TLS 1.3 är nu ute som RFC 8446

Jag har tidigare skrivit om nya versionen av TLS som kommer att bli version 1.3. Denna nya version har nu fått en RFC (Request for Comments) vilket kan anses av många som en standard på internet. Det är ungefär 10 år sedan TLS 1.2 släpptes.

En av anledningarna till att det tagit så lång tid att få ut denna RFC beror på middleboxes (mellanliggande utrustning på internet) som lägger sig i TLS-kommunikationen. Och för att undersöka detta så behövs det data från hur det ser ut ute i nätverken.

RFC 8446 är på 160 sidor och min favorit är Appendix E som beskriver säkerhetskomponenterna i TLS 1.3.

För att citera Facebook som använder sitt eget bibliotek Fizz:

More than 50 percent of our internet traffic is now secured with TLS 1.3

ISOC samt IETF har även skrivit om TLS 1.3:

 

PasswordsCon kommer till Stockholm

Norrmannen Per Thorsheim som anordnar konferensen PasswordsCon meddeladeTwitter att konferensen kommer att gå av stapeln i Stockholm. Det är i November under Internetdagarna som PasswordsCon blir ett av flertalet spår.

Call-for-papers är ute nu och har du något att berätta på 20-30 minuter så släng iväg ett mail till [email protected]

Vad priset för att gå på konferensen blir är dock ännu oklart eftersom det inte är möjligt att anmäla sig ännu till Internetdagarna men datumet blir 19-20 November, så boka in det i din kalender.

Videos från tidigare PasswordsCons hittar du på YouTube.

Läs mer på CFP-sidan här: passwordscon.org/cfp/

Reddit hackade

Reddit som är en av världens största webbsajter (plats 6 enligt Alexa) har hackats. Intrånget genomfördes via tvåfaktors-återställningskoder som skickas ut via SMS. Denna typ av tillvägagångssätt blir vanligare och vanligare vilket har fått NIST att ej längre rekommendera just 2FA-återställning via SMS, vilket jag skrev om 2016.

Antagonisten som hackade Reddit kom åt nya E-postadresser, gällande en sammanfattning som skickades ut. Samt en databas med användarnamn och lösenord från 2007.

Om du använder Reddit och har samma användarnamn och lösenord sedan 2007 så kommer Reddit att varna dig. Jag tycker dock att Reddit ändå bör skicka ut en varning till samtliga användare eftersom lösenord kan användas på flera sajter.

Reddit har även anställt en Head of Security samt söker personal till flertalet befattningar såsom:

Mer info hos Reddit i /announcements.

Skatteverket varnar för personuppgiftsincident

Skatteverket gick precis ut med ett meddelande gällande en personuppgiftsincident (se meddelandet nedan). Metoden kallas för andrahandsinloggning och innebär att du ”lånar ut” din inloggning mot Skatteverket, eller din bank. Redan för två veckor sedan gick Skatteverket ut och varande för denna typ av inloggning:

Vi vill varna för detta. Den som med sitt BankID släpper in ett företag ger samtidigt åtkomst till all information om sig själv och alla e-tjänster. Logga inte in mot Skatteverket på något annat sätt än personligen med e-legitimation via Skatteverket.se, säger Pär Rylander, säkerhetschef på Skatteverket.

Meddelandet som idag gick ut ser ut enligt följande:

Hej!

Skatteverket vill informera dig om en händelse som rör personuppgifter. Du behöver inte göra något efter att ha läst brevet, utan det är bara avsett som information.

Om du har besökt Telenors webbplats under de senaste månaderna kan du ha ombetts att logga in till Skatteverket med din e-legitimation, för att förenkla ditt ärende hos dem. Vad du inte fick veta var att Telenors underleverantör Identitrade AB, via sin tjänst Identiway, i och med det skaffade sig tillgång till information om dig som finns på Skatteverkets Mina sidor. Det vill säga var du bor, vilken inkomst du haft under året med mera. Skatteverket ser allvarligt på detta. Den tekniska möjligheten att dela information på det sättet finns visserligen, men det är inte tillåtet att använda den.

Du kan även ha ombetts att logga in till Skatteverket via något annat företags webbplats. Vi är i så fall tacksamma om du kontaktar oss.

Skatteverkets åtgärder

Skatteverket har sedan den 5 juni spärrat Telenors och Identitrade AB:s möjlighet att få tillgång till dina uppgifter, och enligt våra samtal med Telenor finns inget som tyder på att uppgifterna som har hämtats har spridits vidare. Skatteverket har också anmält händelsen till Datainspektionen. Vi beklagar det som hänt.

På www.e-legitimation.se kan du läsa om hur du själv kan bidra till att undvika den här typen av situationer.

Om du har frågor

Om du har frågor om händelsen ber vi dig att kontakta Telenor, www.telenor.se/id. Om du har frågor om Skatteverkets personuppgiftsbehandling är du välkommen att mejla till [email protected].

Vänliga hälsningar,
Skatteverket

Uppdatering: Nu har även DN skrivit om incidenten.

Säkrare webbsurf med DNS över HTTPS (DoH)

Säkrare DNS med DoH

DNS över HTTPS eller DoH som det även kallas är en relativt ny IETF-draft som är skriven av Paul Hoffman på ICANN samt Patrick McManus på Mozilla. Målet med DoH är att skicka DNS-förfrågningar som vanligtvis går i klartext över internet i en krypterad tunnel över https. DoH är ett alternativ till DNSCrypt samt DNS över TLS.

Än så länge finns det stöd i webbläsarna Firefox och Chrome(?), dock inte aktiverat som standard.

Om du gillar risker i livet så kan du redan nu vill testa DoH. Har du en relativt ny version i Firefox kan du göra enligt följande:

  1. Skriv about:config i adressraden
  2. Godkänn ett eventuellt varningsmeddelande
  3. Sök efter network.trr som prefix i inställningsnamnet. TRR står för Trusted Recursive Resolver
  4. Ändra följande inställningar:
    1. Sätt network.trr.bootstrapAddress till 1.1.1.1
    2. Sätt network.trr.confirmationNS till kryptera.se
    3. Sätt network.trr.mode till 3
    4. Sätt network.trr.uri till https://mozilla.cloudflare-dns.com/dns-query
  5. Sedan är det klart. Du måste eventuellt starta om Firefox.

Skärmdump:

Och för att verifiera att DoH/TRR används så kan du göra enligt följande:

  1. Skriv about:networking i adressraden
  2. Godkänn eventuellt varningsmeddelande
  3. Tryck på DNS till vänster
  4. Titta på kolumnen där det står TRR. Där bör det stå true på majoriteten av genomförda uppslagningar:

Alternativt titta direkt på nätverkstrafiken med Wireshark eller tcpdump.

Skärmdump:

Några förklaringar: network.trr.mode kan sättas till något av följande lägen:

0 – Av (standard). Använd vanlig DNS
1 – Race native against TRR. Kör vanlig DNS och TRR och ta den som hinner först
2 – TRR first. Använd TRR enbart och använd DNS som backup
3 – TRR only. Kör bara TRR, använder enbart DNS för bootstrap (dvs hitta till DoH-servern)
4 – Shadow mode. Kör TRR hela tiden i bakgrunden men använd DNS. Bra för att undersöka svarstider etc
5 – Explicitly off. Välj att stänga av TRR

Funkar det dåligt med att köra mode 3 så kan du ändra till 2.

Även om DNS krypteras enligt ovan så läcker https klartext fortfarande om vart du surfar med fältet Server Name Indication (SNI). Men det finns hopp om kryperad SNI också.

Och för mer information om Firefox implementation av DoH kan jag rekommendera Daniel Stenbergs blogginlägg.

Daniel har även skrivit ett testprogram i C för att ställa doh-förfrågningar direkt från kommandotolken:

Det kan även vara bra att läsa Cloudflares privacy policy.

Ny tjänst från Google: VirusTotal Monitor

VirusTotal som ägs av Google sedan några år är en bra tjänst för den som vill kontrollera om filer innehåller skadlig kod. Mer än 70 st olika antivirus-motorer söker igenom den fil som du laddar upp till VirusTotal.

Stöd Kryptera.se via Patreon >

Men ett problem för de som utvecklar mjukvara eller operativsystem är att ibland så blir deras filer felaktigt flaggade som skadlig kod. Så därför har VirusTotal släppt en ny tjänst vid namn Monitor som låter mjukvaruutvecklare att ladda upp filer som de utvecklat.

Det finns flertalet fördelar med detta, dels så får utvecklaren och antivirus-leverantören larm om någon av dessa filer ger utslag vid genomsökning. Dels kan jag få en verifikation att filen jag laddade upp ingår eller är en känd mjukvara.

Tidigare har även VirusTotal delat med sig av alla filer som laddats upp men nu kommer dessa filer som laddas upp inom Monitor enbart delas till AV-leverantörer om de flaggas med skadlig kod.

För de utvecklare som har en utvecklingspipeline så finns det även möjlighet att ladda upp filer via ett REST API.

Exempel på hur det kan se ut om du laddar upp en fil till VirusTotal som matchar mjukvara från HP:

Skärmdump från VirusTotal Monitor:

Bakdörrar identifierade på Docker Hub

Ett antal avbilder som återfinnes på populära Docker Hub innehåller bakdörrar. Dessa avbilder med bakdörrar har laddats hem mer än 90000 gånger.  Kontot som laddat upp dessa bakdörrar har namnet docker123321 och bakdörren utnyttjar användarens kapacitet för kryptovaluta-mining.

Det är totalt 14 stycken olika avbilder (images) som innehåller den skadliga koden rapporterar Kromtech Security Center. Totalt har 544.74 Moneros beräknats vilket motsvarar en vinst på ca 791 000 SEK.

Plånboken som tar emot Moneros är:

41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo

Och här är en skärmdump från Github gällande en av bakdörrarna som jack0 upptäckte och rapporterade till Docker:

Exempel på någon som upptäckt att en brandväggs-image innehöll miner den 7:de Augusti 2017:

https://twitter.com/jperras/status/894561761252319232

Jag tror tyvärr att detta är en trend som kommer att öka. I takt med allt fler marknadsplatser såsom Docker Hub och Google Web Store så kommer även antagonisterna att utnyttja detta faktum. För tyvärr är det inte lätt att rapportera skadlig kod och de automatiska testerna som genomförs på sådant som laddas upp är bristfälliga.

Intressant att notera är även att Kromtech står bakom den kontroversiella mjukvaran MacKeeper.

Viktigt: Det vore mycket trevligt om du stödjer Kryptera.se via Patreon >

Twitterstorm mot Yubico

Uppdatering: Markus har nu skrivit ett blogginlägg om händelsen. Tipstack till John

Uppdatering 2: Yubico har gjort en pudel och uppdaterat sin blogg.

En twitter-storm har uppstått på grund av att Yubico hävdas ha kopierat forskning som presenterats under konferensen Offensive Con av Markus Vervier samt antisnatchor.

Forskningen som presenterades under konferensen påvisar en eller flera svagheter i WebUSB som används av bl.a. 2FA nycklar såsom Yubikeys. Chrome stödjer WebUSB och delade ut en belöning på $5000 till Yubico som i sin tur donerade pengarna till Girls Who Code, här kan du hitta Yubicos advisory ”WebUSB Bypass of U2F Phishing Protection”.

Yubico hävdar dock att det säkerhetsproblem som upptäcktes av dem var mycket större än det som presenterades av Markus och antisnatchor:

Our own researchers quickly discovered there was a broader set of security concerns within WebUSB that affected the entire ecosystem of FIDO U2F authenticators

En av många twitterinlägg från upprörda personer:

Den som vill se presentationen från Offensive Con så finns den här:

MSB släpper tre faktablad om IoT-säkerhet

Myndigheten för samhällsskydd och beredskap (MSB) har släppt tre stycken faktablad gällande säkerhet inom Internet of Things-området (IoT).

Stöd Kryptera.se ekonomiskt via Patreon!

Faktabladen är uppdelade på följande områden:

Jag brukar inte vara så kinkig när det gäller stavfel (hehe) men kan undra om någon korrekturläst dessa publikationer: DDOSattacker, kristiska, ”exempelvis seom en del i ett botnet”. I övrigt tycker jag det är bra tips men ställer mig frågande till att myndigheter skulle verka för cyberförsäkringar:

”Verka för olika typer av negativa eller positiva ekonomiska incitament såsom skadeståndsansvar, cyberförsäkringar och frivillig certifiering.”

Åke Holmgren, tillförordnad avdelningschef för cybersäkerhet och skydd av samhällsviktig verksamhet vid MSB säger:

MSB behöver i nära samarbete med offentliga och privata aktörer öka våra ansträngningar inom området. Det är väldigt tydligt att IoT-relaterade risker inte kan lösas av en enskild aktör. En central del för att lyckas är det systematiska informationssäkerhetsarbetet både för information och system med högt skyddsvärde

Och skulle du vara mer intresserad av IoT-säkerhet så håller MSB ett seminarium den 21:a Juni på Fleminggatan 14. Mer info hittar du här, men snabba på. För det finns bara 6 st platser kvar.

Apple inför USB Restricted Mode på iOS-enheter

Apple kommer snart att genomföra en intressant säkerhetshöjande åtgärd. Denna nya åtgärd kallas för USB Restricted Mode och innebär att ingen datakommunikation tillåts via lightning-kontakten om kontakten inte varit upplåst inom 7 dagar. Med upplåst menas att en PIN-kod skrivits in på iPhonen eller iPaden. Att ladda mobiltelefonen kommer fortfarande att fungera.

Stöd Kryptera.se via Patreon. Från 1$/månad ➜ 

De som körde 11.3 beta av iOS hade denna funktion och därför antogs det att den skulle komma i iOS version 11.4 som släpptes förra veckan, men så blev det inte. Istället kommer funktionen att komma i 11.4.1 som är nästa version (oklart när denna släpps?).

Anledningen till att denna funktion kommer att införas är för att försvåra för forensiska verktyg som säljs av företag såsom Cellebrite och GrayShift. När Elcomsoft genomförde tester så gick det inte att utläsa något via lightning-anslutningen så fort USB Restricted Mode blev aktivt.

Givetvis finns det sätt att ta sig förbi även detta. Såsom att du kan återansluta mobiltelefonen till en betrodd enhet om och om igen och då få längre tid på dig att försöka ta dig in i telefonen.

Skärmdump som visar på USB-låst iPhone:

Inställning som indikerar på att det även går att förkorta tiden ner till 1h, se inställningen längst ner: