De tre myndigheterna MUST, FRA och Säpo anordnar en CTF samt event på Armémuseumet. Du kan redan nu anmäla dig till CTF:en och eventet på undutmaning.se.
CTF står för Capture The Flag och är en typ av tävling där deltagaren ska försöka lösa utmaningar inom olika områden och hitta ”flaggor” för att bevisa att man klarat av utmaningen.
Det fysiska eventet går av stapeln på torsdag den 28:e april klockan 16-21 och CTF:en startar 2022-04-09 kl 08:00. Det finns även en tillhörande Discord-server för att ställa frågor.
Totalt finns det 24 st utmaningar och de områden som gäller för utmaningarna är bl.a. inom IT-forensik, krypto och programmering. Arrangörerna lovar att vissa av utmaningarna är riktigt svåra att lösa.
Eva Björkman som jobbar på Säpo berättar om denna CTF:
Genom denna gemensamma CTF lyfter vi inte bara upp den enorma kompetens som våra medarbetare har, utan vi ger också potentiella medarbetare en liten inblick i våra verksamheter.
Detta inlägg sammanfattar eftermiddagen på Cyberförsvarsdagen 2019 som anordnas av SOFF tillsammans med MSB, FRA och Försvarsmakten. Förmiddagen kan du läsa om här.
Den internationella kontexten och dess påverkan på Sverige
Moderator: John Ahlmark, kommunikatör FRA
Supply Chain Security
Pia Gruvö, chef avdelningen för krypto och it-säkerhet Must
Pia berättar hur allt hänger ihop, för när jag började för 30 år sedan i branschen så fokuserade vi på algoritmer i kryptoapparaterna. Sedan blev det fokus på lådorna och nu tittar vi också på Supply Chain Cyber Security. Vi är bl.a. rädda för exfiltration via bakdörrar eller om man stänga ner eller styra system via bakdörrar.
Högassuransprodukter är de produkterna vi måste ha mest företroende för. Sådana produkter är exempelvis kryptoprodukter och vi väljer framförallt svenska produkter och detta har nu även Regeringen insett.
Ett exempel där det gick fel är en kryptoleverantör som anlitade en underleverantör som tillverkade kretsar. Och maskinen för att tillverka dessa kretsar var anslutna mot internet.
Man måste köpa komponenter från andra länder till kryptosystem. Då måste vi bygga system så att om det följer med en bakdörr så blir den isolerad och inte kan göra någon skada. Försvar på djupet är viktigt samt de mest kritiska produkterna måste komma från företag som man har förtroende för.
Outsourcing
Kommendör Jan Kinnander, Chef för Säkerhetskontoret på MUST
Jan börjar med att berätta om vad MUST är och de tre delar som MUST består av och att han är chef för den militära säkerhetstjänsten. Pia är chef för en av delarna under mig som jobbar med krypto och it-säkerhet, vi har också en enhet som jobbar med kontraspionage samt en del som jobbar med säkerhetsskydd.
Han berättar även att underrättelsetjänster är lata, de tar den enklaste vägen in när de vill göra intrång. Det är ett högt tryck när det gäller intrång mot underlverantörer och det beror på flera saker såsom att det är många ägg i samma korg, många har ett svagare skydd än exempelvis än en myndighet. Även kan en leverantör ha flertalet underleverantörer. Att säkerhetspröva utländsk personal är ett stort problem då vi inte har lika mycket information.
Just när det gäller leverantörer så ingår detta i säkerhetsskyddsförordningen från och med 1:a April 2018. Som tillsynsmyndighet har vi större möjligheter att exempelvis att stoppa en upphandling.
Brister som Jan Kinnander, Chef för Säkerhetskontoret på MUST ser gällande outsourcing:
Säkerhetsanalys
Säkerhetsprövning av personal
Tidsförhållanden
Och tillstryker att ansvar inte kan outsourcas. Är det här slutet för outsourcing? Nej, men vi måste ha en större transparens. En större kunskap vilka krav som ställs på myndigheten och hur dessa uppfylls.
Utkontraktering och överlåtelse av säkerhetskänslig verksamhet – Förslag till kompletteringar till den nya säkerhetsskyddslagen
Stefan Strömberg, särskild utredare Utredningen om vissa säkerhetsskyddsfrågor
Säkerhetsskyddslagstiftningen har utvidgats och omfattar en utökad skyldighet att ingå säkerhetsskyddsavtal. Tidigiare så behövdes exempelvis inte säkerhetskyddsavtal vid samarbeten exempelvis. Men samarbeten som går fortlöpande mellan myndigheter är dock undantagen. Nya säkerhetsskyddslagen har även nya tångsmedel. Viktigt är även en proportionalitet
Stefan berättar om skillnaden mellan lag och förordning.
Försvarsmakten och Säkerhetspolisen blir samordningsmyndigheter för tillsynsmyndigheter. Nytt är även en anmälningsskyldighet samt sanktionsavgift som beslutas av tillsynsmyndigheten.
Säkerhetsskyddschefen blir obligatorisk för alla verksamheter som driver säkerhetsskyddad verksamhet men yttersta ansvaret är hos GD eller VD. Avtalet är också en viktig del och inte bara nya säkerhetsskyddslagen.
Panelsamtal – Hur ändrar vi säkerhetsbeteendet?
Christer Samuelsson, head Cyber security CGI
kmd Jan Kinnander, chef säkerhetskontoret Must Försvarsmakten
Pia Gruvö, chef avd. krypto och it-säkerhet Must Försvarsmakten
Stefan Strömberg, särskild utredare
Först berättar Christer att han är från det privata och att samverkan är viktigt och att vi förstår varandra mycket bättre och vi förstår våra brister vilket är bättre vid våra upphandlingar.
Moderator John Ahlmark från FRA frågar Stefan om de nya lagarna och om de verkligen behövs. Och Stefan säger att det eg. är lite tråkigt att detta behövs men har tyvärr blivit ett måste. Avdramatisera genom att göra det till en fråga för alla som jobbar på ett företag.
Jan säger att regelverket är värdelöst. Det är att det används på rätt sätt, det handlar om attityder och kunskap.
John frågar om nya regelverket kan hämna istället för att ge verkan? Javisst kan det var så men vi måste alla prata om detta.
Pia är den som fått flest frågor under sitt tal. Och många handlar om ett land 10 timmar mot öst och eventuella bakdörrar, men Pia framhåller att eventuellt är läckorna efter Snowden som är det stora problemet. Alla bakdörrar som NSA stoppat in i produkter.
Tjänstemannaansvar? Vi måste komma rätta till med problemen och inte hänga ut någon. Många gånger har det också handlat om en kommunikationsfråga, gällande exempelvis inom Transportstyrelsen säger Jan.
Metoder och verktyg för cyberförsvar
Moderator: Annika Biberg, principal security consultant Nixu
MITRE:s attackramverk ATT&CK – Processer och tekniker för att upptäcka angripare inne i ditt nätverk
Mattias Almeflo, principal security consultant Nixu
Mattias berättar om ramverket ATT&CK som utvecklats av det oberoende och icke vinstdrivande företaget MITRE. Förkortningen står för Adversarial Tactics, Techniques and Common Knowledge. Ramverket fokuserar mycket på post-exploitation, dvs redan när angriparna finns i nätverket.
Även så bygger ramverket helt på empirisk data och är således rejält underbyggt. Det som ATT&CK även gör är att den går att använda för att attribuera och spåra till angripare på exempelvis landsnivå. 43% av alla attacker går att härleda till specifika länder.
LOLBins är fillösa attacker och har funnits sedan 2014 och där ser man en ökning. Mer än hälften av alla attacker enligt en källa använder LOLBins såsom Powershell.
”Living of the land” och detta är något som ATT&CK hjälper till att upptäcka. TTP:er används för detta och togs fram efter den första APT1-rapporten, Mattias använder även Biancos ”Pyramid of Pain”:
Bästa av allt är att det är gratis och du kan även använda ATT&CK för att göra benchmarks för att jämföra IT-säkerhetsprodukter.
CIS20 grundläggande kontroller och exempelvis en IT-säkerhetsprodukter såsom Tripwire kan visa på att dessa två inte täcker upp allt genom att titta i ATT&CK.
Panelsamtal – Vad kan ATT&CK bidra med idag?
Mattias Almeflo, principal security consultant Nixu
Robert Jonsson, btr. chef CERT-SE/MSB
Ammi Lovén, seniorkonsult Secana
Moderatorn Annika frågar om det här är ett bra ramverk? Ja tycker både Robert och Ammi och Robert tillägger att det är bra för att alla pratar samma språk. MSB använder inte själva men berättar gärna för andra hur de ska arbeta.
Mattias, har du några praktiska exempel på hur man ska ta till sig ramverket? Ja, exempelvis när man arbetar med härdning av system så kan man när man är klar med härdningen se om man åtgärdad allting. Även kan du testa din förmåga att upptäcka attacker och vart era luckor är.
Ammi tycker även att ATT&CK-ramverket kan användas för övningar.
Mattias säger att Lockheed Martins Cyber Kill Chain och ATT&CK överlappar även. Ena utesluter inte det andra och man bör inte lägga alla ägg i samma korg.
Att säkerställa Sveriges framtida cyberförmåga
Moderator: Klas Lindström, VD och grundare 4C Strategies
Framtidens säkra IT-miljöer
Madeleine Kempe, cyber security program manager Saab
Madeleine berättar om framtidens utmaningar och hur vi ska hantera arvet. Vi har nya system som ska utvecklas och vi måste även ta hand om legacy. Vi har bl.a. KSF 3.1 och ISO-27000 att förhålla oss till. Men snart även säkerhetsskyddslagen och NIS-direktivet.
Fyra principer för säkra lösningar enligt Madeleine Kempe som är cyber security program manager på försvarsföretaget Saab:
Säkerhet från grunden
Standard
Kategorisera, klassificera
Tydlig styrning
Panelsamtal – Hur stärker vi Sveriges cyberförsvarsförmåga?
Lars Nicander, enhetschef ISSL och CATS FHS
Dag Ströman, chef CSEC FMV
övlt Patrik Ahlgren, chef Cyberförsvarssektionen LEDS CIO Försvarsmakten
Madeleine Kempe, cyber security program manager Saab
Dag ströman säger att vi måste anta att angriparna är i våra system. Klas frågar Patrik vad som är viktigt för Sveriges cyberförsvarsföråga och Patrik berättar att alla måste vara medvetna om hotet. Man måste konstruera dessa system med säkerhet i åtanke och inte hela jobba reaktivt.
För Försvarsmaktens del så måste vi ha funktionalitet i våra system så vi behöver alla tre förmågor. Vi behöver även förmågor att attackera och skydda IT-system säger Patrik Ahlgren.
Men hur ska privata aktörer få koll på hotet? Jo vi alla myndigheter såsom MSB, Försvarsmakten och Säkerhetspolisen har ett gemensamt ansvar.
Lars Nicander säger att vi måste ha en cybersäkerhetskoordinator hos statsrådsberedningen i Regeringen. Vi har haft 7 st utredningar och alla har lagt fram en strategi. Bästa svepskälet till att vi inte har det är att alla säger att vi har ansvarsprincipen.
Dag tycker att vi ska skapa en nationell styrmodell för cybersäkerhet istället för att använda silosar och alla uppfinner eget.
Kanske titta på den norska modellen med en myndighet som har större ansvar. Patrik tror dock inte på en ny myndighet, men absolut på en cybersäkerhetskoordinator. Främst för att koordinera cybersäkerheten inom Regeringskansliet. Vart leder resan med ett cybercenter?
Alltid viktigt med kommunikation mellan totalförsvarsmyndigheter. Dag frågar vilken som skulle vara den allvarligaste incidenten? Alla produkter som innehåller samma sårbarhet som kan utnyttjas av en angripare: monokultur. En angripare skulle kunna slå djupt och brett.
Politikerdiskussion
Moderator: Johan Wiktorin, director intelligence PwC
Niklas Karlsson (S) Ordförande Försvarsutskottet
Beatrice Ask (M) Vice Ordförande Försvarsutskottet
Daniel Bäckström (C) Ledamot Försvarsutskottet
Johan frågar hur vi skapar en sund säkerhetskultur i Sverige? Säkerhetskulturen är väldigt varierande beroende på vem man pratar med. Man måste öka medvetenheten på ett bredare plan. Vid rekrytering av chefer och det är alldeles för dyrt när det går åt skogen. Vi hade förr fluor-tanten men vi måste nu ha en cyber-tant säger Beatrice. Någon som kommer och påminner om och om igen. Vi är väldigt naiva idag och man behöver bara säga Transportstyrelsen eller Svenska kraftnät.
När det gäller internationella diskussioner om cyberattacker så pågår det fria kriget och Kina är inte intresserade av att diskutera detta.
Attacker mot det politiska systemet är också farligt. Läckta medlemsdatabaser från partier är inte bra och även när människor utger sig för att vara Beatrice Ask.
Vilka är de värsta attackerna? En mycket snabb aggregerad attack som slår ut mycket innan vi hinder reagera. Attacker mot hälso- och sjukvårdssystem som kan släcka liv. Attacker mot logistik och transporter i samhället.
Siggesigge var ett lösenord som användes inom valrörelsen för något år berättar Niklas. Scenarion som bygger på att grupper som ställs mot grupper är ett problem och att det inte går att lita på information som man får säger Beatrice.
Beatrice lärde sig på 112-dagen att man ska öva analogt. Man blir då ställd!
Niklas säger att våra mediavanor förändras och vår konsumtion blir digitaliserad och individualiserad.
Är 5G ett nationellt säkerhetsintresse? Det är en komplicerad och svår fråga säger Beatrice och den har många bottnar. Vad är det värsta scenariot och hur kan det hända?
När det kommer snabba kriser i samhället så är inte alltid våra budgetsystem förberedda. Det är givetvis billigare att investera i flygplan än att skogen brinner ner.
Kompetensförsörjning?
En specifik utbildning inom försvaret såsom tolkskolan för de som är intresserad av cybersäkerhet. Försöker bygga en rekrytering på frivillighet inom Hemvärnet.
Myndigheter som upptäcker saker såsom FRA måste även ha befogenheter att agera. Underrättelseförmågan är central i sammanhanget och ställer krav på tid och ledningssystem. Vi måste också bygga upp det psykologiska försvaret, bygga upp en vilja att försvara vårat land.
Kopplingen mellan hybridkrigföring, AI och forskning är viktig och FOI kommer att få mer pengar. Biologiska vapen är också något som oroar oss i statsrådsberedningen.
Datadioder är relativt simpla tekniska lösningar för att överföra data mellan två separata nätverk. Dioden ser till att kommunikation enbart kan genomföras åt det ena hållet mellan nätverken.
Tidigare har jag testat datadioden AROW från brittiska företaget Somerdata som du kan läsa om här.
Men denna gång har fått låna en datadiod från svenska företaget Advenica som har en produktserie vid namn SecuriCDS (CDS står för Cross Domain Solutions). Den mindre datadioden jag har lånat går under namnet DD1000A. Denna diod har en storebror som heter DD1000i som har ett antal extra funktioner såsom proxy-inspektion.
För att förevisa hur en datadiod kan kopplas in så har jag tagit ett exempel från en presentation från FRA:
Denna datadiod som jag har testat har blivit godkänd av Försvarsmakten till komponentassuransnivå N3, vilket är den näst högsta nivån och enligt Försvarsmaktens militära underrättelse- och säkerhetstjänst, MUST defineras N3-nivån enligt följande:
”MUST kan godkänna produkter vars funktionalitet helt eller till huvudsak syfta till att uppfylla IT-säkerhetskrav till N3. Alternativt kan produkten vara så modulärt uppbyggd att säkerhetsfunktionaliteten enkelt kan avgränsas och evalueras i enskildhet. Komponentutvecklaren ska bistå granskningen med allt granskaren behöver, såsom dokumentation och tillgång till relevanta resurser, t.ex. personal och testmiljö. Komponentutvecklaren ska visa att allt arbete med produkten styrs av en utförlig säkerhetsprocess som omfattar hela produktens livscykel.”
När jag testar datadioden så stöter jag på två problem: Det första är att den enbart pratar gigabit-hastighet och måste således hitta en enhet som jag kan ansluta på insidan samt utsidan som stödjer detta.
Andra problemet jag stöter på är att den enbart skickar vidare data på Layer 2 (ethernet) nivå. Således måste allt som skickas via den först konverteras till ett protokoll för enkelriktad kommunikation såsom UDP. Som tur är så finns det minst en open-source mjukvara för detta, udp-sender (–async). För den med utvecklingskunskap eller budget kan man givetvis utveckla detta själv specifikt för den information man vill överföra.
Att enheten inte har någon inbyggd proxy-funktionalitet är givetvis bra för säkerheten och något som jag anser är bättre att bygga in i fristående komponenter och därmed bygga sin säkerhet modulärt.
Advenica berättar att ingen information i enheten kan gå i backriktningen och att det bygger på flera lager av säkerhet, bland annat en optisk fiber med endast sändare på ena sidan, och endast mottagare på den andra sidan.
Vilket kan förevisas lättast genom följande övergripande illustration:
Sammanfattning
Jobbar du på en organisation som anser att säkerhet är viktigt bör du ha en datadiod som separationsfunktion mellan olika segment i nätverket. Men att slentrianmässigt installera en diod tycker jag är felaktigt, utan bör föregås av en analys.
Det kanske är så att ni i dagsläget har ett fysiskt åtskilt nätverk, då kan en diod exempelvis användas för att skicka loggar till ett loggnätverk. Eller att ni har videoutrustning såsom kameror som står i utsatta positioner och behöver skicka in videoströmmar.
Jag har inte tittat på redundans och failover i denna utvärdering. Men rekommenderar att införskaffa två SecuriCDS DD1000A om du ska bygga en lösning som ska ha hög tillgänglighet.
Andra datadioder förutom Arow från Somerdata är Arbit Data diod, Fox it datadiode, Thales ELIPS-SD, Secunet SINA OneWay, DIY och QinetQ SyBard.
Kungliga Tekniska högskolan (KTH) anordnar en tävling i kryptoanalys i samarbete med avdelningen för krypto och IT-säkerhet vid den militära underrättelse- och säkerhetstjänsten (MUST).
Information gällande tävlingen
Tävligen består av sex uppgifter i form av sex kryptotexter som skall forceras. I vissa uppgifter efterfrågas mer information än själva klartexten. Den första uppgiften är anslagen på KTHB. Resterande uppgifter är anslagna på olika platser på campus.
Respektive uppgifts lösning anger var nästa uppgift står att finna. Uppgifterna är således avsedda att lösas i ordning. Alla kryptotexter är skapade med elementära handchiffer. Uppgifterna är så utformade att kryptotexterna skall medge forcering även om det i vissa fall kan fordras en viss arbetsinsats och vissa kunskaper i kryptologi för att finna lösningen.
Härutöver krävs viss kunskap i det svenska språket.
Tävlingen pågår fram till och med kl. 23:59:59 den 13 november 2017.
Jag fick möjlighet att ställa några frågor till Martin som jobbar som kryptolog på Militära underrättelse- och säkerhetstjänsten, MUST.
MUST ansvarar bland annat för att kravställa, granska och godkänna kryptosystem och IT-säkerhetprodukter med mycket höga krav på kvalitet och säkerhet. Alla kryptosystem som är avsedda att skydda det svenska rikets säkerhet måste godkännas av MUST och personer som Martin.
Vad är det bästa med ditt jobb?
Att jag får möjlighet att arbeta heltid som kryptolog. Jag hade tidigt en förkärlek för kryptologiområdet. Redan när jag började mina studier funderade jag kring att bli kryptolog.
I mitt arbete får jag möjlighet att kombinera teori och spjutspetsforskning med ett gediget praktiskt kryptologiskt hantverk, samtidigt som jag upplever att mitt arbete är meningsfullt.
Vi bidrar på ett konkret sätt till att skydda rikets säkerhet. Även om väpnade konflikter lyckligtvis hör till ovanligheterna i vårt närområde bedrivs passiv inhämtning i form av exempelvis signalspaning kontinuerligt mot våra system. Även aktiva attacker av olika slag förekommer.
Vad kännetecknar ett bra krypto?
MGC Kryapp 301, Bild: MUST
Ett bra och säkert kryptosystem kännetecknas i min mening först och främst av att det är lättanvänt och möter användarnas faktiska behov.
Kerckhoffs — en känd man med många principer — hade insett ovanstående redan år 1883 när han formulerade sin sjätte princip: ”Enfin, il est nécessaire, vu les circonstances qui en commandent l’application, que le système soit d’un usage facile, ne demandant ni tension d’esprit, ni la connaissance d’une longue série de règles à observer.” i sitt verk ”La Cryptographie Militaire”. (Fritt översatt till svenska)
Avslutningsvis, är det nödvändigt, givet de omständigheter som föranleder dess tillämpning, att systemet är enkelt att använda, och varken vållar själsspänning eller fordrar kännedom om en lång rad regler att efterleva.
Det är viktigt att användarna har en erforderlig utbildning, att det finns regelverk och instruktioner som är enkla att följa och som säkerställer ett korrekt handhavande av systemet, och att det sker kontroller av att dessa regelverk och instruktioner efterlevs, för att ett system ska vara säkert. Genom upplysning bygger vi säkerhet.
Yves Gyldén, en känd svensk kryptolog, och något av en pionjär inom området i Sverige på 30-talet, drog liknande slutsatser som Kerckhoffs efter att ha studerat de olika chifferbyråernas forceringsförehavanden under världskriget. Han skriver bland annat:
Föga hjälpa manövrer, huru fältmässiga de än äro. De kunna aldrig uppkonstruera den själsspänning under vilken mången chiffrör försummar elementära försiktighetsåtgärder på grund av att chiffreringsproceduren är för invecklad eller för tidsödande.
Ska ett system ytterst fungera under krigsliknande eller på annat sätt ansträngda förhållande krävs att systemet är användarvänligt. Användaren har i allmänhet andra saker att uppehålla sig vid än kryptosystemet.
Utöver ovanstående är det givetvis helt centralt att det kryptologiska systemet, i vilket exempelvis kryptoalgoritmer ingår, är dimensionerat för att motstå den avsedda angriparen under hela den tid som ett skyddsbehov föreligger, och att systemet erbjuder rätt slags skydd.
Kryapp 9411 / PGAI, Bild: Tutus
När man som lekman tänker på kryptologiska system är det kanske främst sekretesskydd som kommer i åtanke — det vill säga system som skyddar uppgifters sekretess — men det finns många andra slags skydd som ett kryptologiskt system kan tillhandahålla. Några exempel är riktighetsskydd, skydd mot falsk signalering, återuppspelningsskydd, intrångsskydd och olika former av skydd mot trafikanalys. Tillgänglighetsaspekter måste också beaktas.
I fallet sekretesskydd är det särskilt svårt att dimensionera skyddet eftersom att uppgifter som krypteras med systemet då måste förbi omöjliga att forcera fram tills dess att sekretessen upphör.
Det vill säga: Om uppgifterna är hemliga i 50 år måste systemet förbli omöjligt att forcera 50 år efter att systemet har tagits ur drift och den sista uppgiften har sänts. Betraktar man den teknikutveckling som har skett under de senaste 50 åren och funderar över vad vi kommer befinna oss 50 år i framåt i tiden inser man vidden av det uppdragets svårighet. Lägg därtill att vår dimensionerande hotaktör är en statsaktör i form av främmande makts underrättelsetjänst.
Kryapp 5401 / MGDI, Bild: Sectra
Kryptologi, och särskilt sekretesskydd, är oförlåtande. I och med att en kryptotext sänds görs en utfästelse om att kryptotexten kommer att förbli omöjlig att forcera under hela den tidsperiod som ett behov av ett sekretesskydd föreligger. Det är omöjligt att i efterhand ångra sändningen. Man kan inte heller i efterhand förhindra sekretessförluster genom att då uppdatera systemet. En angripare som lyckas forcera ett system kommer att göra allt för att hemlighålla detta faktum. Därför måste systemet vara korrekt dimensionerat redan i utgångsläget.
För att kunna dimensionera system korrekt, och för att kunna möta nya attacker och brister som uppdagas redan i ett tidigt stadie, bedriver vi en omfattande omvärldsbevakning. Inom ramen för den följer vi exempelvis den akademiska forskningen. Vi bedriver också egen forskning och vi deltar i olika typer av forskningsprojekt och samarbeten. För närvarande forskar jag själv på hur kvantdatorer — det vill säga datorer som utnyttjar kvantmekaniska fenomen för att utföra beräkningar — i framtiden kommer kunna användas för att utföra kryptoanalys. Syftet är att bättre förstår hur vi idag ska agera för att på lång sikt skydda svenska intressen.
En annan sak som utmärker säkra kryptosystem är att de redan från början har konstruerats på ett sådant sätt att det är enkelt att formellt påvisa egenskaper i systemet och att verifiera dess säkerhetskritiska funktionalitet.
Därför är vi delaktiga i hela systemets livscykel från kravställning av systemet, till utveckling och design, till implementation, serieproduktion, verifiering, godkännande och driftsättning, till förvaltning och slutlig avveckling. I varje delsteg säkerställer vi att systemet utformas på ett sådant sätt att den slutliga produkten kommer kunna möta våra säkerhetskrav.
Kryapp 9301 / MGEI, Bild: Advenica
Under hela livscykeln måste sekretessen som omgärdar våra kryptosystem tryggas. Härutöver måste systemens riktighet skyddas. Angripare får inte ges möjlighet att manipulera våra kryptosystem.
När ett kryptosystem väl har tagits i drift måste det försörjas med kryptonycklar. En viktig del av vår verksamhet utgörs därför av vår nationella nyckelproduktion och nyckeldistribution. Den utformas så att den ska kunna fungera i krig.
Jag tror att jag vågar påstå att det främst är ovanstående faktorer som är centrala för att ett system ska kunna sägas vara säkert. Det är svårt och resurskrävande att ta fram säkra kryptosystem och att säkerställa att de handhas på rätt sätt.
Det är därför som vi har ett starkt mandat, och det är därför som kryptosystem som ska användas för att skydda hemliga uppgifter som rör rikets säkerhet först måste godkännas av oss.
Det är också därför som vi inte bara tar fram system för Försvarsmakten utan för hela Totalförsvaret. Våra system används civilt för att skydda exempelvis samhällskritisk infrastruktur.
Bild: Alexander Karlsson/Combat Camera/Försvarsmakten
Vad har du för tips till den som funderar över sitt yrkesval och som vill bli kryptolog?
Den som vill bli kryptolog bör i första hand ha ett brinnande intresse för kryptologiområdet och såväl en praktisk som teoretisk fallenhet för området.
KRYAPP 3021, Bild: FMV
Det är viktigt att personen ifråga inser hur oförlåtande kryptologiområdet är, och att hon eller han kan klara av att fullständigt genomlysa ett system och analysera alla angreppssätt mot detsamma. Ihärdighet, disciplin, och en förmåga att se problem från olika infallsvinklar är viktiga egenskaper hos en bra kryptolog. Härutöver krävs givetvis goda kunskaper i kryptologi.
För att återigen citera Gyldéns uppfordrande utläggningar:
Plikttrogenhet och disciplin är en god grund att bygga på. Den är otillräcklig inom en chiffertjänst. Kunskap och intelligens utgöra en långt säkrare grund.
Personer som söker tjänst hos oss som kryptolog bör ha en civilingenjörsutbildning eller masterutbildning inom ett tekniskt eller matematiskt ämne med fokus på problemlösning, eller motsvarande kunskaper förvärvade på annat sätt. En forskarutbildning såsom en doktors- eller licentiatexamen är meriterande. Men utbildningen är inte allt; man behöver en förmåga att faktiskt få saker gjorda i praktiken, och man måste kunna kommunicera med andra människor såväl i tal som i skrift. Man måste förstå dagens teknik och hur moderna kryptoapparater och kryptosystem fungerar tekniskt.
Kryptologiområdet är fortfarande ett smalt område, särskilt på den nivå där vi verkar. Därför måste den som vill bli kryptolog vara beredd att satsa ganska högt. Å andra sidan finns det få kryptologer i landet, och därmed få personer för oss att anställa. Vi söker nu både etablerade kryptologer och blivande kryptologer som får en del av sin utbildning här hos oss.
Härutöver söker vi andra typer av kompetenser, såsom IT-säkerhetsexperter och experter på mjuk- och hårdvara.
För att bygga säkra kryptosystem krävs inte bara kryptologer.
Vilka tekniska utmaningar ser du att ni ställs inför i framtiden?
Vi ser att komplexiteten i vår uppgift ständigt ökar. Utvecklingen har gått från enbart handchiffer, till mekaniska och sedermera elektromekaniska kryptoapparater, till enklare elektroniska apparater, fram till dagens jämförelsevis mycket komplexa kryptosystem. Än ser vi inget tecken på att komplexitetstillväxten avmattas. Tvärtom. För att kunna granska och konstruera kryptoapparater samt följa omvärldsutvecklingen krävs en hel uppsjö olika mycket djupa tekniska kompetenser och betydande resurser. Det är viktigt att säkerställa tillgången på kompetens och resurser inför framtiden.
KRYPTOTELEFON 710, Bild: FMV
Livstiden för kryptoapparaterna som vi tar fram förkortas i och med den snabba teknikutvecklingen. Samtidigt förlängs utvecklingstiderna. Det gäller därför att satsa rätt från början och att ta fram apparater med en lång livslängd och ett brett användningsområde.
Det finns också utmaningar som är kopplade till globaliseringen och till att vi gradvis håller på att förlora kapaciteten att producera avancerad teknisk utrustning såsom kryptoapparater inom landet. När vi tillverkar kryptoapparater är sekretessen kring systemen och inte minst riktigheten av yttersta vikt. Förr i tiden kunde man inspektera en mekanisk hjulverksmaskin och se att den fungerade enligt specifikationen. Det är inte längre möjligt med dagens system. Av dessa skäl är det viktigt att vi har erforderlig kontroll över produktionen.
Det är en utmaning inför framtiden.
Om du är intresserad av att jobba på MUST så kan du se lediga jobb på Försvarsmaktens hemsida.
Militära underrättelse- och säkerhetstjänsten (MUST) inom Försvarsmakten publicerade precis sin årsöversikt för 2016. Och precis som FRA:s årsredovisning för 2016 så skriver MUST om ökade cyberoperationer.
Och om påverkansoperationer så skriver MUST följande:
”Påverkansoperationer har fått förnyad aktualitet i samband med presidentvalet i USA 2016 men Ryssland har, liksom Sovjetunionen, tillämpat påverkansoperationer som ett utrikespolitiskt verktyg under många år.
Detta sker inte minst genom de ryska underrättelsetjänsterna, som förutom att inhämta underrättelser också har till uppgift att verka för att öka det ryska politiska inflytandet utomlands och aktivt motverka utvecklingar som den ryska statsledningen anser vara negativa.
Att inhämta information som kan användas för att misskreditera politiska motståndare är ett väl etablerat modus operandi, där Internet erbjudit nya sätt att både komma över och sprida sådan information. I detta sammanhang ges också stöd till aktörer som för Rysslands talan i andra länder. En förutsättning för att kunna bedriva effektiva påverkansoperationer mot extern och intern opposition är god direkt eller indirekt kontroll över massmedier.”
Annat som är intressant som förekommer i årsöversikten är den obligatoriska IT-incidentrapporteringen som bidrar till att höja säkerhetsskyddet. Andra myndigheter rapporterar till MSB men myndigheter som ligger under Försvarsdepartementet samt Fortifikationsverket och Försvarshögskolan rapporterar till Försvarsmakten.
MUST fick även i uppdrag av MSB ett reda ut vilka produkter som kan bli godkända för att använda som Krypto för skyddsvärda uppgifter (KSU).
Martin på avdelningen för krypto och IT-säkerhet vid MUST som var granskningskoordinator i projektet berättar att de upptäckte luckor inom några områden i det omfattande underlaget som de hade att tillgå från tidigare undersökningar.
Detta gjorde att MUST behövde göra egna undersökningar och intervjua respektive leverantör. Leverantörernas design av de tekniska lösningarna överensstämde inte alltid med hur MUST ansåg att de borde ha gjort i vissa avseenden. Under intervjuerna med leverantörerna fick MUST däremot förståelse för kompromisser de behövt göra. Förklaringarna låg oftast i linje med hur leverantörerna uppfattade slutanvändarnas behov och säkerhetskrav.
Detta är en sammanställning från IT-säkerhetskonferensen Command & Control 2017 eftermiddag. Förmiddagens sammanställning hittar du här.
Keep the GDPR monster under control – direct from the field
(på Engelska) Karen Lawrence Öqvist, VD och grundare för bolaget Privasee
Karen går igenom definitionen på vad som är personlig data. Hennes företag har tagit fram en metod som heter Privasee Method ”keep it simple” som består av ett antal principer för att jobba med GDPR.
Fritt översatt:
Spara så lite data som möjligt. Och be om medgivande om det som sparas
Datakvalitét
Spara enbart enligt ett specifikt syfte
Använd personlig data begränsat och enbart enligt syftet
Säkerhetsåtgärder
Öppenhetsprincip
Princip för inblandning av användare
Säkerhet hos nya produkter och system inom Försvaret
Ulrika Evertsson Hansson, Head of Systems Security Audit Section på Försvarsmakten
Systemgranskningssektionen vid MUST granskar och bedömer säkerheten i och omkring IT-system. Ulrika påpekar att brister IT-säkerheten så påverkar det Försvarsmaktens förmåga att lösa uppgifter.
Signalskydd har mycket högre kvar på assurans och sekretess bl.a. för att de ska skydda rikets säkerhet upp till 95 år. Och FM ska inte bara hantera sin egen hemliga information, utan även andras såsom NATO och EU.
FM måste skydda sig mot andra statsaktörer med stora resurser. Det är ett stort arbete att hålla gamla system skyddade mot nya hot.
KSF – MUSTKrav på säkerhetsfunktioner beskriver det funktionella och assuranskrav som ställs på alla system som ska nyttjas för FM:s verksamhet. En del av ISD-processen
Viktigt också enligt Ulrika: RÖS/TEMPEST, loggning och signalskydd. Komponenter granskas enligt olika nivåer från N1 till N4. MUST måste granska dataslussar och dioder extra mycket. Även nämner Ulrika ”secure supply-chain” och att N4 även innefattar kodgranskning och att få produkter har denna nivå.
Säkerhetsfunktioner
Behörighetskontroll
Säkerhetsloggning
Skydd mod skadlig kod
Intrångsskydd
Intrångsdetektering
Skydd mot obehörig avlyssning
Skydd mot röjande signaler (RÖS). TEMPEST = NATO
FM strävar åt att gå över till TEMPEST från RÖS.
Föryngring av säkerhetsbranschen
Moderator: Anne-Marie Eklund Löwinder (IIS) och Åsa Schwarz (Knowit) Sponsorrepresentanter: Einar Lindquist (Advenica) och Calle Svensson (Bitsec)
En diskussion hur vi kan föryngra branschen och en presentation av sponsorerna samt varför de har valt att sponsra studenter med biljetter till C2’17. Gemensamt för samtliga var att de uppmuntrade och gillade C2’17-konceptet (läs mer här).
Agil juridik
Caroline Sundberg, advokat på advokatfirman Delphi
Först beskriver Caroline vad agil utveckling är: mindre och kortare leveranser. Man kan även ändra sig på vägen. Man har ingen spec från början ”vi ska bygga exakt det här”.
Agil utveckling är eg. inget nytt men det är ett ökat intresse. Några vanliga metoder är Scrum, FDD, DSDM, Crystal, Lean Software Development osv.
Vanligaste misstag är att man har för bråttom samt att man använder avtal för vattenfallsmodellen för agila projekt.
Minimikrav på agila projekt bör innefatta reglering av nyckelpersoner, givetvis går det dock inte att förhindra föräldraledighet etc. Även så bör uppsägning av projektet utan skäl finnas. Immateriella rättigheter är också otroligt viktigt, speciellt vid agil utveckling.
Ska man tillåta Open Source i utvecklingen? Kontroll på vilken extern kod som införs.
Minimikrav bör även innefatta sekretess, hantering av personuppgifter, krav på dokumentation, krav på kunden samt kvalitetskrav.
Förändringsledning: Hur får vi alla engagerade i säkerhet?
Anna Borg, senior säkerhetskonsult på Knowit Eva Esselin Leander, leg. organisationspsykolog och seniorkonsult på Knowit
Vi behöver förflytta oss framåt mot någonting som vi inte har en aning om. Som människor i vår natur går vi tillbaka i en komfortzon. För att utvecklas behöver vi passera gränsen och känna oss lite rädda, då är vi på topp som människor. Helst bör vi gå utanför vår komfortzon minst dagligen.
Det bör så klart inte gå för långt, vi ska inte känna oss för obekväma. För då får det motsatt effekt. Exempelvis när det gäller General Data Protection Regulation (GDPR) så väljer tyvärr många att sätta ner huvudet i sanden.
För att genomföra förändringar så handlar det först om att skapa rätt förutsättningar, sedan engagera hela organisationen och sist förankra och driva vidare förändringen. Tillvarata även medarbetarnas kompetens som en resurs för att hitta bättre lösningar samt gemensam utveckling så känner fler inom organisationen ansvarstagande och helhetsförståelse.
Storgruppsintervention är även att rekommendera. Även så går talarna igenom en involveringsprocess.
Avslutande diskussioner
Under sista passet så var samtliga talare på scenen. Det diskuterades bl.a. Polisens arbete med att nå ut med IT-säkerhetsinformation till samtliga 29000 medarbetare. Även så påpekade Anne-Marie om att arbetsgivarvarumärket blir viktigare och viktigare vid rekrytering.
Det diskuterades även om politiska val samt IT-säkerhet runt dessa. Sist men inte minst så frågades det om reglering i form av exempelvis GDPR är bra och samtliga tyckte att det var bra.
Jag fick möjlighet att ställa några frågor till Åsa Schwarz som är en av initiativtagarna till den nya IT-säkerhetskonferensen Command & Control (C2) som går av stapeln den 17:de Januari 2017 i Stockholm.
Bland talarna på konferensen hittar vi bl.a Ulrika Evertsson Hansson som kommer att berätta om hur Militära underrättelse- och säkerhetstjänsten (MUST) aktivt arbetar med att få in it-säkerhet i hela systemutvecklingsprocessen och vilka säkerhetsfunktioner som måste omhändertas i Försvarsmaktens IT-system.
Anne-Marie Eklund-Löwinder, CISO på IIS kommer att berätta hur DNSSEC-roten är uppbyggd och säkrad med 7 st nycklar där Anne-Marie ansvarar för en av dessa nycklar.
Ovan två föredrag samt en mängda andra intressanta föredrag kommer att hållas under dagen, klicka här för om du vill se hela agendan.
Berätta vad Command and Control är för konferens?
Det är endagskonferens där vi får lyssna på några av Sveriges mest spännande företag och myndigheter. Vi har plockat ut aktuella ämnena inom it- och informationssäkerheten inför 2017. Några exempel är hur toppdomänen för internet förblir säker, hur Volvo arbetar med it-säkerhet i självkörande bilar och hur informationssäkerhet är en del av Polisens verksamhet.
Vilken målgrupp riktar ni Er till?
Främst till personer som under 2017 kommer att arbeta professionellt med it- och informationssäkerhetsfrågor. Vi kommer även ha ett antal studenter på plats eftersom vi inom kort kommer ha ett en stort brist på experter inom området och måste locka nya till branschen.
Ser ni ett behov att fylla?
Den svenska föreläsningsscenen inom säkerhetsområdet har varit relativt homogen, där samma personer ständigt återkommer år efter år. Vi har plockat ut några av Sveriges främsta experter som inte synts lika frekvent men som har väldigt mycket att bidra med. De kommer ge nya tankeväckande infallsvinklar och kunskap. Vi har också länge funderat på varför mässor, konferenser och expertpaneler har så få kvinnor inom it- och informationssäkerhetsområdet.
Svaret man ofta får är att det inte finns några. Vi tänkte en gång för alla visa att det inte stämmer. Eftersom marknaden växer kraftigt måste vi se till att bli en attraktiv bransch för alla som är intresserade av säkerhet. C2’17 är helt enkelt ett naturligt led i att vi vill göra Sverige till en av världens mest dynamiska säkerhetsarenor.
Vilka höjdpunkter ser du själv på konferensen?
Jag ser mycket fram emot mycket är att lyssna på råd från en organisationspsykolog hur vi får våra medarbetare att förändra beteende och arbeta på ett säkrare sätt. Det kommer säkert också bli mycket intressanta samtal under lunchen och möjlighet att knyta nya kontakter vid kaffet.
Vilka är ni som anordnar konferensen?
Vi som arrangerar och står bakom denna konferens är en grupp personer som tillsammans vill verka för att höja it- och informationssäkerheten i Sverige. Genom att förändra föreläsningsscenen, media och rekryteringsprinciper vill vi skapa en av världens mest dynamiska säkerhetsarenor. Vi kallar oss själva för Kontrollgruppen. Du hittar medlemmarna här: www.c217.se/arrangor
Anledningen är att lokalen ligger centralt och att vi har både konferens och mingelytor för oss själva. Vi tycker att kontaktskapandet och dialogen mellan åhörarna är lika viktig som själva föreläsningarna. Den gemensamma kunskapen och erfarenheten bland alla deltagare är minst sagt imponerande.
Att cyberspionage och elektroniska attacker är något som fler och fler stater ägnar sig åt och satsar resurser på är nog inget som någon missat. Säpo går nu ut och varnar för att omfattande cyberspionage genomförs mot svenska intressen.
Läckage från företag såsom Hacking Team visar att diktaturer men även länder såsom Sverige varit i kontakt med denna typ av företag som utvecklar verktyg och metoder för cyberspionage.
Tillvägagångssättet hos antagonisterna är vad som kallas death by a thousand cuts där flertalet små ledtrådar läggs ihop som i sin helhet kan få förödande konsekvenser. Attackerna genomför exfiltration av information genom olika typer av kanaler som är svåra och upptäcka och pågår under lång tid.
Säkerhetspolischef Anders Thornberg säger:
Vår bedömning är att cyberhotet mot företag och myndigheter i Sverige är omfattande och ofta målinriktat. Många angrepp upptäcks aldrig – eller så upptäcks de för sent. När det gäller cyberspionage är det svårt att se att någon tagit sig in i systemet och spionerat. Angriparnas mål är att gå in och få ut information utan att synas.
För att förebygga och förhindra brott på cyberarenan så genomför Säpo kontroller samt bistår som rådgivande resurs till myndigheter som innehar samhällskritisk information eller företag som är särskild skyddsvärda.
Säpo jobbar även nära tillsammans med andra myndigheter såsom Försvarets Radioanstalt, FRA, och Militära underrättelse- och säkerhetstjänsten, MUST, och har en gemensam arbetsgrupp, NSIT (Nationell samverkan till skydd mot allvarliga IT-hot).
Jan Wünsche – Defending information in a complex reality
Jan pratar om att MUST har ett uppdrag att skydda Försvarsmakten. Och att han representerar S:et i och inte U:et i MUST dvs Säkerhetskontoret. Försvarsmakten och MUST är en myndighet försöker att bli öppnare och Jans föredrag idag är ett steg till det.
Vi måste tänka på vilken data vi lagrar vart och vilka leverantörer som lagrar data om våra medarbetare. Hur färdas datatrafiken och hur tänker vi på tillgängligheten om hotbilden mot Sverige ökar?
Försvarsmakten använder fysiskt separerade system och äger sin egna infrastruktur med egna kablar etc. Behovet att kommunicera med andra ökar hela tiden, även för Försvarsmakten.
Se exempelvis hur det ser ut för ISAF i Afghanistan där 47 olika länder måste kommunicera med varandra. Och det gäller inte bara öppna system utan Försvarsmakten behöver även kommunicera mellan klassificerade system.
Jan nämner även att antagonister nu angriper privata datorer istället för myndighetens IT-system i hopp om att anställda tagit med sig information hem och att säkerheten är lägre på privata datorer.
Jan Wünsche är Information Assurance Strategist vid MUST.
Marcus Murray – APT, Cybercrime and cyber warfare exposed
Förr i tiden så var det enkelt att ta sig förbi brandväggen. Främst för att man bara hade en brandvägg som avgränsade Internet mot övriga nätverket. Marcus berättar att kommer att demonstrera en attack som är uppbyggd att avspegla hur en riktigt IT-angrepp skulle kunna gå till.
Marcus visar en liten USB-enhet som kan användas för att äga en dator. Just denna är programmerad att fungera som ett tangentbord. Han använder Microsoft PowerShell för att exekvera Meterpreter som gör en connect-back. Allt genomförs enbart i minnet och inget skrivs till hårddisken.
Connect-backen går till Microsoft Azure där en server hyrs och Metasploit sitter och väntar på connect-backs på https port 443.
När väl det finns en etablerad session till en klientdator så kör han Nmap från klienten och söker efter MSSQL-servrar på port 1433. Efter detta så testas de vanligaste lösenorden och ett av dessa lyckas: AStrongSAP@ssw0rd.
Igen så används PowerShell för att starta upp Meterpreter så att inte hårddisken används. Marcus berättar även om DNSCat2 som använder PowerShell för att tunnla trafik över DNS.
Sedan på MSSQL-servern så använder han Mimikatz för att dumpa ut hashar från systemet som sedan används för att ansluta mot domänkontrollanten.
Även så visar Marcus lösenordsdumpen från Adobe som drabbades av intrång för några år sedan. Några intressanta namn som fanns med i den var Stefan Löfven och Fredrik Reinfeldt som hade lösenordet bananskal samt steffe.
Marcus Murray är Cyber Security Manager på TrueSec.
Charlotta Öhlén – Identity Crisis
Charlotta jobbar på Nexus och berättar om olika kunduppdrag där de levererat där smartcards-används för inloggning. Cast study #1 är läkare i Norge som loggar in med hjälp av dessa smarta kort.
Identity of Things handlar cast study #2 om då en CA fungerar som en managed service. Cast study #3 handlar om patientsäkerhet hos företaget Elekta där vitlistning används för mjukvaror.
Dynamisk och central identitetshantering är ett måste och inte enbart för individer utan även för mjukvaror och andra saker. Integritet är en också viktig faktor då mer och mer information hamnar i identitetshanteringen.
Charlotta Öhlén är till vardags Consulting Director vid Nexus.
