Säkerhet

Enligt Computer Emergency Response Team (CERT) har antalet intrång i datorer på Internet ökat. Peter Tippet, ordförande i National Computer Security Association (NSCA), uppskattar att mellan 50-90 procent av alla system mot Internet har haft intrång av hackers [CC9649]. Stefan Kronkvist, kommissarie vid Rikspolisstyrelsens databrottsgrupp, säger att det här i Sverige endast är 10-30 stycken dataintrång per år som kommer till polisens kännedom [GP0512].

Genomförande

Jan-Olof Andersson, IT-säkerhetsexpert på Bull AB, säger i en intervju med Göteborgs Posten [GP0512] att det endast är ett fåtal brott som anmäls och att mörkertalet är stort. Detta påstående kan man även med jämna mellanrum påträffa i tidningar. Framför allt anses bankerna ”lägga locket på”.

Enligt Göteborgs Posten [GP0512] har tidskriften Affärsvärlden skrivit en artikel om databrott där de hävdar att många bedrägerier aldrig offentliggörs, eftersom bankerna inte vill ta PR-förlusten. Vidare menar Affärsvärlden att det blir billigare att täcka förlusten hos kunderna helt diskret.

Göran Strömgren som jobbar med säkerhetsfrågor på Svenska Bankföreningen är av en helt annan mening och påstår [GP0512] att en banks säkerhetschef skulle bli ”urförbannad” på någon som skulle hävda att bankerna lägger locket på.

Vidare menar Strömgren att databrott är ovanliga inom bankvärlden, vilket även Stefan Kronkvist instämmer med [GP0512], och att man vet det därför att databrott alltid rapporteras till bankernas säkerhetschefer. Bankerna har även en uppgörelse med Finansinspektionen om att alla brott mot banker ska polisanmälas [GP0512].

Med tanke på att polisstyrelsens databrottsgrupp endast består av fyra personer [CS9723] som har till uppgift att utreda all dator relaterad brottslighet i Sverige kanske det är tur att inte fler datorintrång anmäls. Andra dator relaterade brott som gruppen arbetar med är bl.a. piratkopiering av datorprogram.

Lite statistik över anmälda databrott i Sverige åren 1991-1993 [GP0512]:

• Datorn som brottsverktyg (t ex bokföringsbrott): 60 st

• Brottslig påverkan på dator (t ex radera program): 2 st

• Piratkopiering: 8 st

• Dataintrång (anställda och utomstående): 33 st

• Brott mot datalagen (t ex olagliga register): 10 st

6.4.1 Säkerhetsmoment vid en banktransaktion

Nedan följer en kortfattad beskrivning av de säkerhetsmoment som mig veterligen finns vid en banktransaktion med S-E-Bankens Internettjänst.

Varje kund som har tillgång till S-E-Bankens Internettjänst får automatiskt en liten dosa, kallad DigiPass (se figur 6.3), som genererar engångslösenord.

Genomförande

Figur 6.3: DigiPass-dosa (naturlig storlek)

En DigiPass är associerad till en person, som har ett konto på banken, genom en krypteringsnyckel som finns i dosan. Man kan således inte låna ut sin DigiPass till en familjemedlem eller bekant då nyckeln är kopplad till ens eget konto. Man aktiverar en DigiPass med en PIN-kod som knappas in, precis som man gör när man vill ta ut pengar från en bankomat. Efter tre misslyckade försök låses DigiPass-dosan och måste bytas ut.

Man går sedan in på S-E-Bankens hemsida och loggar in sig genom att ange sitt personnummer och en kod som DigiPass genererar. Denna kod är tidsberoende och kommer endast att visas på DigiPass display under 30 sekunder, men gäller i 5 minuter. Den kan dock inte användas mer än en gång.

Koden sänds krypterad i 40 bitar med säkerhetsnivån RC4-40 (se Bilaga D: Uttryck) via Internet till banken där den verifieras genom att kontrollera att ditt personnummer och den kod som din dosa genererat stämmer överens med den krypteringsnyckel som finns hos banken. Denna kryptering tillhandahålls genom den Web-browser man använder (måste vara Netscape Navigator version 2.0 eller Microsoft Internet Explorer version 2.0, nyare versioner går även bra att använda).

Bankens krypteringsnyckel känner till den krypteringsnyckel som finns i DigiPass- dosan.

När man har kommit så här långt tar bankens säkerhetslösning vid, i S-E-Bankens fall sker detta med Virtual Vault som är en säkerhetslösning gjord av Hewlett-Packard. Längre än så här kunde man inte få information från S-E-Banken, då de vill hålla sina övriga säkerhetslösningar hemliga.

Vissa hävdar att 40 bitars kryptering inte räcker, men när man kombinerar detta med engångslösenord som dessutom är tidsbaserade krävs det mycket tid och många kraftfulla datorer för att ”knäcka” krypteringen, om det överhuvudtaget är möjligt i dagens läge.

Genomförande 6.4.2 Avlyssning

Avlyssning av nätverk är ett vanligt hot mot företag och när det gäller att sända och ta emot e-post är personer i regel mycket oförsiktiga. Människor skickar gladeligen konfidentiell och känslig information via e-post. Inte nog med att all e-post kan avlyssnas, enligt [CC9649] avlyssnar till och med polisen e-post vid spaning. Denna avlyssning försvåras dock då det finns program som kan förfalska avsändaradressen. Ett lösenord går alltid att avlyssna över Internet. Att använda så kallade krypteringscertifikat kräver att denna programvara finns inlagd på den dator man använder. Vill man använda sig av en annan dator måste man även installera krypteringscertifikatet där. Samtidigt som det gamla certifikatet ligger kvar på den första datorn. Även detta är en dålig lösning.

För att komma tillrätta med ovanstående problem kan man använda sig av en engångslösenordsgenerator, något som mest liknar en liten miniräknare (den som S-E- Banken använder sig av kan faktiskt även användas som en miniräknare). På denna slår man in sin PIN-kod, varefter man får fram en sexsiffrig kod. Denna kod är unik och kan bara användas en gång. Koden är baserad på den personliga krypteringsnyckeln och den aktuella tiden. På så sätt spelar det ingen roll om någon har lyckats avlyssna din Internet-koppling, eftersom koden inte går att använda igen.

6.4.3 Hjälpmedel

Avlyssning av ett företags nätverk kan ske på flera sätt. Den utrustning som behövs är en vanlig PC eller en terminal som är kopplad till nätverket.

Med ett så kallat ”sniffer”-verktyg, som exempelvis programmen Crack, Satan, Net- XRay, kan man plocka upp känslig information som överförs i nätverket. Till exempel kan man låta verktygen plocka användares lösenord när de loggar in på olika datasystem eller så kan man plocka upp de dokument som skickas över nätverket. Dessa sniffer-verktyg kan hämtas ute på Internet.

Säkerhetsexperter brukar likna företag vid gamla borgar där alla fönsterhål i borgen motsvarar säkerhetshål [CC9649]. Det fanns alltså många vägar att komma in i en borg. Därför krävdes en vallgrav. Moderna vallgravar för att säkra IT-system är brandväggar (se Bilaga D: Uttryck) och andra säkerhetslösningar som bygger på kryptering eller åtkomstkontroll.

Att ha en brandvägg är dock ingen garanti för säkerheten. Nya tekniker som t.ex. Java och ActiveX kan orsaka kryphål i brandväggarna, så det gäller för de systemansvariga att hela tiden vara vaksamma efter nya tekniker som kan ställa till med problem för säkerheten.

Mark Fabro, en av legenderna i undergroundvärlden (som Computer Sweden uttrycker det i en artikel) [CS9710], nu anställd av brandväggstillverkaren Secure Computing, menar att en brandvägg skyddar ens nätverk, men säger sedan att ingen lösning är helt säker.

Om man verkligen vill bryta sig in i ett nätverk handlar det endast om hur mycket resurser man vill använda sig av. Håller man på tillräckligt länge och har tillräckligt stora resurser är ingenting omöjligt, vilket även Fabro [CS9710] påstår.

Genomförande

Damien Doligez bevisade detta 1995 när han knäckte Europa-versionen av Netscapes krypteringssystem SSL (se Bilaga D: Uttryck). Det krävdes dock två superdatorer, 120 arbetsstationer och åtta dagar för att knäcka krypteringen [IG9507]. Men allra först med att knäcka SSL var en 24-årig doktorand vid universitetet i Linköping hävdar Internetguiden [IG9507]. Europa-versionen av Netscape använder sig av 40 bitars (RC4-40) kryptering och hade det gällt den 128 bitars (RC4-128) kryptering som används i USA, så skulle det ha krävts en triljon gånger kraftfullare dator, enligt Internetguiden [IG9507].

Det kan även nämnas att 128 bitars krypteringen får inte exporteras ur USA då den är klassad som militär materiel. Den europeiska versionen av exempelvis Netscape Navigator har då en något vekare typ av krypteringsalgoritm än den amerikanska versionen.

Säkerhetsproblematiken i dagens IT-miljöer är till stora delar okända inom företagen, vilket gör att säkerheten är otillräcklig eller till och med saknas i vissa fall. Men det satsas mer och mer i säkerhet inom företag i dagens läge.

Nedan följer några tips som Fabro har för att skydda ett företags nätverk [CS9710].

• Se till att företaget har en brandvägg och att den är riktigt konfigurerad. Var inte 100 procent säker, var 200 procent säker.

• Kontrollera dagligen med CERT om några nya säkerhetluckor har upptäckts.

• Använd en Macintosh som Web-server. Det är mycket svårt att ta sig in i systemet från en Macintosh. Det beror på att operativsystemet är skilt från web-servern och protokollet.

• Se till att företaget har en väl genomtänkt säkerhetspolicy.

• Tänk över personalpolitiken. Mer än 60 procent av alla angrepp sker trots allt inifrån av den egna personalen.