Daily Archives: December 16, 2013

Troels Ørting, der er chef for europols center for bekæmpelse af cyberkriminalitet, vil have hårdere straffe til virksomheder og andre, der sjusker med borgeres private data. Det skriver Børsen.

Troels Ørting er bekymret for danskernes data-sikkerhed, og han mener ikke, at Danmarks milde krav til sikkerhed hos virksomheder og myndigheder står mål med udviklingen på området. Han vil have hårdere sanktioner ved sjusk og peger på, at det har virket i udlandet.

»Jeg kan godt forstå, at man helst vil forsøge at danne noget konsensus og gensidigt forpligtende aftaler. Men erfaringen viser, at det som regel først er, når der kommer konsekvenser i lovgivningen, at truslerne tages alvorligt,« siger Troels Ørting. Han tilføjer, at andre lande som Tyskland og England giver store bøder til virksomheder og organisationer, hvis deres sikkerhed ikke holder stand.

Troels Ørtings udmelding kommer som reaktion på endnu ikke offentliggjorte tal fra Datatilsynet. De viser, at antallet af sikkerhedsbrister stiger støt. I årene 2003 til 2007 var der tale om et skønnet gennemsnit på 20 sikkerhedsbrister, mens der alene i 2013 har været 80 faktiske sager om brud på datasikkerhed.

Danmark blokerer for EU-regler

Danmark er et af flere lande, der har været med til at blokere for et forslag om en opdatering af reglerne for databeskyttelse på EU-niveau.

Regeringen har udtrykt enighed i, at reglerne har brug for en overhaling, men man har vurderet at de administrative omkostninger var for store. En konklusion som KL bakker op, ligesom Kontorchef Karsten Thystrup kalder forslaget bureaukratisk og dyrt.

Hos Forbrugerrådet er man ærgerlig over, at forslaget bliver blokeret.

»Danmarks regler for databeskyttelse stammer tilbage fra sidst i 90′erne, hvor der ikke fandtes elektroniske medcinregistre, offentlige e-post eller sociale medier. De trænger derfor til en gevaldig opgradering,« siger Anetet Høyrup, der er Chefjurist hos forbrugerrådet TÆNK, til Børsen.

EPayment-virksomheden Worldline, der blandt andet beskæftiger sig med at overvåge milliarder af finansielle transaktioner på en daglig basis over hele verden, anvender Linux el. Unix-baserede operativsystemer i deres forretningskritiske struktur. Det kunne chef for sikkerhed i virksomhedens belgiske afdeling Peter Johannes fortælle, da Version2 var inviteret af Wordline på rundvisning i virksomhedens afdeling i Bruxelles i Belgien.

Worldline anvender både open source-produkter, som virksomheden selv tilpasser, proprietære produkter og almindelige Windows installationer. Sidstnævnte er dog kun i forhold til de dele, der relaterer sig til det, Peter Johannes kalder ‘office’.

Det vil sige mail og andre kontorapplikationer. På den del af virksomhedens systemer, der håndterer transaktioner, autentifikationer og internet-relaterede aktiviteter. Eksempelvis e-commerce-håndtering, anvender Worldline enten Linux eller en Unix-affart.

Det er ikke fordi, Peter Johannes mener, Linux er mere sikkert end Windows. Og så alligevel. Den primære årsag, fortæller han, er, at Windows ikke nødvendigvis kan håndtere transaktionsmængden. Og dertil er det et spørgsmål om vedligehold.

»Den anden forklaring er mængden af vedligehold, som det kræver. Med Linux og andre Unix-lignende systemer, der ved vi, at vi kan håndtere det. Med Windows har vi tidligere haft nogle dårlige oplevelser.«

Han fortæller, at tidligere har Worldlines e-commerce løsninger kørt på en Windows-platform, men virksomheden valgte at overgå helt til Unix- og Linux-systemer, fordi patching var lettere at håndtere.

Men Linux-distributioner skal jo også patches?

»Ja, men systemerne er meget enklere. Vi kan nemt lave et Linux-system, som kun indeholder de komponenter, vi har behov for,« siger Peter Johannes og fortsætter:

»Vi vælger lige det, vi har behov for. Det er langt lettere at gøre med Linux end med Windows.«

Han fortæller, at Worldline – ikke bare i Belgien, men generelt – således ikke anvender en Linux-distribution som sådan. I stedet skræller de eksisterende løsninger ned, så de bliver så små og simple som muligt.

»Det er virkelig nemt at reducere det til det, du har behov for. Og så kan man vedligeholde det. Og eftersom der kun er tale om det, man har behov for, så ved vi også præcist, hvordan det er meningen, det skal opføre sig,« siger han.

»Det er ikke et spørgsmål om, at Linux generelt er bedre, men det kan skæres ned.«

Og jo mere simpelt, systemet kan gøres, des lettere er det at overskue og dermed sikre, siger Peter Johannes, og understreger, at det er hans egen opfattelse, og at der jo godt kan være virksomheder, der har andre tilgange til vedligehold af forretningskritiske systemer.

Ud over håndtering af finansielle transaktioner, står Worldline også bag flere betalingskortterminaler, som bliver anvendt i blandt andet Danmark. Flere af dem kører i øvrigt en kombination af blandt andet Linux og Java.

Data på gamle harddiske kan let havne i de forkerte hænder, hvis harddisken eller pc’en sælges videre. Derfor findes der værktøjer til grundig sletning af data på harddiske, men når harddisken er erstattet med en SSD, så giver det nye problemer.

I praksis er det nemlig svært at være helt sikker på, at data forsvinder fra en SSD, når man sletter dem. Faktisk kan man være ganske sikker på, at data stadig ligger i hukommelseschipsene.

»Hvis man vil fjerne muligheden 100 procent for, at andre kan tilgå dataene på drevet, så er det eneste sikre at ødelægge hele drevet. Men det er jo ikke særlig miljøvenligt,« siger direktør Henrik Andersen fra data recovery-firmaet Ibas Kroll Ontrack til Version2.

En undersøgelse fra University of California, San Diego, konkluderede allerede i 2011, at det eneste sikre for flash-baserede lagermedier var destruktion ved eksempelvis at makulere og knuse hele drevet.

»Der er nogle virksomheder, der var meget hurtige til at bruge SSD’er, som de nu har liggende, fordi de ikke har en metode til sikker sletning. Vi har været ude flere steder, hvor de har 4.000 SSD’er liggende i kælderen,« fortæller Henrik Andersen.

Du skriver i blinde til en SSD

Problemet med SSD-drev er, at de er bygget helt anderledes op end de magnetiske harddisk, de erstatter i bærbare pc’er, servere og mobile enheder.

På en harddisk ligger data i små segmenter på de magnetiske plader, disken består af. Når man læser og skriver til en harddisk, får diskens skrivehoved besked på at flytte sig til det område på pladen, hvor det segment ligger, man skal have fat i.

Det er muligt at styre ganske præcist, hvilke sektorer data bliver lagt i, og derfor kan man også overskrive dem med nye data for at slette alle spor af, hvad der var skrevet i sektoren tidligere.

En SSD består af hukommelseschips, som er inddelt i blokke, der består af pages, som igen indeholder et antal celler. Men hver af de mikroskopiske celler, som lagrer de enkelte bit ved at holde på en elektrisk spænding, kan kun holde til at blive tændt og slukket et vist antal gange.

Derfor har selve computeren og styresystemet ikke mulighed for at bestemme præcis, hvilke celler der bliver brugt til at gemme en bit i modsætning til på harddisken.

I stedet fungerer SSD’ens controller-chip og firmware som mellemmand, der sørger for at sprede skrivningerne ud over chipsenes mange celler, så enkelte celler ikke bliver slidt op hurtigere end andre.

»I harddisken har du adgang til at overskrive specifikke fysiske blokke. I en SSD sidder der en controller foran, så du har ikke fysisk kontrol over, hvor der bliver skrevet,« forklarer direktør Ulf Munkedal fra sikkerhedsfirmaet Fort Consult til Version2.

I praksis betyder det, at hvis du ændrer i eksempelvis et tekstdokument, så kan der, hver gang du gemmer dokumentet, blive gemt en kopi af dokumentet i friske celler på SSD’en i stedet for at overskrive den originale kopi.

Gamle data kan gemme sig i krogene

SSD’ens indbyggede software vil forsøge at rydde op automatisk, så celler der indeholder data, som ikke længere skal bruges, bliver nulstillet og kan bruges igen. Men det er umuligt at vide, om en bestemt blok med celler, der har været brugt, stadig indeholder data.

Selvom man overskriver hele SSD’ens kapacitet med nye data, så kan der nemlig stadig være blokke med gamle data. Det skyldes, at de fleste SSD’er holder et antal blokke i reserve, som ikke fremgår af drevets officielle kapacitet. Reservepuljen bliver imidlertid skiftet ud løbende, så en blok, der tidligere har været benyttet til aktive data, kan blive en del af reserven, når dataene ikke længere er i brug.

Hvis drevets egen oprydningsmekanisme ikke har nulstillet sådan en blok, kan den indeholde gamle data, der kan gendannes.

»Reserveblokke kan ligge hvor som helst på en SSD og kan indeholde gamle brugerdata, hvis de ikke er blevet slettet af garbage collectoren,« siger Henrik Andersen.

SSD’en kan også markere en blok som defekt, også selvom det måske blot er en enkelt page i blokken, som ikke fungerer korrekt. Det betyder, at resten af blokken kan indeholde brugerdata, som er intakte.

Harddisk-sletning dur ikke

Når en harddisk skal genbruges, for eksempel hvis en pc skal sælges videre, findes der værktøjer, som kan overskrive hele disken med tilfældige data, så det er umuligt at gendanne de oprindelige data. Det kan lade sig gøre, fordi styresystemet har fuld kontrol over, hvor der bliver skrevet til den fysiske disk.

Bruger man de samme værktøjer på en SSD, kan man imidlertid ikke vide sig sikker på, at der ikke ligger gamle data gemt i reserveblokke eller defekte blokke.

»Harddisk-sletningssoftware overskriver kun aktive data, så reserveblokke og defekte blokke bliver ikke overskrevet. Men hvis du laver flere overskrivninger kan du måske tvinge SSD’en til at overskrive reserveblokkene, men du har ingen garanti for det,« siger Henrik Andersen.

En ældre standard for sikker bortskaffelse af harddiske fra amerikanske NIST anbefaler syv overskrivninger af en almindelig harddisk. Det skyldes, at på harddiske før cirka år 2000 kunne en enkelt bit ligge i et område, der var så stort, at det teoretisk var muligt at måle på magnetfeltet og beregne sandsynligheden for, om den var blevet overskrevet eller var uændret. Det er dog en metode, der aldrig er blevet demonstreret i praksis til at gendanne brugbare data.

Flere overskrivninger giver imidlertid mening på en SSD, fordi det netop kan bruges til at bringe reserveblokkene i brug, så man er sikker på, at den skjulte ekstra kapacitet på SSD’en også bliver overskrevet.

»Vores egen software laver fem overskrivninger, og så har vi ikke selv været i stand til at rekonstruere data,« siger Henrik Andersen.

Forskellig indmad i SSD’er

Mens der kun findes en håndfuld harddiskproducenter, så har mere end 100 forskellige firmaer fremstillet flashbaserede lagermedier, som ganske vist er baseret på chips og controllere fra nogle få producenter, men kombineret på forskellige måder og med forskellig firmware.

Det gør det vanskeligt at bruge den funktion til sikker sletning, som ellers burde være en standard, Secure Erase, der dog primært er implementeret for at forbedre ydelsen over tid i mange SSD-drev og ikke som en pålidelig metode til sikker sletning af alle data.

Netop fordi man ikke kan være sikker på, at Secure Erase faktisk sletter alle data, anbefaler sikkerhedseksperter, at man først overskriver SSD’en flere gange med tilfældige data, før man sletter dem med Secure Erase.

»Secure Erase skulle overskrive alt, undtagen systemblokkene på drevet, men producenterne implementerer kommandoen forskelligt, så du har ingen garanti. På de nye modeller er det som regel implementeret korrekt, men det er det ikke, hvis vi går bare én generation tilbage,« siger Henrik Andersen.

I undersøgelsen fra University of California fra 2011 var det blot fire ud af ni SSD-drev, hvor Secure Erase-kommandoen beviseligt fungerede efter hensigten. Derfor bør man især være opmærksom, hvis man har SSD’er fra de første generationer, der skal bortskaffes forsvarligt.

Kryptering virker – nogenlunde

Mange SSD’er har indbygget kryptering af data, så de ligger krypteret i hukommelseschipsene. Det er dog ikke mere sikkert, end at man kan sætte SSD’en i en ny pc og se dataene helt normalt, medmindre brugeren selv definerer et godt kodeord.

Det kan imidlertid være vanskeligt at gendanne data fra en beskadiget SSD’en, hvis den er krypteret på hardwareniveau, fordi hardwareproducentens nøgle kan blive beskadiget.

Derfor lyder anbefalingen fra flere sikkerhedsfirmaer, at man bruger softwarebaseret kryptering på sine drev, fordi man på den måde selv har mere kontrol over krypteringen.

»En hurtig måde at sikre en SSD på vil være at lave en fuld diskkryptering. Det betyder ikke så meget for ydelsen, som det gør på en konventionel harddisk. Hvis man bruger et bare nogenlunde godt kodeord, så vil det være utrolig svært at få fat i data,« siger chefsikkerhedskonsulent Peter Schjøtt fra sikkerhedsfirmaet Symantec til Version2.

Når data ligger krypteret, så vil man blot kunne formatere drevet, hvorefter det skulle være sikkert at overdrage det til andre. I hvert fald hvis det sker inden for virksomheden eller familien.

Hvis man er i en branche med strenge krav til destruktion af fortrolige data, så kan selv kryptering imidlertid give problemer på en SSD. Der findes nemlig brancher, hvor man skal dokumentere, at data er destrueret.

Her er det altså ikke nok, at dataene blot er ulæselige på grund af kryptering, eller at de sandsynligvis er slettet af SSD’ens firmware.

»Det er et problem, og den eneste måde, du kan være rigtig sikker, er fysisk destruktion af drevet,« siger Ulf Munkedal.

For de fleste almindelige brugere vil kryptering og flere overskrivninger med slette værktøjer dog være tilstrækkeligt, fordi det i praksis er usandsynligt, at brugbare data kan genskabes. Det er blot umuligt at bevise, at ingen kan læse de oprindelige data.