IT-säkerhet, kryptoanalys och geocaching – finns det något vi kan lära oss?
De flesta av oss förknippar nog geocaching med folk som letar små plastburkar som sitter gömda på knepiga ställen, men vilka beröringspunkter finns det med IT-säkerhet och kryptoanalys?
Det finns en speciell typ av cacher som kallas mystar där det gäller att få fram koordinaterna utifrån en information som kan finnas som ett dolt meddelande, en kort kryptotext eller någon annan form som man först måste identifiera. För oss som arbetar med datorer, IT-säkerhet och kryptorelaterade problemställningar till vardags så kan det vara roligt att lösa geocacher som har dessa teman och som ofta förefaller vara konstruerade av personer med en likartad bakgrund som vår egen.
Om man tycker om att problem med en militär anknytning så finns det en serie geocacher med anknytning till Totalförsvarets signalskyddsskola som är lagom svåra och ger en trevlig introduktion till ämnet kryptoanalys. Likaså finns det ett flertal geocacher med anknytning till datorrelaterade problem eller IT-relaterade brottsutredningar där ledtrådar kan ha lämnats i form av olika datorfiler. Inom Mellansverige går det ganska lätt att hitta ett stort antal roliga geocacher med varierande svårighetsgrad.
Bilden ovan visar en myst med anknytning till Enigma som är utplacerad på FRA ute på Lovön. I verkligheten ligger inte cachen på parkeringsplatsen utan kanske någon kilometer bort. I det här fallet har jag sökt alla cacher där beskrivningen innehåller ordet krypto, totalt fanns 75 sådana cacher i min databas.
Men kan vi som arbetar med säkerhet lära oss något av geocaching? Min erfarenhet är att det är lärorikt att lösa problem och man håller uppe sin egen förmåga att analysera ett nytt problem. Det är också en stor skillnad att lösa ett läroboksproblem, ett problem man själv konstruerat och ett problem som en för mig okänd person har konstruerat. Ibland får man en ledtråd, för ett hemligt meddelande kan det exempelvis vara typ av krypto eller vilket språk som texten är skriven på. Men lika ofta är problemen valda för att inte vara typiska läroboksfrågor, språket är varken engelska eller svenska utan något blandspråk och vissa ord kan vara lite speciella. Normalt skulle vi kalla detta för en obfuskering av ett meddelande som kan vara mer eller mindre svår att genomskåda. För vissa problem ska man analysera en webbsida, läsa källkoden och på egen hand göra ett anrop till en server för att kunna lösa nästa steg i problemet. För att lösa andra mystar har det krävts nerladdning av simuleringsprogram för IC kretsar, plottpogramvaror, hexeditorer för att klippa och klistra i datafiler och andra verktyg för att hitta dolda meddelanden i bilder.
Ofta finns det bra programvaror för att undersöka krypterade texter, men de faller ofta när texten är på svenska eller använder olika metoder att översätta svenska tecken. Man tvingas då ofta skriva egna program för att lösa exempelvis ett Vigenerekrypto med svensk text där kanske både o och ö blivit ett o innan texten krypterats. Ofta får man arbeta fram dellösningar, exempelvis en metod för att få fram nyckellängden och en annan metod för att söka fram frekvensriktig lösning. Precis som i riktig kryptoanalys kan man också försöka gissa ord som borde ingå i klartexten.
Bilden visar ett enkelt test där vi laddat ett Vigenere krypto med en svensk text i CryptoCrack. Denna produkt är visserligen dålig på att lösa krypton (i vart fall på andra alfabet än det engelska), men innehåller ett antal verktyg för att exempelvis hitta upprepningar i kryptotexten som kan hjälpa till att förutsäga nyckellängden. Man kan också prova nycklar för hand.
Bra saker att tänka på är att inte överskatta sina egna kunskaper eller tro att de direkt går att översätta till geocaching. Det är ofta dumt att börja med kryptorelaterade mystar innan man löst enklare problem och lärt sig förstå GPS koordinatsystem och hur antalet siffror som används kan variera med olika representationer, antingen 14, 15 eller 16 siffror i de vanligaste varianterna. Man behöver helt enkelt få ordning på sammanhanget innan man kan lösa kryptoanalysen. Innan man ger sig på en myst så kan man titta på gamla loggar för att försäkra sig om att problemet är lösbart och om andra personer uppskattat problemet.
Den andra delen som kan behöva utvecklas innan man kan ge sig ut och hitta geocacherna är att klara olika svårighetsgrader i terräng. Även om man löst en svår myst och glatt kommer ut i skogen med de rätta koordinaterna så kanske man finner att den fysiska burken sitter några meter för högt upp i ranglig grantopp. Även här kan säkerhetstänkandet hjälpa till med en ordentlig risk och konsekvensanalys. Det är ofta bättre att återkomma med stege, hjälm och klätterutrustning eller en vältränad kamrat än att ta en dålig chanstagning.