Cyberförsvarsdagen 2020 eftermiddag

Detta är en sammanfattning av eftermiddagens pass under Cyberförsvarsdagen 2020. Du kan läsa om förmiddagen här

Moderator Lasse Larsson från Sectra inleder passet.

Kvantdatorer, när eller fjärran

Talare: Niklas Johansson, Linköpings universitet

En kvantdator kommer inte lösa alla problem utan enbart vissa specifika.

Grovers algoritm och Shors algoritm kan användas för att snabba upp beräkningar och gör asymmetrisk kryptering osäker.

Kvantkrypto är främst kommunikationsprotokoll som är kvantsäkert.

Frågan som återstår och som alla försöker svara på är när en kvantdator kan användas för att dekryptera eller focera krypterad information. Men frågan som återstår är om man verkligen behöver en kvantdator?

Kryptotexter samlas in idag för att avkrypteras i framtiden

AI för försvar och säkerhet

Talare: Linus Luotsinen, FOI

Djupinlärning som är ett område inom AI och maskininlärning som talaren kommer att fokusera på i denna presentation. Men precis som kvantdatorer så kan djupinlärning användas för att lösa specifika uppgifter.

Målsättningen är att bli effektivare och skriva bättre mjukvaror. Men i dagsläget så skiftas bara tiden från utvecklare till forskare.

Inom försvar och säkerhet har vi svårt att dela med oss av data så vi har svårt att hitta stora datamängder. Men vi kan göra detta via metainlärning där vi lär oss att lära via exempelvis simulatorer. Förklarbar artificiell intelligens är ett område där operatören måste förstå och ha tillit till hur AI:n fungerar. Det har även att göra med med etik och lagar också.

Hur man kan manipulera maskininlärningsalgoritmer är ett område där FOI forskar, dvs hackbar AI eller AI som hackas. Samt hur man bygger skyddsmekanismer mot detta.

5G och global säkerhetspolitik

Talare: Hosuk Lee-Makiyama, European Centre for International Political Economy (ECIPE

Det finns en stor skillnad mellan Japan och Kina. Japan var det stora hotet under 80-talet och man pratade om Sony men det blev Spotify som tog över. Kommuniststyret är en av Kina största tillbakahållare i dagsläget för att de ska öka.

En myt eller missförstånd om Huawei är att företaget har en militär bakgrund. Att grundaren har jobbat på PLA är sant men inte helt konstigt men det har faktiskt de flesta. Det andra stora kinesiska bolaget ZTE är givetevis statligt.

Underrättelselagen i Kinas lagbok är den som är intressant där alla företag måste ge staten tillgång till källkod eller lägga in bakdörrar.

Marknadsbegränsningar och fysiska begränsningar mot Huawei räcker inte. Frågan är hur staterna kan hålla borta dessa företag och vilka resurser har staterna att göra det, för det är ju förenat med en kostnad.

Vikten av svenska moln

Talare: Daniel Fäldt, Saab

Sverige ligger bra till när det gäller digitalisering, vi ligger på topp fem i världen. Men när det gäller säkerhet så ligger vi runt 17:de plats.

Vi ska bli bäst i världen på digitalisering enligt Regeringen och Riksdagen. Datadriven digital innovation, förmodligen något med AI.

Ett moln är effektivtet, robusthet och säkerhet.

Daniel visar på ett dokument som kommer från Snowden-läckorna där det står att Sverige är ett hot när det gäller ny teknik.

Digital information är Sveriges nya råvara!

Daniel Fäldt, Saab

Panelsamtal: Hur nyttjar vi teknikens trender och dess utveckling och samtidigt säkerställer säkerheten

  • Niklas Johansson, LiU
  • Linus Luotsinen, FOI
  • Daniel Fäldt, Saab
  • Hosuk Lee-Makiyama, ECIPE

Hosuk säger att det spelar ingen större roll vilket moln vi väljer, se exempelvis bundes-molnet i Tyskland där man kör allt på egna servrar. Men servrarna är kinesiska. Ryssland är också en partner med Kina och ser sig som nummer två och ser som gemensam part att bryta upp europa.

Linus berättar att varje universitet i USA har en neuronnätsforskare vilket vi inte har i Sverige. Givetvis har vi duktigt folk i Sverige men inte på den bredden som finns där. Vi får försöka bli duktiga på det vi kan och hitta ett eget spår.

Vad kan man göra med Googles kvantdator som har 50 qubit? Problemet som Googles kvantdator löser är ett ickeproblem. Man genererar brus som är svårt att återskapa med en vanlig dator.

Den mänskliga faktorn

Föreläsare: Carolina Angelis, fd. underrättelseofficer

Moderator: Eliza Öberg, Expisoft

Carolina berättar om att bilden om spionage inte stämmer överens med verkligheten. Hon berättar om gripandet för ett år sedan då Säkerhetspolisen grep en person som jobbade på uppdrag av Ryssland, han drev ett eget IT-företag och försåg en lokal SVR-agent med information.

HUMINT eller personbaserad inhämtning är ett hot mot alla typer av organisationer och många tänker att men det händer ju inte mig.

Tillfälle, motiv och bristande inre kontroll används för att rekrytera en insider. Sergej Skripal greps av GRU och släpptes senare vid ett spionutbyte men förgiftades senare år 2018 i Storbritannien av nervgiftet Novitjok.

Desto bättre tekniska lösningar vi omger oss av desto större motiv har angriparen att rekrytera en insider.

Carolina Angelis

En person kan ändras under tiden men varningssignaler kan vara lite farligt att titta på. Men det farligaste är att helt strunta i att reagera och säga sedan ”jo vi såg ju detta komma, men ingen har gjort något”.

Eliza frågar: ”Vilken av följande parametrar tror du kommer att påverka hot- och riskbilden mest de kommande 5 åren?” Flest röstade på människan.

Gråzon – Vilka områden i gråzonen anser du har blivit normalläge? Svaret cyberangrepp vinner.

Vilken/ vilka är den/ de viktigaste framgångsfaktorerna för en lyckad organisationsöverbryggande samverkan? Förtroendefullt nätverk är svaret med flest röster.

Vem borde vara huvudansvarig för att ha en helhetsbild av säkerhetsläget i svensk IT-infrastruktur? Nya nationella cybersäkerhetscentret fick flest röster.

Vilken är den viktigaste prioriteringen de kommande fem åren för ett stärkt nationellt cyberförsvar?

Ett väl fungerande cybersäkerhetscenter med deltagande av näringslivet fick 70%.

Sveriges digitala suveränitet kräver en helhetsbild 

Första talaren är André Catry vid Nixu och berättar att cyber är den femte krigsdomänen: cyberdomänen. André är också stolt över att NSA måste spionera på Sverige och refererar till Daniel Fäldts presentation.

Vi behöver zooma in för att inte se allt brus där ute när det gäller intrångsförsök. Att titta på insidan är det viktiga och tittar på vad som händer i vårat nätverk.

Men fler noder ger fler detaljer och detta var en idé som således in till KBM redan för 20 år sedan. Men hur ingriper man detta då? Jo genom IT-försvarsförbandet. Men sedan tog FRA över och valde då att hemligstämpla allt.

Transparens är inte direkt underrättelsetjänstens signum.

André Catry

Vad måste vi göra då undrar André? Jo följande saker måste genomföras:

  • Gemensam lägesbild för Sverige – Offentligt och privat. Omvärldsbevakning samt med våra grannländer
  • Nationell insatsledning – Någon som kan peka med hela handen: En cyberczar
  • Sekretess – Integritet – Detta är en avvägning
  • Digital suveränitet – Vi måste äga datan

Panelsamtal: En helhetsbild av det nationella läget – kan Sverige se den bilden?

Moderator: Vesa Virta, FRA

Panelen innehåller:

  • André Catry, Security Advisor NIXU
  • Magnus Lundgren, Business Development, Recorded Future
  • Mathias Bjarme, FM CERT 

Mathias ser att man gärna delar Försvarsmaktens lägesbild precis som man delar med sig av luft eller vattenlägesbilden.

Räkna med Försäkringskassans utbetalningar som del av lägesbilden säger Magnus på Recorded Future.

Bör vi titta på Snort eller är det Nmap och Shodan vi ska använda undrar Vesa? Man bör göra allt hela tiden anser André.

Magnus tycker att man kan benchmarka sig mellan sektorer och Vesa frågar sig om man bara behöver springa om sin kompis när man blir jagad av björnen.

Ett cybersäkerhetscenter bör placeras där kompetens finns såsom universitet och högskolor.

Mathias avslutar med att alla bör försöka vara med i Locked Shields för det bygger förtroende. Magnus tycker organisationer ska budgetera för säkerhet.

Framåt – vad behöver göras framåt för att stärka Sveriges cyberförsvar?

Moderator: Nina Larsson, 4C Strategies 

Paneldebatt med:

  • Pernilla Rönn, Combitech
  • Pontus Johnson, KTH
  • Jonas Lejon, Triop (undertecknad)

En fråga som lyfts upp från moderatorn är utbildning och vad som behöver göras inom området. Pontus berättar om deras satsning på KTH att utbilda cybersoldater.

Jag anser att vi alla måste vara ambassadörer för yrket och försöka få fler att bli intresserade av cybersäkerhet.

Även så togs frågan upp om hur vi ska mota bort antagonister som har en lång uthållighet som sträcker sig över flera år. Där tipsar jag om att bedriva uppsökande verksamhet samt titta där ingen annan tittar.

Pernilla framhåller vikten av mångfald inom branschen och skulle gärna se flerr kvinnor inom området, vilket det är brist på.

Cyberförsvarsdagen 2020 förmiddag

Detta är en sammanfattning av förmiddagens pass under Cyberförsvarsdagen 2020. Du kan läsa om eftermiddagen här

Inledning

Dagen började med att två generaldirektörer, en generalsekreterare och chefen för Försvarsmaktens LEDS CIO pratade om vad som är normalläge och vad som är gråzon.

Enligt FRA så befinner vi redan i en gråzon och detta ser FRA genom sin signalspaning såsom TDV-systemet. Angriparna är ute efter våra innovationer och konkurrenskraft instämmer Robert Limmergård.

De stora resurserna har statsunderstödda aktörer men enskilda små hacker-aktörer

Cybersäkerhetscentrets viktigaste uppgift enligt paneldeltagarna:

  • Björn Lyrrvall – Genom samverkan kan vi bättre skydda våra system
  • Dan Eliasson – Vi jobbar nära med andra myndigheterna och poolar våra resurser och får då bättre detekteringsförmåga
  • Robert Limmergård – Viktigt att vi inte häller ner informationen i ett stort svart hål.
  • Lennart Kvannbäcken – Viktigt att det finns personal i form av kött och blod och att samverkan blir mer än bara papper.

Annika Avén frågar panelen om bra exempel på samverkan mellan myndigheter och civila samhällen. Några exempel på bra samverkan som lyfts upp är FIDI-grupperningarna, arbetet via DIGG samt att bara denna dag är ett bra exempel. NSIT lyfts också upp som en bra gruppering, mycket av infrastrukturen ägs av den privata sidan.

Paneldebatt: Hotbild – Ansvar – Övningar

Moderator Martin Waern, Scandinavian Risk Solutions (SRS)

Lägesbild och hotbild

Inledningstal inför passet är Jan Berg som är chef för TDV på FRA berättar om hur hotbilden förändrats på 20 år samt att det finns runt hundratalet aktörer i dagsläget.

Hur mycket resurser behövs det för att bedriva denna typ av cyberattacker? Det finns otroligt många verktyg som open-source men även kommersiella verktyg.

Vad är det för aktörer som håller på med datorintrång? Grupperingar som är löst eller hårt knutna till olika stater, drivs av ekonomiska och politiska motiv. Agendan spelgas i den underrättelseinhämtning som genomförs.

Intressant kreativt scenario som Jan tar upp är intrånget mot den svenska dopingorganisationen. Man såg det nästan komma eftersom samma aktör troligtvis genomfört attacker mot WADA, World Anti-Doping Agency.

CloudHopper (APT10) samt Operation Soft cell är två intressanta operationer som visar på när antagonister går på tjänsteleverantörer.

Det tar i snitt 200 dagar innan ett intrång upptäcks, vad får det för konsekvenser för Er frågar sig Jan Berg på FRA. Ha ett långsiktigt arbete för det har aktörerna.

Panelsamtal: Signalskydd och hotbilden – är vi på rätt väg?

Panelen består av följande personer:

  • Jan Berg, FRA
  • Jens Bohlin, Tutus
  • Roger Forsberg, MSB
  • Peter Eidegren, Försvarsmakten

Många affärsdrivna verksamheter tänker inte först och främst på hotbilden när man försöker vara kreativa.

Nya signalskyddsföreskrifter finns nu på plats och har tidigare bara gällt för myndigheter. Andra verksamheter har tidigare använt signalskydd men inte varit reglerade av föreskrifterna. Men nuförtiden omfattar instruktioner och föreskrifter många fler organisationer.

Det finns bra och tydliga rutiner för Sveriges signalskydd, och det skapar förtroende berättar Peter Eidegren. Vad som också är nytt är att MSB som tidigare haft ansvaret för tilldelning av signalskydd så erbjuds nuförtiden enbart nyttjanderätt (en typ av lån).

Roger Forsberg berättar att MSB har möjlighet att besluta vilka som har tillåtelse att nyttja signalskydd. Man tecknar då en överenskommelse med MSB, signalskydd är av Svenskt nationellt säkerhetsintresse.

Man har även en plan framöver och anskaffar system samt försöker lägga dem på hyllan, men ibland kan de ta upp till ett år att få kryptosystem.

Jens Bohlin berättar om industrins utmaningar med att ta fram kryptosystem. Det är viktigt att jobba agilt och parallellt så inte utvärderingen av kryptosystem tar för lång tid och systemen är föråldrade när de väl kommer ut.

Behövs det verkligen fyra myndigheter som är ansvariga för krypto i Sverige frågar sig Martin? Det finns givetvis effektivitetsvinster säger Jens.

Roger avlutar paneldebatten och berättar om att dagens kryptosystem kan lösa många av organisationernas behov upp till nivå kvalificerat hemlig. Det gäller att vara kreativ och mycket går att köra över IP såsom IP-telefoni samt video.

Panelsamtal: Hur håller vi igång vårt fungerande samhälle?

Moderator: Torsten Bernström, CGI

Panelen består av följande deltagare:

  • Överste Patrik Ahlgren, Försvarsmakten
  • Mattias Wallén, SRS
  • Martin Allard, 4C Strategies

Martin berättar angriparen angriper oss där vi är som svagast och tar upp fel faktorer för fungerande försvar:

  • Försvarsmakt
  • Förtroende
  • Försörjningsberedskap
  • Fortifikation
  • Förfogande

När man arbetar med en utredning så har man ett direktiv att utgå ifrån. Och vill man annat får man prata med departementet.

Patrik berättar om vad en kvalificerad aktör kan ställa till med i samhället och att det inte går att åstadkomma 100%-ig säkerhet. Man måste räkna med bortfall. Ett exempel är att det måste finnas alternativa metoder för betalningar.

Alla i Sverige har ett ansvar att bidra till försvarsviljan anser Patrik. Ett robust samhälle går inte att bygga med den moderna tekniken, det är en utopi.

Svagheterna finns inte alltid där man tror och det ser ut som en lasagne och inte som stuprör säger Mattias. Lyfter upp dolda beroenden såsom OpenSSL samt sårbarheten Heartbleed.

En bra grundsäkerhet är att tjänsteleverantörerna klarar av de kända säkerhetshoten berättar Patrik.

Finns det en idé om K-företag 2.0, frågar moderatorn Torsten till Martin. Det finns flera skäl till att den inte går att införa systemet såsom upphandlingsregler. Regler runt konkurrens och EU är några delar som gör det svårare. Vilka företag ska omfattas om krigsplaceringar frågar Martin publiken.

Gemensamma privat-offentliga övningar för ett stärkt cyberförsvar

Gemensamma privat-offentliga övningar för ett stärkt cyberförsvar

Moderator: Torsten Bernström, CGI

Paneldeltagare:

  • David Olgart, Försvarsmakten
  • Erik Biverot, lagledare LockedShields
  • Daniel Vikström, Afry

David börjar med att berätta om övningen SafeCyber och Försvarsmaktens beroenden av olika företag och organisationer. Övning leder till att stärker cyberförsvarsförmågan.

  • Teknisk incidenthantering och rapportering. Kopplade mot diskussionsövningen
  • Riskhantering och beslutsfattande
  • Genomförde forskning. Hur genomför man effektivt incidenthantering?
  • Forskning på lägesuppfattning.

De mjuka delarna var också viktiga och att folk lärde känna varandra och den viktigaste erfarenheten var att fler ville köra övningar.

Erik berättar om CCDCOE och övningen Locked Shields samt att det var 23 tävlande lag från olika nationer.

Sverige hamnade på tredje plats under 2019 och det är otroligt bra då enbart Tjeckien och Frankrike hamnade före. Hela miljön är öppen och inget hemligt hanteras.

Hur organiserar sig ett tillfälligt sammansatt team är intressant forskning nämner Daniel och något som Gazmend Huskaj forskar på.

Moderatorn Torsten frågar panelen hur kunskapen sprids från övningar: David tipsar om FOI:s rapport som går igenom samt nämner MSB:s handbok för övningar.

Man måste vara ödmjuk säger Erik och detta är en kompetensdriven faktor, mycket hänger på vilka individer vi får tag på. Informella kunskapsöverföringen är också viktig säger Erik.

Nationellt Cybersäkerhetscenter – Storbritannien

Moderator: Richard Oehme, Knowit

En talare från brittiska UK Nation Cyber Security Center, NCSC berättar om Storbritanniens satsning och vad de har lärt sig om de senaste tre åren.

De försöker göra det enklare för företag och privatpersoner att använda Internet säkert. De försöker också bli mer transparenta och är en del av GCHQ, FRA:s motsvarighet i Storbritannien. Om en attack mot elnätet skulle inträffa så skulle det vara till NCSC som folk skulle vända sig till.

De har projekt just nu för att säkra upp smarta elnät och kritisk infrastruktur inom området smarta städer. Annat de har utgivit är en broschyr för småföretagare om cybersäkerhet.

En annan lyckad satsning som nämns är Exercise in a box som gör det enkelt för små företag och organisationer att öva. Allt är givetvis gratis som NCSC gör:

Exercise in a Box is an online tool from the NCSC which helps organisations test and practise their response to a cyber attack. It is completely free and you don’t have to be an expert to use it.

En av det mest intressanta sakerna jag tyckte hon nämnde var automatiskt nedtagning av phishing-webbsajter samt möjlighet att stoppa andra attacker automatiskt, går under namnet Active Cyber Defence (ACD).

Säker rekursiv DNS som de utvecklat tillsammans med civila sektorn som blockerar osäkra sajter (PDNS).

Ett tydligt mandat och en budget var två av framgångsfaktorerna för det brittiska cybersäkerhetscentret men även att de är samlokaliserade med GCHQ.

Så hanterar Er organisation en cyberincident

Så hanterar Er organisation en cyberincident

Jag blir kontaktad då och då av organisationer som behöver hjälp att hantera cyberincidenter. Som tur var så lämnar de flesta incidenter någon form av spår som gör det möjligt att i efterhand spåra och dra slutsatser från incidenten. Men med goda förberedelser så kan Er organisation bli bättre på att hantera incidenter.

Den första frågan du bör ställa dig är: Har Er organisation redan rutiner på plats vid en cyberincident? Om inte så börja med att efterfråga en redan nu eller upprätta en rutin.

Betänk även att de flesta incidenter uppdagas genom att en extern part kontaktar Er och informerar om en incident som drabbar Er. Därför är det bra att ha kontaktuppgifter tillgängliga till säkerhetsavdelningen såsom E-post: [email protected] eller en webbsida som upplyser om vem man ska kontakta.

Glöm inte att löpande dokumentera allt som händer och vid vilka tidpunkter. Upprätta även en incidentrapport som ni uppdaterar hela tiden.

Koordinera och informera

Vem är det som bör informeras om incidenten. Finns det en säkerhetschef eller IT-säkerhetschef? Bör VD och styrelse snabbt informeras samt press-avdelning om externa frågor börjar att inkomma från allmänheten eller journalister.

Följande bild kommer från NIST SP 800-61r2 och beskriver hur kommunikation kan ske till och från ett Incident Response Team:

Isolera och begränsa

Att snabbt isolera och begränsa incidenten är också en viktig faktor, men betänk även att om det är ett pågående intrång så kan personen eller personerna i fråga ändra sitt beteende om de upptäcker att de blivit bortkopplade eller upptäckta.

Ett exempel på hur en server eller klient kan isoleras är att helt enkelt att fysiskt koppla bort den från nätverket och låta den fortsätta köra.

Säkra bevis

Att snabbt se till att säkra bevis efter incidenten är viktigt. För desto längre tid som går desto mer bevis kan gå förlorade. Det kan röra sig om ram-minne som försvinner om en server eller klient stängs av eller logg-filer som roteras och raderas efter en viss tid.

Titta vilka brandväggsloggar ni har, E-postloggar och AD-loggar samt andra relevanta loggfiler. Säkra upp dumpar av RAM-minne, hårddiskkopior och annat.

Det kanske är så att ni även måste kontakta en extern driftpartner eller organisation för att erhålla loggfiler.

Utreda omfattningen

Om det är ett intrång så är det viktigt att utreda exakt vilka system som drabbats av intrånget. Vid en överbelastningsattack så är det bra att veta vilka system som attackeras. Och när det gäller informationsläckage så måste ni veta exakt vilka uppgifter som ni blivit av med när, samt hur.

Vilka legala skyldigheter har organisationen och regelverk är det som måste följas såsom GDPR? Där det är 72 timmar som ni har på Er att informera Datainspektionen om personuppgiftsincidenter.

Rensa upp och återställ

Först och främst rekommenderar jag alltid att installera om och börja om från början. Men det är sällan så lätt i en komplex IT-miljö där det finns hundratals servrar och kanske tusentals användare och klienter.

Återställning handlar oftast om att rensa upp innehåll i databaser, se över användare och patcha eventuella system om sårbara produkter utnyttjas.

Lär av incidenten

Att dra relevanta slutsatser och förbättra på sitt cyberförsvar är något som Er organisation ska göra efter och under en incident. En incident är sällan en enskild isolerad händelse och har det inte hänt innan så kommer det troligtvis att inträffa en incident.

Hur kan ni upptäcka attacker tidigare och förbättra på rutinerna för att återställa verksamheten och minska påverkan i den operativa verksamheten.

Betänk även att en incident kan dra ut på flera dagar, veckor eller månader. Därför är det viktigt att ni har en eller flera som kan rotera huvudansvaret för incidenten vilket bidrar till bättre uthållighet. Därav också det viktiga med att dokumentera allt, så det blir lättare att lämna över och följa upp.

Utbildning

Jag skulle nästan påstå att organisationer som övar, informerar samt utbildar sin personal löpande i att hantera incidenter kommer att bli bättre på att hantera dessa den dagen de uppstår.

Att alla i organisationen känner till hur de ska hantera och identifiera incidenter är av stor vikt. Och om ni känner att det finns brister i dagsläget så tveka inte att ta in hjälp, det finns många företag som hjälper till med alla steg jag har listat i detta blogginlägg.

Har ni inte rutiner på plats i dagsläget så ta en titt på NIST Special Publication 800-61 revision 2 som tar upp mycket av det jag skriver om i detta blogginlägg.

Cybersäkerhetstrender och hot inför 2020

Cybersäkerhetstrender och hot inför 2020

Nästan varje år har jag försökt att skriva om vilka trender inom cybersäkerhet som jag tror vi kommer att se framöver samt andra iakttagelser. Dessa spaningar är givetvis fria att använda inom Er egen organisation och sprida vidare eftersom allt innehåll på kryptera.se är licensierat med Creative Common Attribution 4.0 International (CC BY 4.0).

Password Spraying och Credential stuffing

En återkommande fråga jag får är: ”När tror du att lösenord försvinner?” och hur vi än gör så kommer vi att dras med lösenord och PIN-koder ett bra tag framöver. Detta är så klart något som antagonister också drar till nytta och hittar fler plattformar och protokoll att försöka gissa korrekta användarnamn och lösenord.

Min spaning är att ännu mer plattformar och protokoll kommer att utsättas för forceringsförsök gällande användarnamn och lösenord. Även spår jag att attacker som utnyttjar 2FA kommer att öka bla genom MITM (man-i-mitten).

Zero trust och Assume Breach 

Vi måste bygga våra nätverk och IT-arkitektur på ett sådant sätt så att även om angriparen kan ta sig in till en enskild klientdator så kan hen inte eskalera sina rättigheter eller ta sig vidare utan att detta snabbt upptäcks och utreds. Detta ställer också krav på att Threat Hunting ständigt pågår samt att det finns bra lösningar för Endpoint Detection and Response (EDR).

Det är viktigt att ha en baseline över hur Er miljö ser ut och vilken nätverkstrafik som flödar vart, vilka mjukvaror ska vara installerade osv. För det är då det också är enklare att identifiera avvisande mönster. Förutsätt att angriparen redan är inne i era nätverk och gör det svårare att komma åt affärskritisk information.

Bild över Googles Zero-trust initiativ BeyondCorp:

Zero Trust

Appliance hacking

Under året har vi sett flertalet stängda plattformar (On-Premise) såsom Citrix NetScaler, Pulse Secure, Fortigate (se blogginlägg här). Eftersom härdningen av dessa plattformar många gångar är eftersatt och loggningen är bristfällig så är det även svårt att utföra forensiska undersökningar eller upptäcka intrång.

Samt så står dessa enheter som oftast i en central punkt där många ansluter eller mycket trafik passerar vilket gör detta till en guldgruva för antagonister. Förutom att läsa av och modifiera trafik som går genom enheten så kan det även finnas möjlighet att angripa klienter som ansluter.

Inom detta område så räknar jag även in Supply Chain Cyber Security, för allt som ansluts och kopplas in i era system bör kontrolleras, avgränsas eller isoleras. Betänk även att firmware/mjukvaru-uppdateringar kan påverka Er miljö positivt eller negativt gällande säkerheten.

Threat sharing

Denna spaning är nog mer en förhoppning från min sida. Nämligen att fler organisationer blir bättre på att dela med sig av IOC:er och information om intrång. Mer transparens och system för att möjliggöra automatisk och snabb delning av hotinformation, såsom MISP eller TheHive.

Om du jobbar inom en specifik bransch så skulle jag påstå att det är av stor vikt att ni delar med Er av hotinformation inom just Er bransch.

Inom rubriken Threat Sharing så vore det även tjänstefel om jag inte nämnde MITRE:s ATT&CK-ramverk som löpande utvecklas och gör det lättare att dela med sig av sådant som inte är rent tekniska IOC:er såsom Tactics, Techniques and Procedures (TTPs). Vilket kan förevisas med David J Biancos Pyramid of Pain:

Ett medskick till Er organisation är att undersöka hur ATT&CK går att använda i Era säkerhetsprodukter såsom antivirus-mjukvara.

Övriga bubblare på listan

Ett ständigt återkommande problem är alla uppkopplade prylar (Internet of Things) där dagligen nya sårbarheter uppdagas. Detta kommer troligtvis inte att minska i takt med att fler saker blir uppkopplade, samt att fler fordon etc blir uppkopplade. Och kommer 2020 vara året då vi kommer att få se fler säkerhetsprodukter med Artificiell intelligens (AI)?

Några tidigare års trendspaningar inom cybersäkerhet och kryptering hittar du här:

NSA varnar för ny Windows-sårbarhet

NSA varnar för ny sårbarhet i Windows

TL;DR Windows CryptoAPI Spoofing-sårbarhet

Uppdatering: Nu finns det en PoC ute, se nedan bild (källa)

Uppdatering 2: Attacken fungerar även mot Chrome.

NSA gick precis ut och varnade för en ny krypto-relaterad sårbarhet som drabbar samtliga installationer av Windows 10 samt  Windows Server 2016/2019. Även påverkade är tredjepartsprogram som använder vissa kryptofunktioner i Windows.

Även skriver NSA att angripare med en god förmåga kommer snabbt att förstå hur dessa sårbarheter kan utnyttjas samt kommer att försöka utnyttja dessa nya sårbarheter.

Exempel där denna bristfälliga signaturvalidering förekommer är:

  • HTTPS-anslutningar
  • Signerade filer och signerad E-post
  • Signerade binärer som startas som användare

Och rekommendationen som åtgärd är att snabbt som ögat installera månadens patchar från Microsoft som släpptes idag. Denna sårbarhet har fått CVE enligt: CVE-2020-0601.

För att upptäcka intrångsförsök eller utnyttjande av bristerna som åtgärdas så kan verktyget certutil eller openssl användas rekommenderar NSA, specifikt på följande sätt:

certutil –asn <certificate_filename> 
openssl asn1parse –inform DER –in <certificate_filename> –i –dump 

Eller 

openssl x509 –inform DER –in <certificate_filename> –text 

Håll då koll på avvikande elliptiska kurvor skriver NSA:

Review the results for elliptic curve objects with suspicious properties. Certificates with named elliptic curves, manifested by explicit curve OID values, can be ruled benign. For example, the curve OID value for standard curve nistP384 is 1.3.132.0.34. Certificates with explicitly-defined parameters (e.g., prime, a, b, base, order, and cofactor) which fully-match those of a standard curve can similarly be ruled benign.

Certificates containing explicitly-defined elliptic curve parameters which only partially match a standard curve are suspicious, especially if they include the public key for a trusted certificate, and may represent bona fide exploitation attempts. 

Kom ihåg att du även kan läsa ut certifikat från PCAP och nätverkstrafik och sedan granska dem enligt ovan.

Mycket bra att NSA har rapporterat denna brist/brister till Microsoft så en patch kunde släppas. Inga aktiva försöka att utnyttja denna sårbarhet har identifierats rapporterar även Microsoft och NSA.

Varningen i sin helhet kan du läsa här (PDF)

Nytt säkerhetsdokument från Apple

Apple har släppt dokumentet Apple Platform Security, Fall 2019. Dokumentet är på totalt 157 sidor och beskriver ingående Apples olika initiativ gällande säkerhet.

Dokumentet omfattar följande avsnitt:

  • Hårdvarusäkerhet och biometri. Secure Enclave, AES-motorn, Touch ID och Face ID
  • Systemsäkerhet såsom säker uppstart, slumptal (CPRNG) och uppdateringar
  • Kryptering och skydd av information
  • Säkerhet och ekosystemet runt appar
  • Säkerheten runt Apples tjänster som tillhandahåller funktioner såsom Hitta iPhone osv samt kommunikation hem till moderskeppet.
  • Nätverkssäkerhet
  • Utvecklarsäkerhet
  • Säker hantering av enheter såsom remote wipe
  • Certifieringar såsom ISO, Common Criteria och Commercial Solutions for Classified (CSfC)

En av de saker som jag gillar mest av de olika säkerhetssatsningar som Apple har är deras Secure Enclave som kan ses som en variant på Trusted Platform Module (TPM):

Secure Enclave återfinnes i följande enheter:

  • iPhone 5s (och senare)
  • iPad Air (och senare)
  • Mac-datorer som har Apples T2 Security Chip
  • Apple TV generation 4 (eller senare)
  • Apple Watch Series 1 (eller senare)
  • HomePod

Även intressant är att mikrofonen stängs av i hårdvara när luckan fälls ihop på en Macbook Pro och Macbook Air (som har T2-chippet). Inte ens kerneln, root eller T2-chippet kan påverka denna funktion.

Här kan du ladda hem dokumentet i sin helhet:

Nytt nationellt cybersäkerhetscenter

Under September 2019 gav Regeringen myndigheterna FRA, Försvarsmakten, MSB och Säkerhetspolisen ett uppdrag som gick ut på att dessa myndigheter skulle lämna förslag på hur ett nytt nationellt cybersäkerhetscenter ska utformas.

Nu har svaret skickas till Regeringen och jag har sammanfattat det nedan:

  • Lokaliseringen ska till början vara hos MSB i deras nya lokaler i Solna. Dock med egna konferensrum, reception etc.
  • 20-30 personer kommer att initialt ingå från FRA och MSB men på lång sikt kommer upp till 250 personer att tjänstgöra på cybersäkerhetscentret
  • Försvarsmakten kommer att bidra med samverkansresurer samt analytiker och avser att rekrytera upp 10 personer för detta
  • Centret kommer att vara en naturlig plats för samverkansgrupper såsom Samverkansgruppen för informationssäkerhet (SAMFI).

Och tittar vi närmare på fördelarna med att inrätta ett cybersäkerhetscenter så lyfts följande delar upp:

  • Kortare ledtider från detektion till åtgärd.
  • Bättre analysresultat med ett större utbyte av information.
  • Ökad tydlighet i budskap och rekommendationer.
  • Ökad tillgänglighet till de ingående myndigheterna för såväl privata som offentliga målgrupper.
  • Stärkt privat-offentlig samverkan.
  • Ett ensat nationellt cybersäkerhetsarbete samt harmonisering av föreskrifter och skyddsåtgärder.
  • Effektivare användning av statens resurser.

Övriga myndigheter som är delaktiga i upprättandet av centret är PTS, FMV och Polismyndigheten.

Organisationen kommer att se ut enligt följande på en övergripande nivå:

Här kan du läsa svaret i sin helhet: Svar_pa_uppdrag_infor_inrattandet_av_ett_nationellt_cybersakerhetscenter.pdf

Mina slutsatser

Min egna bedömning är att jag tror att detta är mycket bra och min erfarenhet visar på mycket bra synergieffekter bara genom att vara samlokaliserade på ett och samma ställe. Dock så är det olika myndigheter med olika kulturer och mål som ska komma överens vilket kommer att ta ett tag. Även tror jag det blir svårt att rekrytera till detta center eftersom specialister inom detta område är mycket efterfrågade.

Jag tycker även att det är bra att samverkan med näringslivet tas upp i svaret och att det finns möjlighet att sprida information och samverka mot privata aktörer genom exempelvis olika Forum för informationsdelning (FIDI).

FRA besitter en unik förmåga att upptäcka avancerade cyberattacker och detta center kan troligtvis hjälpa att stärka det Svenska cyberförsvaret.

Ny liten datadiod från Advenica: DD1G

Jag tog ett snack med Jens Bogarve som är produktchef på svenska säkerhetsföretaget Advenica om deras nya lilla datadiod DD1G. Denna nya datadiod ingår i serien SecuriCDS och jag har tidigare bloggat om den större versionen som heter DD1000A. Storleken på denna mindre datadiod är 130x20x150/163 mm.

1. Vad är skillnaden mellan DD1G och de större modellerna som ni säljer exempelvis DD1000A som jag bloggade om tidigare?

Det är samma datadiodsteknik i Advenicas DD1G som DD1000A och DD1000i, prestandan är oförändrad. Skillnaden ligger förutom storleken främst i hur strömförsörjningen hanteras, i D1000A finns det möjlighet att använda separerad kraft medan i DD1G är det redundant kraft.

2. Hur ser efterfrågan ut gällande dessa. Tänkte mig att det finns ett behov av dessa mindre datadioder

Platsbrist är ett problem i flera tillämpningar, en mindre datadiod har varit önskvärt hos flera av våra kunder. Priset har också varit en faktor för våra kunder som nu ser att dom kan utnyttja datadiodens säkerhet där det tidigare inte gått på grund av ekonomiska skäl.

Vi ser också att datadioder behövs i industriellmiljö, till exempel i SCADA-nätverk, därav att vi har tagit fram en modell för DIN-skenemontage. Datadioderna blir mer och mer anpassade för den miljö dom är tänkta att verka i.

3. Kan du säga något om priset eller om hur mycket billigare denna version är jämfört med de större modellerna?

Listpriset för denna enhet är 31 448 SEK (€2995).

4. Förutom själva datadioden, vilka funktioner är det som efterfrågas som dioden ska lösa? Överföring av loggar? Patchar? Video?

Advenica

Överföring av loggar och video är bra exempel på vad Advenicas DD1G kan användas till. Genom att använda någon form av proxy-server kan andra protokoll tillgodoses. DD1G agerar på Ethernet Layer 2 vilket innebär att omgivande system måste vara anpassade för enkelriktad kommunikation, till exempel genom att använda UDP.

Advenicas datadiod DD1000i har inbyggda proxy-servrar för att hantera filöverföring, email, tid och loggar.

5. Vilka branscher är det som börjar få upp ögonen för datadioder, tänker mig att organisationer inom försvarsindustri alltid varit kunder men att dioder kan användas inom många andra branscher såsom sjukvård och kryptovalutor?

Försvarsmakter hos olika länder och myndigheter är fortfarande de största användarna av datadioder. Transport, eldistribution och V/A, men även finansiella och industriella företag, ser numera fördelarna med datadioder ur ett säkerhets och ackrediteringsperspektiv.

Det är ofta branscher som berörs av säkerhetsskyddslagen som behöver bevisa enkelriktningen i informationsflödet och segmenteringen mellan olika nätverk. Största fördelen med att använda en datadiod är att den inte går att konfigurera fel så att information läcker i fel riktning, därmed blir ackrediteringsarbetet betydligt enklare.

Produktblad finner du här samt mer information på Advenicas hemsida.

Faktaruta datadiod

En datadiod säkerställer att data enbart kan skickas i ena riktningen. Detta behövs när information ska skickas mellan nätverk i olika säkerhetszoner eller säkerhetsklasser.

Skiss från en presentation som FRA höll för några år sedan:

WEASEL – Ny bakdörr från Facebook

Facebook har släppt ett intressant nytt implantat (bakdörr) vid namn WEASEL. Mjukvaran är skriven i Python3 och utnyttjar DNS samt AAAA-records för att skicka och ta emot beacons. Den behöver inte heller några externa beroenden och kan således köras under de flesta operativsystem.

Ett implantat är en typ av mjukvara som används av angripare för att utföra olika uppgifter och kommunicera in och ut ur nätverk. WEASELs klientdel har inga direkta inbyggda funktioner förutom att sköta kommunikationskanalen, självradering och intervall för kommunikation. Vill du ha mer funktioner så får du själv bygga till det eftersom WEASEL stödjer exekvering (eval) av Python3-kod.

Fokus vid utvecklingen av WEASEL har varit på att försöka försvåra IT-forensiska undersökningar och därför finns ej stöd för persistens. Mjukvaran stödjer inte heller att flertalet operatörer jobbar mot samma instans.

För kryptering av data över DNS så används AES-128 i CTR mode samt Diffie-Hellman för nycklar. Oklart hur stödet för Windows ser ut men går säkert att åstadkomma med Pyinstaller.

Här hittar du WEASEL på Github:

Jag har tyvärr ej testat WEASEL ännu men har det på min todo-lista. Om du gör det eller redan testat så lämna gärna en kommentar om dina erfarenheter.

Bild på vessla av Keven Law – originally posted to Flickr as On the lookout…, CC BY-SA 2.0

Två intressanta sårbarheter

VPN-tunnel

De senaste dagarna så har det publicerats två intressanta sårbarheter som jag tänkte skriva några rader om, den första är en ”VPN bugg” som påverkar många olika typer av VPN-anslutningar och den andra handlar om en miss i operativsystemet OpenBSD som medger att flertalet autentiseringsmekanismer går att kringgå.

OpenBSD

Denna sårbarhet har CVE 2019-19521 och upptäcktes av säkerhetsföretaget Qualys. Även så finns det ett antal relaterade sårbarheter enligt följande:

  • CVE-2019-19520: Local privilege escalation via xlock
  • CVE-2019-19522: Local privilege escalation via S/Key and YubiKey
  • CVE-2019-19519: Local privilege escalation via su

Men den allvarligaste medger att du över nätverket (remote) kan kringgå autentiseringen i flertalet program såsom smtpd, ldapd och radiusd.

Det är nämligen så att programmet login_passwd anropas vid autentisering. Och om informationen som skickas vidare till login_passwd innehåller -schallenge som argument så returneras lyckad inloggning, se följande exempel:

$ printf '\0-schallenge\0whatever' | openssl base64
AC1zY2hhbGxlbmdlAHdoYXRldmVy

$ openssl s_client -connect 192.168.56.121:25 -starttls smtp
...
EHLO client.example.com
...
AUTH PLAIN AC1zY2hhbGxlbmdlAHdoYXRldmVy
235 2.0.0 Authentication succeeded

Här kan du se mer information om dessa sårbarheter: authentication-vulnerabilities-openbsd.txt

VPN

Denna sårbarhet går under CVE 2019-14899 och medger att en angripare kan injicera data i en VPN-tunnel eller lista ut vilken IP som blivit tilldelad inne i en tunnel. Denna sårbarhet påverkar flertalet Linux OS, FreeeBSD, OpenBSD, Android och macOS.

Kortfattat kan man säga många operativsystem som etablerar VPN-tunnlar inte bryr sig om vilket gränssnitt som data kommer in på. Så om du har ett tunnel-gränssnitt och data helt plötsligt kommer in på ett annat gränssnitt så funkar det lika bra.

Och Colm MacCárthaigh som jobbar på Amazon meddelar att Amazon Linux inte påverkas men att attacken kan bli ännu mer allvarlig om DNS kan påverkas inne i VPN-tunneln:

Hijacking traffic via DNS is usually much more powerful than payload injection; for example an attacker can observe all connections but choose to target only connections that do not use TLS. This is more flexible and helps evade detection.

Mer omfattande information hittar du i följande PDF samt följande två intressanta patchar till OpenBSD: