Gänget bakom ProtonVPN identifierade en intressant bug när det gäller VPN som etableras från Apples iOS-baserade enheter. Det är nämligen så att anslutningar som redan är etablerade innan VPN-kopplingen upprättas kvarstår. Det innebär att även om ny datatrafik går via VPN-kopplingen så kan gamla redan etablerade TCP-anslutningar ligga kvar i minuter eller flera timmar.
Ett sådant klassiskt känt exempel är Apples pushmeddelanden som nyttjar långlivade TCP-uppkopplingar.
Det finns i dagsläget två stycken workarounds, den ena går ut på att du ansluter till ditt VPN och sedan slår på flygplansläge och sedan slår av flygplansläge så har du dödat alla gamla anslutningar.
Den andar workarounden är att använda Always-on VPN, som tyvärr enbart går att slå på via MDM-profiler.
Och när vi ändå är inne på Apple iOS så tänkte jag passa på att slå ett slag för just Always-on VPN. Just för att det i dagsläget är svårt att undersöka intrång mot Apple iOS, men just Always-on VPN kan hjälp att identifiera intrångsförsök, intrång eller exfiltration. Genom att köra trafiken genom en punkt där ni har goda möjligheter att undersöka vad som går till och från Apple-telefonerna.
Nåväl, vi kan alltid hoppas att Apple EndpointSecurity Framework kommer till iOS i framtiden och inte enbart macOS.
Oklart hur dessa påverkar VPN-leverantörer såsom Mullvad och OVPN som baserar sin mobilkoppling på OpenVPN. Men troligtvis är dessa också sårbara eftersom OpenVPN Connect till iOS lägger till en VPN-profil i telefonen.
Uppdatering 2020-11-20: Moloch har nu bytt namn till Arkime. Läs mer om bakgrunden till namnbytet här.
Jag har haft på min todo-lista ända sedan det första släppet av Moloch som var år 2012 att jag ska testa verktyget. Moloch utvecklades innan 2012 internt hos AOL men släppte det sedan fritt för allmänheten. Dock så dröjde ända tills November 2019 innan jag fick bekanta mig mer med verktyget.
Moloch är ett verktyg som låter dig göra indexerade sökningar i stora mängder data. Säg exempelvis att du lagrar många hundra terabyte av PCAP-data och vill hitta vilka datorer på ditt nätverk som pratat med en viss IP-adress. Att göra en sådan sökning i mängder med PCAP:s kan ta otroligt lång tid. Du kan så klart använda Argus-metadata för att snabba upp sökningen men Moloch är mer användarvänligt samt avkodar information om varje protokoll också, som så klart också är sökbart.
Som backend använder Moloch sökmotorn Elasticsearch som är skriven i Java. Även så tillför Moloch ett snyggt webbgränssnitt och ett REST-API.
Förutom själva webb-gränssnittet så finns även mjukvaran moloch-capture med som antingen kan importera PCAP-filer offline eller läsa av data direkt från ett interface.
Du kan även enkelt tagga upp information från andra system såsom Maltrail eller Suricata och sedan se dessa taggar eller söka på taggarna i Moloch via API:et eller verktyget som följer med:
capture/plugins/taggerUpload.pl localhost:9200 ip iptagdata tag tag .. tag
capture/plugins/taggerUpload.pl localhost:9200 host hosttagdata tag ..
capture/plugins/taggerUpload.pl localhost:9200 md5 md5tagdata tag
capture/plugins/taggerUpload.pl localhost:9200 email emailtagdata tag
capture/plugins/taggerUpload.pl localhost:9200 uri uritagdata tag
Det jag gillar mest med Moloch är att den kan avkoda ett antal olika protokoll såsom DNS, SSH, HTTPS, HTTP, DHCP, radius, socks osv.
För att ge ett exempel på en av många Threat Hunting teser du kan köra:
Vilka unika HASSH klient fingerprint SSH finns det och vart ansluter dom?
Så steg ett är att exportera dessa, exempelvis genom att gå på SPI-vyn och sedan Export unique HASSH. Då öppnas en ny länk med följande tre HASSH-fingerprints:
Tre unika HASSH (bilden är maskad)
Sedan klickar jag på Sessions-fliken och kan söka på sessioner med någon av dessa unika HASSH-fingerprints:
Sökning på en unik hassh i Moloch, bilden är maskad.
Om du är observant så ser du även att det finns en flik som heter Hunt. Den kan användas för att göra klartext-sökningar med intervaller, tyvärr inte så användbar om du inte kör TLSI (TLS Inspection).
Du kan även lägga upp något som heter Cron-queries som körs vid intervaller som sedan skickar notifieringar via Slack, E-post eller Twilio.
Sammanfattning Moloch
Verktyget är gratis att använda och stödjer Er verksamhet i att analysera nätverkstrafik. Det är ingen hög inlärningströskel och kan snabba upp arbete som i dagsläget kanske är mindre effektivt.
Moloch kompletterar andra open-source verktyg såsom Zeek och Suricata mycket bra.
Även har Moloch möjlighet att exportera data som PCAP från sessioner, vilket gör det enklare också om du vill analysera en händelse ytterligare med exempelvis Wireshark.
Uppdatering: Nu har Microsoft släppt information också. De skriver att du kan använda följande Powershell-oneliner för att stänga av SMBv3-komprimering tillsvidare:
Information har nyligen släppts angående en sårbarhet i Windows hantering av SMBv3-protokollet. Denna sårbarhet kan jämföras med EternalBlue som var mycket allvarlig, dock så var det sårbarhet i SMBv1. Efter malware såsom WannaCry, NotPetya och BadRabbit så hoppas jag verkligen att SMB-kommunikation är begränsad i många nätverk.
Fortiguard som varit snabba att släppa information uppger att det är nedan operativsystem som är sårbara. Titeln på Fortguards sida är: ”MS.SMB.Server.Compression.Transform.Header.Memory.Corruption”
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
Denna sårbarhet går under CVE-2020-0796 och enligt en cachad sida hos Cisco Talos så verkar det som om Cisco felaktigt trodde att Microsoft patchat denna under dagens patch-tisdag.
Följande sökning ligger kvar hos sökmotorn DuckDuckGo:
Enligt Niall Newman på Twitter så går det att stänga av stödet för komprimering i SMBv3 med följande registernyckel, dock otestat:
Så slutsatsen är att detta kan leda till en ny mask som sprids snabbt. Microsoft kan tvingas att släppa en patch i förtid och enligt ovan så kan det eventuellt gå att stänga av komprimering i SMBv3.
Svar: Mellan 1 och 100% av alla attacker enligt en ny undersökning. Läs mer nedan.
Finska cybersäkerhetsföretaget Fraktal bestämde sig för att göra ett test för att se hur väl en Web Application Firewall (WAF) fungerar.
Det finns rätt många WAF-leverantörer på marknaden och Fraktal fokuserade enbart på Azure Waf Amazon Managed, AWS WAF Fortinet Managed, Azure Waf with CRS 3.1 samt Barracuda WAF-as-a-Service.
Jag kan säkert komma på minst 10 andra WAF-tjänster som ej är testade, vilket är lite tråkigt.
Testresultatet ser ut enligt följande:
Och detta resultat är rätt anmärkningsvärt. Främst för att vissa produkter enbart fångade upp 1-2% av attackerna samt andra konstigheter såsom:
AWS Managed WAF hanterar POST och GET olika. Följande anrop blockerades i GET men inte i POST: %2e%2e//etc/passwd
Barracuda blockerar om ‘ är det enda i ett anrop. Men inte anrop såsom eval(‘sleep 5’)
Slutsatsen från denna undersökning tycker jag bottna i att vi ej bör lita helt på en WAF utan att den enbart fångar mellan 1-100% beroende på vilken WAF som används.
En WAF kan fånga lågt hängande frukter och en angripare med någorlunda kunskap bör kunna ta sig förbi en WAF.
CRS står för Core Rule Set och kommer från OWASP. Azure WAF har som standard version 3.0 och den nyaste versionen är 3.1 som man själv kan slå på. Version 3.1 innehåller fixar för false positives, file upload regler, Java-attacker och mer.
Givetvis kan även OWASP Core Rule Set även användas med ModSecurity/NAXSI och webbservrar såsom Nginx och Apache.
Ett återkommande tema på denna blogg är att skriva några rader gällande den årsrapport som FRA publicerar. Årsrapporten för året 2019 släpptes igår Torsdag den 20:de.
Årsrapporten ger oss en inblick i en verksamhet som omfattas av mycket sekretess. Men först, på uppmaning av FRA: lös kryptot nedan.
KODSXTTUMEVSXENXTEÄOGSUXRKCR
KTFIEHIALÖGRXTPAREHIEXNXSENT
Årsrapporten inleds av ett förord av FRA:s nya generaldirektör Björn Lyrvall som varit på plats sedan några veckor tillbaka. Från tiden att Dag Hartelius avgick tills det att Björn var på plats så var Charlotta Gustafsson tillförordnad GD (och numera överdirektör).
Rapporten går även igenom nya initiativet Sommarlovön där 15 stycken gynmnasieungdomar fick testa på att hacka och försvara en fiktiv myndighet. Som hjälp hade eleverna experter från FRA:s avdelning för cyberverksamhet.
Samverkan är en viktig del och det nya säkerhetscentret nämns givetvis i rapporten också, även framhålls det att NCSC ofta framhålls som en väl fungerade enhet.
Cyberförsvarspodden och Tekniskt Detekterings- och Varningssystem (TDV) nämns också samt att fler verksamheter har fått systemet installerat. Jag har tidigare skrivit om TDV här på bloggen ett antal gånger.
Nygamla hot såsom gråzons-problematiken och icke-linjär krigföring (hybridhot) tas också upp.
Under förra året har det kommit ny lagstiftning som tydligt klargör att FRA:s underrättelserapporter inte får användas i en brottsutredning och i rättsskipning. Detta gör att FRA kan rapportera även under en pågående förundersökning.
Här nedan du ladda hem årsrapporten i sin helhet (PDF)
Detta är en sammanfattning av eftermiddagens pass under Cyberförsvarsdagen 2020. Du kan läsa om förmiddagen här
Moderator Lasse Larsson från Sectra inleder passet.
Kvantdatorer, när eller fjärran
Talare: Niklas Johansson, Linköpings universitet
En kvantdator kommer inte lösa alla problem utan enbart vissa specifika.
Grovers algoritm och Shors algoritm kan användas för att snabba upp beräkningar och gör asymmetrisk kryptering osäker.
Kvantkrypto är främst kommunikationsprotokoll som är kvantsäkert.
Frågan som återstår och som alla försöker svara på är när en kvantdator kan användas för att dekryptera eller focera krypterad information. Men frågan som återstår är om man verkligen behöver en kvantdator?
Kryptotexter samlas in idag för att avkrypteras i framtiden
AI för försvar och säkerhet
Talare: Linus Luotsinen, FOI
Djupinlärning som är ett område inom AI och maskininlärning som talaren kommer att fokusera på i denna presentation. Men precis som kvantdatorer så kan djupinlärning användas för att lösa specifika uppgifter.
Målsättningen är att bli effektivare och skriva bättre mjukvaror. Men i dagsläget så skiftas bara tiden från utvecklare till forskare.
Inom försvar och säkerhet har vi svårt att dela med oss av data så vi har svårt att hitta stora datamängder. Men vi kan göra detta via metainlärning där vi lär oss att lära via exempelvis simulatorer. Förklarbar artificiell intelligens är ett område där operatören måste förstå och ha tillit till hur AI:n fungerar. Det har även att göra med med etik och lagar också.
Hur man kan manipulera maskininlärningsalgoritmer är ett område där FOI forskar, dvs hackbar AI eller AI som hackas. Samt hur man bygger skyddsmekanismer mot detta.
5G och global säkerhetspolitik
Talare: Hosuk Lee-Makiyama, European Centre for International Political Economy (ECIPE)
Det finns en stor skillnad mellan Japan och Kina. Japan var det stora hotet under 80-talet och man pratade om Sony men det blev Spotify som tog över. Kommuniststyret är en av Kina största tillbakahållare i dagsläget för att de ska öka.
En myt eller missförstånd om Huawei är att företaget har en militär bakgrund. Att grundaren har jobbat på PLA är sant men inte helt konstigt men det har faktiskt de flesta. Det andra stora kinesiska bolaget ZTE är givetevis statligt.
Underrättelselagen i Kinas lagbok är den som är intressant där alla företag måste ge staten tillgång till källkod eller lägga in bakdörrar.
Marknadsbegränsningar och fysiska begränsningar mot Huawei räcker inte. Frågan är hur staterna kan hålla borta dessa företag och vilka resurser har staterna att göra det, för det är ju förenat med en kostnad.
Vikten av svenska moln
Talare: Daniel Fäldt, Saab
Sverige ligger bra till när det gäller digitalisering, vi ligger på topp fem i världen. Men när det gäller säkerhet så ligger vi runt 17:de plats.
Vi ska bli bäst i världen på digitalisering enligt Regeringen och Riksdagen. Datadriven digital innovation, förmodligen något med AI.
Ett moln är effektivtet, robusthet och säkerhet.
Daniel visar på ett dokument som kommer från Snowden-läckorna där det står att Sverige är ett hot när det gäller ny teknik.
Digital information är Sveriges nya råvara!
Daniel Fäldt, Saab
Panelsamtal: Hur nyttjar vi teknikens trender och dess utveckling och samtidigt säkerställer säkerheten
Niklas Johansson, LiU
Linus Luotsinen, FOI
Daniel Fäldt, Saab
Hosuk Lee-Makiyama, ECIPE
Hosuk säger att det spelar ingen större roll vilket moln vi väljer, se exempelvis bundes-molnet i Tyskland där man kör allt på egna servrar. Men servrarna är kinesiska. Ryssland är också en partner med Kina och ser sig som nummer två och ser som gemensam part att bryta upp europa.
Linus berättar att varje universitet i USA har en neuronnätsforskare vilket vi inte har i Sverige. Givetvis har vi duktigt folk i Sverige men inte på den bredden som finns där. Vi får försöka bli duktiga på det vi kan och hitta ett eget spår.
Vad kan man göra med Googles kvantdator som har 50 qubit? Problemet som Googles kvantdator löser är ett ickeproblem. Man genererar brus som är svårt att återskapa med en vanlig dator.
Carolina berättar om att bilden om spionage inte stämmer överens med verkligheten. Hon berättar om gripandet för ett år sedan då Säkerhetspolisen grep en person som jobbade på uppdrag av Ryssland, han drev ett eget IT-företag och försåg en lokal SVR-agent med information.
HUMINT eller personbaserad inhämtning är ett hot mot alla typer av organisationer och många tänker att men det händer ju inte mig.
Tillfälle, motiv och bristande inre kontroll används för att rekrytera en insider. Sergej Skripal greps av GRU och släpptes senare vid ett spionutbyte men förgiftades senare år 2018 i Storbritannien av nervgiftet Novitjok.
Desto bättre tekniska lösningar vi omger oss av desto större motiv har angriparen att rekrytera en insider.
Carolina Angelis
En person kan ändras under tiden men varningssignaler kan vara lite farligt att titta på. Men det farligaste är att helt strunta i att reagera och säga sedan ”jo vi såg ju detta komma, men ingen har gjort något”.
Eliza frågar: ”Vilken av följande parametrar tror du kommer att påverka hot- och riskbilden mest de kommande 5 åren?” Flest röstade på människan.
Gråzon – Vilka områden i gråzonen anser du har blivit normalläge? Svaret cyberangrepp vinner.
Vilken/ vilka är den/ de viktigaste framgångsfaktorerna för en lyckad organisationsöverbryggande samverkan? Förtroendefullt nätverk är svaret med flest röster.
Vem borde vara huvudansvarig för att ha en helhetsbild av säkerhetsläget i svensk IT-infrastruktur? Nya nationella cybersäkerhetscentret fick flest röster.
Vilken är den viktigaste prioriteringen de kommande fem åren för ett stärkt nationellt cyberförsvar?
Ett väl fungerande cybersäkerhetscenter med deltagande av näringslivet fick 70%.
Sveriges digitala suveränitet kräver en helhetsbild
Första talaren är André Catry vid Nixu och berättar att cyber är den femte krigsdomänen: cyberdomänen. André är också stolt över att NSA måste spionera på Sverige och refererar till Daniel Fäldts presentation.
Vi behöver zooma in för att inte se allt brus där ute när det gäller intrångsförsök. Att titta på insidan är det viktiga och tittar på vad som händer i vårat nätverk.
Men fler noder ger fler detaljer och detta var en idé som således in till KBM redan för 20 år sedan. Men hur ingriper man detta då? Jo genom IT-försvarsförbandet. Men sedan tog FRA över och valde då att hemligstämpla allt.
Transparens är inte direkt underrättelsetjänstens signum.
André Catry
Vad måste vi göra då undrar André? Jo följande saker måste genomföras:
Gemensam lägesbild för Sverige – Offentligt och privat. Omvärldsbevakning samt med våra grannländer
Nationell insatsledning – Någon som kan peka med hela handen: En cyberczar
Sekretess – Integritet – Detta är en avvägning
Digital suveränitet – Vi måste äga datan
Panelsamtal: En helhetsbild av det nationella läget – kan Sverige se den bilden?
Moderator: Vesa Virta, FRA
Panelen innehåller:
André Catry, Security Advisor NIXU
Magnus Lundgren, Business Development, Recorded Future
Mathias Bjarme, FM CERT
Mathias ser att man gärna delar Försvarsmaktens lägesbild precis som man delar med sig av luft eller vattenlägesbilden.
Räkna med Försäkringskassans utbetalningar som del av lägesbilden säger Magnus på Recorded Future.
Bör vi titta på Snort eller är det Nmap och Shodan vi ska använda undrar Vesa? Man bör göra allt hela tiden anser André.
Magnus tycker att man kan benchmarka sig mellan sektorer och Vesa frågar sig om man bara behöver springa om sin kompis när man blir jagad av björnen.
Ett cybersäkerhetscenter bör placeras där kompetens finns såsom universitet och högskolor.
Mathias avslutar med att alla bör försöka vara med i Locked Shields för det bygger förtroende. Magnus tycker organisationer ska budgetera för säkerhet.
Framåt – vad behöver göras framåt för att stärka Sveriges cyberförsvar?
Moderator: Nina Larsson, 4C Strategies
Paneldebatt med:
Pernilla Rönn, Combitech
Pontus Johnson, KTH
Jonas Lejon, Triop (undertecknad)
En fråga som lyfts upp från moderatorn är utbildning och vad som behöver göras inom området. Pontus berättar om deras satsning på KTH att utbilda cybersoldater.
Jag anser att vi alla måste vara ambassadörer för yrket och försöka få fler att bli intresserade av cybersäkerhet.
Även så togs frågan upp om hur vi ska mota bort antagonister som har en lång uthållighet som sträcker sig över flera år. Där tipsar jag om att bedriva uppsökande verksamhet samt titta där ingen annan tittar.
Pernilla framhåller vikten av mångfald inom branschen och skulle gärna se flerr kvinnor inom området, vilket det är brist på.
Detta är en sammanfattning av förmiddagens pass under Cyberförsvarsdagen 2020. Du kan läsa om eftermiddagen här
Inledning
Dagen började med att två generaldirektörer, en generalsekreterare och chefen för Försvarsmaktens LEDS CIO pratade om vad som är normalläge och vad som är gråzon.
Enligt FRA så befinner vi redan i en gråzon och detta ser FRA genom sin signalspaning såsom TDV-systemet. Angriparna är ute efter våra innovationer och konkurrenskraft instämmer Robert Limmergård.
De stora resurserna har statsunderstödda aktörer men enskilda små hacker-aktörer
Cybersäkerhetscentrets viktigaste uppgift enligt paneldeltagarna:
Björn Lyrrvall – Genom samverkan kan vi bättre skydda våra system
Dan Eliasson – Vi jobbar nära med andra myndigheterna och poolar våra resurser och får då bättre detekteringsförmåga
Robert Limmergård – Viktigt att vi inte häller ner informationen i ett stort svart hål.
Lennart Kvannbäcken – Viktigt att det finns personal i form av kött och blod och att samverkan blir mer än bara papper.
Annika Avén frågar panelen om bra exempel på samverkan mellan myndigheter och civila samhällen. Några exempel på bra samverkan som lyfts upp är FIDI-grupperningarna, arbetet via DIGG samt att bara denna dag är ett bra exempel. NSIT lyfts också upp som en bra gruppering, mycket av infrastrukturen ägs av den privata sidan.
Paneldebatt: Hotbild – Ansvar – Övningar
Moderator Martin Waern, Scandinavian Risk Solutions (SRS)
Lägesbild och hotbild
Inledningstal inför passet är Jan Berg som är chef för TDV på FRA berättar om hur hotbilden förändrats på 20 år samt att det finns runt hundratalet aktörer i dagsläget.
Hur mycket resurser behövs det för att bedriva denna typ av cyberattacker? Det finns otroligt många verktyg som open-source men även kommersiella verktyg.
Vad är det för aktörer som håller på med datorintrång? Grupperingar som är löst eller hårt knutna till olika stater, drivs av ekonomiska och politiska motiv. Agendan spelgas i den underrättelseinhämtning som genomförs.
Intressant kreativt scenario som Jan tar upp är intrånget mot den svenska dopingorganisationen. Man såg det nästan komma eftersom samma aktör troligtvis genomfört attacker mot WADA, World Anti-Doping Agency.
CloudHopper (APT10) samt Operation Soft cell är två intressanta operationer som visar på när antagonister går på tjänsteleverantörer.
Det tar i snitt 200 dagar innan ett intrång upptäcks, vad får det för konsekvenser för Er frågar sig Jan Berg på FRA. Ha ett långsiktigt arbete för det har aktörerna.
Panelsamtal: Signalskydd och hotbilden – är vi på rätt väg?
Panelen består av följande personer:
Jan Berg, FRA
Jens Bohlin, Tutus
Roger Forsberg, MSB
Peter Eidegren, Försvarsmakten
Många affärsdrivna verksamheter tänker inte först och främst på hotbilden när man försöker vara kreativa.
Nya signalskyddsföreskrifter finns nu på plats och har tidigare bara gällt för myndigheter. Andra verksamheter har tidigare använt signalskydd men inte varit reglerade av föreskrifterna. Men nuförtiden omfattar instruktioner och föreskrifter många fler organisationer.
Det finns bra och tydliga rutiner för Sveriges signalskydd, och det skapar förtroende berättar Peter Eidegren. Vad som också är nytt är att MSB som tidigare haft ansvaret för tilldelning av signalskydd så erbjuds nuförtiden enbart nyttjanderätt (en typ av lån).
Roger Forsberg berättar att MSB har möjlighet att besluta vilka som har tillåtelse att nyttja signalskydd. Man tecknar då en överenskommelse med MSB, signalskydd är av Svenskt nationellt säkerhetsintresse.
Man har även en plan framöver och anskaffar system samt försöker lägga dem på hyllan, men ibland kan de ta upp till ett år att få kryptosystem.
Jens Bohlin berättar om industrins utmaningar med att ta fram kryptosystem. Det är viktigt att jobba agilt och parallellt så inte utvärderingen av kryptosystem tar för lång tid och systemen är föråldrade när de väl kommer ut.
Behövs det verkligen fyra myndigheter som är ansvariga för krypto i Sverige frågar sig Martin? Det finns givetvis effektivitetsvinster säger Jens.
Roger avlutar paneldebatten och berättar om att dagens kryptosystem kan lösa många av organisationernas behov upp till nivå kvalificerat hemlig. Det gäller att vara kreativ och mycket går att köra över IP såsom IP-telefoni samt video.
Panelsamtal: Hur håller vi igång vårt fungerande samhälle?
Moderator: Torsten Bernström, CGI
Panelen består av följande deltagare:
Överste Patrik Ahlgren, Försvarsmakten
Mattias Wallén, SRS
Martin Allard, 4C Strategies
Martin berättar angriparen angriper oss där vi är som svagast och tar upp fel faktorer för fungerande försvar:
Försvarsmakt
Förtroende
Försörjningsberedskap
Fortifikation
Förfogande
När man arbetar med en utredning så har man ett direktiv att utgå ifrån. Och vill man annat får man prata med departementet.
Patrik berättar om vad en kvalificerad aktör kan ställa till med i samhället och att det inte går att åstadkomma 100%-ig säkerhet. Man måste räkna med bortfall. Ett exempel är att det måste finnas alternativa metoder för betalningar.
Alla i Sverige har ett ansvar att bidra till försvarsviljan anser Patrik. Ett robust samhälle går inte att bygga med den moderna tekniken, det är en utopi.
Svagheterna finns inte alltid där man tror och det ser ut som en lasagne och inte som stuprör säger Mattias. Lyfter upp dolda beroenden såsom OpenSSL samt sårbarheten Heartbleed.
En bra grundsäkerhet är att tjänsteleverantörerna klarar av de kända säkerhetshoten berättar Patrik.
Finns det en idé om K-företag 2.0, frågar moderatorn Torsten till Martin. Det finns flera skäl till att den inte går att införa systemet såsom upphandlingsregler. Regler runt konkurrens och EU är några delar som gör det svårare. Vilka företag ska omfattas om krigsplaceringar frågar Martin publiken.
Gemensamma privat-offentliga övningar för ett stärkt cyberförsvar
Moderator: Torsten Bernström, CGI
Paneldeltagare:
David Olgart, Försvarsmakten
Erik Biverot, lagledare LockedShields
Daniel Vikström, Afry
David börjar med att berätta om övningen SafeCyber och Försvarsmaktens beroenden av olika företag och organisationer. Övning leder till att stärker cyberförsvarsförmågan.
Teknisk incidenthantering och rapportering. Kopplade mot diskussionsövningen
Riskhantering och beslutsfattande
Genomförde forskning. Hur genomför man effektivt incidenthantering?
Forskning på lägesuppfattning.
De mjuka delarna var också viktiga och att folk lärde känna varandra och den viktigaste erfarenheten var att fler ville köra övningar.
Erik berättar om CCDCOE och övningen Locked Shields samt att det var 23 tävlande lag från olika nationer.
Sverige hamnade på tredje plats under 2019 och det är otroligt bra då enbart Tjeckien och Frankrike hamnade före. Hela miljön är öppen och inget hemligt hanteras.
Hur organiserar sig ett tillfälligt sammansatt team är intressant forskning nämner Daniel och något som Gazmend Huskaj forskar på.
Moderatorn Torsten frågar panelen hur kunskapen sprids från övningar: David tipsar om FOI:s rapport som går igenom samt nämner MSB:s handbok för övningar.
Man måste vara ödmjuk säger Erik och detta är en kompetensdriven faktor, mycket hänger på vilka individer vi får tag på. Informella kunskapsöverföringen är också viktig säger Erik.
Nationellt Cybersäkerhetscenter – Storbritannien
Moderator: Richard Oehme, Knowit
En talare från brittiska UK Nation Cyber Security Center, NCSC berättar om Storbritanniens satsning och vad de har lärt sig om de senaste tre åren.
De försöker göra det enklare för företag och privatpersoner att använda Internet säkert. De försöker också bli mer transparenta och är en del av GCHQ, FRA:s motsvarighet i Storbritannien. Om en attack mot elnätet skulle inträffa så skulle det vara till NCSC som folk skulle vända sig till.
De har projekt just nu för att säkra upp smarta elnät och kritisk infrastruktur inom området smarta städer. Annat de har utgivit är en broschyr för småföretagare om cybersäkerhet.
En annan lyckad satsning som nämns är Exercise in a box som gör det enkelt för små företag och organisationer att öva. Allt är givetvis gratis som NCSC gör:
Exercise in a Box is an online tool from the NCSC which helps organisations test and practise their response to a cyber attack. It is completely free and you don’t have to be an expert to use it.
En av det mest intressanta sakerna jag tyckte hon nämnde var automatiskt nedtagning av phishing-webbsajter samt möjlighet att stoppa andra attacker automatiskt, går under namnet Active Cyber Defence (ACD).
Säker rekursiv DNS som de utvecklat tillsammans med civila sektorn som blockerar osäkra sajter (PDNS).
Ett tydligt mandat och en budget var två av framgångsfaktorerna för det brittiska cybersäkerhetscentret men även att de är samlokaliserade med GCHQ.
Jag blir kontaktad då och då av organisationer som behöver hjälp att hantera cyberincidenter. Som tur var så lämnar de flesta incidenter någon form av spår som gör det möjligt att i efterhand spåra och dra slutsatser från incidenten. Men med goda förberedelser så kan Er organisation bli bättre på att hantera incidenter.
Den första frågan du bör ställa dig är: Har Er organisation redan rutiner på plats vid en cyberincident? Om inte så börja med att efterfråga en redan nu eller upprätta en rutin.
Betänk även att de flesta incidenter uppdagas genom att en extern part kontaktar Er och informerar om en incident som drabbar Er. Därför är det bra att ha kontaktuppgifter tillgängliga till säkerhetsavdelningen såsom E-post: [email protected] eller en webbsida som upplyser om vem man ska kontakta.
Glöm inte att löpande dokumentera allt som händer och vid vilka tidpunkter. Upprätta även en incidentrapport som ni uppdaterar hela tiden.
Koordinera och informera
Vem är det som bör informeras om incidenten. Finns det en säkerhetschef eller IT-säkerhetschef? Bör VD och styrelse snabbt informeras samt press-avdelning om externa frågor börjar att inkomma från allmänheten eller journalister.
Följande bild kommer från NIST SP 800-61r2 och beskriver hur kommunikation kan ske till och från ett Incident Response Team:
Isolera och begränsa
Att snabbt isolera och begränsa incidenten är också en viktig faktor, men betänk även att om det är ett pågående intrång så kan personen eller personerna i fråga ändra sitt beteende om de upptäcker att de blivit bortkopplade eller upptäckta.
Ett exempel på hur en server eller klient kan isoleras är att helt enkelt att fysiskt koppla bort den från nätverket och låta den fortsätta köra.
Säkra bevis
Att snabbt se till att säkra bevis efter incidenten är viktigt. För desto längre tid som går desto mer bevis kan gå förlorade. Det kan röra sig om ram-minne som försvinner om en server eller klient stängs av eller logg-filer som roteras och raderas efter en viss tid.
Titta vilka brandväggsloggar ni har, E-postloggar och AD-loggar samt andra relevanta loggfiler. Säkra upp dumpar av RAM-minne, hårddiskkopior och annat.
Det kanske är så att ni även måste kontakta en extern driftpartner eller organisation för att erhålla loggfiler.
Utreda omfattningen
Om det är ett intrång så är det viktigt att utreda exakt vilka system som drabbats av intrånget. Vid en överbelastningsattack så är det bra att veta vilka system som attackeras. Och när det gäller informationsläckage så måste ni veta exakt vilka uppgifter som ni blivit av med när, samt hur.
Vilka legala skyldigheter har organisationen och regelverk är det som måste följas såsom GDPR? Där det är 72 timmar som ni har på Er att informera Datainspektionen om personuppgiftsincidenter.
Rensa upp och återställ
Först och främst rekommenderar jag alltid att installera om och börja om från början. Men det är sällan så lätt i en komplex IT-miljö där det finns hundratals servrar och kanske tusentals användare och klienter.
Återställning handlar oftast om att rensa upp innehåll i databaser, se över användare och patcha eventuella system om sårbara produkter utnyttjas.
Lär av incidenten
Att dra relevanta slutsatser och förbättra på sitt cyberförsvar är något som Er organisation ska göra efter och under en incident. En incident är sällan en enskild isolerad händelse och har det inte hänt innan så kommer det troligtvis att inträffa en incident.
Hur kan ni upptäcka attacker tidigare och förbättra på rutinerna för att återställa verksamheten och minska påverkan i den operativa verksamheten.
Betänk även att en incident kan dra ut på flera dagar, veckor eller månader. Därför är det viktigt att ni har en eller flera som kan rotera huvudansvaret för incidenten vilket bidrar till bättre uthållighet. Därav också det viktiga med att dokumentera allt, så det blir lättare att lämna över och följa upp.
Utbildning
Jag skulle nästan påstå att organisationer som övar, informerar samt utbildar sin personal löpande i att hantera incidenter kommer att bli bättre på att hantera dessa den dagen de uppstår.
Att alla i organisationen känner till hur de ska hantera och identifiera incidenter är av stor vikt. Och om ni känner att det finns brister i dagsläget så tveka inte att ta in hjälp, det finns många företag som hjälper till med alla steg jag har listat i detta blogginlägg.
Nästan varje år har jag försökt att skriva om vilka trender inom cybersäkerhet som jag tror vi kommer att se framöver samt andra iakttagelser. Dessa spaningar är givetvis fria att använda inom Er egen organisation och sprida vidare eftersom allt innehåll på kryptera.se är licensierat med Creative Common Attribution 4.0 International (CC BY 4.0).
Password Spraying och Credential stuffing
En återkommande fråga jag får är: ”När tror du att lösenord försvinner?” och hur vi än gör så kommer vi att dras med lösenord och PIN-koder ett bra tag framöver. Detta är så klart något som antagonister också drar till nytta och hittar fler plattformar och protokoll att försöka gissa korrekta användarnamn och lösenord.
Min spaning är att ännu mer plattformar och protokoll kommer att utsättas för forceringsförsök gällande användarnamn och lösenord. Även spår jag att attacker som utnyttjar 2FA kommer att öka bla genom MITM (man-i-mitten).
Zero trust och Assume Breach
Vi måste bygga våra nätverk och IT-arkitektur på ett sådant sätt så att även om angriparen kan ta sig in till en enskild klientdator så kan hen inte eskalera sina rättigheter eller ta sig vidare utan att detta snabbt upptäcks och utreds. Detta ställer också krav på att Threat Hunting ständigt pågår samt att det finns bra lösningar för Endpoint Detection and Response (EDR).
Det är viktigt att ha en baseline över hur Er miljö ser ut och vilken nätverkstrafik som flödar vart, vilka mjukvaror ska vara installerade osv. För det är då det också är enklare att identifiera avvisande mönster. Förutsätt att angriparen redan är inne i era nätverk och gör det svårare att komma åt affärskritisk information.
Bild över Googles Zero-trust initiativ BeyondCorp:
Appliance hacking
Under året har vi sett flertalet stängda plattformar (On-Premise) såsom Citrix NetScaler, Pulse Secure, Fortigate (se blogginlägg här). Eftersom härdningen av dessa plattformar många gångar är eftersatt och loggningen är bristfällig så är det även svårt att utföra forensiska undersökningar eller upptäcka intrång.
Samt så står dessa enheter som oftast i en central punkt där många ansluter eller mycket trafik passerar vilket gör detta till en guldgruva för antagonister. Förutom att läsa av och modifiera trafik som går genom enheten så kan det även finnas möjlighet att angripa klienter som ansluter.
Inom detta område så räknar jag även in Supply Chain Cyber Security, för allt som ansluts och kopplas in i era system bör kontrolleras, avgränsas eller isoleras. Betänk även att firmware/mjukvaru-uppdateringar kan påverka Er miljö positivt eller negativt gällande säkerheten.
Threat sharing
Denna spaning är nog mer en förhoppning från min sida. Nämligen att fler organisationer blir bättre på att dela med sig av IOC:er och information om intrång. Mer transparens och system för att möjliggöra automatisk och snabb delning av hotinformation, såsom MISP eller TheHive.
Om du jobbar inom en specifik bransch så skulle jag påstå att det är av stor vikt att ni delar med Er av hotinformation inom just Er bransch.
Inom rubriken Threat Sharing så vore det även tjänstefel om jag inte nämnde MITRE:s ATT&CK-ramverk som löpande utvecklas och gör det lättare att dela med sig av sådant som inte är rent tekniska IOC:er såsom Tactics, Techniques and Procedures (TTPs). Vilket kan förevisas med David J Biancos Pyramid of Pain:
Ett medskick till Er organisation är att undersöka hur ATT&CK går att använda i Era säkerhetsprodukter såsom antivirus-mjukvara.
Övriga bubblare på listan
Ett ständigt återkommande problem är alla uppkopplade prylar (Internet of Things) där dagligen nya sårbarheter uppdagas. Detta kommer troligtvis inte att minska i takt med att fler saker blir uppkopplade, samt att fler fordon etc blir uppkopplade. Och kommer 2020 vara året då vi kommer att få se fler säkerhetsprodukter med Artificiell intelligens (AI)?
Några tidigare års trendspaningar inom cybersäkerhet och kryptering hittar du här:
NSA gick precis ut och varnade för en ny krypto-relaterad sårbarhet som drabbar samtliga installationer av Windows 10 samt Windows Server 2016/2019. Även påverkade är tredjepartsprogram som använder vissa kryptofunktioner i Windows.
Även skriver NSA att angripare med en god förmåga kommer snabbt att förstå hur dessa sårbarheter kan utnyttjas samt kommer att försöka utnyttja dessa nya sårbarheter.
Exempel där denna bristfälliga signaturvalidering förekommer är:
HTTPS-anslutningar
Signerade filer och signerad E-post
Signerade binärer som startas som användare
Och rekommendationen som åtgärd är att snabbt som ögat installera månadens patchar från Microsoft som släpptes idag. Denna sårbarhet har fått CVE enligt: CVE-2020-0601.
För att upptäcka intrångsförsök eller utnyttjande av bristerna som åtgärdas så kan verktyget certutil eller openssl användas rekommenderar NSA, specifikt på följande sätt:
certutil –asn <certificate_filename>
openssl asn1parse –inform DER –in <certificate_filename> –i –dump
Eller
openssl x509 –inform DER –in <certificate_filename> –text
Håll då koll på avvikande elliptiska kurvor skriver NSA:
Review the results for elliptic curve objects with suspicious properties. Certificates with named elliptic curves, manifested by explicit curve OID values, can be ruled benign. For example, the curve OID value for standard curve nistP384 is 1.3.132.0.34. Certificates with explicitly-defined parameters (e.g., prime, a, b, base, order, and cofactor) which fully-match those of a standard curve can similarly be ruled benign.
Certificates containing explicitly-defined elliptic curve parameters which only partially match a standard curve are suspicious, especially if they include the public key for a trusted certificate, and may represent bona fide exploitation attempts.
Kom ihåg att du även kan läsa ut certifikat från PCAP och nätverkstrafik och sedan granska dem enligt ovan.
Mycket bra att NSA har rapporterat denna brist/brister till Microsoft så en patch kunde släppas. Inga aktiva försöka att utnyttja denna sårbarhet har identifierats rapporterar även Microsoft och NSA.
