Ny trådlös attack som använder Bluetooth: BlueBorne

BlueBorne är samlingsnamnet på en ny uppsjö av säkerhetsbuggar som identifierats i den trådlösa standarden Bluetooth och kan potentiellt drabba 5.3 miljarder enheter världen över.

Säkerhetsbuggarna har identifierats av företaget Armis som jobbar just med IoT-säkerhet. Att säkerhetsbuggarna kan drabba så pass många enheter beror på att flertalet sårbarheter har identifierats i många av de mjukvaror som implementerar Bluetooth-standarden.

Följande sårbarheter har identifierats i plattformarna Android, Windows, Linux och iOS:

  • Linux kernel RCE vulnerability – CVE-2017-1000251
  • Linux Bluetooth stack (BlueZ) information leak vulnerability – CVE-2017-1000250
  • Android information leak vulnerability – CVE-2017-0785
  • Android RCE vulnerabilities CVE-2017-0781 & CVE-2017-0782
  • The Bluetooth Pineapple in Android – Logical Flaw CVE-2017-0783
  • The Bluetooth Pineapple in Windows – Logical Flaw CVE-2017-8628
  • Apple Low Energy Audio Protocol RCE vulnerability – CVE-2017-14315

Den enhet som attackeras behöver inte ställas i synligt-läge och några behörigheter behöver inte användas för att nyttja någon av ovan attacker enligt Armis.

Demonstration av attacken finner du här:

Här kan du ladda hem ett tekniskt papper i PDF-format:

Därför ska du inte använda VPN ⚠️

Att använda VPN har blivit otroligt populärt på senare år men det finns anledningar att se upp och tänka efter en extra gång om du verkligen behöver använda ett VPN.

Så därför tänkte jag vara djävulens advokat och gå igenom några anledningar att inte använda ett VPN. Denna artikel gäller främst VPN-tjänster för hemmabruk/personligt bruk (som används för anonymisering).

Öppnar upp för nya sårbarheter

Klienter eller plugins som du installerar för att använda en VPN-tjänst kan innehålla sårbarheter och därmed kan sänka säkerheten på din dator. Det gäller givetvis all mjukvara du installerar såsom antivirus-program. Du bör även se upp om din VPN-leverantör bara stöder protokollet PPTP som sedan länge är osäkert.

Om du vanligtvis sitter skyddad bakom en brandvägg kan VPN-klienten eller -pluginet dessutom utan din vetskap öppna upp för inkommande anslutningar från internet eller andra VPN-användare.

Lämnar ut loggar

Det har förekommit att VPN-leverantörer loggar vem som anslutit när och kan då lämna ut uppgifterna till myndigheter som efterfrågar dessa. HideMyAss är exempelvis en leverantör som sparar loggar och lämnar ut dessa.

Har du dessutom betalt med kreditkort eller liknande så finns det stora möjligheter att koppla VPN-användaren till dig.

Leverantören Hotspot Shield loggar din data och kan även sälja den vidare till tredje part. De injicerar även JavaScript-kod i din okrypterade surftrafik.

VPN-tjänsten Hola som fungerade via en Chrome-proxy sålde användares bandbredd vidare till andra.

Hotbilden

Har du en stat som ingår i din hotbild som du försöker gömma dig för? Inget VPN i världen kommer troligtvis att skydda dig. Många VPN-leverantörer har en ingång och en utgång på samma server/IP etc och en myndighet eller signalspaningstjänst kan då koppla ihop utgången med ingångstrafiken.

Tänk även på att om du använder en VPN-anslutning mynnar ut i ett annat land så kommer detta lands signalspaningstjänst att se din trafik och eventuellt alla länder på vägen dit och mot din destination.

Din trafik kan även sticka ut om du försöker smälta in i normalbilden.

Överföringskapacitet

Din bandbredd och fördröjning kommer att påverkas negativt när du använder VPN. Testa att köra Bredbandskollen före och efter du är uppkopplad via VPN så får du en uppfattning om ungefär hur stor skillnad det är. Det kan även vara bra att testa vid några olika tidpunkter på dygnet.

Det även vara så att din VPN-leverantör blockerar viss typ av trafik såsom peer-to-peer-protokoll eller e-post (SMTP).

Avslutande ord

Det finns absolut tillfällen då du kan överväga att använda ett VPN. Sådana kan vara när du sitter på ett internetcafé eller annat ställe där det tillhandahålls ett öppet WiFi eller att du litar mer på en VPN-leverantör än din internetleverantör.

Glöm inte heller att det finns tjänster såsom Tor som kan vara bättre att använda i vissa fall. Och framförallt så tänk på vad och hur du surfar när du använder tjänster såsom Tor eller ett VPN.

I ett annat inlägg finns det mer matnyttig information gällande OPSEC.

Tom Hanks GIFs - Find & Share on GIPHY

Stort tack till alla på LinkedIn som hjälpt till med innehåll till denna artikel.

RCE-Sårbarhet i flertalet Cisco-produkter

Flertalet produkter från Cisco använder sig av ramverket Apache Struts 2. Struts innehåller nämligen en allvarlig sårbarhet i hanteringen av XML som kommer in via dess REST-gränssnitt. Problemet är av typen deserialisering i Java och följande CVE har problemet i Struts 2:

  • CVE-2017-9805, Apache Struts REST plug-in XML processing arbitrary code execution vulnerability

Och de Cisco-produkter som berörs är i nuläget inte helt fastställt men Cisco jobbar med att undersöka vilka produkter som berörs. Minst följande produkter är sårbara för RCE (kör-kod-remote):

  • Cisco Digital Media Manager
  • Cisco MXE 3500 Series Media Experience Engines*
  • Cisco Unified Contact Center Enterprise
  • Cisco Unified Intelligent Contact Management Enterprise
  • Cisco Network Performance Analysis

Mer information finnes på Ciscos sidor här:

Och exploit hittar du här:

Samt bra redogörelse om problemet i Struts 2 och dess problem med deserialisering i Java:

Via CERT-SE

Brister i tysk mjukvara för hantering av röster

Den tyska hackergruppen CCC har analyserat en mjukvara som används vid sammanställning av röster och identifierat ett antal allvarliga brister.

Dessa brister kan användas till att påverka utgången i valet i de delstater som använder denna mjukvara vid namn PC Wahl 10. Mjukvaran har används i flertalet årtionden rapporterar CCC.

Även så har tre olika verktyg släppts på Github som utvecklades under testerna av PC Wahl 10:

  • PC-Wahl 10 Update Decryptor is a program that can be used to extract and build update packages for PC-Wahl 10 installations that are deployed on computers, used in election offices.
  • PC-Wahl 10 Password Decryptor is a program that can be used to recover secret passwords from PC-Wahl 10 configuration (INI) files.
  • PC-Wahl 10 Studio Patcher is a program that can be used to swap votes for party 1 and party 2 during final and preliminary result submission.

Rapporten kan i sin helhet laddas hem här, men är på tyska:

Video-demo:

Bygg en egen nätverkstapp med en Raspberry Pi

Att köpa en nätverkstapp från företag såsom Ixia (tidigare Net Optics), Gigamon eller Datacom Systems kan vara kostsamt. Vissa switchar stödjer även span-portar som möjliggör tappning av datatrafik och den som är riktigt snål kan använda en gammal hubb.

På eBay går det att hitta begagnade nätverkstappar aningens billigare men frakten kan ibland bli en dyr historia.

Därför kan ett val vara att bygga en egen nätverkstapp av en Raspberry Pi som du ansluter ett extra nätverkskort till samt hårddisk till, ungefär enligt följande bild:

På ovan setup så ser du en svart Raspberry Pi med två nätverkskablar anslutna. Det ena i ett USB-nätverkskort och den andra i inbyggda nätverksporten. Även har jag anslutit en extern hårddisk där jag lagrar ner pcap-filer.

Installation

Installera Raspbian på ett SD-kort som du ansluter och startar upp din Raspberry Pi på. Hur du installerar Raspbian är utanför denna guide men raspberrypi.org har en bra guide.

När du sedan anslutit via ssh och sett till att din extra hårddisk fungerar så rekommenderar jag att använda Luks eller liknande för att kryptera hårddisken där du kommer att lagra dina pcap-filer.

Du måste även kontrollera att insida och utsida av det nätverket du vill tappa av har anslutning till din Raspberry Pi. ifconfig, mii-tool samt tcpdump är tre bra kommandon för att kontrollera detta.

För att trafik ska flöda fritt mellan de två interfacen så måste du installera paketet bridge-utils genom att skriva:

# apt install bridge-utils

Sedan skapar du upp en brygga på följande sätt:

# brctl addbr br0
# brctl addif br0 eth0
# brctl addif br0 eth1

Och för att inställningarna ska sparas och aktiveras vid en omstart så bör du lägga in följande i filen /etc/network/interfaces

auto br0
  iface br0 inet manual
  bridge_ports eth0 eth1
  bridge_stp off
  bridge_fd 0
  bridge_maxwait 0

Toppen, då var vi nästan färdiga. Det sista men viktigaste steget är att skriva ner all trafikdata som flödar genom vår Raspberry Pi till disk.

Verifiera att hårddiskrypteringen ser bra ut för den externa disken:

Sedan monterar vi på disken och ställer oss i rätt katalog där vi vill skriva ner pcap-filer:

mkdir /u0/pcap/
cd /u0/pcap/
nohup tcpdump -i eth0 -G 86400 -w 'trace_%Y-%m-%d_%H:%M:%S.pcap' -Z pi &

Och efter ett tag så har du förhoppningsvis en bra samling med filer som du kan börja att analysera med diverse verktyg:

Rekommenderat är dock att du gör analys på ett fristående system. Är du extra paranoid kan du även begränsa utgående anslutningar från nätverkstappen.

Prestanda

När jag testar med Bredbandskollen och kör före och efter tester så är skillnaden mycket liten. Ungefär 1% skillnad ser jag i resultatet när jag mäter på en förbindelse på 100 Mbit/s.

Detta är testat med en Raspberry Pi 3 modell b.

Inbyggd lösenordshanterare i nya Apple iOS 11

Det nya operativsystemet till Apples mobiltelefoner iPhone och iPads som heter iOS 11 kommer att skeppas med en inbyggd lösenordshanterare. Denna lösenordshanterare kommer att fungera med webbsidor samt appar där du skriver in ett lösenord. Tidigare har det funnits möjlighet att spara lösenord via Safari och webbsidor i iOS.

Just nu är iOS ute i en beta-version men kommer i en skarp version om några veckor. Du kan även välja att skydda dina lösenord med fingeravtryck.

Denna skärmdump visar på hur inloggningsrutan i Facebook-appen ser ut i iOS 11 med val för lösenord direkt ovanför tangentbordet:

Tyvärr så hjälper denna inbyggda lösenordshanterare inte användare att skapa bättre lösenord ännu, dvs det finns ingen inbyggd generator. Även om funktionaliteten är basal så spår jag att företag såsom 1Password kommer att få svårare att sälja sina relativt dyrbara produkter.

Sveriges största webbhotell hackat

Webbhotellet Loopia har blivit hackade och meddelade detta precis via ett E-post som skickats ut till samtliga kunder under fredagseftermiddagen och kvällen. Ännu står dock inget på deras hemsida eller blogg.

Det är oklart vilket system som intrånget gäller hos Loopia men enligt nedan E-post så är det ett system som innehåller kontakt och personuppgifter. Det framgår ej vilka kontakt och personuppgifter som detta gäller.

Som säkerhetsåtgärd har Loopia återställt samtliga lösenord samt ändrat kundnummer enligt Loopia på Twitter.

Uppdatering: Nu går det att läsa på Loopia supportsida om intrånget. Även framgår att förövarna kan ha kommit åt hashade lösenord. För att citera:

De kan ha kommit åt de personliga kontakt- och personuppgifter som man uppger när man blir kund hos oss. Detta kan också inkludera envägskrypterade (hash) lösenord till Loopia Kundzon. Ingen kreditkortsinformation eller mail och webbmaterial berörs.

Allvarlig sårbarhet i HP Integrated Lights-Out 4 (iLO 4)

CERT-SE vid Myndigheten för samhällsskydd och beredskap (MSB) gick precis ut och varnade för en allvarlig sårbarhet i HP Integrated Lights-Out 4 (iLO 4).

Enligt CERT-SE så kan denna nya sårbarhet utnyttjas:

En fjärrangripare kan utnyttja dessa för att kringgå autentisering samt fjärrexekvera kod

Denna sårbarhet gäller firmware före version 2.53. Och sårbarheten har fått CVE ID: CVE-2017-12542. Sårbarheten identifierades och rapporterades till HP av Fabien Perigaud på företaget Airbus.

Just när det gäller sårbarheter i out-of-band management eller LOM som det också kallas är speciellt allvarliga, för detta kan ge full tillgång till en fysisk server. Om en antagonist kan exempelvis starta upp servern på ett eget OS eller komma åt konsolen.

Vilken är den bästa VPN-tjänsten?

Mo Bitar som driver vpnreport.org har tittat närmare på 11 stycken olika VPN-tjänster och hur de lever upp till ett antal olika ställda krav som han själv formulerat.

De krav som Mo har identifierat som viktiga är följande:

  • Förhindra DNS-läckor
  • Andra typer av IP-adressläckor
  • Läckor via WebRTC
  • Hastighet
  • Baserat på OpenVPN eller IKEv2/IPsec
  • Ingen loggning eller spårning
  • Tre eller flera samtidiga enheter
  • Ärliga priser
  • Ärlig marknadsföring

Krav som är trevliga att ha är följande:

  • Servrar utanför England
  • Gratis provperiod
  • Anonym betalning
  • Fildelning via P2P och torrents
  • IPv6

Och sist men inte minst sådant som han anser inte alls bör finnas hos en VPN-tjänst:

  • Baserad på en föråldrade och osäkra tekniken PPTP
  • Bandbreddsbegränsning

Jag kan tycka att dessa krav kan vara tämligen enkla och tittar inte exempelvis på säkerheten i klienten (se rapporten nedan).

Bäst enligt testet blev TunnelBear och på andraplats kom min egen favorit OVPN (som jag även skrivit om tidigare).

TunnelBear uppfyller samtliga viktiga krav utom när det gäller läckage av IP-adress via WebRTC. Det gäller även OVPN, som rekommenderar att man stänger av WebRTC i sin webbläsare eller använder uBlock Origin.

OVPNOch kommer vi sedan till de krav som är trevliga att ha så slår OVPN Tunnelbear. Tunnelbear uppfyller nämligen ej följande krav:

  • Anonym betalning
  • IPv6
  • P2P och fildelning via torrents

Och när vi ändå nämner TunnelBear så är det även värt att tillägga att TunnelBear är ett av få VPN-leverantörer som genomfört en oberoende extern säkerhetsgranskning. I detta fall genomförde tyska Cure53 granskningen och rapporten kan du ladda hem här:

När får vi se OVPN eller Mullvad genomföra en oberoende extern granskning samt publicera resultaten?

Full disclosure: Vissa länkar ovan är så kallade affiliate-länkar. Dvs jag tjänar några kronor om du klickar och sedan väljer att betala för att använda tjänsten.

Ny trojan utnyttjar OLE-sårbarhet i Microsoft Office

PowerPoint malware

Sårbarheten som går under benämningen CVE-2017-0199 utnyttjas i en ny spearphishing-kampanj. Sårbarheten återfinnes i Microsoft Office gränssnitt mot Object Linking and Embedding (OLE). Samma sårbarhet har även tidigare utnyttjas i bank-trojanen DRIDEX.

Attacken går ut på att en PowerPoint-bilaga med filändelsen .PPSX skickas till målet på följande sätt:

När målet sedan öppnar den bifogade PPSX filen så visas texten CVE-2017-8570 i dokumentet. Men sårbarheten som utnyttjas i dokumentet är i själva verket CVE-2017-0199. Bifogat i PPSX-filen så finnes filen ppt/slides/_rels/slide1.xml.rels som i sin tur laddar hem logo.doc externt.

Logo.doc är dock en XML-scriplet som laddar hem trojanen Ratman.EXE dvs REMCOS RAT vilket följande skärmdump från Wireshark visar:

Remcos är en kommersiell fjärrstyrningsmjukvara/RAT och kan köpas för cirka 500kr eller laddas hem gratis.

Skärmdump som visar på funktionalitet hos Remcos:

Källa: TrendMicro