Ett år av obligatorisk it-incidentrapportering

Det har nu gått nästan ett år sedan den 1:a April 2016 då det är obligatoriskt för Sveriges (nästan) samtliga 244 myndigheter att rapportera in it-incidenter till MSB (Myndigheten för samhällsskydd och beredskap).

MSB rapporterar att det skickats in 214 incidentrapporter från 77 myndigheter och att snittet legat på 25 st per månad. Detta innebär att många myndigheter fortfarande inte skickat in en enda incidentrapport, vilket påvisar ett stort mörkertal. Men troligtvis så tar det några år innan myndigheter anpassar sig.

En annan intressant sak är att incidenter ska rapporteras inom 24h att de upptäckts men i verkligheten ser det annorlunda ut:

Vid genomgång av rapporterna visar det sig att runt 20 procent av incidenterna rapporterats mer än fem dagar efter att de upptäckts, vissa incidenter har rapporterats först efter en månad.

De incidenter som rapporteras in kategoriseras på följande sätt och antal:

Rapporten har även bilaga med sekretessbelagda uppgifter och där framgår vissa särskilda företeelser avseende it-incidentrapporteringen.

För inrapporteringen så används filkryptot KURIR 2.0.

Att loggning är viktigt är något som jag inte understryka nog och detta framkommer även i incidentrapporteringen:

I ett antal incidenter har det framkommit att myndigheter inte har någon dedikerad loggserver, något som är en viktig komponent för att kunna upprätthålla en fungerande övervakning av it-system och för att i efterhand ha möjlighet att klargöra vad som hänt i systemet.

Jag kan även utläsa att MSB använder ordet kryptotrojan återkommande gånger, vilket jag tycker är felaktigt. Utpressningsvirus eller ransomware tycker jag är mer rättvisande och något som Polisen etc använder. Och på tal om ransomware så anger rapporten att 40% av inkomna rapporter om ransomware har lett till informationsförlust. Tyvärr framgår det inte vilken typ av ransomware det rör sig om eller om antivirus-mjukvara detekterat dessa.

Här kan du läsa MSB:s årsrapport om it-incidentrapportering 2016 i sin helhet (PDF):

MSB Årsrapport IT-incidentrapportering

Allvarlig sårbarhet i Cisco Cluster Management Protocol

Cisco har via CIA Vault7-läckan identifierat en allvarlig sårbarhet i Cisco Cluster Management Protocol (CMP). Denna sårbarhet gör att en angripare kan fjärrmässigt tillförskaffa sig administrativa rättigheter på en Cisco-enhet.

Denna sårbarhet utnyttjas genom att en angripare skickar telnet-kommandon innehållandes specifika CMP-options (så kallade telnet option codes).

För att sårbarheten ska gå att utnyttja måste följande två förutsättningar vara uppfyllda:

  • CMP subsystem is present on the Cisco IOS XE software image running on the device, and
  • The device is configured to accept incoming Telnet connections.

Och för att se om just din enhet stödjer CMP kan du skriva kommandot: show subsys class protocol | include ^cmp

Cisco skriver på sin hemsida:

This vulnerability was found during the analysis of documents related to the Vault 7 disclosure

För att se hela listan med enheter som kan vara sårbara se Cisco.com

Tails 2.11 och Tor Browser 6.5.1 ute nu

Sex allvarliga säkerhetsbrister har uppdagats i Firefox vilket även resulterat till att Tor och Tails nu finns ute i nya versioner.

Tails-teamet meddelar även att detta kommer att bli den sista versionen då I2P finns med. Att stödet för anonymiseringsnätverket I2P tas bort från och med nästa version beror på prioriteringar.

Tails åtgärdar förutom Firefox-sårbarheterna även CVE-2017-6074 (local root privilege escalation) genom att stänga av dccp-modulen.

Även så finns det åtgärder för att försvåra fingerprinting via chrome:// och resource:// URL:er men tyvärr så verkar det som om mitt fingerprint-demo fungerar fortfarande:

Google släpper E2EMail

Google har länge satsat på olika lösningar för End-to-end kryptering. Flertalet av dessa bygger på Googles JavaScript-biblioteket med namnet End-to-end och återfinnes på Github.

E2EMail har utvecklats som ett Chrome-plugin ovanpå End-to-end och har nu kopplat sina trådar till Google. Detta för att End-to-end ska vara ett community-baserat plugin och inte enbart något som Google handhar, vilket också är bra för säkerheten att fler engagerar sig och utvecklar vidare.

Tyvärr så är PGP inte lätt att använda och det är lätt att göra fel vilket E2EMail hjälper till med. Utvecklingen av E2EMail har pågått under tre års tid och är även tänkt att hjälpa GMail användare att skicka och ta emot krypterad E-post.

Än så länge finns inte E2EMail i Chrome Web Store utan du måste själv clona Github-repot och kompilera koden.

För att installera genomför följande steg:

$ git clone https://github.com/e2email-org/e2email
$ cd e2email
$ ./do.sh setup
$ ./do.sh build

Sedan så ligger det en Chrome-extension under mappen build/e2email som du installerar i Chrome genom att gå in under Settings -> Extensions och slå på Developer Mode. Där väljer du sedan Load unpacked extension och välj den extension du just kompilerade.

CIA Vault7 läcka från Wikileaks

Jag tänkte kommentera gällande den senaste läckan från Wikileaks som inkluderar en stor mängd olika cyber-relaterade verktyg, metoder etc från vad som sägs är CIA.

Läckan ser ut att komma från något inom CIA som heter devlan.net och är troligtvis ett utvecklingsnätverk för cybervapen. Eftersom CIA till skillnad från NSA bedriver HUMINT så kräver majoriteten av verktygen fysisk access till enheten.

Det ser inte ut att finnas några överdrivna referenser till zero-days och generellt håller det som är läckt inte den högsta tekniska förmågan. Läckan innehåller även referenser till skadlig kod som CIA troligtvis installerar och antivirus-företagen är redan på att skriva signaturer för att identifiera CIA:s verktyg.

Viktigt också att tillägga är att om du kan ta dig in på en mobiltelefon genom att utnyttja sårbarheter så kommer du givetvis också åt applikationer såsom WhatsApp och Signal.

Även så finns det referenser till att CIA kan installera verktyg för att avlyssna via en vanlig Samsung Smart-TV. Och även detta kräver troligtvis fysisk access till TV:n innan eller när den införskaffas.

Läckan inträffade under förra året och de läcka filterna troligtvis varit tillgänglig för andra sedan tidigare. Den innehåller 8761 dokument och filer men inte så många binärer annat än ett fåtal exe-filer och python-kod.

Kommentar som återfinnes i läckan:

What did Equation do wrong, and how can we avoid doing the same?

CloudBleed – Allvarligt minnesläckage från CloudFlare

CloudFlare (CF) är numera en vital och central del av internet. CF tillhandahåller CDN (Content Delivery Network), DNS och WAF (Web Application Firewall) för att nämna några funktioner.

För några dagar sedan så kontaktade Tavis Ormandy CF gällande att han sett saker i Googles sökresultat som inte hör hemma där. När sedan CF undersökte så hittade man en parser-bugg som gör att minne från deras servrar kunde skickas ut felaktigt.

Ungefär 0.00003% av samtliga http-förfrågningar som gick genom CF drabbades av denna bugg. Och vid undersökningar i Googles cache så identifierades 700 fall där minne läckt och cachats av Google.

Turligt nog så påverkas inte privata (TLS) SSL-nycklar eftersom viss uppdelning finns mellan processerna i CF:s servrar.

För en mer komplett lista över sajter som ligger hos CF se här:

Uppdatering 1: Nu har CF skickat ut ett mail till samtliga kunder. De skriver bl.a. följande:

”To date, we have yet to find any instance of the bug being exploited, but we recommend if you are concerned that you invalidate and reissue any persistent secrets, such as long lived session identifiers, tokens or keys. Due to the nature of the bug, customer SSL keys were not exposed and do not need to be rotated.”

Uppdatering 2: Svenska betaltjänst-leverantören Mondido samt Kraken har återställt samtliga lösenord. Jag hoppas att fler följer efter som använder CF.

Uppdatering 3: Cloudbleed kan även ha och göra med att Google själva nollställt samtliga inloggningar mot Googles egna tjänster. Så här kommenterar Tavis:

”Hi Tavis, could you tell us why a lot of people had to re-authenticate their Google accounts on their devices all of the sudden? It may not have been related, but Google definitely did something that had us all re-authenticate.”

”I couldn’t tell you, this is not the correct place to ask.”

Uppdatering 4: Har nu laddat hem .se-zonen och kontrollerat hur många som använder CF:s namnservrar vilket ger en fingervisning om hur många .se-domäner som kan potentiellt läckt information:

$ grep cloudflare se.zone |awk ‘{print $1}’|sort|uniq|wc -l
7827

Det kan även vara åt andra hållet. Dvs CF:s dyrare abonnemang så kan du köra med en egen namnserver men ändå nyttja CF:s tjänster.

SHA-1 har nu blivit knäckt av Google – Ska vi vara oroliga?

Google släppte precis en bomb där de skriver att de lyckats att genomföra kollisionsattacker mot SHA-1. Som proof-of-concept så har man skapat två PDF-filer med olika innehåll men samma SHA-1 checksumma.

Att fasa ut SHA-1 är något som påbörjades för många år sedan men det har tyvärr gått långsamt och SHA-1 används fortfarande på många ställen såsom Git, Firefox, certifikat, Windows, PGP, TPM-chip osv. Teoretiska attacker mot SHA-1 presenterades redan 2013, så att det nu går att genomföra praktiskt är inte helt förvånansvärt.

Den grupp som skapat denna nya kollisionsattack består av personer från Google och CWI Amsterdam. Attacken går under namnet SHAttered och mer information återfinns på nedan infografik samt på sajten shattered.io.

Dock krävs det fortfarande en hel del beräkningskapacitet för att genomföra attacken och Ars Technica har räknat på detta:

Had the researchers performed their attack on Amazon’s Web Services platform, it would have cost $560,000 at normal pricing. Had the researchers been patient and waited to run their attack during off-peak hours, the same collision would have cost $110,000. That’s within the $75,000 to $120,000 range CWI’s Stevens projected in late 2015.

Att forskarna använder just PDF-filer är för att det är relativt lätt att lägga in godtycklig padding.

Som tur var så finns det även ett verktyg på Github för att detektera denna attack.

Ny version av PuTTY åtgärdar säkerhetsbrister

Putty är en omåttligt populär programvara till Windows som används för att ansluta med ssh. Nu har version 0.68 släppts som åtgärdar två säkerhetsbrister som återfinnes i SSH-agent forwarding samt hur DLL:er laddas in.

Läs mer här:

Och den som kan sin putty-historia vet att den är kantad med diverse sårbarheter. Det har hänt åtskilliga gånger exempelvis att minnet inte har rensats korrekt efter nycklar och lösenord.

Och här kan du ladda hem en ny version av putty:

Glöm inte att verifiera signaturen.

MUST årsöversikt 2016: Ryska påverkansoperationer

Militära underrättelse- och säkerhetstjänsten (MUST) inom Försvarsmakten publicerade precis sin årsöversikt för 2016. Och precis som FRA:s årsredovisning för 2016 så skriver MUST om ökade cyberoperationer.

Och om påverkansoperationer så skriver MUST följande:

”Påverkansoperationer har fått förnyad aktualitet i samband med presidentvalet i USA 2016 men Ryssland har, liksom Sovjetunionen, tillämpat påverkansoperationer som ett utrikespolitiskt verktyg under många år.

Detta sker inte minst genom de ryska underrättelsetjänsterna, som förutom att inhämta underrättelser också har till uppgift att verka för att öka det ryska politiska inflytandet utomlands och aktivt motverka utvecklingar som den ryska statsledningen anser vara negativa.

Att inhämta information som kan användas för att misskreditera politiska motståndare är ett väl etablerat modus operandi, där Internet erbjudit nya sätt att både komma över och sprida sådan information. I detta sammanhang ges också stöd till aktörer som för Rysslands talan i andra länder. En förutsättning för att kunna bedriva effektiva påverkansoperationer mot extern och intern opposition är god direkt eller indirekt kontroll över massmedier.”

Annat som är intressant som förekommer i årsöversikten är den obligatoriska IT-incidentrapporteringen som bidrar till att höja säkerhetsskyddet. Andra myndigheter rapporterar till MSB men myndigheter som ligger under Försvarsdepartementet samt Fortifikationsverket och Försvarshögskolan rapporterar till Försvarsmakten.

MUST fick även i uppdrag av MSB ett reda ut vilka produkter som kan bli godkända för att använda som Krypto för skyddsvärda uppgifter (KSU).

Martin på avdelningen för krypto och IT-säkerhet vid MUST som var granskningskoordinator i projektet berättar att de upptäckte luckor inom några områden i det omfattande underlaget som de hade att tillgå från tidigare undersökningar.

Detta gjorde att MUST behövde göra egna undersökningar och intervjua respektive leverantör. Leverantörernas design av de tekniska lösningarna överensstämde inte alltid med hur MUST ansåg att de borde ha gjort i vissa avseenden. Under intervjuerna med leverantörerna fick MUST däremot förståelse för kompromisser de behövt göra. Förklaringarna låg oftast i linje med hur leverantörerna uppfattade slutanvändarnas behov och säkerhetskrav.

Här kan du läsa MUST årsöversikt:

Kaspersky släpper KasperskyOS

Det ryska antivirus-företaget Kaspersky släpper ett operativsystem vid namn KasperskyOS. Operativsystemet har varit under utveckling i 14 år och har fokus på säkerhet i Internet of Things (11-11 var kodnamnet för OS:et tidigare).

OS:et kommer inte gå att köpa direkt från Kaspersky utan kommer att levereras med olika typer av utrustning direkt från hårdvaruleverantörer.

KasperskyOS använder sig av en mikrokernel som har Flux Advanced Security Kernel (FLASK) arkitektur. Flask är framtaget av bl.a. amerikanska myndigheten NSA och används av SELinux, TrustedBSD.

Kaspersky Secure Hypervisor kan användas tillsammans med KasperskyOS och då köra andra operativsystem, även så är OS:et POSIX-kompatibelt.

Redan nu har Kaspersky samarbete med två leverantörer: Kraftway switches samt SYSGO PikeOS som går KasperskyOS hypervisor (KSH). Operativet kommer inte som öppen källkod men möjlighet finns för leverantörer att granska koden.

Läs mer på Eugene Kasperskys blogg eller tekniska detaljer på securelist.

Skärmdump från uppstart:

Kraftway-switch med Kaspersky OS: