onsdag 13 maj 2009

Ross Anderson om framtiden: 10 % hackade klienter

Första blogginlägget från OWASP AppSec 2009 i Krakow, Polen.

Ross Anderson inledde konferensen med sin syn på säkerhet i webbapplikationer och web 2.0. Precis som i sin välkända bok Security Engineering så har han ofta helt andra perspektiv än säkerhetsfolket i allmänhet. Intressanta perspektiv.


Varför går det fortfarande fel?
Ja, varför bygger vi fortfarande osäkra applikationer? Problemen har ju varit kända i 40 år. Enligt Ross beror det inte bara på bristfällig ingenjörskonst. System är ofta osäkra pga att de som beställer dem, driftar dem eller är ansvariga för att fixa fel i dem inte har några incitament. T ex inom sjukvård är det ofta läkare och chefer som beställer mjukvara. De ser till verksamheten, inte till it-säkerhet.

Leverantörernas fel?
Men borde inte leverantörerna, som är experter på att utveckla applikationer bygga säkra system även om kunden har missat att kravställa säkerheten? Nej, åtminstone inte de som bygger för en marknad. Eftersom time-to-market spelar en avgörande roll och har gjort det under hela IT-eran så skippar man säkerheten tills det är ett publikt problem.

IT-branschen domineras av så kallade first-movers, dvs företag som knep en marknad för att de var först med en produkt som svarade mot användarnas behov. Windows+Office, iPod och Symbian har alla sådana tendenser. Det i sin tur beror på att utvecklingskostnaden i princip är hela kostnaden. Att reproducera mjukvara och distribuera via nätet är i praktiken gratis för de stora spelarna. Man har alltså en marginalkostnad nära noll.

Antag att Windows+Office eller MacOS+iWork kostar 10000 kr per anställd per år. Hur mycket kostar det då att gå över till Ubuntu+Open Office? Jo, 10000 kr. Om det kostade mindre så skulle fler byta. Om det skulle kosta mer så skulle Microsoft och Apple höja sina priser. Hur har vi hamnat där?

Jo, med en marginalkostnad på noll för alla leverantörer så finns ett allmänt tryck nedåt på priser. Där hittar man hela gratis-debatten på nätet och "information wants to be free". För att fortsätta kunna ta betalt vill leverantörerna ha en inlåsningseffekt där det gör ont för användarna att byta plattform (återigen, jämför med iPod, Windows+Office, Symbian).

Så det är väldigt viktigt att komma ut på marknaden och låsa in kunderna. Det formulerades av en av de stora operativsystemstillverkarna på 90-talet som "We ship it Tuesday and get it right by version 3". Och Facebooks vd Mark Zuckerberg formulerar det idag som "Growth is primary, revenue is secondary".

Vad leder det till? Jo det driver fram snabba lösningar, applikationer som körs som root och alla fel skylls på användarna.

Sociala nätverk ökar mängden malware
OK, vi har osäkra applikationer, beställare som har för få säkerhetsincitament och leverantörer som är stressade och har för få ekonomiska incitament att bygga säkrare system. Utifrån det, vart är vi på väg? Ross hade en del framtidsutsikter, främst kring nätets sociala funktion.

Ett socialt sammanhang sänker människors gard och ökar riskerna. Det gäller i livet i stort och i sociala nätverk på nätet. Phising som väver in social information från sajter som Facebook ökar sannolikheten att offret klickar på länken. T ex ett fejkat mejl från din arbetskamrat med hans/hennes senaste inlägg på Facebook-väggen. "Klicka här för att läsa mer".

Ska vi vara mer på vår vakt?
Är då lösningen att människor tänker mer på sin personliga integritet? Knappast med tanke på att vårt agerande skiljer sig markant beroende på situation. Folk tänker inte på integritet pga utbildning, de tänker på det utifrån sammanhang. Man gjorde ett stort experiment på Carnegie Mellon University i Pittburgh för att se hur studenter tänkte kring sin integritet.

Först satt man upp en undersökningsapplikation på universitetsnätverket och bad utvalda studenter att svara på frågor om tentafusk, otrohet, droganvändning med mera. Alla frågor ställdes med stigande integritetskänslighet. Man mätte vid vilken nivå studenterna avbröt och vägrade svara. Det definierades som en sorts grundnivå.

Sen satt man upp motsvarande sajt men med information om att alla svar skulle krypteras, ip-adresser inte skulle loggas och så vidare. Nu avbröt studenterna tidigare! Varför? Jo, all information om säkerhet hade fått dem att tänka på sin integritet.

Sist gjorde man en extern sajt med fokus på "Show us how bad you are!". Studenterna svarade nu på långt fler och mer känsliga frågor.

Slutsatsen blev: Synliggör inte integritet och säkerhet om du vill ha folks personliga information. Och det är det Facebook har gjort. T ex visar man som default upp åtta slumpvisa vänner även om man sagt att ens profil inte ska vara synlig offentligt. Och det visar sig att just åtta vänner är precis nog för att dra slutsatser om vem du är, typiskt såna slutsatser som Facebooks kunder vill dra. Vill man som användare hindra läckage så finns (enligt Ross) 60 inställningar på sju olika sidor. Om användarna klagar svarar man bara "Titta det finns en inställning för det."

Det här kallar Ross för en privacy theatre - man ger sken av att värna integritet och säkerhet men egentligen bygger hela affärsidén på bristande integritet.

Förvänta er att 10 % av alla klienter är hackade
Med det växande intresset för sociala nätverk på nätet, den sänkta garden de ger, de osäkra applikationerna och den växande malware-marknaden så gissar Ross Anderson på att vi kommer ha mellan 1 och 10 % hackade klienter som jämviktsläge i framtiden. Det är under de förutsättningarna vi måste bygga internetbanker, intranät och molnapplikationer.

Inga kommentarer: