Författare: walter

  • Experternas bästa råd mot malware – nu och i framtiden…

    Läste just http://www.idg.se/2.1085/1.601473/framtidens-malware-kan-sanka-samhallet

    Sammanfattning: Framtidens malware ska hanteras med gårdagens kontroller och med 1900-talsteknik, säger experter.

    Alltså, jag menar inte att det är inte fel på gårdagens kontroller, de är bra! Om vi gör det vi visste om och borde ha gjort redan för 10-15 år sedan så kan vi sova både gott och länge.

    Jag ser dock inte några argument, i artikeln eller annorstädes, som övertygar mig om att vi står inför ett paradigmskifte. Moln, mobilitet, diskmaskiner med bitcoin miners…, det ger oss inte några fundamentalt nya utmaningar. Vilket jag alltså anser bekräftas av att råden som ges i artikeln kunde ha skrivits för mycket länge sedan.

    Jag tror att det som behövs mest i säkerhetsbranschen är att inte glömma bort gammal kunskap, samt noggrannhet och analys.

  • Rapporteringsskyldighet avseende IT-incidenter

    Bristen på empiriska data beträffande it-incidenter i samhället försvårar det systematiska arbetet med samhällets informationssäkerhet. -MSB

    Inrikesminister Anders Ygeman har reagerat1 på den senaste tidens rapporterade IT-incidenter och vill utreda frågan om rapporteringsskyldighet. Det behövs kanske inte för MSB har redan gjort detta2.

    Inrikesministern överväger en tvingande rapporteringsskyldighet både för myndigheter och företag. Bättre att gå på MSB:s linje med tvång för statliga myndigheter och frivillighet för övriga organisationer, så länge det inte handlar om tjänsteleverantörer till det allmänna.

    Kul tajming eftersom jag här om dagen skrev att just bristen på dessa empiriska data hindrar en vettig utvärdering av MSBFS 2009:103.

  • MSB:s oro över statliga myndigheters informationssäkerhet

    I rapporten En bild av myndigheternas informationssäkerhetsarbete 20144, som MSB släppte 1 september, redovisas hur väl föreskriften MSBFS 2009:105 tillämpas ute på myndigheterna.

    Resultaten som redovisas är överlag är dystra. Exempelvis har endast 35 % av myndigheterna en kontinuitetsplan. Av dessa har 36 % även övat den. Ca 13 % har således både tagit fram en plan och övat den.

    13 % är en riktigt dålig siffra! Eller? Hur är det med detta egentligen? Vi kan anta att det faktiskt inte alls är bra, men ingen vet hur pass dåligt det är i praktiken. Vi kan inte heller ta reda på detta!

    Det finns inom statsapparaten ingen sammanställd statistik över brister och incidenter, och det finns inte heller någon rapporteringsplikt. Vi kan därför inte analysera om efterlevnad av föreskrifterna faktiskt ger en säkerhetshöjande effekt.

    Nu när MSBFS 2009:10 är under revision så hade det varit guld värt att veta vilka krav i föreskriften som faktiskt har givit resultat, vad som behöver läggas till eller förtydligas och inte minst vad som kostar mer än det smakar – och ska tas bort. Lägga till och fördyra är lätt, att ta bort krav kräver mod och underlag.

    Många år av prat om ”ständig förbättring” har passerats. Evidensbaserad infosäk fortsatt svår att hitta.

  • Incab?

    Hur man misslyckas med att skapa förtroende för kortbetalning på nätet

    Handlade precis på Adlibris. De upplyser snyggt och fint före kortbetalning att DIBS kommer att hantera kortköpet.

    dibs1

    Förvisso kan någon ha hackat Adlibris och lagt ut desinformation, men DIBS är jag bekant med och jag är ännu så länge fullt trygg.

    När man går vidare så blir man skickad till en sajt som vill ha ens kreditkortsuppgifter. Det är förväntat och helt i sin ordning, om det inte vore för att sajten inte alls ligger under dibs.se utan under secure.incab.se…

    dibs2

    Vad tusan är Incab? Adlibris har just sagt att jag ska genomföra kortköpet på ”en sida hos DIBS”, och de förväntar sig nu att jag matar in mina uppgifter till incab.se. Okej…, eller så är incab.se något helt annat än vad den utger sig för att vara, trots den fina DIBS-loggan och allt. Hur ska jag veta?

    Jag Googlar! Får dock inga resultat för ”incab site:dibs.se”, och även noll träffar vid sökning på ”incab” med sökfunktionen på http://www.dibs.se/, okej…

    Hur ska jag veta att jag hamnat på rätt ställe? Någon har gjort ett riktigt dåligt jobb här!

    Men okej, ett sista försök. Jag tittar i certifikatet för secure.incab.se och ser att det är utfärdat till organisationen ”DIBS Payment Services”.

    dibs3

    Kollar upp http://www.thawte.com/ssl/ och ser att de genomför en ”Full organization validation” innan certifikatet lämnades ut, om man nu inte köpt ett SSL123-cert. Vet inte vad valideringen innebär, men nu är jag trött och jag väljer att tro på att det är en bra validering, eftersom det inte står ”123” som utfärdare.

    Det finns många problem här, och jag väljer att lista några uppenbara:

    • Att upplysa om att DIBS är PCI-certifierad hjälper föga när kunder skickas till incab.se.
    • Att upplysa om att DIBS är PCI-certifierad hjälper inte för att öka förtroendet för att hackers inte har tagit över adlibris.se och att inhämtandet av kortuppgifter dirigeras till deras egen sajt.
    • Någon på Adlibris bör ta sig en rejäl funderare över sin betalningslösning och den information som går ut till kunderna.
    • Någon på DIBS bör ta sig en rejäl funderare över användandet av domänen incab.se.
    • Att inte ta detta med ”redirect” på större allvar leder till att säkerhetsmedvetandet på Internet avtrubbas! Detta är ett ansvar som här faller på Adlibris och DIBS.

    PCI DSS 3.0 förtydligar i viss mån kraven för organisationer liknande Adlibirs, då de dirigerar trafik till betalsajter. Detta kommer förhoppningsvis att leda till ett högre säkerhetstänk hos e-handlare, men det gör det inte lättare för konsumenter att bedöma trovärdighet på nätet. För detta behövs just den tydlighet och stringens som Adlibris och DIBS nu saknar.