Bättre Affärer
Sök
Avbryt
Meny

Security by obscurity är ingen bra strategi

6 år sedan

Dold man med mobiltelefon i stolen "Ägget"Det pågår ett maktkamp om våra tillgångar. På ena sidan finns de som försöker skydda värdefulla tillgångar, säkra känslig information och hålla tjänster tillgängliga i vått och torrt. På den andra sidan finns de som söker vinning genom att olovligen tillskansa sig tillgång till värdefulla tillgångar, stjäla information eller negativt påverka tillgängligheten i tjänster. Tyvärr har den andra sidan ett övertag. Det räcker med att hitta en enda sårbarhet för att begå intrång medan man måste förutse alla tänkbara sårbarheter och stoppa dem innan någon upptäcker och utnyttjar sårbarheterna.

Det brukar heta att ”komplexitet är säkerhetens värsta fiende”. Det är svårare att förstå och upptäcka alla möjliga sårbarheter i ett komplext system eller programvara. I teorin är det helt korrekt, men i praktiken räddas många företag och myndigheter av den enorma komplexitet som IT-miljö, nätverk och applikationer tillsammans skapar. Det är svårt, även för en angripare, att överblicka sårbarheternas natur och de möjligheter till missbruk de skapar. I säkerhetskretsar kallas det ”security by obscurity”. Sårbarheterna finns där, men ingen har ännu lyckats utnyttja dessa på något för verksamheten destruktivt sätt. Det är de flesta överens om att ”Security by obscurity” inte fungerar som säkerhetsstrategi. Man lever på lånad tid och det är bara en tidsfråga innan någon upptäcker sårbarheten och utnyttjar den.

Tyvärr är det dessutom så att säkerhetslösningar bryts ner över tiden såvida dom inte ständigt uppgraderas. De är som en växt som inte får vatten och långsamt förmultnar. Nya matematiska rön gör gamla algoritmer värdelösa. Brister i implementeringen av algoritmer och protokoll upptäcks vilket leder till att en attackeras kan kringgå säkerheten utan att behöva knäcka kryptot. Ofta är det så att den säkerhetslösning som verkade så genialisk och säker när systemet utvecklades får se sig förödmjukad och skändad av framtida landvinningar inom säkerhetsområdet. Det som kändes så rätt igår känns plötsligt så fel idag. Det går inte att ligga på latsidan. Säkerhetsarbete är en process, inte en engångsaktivitet. En process som omfattar löpande riskanalys och aktiviteter för att kontinuerligt uppdatera skyddsmekanismerna. Särskilt svårt blir det om säkerheten är inbyggd i hårdvara. Speciellt om hårdvaran förväntas ha lång livslängd. Vem kan se 15 år fram i tiden och vilka möjligheter det finns att då för att kringgå dagens säkerhetslösningar? Det vi vet säkert är att hundratals hackers/crackers ständigt försöker hitta nya kryphål för att kringgå säkerhetslösningar. Det är inte längre enbart en sport, utan en kommersiell verksamhet där kunskap om nya sårbarheter säljs till högstbjudande. Kunskap är makt. Makt att manipulera banksystem, telefonisystem, och i värsta fall samhällskritisk infrastruktur såsom el, vatten- och livsmedelsförsörjning.

Nyligen publicerades en ny attack mot SIM-korten som används i GSM. GSM är den teknologi som merparten av mobiltelefoner fortfarande använder i stora delar av världen. Föregångaren till 3G och 4G. Totalt finns flera miljarder SIM-kort i bruk runt om i världen. SIM-kort är hårdvara och hårdvara är svår att uppgradera. Tack och lov är dessa SIM-kort till stora delat utbytta mot nyare kort som har förbättrad säkerhet. Speciellt i länder där 3G och 4G har stor penetration, som i Sverige. Telias kunder kan känna sig trygga.

Kommer det någonsin att komma en ”silver bullet” som löser alla säkerhetsproblem? Något oknäckbart som ingen superdator eller geni i världen kan rå på. Sannolikt inte. Rent matematiskt och i teorin kanske, men i praktisk implementering, sannolikt inte. Maktkampen fortsätter outtröttligt.

/Håkan Kvarnström