Intervju med Martin som är kryptolog på MUST

MUST, Militära Underrättelse- och Säkerhetstjänsten

Jag fick möjlighet att ställa några frågor till Martin som jobbar som kryptolog på Militära underrättelse- och säkerhetstjänsten, MUST.

MUST ansvarar bland annat för att kravställa, granska och godkänna kryptosystem och IT-säkerhetprodukter med mycket höga krav på kvalitet och säkerhet. Alla kryptosystem som är avsedda att skydda det svenska rikets säkerhet måste godkännas av MUST och personer som Martin.

Just nu söker Martin ett antal olika kollegor, läs mer under följande länk:

Vad är det bästa med ditt jobb?

Att jag får möjlighet att arbeta heltid som kryptolog. Jag hade tidigt en förkärlek för kryptologiområdet. Redan när jag började mina studier funderade jag kring att bli kryptolog.

I mitt arbete får jag möjlighet att kombinera teori och spjutspetsforskning med ett gediget praktiskt kryptologiskt hantverk, samtidigt som jag upplever att mitt arbete är meningsfullt.

Vi bidrar på ett konkret sätt till att skydda rikets säkerhet. Även om väpnade konflikter lyckligtvis hör till ovanligheterna i vårt närområde bedrivs passiv inhämtning i form av exempelvis signalspaning kontinuerligt mot våra system. Även aktiva attacker av olika slag förekommer.

Vad kännetecknar ett bra krypto?

MGC Kryapp 301
MGC Kryapp 301, Bild: MUST

Ett bra och säkert kryptosystem kännetecknas i min mening först och främst av att det är lättanvänt och möter användarnas faktiska behov.

Kerckhoffs — en känd man med många principer — hade insett ovanstående redan år 1883 när han formulerade sin sjätte princip: ”Enfin, il est nécessaire, vu les circonstances qui en commandent l’application, que le système soit d’un usage facile, ne demandant ni tension d’esprit, ni la connaissance d’une longue série de règles à observer.” i sitt verk ”La Cryptographie Militaire”. (Fritt översatt till svenska)

Avslutningsvis, är det nödvändigt, givet de omständigheter som föranleder dess tillämpning, att systemet är enkelt att använda, och varken vållar själsspänning eller fordrar kännedom om en lång rad regler att efterleva.

Det är viktigt att användarna har en erforderlig utbildning, att det finns regelverk och instruktioner som är enkla att följa och som säkerställer ett korrekt handhavande av systemet, och att det sker kontroller av att dessa regelverk och instruktioner efterlevs, för att ett system ska vara säkert. Genom upplysning bygger vi säkerhet.

Yves Gyldén, en känd svensk kryptolog, och något av en pionjär inom området i Sverige på 30-talet, drog liknande slutsatser som Kerckhoffs efter att ha studerat de olika chifferbyråernas forceringsförehavanden under världskriget. Han skriver bland annat:

Föga hjälpa manövrer, huru fältmässiga de än äro. De kunna aldrig uppkonstruera den själsspänning under vilken mången chiffrör försummar elementära försiktighetsåtgärder på grund av att chiffreringsproceduren är för invecklad eller för tidsödande.

Ska ett system ytterst fungera under krigsliknande eller på annat sätt ansträngda förhållande krävs att systemet är användarvänligt. Användaren har i allmänhet andra saker att uppehålla sig vid än kryptosystemet.

Utöver ovanstående är det givetvis helt centralt att det kryptologiska systemet, i vilket exempelvis kryptoalgoritmer ingår, är dimensionerat för att motstå den avsedda angriparen under hela den tid som ett skyddsbehov föreligger, och att systemet erbjuder rätt slags skydd.

Kryapp 9411 / PGAI, Bild: Tutus
Kryapp 9411 / PGAI, Bild: Tutus

När man som lekman tänker på kryptologiska system är det kanske främst sekretesskydd som kommer i åtanke — det vill säga system som skyddar uppgifters sekretess — men det finns många andra slags skydd som ett kryptologiskt system kan tillhandahålla. Några exempel är riktighetsskydd, skydd mot falsk signalering, återuppspelningsskydd, intrångsskydd och olika former av skydd mot trafikanalys. Tillgänglighetsaspekter måste också beaktas.

I fallet sekretesskydd är det särskilt svårt att dimensionera skyddet eftersom att uppgifter som krypteras med systemet då måste förbi omöjliga att forcera fram tills dess att sekretessen upphör.

Det vill säga: Om uppgifterna är hemliga i 50 år måste systemet förbli omöjligt att forcera 50 år efter att systemet har tagits ur drift och den sista uppgiften har sänts. Betraktar man den teknikutveckling som har skett under de senaste 50 åren och funderar över vad vi kommer befinna oss 50 år i framåt i tiden inser man vidden av det uppdragets svårighet.  Lägg därtill att vår dimensionerande hotaktör är en statsaktör i form av främmande makts underrättelsetjänst.

Kryapp 5401 / MGDI, Bild: Sectra
Kryapp 5401 / MGDI, Bild: Sectra

Kryptologi, och särskilt sekretesskydd, är oförlåtande. I och med att en kryptotext sänds görs en utfästelse om att kryptotexten kommer att förbli omöjlig att forcera under hela den tidsperiod som ett behov av ett sekretesskydd föreligger. Det är omöjligt att i efterhand ångra sändningen. Man kan inte heller i efterhand förhindra sekretessförluster genom att då uppdatera systemet. En angripare som lyckas forcera ett system kommer att göra allt för att hemlighålla detta faktum. Därför måste systemet vara korrekt dimensionerat redan i utgångsläget.

För att kunna dimensionera system korrekt, och för att kunna möta nya attacker och brister som uppdagas redan i ett tidigt stadie, bedriver vi en omfattande omvärldsbevakning. Inom ramen för den följer vi exempelvis den akademiska forskningen. Vi bedriver också egen forskning och vi deltar i olika typer av forskningsprojekt och samarbeten. För närvarande forskar jag själv på hur kvantdatorer — det vill säga datorer som utnyttjar kvantmekaniska fenomen för att utföra beräkningar — i framtiden kommer kunna användas för att utföra kryptoanalys. Syftet är att bättre förstår hur vi idag ska agera för att på lång sikt skydda svenska intressen.

En annan sak som utmärker säkra kryptosystem är att de redan från början har konstruerats på ett sådant sätt att det är enkelt att formellt påvisa egenskaper i systemet och att verifiera dess säkerhetskritiska funktionalitet.

Därför är vi delaktiga i hela systemets livscykel från kravställning av systemet, till utveckling och design, till implementation, serieproduktion, verifiering, godkännande och driftsättning, till förvaltning och slutlig avveckling. I varje delsteg säkerställer vi att systemet utformas på ett sådant sätt att den slutliga produkten kommer kunna möta våra säkerhetskrav.

Kryapp 9301 / MGEI, Bild: Advenica
Kryapp 9301 / MGEI, Bild: Advenica

Under hela livscykeln måste sekretessen som omgärdar våra kryptosystem tryggas. Härutöver måste systemens riktighet skyddas. Angripare får inte ges möjlighet att manipulera våra kryptosystem.

När ett kryptosystem väl har tagits i drift måste det försörjas med kryptonycklar. En viktig del av vår verksamhet utgörs därför av vår nationella nyckelproduktion och nyckeldistribution. Den utformas så att den ska kunna fungera i krig.

Jag tror att jag vågar påstå att det främst är ovanstående faktorer som är centrala för att ett system ska kunna sägas vara säkert. Det är svårt och resurskrävande att ta fram säkra kryptosystem och att säkerställa att de handhas på rätt sätt.

Det är därför som vi har ett starkt mandat, och det är därför som kryptosystem som ska användas för att skydda hemliga uppgifter som rör rikets säkerhet först måste godkännas av oss.

Det är också därför som vi inte bara tar fram system för Försvarsmakten utan för hela Totalförsvaret. Våra system används civilt för att skydda exempelvis samhällskritisk infrastruktur.

Bild: Alexander Karlsson/Combat Camera/Försvarsmakten

Vad har du för tips till den som funderar över sitt yrkesval och som vill bli kryptolog?

Den som vill bli kryptolog bör i första hand ha ett brinnande intresse för kryptologiområdet och såväl en praktisk som teoretisk fallenhet för området.

KRYAPP 3021, Bild: FMV
KRYAPP 3021, Bild: FMV

Det är viktigt att personen ifråga inser hur oförlåtande kryptologiområdet är, och att hon eller han kan klara av att fullständigt genomlysa ett system och analysera alla angreppssätt mot detsamma. Ihärdighet, disciplin, och en förmåga att se problem från olika infallsvinklar är viktiga egenskaper hos en bra kryptolog. Härutöver krävs givetvis goda kunskaper i kryptologi.

För att återigen citera Gyldéns uppfordrande utläggningar:

Plikttrogenhet och disciplin är en god grund att bygga på. Den är otillräcklig inom en chiffertjänst. Kunskap och intelligens utgöra en långt säkrare grund.

Personer som söker tjänst hos oss som kryptolog bör ha en civilingenjörsutbildning eller masterutbildning inom ett tekniskt eller matematiskt ämne med fokus på problemlösning, eller motsvarande kunskaper förvärvade på annat sätt. En forskarutbildning såsom en doktors- eller licentiatexamen är meriterande. Men utbildningen är inte allt; man behöver en förmåga att faktiskt få saker gjorda i praktiken, och man måste kunna kommunicera med andra människor såväl i tal som i skrift. Man måste förstå dagens teknik och hur moderna kryptoapparater och kryptosystem fungerar tekniskt.

Kryptologiområdet är fortfarande ett smalt område, särskilt på den nivå där vi verkar. Därför måste den som vill bli kryptolog vara beredd att satsa ganska högt. Å andra sidan finns det få kryptologer i landet, och därmed få personer för oss att anställa. Vi söker nu både etablerade kryptologer och blivande kryptologer som får en del av sin utbildning här hos oss.

Härutöver söker vi andra typer av kompetenser, såsom IT-säkerhetsexperter och experter på mjuk- och hårdvara.

För att bygga säkra kryptosystem krävs inte bara kryptologer.

Vilka tekniska utmaningar ser du att ni ställs inför i framtiden?

Vi ser att komplexiteten i vår uppgift ständigt ökar. Utvecklingen har gått från enbart handchiffer, till mekaniska och sedermera elektromekaniska kryptoapparater, till enklare elektroniska apparater, fram till dagens jämförelsevis mycket komplexa kryptosystem. Än ser vi inget tecken på att komplexitetstillväxten avmattas. Tvärtom. För att kunna granska och konstruera kryptoapparater samt följa omvärldsutvecklingen krävs en hel uppsjö olika mycket djupa tekniska kompetenser och betydande resurser. Det är viktigt att säkerställa tillgången på kompetens och resurser inför framtiden.

KRYPTOTELEFON 710, Bild: FMV
KRYPTOTELEFON 710, Bild: FMV

Livstiden för kryptoapparaterna som vi tar fram förkortas i och med den snabba teknikutvecklingen. Samtidigt förlängs utvecklingstiderna. Det gäller därför att satsa rätt från början och att ta fram apparater med en lång livslängd och ett brett användningsområde.

Det finns också utmaningar som är kopplade till globaliseringen och till att vi gradvis håller på att förlora kapaciteten att producera avancerad teknisk utrustning såsom kryptoapparater inom landet. När vi tillverkar kryptoapparater är sekretessen kring systemen och inte minst riktigheten av yttersta vikt. Förr i tiden kunde man inspektera en mekanisk hjulverksmaskin och se att den fungerade enligt specifikationen. Det är inte längre möjligt med dagens system. Av dessa skäl är det viktigt att vi har erforderlig kontroll över produktionen.

Det är en utmaning inför framtiden.

Blivande kryptolog?

Test av nya OpenBSD 6.1

Ett av världens kanske säkraste operativsystem är nu ute i en ny version. Det handlar så klart om OpenBSD och den nya versionen som har fått versionsnummer 6.1:

We are pleased to announce the official release of OpenBSD 6.1.
This is our 42nd release. We remain proud of OpenBSD’s record of more than twenty years with only two remote holes in the default install.

Denna nya version innehåller ett antal höjdpunkter som är enligt följande:

  • syspatch för enkel binärpatchning av i386 samt amd64-system. Laddar hem och installerar nya säkerhetsfixar.
  • acme-client för den som vill skapa Let’s Encrypt SSL-certifikat.
  • xenodm som är en ny standard display manager
  • Libressl samt OpenSSH som innehåller mängder med förbättringar och säkerhetsuppdateringar.
  • Det är nu möjligt att köra Linux under virtualiseringsmotorn vmm/vmd som följer med som standard i OpenBSD
  • Förbättrat stöd för trådlösa nätverkskort (802.11)

Att ladda hem och installera OpenBSD går snabbt och smidigt. ISO-filen är enbart 200 MB och själva installationen tar max 5 minuter för den som är någorlunda ninja på BSD:

Sedan när systemet är installerat och Chromium installerat så testar jag att surfa in till kryptera.se.

Givetvis fungerar även doas (istället för sudo), figlet, xeyes och xlogo tillfredsställande:

OpenBSD 6.1 skärmdump
OpenBSD 6.1 skärmdump

Jag har även tidigare testat OpenBSD, läs mer här:

Nya filer från Equation Group (EQGRP) släppta

NSA EQGRP

För några timmar sedan så släpptes krypteringsnyckeln till filen eqgrp-auction-file.tar.xz. Denna fil har tidigare legat ute för auktion för den som vill vara med i en budgivning. Filen uppges att innehålla verktyg från amerikanska myndigheten NSA:s hacking-grupp TAO, Tailored Access Operations.

Någon har även lagt upp hela arkivet med verktyg som totalt innehåller 5396 filer på Github här: https://github.com/x0rz/EQGRP

Fördelning över progamspråk som verktygen är skrivna i domineras av Perl:

Vi uppdaterar löpande med information gällande innehållet i arkivet.

Skärmdump på några av de exploits som förekommer och går mot Samba samt RPC dmispd:

Så identifieras Cloud Hopper APT10

Uppdatering: Min pull-request till Loki-projektets signaturdatabas har nu gått igenom och det enda du behöver göra är att ladda hem och köra Loki för att detektera APT10.

Myndigheten för samhällsskydd och beredskap (MSB) gick i förrgår ut och varnade för omfattande cyberattacker mot bl.a. Svenska managed service providers. Attacken är riktad mot företag som sköter drift och IT-infrastruktur för samhällssektorer som offentlig verksamhet, IT, kommunikation, sjukvård, energi och forskning.

Cyberattacken går under namnet APT10 eller Cloud Hopper och MSB meddelar att attacken har inriktat sig på att infektera system genom att lura människor. De som ligger bakom angreppen har lagt stora resurser på att kartlägga sina mål, organisationer och deras anställda, för att kunna skicka riktade e-postmeddelanden med trovärdiga dokument (så kallat riktat nätfiske, spearphishing).

Jag har tittat på de IOC:er (Indicators of Compromise) som är släppta av företaget PwC och skapat två filer som kan läsas in av en mängd olika verktyg såsom Loki (som jag använde för att identifiera Project Sauron/Remsec sist), för tyvärr så är PwC:s PDF inte helt lättarbetad.

Du kan därför ladda hem och ändra den Yara-fil samt en fil med Md5-checksummor som jag skapat på Github här: https://github.com/jonaslejon/apt10 och använda den direkt med Loki. Du använder filerna genom att lägga filen apt_apt10.yar i underkatalogen signature-base/yara/ och innehållet från hash-iocs.txt längst ner i den befintliga filen signature-base/iocs/hash-iocs.txt. Detta efter du laddat hem Loki här

Jag har även kört sökningar mot VirusTotal med de checksummor som PwC har släppt och tittat på ett antal olika saker såsom när antivirus-företagen identifierade APT10:

Här följer en skärmdump på en träff när jag använder Loki och MD5-filen samt Yara-filen från mitt Github-repo för test:

Och om jag tittar på statistik från VirusTotal gällande APT10 så är antivirus-mjukvaran McAfee bäst på att detektera APT10. Fortfarande identifieras 69 av 300 delar inte av någon antivirus-mjukvara.

Följande tabell visar på antalet detektioner per antivirus-produkt:

205 McAfee
205 GData
204 McAfee-GW-Edition
203 Symantec
198 Kaspersky
197 BitDefender
196 Emsisoft
195 F-Secure
192 MicroWorld-eScan
191 Panda
190 VIPRE
188 Ikarus
183 Fortinet
181 Sophos
181 Ad-Aware
181 AVG
170 ESET-NOD32
167 NANO-Antivirus
159 TrendMicro-HouseCall
159 AVware

Och tittar vi vidare på några av de exploits som används så har antivirus-företagen klassat dem som följande:

  • CVE-2012-0158
  • CVE-2010-3333
  • Exploit.OLE2.Toolbar
  • JS.S.Exploit.121732
  • JS.S.Exploit.166944
  • Exploit.Win32.OLE.78
  • EXP/Office.Exploit.Gen
  • DOC.S.Exploit.164492[h]
  • Exploit-MSWord!1ECBFF1A46A8

Och några ovan är relativt lätta att utläsa såsom CVE-2012-0158 som är en sårbarhet i Active X och CVE-2010-3333 är en sårbarhet i Microsoft Offices hantering av RTF-formatet.

Om du vill hjälpa till så får du gärna göra pull request på Github-repot med mer IOC-data från PwC PDF:en.

Loki tittar främst på klienter och servrar och därför rekommenderar jag även att titta på nätverkstrafik såsom DNS-uppslagningar, för du har väl sparat undan nätverksdata i PCAP-format?

Nyheterna i Transport Layer Security version 1.3 (TLS 1.3)

 

SSL och TLS har under lång tid säkrat upp en betydande del av den krypterade kommunikationen på Internet. Sedan SSL version 1.0 släpptes internt hos Mozilla år 1994 så har det hänt en hel del.

Den nya versionen som just nu håller på att utvecklas inom en arbetsgrupp hos IETF har versionsnumret 1.3 där målsättningen är högre prestanda samt tillhandahålla en ännu högre säkerhet. Man kan säga att designkriteriet för denna nya version är ”less is more” och det innebär att en hel del föråldrade krypton har fått stryka på foten:

  • RSA är borttaget – Tillhandahåller inte Forward Secrecy
  • Svaga Diffie-Hellman grupper kan inte användas (SSL_OP_SINGLE_DH_USE)
  • CBC är borta – Är orsaken till attacker såsom Lucky13 och BEAST
  • RC4 samt SHA1 får inte längre användas
  • Export-algoritmer (ansvarig för attacker såsom FREAK, LogJam etc)
  • Nytt är ChaCha-Poly1305 samt stöd för OCB-modes (tipstack till Joachim Strömbergson)

När det gäller prestanda så har ett antal åtgärder införts:

  • 0-RTT samt 1-RTT

Genom att få ner antalet TCP-paket som måste skickas fram och tillbaka vid varje anslutning så kan snabbare TLS (och webbsidor etc) uppnås.

Här följer en bild hur 1-RTT ser ut där klienten skickar ett ClientHello direkt, samt så gissar klienten vilka krypton som kommer att användas:

När du sedan har en session etablerad så kan sedan 0-RTT användas vid senare tillfälle (Session Resumption) men detta möjliggör dock återuppspelningsattacker.

Vill du redan nu testa TLS 1.3 i Google Chrome så kan du göra följande:

  1. Skriv in ”chrome://flags/” i adressbaren och trycker enter
  2. Gå till ”Maximum TLS version enabled.” och välj ”TLS 1.3”
  3. Starta om Chrome

Och vill du testa med Firefox så behöver du ladda hem senaste nightly-build där TLS 1.3 är påslaget som standard.

Och nu när vi besöker kryptera.se och tar upp Developer Tools (DevTools) så synes följande:

Viktigt att tillägga är att TLS 1.3 inte är färdigt ännu och ändras löpande. Detta gör att mjukvara såsom OpenSSL är försiktiga med att göra förändringar. Den senaste uppdateringen till TLS 1.3 heter draft-19 och släpptes för cirka 2 veckor sedan.

För att exempelvis Nginx ska stödja TLS 1.3 så måste även OpenSSL stödja detta. Och OpenSSL kommer med stöd inom några veckor i version 1.1.1.

Nyupptäckt sårbarhet i IIS 6.0

Mer än 8 miljoner webbplatser kan vara sårbar för en nyligen identifierad säkerhetsbrist i Internet Information Services (IIS) 6.0. Sårbarheten har utnyttjats på Internet sedan Juli 2016 och identifierades ”in the wild”.

Den sårbara funktionen heter ScStoragePathFromUrl och är en del av WebDAV:

Microsoft Windows Server 2003 R2 allows remote attackers to execute arbitrary code via a long header beginning with ”If: <http://” in a PROPFIND request

Säkerhetsbuggen identifierades av Zhiniang Peng samt Chen Wu vid South China University of Technology Guangzhou, Kina.

Enligt tjänsten BuiltWith så IIS används IIS på 13.8% av alla webbsajter samt IIS 6.0 versionen på 2.3% av alla webbsajter vilket motsvarar cirka 8.3 miljoner sajter.

Behöver Er organisation hjälp med cybersäkerhet? Kontakta Triop AB >

Github så kan du hitta följande exploit som demonstrerar sårbarheten genom att starta upp kalkylatorn i Windows, calc.exe:

https://raw.githubusercontent.com/edwardz246003/IIS_exploit/master/exploit.py

Givetvis ska inte IIS 6.0 användas då detta är en mycket gammal version, men troligtvis så kan det hjälpa att stänga av WebDAV för att förhindra att sårbarheten utnyttjas.

Och här finnes en Snort-signatur (källa):

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-MISC IIS v6
WebDAV ScStoragePathFromUrl overflow attempt"; flow:to_server,established;
content:"PROPFIND"; nocase; http_method; content:"|0a|If|3a|"; nocase;
http_raw_header; isdataat:1000,relative; content:!"|0A|"; http_raw_header;
within:1000; reference:cve,2017-7269; reference:url,github.com/
edwardz246003/IIS_exploit;
classtype:web-application-attack; sid:1; rev:1;)

 

Ett år av obligatorisk it-incidentrapportering

Det har nu gått nästan ett år sedan den 1:a April 2016 då det är obligatoriskt för Sveriges (nästan) samtliga 244 myndigheter att rapportera in it-incidenter till MSB (Myndigheten för samhällsskydd och beredskap).

MSB rapporterar att det skickats in 214 incidentrapporter från 77 myndigheter och att snittet legat på 25 st per månad. Detta innebär att många myndigheter fortfarande inte skickat in en enda incidentrapport, vilket påvisar ett stort mörkertal. Men troligtvis så tar det några år innan myndigheter anpassar sig.

En annan intressant sak är att incidenter ska rapporteras inom 24h att de upptäckts men i verkligheten ser det annorlunda ut:

Vid genomgång av rapporterna visar det sig att runt 20 procent av incidenterna rapporterats mer än fem dagar efter att de upptäckts, vissa incidenter har rapporterats först efter en månad.

De incidenter som rapporteras in kategoriseras på följande sätt och antal:

Rapporten har även bilaga med sekretessbelagda uppgifter och där framgår vissa särskilda företeelser avseende it-incidentrapporteringen.

För inrapporteringen så används filkryptot KURIR 2.0.

Att loggning är viktigt är något som jag inte understryka nog och detta framkommer även i incidentrapporteringen:

I ett antal incidenter har det framkommit att myndigheter inte har någon dedikerad loggserver, något som är en viktig komponent för att kunna upprätthålla en fungerande övervakning av it-system och för att i efterhand ha möjlighet att klargöra vad som hänt i systemet.

Jag kan även utläsa att MSB använder ordet kryptotrojan återkommande gånger, vilket jag tycker är felaktigt. Utpressningsvirus eller ransomware tycker jag är mer rättvisande och något som Polisen etc använder. Och på tal om ransomware så anger rapporten att 40% av inkomna rapporter om ransomware har lett till informationsförlust. Tyvärr framgår det inte vilken typ av ransomware det rör sig om eller om antivirus-mjukvara detekterat dessa.

Här kan du läsa MSB:s årsrapport om it-incidentrapportering 2016 i sin helhet (PDF):

MSB Årsrapport IT-incidentrapportering

Allvarlig sårbarhet i Cisco Cluster Management Protocol

Cisco har via CIA Vault7-läckan identifierat en allvarlig sårbarhet i Cisco Cluster Management Protocol (CMP). Denna sårbarhet gör att en angripare kan fjärrmässigt tillförskaffa sig administrativa rättigheter på en Cisco-enhet.

Denna sårbarhet utnyttjas genom att en angripare skickar telnet-kommandon innehållandes specifika CMP-options (så kallade telnet option codes).

För att sårbarheten ska gå att utnyttja måste följande två förutsättningar vara uppfyllda:

  • CMP subsystem is present on the Cisco IOS XE software image running on the device, and
  • The device is configured to accept incoming Telnet connections.

Och för att se om just din enhet stödjer CMP kan du skriva kommandot: show subsys class protocol | include ^cmp

Cisco skriver på sin hemsida:

This vulnerability was found during the analysis of documents related to the Vault 7 disclosure

För att se hela listan med enheter som kan vara sårbara se Cisco.com

Tails 2.11 och Tor Browser 6.5.1 ute nu

Sex allvarliga säkerhetsbrister har uppdagats i Firefox vilket även resulterat till att Tor och Tails nu finns ute i nya versioner.

Tails-teamet meddelar även att detta kommer att bli den sista versionen då I2P finns med. Att stödet för anonymiseringsnätverket I2P tas bort från och med nästa version beror på prioriteringar.

Tails åtgärdar förutom Firefox-sårbarheterna även CVE-2017-6074 (local root privilege escalation) genom att stänga av dccp-modulen.

Även så finns det åtgärder för att försvåra fingerprinting via chrome:// och resource:// URL:er men tyvärr så verkar det som om mitt fingerprint-demo fungerar fortfarande:

Google släpper E2EMail

Google har länge satsat på olika lösningar för End-to-end kryptering. Flertalet av dessa bygger på Googles JavaScript-biblioteket med namnet End-to-end och återfinnes på Github.

E2EMail har utvecklats som ett Chrome-plugin ovanpå End-to-end och har nu kopplat sina trådar till Google. Detta för att End-to-end ska vara ett community-baserat plugin och inte enbart något som Google handhar, vilket också är bra för säkerheten att fler engagerar sig och utvecklar vidare.

Tyvärr så är PGP inte lätt att använda och det är lätt att göra fel vilket E2EMail hjälper till med. Utvecklingen av E2EMail har pågått under tre års tid och är även tänkt att hjälpa GMail användare att skicka och ta emot krypterad E-post.

Än så länge finns inte E2EMail i Chrome Web Store utan du måste själv clona Github-repot och kompilera koden.

För att installera genomför följande steg:

$ git clone https://github.com/e2email-org/e2email
$ cd e2email
$ ./do.sh setup
$ ./do.sh build

Sedan så ligger det en Chrome-extension under mappen build/e2email som du installerar i Chrome genom att gå in under Settings -> Extensions och slå på Developer Mode. Där väljer du sedan Load unpacked extension och välj den extension du just kompilerade.