|
Nyhetsbrevet Emailsynaren Nr 11, 2002-03-21
Nyhetsbrevet får citeras och användas
helt eller delvis, under förutsättning att hänvisning
sker till:
http://hem.fyristorg.com/emailsynaren
eva.marie.andersson@work.utfors.se
Avanmälan av nyhetsbrevet sker från hemsidan.
Anmälan ny prenumerant:
http://hem.fyristorg.com/emailsynaren/nyhetsbrev.html
Avanmälan av nyhetsbrevet:
http://hem.fyristorg.com/emailsynaren/avan.html
Sänd gärna kommentarer eller synpunkter, som jag
kan följa upp i efterföljande nyhetsbrev.
Innehåll i detta nummer
1. Tema: Krypteringspolitik
2. Networks Associates lägger
ner PGP
3. SafeIT offensiv mot företagsmarknaden
4. Säkerhetsnyheter
5. Avlyssning av anställdas E-post
6. EU ska avlyssna och spara all e-post
7. Försäkringsbolag kollade de anställdas
datorer och avskedade alla
8. Brister i RSA
9. Interna säkerhetsbrott vanligaste
10. Förvirring runt elektroniska certifikat
11. Stor satsning av stöldskyddsförening
på PKI
12. Nyhet: Emailsynaren finns numera också
på Engelska
1. Tema: Krypteringspolitik
Det här nyhetsbrevet är i grund
och botten 100% opolitiskt, men just inom kryptering finns
det väldigt mycket politik. Det är svårt att
säga att höger eller vänster tycker si eller
så, utan åsikter i alla riktningar kan man nog
säga finns inom alla falanger.
Kryptering har alltid varit ett känsligt
kapitel, men man kan säga att det år efter år
blivit mer och mer liberalt då det varit en förutsättning
för utvecklingen på Internet. Den 11 september
2001 har av känd anledning dock fått pendeln att
svänga mot restriktioner.
Olika länders lagar kan delas upp i länder
där det inte finns någon lag och länder där
det finns olika former av restriktioner. Ett otroligt arbete
att bevaka olika länders kryptoregler har holländaren
Bert-Jaap Koops gjort, allt finns på hans utmärkta
hemsida http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm
De länder som har regler har regler inom
tre områden 1. att använda kryptering 2. att importera
kryptering 3. att exportera kryptering.
Det vanligaste inom I-länder är
att de är med i Wassenaar avtalet http://cwis.kub.nl/~frw/people/koops/cls2.htm#Wassenaar
vilket i sin tur
innebär att medborgarna inte har några restriktioner
att importera eller använda kryptering däremot restriktioner
att exportera kryptering.
Sverige som är ett Wassennaar-land har
ISP (Inspektionen Strategiska Produkter) som tillsynsmyndighet
för kryptering. Det är exakt samma myndighet som
handlägger export av kanoner som export av kryptering.
Det betyder att man som svensk har rätt
att använda kryptering och importera men inte hur som
helst exportera. Exempelvis SafeIT som jag följt en del
har licens av ISP att exportera sitt e-postkrypteringsprogram
med stark kryptering. Har du en enkel krypteringsprodukt med
s.k. svag kryptering så är det fritt.
Det som nu skett politiskt efter 11 september
är höjda röster att införa olika sort
restriktioner med motiv att det är för terroristbekämpning.
Det är givetvis bra i och för sig om man kan bekämpa
terrorister.
Men vad är nu kryptering egentligen om
man nu vill förbjuda detta eller införa restriktioner!
Jo, kryptering är mattematiska beräkningar. Så
egentligen det man säger är att man vill införa
restriktioner på att räkna mattematik. Går
det att förbjuda mattematik? Mitt svar är absolut
nej.
Om vi nu tänker oss teoretiskt att det
blev förbjudet att använda kryptering med nycklar
över 50 bitar. ( not. så är det faktiskt i
Frankrike ) Vilken verklighet skulle vi hamna i? Mitt svar
är att vi skulle få ett system där i princip
det bara var kriminella som krypterade säkert och övriga
inte gjorde detta, samtidigt löjligt enkelt att manipulera
systemet.
Om nu t.ex. 50 bitar var OK kryptering, så
verkar det väldigt svårt att hindra att det krypteras
flera gånger med samma/eller olika kryptering, fast
olika nycklar varje gång.
På så sätt skulle man i ett restriktionssystem
ändå bygga upp stark kryptering, eller de skulle
göra det som man vill bekämpa.
Sammanfattningsvis är min uppfattning
att det är helt meningslöst från olika myndigheter
världen över att ha restriktioner på kryptering,
den enda effekt man når är att faktiskt försvåra
för medborgare som är lagliga och behöver skydda
sin kommunikation. Jag tror att de politiker som framför
annorlunda uppfattning inte satt sig in i att kryptering är
mattematik, och en livsnerv för utvecklingen på
Internet.
2. Networks Associates lägger ner PGP
Världens mest spridda program för
e-mailkryptering PGP (http://www.nai.com)
läggs mer eller mindre ner. Ägare Networks Associates
har sedan höstas försökt sälja dotterbolaget
PGP.
Så sent som i början av december
utsågs Gene Hodges till teknik och produktansvarig hos
NAI och det här är nog kort och gott en följdeffekt.
Att man inte hittat en ny ägare kan verka
konstigt eftersom man har så stor spridning, men den
troliga anledningen är nog helt enkelt att support /
användares problem helt enkelt äter upp lönsamheten.
En ytterligare avgörande faktor tror jag är att
det florerar en mängd olika kopior av programmet. PGP
har haft open source utom för de senaste versionerna
vilket gör att det är helt oskyddat att göra
kopior samt egen vidareutveckling.
En tredje orsak som man inte kan säga
med säkerhet med att det ryktas om är att US-goverment
kräver bakdörr i programmet.
Hur som helst beslutet ligger fast att omedelbart
lägga ner det hela och inte träffa några nya
licensavtal eller serviceavtal. Ingångna avtal får
löpa ut.
Några länkar om dito följer
här:
PGP deep-freezed - NAI shrugs http://www.theregus.com/content/55/24233.html
NAI abandons search for PGP buyer, axes 18
http://www.idg.net/ic_826700_1794_9-10000.html
PGP-mjukvara läggs på is
http://www.idg.se/ArticlePages/200203/06/20020306150500103_MD5/
20020306150500103_MD5.dbp.asp
3. SafeIT offensiv mot företagsmarknaden
http://www.safeit.com
Krypteringsprogrammet SafeIT har sedan förra
nyhetsbrevet utvecklats en hel del. Numera har företaget
bakom, Softnet Security, en ny säkerhets programserie.
 |
SafeIT Security Office som är ett
programpaket med alla nedanstående funktionerna.
|
| |
|
|
SafeIT E-mail encryption, vilket är
en utveckling av deras e-postkrypteringsprogram.
|
| |
|
|
SafeIT File Encryption, filkrypteringsprogram
för kryptering av information på din dator,
mycket enkelt att använda och nyttiga funktioner.
|
| |
|
|
SafeIT file Shredding, filraderingsprogram
som med effektiv överskrivingsalgoritm pålitligt
raderar information på din dator.
|
Den mycket bra e-postkrypteringsfunktion har
vidareutvecklats och det går numera att t.ex. att skicka
krypterat till någon som inte har SafeIT- programmet
med självuppackande dekrypteringsprogram som följer
med e-posten.
Företaget uppger att man idag har runt
300.000 tusen användare world wide. Bland svenska kunder
som är kända finns bl.a. regeringsdepartementet
med projektet children in risk och t.ex. socialstyrelsen.
I november vann också SafeIT i den svenska
motsvarigheten till data programmens ”Oskars”, Sweden
NT Awards 1:a pris i klassen; Bästa windows program.
Vill man skydda sin e-postkommunikation från
sin dator till mottagarens dator så anser jag att SafeIT
idag är helt outstanding i marknaden, dels säkerhetsmässigt
dels ut användarsynpunkt. Den nya produktserien är
dyrare än tidigare t.ex. kostar SafeIT Security Office
2.500 kr/licens, men har man visst värde i sin information
är det inte speciellt dyrt. På hemsidan kan man
ladda ner 30 dagars demo utan kostnad.
4. Säkerhetsnyheter
SafeIT har på sin hemsida också
börjat med en ny tjänst där IT-säkerhetsnyheter
från en mängd källor publiceras. Runt 10 nyheter/dag
är inget ovanligt. Tjänsten är gratis och här
är länken.
http://www.SafeIT.com/News
5. Avlyssning av anställdas E-post
Det har senaste månaden varit både
TV-program och mängder med artiklar om avlyssning av
anställdas e-post. En ny lag har också föreslagits
där det skall bli förbjudet att avlyssna anställda,
förutom vissa undantag.
Personligen är jag förvånad
över debatten dels att folk är förvånade
över att arbetsgivaren kan lyssna på e-posten,
men jag är lika förvånad att folk tydligen
tycker de skall kommunicera hemligt för sin arbetsgivare.
För mig är det självklart att
arbetsgivare vill kontrollera hur arbetsuppgifter sköts
och hur de utförs. Ingen större skillnad om det
är snickare, säljare, inköpare eller ekonomifunktioner.
Ingår det i arbetsuppgiften att skicka/ta emot e-post
så borde det vara en del av arbetet och varför
skulle detta undantagas från möjligheten att kontrollera
hur det utförs.
Har arbetsgivaren kommit överens med
arbetstagaren att den skall få skicka privat e-post,
så är det väl enklast att det sker med eget
e-postkonto. (finns gratis på t.ex. Yahoo m.m. .) Det
privata kontot borde arbetsgivaren däremot inte ha med
att göra. (samma sorts avtal/överenskommelser brukar
det finns när det gäller om man får ringa
privat, skicka brev, kopiera eller i andra sammanhang låna
och bruka företagets tillgångar).
Ser man allt detta i ljuset av anställda,
medias och politikers upprördhet att arbetsgivare kontrollerar
anställdas e-post, att det samtidigt från 1 januari
sparas och lagras i 7 år all e-post som skickas privat
och av företag inom EU av myndigheterna själva,
så framstår den här debatten som synnerligen
snedvriden.
Det som däremot inte funnits alls i debatten
är att det är exakt lika enkelt för anställda
att lyssna av sin arbetsgivare och andra anställda, dessutom
märker ingen det normalt att det utförs.
Det som behövs är att vara inkopplad
i företagets nätverk och att använda någon
typ av snifferprogram, t.ex. Webspy eller Sniffer. Båda
finns som 30 dagars demo. Webspy kostar ca 500 kr och Sniffer
ca 200.000 kr (men som sagt gratis i 30 dagar).
En del intressanta länkar inom området:
http://www.sydostran.se/002.lasso?id=10236&lay=nyheter
http://www.aftonbladet.se/vss/nyheter/story/0,2789,130292,00.html
http://www.expressen.se/article.asp?id=59014
http://nyheter.idg.se/display.asp?id=010710-cs5
http://aftonbladet.se/vss/it/story/0,2789,50693,99.html
http://www.expressen.se/article.asp?id=97440
http://www.expressen.se/article.asp?id=100971
http://nyheter.idg.se/display.asp?id=020305-cs28
6. EU ska avlyssna och spara all e-post
Samtidigt som det drivs en linje att arbetsgivaren
inte skall få veta hur sina anställda utför
sitt arbete i vart fall när det gäller e-post kommunikation.
Så drivs det en exceptionell storebrorslinje inom EU,
som är verkligt ”big brother” i större
omfattning än någon annar. Väldigt mycket
är helt hemligstämplat och sekretessbelagt, men
så mycket är klart att det håller på
att integreras att alla ISP:er/internleverantörer måste
lagra alla trafik och alla e-post under 7 år.
Lite elakt kan man konstatera att EU inom
IT har två stora projektområden det ena hur man
avlyssnar alla, det andra hur man skyddar sig mot avlyssning.
http://nyheter.idg.se/display.asp?id=011211-cs26
http://www.expressen.se/article.asp?id=89259
http://www.arbete-it.oval.se/artikel.asp?ArtikelID=96
http://www.miljomag.se/dokument/arkiv/ovriga/eu_35.htm
http://www.dn.se/DNet/jsp/Crosslink.jsp?p=DNet&d=11&a=239079&f=index.html
http://charlotte.bizjournals.com/charlotte/stories/2001/12/17/focus5.html
7. Försäkringsbolag kollade de anställdas datorer
och avskedade alla
Ett svenskt försäkringsbolag misstänkte
att de anställda vi ett kontor i en svensk stad hade
sidoinkomster från annat försäkringsbolag.
Från IT-avdelningen gick man på natten in i de
anställdas datorer, plockade fram information, även
raderad. Misstankarna besannades och det var som de misstänkt.
När de anställda kom på morgonen
så fick de besked att de fick säga upp sig eller
bli uppsagda. Samtliga vid kontoret slutade den dagen. Några
hade upp mot 100.000 kr i extrainkomster, den som hade minst
var bara 300 kr, men alla vid kontoret ansågs som illojala.
8. Brister i RSA
RSA algoritmen är världens vanligaste.
De flesta certifikat etc. bygger på denna algoritm.
I olika säkerhetskretsar sägs det att algoritmen
är knäck och det man menar då är att
man kan faktorisera primtal. Bland annat i seminarierna ”Cryptography
Fundamentals and applications”, oktober 2001 i Schweiz
framgick detta.
Presenterar någon en metod hur man kan
öppna algoritmen, så försöker alltid
RSA numera köpa bort den informationen.
Jag har själv för ca 1 år
sedan http://hem.fyristorg.com/emailsynaren/nyhetsbrev/010215.html
presenterat teorier varför den är osäker. Direkt
sökte RSA kontakt och skulle erbjuda pengar och belöningar.
Den senaste publicerade skriften om bristerna
och varför den går att öppna presenteras av
forskaren Dan Bernstein http://cr.yp.to/papers.html
Bristen i RSA även om det finns olika
metoder att nå målet handlar om att det helt enkelt
går att avgränsa problemet när man vill knäcka
den, därmed samtidigt göra problemet mindre. Därmed
inte sagt att det är enkelt.
9. Interna säkerhetsbrott vanligaste
När företag bygger upp sin skyddsstruktur
byggs ofta som en mur runt företaget med brandväggar
m.m. Det som glöms bort är att största och
vanligaste hotet faktiskt är inne från det egna
företagets anställda/konsulter m.m.. De anställda
kan ha egna framtidsplaner, vara avlönad av annan m.m.
Det är min bestämda uppfattning
att man vid e-postkommunikation om den skall vara säker
måste skydda sig från punkt till punkt, d.v.s.
från sin avsändardator till mottagarens dator.
En undersökning från Activis, som
genomförts tillsammans med ett systerföretag, Integralis,
styrker det här resonemanget. Vid en analys av 146 företag,
var 81% av säkerhetsbrotten interna 13% f.d. anställda
och bara 6% externa.
Nu får man vara medveten om att mörkertalen
är stora dels att oftast olika former av avlyssningsbrott
inte upptäcks och att när något upptäcks
vill utsatta företag oftast lägga locket på.
10. Förvirring runt elektroniska certifikat
Den nya lagen (lag om kvalificerad elektroniska
signaturer) har funnits i över ett år som jämställer
en elektronisk signatur med an vanlig s.k. analog.
Däremot är inga praktiska problem
lösta, t.ex. säkerheten vid utgivning , t.ex. säkerhet
vem som använder certifikatet eller hanterligt system
att kontrollera certifikatet.
Justitierådet Johan Munch har på
uppdrag av GEA gjort en rapport, syftet har varit att se över
och ge ett förslag att ändra lagstiftningen. Jag
antar att uppdragsgivarnas uppfattning är att lagen i
sig inte är tillräckligt bra och därför
hindrat utvecklingen inom detta område.
Rapporten som håller väldigt hög
kvalitet visar på att författaren är en av
få som faktiskt förstått att det finns ordentliga
problem och att det inte bara är ett juridiskt/matematiskt
problem.
http://www.seis.se/pdfer/Slutversion_Munch.pdf
Rapporten näst sista mening i slutordet
säger det mesta ”Detta förhållande, i
förening med lagens komplexitet, kan tänkas medföra
att lagen även i fortsättningen kommer att bli föremål
för en sparsam tillämpning och att andra arrangemang
i praktiken vidtas för att de elektroniska signaturerna
skall bli tillförlitliga.”
Jag har tidigare utvecklat en del runt problematiken
http://hem.fyristorg.com/emailsynaren/nyhetsbrev/001117.html
11. Stor satsning av stöldskyddsförening på
PKI
http://www.stoldskydd.se/pki/index.htm
Svenska stöldskyddsföreningen, SFF
har tillsammans med Ernst & Young eSecurity Nordic gjort
som många andra en Certifikatbaserad PKI satsning. I
detta fall har det tänkt sig använda smartcard som
informationsbärare.
Satsningen är dock lite för teoretisk
och olika problem är inte säkerhetsmässigt
lösta.
Grund runt alla nyckel/lösenordsskyddad
information är att man så ofta som möjligt
skall byta densamma. När det gäller certifikat är
det samma sak att man skall byta så ofta som möjligt,
där är det dock ett stort problem. I den här
satsningen har man gått runt problemet så att
certifikaten skall gälla i 5 år, helt orimligt.
Keyrecovery kallar man en funktion där
man helt enkelt kan vända sig till SFF att få dekrypterat
om man inte klarar detta själv. Det här betyder
att de helt enkelt har kvar en kopia av nycklar, vilket säkerhetsmässigt
också är helt orimligt.
Egen CA. De erbjuder att man mot extra avgift
kan bli egen CA, d.v.s. den som är ansvarig för
att ge ut certifikatet. Detta är lika orimligt som ovan,
om du i viss organisation är ansvarig utgivare så
har du samtidigt underminerat möjligheten till rättsligt
värde av certifikatet där du själv är
inblandad.
Jag tycker det är bra att medvetenheten
ökat inom IT-säkerhet, men väldigt många
säkerhetssatsningar sker där man faktiskt saknar
grundläggande medvetenhet.
På exakt samma sätt som nu Ernst
&Young satsar på det här sättet satsade
också Price Waterhouse med sitt koncept Betrusted. Price
Waterhouse hade kommit betydligt längre än Ernst
& Young. Eftersom PW insåg de olika problemen, har
de nu helt avvecklat PKI/certifikat satsningen genom att sålt
av det affärsområdet.
12. Nyhet: Emailsynaren finns numera också på
Engelska
http://hem.fyristorg.com/emailsynaren/en/index.html
___________________SLUT___________________
|
