Nyhetsbrev om IT-säkerhet och kryptering

nyhetsbrevNu startar vi upp ett ett nyhetsbrev. Tanken är att sammanfatta nyheter inom IT-säkerhet och krypto-området, max en gång i veckan. Ingen spam, tummis!

Fyll i din E-postadress nedan så går du med:


En miljon använder nu Facebook över Tor

Facebook över TorAlec Muffett på Facebook rapporterade nyligen att en miljon använder Facebook över Tor. Och så här skriver Alec på Facebook-sidan Facebook over Tor:

Over this period the number of people who access Facebook over Tor has increased. In June 2015, over a typical 30 day period, about 525,000 people would access Facebook over Tor e.g.: by using Tor Browser to access www.facebook.com or the Facebook Onion site, or by using Orbot on Android. This number has grown – roughly linearly – and this month, for the first time, we saw this “30 day” figure exceed 1 million people.

Ökningen beror dels på att Tor blir mer och mer populärt eftersom fler stater väljer att filtrera eller på andra sätt kontrollera Internet. Följande statistik visar på antalet anslutna klienter som kommer via ”gömda bryggor” sedan Januari 2015:

Tor bridge users

För dig som vill surfa till Facebook över Tor behöver först ansluta mot Tor-nätverket med exempelvis Tor Browser. Surfa sedan till följande URL:

https://facebookcorewwwi.onion/

Telia injicerar inte kod i webbsidor

Uppdatering: Telia har nu dementerat detta via Twitter och skriver att det är Twitter själva som visar detta meddelande.

Frågor som kvarstår är dock hur Telia meddelar Twitter att just detta är en kund med abonnemang X. Läcker denna meta-data?

Via @mockzallad på Twitter så uppdagades det att Telia möjligen injicerar HTML-kod i webbsidor. Detta inträffar när en Telia-kund lämnar en webbsida som omfattas av Telia när det gäller sociala medier, se följande skärmdump:

Telia gratis sociala medier

Det som nu inträffar är att när användaren lämnar någon av ovan sociala medier så visar Telia (eller Twitter) följande meddelande:

mockzallad

Och när det gäller nätneutralitet så skriver Telia följande på sin hemsida:

Nätneutralitet är en mycket viktig fråga som vi följer noga, det tror jag gäller för samtliga operatörer. Vårt nya erbjudande om fri surf i sociala medier ger kunderna ännu mer surffrihet, vi gör ingen prioritering av trafik eller någon typ av blockering, därför menar vi att det inte står i konflikt med nätneutraliteten.

Vilket jag tycker är helt felaktigt. Speciellt när man som ovan påverkar innehållet i datatrafiken med en teknisk metod som just nu är okänd.

Vet du hur Telia gör rent tekniskt, MITM? Lämna gärna en kommentar nedan eller på Facebook.

Uppdatering: Även om Telia själva skriver att dom injicerar kod så kan det vara så att Twitter har stöd för att visa dessa meddelanden när länkar går via deras egen länkförkortare t.co.

screenshot

Uppdatering 2: För att förtydliga, innan vi har några tekniska detaljer hur detta går till så har inlägget uppdaterats.

Möjliga metoder för att visa ovan meddelande kan vara följande:

  • MITM på icke https-trafik in-transit
  • Samarbete med Twitter som ändrar utgående länkar
  • DNS-redirect
  • TeliaSonera som är en egen CA genererar certifikat. Minst troligt

Test av supersäkra operativsystemet OpenBSD

OpenBSD 5.9

Skärmdump från OpenBSD 5.9

För några dagar sedan så släpptes en ny version av det säkra operativsystemet OpenBSD. Denna nya 5.9-version har en ett antal intressanta nya säkerhetsfunktioner såsom pledge. Pledge är en ny typ av sandlåde-liknande funktionalitet som begränsar vad enskilda program får och inte får göra.

Pledge är enkelt att implementera i sitt program och följer ett regelverk som berättar om programmet får öppna nätverkskommunikation, skriva/läsa filer osv. Kontrollen sker sedan i kerneln att programmet håller sig inom ramarna.

Viktigt att notera är också att den nya pledge-funktionen inte är någon silverkula som löser alla problem. Men som många andra saker som OpenBSD tar till sig så höjer det säkerheten i det stora hela tillsammans med tekniker såsom W^X, ASLR och ProPolice.

För att demonstrera hur enkelt det är så titta på följande kodrader som begränsar vad kommandot ping får göra:

if (options & F_NUMERIC) {
  if (pledge("stdio inet", NULL) == -1)
     err(1, "pledge");
 } else {
  if (pledge("stdio inet dns", NULL) == -1)
     err(1, "pledge");
 }

Första argumentet till pledge()-anropet är en lista med tillåta anrop, se man-sidan för mer info om dessa:

  • OpenBSD 59 drwxorxstdio – Grundläggande systemanrop (syscalls) tillåts. Såsom close, dup, mmap, pipe osv.
  • inet – Tillåter nätverkskommunikation med anrop såsom socket, listen, bind, getpeername.
  • dns – Tämligen självförklarande. behövs enbart om användaren ej specificerar argumentet -n

Det var väl enkelt? Än så länge använder sig 453 av 707 program pledge, av OpenBSD:s grundinstallerade program. Även så använder sig använder 14 st externa program av pledge såsom mutt, chrome och i3.

Kan även rekommendera följande presentation av Theo de Raadt som förklarar pledge närmare: openbsd.org/papers/hackfest2015-pledge/

Jag testar OpenBSD under VirtualBox och det tar under 10 minuter att ladda hem samt komma igång med operativsystemet. Installationsförfarandet har blivit avsevärt mycket smidigare på senare år med exempelvis automatiskt partitionslayout.

Här kan du ladda hem install59.iso som du bränner ut eller startar upp din virtuella maskin med: ftp.eu.openbsd.org/pub/OpenBSD/5.9/i386/install59.iso

Jag har även skrivit tidigare om att OpenBSD ersatt sudo med doas, läs här.

Andra intressanta funktioner i denna nya 5.9-version är:

  • ESP i IPSec stödjer Chacha20-Poly1305
  • W^X är nu helt forcerat i i386-kerneln
  • Säkerhetsfixar till LibreSSL, OpenSSH och OpenSMTPD
  • Miljövariabeln HOSTALIASES är borttaget från libc som säkerhetsåtgärd
  • Xen domU stöd så att OpenBSD lirar på Amazon EC2

Avslutningsvis så kan följande bild representera OpenBSD-utvecklarnas arbete med pledge (enligt Theo de Raadt själv):

pledge theo de raadt

Vad innebär en aktiv svensk cyberförmåga?

cyberförmåga

SOFFUnder onsdagen höll Säkerhets- och försvarsföretagen (SOFF) ett lunchseminarium gällande aktiv svensk cyberförmåga.

Talare var följande tre personer:

  • Ingvar Åkesson, tidigare GD FRA. Numera PwC Ekelöw
  • Fredrik Wallin, FRA
  • Johan Sigholm, Försvarshögskolan (ersatte Lars Nicander)

Förutom ovanstående talare var det cirka 30 personer anmälda. Från företag och organisationer såsom Ekelöw, Bitsec, Regeringskansliet, Krigsrådet, KKrVA, Ganeida Security, CGI, SAS Institute, Försvarsmakten, Eltel Network, Inspektionen för strategiska produkter, Triop.

Första talare ut var Fredrik Wallin som berättade om skillnaden mellan CND, CNE och CNA:

  • CND, computer network defence
  • CNA, computer network attack
  • CNE, computer network exploitation

FRAFredrik berättade även om cybervapnet Stuxnet samt att FRA har möjlighet att följa angripare i deras framfart mot svenska intressen. Även så understrykte Fredrik vikten av samverkan mellan myndigheter.

Den andra talaren var Johan Sigholm som berättade vad FHS gör inom cyberområdet. Johan berättade att cyberövningar är ett bra sätt att träna upp förmågan samt att det lag som brukar ligga bäst till vid övningar är de som representerar privata sektorn.

Att man bör se datornätverksoperationer (förkortat på engelska till CNO) som ett Venn-diagram där alla tre ben samverkar:

cyberförsvar

 

Behöver din organisation hjälp med ett aktivt cyberförsvar? Kontakta Triop AB →

Sista talaren var Ingvar Åkesson, och tidigare talare refererade till Försvarsmaktens regleringsbrev 2016 där följande framgår:

Försvarsmakten ska med stöd av Försvarets radioanstalt och eventuellt övriga berörda försvarsmyndigheter analysera och redovisa hur Sveriges cyberförsvar, inklusive en förmåga att genomföra aktiva operationer i cybermiljön, kan utvecklas och förstärkas. Föreslås konkreta åtgärder ska dessa rymmas inom given ekonomisk ram. Uppdraget ska löpande återrapporteras till Regeringskansliet (Försvarsdepartementet). En första delredovisning ska ske den 17 juni 2016.

Ingvar delade även med sig av några privata reflektioner från sin tid som GD och vad som kan göras inom cyberarenan.

Några punkter som Ingvar tog upp:

  • Förebygga cyberangrepp
  • Upptäcka cyberangrepp
  • Blockera angriparen
  • Vilseleda angriparen
  • Exploatera angriparens infrastruktur
  • Försvåra. Exempelvis DDoS mot angriparens infrastruktur
  • Förhindra. Slå ut angriparens infrastruktur

Viktigt att notera också att det är en skillnad  mellan aktiv och offensiv cyberförmåga.

Jag passade även på att fråga Johan Östlund på Ganeida Security om Sveriges cyberförmåga:

Sveriges aktiva cyberförmåga är ett mycket intressant och viktigt område och jag tycker det är bra att ämnet berörs. Dess känsliga natur gör dock att det är väldigt svårt att föra en rak och öppen dialog med berörda myndigheter.

Vidare säger Johan:

Detta är något av ett dilemma eftersom jag är övertygad om att privata aktörer har mycket att tillföra i utvecklingen av denna kapacitet. Min uppfattning är att myndigheterna aktivt måste söka kontakt med det privata näringslivet för att få fart på detta.

Vad gäller innehållet i själva seminariet kan jag tycka att man kanske borde ha lagt kunskapsnivån något högre och fokuserat mer på praktiska detaljer. Nu blev det väldigt mycket grundläggande teori.

Uppmaning: Tvinga inte regelbundna lösenordsbyten

CESG Lösenord

Brittiska säkerhetsmyndigheten CESG släppte under 2015 en lösenordspolicy som frångår tidigare rekommendationer som säger att användare bör byta lösenord efter 30, 60 eller 90 dagar.

Regular password changing harms rather than improves security, so avoid placing this burden on users. However, users must change their passwords on indication or suspicion of compromise.

Citat från CESG Password Guidance

Och för några dagar sedan så släppte även CESG en djupare förklaring till varför myndigheten har ändrat sina rekommendationer.

Det beror främst på följande tre orsaker:

  • Ökad administration – Det är lättare att glömma bort lösenordet om användaren tvingas ändra lösenordet regelbundet.
  • Snarlika lösenord – Användaren väljer i många fall snarlika lösenord när denne tvingas ändra lösenord regelbundet.
  • Skriva ner lösenordet – Långa komplexa lösenord som måste bytas ofta är svåra att komma ihåg och användaren skriver då ner lösenordet i större omfattning.

CESG är en del av brittiska signalspaningsmyndigheten GCHQ. Här kan du ladda hem CESG lösenordspolicy i sin helhet:

CESG Lösenordspolicy

Badlock var inte så farlig som många trodde

Nu har information släppts om den beryktade Badlock-buggen. Det visar sig att den inte är så farlig som många hade förväntat sig, dvs mer en uppbyggd hype eller PR-trick.

Sårbarheten är en så kallad MITM-bugg och gör att angriparen måste sätta sig mellan klienten och SMB-servern. Även så handlar Badlock om en överbelastningsattack, DoS.

Microsoft ger den nivå ”Important”, dvs näst högsta nivån och buggen får CVE-2016-0128 samt CVSS nivå 7.1.

Intressant denna tisdag är även att Microsoft släpper sitt månatliga patchpaket som innehåller critical-fixar för Edge och Internet Explorer.
hype train

Badlock: Den 12:de April släpps ny allvarlig säkerhetsbugg

badlockDen 12:de April så kommer en ny sårbarhet att publiceras till Windows och Samba. Och säkerhetsbuggen har redan nu en webbplats, namn och logotyp.

Säkerhetsbuggen har fått namnet Badlock och vi kan gissa att det har någonting med behörighetskontrollerna att göra.

Buggen har upptäckts av den tyska utvecklaren Stefan Metzmacher som jobbar för Sambas utvecklingsteam.

Vi kommer att släppa mer information om buggen längre fram och håll även koll på webbplatsen: badlock.org

 

Analys och förmildring av överbelastningsattacker (DDoS)

Att analysera och förmildra en DDoS-attack kan göras genom ett antal olika metoder. Även finns det DDoS-attacker där motverkansmedel kan användas och således göra attacken mindre effektiv. Givetvis kan filtrering genomföras på ISP-nivå också, men det är ett relativt trubbigt verktyg.

Först och främst måste trafikdata i form av PCAP-format eller liknande samlas in, detta kan visa på ledtrådar såsom vilket verktyg som används eller om det är förfalskade paket (spoofade). Även så kan loggar på servern analyseras för att avgöra exempelvis om det är en eller flera stora bilder som laddas om och om igen. Finns inte råa paket kan även netflow-data användas och analyseras med verktyg såsom Argus.

🔎 Reklam: Triop AB analyserar och kan ta fram motverkansmedel mot DDoS

När vi vet vem avsändaren är så måste denna analyseras närmare, rör det sig om klientdatorer eller servrar med hög kapacitet? Om det är klientdatorer så rör det sig troligtvis om ett bot-nät med infekterade privatpersoner, är fallet högprestanda-servrar så kan det vara hyrda servrar direkt av antagonisten eller som är vanligare: hackade servrar.

Finns även fall där klienter kan surfa in på en speciell sida så exekveras ett javascript som hämtar en eller flera tunga filer om och om igen, denna attack är implementerad i bl.a JS LOIC.

Wireshark är ett bra verktyg att visuellt analysera nätverkstrafik men fungerar ej väl med större datamängder. Nedan exempel visar hur det ser ut i Wireshark när LOIC används:

LOIC Wireshark

Skärmdump från webbsida som har JS LOIC:

JS LOIC

Skärmdump från JS LOIC storebror LOIC. LOIC står för Low Orbit Ion Cannon:

Low_Orbit_Ion_Cannon

Ovan två exempel använder dock enbart den egna kapaciteten. För att uppnå mer skada på slutmålet så kan även antagonisten använda sig av en förstärkt DDoS (amplification DDoS attack).

Genom att skicka en mindre mängd data till ett antal servrar och sedan får dessa att svara med flertalet gånger större mängd data till en annan server så kan större effekt uppnås:

DDoS amplification attack

Vanligtvis används UDP baserade protokoll såsom DNS och NTP (MON_GETLIST) men även så har vi sett attacker där WordPress pingback används för att rikta om svar. Dessa servrar har också oftast en relativt god kapacitet mot internet till skillnad från många hemanvändare och privatpersoner.

I vissa fall så måste även reverse-engineering utföras för att förstå hur attack-koden fungerar.

Skärmdump från klienten som användes mot SpamHaus. Reverse-engineering utförd med Ollydbg:

SpamHaus DDoS

Genom att analysera klientkoden som körs så kan man även i slutändan troligtvis identifiera puppetmastern, som styr klienterna. Vanligt förekommande kontrollkanaler (C&C) är IRC, HTTP osv. Men inte helt ovanligt heller så använder den som utför kommandon någon form av anonymiseringsverktyg såsom Tor.

Att just LOIC används som exempel ovan är för att denna programvara användes för att slå ut flertalet myndighetssajter år 2012.

DDoS-attack mot mediasajter

Igår Lördag strax innan kl 20 på kvällen så genomförde någon en DDoS-attack mot flertalet stora svenska mediasajter. Sajter såsom Aftonbladet gick inte att nå på över en timme, och det är ännu oklart exakt vilka sajter som stod som mål.

Attacken var tydlig på de grafer som är publikt tillgängliga från Netnod. Och det vi ser nedan är datatrafik som kommer från ryska internetoperatörer:

Netnod DDoS
Sammanställning av @SandraForesti

Att hyra någon att utföra DDoS-attack är inte speciellt dyrt och det som händer är att operatören troligtvis börjat att filtrera trafiken. Tittar vi via Telias looking-glass i Moskva så går det inte att nå Aftonbladet just nu via Telia i Ryssland.

Priserna för att hyra en DDoS-attack på svarta marknaden varierar en hel del men här är några exempelpriser:

booter-prices

 

Bakom attacker står troligtvis servrar med bra kapacitet som blivit hackade via WordPress, standardlösenord eller forcerade lösenord. Attacker tidigare mot bl.a. Regeringen använde JS LOIC men inte troligt i detta fall.

Med hjälp av trafikinspelning i PCAP-format exempelvis så skulle det gå relativt snabbt att ta reda på hur attacken utfördes. Även kan det vara möjligt att skapa motverkansmedel mot attacken om man vet i detalj hur den fungerar.

Reklam: Anlita Triop AB för att analysera DDoS-attacker

Sist men inte minst så är det också viktigt att skriva något hur mediasajters webb är uppbyggd. För att stå emot en attack som denna så bör anycast användas, och det finns flera leverantörer såsom Akamai, CloudFlare och Amazon CloudFront som kan leverera detta.

Även kan följande skrift vara bra att läsa med jämna mellanrum:

MSB Att hantera överbelastningsattacker
MSB Att hantera överbelastningsattacker