Lätt att gå på en blåsning

Efter den fruktansvärda katastrofen på Filippinerna känns det lite futtigt att tala om elavbrott i datahallar. Men det är ändå intressant att se hur sårbara våra datasystem faktiskt är.

Att en ordentlig storm i Norrland kan ställa till problem för elförsörjning och telekominfrastruktur är i och för sig inte så märkligt. Den här typen av problem är också lätta att förstå och relativt enkla att åtgärda, även om det kostar en hel del pengar.

Då är det betydligt svårare att se och förstå problemen med osäkra och ”lätthackade” datorsystem. I dag förutsätter alla att det mesta skall vara uppkopplat mot Internet, samtidigt som säkerhetssystemen är allt från tvivelaktiga till obefintliga.

Avlyssningsskandalerna de senaste veckorna har i och för sig ökat intresset för datasäkerhet en hel del. Och många blev säkert förvånade när Adobe fick sitt kundregister hackat för en tid sedan. Men det här är bara en liten del av ett mycket större problem. I takt med att allt större mängder känsliga data transporteras via Internet ökar risken för katastrofala intrång.

Allt är osäkert
Det effektivaste sättet att undvika dataintrång är förstås att koppla bort sig från alla nätverk och/eller undvika att använda datorer över huvud taget. Eller också kan man köra den gamla militära principen att bara använda datorer och nätverk där man har full kontroll över precis allting.

I praktiken är det här fullständigt omöjligt. Utvecklingen går helt och hållet åt andra hållet och de flesta företag tillåter idag att de anställda kopplar in sina egna datorer i företagsnätverken (”bring your own device”). Stora mängder data lagras i ”molnet” och ett av de snabbast växande sätten att lagra och utbyta data är via Dropbox, där man slipper begränsningarna hos email och slipper hanteringen av egna servrar. Allt är snabbt tillgängligt för alla inblandade, oberoende av var man befinner sig i världen.

Jag pratade härom dagen med Pim Tuyls, vd för säkerhetsföretaget Intrinsic-ID och det han hade att säga ökade inte min tillit till dagens datorsystem ett enda dugg. Även i de fall då företag använder något så när vettiga säkerhetssystem är riskerna alldeles för stora. Med serverbaserade säkerhetssystem ligger säkerheten i händerna på de som administrerar servrarna. Med gatewaybaserade säkerhetssystem ligger säkerheten i händerna på de som administrerar nätverken. Och med mjukvarubaserade klientsystem är det ändå svårt att hålla hackare stången.

För att inte tala om den osäkerhet som kommer ”som ett brev på posten” när användare försöker komma ihåg lösenord. Lösenord som är något så när lätta att komma ihåg är också lätta att knäcka. Det behövs inte ens generaltabbar som Adobes lagring av lösenord tillsammans med användarnas hjälptexter (t ex ”mammas hund”).

Säker hårdvara
Intrinsinc är relativt kända för sin hårdvarubaserade säkerhetslösning, där man har använder sig av fullständigt slumpmässiga egenheter hos CMOS-processen. Tekniken utvecklades hos Philips och Intrinsinc är också avknoppade från Philips. Tekniken gör att man kan tillverka en hårdvarunyckel som är helt unik och väldigt säker.

Det gör också att krypterade data som lämnar en användare blir fullständigt hopplösa att knäcka, samtidigt som en användare med en motsvarande hårdvarunyckel kan avkoda utan problem. Vad som händer däremellan spelar mindre roll. Inte ens NSA kan komma åt innehållet i informationen.

Det nya (det släpptes i går) är att Intrinsinc har tagit fram en hårdvarubaserad lösning för Dropbox som är hyfsat billig. Användarna får var sin hårdvarunyckel i form av en USB-sticka (som kombineras med ett lösenord om man skulle slarva bort stickan). Molnlagringen fungerar precis som vanligt för den som har tillgång till rätt nyckel. För alla andra är informationen oläsbar.

Intrinsinc har en imponerande lista godkännanden från NIST, NSA och RSA Laboratories, så det hela ser tämligen förtroendeingivande ut. Men det intressantaste är ändå att ingen ”på vägen” varken behöver eller kan ha tillgång till koderna. Om NSA vill veta vilken information som lagras måste de fråga slutanvändarna.

Det här lät kanske lite överdrivet positivt, men jag måste erkänna att jag gillar principen. Och den är fullt användbar också i embeddedsammanhang, ända ner till smarta elmätare. Sedan finns det förstås många fler som arbetar med säkerhetslösningar. De är välkomna med information.

Leave a Reply