Sveriges största webbhotell hackat

Webbhotellet Loopia har blivit hackade och meddelade detta precis via ett E-post som skickats ut till samtliga kunder under fredagseftermiddagen och kvällen. Ännu står dock inget på deras hemsida eller blogg.

Det är oklart vilket system som intrånget gäller hos Loopia men enligt nedan E-post så är det ett system som innehåller kontakt och personuppgifter. Det framgår ej vilka kontakt och personuppgifter som detta gäller.

Som säkerhetsåtgärd har Loopia återställt samtliga lösenord samt ändrat kundnummer enligt Loopia på Twitter.

Uppdatering: Nu går det att läsa på Loopia supportsida om intrånget. Även framgår att förövarna kan ha kommit åt hashade lösenord. För att citera:

De kan ha kommit åt de personliga kontakt- och personuppgifter som man uppger när man blir kund hos oss. Detta kan också inkludera envägskrypterade (hash) lösenord till Loopia Kundzon. Ingen kreditkortsinformation eller mail och webbmaterial berörs.

Allvarlig sårbarhet i HP Integrated Lights-Out 4 (iLO 4)

CERT-SE vid Myndigheten för samhällsskydd och beredskap (MSB) gick precis ut och varnade för en allvarlig sårbarhet i HP Integrated Lights-Out 4 (iLO 4).

Enligt CERT-SE så kan denna nya sårbarhet utnyttjas:

En fjärrangripare kan utnyttja dessa för att kringgå autentisering samt fjärrexekvera kod

Denna sårbarhet gäller firmware före version 2.53. Och sårbarheten har fått CVE ID: CVE-2017-12542. Sårbarheten identifierades och rapporterades till HP av Fabien Perigaud på företaget Airbus.

Just när det gäller sårbarheter i out-of-band management eller LOM som det också kallas är speciellt allvarliga, för detta kan ge full tillgång till en fysisk server. Om en antagonist kan exempelvis starta upp servern på ett eget OS eller komma åt konsolen.

Vilken är den bästa VPN-tjänsten?

Mo Bitar som driver vpnreport.org har tittat närmare på 11 stycken olika VPN-tjänster och hur de lever upp till ett antal olika ställda krav som han själv formulerat.

De krav som Mo har identifierat som viktiga är följande:

  • Förhindra DNS-läckor
  • Andra typer av IP-adressläckor
  • Läckor via WebRTC
  • Hastighet
  • Baserat på OpenVPN eller IKEv2/IPsec
  • Ingen loggning eller spårning
  • Tre eller flera samtidiga enheter
  • Ärliga priser
  • Ärlig marknadsföring

Krav som är trevliga att ha är följande:

  • Servrar utanför England
  • Gratis provperiod
  • Anonym betalning
  • Fildelning via P2P och torrents
  • IPv6

Och sist men inte minst sådant som han anser inte alls bör finnas hos en VPN-tjänst:

  • Baserad på en föråldrade och osäkra tekniken PPTP
  • Bandbreddsbegränsning

Jag kan tycka att dessa krav kan vara tämligen enkla och tittar inte exempelvis på säkerheten i klienten (se rapporten nedan).

Bäst enligt testet blev TunnelBear och på andraplats kom min egen favorit OVPN (som jag även skrivit om tidigare).

TunnelBear uppfyller samtliga viktiga krav utom när det gäller läckage av IP-adress via WebRTC. Det gäller även OVPN, som rekommenderar att man stänger av WebRTC i sin webbläsare eller använder uBlock Origin.

OVPNOch kommer vi sedan till de krav som är trevliga att ha så slår OVPN Tunnelbear. Tunnelbear uppfyller nämligen ej följande krav:

  • Anonym betalning
  • IPv6
  • P2P och fildelning via torrents

Och när vi ändå nämner TunnelBear så är det även värt att tillägga att TunnelBear är ett av få VPN-leverantörer som genomfört en oberoende extern säkerhetsgranskning. I detta fall genomförde tyska Cure53 granskningen och rapporten kan du ladda hem här:

När får vi se OVPN eller Mullvad genomföra en oberoende extern granskning samt publicera resultaten?

Full disclosure: Vissa länkar ovan är så kallade affiliate-länkar. Dvs jag tjänar några kronor om du klickar och sedan väljer att betala för att använda tjänsten.

Ny trojan utnyttjar OLE-sårbarhet i Microsoft Office

PowerPoint malware

Sårbarheten som går under benämningen CVE-2017-0199 utnyttjas i en ny spearphishing-kampanj. Sårbarheten återfinnes i Microsoft Office gränssnitt mot Object Linking and Embedding (OLE). Samma sårbarhet har även tidigare utnyttjas i bank-trojanen DRIDEX.

Attacken går ut på att en PowerPoint-bilaga med filändelsen .PPSX skickas till målet på följande sätt:

När målet sedan öppnar den bifogade PPSX filen så visas texten CVE-2017-8570 i dokumentet. Men sårbarheten som utnyttjas i dokumentet är i själva verket CVE-2017-0199. Bifogat i PPSX-filen så finnes filen ppt/slides/_rels/slide1.xml.rels som i sin tur laddar hem logo.doc externt.

Logo.doc är dock en XML-scriplet som laddar hem trojanen Ratman.EXE dvs REMCOS RAT vilket följande skärmdump från Wireshark visar:

Remcos är en kommersiell fjärrstyrningsmjukvara/RAT och kan köpas för cirka 500kr eller laddas hem gratis.

Skärmdump som visar på funktionalitet hos Remcos:

Källa: TrendMicro

Cybersäkerhetskompetens i styrelser

Cybersäkerhet i styrelser

Under sommaren har jag försökt att jobba så lite som möjligt men bevakat nyhetsflödet gällande Transportstyrelsens outsourcing-fiasko. Mycket bra har skrivits och precis som många pekar på så beror problemet troligtvis på en bristande säkerhetskultur där säkerhet inte ligger högt upp på prioriteringslistan.

Men vad kan detta bero på? Jo, detta är ett fenomen som jag har sett generellt förekommer på många ställen och beror på att styrelse och ledning inte har kompetens inom cybersäkerhet. På tjänstemanna-nivå är kunskapen god och det finns många eldsjälar som brinner för sitt område.

Jag sitter själv med i styrelsen på Internetstiftelsen i Sverige (IIS) och upplever att kompetens inom just cybersäkerhet är otroligt viktigt i många beslut. Därför är det även bra att flertalet myndigheter nu tar in cybersäkerhetskompetens i sina styrelser:

  • Anne-Marie Eklund-Löwinder till Trafikverkets styrelse. CSO på IIS.
  • Pia Gruvö till Post- och telestyrelsens (PTS) styrelse. Chef för krypto och it-säkerhet vid Militära underrättelse- och säkerhetstjänsten (MUST).

Vi kan hoppas att fler myndigheter och företag tar efter: Cybersäkerhet behövs i våra styrelser och ledningar. Stort grattis till Anne-Marie och Pia som är otroligt kompetenta samt grattis till myndigheterna i fråga.

Intressant i sammanhanget är även det som Riksrevisionen skrev 2016 i rapporten om myndigheters informationssäkerhetsarbete, här är ett axplock:

Granskningen visar att myndigheternas ledningar har delegerat ansvaret för informationssäkerhet, utan att se till att de ansvariga har ett tillräckligt mandat att utföra sina uppgifter och tillräckligt med resurser.

Även intressant att notera när det gäller myndigheter så har vi 32 styrelsemyndigheter (leds av en styrelse), 55 nämndmyndigheter och 131 myndigheter leds av en ensam myndighetschef.

Uppdatering: Skrev ovan att Anne-Marie gick till Transportstyrelsens styrelse, men detta var så klart felaktigt. Ska stå Trafikverket.

Ett flertal sårbarheter uppdagade i OpenVPN

OpenVPN har utsatts för ett antal olika oberoende granskningar och jag har skrivit om några av dessa. Nu har även en person vid namn Guido Vranken fuzzat OpenVPN och identifierat en hel del bunt med säkerhetsbuggar.

För att citera Guido:

I’ve discovered 4 important security vulnerabilities in OpenVPN. Interestingly, these were not found by the two recently completed audits of OpenVPN code

Att fuzza OpenVPN var dock inte helt trivialt. Bland annat för att OpenVPN anropar externa binärer via execve samt att koden är full av ASSERT:s.

För fuzzing användes LLVM libFuzzer tillsammans med AddressSanitizer (ASAN), UndefinedBehaviorSanitizer (UBSAN) och MemorySanitizer (MSAN).

Buggarna har fått följande CVE:er: CVE-2017-7521, CVE-2017-7520, CVE-2017-7508, CVE-2017-7522.

Uppgradera till OpenVPN version 2.4.3 som innehåller säkerhetsfixar för ovan sårbarheter.

Surfa anonymt med nya Tails 3.0

För några dagar sedan så släpptes version 3.0 av det anonyma och säkra operativsystemet Tails. Tails är en plattform som baseras på Linux och underlättar för dig som vill vara anonym och säker. Anonymiteten uppnås genom en integration med Tor och dess Tor Browser.

Stöd för 32-bitarsdatorer har också försvunnit, detta på grund av att säkerhetshöjande tekniker såsom PIE, Position-independent executable (vilket ger ASLR) ska fungera optimalt.

Flertalet mjukvaror är uppgraderade till nya versioner:

  • Tor Browser är uppgraderad till 7.0.1
  • KeePassX från 0.4.3 till 2.0.3.
  • LibreOffice från 4.3.3 till 5.2.6
  • Inkscape från 0.48.5 till 0.92.1
  • Audacity från 2.0.6 till 2.1.2
  • Enigmail från 1.8.2 till 1.9.6
  • MAT från 0.5.2 till 0.6.1
  • Dasher från 4.11 till 5.0
  • git från 2.1.4 till 2.11.0

Även så baseras denna nya version 3.0 på Debian 9.0 kodnamn Stretch. Förutom en ny version av Debian så har dialogrutan för uppstart fått sig ett upplyft, som numera ser ut så här:

Om du vill konfigurera ett administratörslösenord (root) så går det att göra genom att trycka på + tecknet nere i vänstra hörnet och då får du upp följande:

Här kan du se en kort video där jag testar Tails 3.0:

För samtliga nyheter sam nedladdning av ISO-fil se följande länk:

https://tails.boum.org/news/version_3.0/index.en.html

GDPR och kryptering

GDPR

En sökfråga som dyker upp då och då dyker upp här på Kryptera.se är GDPR och kryptering. Så varför inte ta tag i detta och ställa några frågor till Jonatan Seeskari som är specialist på GDPR och jobbar på Advokatfirman Lindahl.

Jonatan skriver följande gällande GDPR och kryptering:

”GDPR ställer inte absoluta krav på kryptering av personuppgifter. Det nya regelverket innehåller dock omfattande krav på säkerheten i samband med behandling av personuppgifter, särskilt när det kommer till känsliga uppgifter (t.ex. hälsa).

Som du kanske känner till så finns det också nya koncept kring ”inbyggt dataskydd” och ”dataskydd som standard”. I grunden kan kryptering användas som ett verktyg av flera tillgängliga för att uppnå kraven på sådana tekniska och organisatoriska åtgärder som säkerställer en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen av personuppgifterna.

Krypterade personuppgifter kan även underlätta hanteringen av incidentrapportering och behandling av personuppgifter för nya ändamål i och med att GDPR innehåller vissa undantag för dessa situationer – under förutsättning att personuppgifterna är krypterade.”

Tittar vi vidare förordningstexten för dataskyddsförordningen så förekommer ordet ”kryptering” tre gånger:

Artikel 6

Laglig behandling av personuppgifter

”Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.”

Avsnitt 2 – Säkerhet för personuppgifter

Artikel 32

Säkerhet i samband med behandlingen

”a) pseudonymisering och kryptering av personuppgifter,”

Artikel 34

Information till den registrerade om en personuppgiftsincident

”a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.”

Tidning avslöjade visselblåsare

Tidningen The Intercept publicerade igår en NSA-rapport med klassificeringen TOP SECRET. Rapporten är på fem sidor och beskriver de cyberattacker som ryssland utförde mot USA i samband med valet förra året.

Dokumentet som läckt har scannats samt publicerats av The Intercept. Detta dokument innehåller spårningskoder i form av små prickar som många skrivare automatiskt lägger till, se här:

Detta är välkänt och uppmärksammat av exempelvis organisationen EFF. Det finns även en mjukvara för att avkoda dessa prickar och något som flertalet personer på Twitter uppmärksammat samt Robert Graham:

Och som du ser ovan så får vi ut när utskriften genomfördes samt vilket serienummer skrivaren som skrev ut det läckta dokumentet som The Intercept publicerat. Den som läckt dokumentet heter WINNER och enligt följande arresteringsorder så jobbade hon som konsult åt en amerikansk myndighet i Georgia.

Nu är PCILeech 2.0 släppt

Svensken Ulf Frisk slog igenom stort på den internationella it-säkerhetsscenen förra sommaren med sitt verktyg PCILeech som underlättar Direct Memory Access (DMA)-attacker. Verktyget släpptes och förevisades i samband med DEF CON 24 samt Sec-T.

D.v.s. attacker som utnyttjar DMA över fysiska anslutningar till datorn såsom FireWire, CardBus, ExpressCard, Thunderbolt, PCI, eller PCI Express. Av dessa stödjer PCILeech ExpressCard, Thunderbolt och PCIe.

Jag tog ett snack med Ulf och passade på att ställa några frågor:

Vad har hänt sedan förra året?

Jag har uppdaterat PCILeech kontinuerligt sedan det släpptes på DEF CON för snart ett år sedan. Det gäller att hålla både signaturer och attacktekniker uppdaterade.

Apple har dessutom patchat EFI för att PCILeech inte längre ska kunna läsa ut lösenordet till diskkryptot FileVault2 från låsta macar (CVE-2016-7585).

Vad är nytt i PCILeech 2.0?

Den största nyheten i PCILeech 2.0 är att det möjligt att mappa både målsystemets filsystem och dess minne som fil. Klicka runt i filsystemet och kopiera intressanta filer, eller använd din favoriteditor till att ändra direkt i både minne och filer på filsystemet. Det är t.ex. möjligt att köra volatility direkt mot minnet.

PCILeech behöver åtkomst till målsystemets kernel, just nu Windows, macOS och Linux, för att det ska fungera. PCILeech även fått stöd för hårdvara som klarar 64-bitars DMA – något som tidigare inte varit möjligt. Hårdvaran är tyvärr inte publikt tillgänglig riktigt ännu.

Planen är att utöka hårdvarustödet ytterligare framöver.

Här kan du tanka hem pcileech 2.0:

Demo hur Apple FileVault2-lösenordet från en Mac kan hämtas ut via DMA: