Så spionerade Saudiarabien med hjälp av Twitter

Twitters huvudkontor i San Francisco

Dokument från amerikanska justitiedepartementet visar på hur flertalet insiders tagit jobb hos företag Twitter för att spionera på dissidenter via plattformen.

Information om kritiska konton såsom E-postadress och telefonnummer har troligtvis stulits och skickats vidare till kungadömet i Saudiarabien.

De två personerna Mr. Alzabarah och Mr. Abouammo har nu efterlysts av FBI och finns nu med på deras lista med följande förklaring:

Ali Hamad A Alzabarah is wanted for failing to register as an agent of a foreign government as required by United States law.  In 2015, Alzabarah allegedly took part in a scheme to steal proprietary and confidential user data from a U.S. company, Twitter, for the benefit of the Kingdom of Saudi Arabia. 

The stolen data included email addresses, telephone numbers and internet protocol addresses of Saudi dissidents and critics of the Saudi government, among others.  A federal arrest warrant was issued for Alzabarah in the United States District Court, Northern District of California, on November 5, 2019, after he was charged with acting as an unregistered agent of a foreign government.

Den person som först approcherade och lyckades rekrytera dessa två Twitter-anställda som agenter jobbade med en täckmantel under organisationen MiSK Foundation.

Information om cirka 6000 konton har läckt från Twitter uppger en källa till New York Times. Detta inträffade under 2015 och personerna fick efter ett tag lämna Twitter.

Det modus operandi som Saudiarabien följt här är eg ”by the book” och inget som är speciellt konstigt. De lyckades rekrytera två insiders som hade behörigheter att göra sökningar i Twitters databaser.

Intel åtgärdar 77 säkerhetsbrister

Intel gick nyligen ut med en mängd olika säkerhetsrelaterade uppdateringar som totalt berör 77 identifierade säkerhetsbrister. Dock är inte alla helt enkla att patcha och har gjort att flertalet operativsystem såsom FreeBSD släppt patchar för microcode. Minst en av buggarna är liknande Spectre och Meltdown som släpptes i Januari 2018.

Kör du Linux kan du se vilken version du har genom att köra något av följande kommandon:

Uppdateringar ska sedan installeras per automatik via paketet intel-microcode vid apt update.

Den sårbarhet med högst CVSS-score är CVE-2019-0169 med ett score på 9,6 som är kritiskt. Just den buggen är en remote heap-overflow som återfinnes i Intel CSME.

Hela listan med buggar som Intel åtgärdar:

Advisory IDTitleInternally FoundCVSS Range
INTEL-SA-00241Intel® CSME, Intel® SPS, Intel® TXE, Intel® AMT, Intel® PTT and Intel® DAL Advisory22 of 242.3 – 9.6
INTEL-SA-00313Intel® BMC Advisory12 of 123.7 – 9.0
INTEL-SA-00255Intel® Ethernet 700 Series Controllers Advisory10 of 115.6 – 8.8
INTEL-SA-00242Intel® Graphics Driver for Windows* Advisory5 of 84.0 – 8.8
INTEL-SA-00287Intel® WIFI Drivers and Intel® PROSet/Wireless WiFi Software extension DLL Advisory3 of 38.2 – 8.7
INTEL-SA-00288Intel® PROSet/Wireless WiFi Software Security Advisory3 of 35.3 – 8.5
INTEL-SA-00220Intel® SGX and TXT Advisory2 of 28.2 – 8.2
INTEL-SA-00240Intel® CPU Security Advisory2 of 27.5 – 8.2
INTEL-SA-00293Intel® SGX Advisory1 of 27.0 – 7.8
INTEL-SA-00280IPU UEFI Advisory1 of 27.5 – 7.5
INTEL-SA-00309Nuvoton* CIR Driver for Windows® 8 for Intel® NUC Advisory0 of 16.7
INTEL-SA-00210Intel® Processor Machine Check Error Advisory1 of 16.5
INTEL-SA-00260Intel® Processor Graphics Update Advisory1 of 16.5
INTEL-SA-00270TSX Transaction Asynchronous Abort Advisory0 of 16.5
INTEL-SA-00164Intel® TXT Advisory1 of 16.0
INTEL-SA-00219Intel® SGX with Intel® Processor Graphics Update Advisory1 of 16.0
INTEL-SA-00254Intel® SMM Advisory1 of 16.0
INTEL-SA-00271Intel® Xeon® Scalable Processors Voltage Setting Modulation Advisory1 of 15.8

Se denna sida för mer information: https://blogs.intel.com/technology/2019/11/ipas-november-2019-intel-platform-update-ipu/

Av de 77 säkerhetsbristerna som åtgärdats så har 10 st identifierats av externa personer som är följande:

  • Daniel Moghimi och Berk Sunar från Worcester Polytechnic Institute
  • Thomas Eisenbarth från University of Lubeck
  • Nadia Heninger från University of California
  • Leon Nilges från n0xius
  • Jesse Michael från Eclypsium

Test av Holm Security

Sårbarhetsanalyser har över 20 år varit en hörnsten i ett bra IT-säkerhetsarbete. Allt fler organisationer stärker upp sin säkerhet. Då landskapet ändras snabbt växer behovet av kontinuerliga skanningar. Historiskt har många inte gjort skanningar alls, eller bara enstaka skanningar internt eller externt.

Marknaden har historiskt dominerats av ett par aktörer från USA såsom Nessus från Tenable, men nu finns en alternativ produkt från svenska Holm Security.

Genom att göra kontinuerliga och automatiserade skanningar upptäcker du t.ex. löpande utdaterad mjukvara, felkonfigureringar, bristfällig kryptering och svaga lösenord. Dessutom är det ett effektivt sätt att upptäcka det man kallar blank spots, alltså delar i er IT-miljö som kan vara förbisedda.
Sårbarhetsanalyser ger dig bra kontroll på din IT-säkerhet och kombineras med fördel med mer traditionell penetrationstestning.

Skärmdump från Holm Securitys administrationsgränssnitt Security Center:

Holms backend bygger på två olika skannings-motorer som kan ses i gränssnittet ovan. En motor för webbskanningar och en för nätverksskanningar.

För den som gillar API:er och programnära gränssnitt så finns det ett REST API med exempelkod på Github här: https://github.com/holmsecurity/api-examples och dokumentation för API:et kan du hitta här.

När jag testade produkten så så körde jag tester mellan 2019-06-10 – 2019-07-06. Jag skannade en testmiljö med 37 IP-nummer och 1 st så kallad Damn Vulnerable Web Application/DVWA. Nätverksskanningen tog i snitt 13 minuter och webapplikationsskanningen 7 minuter. Rekommenderat är att köra automatiska scanningar så ofta som möjligt utan att det påverkar prestanda i applikationer eller nätverk.

Om du vill testa lokala nätverk innanför brandväggar eller liknande så finns det en Scanner Appliance (SA) som går att ladda hem som en virtuell server. Obegränsat med SA går att använda och prissättningen är satt utifrån antalet IP-adresser eller webbsajter/tjänster du vill skanna av.

Prisexempel:

Skanning av 100 IPn och 5 webbappar kostar 53 356 kr/år exkl moms.

En annan intressant produkt förutom intern och extern scanning är att du kan göra phishing-tester via E-post. Det finns ett antal standardmallar du kan använda och sedan skicka ut till organisationen och mäta statistik. Inga inviduella personer pekas därmed ut.

Skärmdump på assessments/riskanalys:

Riskanalys av användare för 250 e-postadresser kostar runt 21 000 kr/år exkl moms.

Bakom Holm Security står gänget som startade Stay Secure och som således till J2 Group år 2014. Och en annan sak de har lagt mycket krut på är onboarding-processen för nya organisationer, att det ska vara så snabbt och enkelt att komma igång.

Holm Security får 4/5 Enigmor:

Transparens: Jag sitter med i Advisory Board hos Holm Security samt äger en pytteliten andel i företaget.

Föråldrade it-system hos många myndigheter

Föråldrade it-system hos många myndigheter

Riksrevisionen släppte under morgonen en ny rapport där de har tittat på förekomsten av föråldrade IT-system hos cirka 60 större myndigheter.

Slutsatserna i rapporten är att det förekommer föråldrade IT-system i ett stort antal myndigheter samt att många myndigheter har dessutom ett eller flera verksamhetskritiska it-system som är föråldrade.

Givetvis är bristfällig cybersäkerhet en stor risk när det gäller föråldrade IT-system och 80 procent av myndigheterna uppger att man har svårigheter att upprätthålla eftersträvad nivå av informationssäkerhet.

Och när det gäller verksamhetskritiska system svarar 12 procent av myndigheterna att det är ett problem att upprätthålla eftersträvad nivå av informationssäkerhet för samtliga eller en majoritet av de verksamhetskritiska systemen.

Tittar vi på återkommande riskanalsyer så det också rätt dystert ut:

Men hur många verksamhetskritiska system finns det då hos våra myndigheter? Det varierar otroligt mycket mellan 2 och 800 där medelvärdet är 47 och en median på 11,5. Ett fåtal myndigheter har ett stort antal system och vanligtvis så är det 10–12 verksamhetskritiska it-system på myndigheterna.

Här kan du ladda hem rapporten:

Riksrevisionen: Föråldrade it-system – hinder för en effektiv digitalisering
Riksrevisionens rapport: Föråldrade it-system – hinder för en effektiv digitalisering.pdf

Bilaga 2: Enkätfrågor till myndigheter

Bilaga 3: Frågeformulär till Regeringskansliet

Säkra leverantörskedjor för styrsystem

Totalförsvarets forskningsinstitut

Totalförsvarets forskningsinstitut (FOI) har släppt en ny rapport om säkra leverantörskedjor för styrsystem. Rapporten visar på en ny trend när det gäller leverantörsskedjor som representeras av ett växande antal specialiserade leverantörer. Kedjan från leverantör till driftsatt industriellt informations- och kontrollsystem (ICS) blir då lång och komplex.

Rapporten går igenom olika regulatoriska krav såsom NIS-direktivet, Cyber Security Act och även branschpraxis samt rekommendationer från bl.a. ISO/IEC, MSB, FRA och CPNI.

Även intressanta saker såsom ansvarförhållanden och förtroendenivåer mellan operatörer och leverantörer tas upp i rapporten och hur dessa förhåller sig mellan olika standarder.

Rapporten är på 52 sidor och kan hittas här som PDF:

Säkra leverantörskedjor för styrsystem

Säkra leverantörskedjor går under benämningen Supply Chain Cyber Security på engelska. Författare till rapporten är Erik Zouave och Margarita Jaitner.

Bild på kontrollpanel av Patryk Grądys från Unsplash

checkm8 – Ny sårbarhet i iPhones

iPhone Jailbreak checkm8

Tidigare idag så släpptes det en ny exploit som fungerar till nästan alla iPhone-modeller: Från iPhone 4S upp till iPhone X och är enbart patchad i modeller som har A12 och A13 CPU:er från Apple.

Och senast en Boot ROM exploit släpptes publikt var George Hotz (geohot) som släppte en 2010.

checkm8

Sårbarheten som utnyttjas återfinnes i iPhonens Boot Rom, även kallad Secure ROM och gör att en angripare med fysisk tillgång till telefonen kan utnyttja denna sårbarhet som går under namnet checkm8.

Detta är så klart inte bra för säkerheten men en glad nyhet för alla som gillar jailbreaks. Dock har Apple haft med denna typ av sårbarheter i boot-kedjan när de byggde Secure Enclave (SEP) och det är i dagsläget oklart hur SEP kan hjälpa mot checkm8-exploiten.

För att förmildra effekterna av denna sårbarhet så rekommenderas det att du använder alfanumeriska tecken och inte enbart siffror som kod för din telefon.

Denna sårbarhet gäller även iPads och ej enbart iPhones och går ej att åtgärda från Apples sida. Men sårbarheten måste troligtvis utnyttjas tillsammans med någon annan sårbarhet för att tillgång till data eller full kontroll över en mobiltelefon:

”Researchers and developers can use it to dump SecureROM, decrypt keybags with AES engine, and demote the device to enable JTAG. You still need additional hardware and software to use JTAG” Källa

Kod finns tillgänglig här: https://github.com/axi0mX/ipwndfu

Bild på telefon av Alvaro Reyes från Unsplash

Patch-gapping

Patch-gapping är ett nytt ord på en gammal metod som successivt ökar: Nämligen att utnyttja sårbarheter som åtgärdats av leverantörer, eller är på väg att åtgärdats av leverantörer. Området är närbesläktat med zero-days och patch-gapping kan även gå under benämningen 1-days eller n-days sårbarheter.

Under tiden som leverantören åtgärdar säkerhetsbristen eller det att användare ej uppdaterat sina system eller mjukvaror så finns det ett fönster för att utföra angrepp.

Detta är så klart något som angripare tar till vara på och utvecklar exploits så snart som det finns information om sårbarheter eller säkerhetsfixar. Ett område där detta uppdagas löpande är attacker mot webbläsare.

En av de första att utnyttja och påvisa denna typ av sårbarheter var Halvar Flake som utvecklade BinDiff runt år 2004. BinDiff används framförallt för att granska patchar som släpps av Microsoft och således se vilken kod som ändrats:

Zynamics BinDiff

Mjukvaran BinDiff utvecklades av Halvars företag Zynamics som blev uppköpta av Google och numera kan du gratis ladda hem bindiff. Andra liknande mjukvaror är Diaphora, YaDiff, DarunGrim och TurboDiff.

Men oftast så behövs det inte avancerad binär diffing utan räcker med att läsa changelog samt kolla git-repot eller motsvarande. När det gäller öppen källkod framförallt.

Företaget Exodus Intelligence har skrivit om patch-gapping gällande Google Chrome några gånger.

Följande graf har några år på nacken men visar på det window of opportunity som angriparen har på sig innan användaren uppdaterar till en ny version, i detta fall Google Chrome:

Säkerhetsbrist i Google H1

Google H1

H1 är Googles säkerhetschip som återfinnes i Chromebooks. Andra smeknamn för Google H1 är Cr50 eller G Chip.

Säkerhetsbristen som återfinnes i H1 har och göra med ECDSA signaturgenerering och gör att enbart 64 bitar istället för 256 bitar entropi används för den privata nyckeln. Enligt Google gör detta att det är möjligt för en angripare att återskapa den privata nyckeln:

We confirmed that the incorrect generation of the secret value allows it to be recovered, which in turn allows the the underlying ECC private key to be obtained

Denna ECDSA-nyckel används för U2F-inloggning mot webbplatser som erbjuder multifaktorautentisering. Detta innebär således att:

  • Firmware måste uppdateras i H1-chippet. Detta görs automatiskt från och med ChromeOS 75 som släpptes 26:de Juni 2019
  • Samtliga nycklar måste bytas ut mot de sajter där U2F används för multifaktorautentisering (MFA)
  • Observera att detta enbart gäller om du använt Chromebookens strömknapp för inloggning samt MFA

Du kan även skriva in chrome://system i webbläsaren på din Chromebook och sedan titta efter cr50_version och RW-raden. Version 0.3.15 och senare innehåller ej denna sårbarhet.

Följande meddelande ”Internal security key requires reset” visas för användare som är drabbade av denna säkerhetsbrist:

Detta är så klart en pinsam miss av Google och något som bör fångas upp av tester. Men att denna typ av sårbarheter ökar är något som jag tror vi kommer att få se mer av, det var exempelvis inte länge sedan som Feitian Security Key hade en sårbarhet (på bild till höger).

Bild på chip av Harrison Broadbent på Unsplash

Nya zeroday-priser från Zerodium

Jag skrev detta inlägg på LinkedIn men tänkte dela med mig av denna information även här:

Zeroday-förmedlaren Zerodium har uppdaterat sin prislista. Intressant är att priserna kopplade till Android ökat samt Apple iOS minskat. Vad beror detta på? 🤔

Några av mina gissningar:

✅ Googles arbete med att höja säkerheten i Android har gett utdelning

✅ Större efterfrågan från Zerodiums kunder som vill ta sig in i Android-telefoner

✅ Fler typer av uppkopplade enheter använder Android. Inte bara mobiltelefoner

✅ Det finns redan många iOS-exploits på svarta marknaden

Vad tror du?

Zerodium zero-day priser

Google identifierar ny avancerad attack mot iPhones

Googles Threat Analysis Group (TAG) har identifierat en ny watering hole attack som riktar sig mot iPhone-användare. Attacken är intressant på många sätt, bl.a. så uppger Google att attacken inriktas mot en viss typ av grupp samt att det faktum att fem olika exploit-kedjor används för att ta sig in i iPhones. För en säkerhetsforskare som tar fram en enda exploit-kedja och säljer den till företag såsom Zerodium kan ge upp mot 19 miljoner SEK enligt deras publika prislista.

Gällande exploit-kedjor så anger TAG följande:

seven for the iPhone’s web browser, five for the kernel and two separate sandbox escapes. Initial analysis indicated that at least one of the privilege escalation chains was still 0-day and unpatched at the time of discovery (CVE-2019-7287 & CVE-2019-7286)

När väl dessa sårbarheter utnyttjas så installeras sedan ett implantat som har möjlighet att läsa ut meddelanden ur end-to-end krypterade appar såsom iMessage, Whatsapp och Telegram. Även så kan detta implantat följa iPhone-användaren i realtid via GPS-koordinater som skickas till en Command and Control-server.

Just kommunikationen till C&C-servern går via HTTP och ej HTTPS vilket är annorlunda. Även kan dessa unika strängar användas för att identifiera kommunikation på nätverket:

  • 9ff7172192b7
  • /list/suc?name=

Ovan två förfrågningar går över HTTP GET alternativt POST.

Spekulationer om vem som ligger bakom dessa avancerade attacker riktas mot Kina eller grupperingar kopplade till Kina främst på grund av de omfattande sårbarheterna som utnyttjas mot iPhone samt att företaget Tencent är ett företag vars appar kontrolleras:

  • com.yahoo.Aerogram
  • com.microsoft.Office.Outlook
  • com.netease.mailmaster
  • com.rebelvox.voxer-lite
  • com.viber
  • com.google.Gmail
  • ph.telegra.Telegraph
  • com.tencent.qqmail
  • com.atebits.Tweetie2
  • net.whatsapp.WhatsApp
  • com.skype.skype
  • com.facebook.Facebook
  • com.tencent.xin

Google har själva också varit sparsamma med information gällande implantatet som installeras exempelvis har ingen information om C&C-servrar publicerats. Detta troligtvis eftersom en större utredning pågår av amerikanska myndigheter.

Uppdatering: Enligt källor till TechCrunch är det Uigurer som är målet.