Fantastiska sårbarheter

Med en ”fantastisk sårbarhet” menar jag en allvarlig sårbarhet mot informationssäkerheten som man inte hört talas om tidigare och som man häpnar över första gången man hör talas om den. Informationssäkerheten är inte alltid utformad att skydda mot attacker som utnyttjar en sådan sårbarhet.

Röjande reflektioner från bildskärmar

Ett vanligt råd är att bildskärmar ska placeras så att dessa inte kan läsas utifrån genom ett fönster. Detta är inte tillräckligt då även reflektioner i rummet kan fångas upp, analyseras och information läsas av.

Bilden visar reflektion av ett worddokument på en LCD-bildskärmen och som reflekterats i en tekanna. Avståndet till tekannan är fem meter. Texten i worddokumentet, som är 12 punkter, är fullt läsbar. Utdrag ur forskningsrapporten Compromising Reflections – or – How to Read LCD Monitors Around the Corner.

Bilden visar reflektion av ett worddokument på en LCD-bildskärmen och som reflekterats i en tekanna. Avståndet till tekannan är fem meter. Texten i worddokumentet, som är 12 punkter, är fullt läsbar. Utdrag ur forskningsrapporten Compromising Reflections – or – How to Read LCD Monitors Around the Corner.

En studie undersökte röjande reflektioner från föremål som tekannor, plastflaskor, skedar och glasögon. Även från människors ögon kan reflektioner läsas av. En senare studie förfinande resultaten och visade samtidigt att reflektioner i diffusa ytor (t ex väggar och kläder) inte är användbara för att läsa av text på en datorskärm.

Överbryggning av luftgap

Ett IT-system som inte har någon anslutning till något annat kommunikationsnätverk brukar anses vara säkrare än om systemet skulle vara anslutet till t ex internet. Informationsöverföring får då göras med hjälp av flyttbara lagringsmedier (sk luftgap). Ska jag tro artikeln Cyber’s Next Chapter: Penetrating Sealed Networks i DefenseNews är det inte längre en sanning. Enligt artikeln pågår arbete för att genom radioteknik kunna föra in och hämta information från ett isolerat IT-system som inte har någon anslutning till något annat kommunikationsnätverk.

Informationsläckor genom Ethernet

Drivrutiner till nätverkskort innehöll fel som gjorde att det gick att skicka paket till korten som då svarade med utfyllnad som innehöll tidigare sänd nätverkstrafik eller fragment från datorns minne. Potentiellt kan den läckta informationen innehålla användarnas information som behandlas i IT-systemet, lösenord eller kryptonycklar. Bristen som rapporterades 2003 har fått det generella namnet EtherLeak. Man får förmoda att sårbarheten inte längre finns då tillverkarna har ändrat sin kod. Eller?

Tidsattacker över nätverk röjer krypteringsnycklar

Olika forskare visade 2003 och 2011 att det är möjligt att utvinna privata kryptonycklar ur ett IT-system genom observera den tid det tar för systemet att svara på olika frågor.

≈ ≈ ≈

IT-system som är avsett för behandling av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen och som rör rikets säkerhet ska särskilt skyddas mot ett röjande av uppgifterna. En viktig fråga för säkerhetsskydd i och kring ett sådant IT-system är vilken tilltro man ska sätta till ett påstående om säkerhetsegenskaper. En svårighet är inte enbart att påvisa en egenskap utan även att påvisa avsaknaden av oönskade egenskaper. Riskaptiten är begränsad jämfört med andra informationstillgångar. Att ”vanlig” IT-säkerhet inte är tillräcklig visar den ständiga rapporteringen om IT-intrång och röjande av t ex personuppgifter.

De exempel på sårbarheter som beskrivits ovan är sådana som, enligt min mening, inte ska kunna användas för att från ett godkänt IT-system röja uppgifter som rör rikets säkerhet. Arbetet att ställa krav på, bygga och vidmakthålla IT-säkerheten är vanligtvis därför mer omfattande än för andra IT-system. Sällan kan inte endast vanligt förekommande kommersiellt tillgängliga produkter (COTS) användas, då det helt enkelt inte håller måttet.

Jag kommer aldrig glömma den aha-upplevelse jag hade när jag insåg att en bildfil kan innehålla skadlig kod. Att på det individuella planet känna till en sårbarhet betyder dock inte att den organisation som man arbetar för har samma förståelse. En organisations kollektiva förmåga att anpassa informationssäkerheten kan vara trög. ”Seeing is believing”, varför demonstratorer kan vara ett sätt att få upp ögonen. Kunskap om ”fantastiska sårbarheter” gör en ödmjuk i säkerhetsarbetet.

/Kim Hakkarainen

Lämna en kommentar

Publicerad i IT-säkerhet, Säkerhetsskydd

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *