IT-säkerhetskonferens C2 17 – Eftermiddag

Detta är en sammanställning från IT-säkerhetskonferensen Command & Control 2017 eftermiddag. Förmiddagens sammanställning hittar du här

Keep the GDPR monster under control – direct from the field

(på Engelska)
Karen Lawrence Öqvist, VD och grundare för bolaget Privasee

Karen går igenom definitionen på vad som är personlig data. Hennes företag har tagit fram en metod som heter Privasee Method ”keep it simple” som består av ett antal principer för att jobba med GDPR.

Fritt översatt:

  1. Spara så lite data som möjligt. Och be om medgivande om det som sparas
  2. Datakvalitét
  3. Spara enbart enligt ett specifikt syfte
  4. Använd personlig data begränsat och enbart enligt syftet
  5. Säkerhetsåtgärder
  6. Öppenhetsprincip
  7. Princip för inblandning av användare

Säkerhet hos nya produkter och system inom Försvaret

Ulrika Evertsson Hansson, Head of Systems Security Audit Section på Försvarsmakten

Systemgranskningssektionen vid MUST granskar och bedömer säkerheten i och omkring IT-system. Ulrika påpekar att brister IT-säkerheten så påverkar det Försvarsmaktens förmåga att lösa uppgifter.

Signalskydd har mycket högre kvar på assurans och sekretess bl.a. för att de ska skydda rikets säkerhet upp till 95 år. Och FM ska inte bara hantera sin egen hemliga information, utan även andras såsom NATO och EU.

FM måste skydda sig mot andra statsaktörer med stora resurser. Det är ett stort arbete att hålla gamla system skyddade mot nya hot.

KSF – Krav på säkerhetsfunktioner beskriver det funktionella och assuranskrav som ställs på alla system som ska nyttjas för FM:s verksamhet.

Viktigt också enligt Ulrika: RÖS/TEMPEST, loggning och signalskydd. Komponenter granskas enligt olika nivåer från N1 till N4. MUST måste granska dataslussar och dioder extra mycket. Även nämner Ulrika ”secure supply-chain” och att N4 även innefattar kodgranskning och att få produkter har denna nivå.

Säkerhetsfunktioner

  • Behörighetskontroll
  • Säkerhetsloggning
  • Skydd mod skadlig kod
  • Intrångsskydd
  • Intrångsdetektering
  • Skydd mot obehörig avlyssning
  • Skydd mot röjande signaler (RÖS). TEMPEST = NATO

FM strävar åt att gå över till TEMPEST från RÖS.

Föryngring av säkerhetsbranschen

Moderator: Anne-Marie Eklund Löwinder (IIS) och Åsa Schwarz (Knowit)
Sponsorrepresentanter: Einar Lindquist (Advenica) och Calle Svensson (Bitsec)

En diskussion hur vi kan föryngra branschen och en presentation av sponsorerna samt varför de har valt att sponsra studenter med biljetter till C2’17. Gemensamt för samtliga var att de uppmuntrade och gillade C2’17-konceptet (läs mer här).

Agil juridik

Caroline Sundberg, advokat på advokatfirman Delphi

Caroline Sundberg, advokat på advokatfirman Delphi

Först beskriver Caroline vad agil utveckling är: mindre och kortare leveranser. Man kan även ändra sig på vägen. Man har ingen spec från början ”vi ska bygga exakt det här”.

Agil utveckling är eg. inget nytt men det är ett ökat intresse. Några vanliga metoder är Scrum, FDD, DSDM, Crystal, Lean Software Development osv.

Vanligaste misstag är att man har för bråttom samt att man använder avtal för vattenfallsmodellen för agila projekt.

Minimikrav på agila projekt bör innefatta reglering av nyckelpersoner, givetvis går det dock inte att förhindra föräldraledighet etc. Även så bör uppsägning av projektet utan skäl finnas. Immateriella rättigheter är också otroligt viktigt, speciellt vid agil utveckling.

Ska man tillåta Open Source i utvecklingen? Kontroll på vilken extern kod som införs.

Minimikrav bör även innefatta sekretess, hantering av personuppgifter, krav på dokumentation, krav på kunden samt kvalitetskrav.

Förändringsledning: Hur får vi alla engagerade i säkerhet?

Anna Borg, senior säkerhetskonsult på Knowit
Eva Esselin Leander, leg. organisationspsykolog och seniorkonsult på Knowit

Vi behöver förflytta oss framåt mot någonting som vi inte har en aning om. Som människor i vår natur går vi tillbaka i en komfortzon. För att utvecklas behöver vi passera gränsen och känna oss lite rädda, då är vi på topp som människor. Helst bör vi gå utanför vår komfortzon minst dagligen.

Det bör så klart inte gå för långt, vi ska inte känna oss för obekväma. För då får det motsatt effekt. Exempelvis när det gäller General Data Protection Regulation (GDPR) så väljer tyvärr många att sätta ner huvudet i sanden.

För att genomföra förändringar så handlar det först om att skapa rätt förutsättningar, sedan engagera hela organisationen och sist förankra och driva vidare förändringen. Tillvarata även medarbetarnas kompetens som en resurs för att hitta bättre lösningar samt gemensam utveckling så känner fler inom organisationen ansvarstagande och helhetsförståelse.

Storgruppsintervention är även att rekommendera. Även så går talarna igenom en involveringsprocess.

Avslutande diskussioner

Under sista passet så var samtliga talare på scenen. Det diskuterades bl.a. Polisens arbete med att nå ut med IT-säkerhetsinformation till samtliga 29000 medarbetare. Även så påpekade Anne-Marie om att arbetsgivarvarumärket blir viktigare och viktigare vid rekrytering.

Det diskuterades även om politiska val samt IT-säkerhet runt dessa. Sist men inte minst så frågades det om reglering i form av exempelvis GDPR är bra och samtliga tyckte att det var bra.

C217 samtliga talare

IT-säkerhetskonferens C2 17 – Förmiddag

Detta är en sammanställning från IT-säkerhetskonferensen Command & Control 2017 förmiddag. Eftermiddagens sammanställning hittar du här

C2 17 har en PANIK-knapp
Klart det finns en PANIK-knapp

Dagens IT-säkerhetskonferens Command & Control ’17 börjar med mingel och frukost samt kaffe i den underbara lokalen Bygget och jag träffar på gamla och nya bekanta i branschen. Efter kaffe och smörgås håller dagens moderatorer Anne-Marie Eklund Löwinder och Åsa Schwarz en introduktion, formalia och genomgång av dagens program.

Kontrollen över internet

Anne-Marie Eklund Löwinder, CISO på IIS

Anne-Marie Eklund Löwinder

Anne-Marie berättar att .se-zonen var den första i världen som började att använda DNSSEC. Olika svagheter i DNS har successivt lett till att DNSSEC har ökat sin penetration bland toppdomäner.

Efter många och långa påtryckningar mot ICANN så blir rotzonen signerad vid den första ceremonin Juni 2010. Anne-Marie berättar om ICANN och IANA som sköter den operativa driften av systemet för signering. Det sker även kontroller i enlighet med 27002:2013 samt NIST SP 800-53 “High Impact system”.

Även så berättar Amel om ansökningsförfarandet och hur hon fick ansöka om att bli en av personerna som har hand om nyckeln för rotzonen. Tre personer skulle bl.a. gå i god för att hon var en bra person. Fysisk säkerhet vid själva ceremonierna är otroligt viktig och åtskilliga lager av fysisk säkerhet finnes.

aep används som hårdvarusäkerhetsmodul (HSM) tillsammans med smarta korta, 7 st TCR:er används.

Alla nycklar har ett bäst-före-datum och om problem uppstår så att nyckelpersoner inte kan ta sig till ceremonin så finns det tre olika fallback-rutiner. Minst tre av sju krypto-officerare måste ha möjlighet att närvara.

Ansvar är bästa försvar – styrkan i de tre försvarslinjerna

Karin Winberg, internrevisor på Riksbanken 

Karin Winberg

Föredraget handlar om ett ramverk som baseras på COSO:s principer om kontroll och uppföljning. Karin delar upp detta i tre försvarslinjer:

  1. Verksamheten och stödfunktioner – 90% av alla medarbetare. Rapporterar till VD
  2. Riskkontroll, regelefterlevnad – 9% av alla medarbetare. Övervakar 1:a linjen samt rapporterar till VD och styrelse
  3. Internrevision – 1% av alla medarbetare. Utvärderar 1 & 2 samt rapporterar till styrelse

Två samt tre är komplement till 1:an. Även förutsätter detta att det finns en VD, ägare samt styrelse. Olika linjer ovan rapporterar även till olika delar, dvs olika rapporteringsvägar. Finns en fjärde försvarslinje som kan vara en extern revisor eller tillsynsmyndighet.

En annan viktig del är hur oberoende olika delar är. Efter denna genomgång går Karin igenom olika nyckelkontroller samt roller och ansvar inom de olika linjerna.

Karin Skarp

Svenskt it-säkerhetsindex

Karin Skarp, Key Account Manager inom marknadsområdet National Security på Advenica

Berättar om en metod (index) för att mäta en organisations mognadsgrad inom cybersäkerhet. Framtaget tillsammans med Dataföreningen, SIG Security, Stockholms Universitet samt Radar. Även om digital ansvar och dess tre hörnstenar som handlar om Digital Functionality, Digital Privacy och Digital Sustainability.

Radar har tagit fram en sammanställning när det gäller olika branscher och dess mognadsgrad och detta återfinnes även i en rapport där svar från 266 organisationer återspeglas. Majoriteten av alla organisationer ligger runt 45-50% på skalan förutom bank och finans som ligger bättre till.

När det gäller kommuner så ligger dom dåligt till när det gäller risk samt mognad. Dock tycker Karin att detta är felaktigt, säg exempelvis om liv står på spel när det gäller vattenrening?

Indexet hjälper till att se var Er organisation är nu och vart ni är på väg.

Länk: https://radareco.se/radar-sakerhetsindex/ 

 Informationssäkerhet 3.0 – när säkerhet blir en del av Polisens verksamhet

Josefine Östfeldt, it-säkerhetschef på Polismyndigheten

Börjar sitt föredrag med att visa bilden på ett inbjudningskort. Syftet är att visa på att säkerhetsorganisationen bör oftare vara inbjuden till olika delar av organisationers arbete.

IT-säkerhetsenheten vid Polisen är just nu 30 pers men kommer snart att bli 70 personer på grund av omorganisation. Polismyndighetens vision när det gäller it- och informationssäkerhetsarbete är att vara ett föredöme för andra myndigheter.

I takt med digitalisering av myndigheten så ökar också efterfrågan på enhetens arbete. Även arbetssättet förändras med exempelvis DevOps och mer agilt, där säkerhetsarbete behövs.

Josefines organisation går mot att jobba mer agilt och mer integrerat mot övriga organisationer inom Polisen. En agil organisation måste kunna jobba snabbt och kräver helt nya krav hur arbetet bedrivs.

  1. Ingen separation av it- och informationssäkerhet. Allt under en funktion men givetvis “Separation of duties”
  2. Säkerhetsfunktionen ska jobba nära verksamheten. Säkerhet är inget man lägger till på slutet.
  3. Riskbaserat it- och informationssäkerhetsarbete. 100% säkerhet är inte bra för en verksamhet, konstant förändring. Identifiera risken
    1. SOC/CERT
    2. Penetrationstester
  4. En mix av kompetenser. Ger bra synergier
  5. Bidra till att utveckla verksamheter. Tillför en ny dimension samt vara proaktiva och ta ansvar.

It-säkerhet i självkörande bilar

Christina Rux, Senior Service Architect, Connected Car IT Services på Volvo Cars

Ungefär 100-200 ECU:er uppkopplad på CAN-bussen i en bil. Man har även börjat att tala om att gå över till Ethernet internt i bilen. Just nu håller Volvo dock på att fundera på vad som ska in i bilar år 2025, för detta är något som planeras nu.

Christinas avdelning jobbar med uppkopplade tjänster såsom:

  • Volvo on call
  • Remote update service
  • Phone as key
  • Uber – Självkörande bilar
  • Zenuity – Definera funktioner för självkörande bilar tillsammans med Autoliv
  • Mobility – Ny enhet på Volvo
  • In car delivery. Leveranser direkt till bilen
  • Road friction indication. Meddelar till molnet hur väglaget är
  • Autonomous drive

Hon nämner även att det genomfördes 330 000 starter av motorvärmare på ett dygn via en app i mobiltelefonen.

När det gäller hur bilen är uppkopplad så är det via en telematikenhet med modem är uppkopplad via Wifi, bluetooth eller modem med SIM-kort.

Hackade bilar blev blev en stor realitet 2015  och hackers intresse för uppkopplade bilar förväntas öka. Ett dataintrång måste kunna stoppas på några minuter. Refererar även till Charlie Miller och Chris Valaseks arbete om att hacka Jeep Cherokee. Externa protokollet från bilen till molnet var samma som gick in på CAN-bussen. Även berättar Chrisina om hacket av Teslas bil och att en over-the-air uppgradering kunde lösa problemet utan att återkalla bilar.

Volvo har en privat PKI inom och utanför bilen. Autentisering och åtkomstkontroll av bilen, mobil-appar och web-lösningar. E2E security mellan bilen, molnet och appar.

Säkerhetsuppdateringar till WordPress

En ny version av WordPress har just släpps som åtgärdar ett antal olika säkerhetsbrister. WordPress är ett av världens vanligaste CMS och har cirka 60 miljoner installationer.

För några timmar sedan så släpptes version 4.7.1 som åtgärdar följande säkerhetsproblem:

  1. Remote code execution (RCE) in PHPMailer – Verkar inte gå att utnyttja i WordPress men som säkerhetsåtgärd så uppdateras den version av phpmailer som skickas med i WordPress.
  2. The REST API exposed user data for all users who had authored a post of a public post type. WordPress 4.7.1 limits this to only post types which have specified that they should be shown within the REST API. Reported by Krogsgard and Chris Jean.
  3. Cross-site scripting (XSS) via the plugin name or version header on update-core.php. Reported by Dominik Schilling of the WordPress Security Team.
  4. Cross-site request forgery (CSRF) bypass via uploading a Flash file. Reported by Abdullah Hussam.
  5. Cross-site scripting (XSS) via theme name fallback. Reported by Mehmet Ince.
  6. Post via email checks mail.example.com if default settings aren’t changed. Reported by John Blackbourn of the WordPress Security Team.
  7. A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing. Reported by Ronnie Skansing.
  8. Weak cryptographic security for multisite activation key. Reported by Jack.

För de flesta så uppdateras WordPress automatiskt men det är alltid bra att dubbelkolla så du har senaste versionen installerad.

Läs mer här eller ladda hem den senaste svenska versionen här: https://sv.wordpress.org/

Ryssland påverkade det amerikanska valet med hjälp av hackers

Amerikanska myndigheten DHS tillsammans med FBI släppte för några timmar sedan en teknisk rapport med titeln GRIZZLY STEPPE – Russian Malicious Cyber Activity.

Rapporten beskriver två hackinggrupper vid namn APT28 och APT29 samt deras tillvägagångssätt att angripa amerikanska intressen. Framförallt sådant som är relaterade till valet (APT = advanced persistent threat).

Med hjälp av fiktiv e-post (spearphising) så hackade APT28 ett amerikanskt parti och sedan exfiltrerade och släppte ut dokument publikt samt till press. Även den andra hackinggruppen APT29 har använt spearphising-attacker och skickat ut mail till över 1000 mottagare mot amerikanska intressen.

Min personliga bedömning är dock att konkreta bevis på att det är RIS (Russian Intelligence Service) som ligger bakom saknas. Detta framgår ej rapporterna, men förstår även att det är svårt att avhemliga information från exempelvis NSA.

Följande bild beskriver hur dessa två grupper jobbar med bl.a. X-Agent och X-Tunnel mjukvaran. Vi skrev senast om X-agent för några dagar sedan då den användes i en attack mot Ukraina.

Även så publicerar US Treasury en lista med personer som USA utför sanktioner mot. Den innehåller en del GRU-personer men även hackers.

Förutom ovan så finns det även flertalet IOC:er (indicators of compromise) där bl.a. tre svenska IP-nummer ska ha används för kontrollkanal eller på annat sätt vara inblandad i attackerna.

Troligtvis är detta hackade klienter eller servrar. Vissa även är eller har varit Tor-exitnoder:

95.215.44.115,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
153.92.126.148,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
185.86.148.111,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.148.227,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.149.223,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.149.97,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
185.7.34.251,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
85.24.197.4,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.

Registrerade enligt whois på Exalt, Netbrella Networks samt:

Yourserver.se is a trademark
of Makonix Ltd, registered at
Ulbrokas 23, Riga, Latvia, LV-1021,
EU VAT number LV40103214759

Hela listan med IOC:er hittar du på denna sida. Har tittat i mina egna system efter dessa IP-adresser och hittar tusentals med intrångsförsök samt legitim trafik.

Här kan du ladda hem rapporten från FBI och DHS National Cybersecurity and Communications Integration Center (NCCIC):

Allvarlig säkerhetsbrist i PHPMailer

Dawid Golunski från Legal Hackers har upptäckt en ny allvarlig säkerhetsbrist i det populära biblioteket PHPMailer som används av miljontals mjukvaror såsom WordPress, Drupal, 1CRM, SugarCRM, Yii och Joomla.

Samtliga versioner innan 5.2.18 är sårbara för denna RCE (remote code execution). I dagsläget har Dawid ej släppt några detaljer om denna brist men troligtvis så rör det sig bara om timmar innan sårbarheten börjar att utnyttjas på internet.

En förmildrande faktor är att du måste ha ett kontaktformulär som använder sig av biblioteket. Samt så får angriparen samma behörigheter som användaren som webbservern körs som.

Denna sårbarhet har fått CVE-2016-10033, läs mer här.

Uppdatering: Tittar jag närmare på den commit som åtgärdar säkerhetsproblemet så ser den ut så här:

if (!empty($this->Sender) and $this->validateAddress($this->Sender)) {
    $params = sprintf('-f%s', escapeshellarg($this->Sender));
}

Dvs escapeshellarg()-funktionen läggs till. Troligtvis för att avsändaremail -f skickas med  ut till sendmail i commandline och gör det då möjligt att köra kommandon.

Uppdatering 2: Nu har Legal Hackers släppt en proof-of-concept exploit samt förklaring till sårbarheten. Och det är precis som vi anade ovan att extra data kan skickas vidare, dock inte helt enkelt som förklarat ovan:

Genom att skicka följande som avsändarepost:

”Attacker \” -Param2 -Param3″@test.com

Och detta skickas vidare till  PHPMailer (och även mail()) så exekveras sendmail lokalt med följande argument:

Arg no. 0 == [/usr/sbin/sendmail]
Arg no. 1 == [-t]
Arg no. 2 == [-i]
Arg no. 3 == [-fAttacker\]
Arg no. 4 == [-Param2]
Arg no. 5 == [-Param3"@test.com]

Exempelvis kan följande argument skickas med ovan för att skriva ut bodyn i ett meddelande till en fil som ligger i webbrooten:

-X/var/www/phpcode.php

Rysk statlig Android-trojan riktad mot ukrainska soldater

Amerikanska företaget CrowdStrike har tittat närmare på en Android-applikation som används av ukraniska soldater. Denna applikation underlättar hanteringen av kanonen 122 mm howitzer 2A18 (D-30) och beräknas ha 9000 användare.

Applikationen som går under namnet Попр-Д30.apk har utvecklats av en officerare inom den ukraniska militären. Nu har dock CrowdStrike upptäckt att APK:en innehåller FANCY BEAR X-Agent trojanen.

Aktören bakom FANCY BEAR-gruppen misstänks vara den ryska militära underrättelsetjänsten GRU (ГРУ).

Попр-Д30.apk md5: 6f7523d3019fa190499f327211e01fcb

Applikationen har ej funnits i Google Play-store och utvecklades mellan den 20 Februari och 13 April 2013.

Trojanen X-Agent som enbart används av FANCY BEAR även finns till iOS kan läsa av kontaktlistor, samtalshistorik, SMS samt internetdata. Även misstänks appen användas för att kartlägga truppförflyttningar och har troligtvis gett ryssland värdefull information vid annekteringen av Krim och Sevastopol.

Läs även: Appen som spelade en vital roll i det turkiska kuppförsöket

Skärmdump från appen:

Попр-Д30

Här kan du ladda hem rapporten om appen från CrowdStrike:

C2’17 – Ny spännande IT-säkerhetskonferens

Jag fick möjlighet att ställa några frågor till Åsa Schwarz som är en av initiativtagarna till den nya IT-säkerhetskonferensen Command & Control (C2) som går av stapeln den 17:de Januari 2017 i Stockholm.

Bland talarna på konferensen hittar vi bl.a Ulrika Evertsson Hansson som kommer att berätta om hur Militära underrättelse- och säkerhetstjänsten (MUST) aktivt arbetar med att få in it-säkerhet i hela systemutvecklingsprocessen och vilka säkerhetsfunktioner som måste omhändertas i Försvarsmaktens IT-system.

Anne-Marie Eklund-Löwinder, CISO på IIS kommer att berätta hur DNSSEC-roten är uppbyggd och säkrad med 7 st nycklar där Anne-Marie ansvarar för en av dessa nycklar.

Ovan två föredrag samt en mängda andra intressanta föredrag kommer att hållas under dagen, klicka här för om du vill se hela agendan.

Berätta vad Command and Control är för konferens?

Det är endagskonferens där vi får lyssna på några av Sveriges mest spännande företag och myndigheter. Vi har plockat ut aktuella ämnena inom it- och informationssäkerheten inför 2017. Några exempel är hur toppdomänen för internet förblir säker, hur Volvo arbetar med it-säkerhet i självkörande bilar och hur informationssäkerhet är en del av Polisens verksamhet.

Vilken målgrupp riktar ni Er till?

Främst till personer som under 2017 kommer att arbeta professionellt med it- och informationssäkerhetsfrågor. Vi kommer även ha ett antal studenter på plats eftersom vi inom kort kommer ha ett en stort brist på experter inom området och måste locka nya till branschen.

Ser ni ett behov att fylla?

Den svenska föreläsningsscenen inom säkerhetsområdet har varit relativt homogen, där samma personer ständigt återkommer år efter år. Vi har plockat ut några av Sveriges främsta experter som inte synts lika frekvent men som har väldigt mycket att bidra med. De kommer ge nya tankeväckande infallsvinklar och kunskap. Vi har också länge funderat på varför mässor, konferenser och expertpaneler har så få kvinnor inom it- och informationssäkerhetsområdet.

Svaret man ofta får är att det inte finns några. Vi tänkte en gång för alla visa att det inte stämmer. Eftersom marknaden växer kraftigt måste vi se till att bli en attraktiv bransch för alla som är intresserade av säkerhet. C2’17 är helt enkelt ett naturligt led i att vi vill göra Sverige till en av världens mest dynamiska säkerhetsarenor.

Vilka höjdpunkter ser du själv på konferensen?

Jag ser mycket fram emot mycket är att lyssna på råd från en organisationspsykolog hur vi får våra medarbetare att förändra beteende och arbeta på ett säkrare sätt. Det kommer säkert också bli mycket intressanta samtal under lunchen och möjlighet att knyta nya kontakter vid kaffet.

Vilka är ni som anordnar konferensen?

Vi som arrangerar och står bakom denna konferens är en grupp personer som tillsammans vill verka för att höja it- och informationssäkerheten i Sverige. Genom att förändra föreläsningsscenen, media och rekryteringsprinciper vill vi skapa en av världens mest dynamiska säkerhetsarenor. Vi kallar oss själva för Kontrollgruppen. Du hittar medlemmarna här: www.c217.se/arrangor

Vad har ni valt för plats och varför?

Vi kommer att vara på Bygget Fest & Konferens på Norrlandsgatan 11 i Stockholm.

Anledningen är att lokalen ligger centralt och att vi har både konferens och mingelytor för oss själva. Vi tycker att kontaktskapandet och dialogen mellan åhörarna är lika viktig som själva föreläsningarna. Den gemensamma kunskapen och erfarenheten bland alla deltagare är minst sagt imponerande.

Hemlig dataavläsning med myndighetstrojaner

Statsminister Stefan Löfven höll tidigare i år ett presstal där han framförde följande:

Säpo berättar exempelvis att när de avlyssnat telefoner så kan de höra att när man närmar sig ett känsligt område då säger de som avlyssnas nu går vi över till Skype. Därför kommer regeringen att ge uppdrag till utredare att ta fram förslag på hur åklagarmyndigheten, Säkerhetspolisen och polismyndigheten kan använda hemlig dataavläsning för att avlyssna också den information som kan skickas genom krypterade kanaler.

Och Löfven fortsätter:

Med hemlig dataavläsning avses att de brottsbekämpande myndigheterna i hemlighet sänder en mjukvara, en så kallad trojan, till en dator eller en surfplatta. Man kan också ha en hårdvara placerad fysiskt i datorn och därigenom får den brottsbekämpande myndigheten besked om vilken information som finns i datorn och hur datorn används i realtid.

myndighetstrojanOch intressant är vad konsekvenserna av ett sådant lagförslag kan bli. Det kan innebära att myndigheter då har behov att införskaffa zero-days i exempelvis iPhones för att planera trojaner (implantat).

Det vill säga att utnyttja sårbarheter som ej är kända av tillverkaren (exempelvis Apple) och ej ännu åtgärdats. Men dessa sårbarheter upptäckts sällan av enbart en aktör och nyttjas och säljs troligtvis även till diktaturer samt kriminell verksamhet som i fallet med italienska Hacking Team.

Men zero-days är dyra och kan kosta åtskilliga miljoner kronor och därför är andra metoder mer effektiva såsom att injecera trojaner i nedladdade icke signerade mjukvaror eller ”evil maid” attacker där fysisk tillgång finnes.

Givetvis påverkas även den enhet där trojanen installeras och kan i värsta fall förstöra eventuella bevis och förändra den avlyssnades beteende.

Dock så anser jag att lagförande myndigheter måste ges möjlighet att använda en verktygslåda som är uppdaterad till 2000-talet.

Tittar vi ute i världen så har flertalet misslyckade bundestrojaner utvecklats (staatstrojaner) där Tysklands trojan felaktig implementerade krypto samt skickade ut information över landets gränser som gjorde det möjligt för andra länders underrättelsetjänster ta del av avlyssningen.

Den statliga utredningen om hemlig dataavläsning (Ju 2016:12) kommer att redovisas senast 13 november 2017 på följande webbsida.

Oberoende granskning av OpenVPN

OpenVPN är ett otroligt populärt verktyg för att skapa upp VPN-anslutningar och används av majoriteten av alla VPN-tjänster. Private Internet Access (PIA) med bl.a. Rick Falkvinge kommer att betala för en oberoende granskning av OpenVPN som leds av kryptologen Dr. Matthew Green. Matthew hade tidigare hand om den öppna granskningen av TrueCrypt. PIA är ett företag som tillhandahåller VPN-anslutningar och som använder OpenVPN

OpenVPN har funnits sedan 2001 och använder en variant på SSL/TLS som kanal för kommunikation och går att köra på operativsystem såsom Solaris, Linux, OpenBSD, FreeBSD, NetBSD, QNX, Mac OS X, iOS, Android och Windows från version XP.

PIA meddelar att efter granskningen är klar och OpenVPN åtgärdat eventuella brister så kommer rapporten att publiceras på deras hemsida.

Senast en sårbarhet uppdagades i OpenVPN var under 2016 då födelsedags-attacken Sweet32 som går mot 64-bits algoritmer såsom den som OpenVPN använder som standard, BF-CBC.

Och viktigt att notera är att OpenVPN används på både klienten och servern. Ett alternativ till OpenVPN är att köra stunnel eller IPSEC.

Uppdatering: Under tiden jag skrev denna artikel har två andra relaterade nyheter dykt upp:

  • Algo lyfts upp som ett nytt alternativ till IPSec och OpenVPN
  • OSTIF meddelar att de anlitar Quarks Lab för att också granska OpenVPN. Samma franska företag som tidigare granskade VeraCrypt

Nytt verktyg för att upptäcka Stuxnet-liknande attacker

The Volatility Foundation som står bakom det IT-forensiska verktyget Volatility genomförde nyligen en tävling där den som tar fram det bästa pluginet till Volatility vinner 16000 SEK samt utbildning.

Vinnaren i tävlingen blev Monnappa K A som skapade hollowfind som underlättar detektion av process hollowing. En metod som avancerad skadlig kod såsom Stuxnet och Taidoor använt sig av. Metoden går ut på att byta ut en legitim process såsom lsass.exe mot den skadliga koden och på så sätt försvåra för antivirus samt IT-forensiska undersökningar.

Jag måste så klart testa detta nya plugin och se om det är möjligt att detektera Stuxnet, och som tur var så finns det färdiga minnesdumpar på infekterade datorer. Just denna minnesdump kommer från boken Malware Cookbook.

Först laddar vi hem minnesdumpen och packar upp den samt kontrollerar vilket OS som den skapats från:

$ for a in {a..d}; do wget https://github.com/ganboing/malwarecookbook/raw/master/stuxnet.vmem.zip.a$a; done
$ cat stuxnet.vmem.zip.a* > stuxnet.vmem.zip
$ unzip stuxnet.vmem.zip
$ volatility -f stuxnet.vmem imageinfo
$ export VOLATILITY_PROFILE=WinXPSP2x86

Och sedan laddar vi hem pluginet och testar det:

$ git clone https://github.com/monnappa22/HollowFind.git
$ volatility --plugins=./HollowFind/ -f stuxnet.vmem hollowfind

Vi ser då att två stycken lsass.exe flaggats som suspekta:

Type: Invalid EXE Memory Protection and Process Path Discrepancy

Volatility med HollowFind-plugin

Det var väl enkelt? Skulle vi analysera vidare så skulle vi även identifiera att lsass.exe lyssnar på port 500 samt 4500 vilket också är ett avvikande beteende. Även om man jämför antalet inladdade DLL:er:

$ volatility -f stuxnet.vmem sockets
$ volatility -f stuxnet.vmem pslist
$ volatility -f stuxnet.vmem dlllist -p 1928|wc -l
35
$ volatility -f stuxnet.vmem dlllist -p 868|wc -l
15
$ volatility -f stuxnet.vmem dlllist -p 680|wc -l
64

Ett till plugin för att försöka identifiera skadlig kod följer med och heter malfind.  Ett annat intressant bidrag i tävlingen och som kom på tredje plats är “The Advanced Malware Hunters Kit”.

Mer om tävlingen och andra bidrag kan du läsa här.