Ett flertal sårbarheter uppdagade i OpenVPN

OpenVPN har utsatts för ett antal olika oberoende granskningar och jag har skrivit om några av dessa. Nu har även en person vid namn Guido Vranken fuzzat OpenVPN och identifierat en hel del bunt med säkerhetsbuggar.

För att citera Guido:

I’ve discovered 4 important security vulnerabilities in OpenVPN. Interestingly, these were not found by the two recently completed audits of OpenVPN code

Att fuzza OpenVPN var dock inte helt trivialt. Bland annat för att OpenVPN anropar externa binärer via execve samt att koden är full av ASSERT:s.

För fuzzing användes LLVM libFuzzer tillsammans med AddressSanitizer (ASAN), UndefinedBehaviorSanitizer (UBSAN) och MemorySanitizer (MSAN).

Buggarna har fått följande CVE:er: CVE-2017-7521, CVE-2017-7520, CVE-2017-7508, CVE-2017-7522.

Uppgradera till OpenVPN version 2.4.3 som innehåller säkerhetsfixar för ovan sårbarheter.

Surfa anonymt med nya Tails 3.0

För några dagar sedan så släpptes version 3.0 av det anonyma och säkra operativsystemet Tails. Tails är en plattform som baseras på Linux och underlättar för dig som vill vara anonym och säker. Anonymiteten uppnås genom en integration med Tor och dess Tor Browser.

Stöd för 32-bitarsdatorer har också försvunnit, detta på grund av att säkerhetshöjande tekniker såsom PIE, Position-independent executable (vilket ger ASLR) ska fungera optimalt.

Flertalet mjukvaror är uppgraderade till nya versioner:

  • Tor Browser är uppgraderad till 7.0.1
  • KeePassX från 0.4.3 till 2.0.3.
  • LibreOffice från 4.3.3 till 5.2.6
  • Inkscape från 0.48.5 till 0.92.1
  • Audacity från 2.0.6 till 2.1.2
  • Enigmail från 1.8.2 till 1.9.6
  • MAT från 0.5.2 till 0.6.1
  • Dasher från 4.11 till 5.0
  • git från 2.1.4 till 2.11.0

Även så baseras denna nya version 3.0 på Debian 9.0 kodnamn Stretch. Förutom en ny version av Debian så har dialogrutan för uppstart fått sig ett upplyft, som numera ser ut så här:

Om du vill konfigurera ett administratörslösenord (root) så går det att göra genom att trycka på + tecknet nere i vänstra hörnet och då får du upp följande:

Här kan du se en kort video där jag testar Tails 3.0:

För samtliga nyheter sam nedladdning av ISO-fil se följande länk:

https://tails.boum.org/news/version_3.0/index.en.html

GDPR och kryptering

GDPR

En sökfråga som dyker upp då och då dyker upp här på Kryptera.se är GDPR och kryptering. Så varför inte ta tag i detta och ställa några frågor till Jonatan Seeskari som är specialist på GDPR och jobbar på Advokatfirman Lindahl.

Jonatan skriver följande gällande GDPR och kryptering:

”GDPR ställer inte absoluta krav på kryptering av personuppgifter. Det nya regelverket innehåller dock omfattande krav på säkerheten i samband med behandling av personuppgifter, särskilt när det kommer till känsliga uppgifter (t.ex. hälsa).

Som du kanske känner till så finns det också nya koncept kring ”inbyggt dataskydd” och ”dataskydd som standard”. I grunden kan kryptering användas som ett verktyg av flera tillgängliga för att uppnå kraven på sådana tekniska och organisatoriska åtgärder som säkerställer en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen av personuppgifterna.

Krypterade personuppgifter kan även underlätta hanteringen av incidentrapportering och behandling av personuppgifter för nya ändamål i och med att GDPR innehåller vissa undantag för dessa situationer – under förutsättning att personuppgifterna är krypterade.”

Tittar vi vidare förordningstexten för dataskyddsförordningen så förekommer ordet ”kryptering” tre gånger:

Artikel 6

Laglig behandling av personuppgifter

”Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.”

Avsnitt 2 – Säkerhet för personuppgifter

Artikel 32

Säkerhet i samband med behandlingen

”a) pseudonymisering och kryptering av personuppgifter,”

Artikel 34

Information till den registrerade om en personuppgiftsincident

”a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.”

Tidning avslöjade visselblåsare

Tidningen The Intercept publicerade igår en NSA-rapport med klassificeringen TOP SECRET. Rapporten är på fem sidor och beskriver de cyberattacker som ryssland utförde mot USA i samband med valet förra året.

Dokumentet som läckt har scannats samt publicerats av The Intercept. Detta dokument innehåller spårningskoder i form av små prickar som många skrivare automatiskt lägger till, se här:

Detta är välkänt och uppmärksammat av exempelvis organisationen EFF. Det finns även en mjukvara för att avkoda dessa prickar och något som flertalet personer på Twitter uppmärksammat samt Robert Graham:

Och som du ser ovan så får vi ut när utskriften genomfördes samt vilket serienummer skrivaren som skrev ut det läckta dokumentet som The Intercept publicerat. Den som läckt dokumentet heter WINNER och enligt följande arresteringsorder så jobbade hon som konsult åt en amerikansk myndighet i Georgia.

Nu är PCILeech 2.0 släppt

Svensken Ulf Frisk slog igenom stort på den internationella it-säkerhetsscenen förra sommaren med sitt verktyg PCILeech som underlättar Direct Memory Access (DMA)-attacker. Verktyget släpptes och förevisades i samband med DEF CON 24 samt Sec-T.

D.v.s. attacker som utnyttjar DMA över fysiska anslutningar till datorn såsom FireWire, CardBus, ExpressCard, Thunderbolt, PCI, eller PCI Express. Av dessa stödjer PCILeech ExpressCard, Thunderbolt och PCIe.

Jag tog ett snack med Ulf och passade på att ställa några frågor:

Vad har hänt sedan förra året?

Jag har uppdaterat PCILeech kontinuerligt sedan det släpptes på DEF CON för snart ett år sedan. Det gäller att hålla både signaturer och attacktekniker uppdaterade.

Apple har dessutom patchat EFI för att PCILeech inte längre ska kunna läsa ut lösenordet till diskkryptot FileVault2 från låsta macar (CVE-2016-7585).

Vad är nytt i PCILeech 2.0?

Den största nyheten i PCILeech 2.0 är att det möjligt att mappa både målsystemets filsystem och dess minne som fil. Klicka runt i filsystemet och kopiera intressanta filer, eller använd din favoriteditor till att ändra direkt i både minne och filer på filsystemet. Det är t.ex. möjligt att köra volatility direkt mot minnet.

PCILeech behöver åtkomst till målsystemets kernel, just nu Windows, macOS och Linux, för att det ska fungera. PCILeech även fått stöd för hårdvara som klarar 64-bitars DMA – något som tidigare inte varit möjligt. Hårdvaran är tyvärr inte publikt tillgänglig riktigt ännu.

Planen är att utöka hårdvarustödet ytterligare framöver.

Här kan du tanka hem pcileech 2.0:

Demo hur Apple FileVault2-lösenordet från en Mac kan hämtas ut via DMA:

Kryptera.se-klistermärken

Hett från pressarna så kom just en omgång med finfina klistermärken. Jag ger givetvis bort dessa gratis till den som vill ha. De är relativt små (3.3×4.3 cm) och av transparent vinyl.

Här kan du fylla i ett formulär i Google Forms så skickar jag dem inom någon vecka:

  • Formuläret är stängt.

Så här fina blev klistermärkena:

Flertalet mediaspelare sårbara via undertexter

Cybersäkerhetsforskare vid företaget Check Point har identifierat sårbarheter i en mängd populära mediaspelare. Sårbarheten ligger i hur dessa mediaspelare hanterar filer med undertexter och kan ge en angripare RCE (Remote Code Execution).

Och att just använda undertexter som en attackvektor är intressant eftersom många antivirus-produkter inte söker igenom undertext-filer efter skadlig kod. Samt så har mediaspelaren VLC över 170 miljoner nedladdningar vilket gör den till ett attraktivt mål. Det finns även över 25 olika format för undertexter som dessa olika mediaspelare stödjer.

Följande mediaspelare har sårbarheter och uppdateringar har släppts:

Video som demonstrerar sårbarheten:

Snabbare fuzztester med taviso loadlibrary

Tavis Ormandy (taviso) på Google har släppt ett nytt verktyg som underlättar fuzztester av mjukvaror. Verktyget heter loadlibrary och gör att dynamiska bibliotek (DLL:er) från Windows kan köras på Linux.

Vid storskaliga fuzztester är det viktigt med så lite overhead som möjligt för att inte slösa resurser på onödiga saker. Därför utvecklade taviso verktyget loadlibrary för att enkelt kunna skapa små containers med Windows-DLL:er och sedan fuzza dessa DLL:er i en storskalig miljö. Google har även sedan tidigare utvecklat verktyget OSS-fuzz som just är ett ramverk för att snabbt och enkelt göra fuzzing av mjukvaror.

Fuzz-tester är en metodik för att skicka in mer eller mindre slumpmässig data på olika sätt och sedan se hur ett program beter sig. Och kan då upptäcka en mängd olika sårbarheter såsom buffer-overflows, integer underflows osv.

Taviso har med hjälp av loadlibrary identifierat en allvarlig sårbarhet i bl.a. Microsofts antivirus-motor vid namn Microsoft Malware Protection Engine, Mpengine.dll (Windows Defender).

Exempel på hur Mpengine kan köras på Linux för att genomsöka filen eicar.com efter Eicar-testvirus:

$ ./mpclient eicar.com
main(): Scanning eicar.com...
EngineScanCallback(): Scanning input
EngineScanCallback(): Threat Virus:DOS/EICAR_Test_File identified.

Till skillnad från Wine som kör hela Windows-applikationer så kör taviso-loadlibrarykod från enstaka DLL:er.

Här kan du ladda hem loadlibrary från Github:

Obligatorisk Dilbert:

Tyska hackergruppen CCC kringgår Samsung Galaxy S8 iris-skanner

Den beryktade tyska hackergruppen Chaos Computer Club (CCC) som grundades 1981 i Berlin har nu lyckats att kringgå Samsung Galaxys S8 iris-kontroll.

CCC har med hjälp av en digitalkamera och en 200mm lins fotograferat en persons öga (iris) och sedan skrivit ut denna på en laserskrivare. Efter detta så går det helt enkelt att hålla upp bilden och lägga på en helt vanligt kontaktlins på bilden för att kringgå mobiltelefonens autentisering (se video nedan).

 

Kostnaden för detta var inte hög och CCC meddelar:

The by far most expensive part of the iris biometry hack was the purchase of the Galaxy S8 smartphone. Rumor has it that the next generation iPhone will also come with iris recognition unlock. We will keep you posted.

Förutom att knäcka iris-skanners så anordnar även CCC konferensen Chaos Communication Congress.

Video nedan som förevisar sårbarheten:

Källa

10 rekommenderade åtgärder gällande WannaCrypt (Wcrypt)

Uppdatering: Gentilkiwi har släppt en WannaCrypt-decryptor här, men du måste ha den privata nyckeln från exempelvis en minnesdump. 

Här följer en lista på det som är bra att tänka på när det gäller WannaCrypt/WCrypt.

  1. Patcha samtliga system, specifikt ms17-010. Stäng av SMBv1, samt så har MS även släppt patchar till EOL-system såsom Windows XP.
  2. Vid detekterad infektion: Koppla bort enheten från nätverket, gör en minnesdump samt avspegling av hårddisken och gör en ny installation av Windows. Spegelbilden kan eventuellt användas senare till att återställa filer.
  3. Se till att det finns offline-backups. Och testa regelbundet att göra återställningar
  4. Stöd aldrig de kriminellas affärsplaner genom att betala.
  5. Se över Er BYOD-policy. Infekterad enheter kan anslutas till nätverket via VPN, Wifi eller andra sätt.
  6. Se till att blockera scripts, makro-filer, exekverbara filer etc i web-gateways samt E-mail gateways
  7. Blockera portarna 139 och 445 i brandväggar
  8. Se till att användare och administratörer har så låga behörigheter som möjligt
  9. Om inte har en incidenthanteringsplan. Upprätta en nu
  10. Informera all personal generellt om ransomware samt ovan punkter

Många av ovan rekommendationer gäller även andra typer av ransomware och således ej enbart WannaCrypt.

Minst två olika nya varianter av WannaCrypt har observerats inom de senaste dygnen. Bl.a. helt utan den ”kill-switch” domän som rapporterats om, som troligtvis används för att detektera om den skadliga koden går i en sandlåda.

Kan även rekommendera CERT-EU:s skrivelse som hittas här.

Meddelande till den som blir infekterad:

Bakgrundsbilden ändras till följande: