Nyligen har det blivit en hel del bloggpostningar som berör IT- och informationssäkerhet. Jag vet egentligen inte varför det blev så. Mest bloggar jag ju om sådant jag lär mig och IT- och informationssäkerhet lär jag mig egentligen inget nytt om. Det som triggade det var nog att jag tittade över Google:s nätverksinfrastruktur (givetvis med 100% tillåtna metoder). Där har vi ju också en första postning i en artikelserie om det: Google: Infrastruktur idag och Strategi för framtiden.
Kryptografi och säkerhetsprotokoll
Det var emellertid inte alls inom nätverkssäkerhet som började med säkerhet en gång i tiden. Istället var det inom kryptografi och krypteringsanalys. Kommersiellt har jag bl.a. implementerat säkerhetsprotokoll i C och Java, liksom tillämpat kryptografi i olika lösningar som bl.a. internetbanker. Bland det första jag gjorde (men icke-kommersiellt) var implementationer av MD5, GOST m.m. i Javascript. Det var tror jag 1996? Min MD5 (RFC 1321) gjorde jag har jag för mig precis efter att det bytte namn från Livescript till Javscript.
På den tiden var de XOR m.fl. bit-operationer felaktigt implementerade åtminstone i Netscape så jag fick göra egna funktioner för dem som kontrollerade om fallen där den räknade fel var aktuella. När man hade dessa var det mycket lättare att implementera både GOST och inte minst strömchiffer gjorda av skiftregister i Javascript. GOST var jag förvånande förtjust i ganska länge men det var en robust algoritm (32 varv i ett Feistel-chiffer med 256 bitar nyckel hanterar de flesta begränsade missar i algoritmen som annars skulle läcka information). GOST var det blockchiffer som Sovjetunionen använde. De hade den vanligen i hårdvara bl.a. för kommunikationsutrustning och liknande med nycklarna insatta redan i fabriken. Det finns många bra dokument om GOST här: GOST.
Igår tog jag upp kryptologiskt säkra hashfunktioner och deras tillämpning appropå Googles verifiering av webbplatser: Google verify-v1 för att verifiera webbplatsen. Så kom det området upp för första gången på länge.
Från CSP till försvarsfilosofi
Först jag berörde om än väldigt indirekt kryptografi här var kring CSP som jag fortfarande använder och tillämpar väldigt brett med stort värde. CSP lärde jag mig från början naturligtvis för att analysera säkerhetsprotokoll och händelsekedjor i applikationslager. Det var emellertid när jag började titta på CSP någon gång 1997 tror jag som jag började inse att all säkerhet egentligen är samma sak. Ingen skillnad finns mellan IT-säkerhet, informationssäkerhet, bevakning av byggnader, desinformation o.s.v. I grunden är det exakt samma sak. Exakt samma principer går att praktiskt transformera till i princip varje användningsområde. Jag brukar därför kalla det försvarsfilosofi.
Bloggpostningen där jag kort berörde CSP var: Ett angrepp: Google som religion & Internet som Rom före kejsartiden. Är ett exempel på det. Där beskriver jag ett mycket omoraliskt angrepp där man utnyttjar religion på ett avskyvärt sätt. Verktyget där är bl.a. bloggar och att man kan föra ut information som ser ut att komma från en given aktör genom otydlig separation av webbplatser.
SEO är förövrigt enligt det här synsättet bara ytterligare ett tillämpningsområde inom försvarsfilosofi.
Antivirus är tråkigt
Ett område som egentligen aldrig intresserat mig är antivirus. Sedan har det givetvis inte minst förr varit väldigt lönsamt genom att folk hade så enorma problem med det. Grejen med det är att om man nu inte ska utveckla en antivirus-motor är antivirus ingen stor utmaning för en IT-säkerhetskonsult. Fast förr fanns det ändå många sådana. Egentligen är området inte så himla svårt men det fanns då sämre information att tillgå för folk och smidigheten i funktion mellan Microsoft Windows och antivirus-programmen var sämre.
Nu finns mer bra information om antivirus både för företag och privatpersoner. Senast (som jag sett och läst) är sajten och bloggen om antivirus som Christian Rudolf gjort: Antivirus (Mjukvara.se). Den är ju hyggligt bred just på IT-säkerhet för hemmadatorn även för annat än antivirus. Fast på bloggen tar han upp annat intressant också. Rudolf är duktig på att skriva intressant så jag brukar titta förbi hans bloggar regelbundet.
Fördelen med att se det som försvarsfilosofi
De stora värdena med detta är:
- Du kan inhämta erfarenhet, material och tillämpningar från fler områden.
- Du kan generalisera en metod och tillämpa den inom fler områden.
- Du kan generalisera en metod och därigenom lättare analysera den efter svagheter genom att transformera den till flera olika applikationsområden.
- Du lär dig att generalisera mönstren och kan därigenom uttrycka dem formellt med CSP (eller ban-logik, CCS eller vad du nu valde att lära dig men CSP är ett bra val). Det gör att du formellt kan analysera mönstret efter säkerhetsproblem och andra defekter.
Läs mer
Några texter inspirerade mig tidigt när jag började tänka på det mer och mer som försvarsfilosofi. En var Improving the Security of Your Site by Breaking Into it som Farmer och Venema skrev 1995 tror jag i samband med SATAN (Security Administrator Tool for Analyzing Networks). Specifika detaljer är givetvis ointressant idag men metodiken är mycket tillämpbar inom IT-säkerhet än idag. Samtidigt kan vi se möjlighet (och nu gör jag det väldigt ytligt här) att generalisera:
- Försök betrakta dig själv som en fiende skulle.
- Se vilken information du läcker ut.
- o.s.v.
Ungefär samtidigt läste jag av en slump Krigskonsten som skrevs cirka 350 f.Kr. I den kunde jag se metodik som motsvarande sådant som förekom inom IT-säkerhet liksom kryptografi inklusive bakomliggande metodik i Improving the Security of Your Site by Breaking Into it. Krigskonsten går vanligen att köpa billig i svensk översättning hos de flesta bokhandlare. Klart läsvärd.
Läsvärd på samma sätt är History of the Peloponnesian War av Thucydides (460 fvt - 400 fvt).
Även Achtung— Panzer! av Heinz Guderian (den stora filosofen bakom Blitzkrieg) där vi återigen ser ett nytt tillämpningsområde men som egentligen inte skiljer sig särskilt från principer inom andra områden både före och efter.
En till bok att läsa (och läsa massor av gånger) är Applied Cryptography av Bruce Schneier. När den kom var den ju fantastisk. Kombinerade teori med praktisk tillämpning och bra struktur. Vilken enorm förbättring jämfört med Dorothy E Dennings gamla Cryptography and Data Security och allt fokus på statistik i databaser. Jag läste nästan sönder Applied Cryptography (eller faktiskt läste jag sönder den). Idag är den givetvis mindre unik men fortfarande den jag skulle välja att köpa. Schneiers övriga böcker ligger inte på samma nivå.
Bruce Schenier
Creative commons by sa 2.0 Foto: sfllaw
"More people are killed every year by pigs than by sharks, which shows you how good we are at evaluating risk."
Schneier, Bruce.
Från: IT Conversations: Bruce Schneier.
2004-04-16.
Sedan med facit i hand är det ju idag många år senare svårt att påstå att försvarstaktiken USA tillämpade i USA mot terrorism efter 11 september inte varit enormt framgångsrik. Inte en enda miss. Antalet terrordåd från de aktörer man specifikt bekämpat utanför USA har också reducerats kraftigt och inte minst i Israel, Afrika och Asien. Samtidigt i Europa i länder där man hade en helt annan strategi ökade istället antal terrordåd (jfr t.ex. Spanien). Fast Schneiers stora arbete var ju hans standardverk över kryptografi. Det han gjort efter det håller god kvalitet, är intressant men väldigt lite tycker jag är insiktsfullt eller långsiktigt värdefullt. För mig känns det som han fastnade i tankar vid en viss ålder ett par år efter Applied Cryptography och sedan aldrig lärde sig något nytt.
Hans hemsida med dess "blogg" (såg precis lika ut innan man kallade sådant där blogg och då kallades det för hans e-postutskick återpublicerat på webben) är hur som helst mycket läsvärd: www.schneier.com.
SEO är försvarsfilosofi
Dessa och en hel del annat lade grunden till den insikt CSP slutligen gav mig fullt ut. Det var iochmed CSP jag slutligen accepterade att det inte finns någon skillnad. Samma mönster för design går att tillämpa oavsett applikationsområde. SEO, CM, vulnerability analyzing, protokoll för säker kommunikation, röstningsprotokoll, bevakning av byggnader, beskydd och detektion av desinformation, närstrid... Samma principer kan tillämpas i varje område. Det är bara implementationen och vad man implementerar med som skiljer sig åt.
Att jag kom att intressera mig för SEO var egentligen som ett subområde till försvarsfilosofi. Det var på väg att bli så oerhört inflytelserikt att jag kände att jag ville ha en förståelse för det. Och se hur för mig kända principer implementeras här och om det gick att se och lära sig nya mönster.
Kommentera