Det man ska titta efter är validering enligt FIPS 140-2. Det betyder att minnena har testats och krypteringen har verifierats av NIST, vilket ger en hög grad av tillit. Om minnet har mjukvarukryptering kan valideringsgraden maximalt vara ”Level 1″, är det hårdvarukryptering så kan nivån vara ”Level 2″ eller Level 3″. Det finns en ”Level 4″ fast de är antagligen väldigt svåra att få tag i om det ens finns sådana minnen.

Dessa minnen skulle rekommendera:

Kingston DataTraveler 4000, pris omkring 400-600kr för 4GB. FIPS 140-2 Level 2.

Kingston DataTraveler 5000, pris omkring 700-900kr för 4GB. FIPS 140-2 Level 2.

Kingston DataTraveler 6000, pris omkring 800-1100kr för 4GB. FIPS 140-2 Level 3.

Mer information om minnena finns på Kingstons sida. Minnena finns i upp till 16/32 mb med pris därefter.

Skillnaden mellan Level 2 och Level 3 är att i Level 3 så ska datan förstöras om man försöker ta sig in i minnet. Informationen är i vilket fall skyddad med kryptering, men det gör att man inte kan brute-force:a fram information om man kommer åt innehåller ur minnet. Det är alltså ganska liten skillnad om man väljer ett bra lösenord, det viktiga är att det finns en validering. För de flesta användare räcker det antagligen med Kingston DataTraveler 4000.

Låt säga att polisen skulle ha en bakdörr till alla windowsdatorer. Vem skulle de i så fall tilltro att ha tillgång till den här bakdörren? En sådan bakdörr skulle på den svarta marknaden betinga priser på åtskilliga miljoner, och det räcker för att en enda kopia av bakdörren läcker till nätet för att den ska vara ute där. Sedan kan de med bakdörren ta sig in i princip samtliga windowssystem, inkluderande allt från bankomater till datorer som styr viktiga samhällsfunktioner, ex elnät eller flygkontroll. Det om något är en allvarlig samhällsfara.

Nu vill tydligen FBI bygga in bakdörrar igen, enligt en artikel i TechWorld.

Det är alltså en mycket dum ide att medvetet bygga in svagheter. Under 90-talet gjordes en del försök att bygga in bakdörrar, men i princip samtliga gånger har det slutat med att de legat ute på internet redan innan systemen varit i drift. Med hög sannolikhet kommer något liknande hända om de kommer så långt att de försöker seriöst igen.

Virus

Virus är program som infekterar annan kod, exempelvis andra program, och lägger in skadlig kod i den tidigare koden.

Maskar

Maskar infekterar inte annan kod på samma vis som virus. Maskar sprids snarare genom att installera sig själv i datorsystem. Detta sker i bakgrunden utan att användaren märker det och vanligtvis sker infektionen över nätverket. Maskar utnyttjar oftast svagheter i systemet för att kunna infektera det.

Trojaner

Trojaner infekterar inte datorsystem av sig själva, utan utnyttjar användaren för att infektera systemet genom att låta användaren köra den kod som infekterar datorn. Den infekterande koden kan vara gömd i ett program men också i pdf-filer eller andra dokument eller mediafiler. Trojaner kan också infekteras via sidor på internet och installeras då på datorn när användaren besöker sidan. En sådan trojan är dock ganska sofistikerad och det krävs att trojanen använder svagheter i webbläsaren som inte ännu har blivit allmänt kända och rättats till av tillverkaren. Har man en uppdaterad webbläsare är risken för det här ganska liten. En aspekt av trojaner är att de väldigt oftast har ett syfte, till skillnad från maskar där syftet i de flesta fallen bara är att få stor spridning av masken. Trojaner är därför generellt sett mer skadliga är maskar. Trojaner kan använda datorn till ett bott-nät eller på annat sätt utnyttja datorn eller användaren.

Virus var det som kom först. Virus var vanligt på 80 och 90 talet och spreds främst via lösa lagringsmedier, framförallt disketter. Den vanligaste typen av virus var filvirus som infekterade körbara programfiler. När ett infekterat program startas så laddas viruset oftast in i datorn minne och infekterade sedan andra program som startades. En annan typ av virus var boot-sektor virus som infekterade boot-loadern som ligger i boot-sektorn på disketterna. Infektionen skedde när en diskett blev kvarglömd i datorn vid omstart varpå datorn då oavsiktligen botades från disketten. Viruset infekterade sedan andra disketter, exempelvis vid formatering av nya disketter. Filvirus och boot-sektor virus är nu relativt ovanliga, dels på grund av att man inte delar program via disketter lägre, men också på grund av att det finns effektiva antivirus-program som söker upp och radera dessa virus. Det sker dock fortfarande infektioner av filvirus ibland.

Maskarna hade sin storhetstid omkring 2003-2006, på den tiden var det maskar i nästan var och varannan dator som var ansluten till internet. Ibland var det även väldigt många maskar i samma dator om den varit ansluten till ett osäkert nät en längre tid. Oftast gjorde de inget skadligt förutom att sprida sig vidare via nätverket till andra datorer. Det bästa sättet att skydda sig mot maskar som infekterar via nätverket är att använda en brandvägg med SPI (samtliga bandväggar idag har ett sådant skydd). Det är också viktigt att uppdatera operativsystemet och andra internetanslutna program med jämna mellanrum. Eftersom det här är skydd som är i princip standard idag så är maskarna inte längre lika vanliga.

Det hotet som är störst idag är trojaner. Det är betydligt svårare att skydda sig mot trojaner eftersom infektionen hänger samman med användarens beteende framför datorn. Det skyddet som är effektivast är antagligen att kontrollera CodeSigning signaturer på program man laddar ned och inte köra program från tillverkare man inte litar på, men också att använda anti-virus program.

Anti-virus

Trotts att det heter anti-virus program så skyddar de mot både virus, maskar och trojaner. En förutsättning är dock att programmet känner till den skadliga koden. Därför är det viktigt att programmet uppdateras regelbundet så att de även hittar de senaste hoten. Ett anti-virus program består av minst två delar. Dels en skanner som kan söka genom datorn eller externa lagringsmedier efter skadlig kod. Men också en realtids-scanner som ligger i bakgrunden och scannar alla filer som används, kopieras eller på annat vis hanteras av datorn. Realtids-scannern är den viktigaste delen av anti-virus programmet och förhindrar att datorn blir infekterad.

Idag bör man minst använda en lokal brandvägg på datorn och ett uppdaterat anti-virus program för att inte riskeras att drabbas av skadlig kod. En brandvägg följer med de flesta operativsystem och är som regel påslagen redan efter installation, men det går fortfarande att stänga av den, vilket bör undvikas. Ett anti-virus program brukar däremot inte följa med med utan måste installeras separat.

För de andra flesta windows-användare räcker det gott och väl med att använda ”Microsoft Securiy Essentials” som är ett gratis anti-virus program om man har en registrerad version av windows. Programmet har ett enkelt interface och ger väldigt tydliga meddelande om det upptäcker skadlig kod, till skillnad från många andra antivirus där meddelandet försvinner så snabbt att man knappt hinner se det. Uppdatering av programmet sker automatiskt och är integrerat med de automatiska uppdateringarna i windows. Microsoft Security Essentials kan laddas ned här, programmet finns för Win 7, Win Vista och Win XP.

Mer avancerade anti-virus program har fler skydd som exempelvis programkontroll, e-post scanner och plugin till webbläsare som blockerar skadliga sidor. Detta ger ett extra skydd men det viktigaste är att man har det grundläggande skyddet från en realtidsscanner.

Lösningen på det här kallas validering. Validering är när något extern granskare går igenom produkten med ett standardmässigt förvarande för att kontrollera att säkerhetsnivån som påstås verkligen uppfylls. En sådan validering är FIPS 140-2. När en tillverkare visar upp ett sådant certifikat är det en kvalitetsstämpel som visar att produkten är testad och ska vara säker. Problemet är möjligtvis att säkerhet är en kvalitetsfaktor och säkerhet kostar därför pengar, vilket generellt gör att validerade produkter är dyrare att utvecklare och sedan kostar mer på hyllkanten. Men om man är i en situation där det finns att välja mellan validerade och icke validerade produkter bör man välja de som är validerade.

FIPS 140-2  är en standard som används för att validera produkter som innehåller ett kryptografiskt skydd. Standarden är amerikansk och är tänkt att säkra upp de program som använder kryptografiskt skydd bland amerikanska myndigheter. Det finns därför ett krav att amerikanska myndigheter ska använda sig av produkter validerade enligt FIPS 140-2. Det kan dock vara värt att notera att det framförallt är det kryptografiska skyddet som utvärderas, inte nödvändigtvis produkter i sin helhet. Trotts att FIPS 140-2 är tänkt för amerikanska myndigheter är det förstås intressant även för övriga världen och det är en internationellt erkänd kvalitetsfaktor. Valideringar enligt FIPS 140-2 accepteras däremot inte av det svenska försvaret.

Valideringen kan ske i fyra olika säkerhetsnivåer, ju högre nivå ju högre säkerhet. Men också en högre kostnad för utvecklaren. Det som skiljer är framför allt olika grader av fysiskt intrångsskydd i produkten.

Standarden är främst anpassad på externa hårdvarukomponenter som krypterade USB-minnen, krypterade hårddiskar eller brandväggar. Det går även att validera programvara men bara till den lägsta nivån om programmet ska köras på en vanlig dator. Detta beror på att datorns operativsystem inkluderas i valideringen och högre valideringsgrad kräver att även operativsystemet har validerats till samma nivå.

Ska man köpa sig ett krypterat USB-minne, en krypterad hårddisk eller brandvägg med kryptering (VPN), eller liknande, så kan det vara bra att kontrollera om produkten är validerad. Finns det validerade produkter så kan det vara värt att välja en sådan framför en som inte är validerad.

Om man har en Linux/Unix server som kör Samba server är det därför viktigt att uppdatera till den senaste versionen.

Även NAS-diskar (nätverksanslutna hårddiskar) kan vara sårbara. Det kan i så fall gå att komma åt information på disken som inte ska vara tillgänglig på nätverket.

Mer information: CS, CERT-SE

DN och SVT skriver mer om detta.

Jag tror att de här mycket väl kan vara en hit när det gäller övervakning och räddningstjänst/polis. Fast eftersom det saknas ett fungerande regelverk för hur de ska få användas så vi får antagligen vänta ytterligare ett antal år innan de kan börja användas i någon större skala. Ett scenario jag kan tänka mig är övervakning av industriområden kvällstid, etc.

Det man inte får glömma är att det finns en hel del integritets-aspekter kring det här. Men jag tror att ett bra regelverk skulle kunna lösa det problemet.

Det som gör det allvarligt när myndigheter blir hackade är att det idag finns en ökad trend att myndigheter sparar och hantera allt mer information om oss, och när den informationen sedan läcker är det ett dåligt tecken inför framtiden. Snart är datalagringsdirektivet implementerat och då kommer ännu mer information om oss sparas och hanteras. När information sedan finns ute på nätet kan den ligga kvar där ett bra tag.

DN, TechWorld, Computer Sweden skriver också om händelsen. Det finns även en uppföljande artikel i CS, fast logica är knapphändig med information.