bli bra kravställare vi inköp.

Vad är viktigt att skydda?

Moderator: Matilda Karlsson, analytiker Scandinavian Risk Solutions (SRS)

Erik Nordman, Inledningstalare och Säkerhetschef och säkerhetsskyddschef vid Svenska kraftnät inleder.

Vad är skyddsvärt? Det är våra samhällsviktiga funktioner som måste vara på plats. Vad är då skyddsvärt på SVK? 150-200 stamnätsstationer som är som en ryggrad i elnätet. Men vad just om dessa stationer är skyddsvärt? Är det lokaliseringen? Är det dess funktion i elnätet?

SVK:s driftcentral är själva hjärnan i elnätet. Det är här man ser till att det är exakt 50hz i elnätet, och att detta är skyddsvärt är helt självklart. Men vad exakt runt just detta är skyddsvärt? Dom här sakerna behöver man givetvis utreda och göra en bra analys.

Ungefär 70 personer har jobbat med att reda ut frågor som dessa under 2018. Vad är viktigt ur vilket perspektiv? Vart behöver vi lägga vårat skydd.

Panelsamtal – Förhållandet mellan NIS och nya säkerhetsskyddslagen – Vad är samhällsviktiga tjänster och vad är säkerhetskänslig verksamhet?

Martin Waern, Manager National Security SRS
Helena Andersson, verksamhetsstrateg MSB
Annette Norman, huvudman Informationssäkerhet Justitiedepartementet
Erik Nordman, Säkerhetschef och säkerhetsskyddschef vid Svenska kraftnät

Vilka utmaningar står vi inför frågar Matilda till panelen. Martin påpekar på att prioritera och fokusera på det som är viktigt, våga prioritera bort också.

Nya säkerhetsskyddslagen och NIS-direktiven är olika och fokuserar på olika saker. Det är viktigt att skapa ett förtroende för digitala tjänster och skapar förutsättningar för den inre marknaden.

Säkerhetsskyddslagstiftningen har företräde före NIS-direktivet. Det finns även ett stort överlapp när det gäller åtgärder, såsom säkerhetskultur. Mycket av detta handlar om en bra grund.

Många pekar på utmaningar med NIS och nya lagstiftningen. Systematisk och metodiskt informationssäkerhetsarbete är en bra grund för allt arbete och låta analysen ta sin tid men inte glömma att ta till åtgärder också. Det kommer att se ut annorlunda imorgon och det måste vara ett kontinuerligt arbete säger Annette Norman på Justitiedepartementet.

Det är rätt att inte skriva i lagstiftningen i detalj vad som är Sveriges säkerhet.

Tillsynen förutsätter att det finns ett tydligt regelverk att hålla sig till och det är något som regeringen jobbar på just nu.

Ansvar i AB Sverige – Hur bygger vi en effektiv privat-offentlig samverkan för Sveriges cyberförsvar?

Moderator: Richard Oehme, director cyber security & critical infrastructure protection PwC

Panelsamtal – Hur kan myndigheter och företag stödja varandra i arbetet kring en effektiv samverkan mot ökad cyberförsvarsförmåga?

Åke Holmgren, avd. chef cybersäkerhet och skydd av samhällsviktig verksamhet MSB
Mats Wallinder, Riksbanken och ordförande FSPOS
Pernilla Rönn, chef cyber security Combitech
Generalmajor Fredrik Robertsson, CIO Försvarsmakten

Åke påbörjar passet med att inledningstala och berätta om privat-offentlig samverkan. Många av arenorna för samarbeten är kopplade till SAMFI-myndigheterna som jobbar med cybersäkerhet.

Men varför är det då viktigt med privat-offentlig samverkan? Jo, det handlar om ett gemensamt ansvarstagande. Det underlättar för att snabbt upprätta en lägesbild för att hantera allvarliga störningar. Det är viktigt att vi bygger oss starka redan innan någon händer. Det bygger även tillit och förtroende samt en gemensam kunskap.

De äldsta forumen för samverkan inom MSB heter FIDI och skapades 2004. De heter FIDI-SCADA, FIDI-FINANS, FIDI-TELEKOM, FIDI-DRIFT och VIDI-VÅRD.

Mats Wallinder berättar om vad som är skyddsvärt vid riksbanken. Det finansiella systemet är globalt och vi är beroende globalt. Vad är då privat-offentlig samverkan inom finansiella tjänster? FSPOS är ett nätverk som bygger på frivilligt deltagande där 12 organisationer ingår i dagsläget.

FSPOS har en styrelse och har en verksamhetsidé som går ut på samverkan, övningar, kartläggningar och dela information för att stärka den finansiella sektorns förmåga att möta hot och hantera kriser. Medlemmarna är främst privata aktörer såsom Nasdaq, Svenska bankföreningen och Euroclear.

Sedan i paneldebatten så berättar Fredrik om övningen SAFE Cyber 2018 och de frågeställningar som dök upp där. Hur kommunicerar vi exempelvis? Övningen är ett table-top spel utan tekniska moment. Det är svårt att öva saker om man inte har fullt förtroende säger även Fredrik. Det var en bra övning med små resurser, vi ha ner relativt lite tid och pengar. Vikten att hantera formalia, vilken information kan vi delge andra och hur ska de gå till? Övningar kan oftast svara på dom frågorna.

Pernilla Rönn på Combitech nämner EU-TIBER som är ett bra ramverk för att skapa resiliens, främst inom den finansiella sektorn. Tiber-ramverket handlar om hur man implementerar Threat Intelligence-based Ethical Red Teaming.

Enkla rutiner kan vara ett bra resultat från samverkan. Exempelvis en checklista som alla organisationer kan ta med sig hem och ge hjälp.

Resursfrågan kommer också att styra samarbeten i framtiden anser Richard och bollar vidare till Åke. Men just när det gäller totalförsvaret är det ett större ansvar. Samarbeten ska göras i dialog och inte tvinga fram samarbeten, förtroenden är viktigt.

Ingen myndighetsutövning är önskvärd i samarbeten mellan offentlig och privat samverkan.

2019-02-09

Presentationer från IT-försvarsdagen

Nu har Totalförsvarets forskningsinstitut (FOI) publicerat presentationer från den myndighetsinterna konferensen vid namn IT-försvarsdagen publicerats. Konferensen gick av stapeln den 23 oktober 2018 i Försvarsmaktens Högkvarter på Lidingövägen 24.

Agendan såg ut enligt följande:

Presentationer

Följande presentationer har än så länge publicerats:

AI-styrd penetrationstestning, Hannes Holm (FOI)
AI-styrd penetrationstestning – filmklipp, Hannes Holm (FOI)
IT-säkerhetsforskning i Sverige och världen, Henrik Karlzén (FOI)
IT-försvarsövningar, Mikael Wedlin (FOI)
Kvantdatorutvecklingen och dess påverkan på kryptologiområdet, Martin Ekerå (Försvarsmakten)

2019-02-08

Vägledning om grundläggande kryptering

Myndigheten för samhällsskydd och beredskap (MSB) efterfrågar kommentarer gällande en ny vägledning om grundläggande kryptering.

Vägledningen beskriver säkerhetsåtgärder för att införa och upprätthålla säkra kryptolösningar. Rekommendationerna i vägledningen är inte tvingande för någon.

Säkerhetsåtgärderna som återfinnes i vägledningen är avsedda för information som behöver skyddas med kryptolösning till exempel för information som omfattas av sekretess, men som inte bedöms vara säkerhetsskyddsklassificerade uppgifter. Krav på säkerhetsåtgärder för säkerhetsskyddsklassificerade uppgifter återfinns hos Säkerhetspolisen respektive Försvarsmakten.

Använd mallen nedan samt skicka in dina synpunkter via E-post till [email protected] senast den 17 april 2019. Endast kommentar inskickade i kommentarsmallen kommer att beaktas uppger MSB.

Kommentarsmall – Vägledning för grundläggande kryptering (docx)Ladda ner

Vägledning grundläggande kryptering för kommentarer (pdf)Ladda ner

2019-01-30

FRA årsrapport 2018

Myndigheten FRA har precis släppt sin årsrapport för verksamhetsåret 2018 och jag har läst den. Rapporten trycker mycket på hur FRA medverkar till att höja den nationella säkerheten när det gäller cyberförsvar. Även har fokus inom myndigheten legat på påverkansoperationer runt valet.

Statliga cyberattacker pågår ständigt och ökar
FRA årsrapport 2018

Fler myndigheter och statligt ägda företag har installerat det tekniska detektionssystemet TDV och en ny ändring som FRA jobbar på är att även ha möjlighet att avbryta pågående attacker. Rapporten pekar på att TDV har under året lyckats upptäcka flertalet avancerade intrångsförsök mot svenska mål.

Bli månadsgivare och stöd mitt bloggande via Patreon >

Ett nytt signalspaningsfartyg är under uppbyggnad och byggs i Polen av varvet Nauta, detta nya fartyg kommer att ersätta HMS Orion. Detta nya fartyg kommer även ha en ny teknikplattform som parallellt utvecklas och införskaffas.

Att främmande stater angriper Sverige och kartlägger totalförsvaret samt identifierar samhällets sårbarheter är något som framgår i rapporten. Även framgår det att spioneri där forskningsresultat, utvecklingsprojekt och patentansökningar används för att hitta genvägar av företag i andra länder.

Tittar vi på hur angrepp kan se ut där angriparen vill få fotfäste i nätverk under en längre tid och vid ett senare tillfälle vill påverka samhällsviktiga funktioner skriver FRA enligt nedan citat. Detta kräver dock att det otillbörliga tillträdet kan överleva under flera år och min bedömning är att supply chain (inköpskedjan) då påverkas med hjälp av exempelvis hårdvaruimplantat.

Att skaffa sig otillbörligt tillträde till de nätverk som styr samhällsviktig verksamhet kan också göras med målet att vid ett senare tillfälle störa eller slå ut samhällsviktiga funktioner.
FRA årsrapport 2018

FRA årsrapport 2018 kan du ladda hem här:

FRA årsrapport 2018.pdf

HMS Orion A201. *Bild CC BY* *Wikipedia*

2019-01-16

Test av nytt verktyg för att kringgå tvåfaktorsautentisering (2FA)

Ett nytt verktyg open-source vid namn Modlishka har utvecklats av Piotr Duszyński. Verktyget underlättar phishing-attacker och gör det möjligt att kringgå tvåfaktorsautentisering. Modlishka betyder bönsyrsa på Polska.

Skillnaden mellan Modlishka och andra phishing-verktyg såsom Evilginx är att Modlishka inte behöver arbeta utifrån en mall. Verktyget lägger sig som man-in-the-middle (MITM) och skriver om sökvägar till script, bilder etc.

Dock behöver du konfigurera vissa saker såsom vilken fejkdomän du vill använda och ett eventuellt TLS-certifikat så att ett hänglås visas upp i webbläsaren. Även måste du i DNS peka så att fejkdomänen du vill använda pekar till den servern där du installerat Modlishka.

Phishing-verktyget är skrivet i programspråket Go och går således att köra på plattformar såsom Windows, Linux och macOS.

Jag genomförde ett antal olika tester mot bl.a. Tutanota och Google där jag försökte sätta mig i mitten och läsa av inloggningar samt cookies som används för sessionsinformation.

När jag använde Modlishka med de inbyggda inställningarna som följde med till Google så fungerade inte inloggningen med http och ett felmeddelande visades för användaren vid inloggning:

Lösenordet loggades dock vid inloggningen men inget användarnamn. Sedan testade jag med https och då fungerade inloggningen även med 2FA påslaget:

Skärmdump då verktyget är startat med Google/GSuite konfiguration under Kali Linux:

När jag testade att slå på 2FA på mail-tjänsten Tutanota och använda TOTP så fungerade det inte heller och jag fick ett felmeddelande:

Kontentan av mina tester med Modlishka är således att det troligtvis behövs mer handpåläggning. En annan sak jag tycker är rätt meckigt är hur TLS-certifikaten ska läggas till där hela certifikatet måste vara en hel sträng utan radbrytningar.

Om man lyckas få allt att fungera så finns det en kontrollpanel med några enstaka funktioner. Bl.a. så kan du använda impersonate-knappen för att då automatiskt bli inloggad som en användare:

2019-01-04

NSA släpper Reverse-Engineering verktyg

Uppdatering: Ghidra är nu släppt på https://ghidra-sre.org/

Amerikanska säkerhetsmyndigheten NSA avser att släppa verktyget GHIDRA som open-source under den årliga RSA-konferensen som går av stapeln i San Francisco under Mars månad.

Stöd mitt bloggande via Patreon 👊

GHIDRA är ett ramverk för att utföra Reverse-Engineering eller baklänges ingenjörskonst som det ibland kallas. Analysera binär kod exempelvis i syfte att undersöka skadlig kod eller ta sig in i system.

The GHIDRA platform includes all the features expected in high-end commercial tools, with new and expanded functionality NSA uniquely developed, and will be released for free public use at RSA.
Robert Joyce, NSA

Charlie Miller som tidigare jobbat på NSA kommenterade på Twitter att verktyget fanns för 13 år sedan då han jobbade på myndigheten:

Damn GHIDRA still exists at NSA? That tool was already there when I left 13 years ago! https://t.co/6z2eLRW6pZ
— Charlie Miller (@0xcharlie) January 3, 2019

Verktyget är skrivet i programspråket Java och påminner mycket om IDA Pro som är ett verktyg som jag spenderat en hel del tid med.

Information om GHIDRA har tidigare läckt via CIA Vault7-läckorna som återfinnes på Wikileaks.

2019-01-04

Chrome OS får förstärkt USB-skydd med USBGuard

Google har lagt till en ny säkerhetshöjande funktion till dess operativsystem Chrome OS. Denna nya säkerhetshöjande funktion går under namnet USBGuard och ser till att USB-enheter inte kan anslutas när datorn är i låst läge.

❤️ Stöd mitt bloggande via Patreon

Inställningen finns i senaste Canary channel update och beskrivs enligt följande:

chrome://flags/#enable-usbguard
Prevents newly connected USB devices from operating at the lock screen until Chrome OS is unlocked to protect against malicious USB devices. Already connected USB devices will continue to function. – Chrome OS

Enheter som anslutits innan skärmlåset aktiverats fortsätter att fungera enligt beskrivningen ovan. Att USBGuard införs är bl.a. för att förhindra attacker såsom Rubber Ducky och Responder.

Se commit här.

2019-01-03

CRATE – En övningsmiljö för cyberattacker

Totalförsvarets forskningsinstitut (FOI) har sedan 10 år tillbaka förvaltat och utvecklat en övningsmiljö för cyberattacker (cyber range) vid namn CRATE. Miljön används för att bygga upp olika scenarion med hjälp av cirka 800 virtuella servrar och ett simulerat internet.

Stöd mitt bloggande via Patreon!

Huvudkunder för denna miljö är Myndigheten för samhällsskydd och beredskap (MSB) samt Försvarsmakten som båda har bidragit till uppbyggnaden av Crate. Övning i miljön kan också ske utanför anläggningen genom en extern anslutning till spelnätet via VPN. Dessutom går det att koppla in skrivare, telefoner, styrsystem och olika övervakningsstationer (ICS/SCADA etc) samt det mesta som VirtualBox kan hantera.

Crate är en viktig komponent för att öka Sveriges förmåga att hantera cyberangrepp. Vi ser anläggningen som en arena för samverkan mellan såväl det privata och offentliga som på ett nationellt och internationellt plan. Crate är unikt och hjälper verkligen företag och myndigheter att öka sin cybersäkerhet.
Konstaterar Åke Holmgren som är MSB:s chef för cybersäkerhet och skydd av samhällsviktig verksamhet

Dock verkar det inte helt lätt att komma igång med CRATE eftersom jag saknar en ”sign up” knapp, manuell kontakt som verkar gälla. Därför tror jag att många privata aktörer istället väljer lösningar från leverantörer såsom Hackthebox.eu eller bygger eget med Amazon EC2, vilket jag själv gör när jag vill sätta upp labbar eller övningar. Har du tips på andra leverantörer av cyber-rangers, lämna gärna en kommentar nedan.

Och förutom vid träning och övning används CRATE även för forskningsprojekt samt för test och försök.

Film från CRATE med en bro avsedd för leksakståg:

CRATE står för Cyber Range And Training Environment.

Become a Patron!

2018-12-22

Projekt Särimner

Uppdatering: Källkod till projektet finns delvis på Github https://github.com/SUNET/sarimner-frontend

Särimner är ett pilotprojekt som bedrivs av Sunet (Vetenskapsrådet) tillsammans med Netnod. Projektet har tittat på hur en teknisk lösning kan skydda mot olika typer av hot såsom överbelastningsattacker.

Projektets namn, ”Särimner”, kommer från nordiska mytologin och grisen Särimner som utgjorde föda för de fallna krigarna i Valhall. Särimner åts upp varje kväll och återuppstod dagen efter.

Projektet har genomförts på uppdrag av Post- och telestyrelsen (PTS) och en slutrapport har igår levererats till myndigheten med lärdomar från projektet.

Jag har läst rapporten som är på 27 sidor och tycker att det verkar som en bra lösning som föreslås: Ett antal noder (särimnernoder) placeras ut i nära samarbete med internetoperatörer för att leverera distribuerat webbaserat innehåll. Även så föreslås det att en förvaltningsorganisation upprättas i samband med detta.

Problemet som belyses i rapporten är inte noderna i sig utan att operatörerna har en allt för centraliserad infrastruktur där mycket förlitar sig på Stockholm. Rapporten lyfter upp Sunet som ett föredöme när det gäller att bygga ett robust nät:

Genom att delvis definiera om vad en region är utifrån ett infrastrukturperspektiv lyckades man få trippelredundant fiberinfrastruktur till en plats i varje region, dvs knappt 20-talet platser i Sverige

Tanken är även att lokalt utplacerade säriminernoder ska fungera autonomt, så att det alltid finns en nod som svarar, även vid stora mängder anrop. Noderna agerar även proxy till DNS och gör därmed att noden fortsätter att leverera trafik trots att den tappat kontakten med den riktiga servern. I en kris där originalkällan inte finns så ska det finnas en cachad version av senaste informationen (med en tidsangivelse).

Dock kan inte noderna uppdatera mellan varandra i dagsläget utan detta är något som ligger med i en plan för 2019 (peer-to-peer).

Vi fann att koordinering av fiberutbyggnad har varit så usel (om den alls funnits) att det drabbar robusthet gällande kommunikation i Sverige.
Säger Patrik Fältström som varit med i projektet från Netnods sida

Projektet föreslår att Sunet tilldelas medel för att upprätta en förvaltningsorganisation som vidareutvecklar och tar hand om Särimner framöver.

Medverkande i projektet förutom Sunet och Netnod så har Governo AB hjälpt till med processledning samt Assured AB för kryptografiska lösningar. Intervjuer har genomförts med representanter från MSB, SVT, SLL, LUNET, IT-Norrbotten, IIS och Tidningsutgivarna, TU.

Rapporten i sin helhet kan du ladda hem här: