4sics

SCADA/ICS-säkerhetskonferens 4SICS

Om några veckor är det dags för årets upplaga av den internationella konferensen om IT-säkerhet i cyberfysiska system (SCADA). Konferensen går under namnet 4SICS (four-six dvs landskoden till Sverige) och hålls på Nalen mitt i Stockholm.

Erik Johansson som tillsammans med Robert Malmgren står bakom konferensen berättar att  ämnen som kommer att behandlas på konferensen i år är cyberattackerna mot Ukraina i slutet av december 2015. Då drabbades flera elbolag i Ukraina av samordnade IT-attacker som slog ut elförsörjningen för mer än en kvarts miljon abonnenter. De Ukrainska elbolagen utsattes för en så kallad APT (Advanced Persistent Threat) då en grupp sofistikerade angripare under lång tid planerade, beredde sig tillgång till, och från insidan studerade elbolagens IT-miljöer. I över ett halvårs tid planterades skadlig kod, öppnades nya bakvägar och stals information i olika förberedelsesteg inför det att man den 23:e december mörklade delar av Ukraina.

Robert M. Lee, expert på säkerhet i SCADA-system och en av de som bistod Ukrainska myndigheter med utredningen, är en av de internationella specialister som bjudits in som talare på konferensen.

Lee berättar:

IT-attacken på det ukrainska kraftnätet var den första i sitt slag. Många detaljer kring attacken har kommit till allmän kännedom, men på 4SICS kommer de som deltog i analysen av attacken att samlas och belysa detaljer och erfarenheter på ett sätt som inte gjorts tidigare.

Andra inbjudna specialister är Anton Cherepanov & Robert Lipovsky från antivirusföretaget ESET som kommer att göra en djupare genomgång av vad man egentligen vet om den skadliga koden vid namn BlackEnergy som bland annat användes mot elbolagen i Ukraina.

Erik berättar även att presentationerna kommer att avslutas med rundabordssamtal där tekniska specialister och myndighetsföreträdare kommer diskutera tekniska brister, tillvägagångssätt, konsekvenser samt IT som vapen i olika konflikter. Innan konferensen finns det även möjlighet att gå flertalet kurser inom säkerhet i cyberfysiska system.

Ett axplock av övriga talare är: Jens Zerbst, CIO på Vattenfall, som kommer beskriva hur man uppnår försvar på djupet i en tid när det finns APT. Maik Brüggemann, säkerhetsforskaren som påvisat hur skadlig kod kan sprida sig direkt mellan olika PLC:er.

Margrete Raaum, CEO vid norska KraftCERT, med egna erfarenheter från härom året då Norge utsattes för cyberattacker och vet hur man bör hantera incidenter.

Konferensen och kurserna går under datumet 25-27 Oktober 2016, läs mer här: https://4sics.se

yahoo hackade

500 miljoner Yahoo-konton stulna

Yahoo meddelade precis att företaget har blivit av med uppgifter om 500 miljoner konton. Bland dessa uppgifter återfinnes bl.a. bcrypt-hashade lösenord (till största delen) samt telefonnummer och födelsedata. Och även i vissa fall krypterade och icke krypterade frågor och svar för lösenordsåterställning.

Det som kanske är mest spektakulärt är att intrånget skedde i slutet av 2014 och att Yahoo hävdar att det är statsunderstött.

Yahoo meddelar även att de just nu håller på att informera samtliga som är drabbade av detta omfattande läckage men många frågor är fortfarande obesvarade såsom:

  • Har Yahoo känt till detta intrång sedan 2014 eller upptäcktes det först nu?
  • Hur kan de hävda att en statsunderstödd angripare ligger bakom?

Och hur säkert är bcrypt som användes på majoriteten av lösenorden? Det beror helt på vilka inställningar Yahoo använde för sin ”work factor”, om de använde 12 som inställning så tar det runt 0,5 sek att testa ett lösenord. Men troligtvis använde Yahoo 10 som work-factor som var standard för några år sedan och då kan angriparen testa att forcera minst 10 lösenord i sekunden. Vilket förvisso är otroligt bra jämfört med exempelvis osaltad MD5.

Läs mer hos Yahoo här.

macos sierra

 Nya säkerhetshöjande funktioner i macOS Sierra

För några timmar sedan så släppte Apple en ny version av sitt operativsystem. Denna nya version heter macOS Sierra och är en uppföljare till OS X El Capitan.

Sierra innehåller över 60 stycken säkerhetsfixar (som givetvis även finns tillgängliga för El Capitan) och här är ett axplock av dessa:

  • Apple HSSPI Support CVE-2016-4697:
  • AppleEFIRuntime CVE-2016-4696
  • AppleMobileFileIntegrity CVE-2016-4698
  • AppleUUC CVE-2016-4699 och CVE-2016-4700
  • Application Firewall CVE-2016-4701
  • ATS CVE-2016-4779
  • Audio CVE-2016-4702

Den sårbarhet som är allvarligast enligt min bedömning är CVE-2016-4702 som gör att en angripare över nätverket kan exekvera kod (remote code execution).

Även så innehåller Sierra en intressant funktion som eventuellt öppnar upp för framtida säkerhetsbrister är möjligheten att låsa upp sin stationära dator via Apple Watch.

Sierra åtgärdar även ett säkerhetsrelaterat problem som har uppmärksammats genom att Dropbox försöker ”sno” användarens lösenord och således erhålla möjlighet att styra OS X:

dropbox

Men detta behöver inte Dropbox göra längre då användaren nu får en ny dialogruta som frågar efter behörigheter på följande sätt:

dropbox-accessibility-permission

Även så går det inte längre att via Systeminställningarna ställa in så att appar går att köra från alla ställen då ”Anywhere” saknas som ett tredje alternativ här:

sierra

Men detta förfarande i Gatekeeper går givetvis att ändra med lite kommandotolks-magi. Dock inget jag rekommenderar:

sudo spctl --master-disable

En till säkerhetshöjande åtgärd inom Gatekeeper är nu att osignerade nyinstallerade appar kommer att hamna i en ny katalog med slumpmässigt namn. Detta är för att försvåra för skadlig kod att utnyttja en brist som Patrick Wardle på företaget Synack identifierade 2015. Även så skrotas stödet för PPTP i Sierra och iOS 10.

macOS Sierra är en kostandsfri uppgradering och går hitta i Apple App Store.

Uppdatering: Joachim Strömbergson kommenterar även att Sierra använder flertalet mer molntjänster för olika appar vilket gör att mer information lagras och hanteras i Apples molntjänster.

Uppdatering 2: Det heter givetvis El Capitan och inget annat.

OpenBSD 6.0

Supersäkra OpenBSD 6.0 nu släppt

Det supersäkra operativsystemet OpenBSD är nu ute i version 6.0 och innehåller en hel del säkerhetshöjande funktioner. Nytt är bl.a. att W^X är obligatoriskt för bas-systemet och ger förstärkt skydd mot buffer-overflows (likt DEP).

För att ytterligare höja säkerheten har Linux-stödet, usermount samt systrace tagits bort. Även har OpenSMTPD, LibreSSL, OpenSSH, OpenNTPD uppdaterats med nya funktioner och säkerhetshöjande åtgärder.

En ny intressant funktion i OpenSSH är stöd för ProxyJump. Denna funktion låter dig hoppa via en server vidare, exempelvis ssh -J jump.host.se [email protected]

Även denna intressanta men enkla metod för att försvåra return into libc payloads:

To deter code reuse exploits, rc(8) re-links libc.so on startup, placing the objects in a random order.

Följande paket följer med grundsystemet från tredjepartsutvecklare:

  • Xenocara (based on X.Org 7.7 with xserver 1.18.3 + patches, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 and more)
  • GCC 4.2.1 (+ patches) and 3.3.6 (+ patches)
  • Perl 5.20.3 (+ patches)
  • SQLite 3.9.2 (+ patches)
  • NSD 4.1.10
  • Unbound 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ patches)
  • Gdb 6.3 (+ patches)
  • Awk Aug 10, 2011 version
  • Expat 2.1.1

Följande säkerhetsbrister är fixade i LibreSSL:

  • CVE-2016-2105—EVP_EncodeUpdate overflow.
  • CVE-2016-2106—EVP_EncryptUpdate overflow.
  • CVE-2016-2107—padding oracle in AES-NI CBC MAC check.
  • CVE-2016-2108—memory corruption in the ASN.1 encoder.
  • CVE-2016-2109—ASN.1 BIO excessive memory allocation.

Och OpenSSH fixar CVE-2016-6210 som gör att du kan lista ut användarnamn.

Givetvis finns det även en musik framtagen för denna version, lyssna på den här: https://www.openbsd.org/lyrics.html#60a

Identifiera Projekt Sauron (Remsec)

Detta är en guide till hur Er organisation kan identifiera den senaste avancerade skadliga koden vid namn Projekt Sauron.

Förutom att uppdatera antivirus med senate databaser så kan du även titta på nätverkstrafik för att se kommunikation till kontrollservrar (C&C). Ett till alternativ är att söka efter så kallade IOC:er (indicators of compromise).

IOC:er kan vara hashsummor, text-strängar, IP-adresser, URL:ar och mycket mer. Man kan säga att det är en typ av signaturer som är öppna, till skillnad från många antivirus-databaser som är stängda (förutom clamav).

Det finns ett antal gratis verktyg för att söka efter IOC:er samt ett antal olika öppna sammanställda listor med IOC:er.

Exempel på en IOC som identifierar Powershell verktyget Invoke Mimikatz:

Invoke Mimikatz Powershell

Ovan regel använder sig av Yara-formatet som är C-liknande. Yara är även ett öppet verktyg samt bibliotek till Python.

Följande metodik är framtagen av OpenIOC-projektet.

IOC metodik

lokiOch som du kan se av ovan process så är tanken att IOC:er snabbt ska gå att applicera i en mängd olika mjukvaror såsom IDS/IPS, SIEM, nätverket eller lokalt på en klient/server.

För att försöka identifiera Projekt Sauron så laddar jag hem först Loki-scannern:

wget https://github.com/Neo23x0/Loki/raw/master/loki.exe

Och sedan senaste signaturbiblioteket:

wget https://github.com/Neo23x0/signature-base/archive/754d19604d7c36580a3f254f341d220343ca9bdd.zip

Sedan måste du se till att hash-summan för loki.exe är korrekt samt att katalogstrukturen är korrekt. Sha256:

99239b002d76ea81fe239de2ad4d8fef4157ea0759a39e777a68e050df580342

Annars får du ett felmeddelande likt detta om katalogstrukturen är felaktig:

Traceback (most recent call last):
 File "<string>", line 811, in initialize_filename_iocs
WindowsError: [Error 3] The system cannot find the path specified: 'E:\\./signat
ure-base/iocs/*.*'
Traceback (most recent call last):
 File "<string>", line 1253, in <module>
 File "<string>", line 119, in __init__
 File "<string>", line 860, in initialize_filename_iocs
UnboundLocalError: local variable 'ioc_filename' referenced before assignment

När allt väl är på plats så är det bara att starta genomsökningen. Förslagsvis som en användare med behörighet att läsa processer och filer (Administratör):

LOKI IOC Scanner

Sen är det bara att vänta. En genomsökning kan ta flera timmar för en enda klient eller server.

När den är klar söker du efter följande text:

[RESULT] Indicators detected!
[RESULT] Loki recommends checking the elements on Virustotal.com or Google an
riage with a professional triage tool like THOR APT Scanner in corporate netw
s.
[NOTICE] Finished LOKI Scan SYSTEM: IE9WIN7 TIME: 20160813T10:53:49Z

Håll även koll på falska positiva (false-positives) indikationer. Windows sökverktyg SearchIndexer.exe gillar exempelvis att indexera upp dina signaturer och kan göra så att Loki varnar.

Loki arbetar med följande kontroller:

1. Filnamns IOC:Er
Regex-matchning på sökväg eller namn

2. Yara Regelkontroll
Yara signaturkontroll på fil eller process (minne)

3. Hashkontroll
Jämför hashar i en mängd olika format (MD5, SHA1, SHA256)

4. C2 kontrollkanal
Kontrollerar anslutningspunkter mot C2 IOCs (nytt sedan Loki version 0.10)

Och även följande presentations-bild från företaget Mandiant FireEye beskriver en indikator bra:

whats-an-indicator-copy_1

Senare kommer jag även gå igenom hur du använder verktyget Volatility för offline-analys, en av mina favoriter.

Denna guide fungerar för att identifiera nästan all skadlig kod, bara man vet vad man söker efter. Givetvis så bör även nätverkstrafik kontrolleras, men i fallet med Sauron så finns det ännu inga DNS-namn eller IP-adresser ut som man kan kontrollera för kommunikation och kontrollkanaler (C&C).

Och så klart underlättar nätverksforensik om du redan sparar undan DNS-uppslag eller all trafik som flödar ut/in på nätverket med trafikinspelning, något jag rekommenderar.

Värt även att poängtera är att när du exekverar kod såsom Loki i enlighet ovan så kan även detta innebära en säkerhetsrisk.

Men att kontrollera mot filnamn, hashsummor och annat är sådant som är statiskt. Antagonisten kommer bara att ändra sådant när hen blir upptäckt. Därför är det även bra att lära sig metoderna som nyttjas och kontrollera dessa.

sauron malware

Ny avancerad skadlig kod: Remsec / Project Sauron

För några dagar sedan så gick flertalet stora antivirus-leverantörer ut med en varning samt teknisk analys av en ny form av avancerad skadlig kod som troligtvis är utvecklad av gruppen Strider. Denna APT-liknande grupp (advanced persistent threat) har utvecklat Sauron (Remsec) sedan 2011 och har identifieras hos myndigheter i länder såsom Kina, Sverige, Ryssland och Belgien.

Projekt Sauron är sannolikt utvecklat av en stat eller statsunderstödd grupp i likhet med skadlig kod såsom Duqu, Flame, Equation, och Regin.

Koden är modulär och majoriteten av modulerna är skriva i programspråket Lua (precis som Stuxnet).

Att den skadliga koden fått namnet Sauron är på grund av denna Lua-modul som sköter tangentbords-loggningen (keylogger):

Projekt Sauron

Även så innehåller den skadliga koden en loggningsmodul som även krypterar och komprimerar loggar. I övrigt har inga felstavningar observerats men exempelvis så förekommer italienska ord när nätvertrafik genomsöks efter ord såsom secret, pw, pass codice|uin|signin|strCodUtente|.*pass.*|.*pw|pw.*|additional_info|.*secret.*|.*segreto.*

Antivirusdetektion

En del av den skadliga koden som laddar in binära objekt upptäcktes först av Kaspersky 20160406 och då som HEUR:Trojan.Multi.Remsec.gen. Ungefär en vecka efter detta så kan även AegisLab, Antiy-AVL och Rising den skadliga koden.

Luftgap

Den skadliga koden ProjectSauron har även stöd för att ta sig över ”airgaps” eller luftgap som det heter på svenska. Dvs system som är så pass säkra/hemliga att de inte är anslutna till Internet. När en USB-sticka ansluts så skapas det ett virtuellt filsystem som inte är synligt med blotta ögat.

Även så är någon slags zero-day involverad som nyttjas när USB-stickor förflyttas mellan nätverk. Men varken Symantec eller Kaspersky vet ännu inte hur detta fungerar exakt.

Persistens

Installerar sig som en SSPI, Security Support Provider Interface och exporterar funktionen InitSecurityInterfaceW.

Kryptering

Över nätverket sker kryptering med RSA samt RC6 (5?). Lokala filer krypteras med RC4 samt Salsa20.

Nyckel som används är: 0xBAADF00D. Även kan C&C-kommandon skickas via ICMP och lyckas dekrypteringen av ICMP-paketet så kommer koden att exekveras på systemet.

False flag

Att baka in felaktiga eller information som vilseleder den som analyserar skadlig kod är något som blivit populärt på senare tid. Även Sauron gör detta och är extra tydligt när man tittar på metadata såsom när koden kompilerades:

PE-Header compilator timestmap: 2009-07-14 01:07:24

Hashsummor

Detta är hashsummor för Win32 DLL:en som är ansvarig för att ladda in moduler:

MD5 2a8785bf45f4f03c10cd929bb0685c2d
SHA-1 d18792a187d7567f3f31908c05a8b8a2647d365f
SHA-256 6c8c93069831a1b60279d2b316fd36bffa0d4c407068dbef81b8e2fe8fd8e8cd
ssdeep 1536:XnEBRAJD8UuUFT1CKKoau6uWqv/gQcIOtED:XnEcz5FTiteoQStE

Filnamn: MSAOSSPC.DLL

Och på disken så används katalog: “c:\System Volume Information\_restore{ED650925- A32C-4E9C-8A73-8E6F0509309A}\RP0\A???????.dll” för moduler.

DLL-en maskeras som AOL Security Package.

Externa PDF-er med mer information:

Fler checksummor från Github:

1F7DDB6752461615EBF0D76BDCC6AB1A;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
227EA8F8281B75C5CD5F10370997D801;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
2F704CB6C080024624FC3267F9FDF30E;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
34284B62456995CA0001BC3BA6709A8A;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
501FE625D15B91899CC9F29FDFC19C40;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
6296851190E685498955A5B37D277582;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
6B114168FB117BD870C28C5557F60EFE;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
7B6FDBD3839642D6AD7786182765D897;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
7B8A3BF6FD266593DB96EDDAA3FAE6F9;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
C0DFB68A5DE80B3434B04B38A61DBB61;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
B6273B3D45F48E9531A65D0F44DFEE13;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
BB6AEC0CF17839A6BEDFB9DDB05A0A6F;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
C074710482023CD73DA9F83438C3839F;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
C3F8F39009C583E2EA0ABE2710316D2A;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
CF6C049BD7CD9E04CC365B73F3F6098E;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
40F751F2B22208433A1A363550C73C6B;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
1D9D7D05AB7C68BDC257AFB1C086FB88;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
181c84e45abf1b03af0322f571848c2d;Project Sauron https://goo.gl/eFoP4A - Generic pipe backdoor
2e460fd574e4e4cce518f9bc8fc25547;Project Sauron https://goo.gl/eFoP4A - Generic pipe backdoor
1f6ba85c62d30a69208fe9fb69d601fa;Project Sauron https://goo.gl/eFoP4A - Generic pipe backdoor
F3B9C454B799E2FE6F09B6170C81FF5C;Project Sauron https://goo.gl/eFoP4A - Null session pipes backdoor
0C12E834187203FBB87D0286DE903DAB;Project Sauron https://goo.gl/eFoP4A - Null session pipes backdoor
72B03ABB87F25E4D5A5C0E31877A3077;Project Sauron https://goo.gl/eFoP4A - Null session pipes backdoor
76DB7E3AF9BE2DFAA491EC1142599075;Project Sauron https://goo.gl/eFoP4A - Null session pipes backdoor
5D41719EB355FDF06277140DA14AF03E;Project Sauron https://goo.gl/eFoP4A - Null session pipes backdoor
A277F018C2BB7C0051E15A00E214BBF2;Project Sauron https://goo.gl/eFoP4A - Null session pipes backdoor
0C4A971E028DC2AE91789E08B424A265;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
44C2FA487A1C01F7839B4898CC54495E;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
F01DC49FCE3A2FF22B18457B1BF098F8;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
F59813AC7E30A1B0630621E865E3538C;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
CA05D537B46D87EA700860573DD8A093;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
01AC1CD4064B44CDFA24BF4EB40290E7;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
1511F3C455128042F1F6DB0C3D13F1AB;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
57C48B6F6CF410002503A670F1337A4B;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
EDB9E045B8DC7BB0B549BDF28E55F3B5;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
71EB97FF9BF70EA8BB1157D54608F8BB;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
2F49544325E80437B709C3F10E01CB2D;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
7261230A43A40BB29227A169C2C8E1BE;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
FC77B80755F7189DEE1BD74760E62A72;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
A5588746A057F4B990E215B415D2D441;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
0209541DEAD744715E359B6C6CB069A2;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
FCA102A0B39E2E3EDDD0FE0A42807417;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
5373C62D99AFF7135A26B2D38870D277;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
91BB599CBBA4FB1F72E30C09823E35F7;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
914C669DBAAA27041A0BE44F88D9A6BD;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
C58A90ACCC1200A7F1E98F7F7AA1B1AE;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
63780A1690B922045625EAD794696482;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
8D02E1EB86B7D1280446628F039C1964;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
6CA97B89AF29D7EFF94A3A60FA7EFE0A;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
93C9C50AC339219EE442EC53D31C11A2;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
F7434B5C52426041CC87AA7045F04EC7;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
F936B1C068749FE37ED4A92C9B4CFAB6;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
2054D07AE841FCFF6158C7CCF5F14BF2;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
6CD8311D11DC973E970237E10ED04AD7;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
5DDD5294655E9EB3B9B2071DC2E503B1;Project Sauron https://goo.gl/eFoP4A - MyTrampoline
5DDD5294655E9EB3B9B2071DC2E503B1;Project Sauron https://goo.gl/eFoP4A - Bus Manager
2A8785BF45F4F03C10CD929BB0685C2D;Project Sauron https://goo.gl/eFoP4A - Bus Manager
F0E0CBF1498DBF9B8321D11D21C49811;Project Sauron https://goo.gl/eFoP4A - Bus Manager
AC8072DFDA27F9EA068DCAD5712DD893;Project Sauron https://goo.gl/eFoP4A - Bus Manager
2382A79F9764389ACFB4CB4692AA044D;Project Sauron https://goo.gl/eFoP4A - Bus Manager
85EA0D79FF015D0B1E09256A880A13CE;Project Sauron https://goo.gl/eFoP4A - Bus Manager
4728A97E720C564F6E76D0E22C76BAE5;Project Sauron https://goo.gl/eFoP4A - Bus Manager
B98227F8116133DC8060F2ADA986631C;Project Sauron https://goo.gl/eFoP4A - Bus Manager
D2065603EA3538D17B6CE276F64AA7A2;Project Sauron https://goo.gl/eFoP4A - Bus Manager
FCD1A80575F503A5C4C05D4489D78FF9;Project Sauron https://goo.gl/eFoP4A - Bus Manager
EB8D5F44924B4DF2CE4A70305DC4BD59;Project Sauron https://goo.gl/eFoP4A - Bus Manager
17DEB723A16856E72DD5C1BA0DAE0CC7;Project Sauron https://goo.gl/eFoP4A - Bus Manager
B6FE14091359399C4EA572EBF645D2C5;Project Sauron https://goo.gl/eFoP4A - Bus Manager
C8C30989A25C0B2918A5BB9FD6025A7A;Project Sauron https://goo.gl/eFoP4A - Bus Manager
814CA3A31122D821CD1E582ABF958E8F;Project Sauron https://goo.gl/eFoP4A - Bus Manager
951EBE1EE17F61CD2398D8BC0E00B099;Project Sauron https://goo.gl/eFoP4A - Network Sniffer
d737644d612e5051f66fb97a34ec592b3508be06e33f743a2fdb31cdf6bd2718;Symantec Strider Report http://goo.gl/bTtpGD
30a824155603c2e9d8bfd3adab8660e826d7e0681e28e46d102706a03e23e3a8;Symantec Strider Report http://goo.gl/bTtpGD
a4736de88e9208eb81b52f29bab9e7f328b90a86512bd0baadf4c519e948e5ec;Symantec Strider Report http://goo.gl/bTtpGD
8e63e579dded54f81ec50ef085929069d30a940ea4afd4f3bf77452f0546a3d3;Symantec Strider Report http://goo.gl/bTtpGD
96c3404dadee72b1f27f6d4fbd567aac84d1fdf64a5168c7ef2464b6c4b86289;Symantec Strider Report http://goo.gl/bTtpGD
04ea378405c9aa879478db3d6488ce79b694393501555ccabc109fa0f4844533;Symantec Strider Report http://goo.gl/bTtpGD
720195b07c81e95dab4a1469342bc723938733b3846d7647264f6d0816269380;Symantec Strider Report http://goo.gl/bTtpGD
2f128fff48d749f08786e618d3a44e2ac8020cc2ece5034cb1079901bbde6b7e;Symantec Strider Report http://goo.gl/bTtpGD
6189b94c9f3982ce15015d68f280f5d7a87074b829edb87825cadab6ec1c7ec2;Symantec Strider Report http://goo.gl/bTtpGD
6c8c93069831a1b60279d2b316fd36bffa0d4c407068dbef81b8e2fe8fd8e8cd;Symantec Strider Report http://goo.gl/bTtpGD
d629aa328fef1bd3c390751575f65d2f568b4b512132d77ab3693709ae2d5c84;Symantec Strider Report http://goo.gl/bTtpGD
9035a1e71c87620ead00d47c9db3768b52197703f124f097fa38dd6bf8e2edc8;Symantec Strider Report http://goo.gl/bTtpGD
36b74acba714429b07ab2205ee9fc13540768d7d8d9d5b2c9553c44ea0b8854f;Symantec Strider Report http://goo.gl/bTtpGD
0f8af75782bb7cf0d2e9a78af121417ad3c0c62d8b86c8d2566cdb0f23e15cea;Symantec Strider Report http://goo.gl/bTtpGD
bde264ceb211089f6a9c8cfbaf3974bf3d7bf4843d22186684464152c432f8a5;Symantec Strider Report http://goo.gl/bTtpGD
4a15dfab1d150f2f19740782889a8c144bd935917744f20d16b1600ae5c93d44;Symantec Strider Report http://goo.gl/bTtpGD
3782b63d7f6f688a5ccb1b72be89a6a98bb722218c9f22402709af97a41973c8;Symantec Strider Report http://goo.gl/bTtpGD
6b06522f803437d51c15832dbd6b91d8d8b244440b4d2f09bd952f335351b06d;Symantec Strider Report http://goo.gl/bTtpGD
96e6b2cedaf2840b1939a9128751aec0f1ac724df76970bc744e3043281d3afd;Symantec Strider Report http://goo.gl/bTtpGD
02a9b52c88199e5611871d634b6188c35a174944f75f6d8a2110b5b1c5e60a48;Symantec Strider Report http://goo.gl/bTtpGD
ab8181ae5cc205f1d3cae00d8b34011e47b735a553bd5a4f079f03052b74a06d;Symantec Strider Report http://goo.gl/bTtpGD
c8f95bf8a76ff124cc1d7a8439beff360d0eb9c0972d42a8684c3bd4e91c6600;Symantec Strider Report http://goo.gl/bTtpGD
9572624b6026311a0e122835bcd7200eca396802000d0777dba118afaaf9f2a9;Symantec Strider Report http://goo.gl/bTtpGD

Källor: FSB, VirusTotal, Kaspersky och Symantec

RSA fingeravtryck

Lämnar RSA-nycklar fingeravtryck?

Att unikt identifiera vilken mjukvara som skapat en publik RSA-nyckel är något som kan vara intressant för en angripare. Dels så kan ett fingeravtryck som påvisar en mjukvara avslöja eventuella sårbarheter men även koppla en nyckel till hårdvara.

Frågan som forskarna vid Masaryk University i Tjeckien var följande:

Can bits of an RSA public key leak information about design and implementation choices such as the prime generation algorithm?

Efter detta så tog forskarna fram en metodik och valde ut 22 olika kryptobibliotek samt 16 olika smart-cards. De genererade nyckelpar i storlekarna 512, 1024 samt 2048-bitar. Efter detta så försökte de jämföra med nycklar som kan identifieras på Internet genom TLS eller PGP.

Resultatet visade på att det var möjligt att identifiera ursprungsmjukvaran, men även så identifierades det mjukvara som skapade felaktiga nycklar 0.05% av gångerna.

RSA fingerprintHär kan du ladda hem forskningen som PDF i sin helhet, presenterades under Usenix-konferensen:

RSA key origin

 

Apple bug-bounty

Apple startar ett bug-bounty program 💰

Äntligen! Det är inte en dag för tidigt att Apple nu äntligen startar upp ett bug-bounty program som betalar ut belöning till den som identifierar och rapporterar säkerhetsrelaterade sårbarheter.

Nästan alla företag och organisationer som tar säkerhet på allvar har någon form av belöning för den som rapporterar in sårbarheter (här kan du läsa om hur jag hittade en sårbarhet på Facebook).

Apple kommer att betala ut summor upp till 1.7 miljoner SEK (200,000$) vilket förhoppningsvis bidrar till att minska eventuella zero-days på svarta marknaden.

Utbetalningarna varierar enligt följande:

  • Sårbarheter i secure boot firmware komponenter: Upp till 1,7m SEK
  • Sårbarheter som möjliggör att data kan extraheras från Secure Enclave: Upp till 850k SEK
  • Exekvering av kod i kernel: Upp till 450k sek
  • Tillgång till iCloud data på Apples servrar: Upp till 450k SEK
  • Process i sandlåda som får tillgång till data utanför sandlådan: Upp till 200k SEK

Även så kräver Apple att det ska finnas Proof-of-concept kod samt att denna kod ska fungera på senaste Apple-hårdvaran samt senaste versionen av iOS.

Och en annan intressant twist är att Apple kommer att dubbla utbetalningen om den som får en säkerhetsbugg bekräftad, väljer att donera till välgörande ändamål.

Chatt-appen som spelade en vital roll i turkiska kuppförsöket

byLock turkiet
En chatt-app vid namn ByLock spelade en vital roll vid kuppförsöket i Turkiet. Appen fanns till både Android och Iphone samt hade över 1 miljon nedladdningar under 2014.

Appen togs ned enligt utvecklaren på grund av det höga tryck men centrala servern fanns uppe i minst ett år efter att appen togs bort från Google Play samt AppStore.

Extreme security with your fingerprint . Your fingerprint encrypts your call. Use this application for secure communication. This application uses industry leading encryption techniques .. Super Secure Free Calls available

Utvecklaren står som ‘David Keynes of Beaverton, Oregon’, en person som inte finns. Men även bloggen som innehåller uppdateringar om appen innehåller flertalet grammatiska fel. Säkerhetsfel fel återfinnes i appen såsom att meddelanden skickas i klartext till servern.

Att det är just denna app som gjorde att kuppmakarna kunde spåras bekräftas av Turkiska myndigheter som säger:

What I can say is that a large number of people identified via ByLock were directly involved in the coup attempt.

Senare gick kuppmakarna över till WhatsApp men genom fysisk tillgång till telefonen så kunde även meddelanden läsas i WhatsApp. Enligt turkisk media så användes WhatsApp för att genomföra truppförflyttningar med WhatsApp-grupper som hade tusentals samtidiga personer inloggade.

Skärmdumpar från appen byLock:

bylock 1bylock2

 

Wireshark

Ny stabil uppdatering av Wireshark

Den omåttligt populära mjukvaran Wireshark som används för att läsa av nätverkstrafik finns nu ute i en ny stabil version: 2.0.5. Detta är den femte uppdatering till 2.0-serien som kom ut för snart ett år sedan (läs mitt test här).

Denna version åtgärdar 9 stycken säkerhetsbrister som identifierats samt 22 andra buggrättningar.

Behöver Er organisation hjälp med av analysera nätverkstrafik? Kontakta Triop AB >

Säkerhetsbristerna återfinnes i hanteringen av följande protokoll: CORBA IDL, PacketBB, WSP, RLC, LDSS, OpenFlow, MMSE, WAP samt WBXML.

Och i följande protokoll har avkodningen uppdaterats: 802.11 Radiotap, BGP, CAN, CANopen, H.248 Q.1950, IPv4, IPv6, LANforge, LDSS, MPTCP, OSPF, PacketBB, PRP, RLC, RMT-FEC, RSVP, RTP MIDI, T.30, TDS, USB, WAP, WBXML, WiMax RNG-RSP, och WSP.

Wireshark är gratis och finns till operativsystem såsom Linux, Windows och Mac OS X. Och ett bra alternativ till Wireshark är Network Miner. Och gillar du inte grafiska gränssnitt så följer även tshark med som går att köra direkt från terminalen.

Du kan läsa samtliga release-notes här för version 2.0.5 och du kan som vanligt ladda hem Wireshark från wireshark.org.