Att starta eget inom cybersäkerhet

Att starta eget företag

Jag har nu varit företagare i 12 år varav senaste sex åren på heltid inom cybersäkerhet. Jag tänkte i detta blogginlägg dela med mig av några erfarenheter som jag dragit som egenföretagare och som kanske kan hjälpa dig om du vill köra eget inom cybersäkerhet.

Först och främst så finns det inget optimalt tillfälle att starta eget, även om vi nu är mitt i en COVID-19 pandemi så skulle jag inte avråda någon från att starta eget. Kompetens inom cybersäkerhet är otroligt eftertraktat.

Och glöm inte att våga fråga om tips och råd från personer som kört eget företag eller som varit företagare länge.

Börja i liten skala

Se över dina möjligheter att dra ner på ditt ordinarie dagsjobb eller om du har möjlighet att köra eget på kvällar eller helger. Detta för att testa och se hur det är att vara egenföretagare med allt som det innebär.

Det blir så klart lite av ett moment-22 problem också eftersom att du inte kan avsluta ditt ordinarie jobb innan du har uppdrag så du klarar dig. Men jag rekommenderar att du har en privat buffert så du klarar dig runt sex månader utan uppdrag.

Gräv också där du står: Vilka organisationer har du kontakt med och vad är det unika med just din kompetens. Men glöm inte heller att som företagare så måste du även vara bra på att kommunicera, dokumentera och eventuellt sälja (din egen kompetens).

Hitta partners

Ensam är inte stark, hitta företag som du kan jobba med och använd ditt kontaktnät. Men gå inte på massor av onödiga möten som äter upp all din tid. Det ska ske i rimliga mängder och försök att vara lite selektiv med vem du träffar när.

Hitta andra mindre företagare och samarbeta med dessa så kan ni ta större affärer och konkurrera mot större företag.

Uppdrag är allt

Att ta in uppdrag och leverera är mycket viktigt. Var lyhörd och se vad din kund vill ha hjälp med och leverera det kunden vill och lite till. Undersök vad konsultförmedlare har för uppdrag ute och bevaka löpande nya uppdrag som kommer ut. I början så får man inte vara så kräsen när det gäller timarvoden och att uppdragen kanske inte matchar helt rätt med din profil. Observera dock att konsultförmedlare kan ta allt från 5% till 30% på timarvodet ut till kund.

Fakturera så fort uppdraget är slutfört och följ upp att fakturorna betalas i tid.

Du kanske är jätteduktig på reverse-engineering eller IT-forensik men uppdragen i Sverige inom områden som dessa växer inte på träd. Men med tiden så kanske du kan bygga upp ditt nätverk och enbart pyssla med ett smalt område. Internationellt är det dock en annan femma, men att sälja cybersäkerhet handlar om att bygga upp ett förtroende över tid.

Timarvodet på en konsult inom cybersäkerhet ligger mellan 1100kr och 1900kr exkl moms. Vissa kunder vill ha fastpris och vissa vill betala löpande. Att räkna på fastpris kan vara klurigt, så se till att inhämta mycket underlag när du räknar på fastpris. Speciellt om det är ett längre uppdrag på större summor.

Håll nere utgifterna

Det är lätt att börjar bränna pengar på företaget när du fått din första faktura betald. Men försök att hålla nere utgifterna till mer eller mindre noll åtminstone första 6-12 månaderna. Undvik utgifter såsom laptops, tjänstebil, mobiltelefoner, böcker, licenser, utbildningar osv. Ta ut minimalt med lön och se till att företaget flyger innan du tar på dig kostnader.

Vissa saker bör man dock inte kompromissa över såsom företagsförsäkring, se även till att du har en reseförsäkring eftersom mycket av det du gör som konsult går under reseförsäkringen.

Ny zero-day i Chrome

Google rapporterar om att en ny zero-day utnyttjas i Google Chrome, den har fått CVE-2020-15999 och utnyttjas en brist i freetype. GNU FreeType är ett open-source projekt som används av fler projekt än Chrome och sårbarheten är fixad i freetype version 2.10.4.

Men för en angripare att utnyttja en sårbarhet i Chrome så måste även sandlådan brytas ur, en så kallad ”sandbox escape”. Och det upptäckte även Google att angriparna som utnyttjade freetype-buggen gjorde, en helt ny sårbarhet i Windows-kärnan. Den har fått CVE-2020-17087, se även här.

Google uppger även att utnyttjandet av denna kedja av sårbarheter inte har något med valet i USA att göra. En fix till Windows-buggen beräknas släppas 10:e November.

Kernel-buggen utnyttjar det faktum att Windows Kernel Cryptography Driver (cng.sys) har \Device\CNG som exponeras mot Chrome och följande IOCTL: 0x390400 utnyttjas. För denna bugg uppger google:

We have evidence that this bug is being used in the wild. Therefore, this bug is subject to a 7 day disclosure deadline

Ben Hawkes som är chef för Google Project Zero som skriver följande på Twitter:

Några kommentarer om intrånget mot Gunnebo

Uppdatering 1: Se längre ner.

Uppdatering 2: Brian Krebs gick redan ut i Feb/Mars och kontaktade Gunnebo efter att en server som tillhör dem stod exponerad ut mot internet med RDP-öppet. RDP är ett protokoll som möjliggör fjärradministration, och enligt Brian så var lösenordet password01. Dock är det oklart om det var via denna RDP-exponering som angriparna tog sig in.

Jag tänkte kommentera några saker gällande intrånget hos säkerhetsföretaget Gunnebo och hur denna typ av grupperingar arbetar.

Först och främst så är det enbart en sak som gäller för dessa antagonister: Pengar. De gör detta enbart för ekonomisk vinning, men Sverige som land drabbas på många olika sätt. Ritningar och information om känsliga system hos myndigheter såsom Försvarsmakten, FRA och Riksbanken kan i detta fall ha läckt ut. Det är rätt av Gunnebo att inte betala lösensumma till utpressarna, jag rekommenderar att aldrig göda denna typ av illegal verksamhet. Gunnebo kan själva också drabbas så klart, på flertalet sätt såsom mindre orderingång, prestigeförlust, negativ aktiekurs osv.

För organisationer som jobbar med leverantörer och underleverantörer såsom Gunnebo gäller det att dela med sig av minimalt med information. Efter uppdraget är slut eller upphandlingen är avklarad är det viktigt att gallra och radera information. Det gäller även eventuella backuper, mail-lådor osv där känslig information också kan sparas under en längre tid.

Intrånget genomfördes mest troligt på följande sätt:

En eller flertalet anställda får riktad E-post under längre tid där budskapet finjusteras till just att träffa deras organisation.

Mailet innehåller en bifogad fil alternativt en länk till en bifogad fil där mottagaren uppmanas att öppna filen. Denna fil innehåller någon typ av RAT (Remote Access Trojan) som inte upptäcks av antivirus-program.

Angriparen får nu ett initialt fotfäste inom Gunnebo och kan börja utforska system och behörigheter. När angriparen är väl innanför det yttre perimieterskyddet så har de flesta organisationer ett något sämre skydd och separation.

Detta är en kritisk punkt: Om organisationen har väl fungerande sensor-system så fångar dessa upp avvikande aktivitet hos användaren eller systemet. En SOC (Security Operations Center) kan fånga upp händelser när angriparen försöker eskalera rättigheter och genomföra lateral movements (sidorörelse?). Organisationen måste då snabbt isolera systemet och genomföra IT-forensik och Threat Hunting med ett EDR-system (Endpoint detection and response). Även kan kommando-kanalen (C&C) fångas upp med ett system som tittar och analyserar nätverkstrafiken, samt själva exfiltrationen som i detta fall handlade om 7.6TB som skickats ut ur nätverket.

Desto längre tid angriparen kan vara i nätverket och utforska desto mer system kan de erhålla tillgång till och sno information från.

Du bör även testa denna förmåga med återkommande annonserade och oannonserade tester. Hela flödet samt inviduella tester såsom phishing-tester mot personal, som förhoppningsvis utbildas löpande i detta.

Utpressarna har troligtvis krypterat delar eller stora mängder med information hos Gunnebo. Därför är det också viktigt att ha backup och testa dessa rutiner kontinuerligt.

Mount Locker som ligger bakom attacken mot Gunnebo arbetar troligtvis med flertalet andra hacker-grupper som tillgodoser den initiala intrångsvektorn. De ger sig på större organisationer såsom börsbolag som har möjlighet att pynta upp över 10 miljoner SEK i lösensumma.

Cybersäkerhet är inte lätt och måste få kosta tid, pengar och resurser

Ledningen måste vara med på tåget och tillgodose att detta finns avsatt och prioritera just detta. Distansarbete i samband med COVID-19 gör också att hotbilden förändras och VPN används i större utsträckning, jag återkommer med ett separat blogginlägg om detta.

Här är en lista med 861 andra organisationer som blivit utsatta av ransomware av 18 olika ransomware-grupperingar:

Uppdatering:

En annan aspekt i det hela att Gunnebo även utvecklar mjukvara till deras fysiska säkerhetssystem. En väl placerad bakdörr i denna mjukvara gör att en angripare kan ta sig förbi det fysiska skyddet.

Från darknet (Tor .onion) så kan man se följande skärmdumpar (källa)

Och den som vill djupdyka närmare när det gäller den typ av skadlig kod som troligtvis riktats eller använts mot Gunnebo kan se mer på Google-ägda VirusTotal.

Hotlandskapet 2020

Den europeiska säkerhetsmyndigheten ENISA har precis släppt rapporten över cyberhotlandskapet 2020, detta är den åttonde gången de släpper Threat Landscape Report (ETL).

Följande infografik tycker jag bra representerar den statistik som är underlag för ENISA:s bedömning av Threat Landscape 2019-2020:

Rapporten pekar på att COVID-19 gjorde att många organisationer snabbt var tvungen att skynda på sin digitala transformering och därmed så förändrades också hotbilden och de utmaningar som många som jobbar med cybersäkerhet ställs inför.

Den största motiveringen bakom cyberattacker är finansiella motiv samt så är det ransomware som kostar organisationer mest pengar. Fler och fler organisationer genomför förebyggande arbete i form av Cyber Threat Intelligence (CTI).

Egentligen så är det inte en enda rapport som ENISA släpper utan sju stycken olika som riktar sig mot olika målgrupper:

  • THE YEAR IN REVIEW
  • CYBER THREAT INTELLIGENCE OVERVIEW
  • SECTORAL AND THEMATIC THREAT ANALYSIS
  • MAIN INCIDENTS IN THE EU AND WORLDWIDE
  • RESEARCH TOPICS
  • EMERGING TRENDS
  • LIST OF TOP 15 THREATS

Här kan du läsa respektive rapport från ENISA:

Test av Recorded Future Express

Svensk-grundade företaget Recorded Future har släppt ett browser-plugin som låter dig söka igenom IOC:er (Indicators of Compromise) på webbsidor.

Det kan först låta lite konstigt att man skulle vilja söka igenom webbsidor efter IOC:er men många SIEM-system i dagsläget såsom Moloch och Maltrail (som jag bloggat om tidigare) har webbgränssnitt.

Pluginet finns till Google Chrome, Edge samt Mozilla Firefox och för att använda det måste du registrera dig med en E-post och sedan erhålla en licensnyckel. Denna licensnyckel används sedan för att göra slagningar mot Recorded Futures databas över IOC:er såsom:

  • Checksummer över skadlig kod
  • Kolla upp CVE-nummer och prioritera sårbarheter
  • Domännamn som används för skadliga syften
  • Suspekta E-postadresser (kollar domänerna)

Pluginet är gratis att använda men viss data samlas in av Recorded Future (se nedan). Och har du en betalversion såsom Core eller Advanced så kan du länkas direkt vidare till din dashboard hos Recorded Future.

Nedan skärmdump visar på hur malware-kampanjen vid namn Gamaredon larmar på flertalet IOC:er:

Recorded Future Express
Källa: MalCrawler

Jag upplever det som om det mesta finns med hos Recorded Future och att täckningen är väl över 90% av alla kända IOC:er jag har kollat på.

Dock så finns ett antal URL:er inte med som IOC:er hos Recorded Future såsom denna:

  • message-office.ddns.net

Vilken uppenbarligen finns med på Maltrails IOC-lista över APT Gamaredon (pterodo, primitive bear). Tyvärr identifieras inte heller CVE 2017-0199 på sidan ovan hos MalCrawler. Men på en annan test-sida så identifieras CVE-2017-11882 korrekt (kanske har med bindestreck att göra?).

Här nedan är ett exempel där Checkpoint kollat på flertalet kampanjer och RF Express fångar upp alla IOC:er utmärkt. Du ser en röd eller gul prick till höger om checksumman som Chrome pluginet lägger till.

Här kan du testa Express:

Nmap 7.90

Nmap

Det känns som om det var år och dar sedan en ny version av Nmap släpptes. Och anledningen till att det tagit så lång tid är för att stort fokus har lagts på Npcap, version 1.0 släpptes för några veckor sedan.

Och nu när Npcap finns ute i en stabil version 1.0 så kan äntligen Nmap fungera precis som på Linux, men till Windows. Ncap används även av andra verktyg såsom Wireshark.

Nytt är även att det går att köpa en kommersiell licens av Nmap, kallad Nmap OEM Edition. Denna version är till för dig som vill skeppa med Nmap i din produkt eller system. Priserna ligger på cirka 100,000 SEK per år och med en startavgift på 340,000 SEK (minsta licensen).

Version 7.90 innehåller mer än 70 buggfixar och uppdaterade fingerprints för tjänster och operativsystem samt nya NSE-script. Tyvärr bara tre stycken nya NSE-script: dicom-brute, dicom-ping, uptime-agent-info.

Nytt är även att nmap-update är borttaget.

Här kan du ladda hem Nmap version 7.90:

Eller som jag rekommenderar: Att använda operativsystemets inbyggda uppdateringsfunktion.

FOI anordnar en tävling i cybersäkerhet

FOI – Totalförsvarets forskningsinstitut anordnar nästa helg en CTF, Capture The Flag. Det är en teknisk cyberövning som utförs över Internet och går ut på att plocka poäng. Övningen börjar klockan 14.00 på lördag den 26:de September 2020.

Stöd gärna mitt bloggande på Kryptera.se via Patreon

Områden som du kommer att hitta flaggor (poäng) inom är: Exploatering, Kryptografi, Reversering, Webb och Övriga. Du kan delta i grupp eller enskilt och den som redovisar flest poäng kl 22 vinner.

För att vara med så registrerar du dig själv eller din grupp på följande länk:

På ovan webbsida kan du även se vilka lag som registrerat sig samt en poängtavla.

FOI meddelar att namnet 20/20 CTF är dels inspirerat av det år som den första upplagan genomförs, dels en ordlek på den beskrivning av synskärpa som tagits fram av American Medical Association, 20/20 vision som ett mått på god syn 👁.

Zerologon: CVE 2020-1472 (CVSS:10)

zerologon

Uppdatering: Här finns det en exploit-PoC >

Uppdatering 2: Microsoft går nu ut och varnar att antagonister nu utnyttjar denna sårbarhet aktivt. Och publicerat följande IOC:er för exploits, SHA256:

  • b9088bea916e1d2137805edeb0b6a549f876746999fbb1b4890fb66288a59f9d
  • 24d425448e4a09e1e1f8daf56a1d893791347d029a7ba32ed8c43e88a2d06439
  • c4a97815d2167df4bdf9bfb8a9351f4ca9a175c3ef7c36993407c766b57c805b

Sårbarheten som fått smeknamnet Zerologon och med CVE 2020-1472. Har en högsta möjliga CVSS score på 10 av 10. Detta gör den synnerligen intressant.

Sårbarheten går ut på att använda Netlogon Remote Protocol (MS-NRPC) mot Windows domänkontrollanten (DC) och sedan utnyttja en brist som gör att angriparen kan sätta datorlösenordet på DC:n till ett känt värde (använder en brist i implementationen av AES-CFB8). Och sedan erhålla domain-admin på domänen.

Bli månadssupporter till denna blogg via Patreon

Se bifogat whitepaper längre ner i detta inlägg.

Skärmdump på hur attacken utnyttjas (källa)

Företaget Secura har släppt ett python-script för att testa denna sårbarhet mot DC: https://github.com/SecuraBV/CVE-2020-1472

Beskrivning av scriptet:

”It attempts to perform the Netlogon authentication bypass. The script will immediately terminate when succesfully performing the bypass, and not perform any Netlogon operations. When a domain controller is patched, the detection script will give up after sending 2000 pairs of RPC calls and conclude the target is not vulnerable (with a false negative chance of 0.04%).”

För att åtgärda detta rekommenderas det att installera patcharna som släpptes 11:de Augusti 2020 samt sätta DC:n i enforce mode. Under Q1 2021 så kommer dock enforce mode att bli standard meddelar Microsoft. Registernyckeln för detta är: FullSecureChannelProtection.

Se mer här från Microsoft.

Whitepaper från Secura:

Projektet ​Fem små hus

Projektet ​Fem små hus är ett nytt intressant initiativ på uppdrag av TU-stiftelsen. Stiftelsen är relativt anonym för den som inte är insatt i internet-Sverige.

Stiftelsen för telematikens utveckling (TUstiftelsen) skapades 1996 samtidigt som II-stiftelsen, numera Internetstiftelsen. TU-stiftelsen är ägare till Netnod som bl.a. sköter om internetknutpunkter i Sverige och utomlands.

Projektet ​utförs i samarbete med ett antal olika företag, organisationer och myndigheter. Man har tagit fram en robust arkitektur som förstärker dagens infrastruktur för att uppfylla samhällets krav.

Arbetet med förslaget har bedrivits med låg profil under flertalet år men nu finns ett första resultat att ta del av (se länk nedan).

Namnet på projektet syftar till decentraliserade autonoma regioner som bättre ska klara oavsiktliga och avsiktliga incidenter och attacker. Likt denna bild:

Tanken är att det ska finnas ett finmaskigt nät med många redundanta vägar mellan varje så kallad region, vissa delar av denna infrastruktur kan finnas i dagsläget men kan behöva moderniseras. Projektet pekar också på vikten av diversitet i alla led såsom leverantörer för drift, underhåll, kommunikation eller materialförsörjning.

Detta har blivit extra påtagligt under COVID19-krisen då det kan vara svårt att få ut personal eller få tag på utrustning från vissa länder som tillverkar vitala komponenter.

Förslaget innehåller även stöd för att i samma infrastruktur driva lokala och nationella nät skyddade av stark kryptering, exempelvis för myndigheter. Stor vikt läggs även på IPv6 som bärare vilket jag tycker är bra.

Delar av detta projekt är även ett resultat av Särimner som jag skrev tidigare om. Där man även såg att många stödtjänster hos operatörer var centraliserade, vilket detta projekt omhändertar.

Vidare arbete

Man föreslår ett samordningskansli, testmiljö samt pilotprojekt för att driva projektet vidare. En kommunikationsarkitektur kan med fördel förfinas genom ett kansli som bryter ner projektet i mindre delprojekt, är något som föreslås.

Dock hittar jag inget om hur finansieringen ska lösas framöver men Patrik Fältström från Netnod uppger att tanken är att dels kommer TU-Stiftelsen hålla dokumenten uppdaterade, dels hoppas man att olika organisationer ska driva vidare och implementera olika delar.

Mer läsning hittar man på TU-stiftelsens Github-repo:

Transparens: Jag är ordförande i ISOC-SE som bildade Internetstiftelsen.