Taggat med: MUST

MUST och KTH anordnar tävling i kryptoanalys

Kungliga Tekniska högskolan (KTH) anordnar en tävling i kryptoanalys i samarbete med avdelningen för krypto och IT-säkerhet vid den militära underrättelse- och säkerhetstjänsten (MUST).

Information gällande tävlingen

Tävligen består av sex uppgifter i form av sex kryptotexter som skall forceras. I vissa uppgifter efterfrågas mer information än själva klartexten. Den första uppgiften är anslagen på KTHB. Resterande uppgifter är anslagna på olika platser på campus.

Respektive uppgifts lösning anger var nästa uppgift står att finna. Uppgifterna är således avsedda att lösas i ordning. Alla kryptotexter är skapade med elementära handchiffer. Uppgifterna är så utformade att kryptotexterna skall medge forcering även om det i vissa fall kan fordras en viss arbetsinsats och vissa kunskaper i kryptologi för att finna lösningen.

Härutöver krävs viss kunskap i det svenska språket.

Tävlingen pågår fram till och med kl. 23:59:59 den 13 november 2017.

För mer information se följande PDF:

Intervju med Martin som är kryptolog på MUST

MUST, Militära Underrättelse- och Säkerhetstjänsten

Jag fick möjlighet att ställa några frågor till Martin som jobbar som kryptolog på Militära underrättelse- och säkerhetstjänsten, MUST.

MUST ansvarar bland annat för att kravställa, granska och godkänna kryptosystem och IT-säkerhetprodukter med mycket höga krav på kvalitet och säkerhet. Alla kryptosystem som är avsedda att skydda det svenska rikets säkerhet måste godkännas av MUST och personer som Martin.

Vad är det bästa med ditt jobb?

Att jag får möjlighet att arbeta heltid som kryptolog. Jag hade tidigt en förkärlek för kryptologiområdet. Redan när jag började mina studier funderade jag kring att bli kryptolog.

I mitt arbete får jag möjlighet att kombinera teori och spjutspetsforskning med ett gediget praktiskt kryptologiskt hantverk, samtidigt som jag upplever att mitt arbete är meningsfullt.

Vi bidrar på ett konkret sätt till att skydda rikets säkerhet. Även om väpnade konflikter lyckligtvis hör till ovanligheterna i vårt närområde bedrivs passiv inhämtning i form av exempelvis signalspaning kontinuerligt mot våra system. Även aktiva attacker av olika slag förekommer.

Vad kännetecknar ett bra krypto?

MGC Kryapp 301
MGC Kryapp 301, Bild: MUST

Ett bra och säkert kryptosystem kännetecknas i min mening först och främst av att det är lättanvänt och möter användarnas faktiska behov.

Kerckhoffs — en känd man med många principer — hade insett ovanstående redan år 1883 när han formulerade sin sjätte princip: ”Enfin, il est nécessaire, vu les circonstances qui en commandent l’application, que le système soit d’un usage facile, ne demandant ni tension d’esprit, ni la connaissance d’une longue série de règles à observer.” i sitt verk ”La Cryptographie Militaire”. (Fritt översatt till svenska)

Avslutningsvis, är det nödvändigt, givet de omständigheter som föranleder dess tillämpning, att systemet är enkelt att använda, och varken vållar själsspänning eller fordrar kännedom om en lång rad regler att efterleva.

Det är viktigt att användarna har en erforderlig utbildning, att det finns regelverk och instruktioner som är enkla att följa och som säkerställer ett korrekt handhavande av systemet, och att det sker kontroller av att dessa regelverk och instruktioner efterlevs, för att ett system ska vara säkert. Genom upplysning bygger vi säkerhet.

Yves Gyldén, en känd svensk kryptolog, och något av en pionjär inom området i Sverige på 30-talet, drog liknande slutsatser som Kerckhoffs efter att ha studerat de olika chifferbyråernas forceringsförehavanden under världskriget. Han skriver bland annat:

Föga hjälpa manövrer, huru fältmässiga de än äro. De kunna aldrig uppkonstruera den själsspänning under vilken mången chiffrör försummar elementära försiktighetsåtgärder på grund av att chiffreringsproceduren är för invecklad eller för tidsödande.

Ska ett system ytterst fungera under krigsliknande eller på annat sätt ansträngda förhållande krävs att systemet är användarvänligt. Användaren har i allmänhet andra saker att uppehålla sig vid än kryptosystemet.

Utöver ovanstående är det givetvis helt centralt att det kryptologiska systemet, i vilket exempelvis kryptoalgoritmer ingår, är dimensionerat för att motstå den avsedda angriparen under hela den tid som ett skyddsbehov föreligger, och att systemet erbjuder rätt slags skydd.

Kryapp 9411 / PGAI, Bild: Tutus
Kryapp 9411 / PGAI, Bild: Tutus

När man som lekman tänker på kryptologiska system är det kanske främst sekretesskydd som kommer i åtanke — det vill säga system som skyddar uppgifters sekretess — men det finns många andra slags skydd som ett kryptologiskt system kan tillhandahålla. Några exempel är riktighetsskydd, skydd mot falsk signalering, återuppspelningsskydd, intrångsskydd och olika former av skydd mot trafikanalys. Tillgänglighetsaspekter måste också beaktas.

I fallet sekretesskydd är det särskilt svårt att dimensionera skyddet eftersom att uppgifter som krypteras med systemet då måste förbi omöjliga att forcera fram tills dess att sekretessen upphör.

Det vill säga: Om uppgifterna är hemliga i 50 år måste systemet förbli omöjligt att forcera 50 år efter att systemet har tagits ur drift och den sista uppgiften har sänts. Betraktar man den teknikutveckling som har skett under de senaste 50 åren och funderar över vad vi kommer befinna oss 50 år i framåt i tiden inser man vidden av det uppdragets svårighet.  Lägg därtill att vår dimensionerande hotaktör är en statsaktör i form av främmande makts underrättelsetjänst.

Kryapp 5401 / MGDI, Bild: Sectra
Kryapp 5401 / MGDI, Bild: Sectra

Kryptologi, och särskilt sekretesskydd, är oförlåtande. I och med att en kryptotext sänds görs en utfästelse om att kryptotexten kommer att förbli omöjlig att forcera under hela den tidsperiod som ett behov av ett sekretesskydd föreligger. Det är omöjligt att i efterhand ångra sändningen. Man kan inte heller i efterhand förhindra sekretessförluster genom att då uppdatera systemet. En angripare som lyckas forcera ett system kommer att göra allt för att hemlighålla detta faktum. Därför måste systemet vara korrekt dimensionerat redan i utgångsläget.

För att kunna dimensionera system korrekt, och för att kunna möta nya attacker och brister som uppdagas redan i ett tidigt stadie, bedriver vi en omfattande omvärldsbevakning. Inom ramen för den följer vi exempelvis den akademiska forskningen. Vi bedriver också egen forskning och vi deltar i olika typer av forskningsprojekt och samarbeten. För närvarande forskar jag själv på hur kvantdatorer — det vill säga datorer som utnyttjar kvantmekaniska fenomen för att utföra beräkningar — i framtiden kommer kunna användas för att utföra kryptoanalys. Syftet är att bättre förstår hur vi idag ska agera för att på lång sikt skydda svenska intressen.

En annan sak som utmärker säkra kryptosystem är att de redan från början har konstruerats på ett sådant sätt att det är enkelt att formellt påvisa egenskaper i systemet och att verifiera dess säkerhetskritiska funktionalitet.

Därför är vi delaktiga i hela systemets livscykel från kravställning av systemet, till utveckling och design, till implementation, serieproduktion, verifiering, godkännande och driftsättning, till förvaltning och slutlig avveckling. I varje delsteg säkerställer vi att systemet utformas på ett sådant sätt att den slutliga produkten kommer kunna möta våra säkerhetskrav.

Kryapp 9301 / MGEI, Bild: Advenica
Kryapp 9301 / MGEI, Bild: Advenica

Under hela livscykeln måste sekretessen som omgärdar våra kryptosystem tryggas. Härutöver måste systemens riktighet skyddas. Angripare får inte ges möjlighet att manipulera våra kryptosystem.

När ett kryptosystem väl har tagits i drift måste det försörjas med kryptonycklar. En viktig del av vår verksamhet utgörs därför av vår nationella nyckelproduktion och nyckeldistribution. Den utformas så att den ska kunna fungera i krig.

Jag tror att jag vågar påstå att det främst är ovanstående faktorer som är centrala för att ett system ska kunna sägas vara säkert. Det är svårt och resurskrävande att ta fram säkra kryptosystem och att säkerställa att de handhas på rätt sätt.

Det är därför som vi har ett starkt mandat, och det är därför som kryptosystem som ska användas för att skydda hemliga uppgifter som rör rikets säkerhet först måste godkännas av oss.

Det är också därför som vi inte bara tar fram system för Försvarsmakten utan för hela Totalförsvaret. Våra system används civilt för att skydda exempelvis samhällskritisk infrastruktur.

Bild: Alexander Karlsson/Combat Camera/Försvarsmakten

Vad har du för tips till den som funderar över sitt yrkesval och som vill bli kryptolog?

Den som vill bli kryptolog bör i första hand ha ett brinnande intresse för kryptologiområdet och såväl en praktisk som teoretisk fallenhet för området.

KRYAPP 3021, Bild: FMV
KRYAPP 3021, Bild: FMV

Det är viktigt att personen ifråga inser hur oförlåtande kryptologiområdet är, och att hon eller han kan klara av att fullständigt genomlysa ett system och analysera alla angreppssätt mot detsamma. Ihärdighet, disciplin, och en förmåga att se problem från olika infallsvinklar är viktiga egenskaper hos en bra kryptolog. Härutöver krävs givetvis goda kunskaper i kryptologi.

För att återigen citera Gyldéns uppfordrande utläggningar:

Plikttrogenhet och disciplin är en god grund att bygga på. Den är otillräcklig inom en chiffertjänst. Kunskap och intelligens utgöra en långt säkrare grund.

Personer som söker tjänst hos oss som kryptolog bör ha en civilingenjörsutbildning eller masterutbildning inom ett tekniskt eller matematiskt ämne med fokus på problemlösning, eller motsvarande kunskaper förvärvade på annat sätt. En forskarutbildning såsom en doktors- eller licentiatexamen är meriterande. Men utbildningen är inte allt; man behöver en förmåga att faktiskt få saker gjorda i praktiken, och man måste kunna kommunicera med andra människor såväl i tal som i skrift. Man måste förstå dagens teknik och hur moderna kryptoapparater och kryptosystem fungerar tekniskt.

Kryptologiområdet är fortfarande ett smalt område, särskilt på den nivå där vi verkar. Därför måste den som vill bli kryptolog vara beredd att satsa ganska högt. Å andra sidan finns det få kryptologer i landet, och därmed få personer för oss att anställa. Vi söker nu både etablerade kryptologer och blivande kryptologer som får en del av sin utbildning här hos oss.

Härutöver söker vi andra typer av kompetenser, såsom IT-säkerhetsexperter och experter på mjuk- och hårdvara.

För att bygga säkra kryptosystem krävs inte bara kryptologer.

Vilka tekniska utmaningar ser du att ni ställs inför i framtiden?

Vi ser att komplexiteten i vår uppgift ständigt ökar. Utvecklingen har gått från enbart handchiffer, till mekaniska och sedermera elektromekaniska kryptoapparater, till enklare elektroniska apparater, fram till dagens jämförelsevis mycket komplexa kryptosystem. Än ser vi inget tecken på att komplexitetstillväxten avmattas. Tvärtom. För att kunna granska och konstruera kryptoapparater samt följa omvärldsutvecklingen krävs en hel uppsjö olika mycket djupa tekniska kompetenser och betydande resurser. Det är viktigt att säkerställa tillgången på kompetens och resurser inför framtiden.

KRYPTOTELEFON 710, Bild: FMV
KRYPTOTELEFON 710, Bild: FMV

Livstiden för kryptoapparaterna som vi tar fram förkortas i och med den snabba teknikutvecklingen. Samtidigt förlängs utvecklingstiderna. Det gäller därför att satsa rätt från början och att ta fram apparater med en lång livslängd och ett brett användningsområde.

Det finns också utmaningar som är kopplade till globaliseringen och till att vi gradvis håller på att förlora kapaciteten att producera avancerad teknisk utrustning såsom kryptoapparater inom landet. När vi tillverkar kryptoapparater är sekretessen kring systemen och inte minst riktigheten av yttersta vikt. Förr i tiden kunde man inspektera en mekanisk hjulverksmaskin och se att den fungerade enligt specifikationen. Det är inte längre möjligt med dagens system. Av dessa skäl är det viktigt att vi har erforderlig kontroll över produktionen.

Det är en utmaning inför framtiden.

MUST årsöversikt 2016: Ryska påverkansoperationer

Militära underrättelse- och säkerhetstjänsten (MUST) inom Försvarsmakten publicerade precis sin årsöversikt för 2016. Och precis som FRA:s årsredovisning för 2016 så skriver MUST om ökade cyberoperationer.

Och om påverkansoperationer så skriver MUST följande:

”Påverkansoperationer har fått förnyad aktualitet i samband med presidentvalet i USA 2016 men Ryssland har, liksom Sovjetunionen, tillämpat påverkansoperationer som ett utrikespolitiskt verktyg under många år.

Detta sker inte minst genom de ryska underrättelsetjänsterna, som förutom att inhämta underrättelser också har till uppgift att verka för att öka det ryska politiska inflytandet utomlands och aktivt motverka utvecklingar som den ryska statsledningen anser vara negativa.

Att inhämta information som kan användas för att misskreditera politiska motståndare är ett väl etablerat modus operandi, där Internet erbjudit nya sätt att både komma över och sprida sådan information. I detta sammanhang ges också stöd till aktörer som för Rysslands talan i andra länder. En förutsättning för att kunna bedriva effektiva påverkansoperationer mot extern och intern opposition är god direkt eller indirekt kontroll över massmedier.”

Annat som är intressant som förekommer i årsöversikten är den obligatoriska IT-incidentrapporteringen som bidrar till att höja säkerhetsskyddet. Andra myndigheter rapporterar till MSB men myndigheter som ligger under Försvarsdepartementet samt Fortifikationsverket och Försvarshögskolan rapporterar till Försvarsmakten.

MUST fick även i uppdrag av MSB ett reda ut vilka produkter som kan bli godkända för att använda som Krypto för skyddsvärda uppgifter (KSU).

Martin på avdelningen för krypto och IT-säkerhet vid MUST som var granskningskoordinator i projektet berättar att de upptäckte luckor inom några områden i det omfattande underlaget som de hade att tillgå från tidigare undersökningar.

Detta gjorde att MUST behövde göra egna undersökningar och intervjua respektive leverantör. Leverantörernas design av de tekniska lösningarna överensstämde inte alltid med hur MUST ansåg att de borde ha gjort i vissa avseenden. Under intervjuerna med leverantörerna fick MUST däremot förståelse för kompromisser de behövt göra. Förklaringarna låg oftast i linje med hur leverantörerna uppfattade slutanvändarnas behov och säkerhetskrav.

Här kan du läsa MUST årsöversikt:

IT-säkerhetskonferens C2 17 – Eftermiddag

Detta är en sammanställning från IT-säkerhetskonferensen Command & Control 2017 eftermiddag. Förmiddagens sammanställning hittar du här

Keep the GDPR monster under control – direct from the field

(på Engelska)
Karen Lawrence Öqvist, VD och grundare för bolaget Privasee

Karen går igenom definitionen på vad som är personlig data. Hennes företag har tagit fram en metod som heter Privasee Method ”keep it simple” som består av ett antal principer för att jobba med GDPR.

Fritt översatt:

  1. Spara så lite data som möjligt. Och be om medgivande om det som sparas
  2. Datakvalitét
  3. Spara enbart enligt ett specifikt syfte
  4. Använd personlig data begränsat och enbart enligt syftet
  5. Säkerhetsåtgärder
  6. Öppenhetsprincip
  7. Princip för inblandning av användare

Säkerhet hos nya produkter och system inom Försvaret

Ulrika Evertsson Hansson, Head of Systems Security Audit Section på Försvarsmakten

Systemgranskningssektionen vid MUST granskar och bedömer säkerheten i och omkring IT-system. Ulrika påpekar att brister IT-säkerheten så påverkar det Försvarsmaktens förmåga att lösa uppgifter.

Signalskydd har mycket högre kvar på assurans och sekretess bl.a. för att de ska skydda rikets säkerhet upp till 95 år. Och FM ska inte bara hantera sin egen hemliga information, utan även andras såsom NATO och EU.

FM måste skydda sig mot andra statsaktörer med stora resurser. Det är ett stort arbete att hålla gamla system skyddade mot nya hot.

KSF – Krav på säkerhetsfunktioner beskriver det funktionella och assuranskrav som ställs på alla system som ska nyttjas för FM:s verksamhet.

Viktigt också enligt Ulrika: RÖS/TEMPEST, loggning och signalskydd. Komponenter granskas enligt olika nivåer från N1 till N4. MUST måste granska dataslussar och dioder extra mycket. Även nämner Ulrika ”secure supply-chain” och att N4 även innefattar kodgranskning och att få produkter har denna nivå.

Säkerhetsfunktioner

  • Behörighetskontroll
  • Säkerhetsloggning
  • Skydd mod skadlig kod
  • Intrångsskydd
  • Intrångsdetektering
  • Skydd mot obehörig avlyssning
  • Skydd mot röjande signaler (RÖS). TEMPEST = NATO

FM strävar åt att gå över till TEMPEST från RÖS.

Föryngring av säkerhetsbranschen

Moderator: Anne-Marie Eklund Löwinder (IIS) och Åsa Schwarz (Knowit)
Sponsorrepresentanter: Einar Lindquist (Advenica) och Calle Svensson (Bitsec)

En diskussion hur vi kan föryngra branschen och en presentation av sponsorerna samt varför de har valt att sponsra studenter med biljetter till C2’17. Gemensamt för samtliga var att de uppmuntrade och gillade C2’17-konceptet (läs mer här).

Agil juridik

Caroline Sundberg, advokat på advokatfirman Delphi

Caroline Sundberg, advokat på advokatfirman Delphi

Först beskriver Caroline vad agil utveckling är: mindre och kortare leveranser. Man kan även ändra sig på vägen. Man har ingen spec från början ”vi ska bygga exakt det här”.

Agil utveckling är eg. inget nytt men det är ett ökat intresse. Några vanliga metoder är Scrum, FDD, DSDM, Crystal, Lean Software Development osv.

Vanligaste misstag är att man har för bråttom samt att man använder avtal för vattenfallsmodellen för agila projekt.

Minimikrav på agila projekt bör innefatta reglering av nyckelpersoner, givetvis går det dock inte att förhindra föräldraledighet etc. Även så bör uppsägning av projektet utan skäl finnas. Immateriella rättigheter är också otroligt viktigt, speciellt vid agil utveckling.

Ska man tillåta Open Source i utvecklingen? Kontroll på vilken extern kod som införs.

Minimikrav bör även innefatta sekretess, hantering av personuppgifter, krav på dokumentation, krav på kunden samt kvalitetskrav.

Förändringsledning: Hur får vi alla engagerade i säkerhet?

Anna Borg, senior säkerhetskonsult på Knowit
Eva Esselin Leander, leg. organisationspsykolog och seniorkonsult på Knowit

Vi behöver förflytta oss framåt mot någonting som vi inte har en aning om. Som människor i vår natur går vi tillbaka i en komfortzon. För att utvecklas behöver vi passera gränsen och känna oss lite rädda, då är vi på topp som människor. Helst bör vi gå utanför vår komfortzon minst dagligen.

Det bör så klart inte gå för långt, vi ska inte känna oss för obekväma. För då får det motsatt effekt. Exempelvis när det gäller General Data Protection Regulation (GDPR) så väljer tyvärr många att sätta ner huvudet i sanden.

För att genomföra förändringar så handlar det först om att skapa rätt förutsättningar, sedan engagera hela organisationen och sist förankra och driva vidare förändringen. Tillvarata även medarbetarnas kompetens som en resurs för att hitta bättre lösningar samt gemensam utveckling så känner fler inom organisationen ansvarstagande och helhetsförståelse.

Storgruppsintervention är även att rekommendera. Även så går talarna igenom en involveringsprocess.

Avslutande diskussioner

Under sista passet så var samtliga talare på scenen. Det diskuterades bl.a. Polisens arbete med att nå ut med IT-säkerhetsinformation till samtliga 29000 medarbetare. Även så påpekade Anne-Marie om att arbetsgivarvarumärket blir viktigare och viktigare vid rekrytering.

Det diskuterades även om politiska val samt IT-säkerhet runt dessa. Sist men inte minst så frågades det om reglering i form av exempelvis GDPR är bra och samtliga tyckte att det var bra.

C217 samtliga talare

C2’17 – Ny spännande IT-säkerhetskonferens

Jag fick möjlighet att ställa några frågor till Åsa Schwarz som är en av initiativtagarna till den nya IT-säkerhetskonferensen Command & Control (C2) som går av stapeln den 17:de Januari 2017 i Stockholm.

Bland talarna på konferensen hittar vi bl.a Ulrika Evertsson Hansson som kommer att berätta om hur Militära underrättelse- och säkerhetstjänsten (MUST) aktivt arbetar med att få in it-säkerhet i hela systemutvecklingsprocessen och vilka säkerhetsfunktioner som måste omhändertas i Försvarsmaktens IT-system.

Anne-Marie Eklund-Löwinder, CISO på IIS kommer att berätta hur DNSSEC-roten är uppbyggd och säkrad med 7 st nycklar där Anne-Marie ansvarar för en av dessa nycklar.

Ovan två föredrag samt en mängda andra intressanta föredrag kommer att hållas under dagen, klicka här för om du vill se hela agendan.

Berätta vad Command and Control är för konferens?

Det är endagskonferens där vi får lyssna på några av Sveriges mest spännande företag och myndigheter. Vi har plockat ut aktuella ämnena inom it- och informationssäkerheten inför 2017. Några exempel är hur toppdomänen för internet förblir säker, hur Volvo arbetar med it-säkerhet i självkörande bilar och hur informationssäkerhet är en del av Polisens verksamhet.

Vilken målgrupp riktar ni Er till?

Främst till personer som under 2017 kommer att arbeta professionellt med it- och informationssäkerhetsfrågor. Vi kommer även ha ett antal studenter på plats eftersom vi inom kort kommer ha ett en stort brist på experter inom området och måste locka nya till branschen.

Ser ni ett behov att fylla?

Den svenska föreläsningsscenen inom säkerhetsområdet har varit relativt homogen, där samma personer ständigt återkommer år efter år. Vi har plockat ut några av Sveriges främsta experter som inte synts lika frekvent men som har väldigt mycket att bidra med. De kommer ge nya tankeväckande infallsvinklar och kunskap. Vi har också länge funderat på varför mässor, konferenser och expertpaneler har så få kvinnor inom it- och informationssäkerhetsområdet.

Svaret man ofta får är att det inte finns några. Vi tänkte en gång för alla visa att det inte stämmer. Eftersom marknaden växer kraftigt måste vi se till att bli en attraktiv bransch för alla som är intresserade av säkerhet. C2’17 är helt enkelt ett naturligt led i att vi vill göra Sverige till en av världens mest dynamiska säkerhetsarenor.

Vilka höjdpunkter ser du själv på konferensen?

Jag ser mycket fram emot mycket är att lyssna på råd från en organisationspsykolog hur vi får våra medarbetare att förändra beteende och arbeta på ett säkrare sätt. Det kommer säkert också bli mycket intressanta samtal under lunchen och möjlighet att knyta nya kontakter vid kaffet.

Vilka är ni som anordnar konferensen?

Vi som arrangerar och står bakom denna konferens är en grupp personer som tillsammans vill verka för att höja it- och informationssäkerheten i Sverige. Genom att förändra föreläsningsscenen, media och rekryteringsprinciper vill vi skapa en av världens mest dynamiska säkerhetsarenor. Vi kallar oss själva för Kontrollgruppen. Du hittar medlemmarna här: www.c217.se/arrangor

Vad har ni valt för plats och varför?

Vi kommer att vara på Bygget Fest & Konferens på Norrlandsgatan 11 i Stockholm.

Anledningen är att lokalen ligger centralt och att vi har både konferens och mingelytor för oss själva. Vi tycker att kontaktskapandet och dialogen mellan åhörarna är lika viktig som själva föreläsningarna. Den gemensamma kunskapen och erfarenheten bland alla deltagare är minst sagt imponerande.

SÄPO varnar för omfattande cyberspionage

SÄPO Cyberhot

Att cyberspionage och elektroniska attacker är något som fler och fler stater ägnar sig åt och satsar resurser på är nog inget som någon missat. Säpo går nu ut och varnar för att omfattande cyberspionage genomförs mot svenska intressen.

Läckage från företag såsom Hacking Team visar att diktaturer men även länder såsom Sverige varit i kontakt med denna typ av företag som utvecklar verktyg och metoder för cyberspionage.

Misstänker du att din organisation utsatts för cyberspionage? Kontakta Triop AB

Tillvägagångssättet hos antagonisterna är vad som kallas death by a thousand cuts där flertalet små ledtrådar läggs ihop som i sin helhet kan få förödande konsekvenser. Attackerna genomför exfiltration av information genom olika typer av kanaler som är svåra och upptäcka och pågår under lång tid.

Säkerhetspolischef Anders Thornberg säger:

Vår bedömning är att cyberhotet mot företag och myndigheter i Sverige är omfattande och ofta målinriktat. Många angrepp upptäcks aldrig – eller så upptäcks de för sent. När det gäller cyberspionage är det svårt att se att någon tagit sig in i systemet och spionerat. Angriparnas mål är att gå in och få ut information utan att synas.

För att förebygga och förhindra brott på cyberarenan så genomför Säpo kontroller samt bistår som rådgivande resurs till myndigheter som innehar samhällskritisk information eller företag som är särskild skyddsvärda.

Säpo jobbar även nära tillsammans med andra myndigheter såsom Försvarets Radioanstalt, FRA, och Militära underrättelse- och säkerhetstjänsten, MUST, och har en gemensam arbetsgrupp, NSIT (Nationell samverkan till skydd mot allvarliga IT-hot).

Next Generation Threats 2015 eftermiddag

Detta är del två i sammanfattningen av IT-säkerhetskonferensen Next Generation Threats 2015. Del ett kan du läsa här.

Jan Wünsche – Defending information in a complex reality

Jan Wünsche

Jan pratar om att MUST har ett uppdrag att skydda Försvarsmakten. Och att han representerar S:et i och inte U:et i MUST dvs Säkerhetskontoret. Försvarsmakten och MUST är en myndighet försöker att bli öppnare och Jans föredrag idag är ett steg till det.

Vi måste tänka på vilken data vi lagrar vart och vilka leverantörer som lagrar data om våra medarbetare. Hur färdas datatrafiken och hur tänker vi på tillgängligheten om hotbilden mot Sverige ökar?

Försvarsmakten använder fysiskt separerade system och äger sin egna infrastruktur med egna kablar etc. Behovet att kommunicera med andra ökar hela tiden, även för Försvarsmakten.

Se exempelvis hur det ser ut för ISAF i Afghanistan där 47 olika länder måste kommunicera med varandra. Och det gäller inte bara öppna system utan Försvarsmakten behöver även kommunicera mellan klassificerade system.

Jan nämner även att antagonister nu angriper privata datorer istället för myndighetens IT-system i hopp om att anställda tagit med sig information hem och att säkerheten är lägre på privata datorer.

Jan Wünsche är Information Assurance Strategist vid MUST.

Marcus Murray – APT, Cybercrime and cyber warfare exposed

Marcus Murray

Förr i tiden så var det enkelt att ta sig förbi brandväggen. Främst för att man bara hade en brandvägg som avgränsade Internet mot övriga nätverket. Marcus berättar att kommer att demonstrera en attack som är uppbyggd att avspegla hur en riktigt IT-angrepp skulle kunna gå till.

Marcus visar en liten USB-enhet som kan användas för att äga en dator. Just denna är programmerad att fungera som ett tangentbord. Han använder Microsoft PowerShell för att exekvera Meterpreter som gör en connect-back. Allt genomförs enbart i minnet och inget skrivs till hårddisken.

Connect-backen går till Microsoft Azure där en server hyrs och Metasploit sitter och väntar på connect-backs på https port 443.

När väl det finns en etablerad session till en klientdator så kör han Nmap från klienten och söker efter MSSQL-servrar på port 1433. Efter detta så testas de vanligaste lösenorden och ett av dessa lyckas: [email protected].

Igen så används PowerShell för att starta upp Meterpreter så att inte hårddisken används. Marcus berättar även om DNSCat2 som använder PowerShell för att tunnla trafik över DNS.

Sedan på MSSQL-servern så använder han Mimikatz för att dumpa ut hashar från systemet som sedan används för att ansluta mot domänkontrollanten.

Även så visar Marcus lösenordsdumpen från Adobe som drabbades av intrång för några år sedan. Några intressanta namn som fanns med i den var Stefan Löfven och Fredrik Reinfeldt som hade lösenordet bananskal samt steffe.

Marcus Murray är Cyber Security Manager på TrueSec.

Charlotta Öhlén – Identity Crisis

Charlotta Öhlén

Charlotta jobbar på Nexus och berättar om olika kunduppdrag där de levererat där smartcards-används för inloggning. Cast study #1 är läkare i Norge som loggar in med hjälp av dessa smarta kort.

Identity of Things handlar cast study #2 om då en CA fungerar som en managed service. Cast study #3 handlar om patientsäkerhet hos företaget Elekta där vitlistning används för mjukvaror.

Dynamisk och central identitetshantering är ett måste och inte enbart för individer utan även för mjukvaror och andra saker. Integritet är en också viktig faktor då mer och mer information hamnar i identitetshanteringen.

Charlotta Öhlén är till vardags Consulting Director vid Nexus.

Stor kryptospecial i Techworld

Senaste numret av papperstidningen TechWorld är nästan helt dedikerad till krypto-området. Och undertecknad finns så klart med några citat såsom:

Allt blir mer komplext när det rör sig om kryptering. Exempelvis blir felsökning krångligare när nätverket är krypterat som standard. Dessutom är kryptoinfrastruktur inget man snyter ur näsan.

Andra som medverkar i artikeln med titel Framtiden är krypterad är:

  • Elise Revell – Kelisec
  • Louise Yngström – professor
  • Mikael Ejner – Datainspektionen
  • Pia Gruvö – MUST
  • Niclas Molander – Cisco
  • Tina Lindgren – Combitech
  • Michael Westlund – Omegapoint

Du kan även köpa tidningen online som PDF för 99 kr här.

Techworld krypto