Stor kryptospecial i Techworld

Senaste numret av papperstidningen TechWorld är nästan helt dedikerad till krypto-området. Och undertecknad finns så klart med några citat såsom:

Allt blir mer komplext när det rör sig om kryptering. Exempelvis blir felsökning krångligare när nätverket är krypterat som standard. Dessutom är kryptoinfrastruktur inget man snyter ur näsan.

Andra som medverkar i artikeln med titel Framtiden är krypterad är:

  • Elise Revell – Kelisec
  • Louise Yngström – professor
  • Mikael Ejner – Datainspektionen
  • Pia Gruvö – MUST
  • Niclas Molander – Cisco
  • Tina Lindgren – Combitech
  • Michael Westlund – Omegapoint

Du kan även köpa tidningen online som PDF för 99 kr här.

Techworld krypto

 

Sectra Tiger godkänt för CONFIDENTIAL

Sectra Tiger/S 7401NATO har nu godkänt Sectras kryptotelefon Tiger/S 7401. för nivå CONFIDENTIAL. Telefonen går att använda över 2G, 3G samt satellitsystemen Iridium, Inmarsat och Thuraya.

Protokoll som telefonen stödjer är blandnannat:

  • SCIP (Secure Communications Interoperability Protocol)
  • SCIP-233 keysets 0x0009 (SCIP-231)
  • 0xF801 (extension of SCIP-231).

Den har 110h standbytid samt går att prata krypterat eller okrypterat under 2.2h. Även så är denna telefon kompatibel med Sectra Tiger/XS som är godkänd upp till NATO SECRET. Även så är Tiger/S 7401 under utvärdering för nivå NATO SECRET (testas av SECAN) och EU SECRET.

Faktorisera 512 bitar RSA SSL/TLS

Nyligen så uppdagades en ny attack mot SSL/TLS vid namn SMACK. Denna attack nyttjar det faktum att många webbsajter i dagsläget erbjuder gamla krypteringsalgoritmer där bl.a. RSA 512 bitar finns med samt en sårbarhet i klienter.

Att faktorisera 512 bitar RSA går relativt snabbt med hjälp av ett kluster hos exempelvis Amazon EC2. Och med hjälp av 75 st servrar hos Amazon tar det cirka 7h och kostar runt 800 SEK. Och verktyget som användes för detta är bl.a. cado-nfs (eller så kan även ggnfs + msieve användas).

Men hur utbrett är problemet eg. med dessa korta nyckellängder på serversidan? Jo, av 14 miljoner sajter som stödjer SSL/TLS så har 36.7% detta problem. Och problemet i detalj består i att om en klient såsom OpenSSL eller Apples SecureTransport får tillbaka ett svar som inkluderar export-grade RSA så kommer dessa klienter att acceptera svaret, även om de ej frågat efter export-grade RSA.

Förfarandet steg för steg:

  1. När klienten skickar sitt Hello-meddelande så frågar den efter standard RSA
  2. Angripare som sitter i mitten (MITM) ändrar detta svar till export RSA
  3. Servern svarar med sin 512-bitars export RSA-nyckel, signerad med sin nyckel för långa livslängder (long term key).
  4. Klienten sväljer detta svar på grund av OpenSSL/SecureTransport-buggen.
  5. Angriparen faktoriserar RSA för att hitta den privata nyckeln
  6. När klienter krypterar ‘pre-master secret’ till servern så kan nu angriparen dekryptera TLS huvudhemlighet (master secret)
  7. Nu kan angriparen se klartext och injicera nytt innehåll

Demonstration av hur attacken kan nyttjas mot NSA (eller rättare skrivet, Akamai):

nsa-fake copy

Tor

Tails 1.3 samt Tor Browser 4.0.4

Det händer en hel del i Tor-världen just nu. Det släpptes just en ny version av Tor Browser men även så släpptes Tails 1.3 igår. Vi försöker sammanfatta nyheterna nedan:

Tails 1.3

Tails har nu förstärkt skyddet i den webbläsare som följer med operativsystemet. Denna härdning använder sig av AppArmor och ser till att webbläsaren enbart får tillgång till vissa valda delar, detta kallas för MAC (mandatory access control).

ElectrumFör att öka stödet gällande kryptovalutor så är nu även Electrum installerat. Electrum är en så kallad wallet eller plånbok där du kan lagra dina Bitcoins säkert(?). För att informationen inte ska försvinna så bör du även nyttja funktionen för persistens.

Även så skeppas en ny proxy med kallad obfs4 som är en vidareutveckling på ScrambleSuite. Denna proxy försvårar för diktaturer eller filtreringsfunktioner såsom DPE (deep-packet-inspection) att detektera att det är just Tor som går på nätverkstrafiken.

Mjukvaran Keyringer finns installerad och denna mjukvara använder sig av GnuPG för att kryptera och distribuera hemligheter:

Keyringer lets you manage and share secrets using GnuPG and Git with custom commands to encrypt, decrypt, recrypt, create key pairs, etc.

Här kan du ladda hem Tails: https://tails.boum.org/download/index.en.html

Tor Browser 4.0.4

Detta är enbart en underhållsuppgradering där åtskilliga komponenter rättas till:

  • Uppdatera Firefox till 31.5.0esr
  • Uppdatera OpenSSL till 1.0.1l
  • Uppdatera NoScript till 2.6.9.15
  • Uppdatera HTTPS-Everywhere till 4.0.3
  • Bugg 14203: Prevent meek from displaying an extra update notification
  • Bug g14849: Remove new NoScript menu option to make permissions permanent
  • Bug g14851: Set NoScript pref to disable permanent permissions

Och Tor Browser Bundle laddar du hem här:

PGP är dött

PGPPGP (och numera GPG) är ett av det bästa som hänt modern krypterad kommunikation, men tyvärr är GPG svårt att använda och det är lätt att det blir fel. Det behövs ett omtag när det gäller GPG och vi väntar bara på att bägaren ska rinna över innan det händer.

För sanningen är, att GPG är tillräckligt bra. Visst behövs det göras en hel del när det gäller UX, metadata och forward secrecy men så länge det bara fungerar så behövs det inte åtgärdas.

Men hur kan den stora massan börja att använda krypterad E-post? Även om TLS på E-post (STARTTLS) blir mer utbrett så är detta ej ett komplett skydd.

Är det så att det eventuellt behövs en stor kampanj på Kickstarter för att någon nytt system ska bli det nästa GPG? För fortsättningsvis kommer vi att använda GPG och vi kommer att göra fel och nycklar kommer att bli röjda för vem kommer ihåg när Aftonbladet publicerade sin privata nyckel?

Buggar blir fixade och GnuPG har fått en större budget nuförtiden, så det går sakta men säkert åt rätt håll med intiativ såsom Google End-to-end.

”Key distribution is the hardest problem in end-to-end encryption”

Google

Läs även kloka ord av Moxie samt Whiteout

Snort Superfish

Om du använder dig av Snort som IDS så kan du använda följande regler för att identifiera Superfish (som vi skrev om här) på nätverket:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN SuperFish CnC Beacon 1"; flow:established,to_server; content:"GET"; http_method; content:"/set.php?ID="; depth:12; http_uri; content:"&Action="; distance:0; http_uri; content:!"User-Agent|3a|"; http_header; content:!"Accept"; http_header; content:!"Referer|3a|"; http_header; reference:url,blog.erratasec.com/2015/02/extracting-superfish-certificate.html; reference:url,myce.com/news/lenovo-laptops-come-with-preinstalled-advertisement-injecting-adware-74290/; classtype:trojan-activity; sid:2020489; rev:1;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN SuperFish CnC Beacon 2"; flow:established,to_server; content:"GET"; http_method; content:"/verify.php?version="; http_uri; fast_pattern:only; content:"&GUID=|7b|"; http_uri; content:"User-Agent|3a 20|Mozilla/4.0|0d 0a|"; http_header; content:!"Accept"; http_header; content:!"Referer|3a|"; http_header; reference:url,blog.erratasec.com/2015/02/extracting-superfish-certificate.html; reference:url,myce.com/news/lenovo-laptops-come-with-preinstalled-advertisement-injecting-adware-74290/; classtype:trojan-activity; sid:2020490; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"ET TROJAN SuperFish Possible SSL Cert CnC Traffic"; flow:established,from_server; content:"|55 04 0a|"; content:"|0e|Superfish Inc."; distance:1; within:15; content:"|55 04 03|"; distance:0; content:"|19|*.best-deals-products.com"; distance:1; within:26; reference:url,blog.erratasec.com/2015/02/extracting-superfish-certificate.html; reference:url,myce.com/news/lenovo-laptops-come-with-preinstalled-advertisement-injecting-adware-74290/; classtype:trojan-activity; sid:2020492; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"ET TROJAN SuperFish Possible SSL Cert Signed By Compromised Root CA"; flow:established,from_server; content:"|55 04 0a|"; content:"|0f|Superfish, Inc."; distance:1; within:16; content:"|55 04 03|"; distance:0; content:"|0f|Superfish, Inc."; distance:1; within:16; reference:url,blog.erratasec.com/2015/02/extracting-superfish-certificate.html; reference:url,myce.com/news/lenovo-laptops-come-with-preinstalled-advertisement-injecting-adware-74290/; classtype:trojan-activity; sid:2020493; rev:1;)

Reglerna är hämtade från EmergingThreats öppna regler och kan hittas i sin helhet här:

Lenovo-Superfish

Lenovo Superfish/Badfish

Det var kanske ingen direkt överraskning att Lenovos datorer kom med en mjukvara förinstallerad som genomförde man-i-mitten-attacker mot krypterad surftrafik (https). Mjukvaran utvecklades av företaget Komodia som är specialiserade på föräldrakontroll och annonshantering.

Rent tekniskt så fungerar Komodias mjukvara genom att installera ett nytt root SSL-certifikat som gör att dess mjukvara kan generera egna certifikat för godtycklig sajt för att injicera reklam samt lura webbläsaren. Även den privata nyckeln för att genomföra denna mitm installerades också på Lenovos datorer, dock krypterad med lösenordet komodia.

Men varför är detta så allvarlig kanske du undrar? Jo det finns flera aspekter, dels så har Komodia implementerat en egen felaktig SSL/TLS-stack samt så kan vem som helst använda Komodoias privata nyckel och genomföra egna mitm-attacker på exempelvis Internetcaféer. Även så innehåller deras stack andra problem som gör att det går att genomföra mitm.

Superfish

Som tur var så finns det hopp, för Lenovo har gått ut och sagt att de kommer att släppa en uppdatering som tar bort mjukvaran samt installerade certifikat. Även så hittar och klassificerar Microsoft Security Essentials Superfish som adware.

Det är även oklart hur utbrett detta problem är då Komodia Redirector SDK har sålts till 100-talet olika företag där Lenovo enbart är ett av dessa.

Anledningen till att Lenovo installerat denna typ av mjukvara är troligtvis pga minskade marginaler för försäljning av laptops. Om det finns en möjlighet att tjäna 1000kr extra per såld laptop så tar dom den.

Du kan testa om du har Superfish/badfish installerat genom att besöka följande webbsida:

Skärmdump som visar hur proxyn lyssnar på en port:

SuperFish_MITM_proxy

 

Kryptobugg i FreeBSD

freebsdDet har uppmärksammats av slumptalsgeneratorn i FreeBSD-CURRENT varit trasig under flertalet månader. Felet som introducerades var att den vitala funktionen randomdev_init_reader togs bort. Eftersom det bara är CURRENT-versionen så är omfattningen tämligen begränsad men samtliga nycklar som skapats på dessa system bör bytas (ssl-certifikat, ssh osv).

Denna bugg går under smeknamnet YARNBUG som står för ”Yet Another Random Number Bug”, för det är ju viktigt att alla sårbarheter nuförtiden har fräsiga namn (och logotyper).

Så här skriver FreeBSD själva:

If you are running a current kernel r273872 or later, please upgrade your kernel to r278907 or later immediately and regenerate keys.

I discovered an issue where the new framework code was not calling randomdev_init_reader, which means that read_random(9) was not returning good random data. read_random(9) is used by arc4random(9) which is the primary method that arc4random(3) is seeded from.

Man kan tycka att det är anmärkningsvärt att denna typ av buggar uppkommer år 2015. Dock så bör inte CURRENT-versioner användas i produktion. Dock så använder FreeBSD /dev/u?random Yarrow som slumptalsalgoritm och bör således ej vara drabbad av denna bugg.

Kampanj för ökat signalskydd

SignalskyddMyndigheten för samhällsskydd och beredskap (MSB), Försvarsmakten och Försvarets Radioanstalt (FRA) inleder nu en kampanj för att uppmärksamma vikten av bra signalskydd. En webbsida, informationsfolder samt film (se nedan) har upprättats för ändamålet.

Men vad är då signalskydd?

Signalskydd är nationellt godkända kryptosystem. Signalskydd och säkra kryptografiska funktioner kan användas för att skydda information från obehörig insyn och påverkan. Genom nationellt godkända system säkerställer man skyddsnivån och kvaliteten på såväl teknik, som regelverk, rutiner och behörighetsutbildning.

Tyvärr var sajten lite tunn på information men vi kan hoppas på att det fylls på med mer matnyttigt. Statistik som presenteras på sajten:

  • Enligt MSB:s enkätundersökning från 2014, svarade 84 % av de myndigheter som besvarat hela enkäten, att de har en informationssäkerhetspolicy.
  • 26 % av de myndigheter som besvarat hela enkäten kontrollerar inte efterlevnaden, det vill säga ifall policyer och riktlinjer följs av medarbetarna.

Richard Oehme, chef för verksamheten för samhällets informations- och cybersäkerhet vid MSB säger:

Vi menar att signalskydd är en av de viktigaste skyddsåtgärderna för att skydda myndigheters och andra organisationers information. Genom kampanjen vill vi öka förståelsen och medvetenheten om signalskydd och hoppas på en utökad användning av de signalskyddssystem som finns att tillgå

Informationsfilmen nedan är dock välgjord:

Finalister i Password Hashing Competition

Password Hashing Competition (PHC) är en tävling som går ut på att hitta nya bra algoritmer för att hasha lösenord. Det finns tyvärr i dagsläget inte så många bra kanidater att välja på: scrypt och bcrypt. Bakom tävlingen står en grupp med kryptografiska experter såsom Peter Gutmann, Colin Percival och Matthew Green.

Tävlingskriterierna är enligt följande:

  • Skydd mot beräkningar i GPU/FPGA/ASIC
  • Skydd mot tid-minneskompromisser
  • Skydd mot sidokanalsläckage
  • Skydd mot kryptografiska attacker
  • Elegans och enkelhet
  • Dokumentationskvalité
  • Kvalité på referensimplementationen
  • Allmän sundhet och enkelhet av algoritmen
  • Originalitet

Det har nu presenterats 12 finalister som är följande:

Argon, battcrypt, Catena, Lyra2, Makwa, Parallel, POMELO, Pufferfish, yescrypt (som vi skrev om i Maj 2014).

För att läsa mer om dessa finalister kolla in password-hashing.net.

yescrypt