Hett från pressarna så kom just en omgång med finfina klistermärken. Jag ger givetvis bort dessa gratis till den som vill ha. De är relativt små (3.3×4.3 cm) och av transparent vinyl.
Här kan du fylla i ett formulär i Google Forms så skickar jag dem inom någon vecka:
Så här fina blev klistermärkena:
Cybersäkerhetsforskare vid företaget Check Point har identifierat sårbarheter i en mängd populära mediaspelare. Sårbarheten ligger i hur dessa mediaspelare hanterar filer med undertexter och kan ge en angripare RCE (Remote Code Execution).
Och att just använda undertexter som en attackvektor är intressant eftersom många antivirus-produkter inte söker igenom undertext-filer efter skadlig kod. Samt så har mediaspelaren VLC över 170 miljoner nedladdningar vilket gör den till ett attraktivt mål. Det finns även över 25 olika format för undertexter som dessa olika mediaspelare stödjer.
Följande mediaspelare har sårbarheter och uppdateringar har släppts:
Video som demonstrerar sårbarheten:
Tavis Ormandy (taviso) på Google har släppt ett nytt verktyg som underlättar fuzztester av mjukvaror. Verktyget heter loadlibrary och gör att dynamiska bibliotek (DLL:er) från Windows kan köras på Linux.
Vid storskaliga fuzztester är det viktigt med så lite overhead som möjligt för att inte slösa resurser på onödiga saker. Därför utvecklade taviso verktyget loadlibrary för att enkelt kunna skapa små containers med Windows-DLL:er och sedan fuzza dessa DLL:er i en storskalig miljö. Google har även sedan tidigare utvecklat verktyget OSS-fuzz som just är ett ramverk för att snabbt och enkelt göra fuzzing av mjukvaror.
Fuzz-tester är en metodik för att skicka in mer eller mindre slumpmässig data på olika sätt och sedan se hur ett program beter sig. Och kan då upptäcka en mängd olika sårbarheter såsom buffer-overflows, integer underflows osv.
Taviso har med hjälp av loadlibrary identifierat en allvarlig sårbarhet i bl.a. Microsofts antivirus-motor vid namn Microsoft Malware Protection Engine, Mpengine.dll (Windows Defender).
Exempel på hur Mpengine kan köras på Linux för att genomsöka filen eicar.com efter Eicar-testvirus:
$ ./mpclient eicar.com
main(): Scanning eicar.com...
EngineScanCallback(): Scanning input
EngineScanCallback(): Threat Virus:DOS/EICAR_Test_File identified.Till skillnad från Wine som kör hela Windows-applikationer så kör taviso-loadlibrarykod från enstaka DLL:er.
Här kan du ladda hem loadlibrary från Github:
Obligatorisk Dilbert:
Den beryktade tyska hackergruppen Chaos Computer Club (CCC) som grundades 1981 i Berlin har nu lyckats att kringgå Samsung Galaxys S8 iris-kontroll.
CCC har med hjälp av en digitalkamera och en 200mm lins fotograferat en persons öga (iris) och sedan skrivit ut denna på en laserskrivare. Efter detta så går det helt enkelt att hålla upp bilden och lägga på en helt vanligt kontaktlins på bilden för att kringgå mobiltelefonens autentisering (se video nedan).
Kostnaden för detta var inte hög och CCC meddelar:
The by far most expensive part of the iris biometry hack was the purchase of the Galaxy S8 smartphone. Rumor has it that the next generation iPhone will also come with iris recognition unlock. We will keep you posted.
Förutom att knäcka iris-skanners så anordnar även CCC konferensen Chaos Communication Congress.
Video nedan som förevisar sårbarheten:
Uppdatering: Gentilkiwi har släppt en WannaCrypt-decryptor här, men du måste ha den privata nyckeln från exempelvis en minnesdump.
Här följer en lista på det som är bra att tänka på när det gäller WannaCrypt/WCrypt.
Många av ovan rekommendationer gäller även andra typer av ransomware och således ej enbart WannaCrypt.
Minst två olika nya varianter av WannaCrypt har observerats inom de senaste dygnen. Bl.a. helt utan den ”kill-switch” domän som rapporterats om, som troligtvis används för att detektera om den skadliga koden går i en sandlåda.
Kan även rekommendera CERT-EU:s skrivelse som hittas här.
Meddelande till den som blir infekterad:
Bakgrundsbilden ändras till följande:
Flertalet nyhetsmedier samt CERT-SE varnar just nu för en ny pågående cyberattack. Detta är en ransomware-kampanj som nyttjar sårbarheten MS17-010. Ett flertal länder är drabbade och däribland även Sverige.
I detta fall är det en ny variant av WannaCry (kallas även Wcry eller WanaCrypt0r) som infekterar Windows-system och krypterar filer både lokalt och på delade nätverksytor och sedan håller dessa som gissla samt begär betalning i Bitcoin.
Sårbarheten som åtgärdas i MS17-010 som släpptes för cirka två månader sedan och har och göra med hur Windows hanterar SMBv1-paket (EternalBlue). WannaCry använder även Tor för att sköta Command and control (C&C), detta för att försvåra spårning.
Här finns en karta för den som i realtid vill se infektioner:
Skärmdump från meddelandet som dyker upp om du blir infekterad:
Det är intressant att titta på prislistor när det gäller zero-days. För den som inte är insatt så kan du få betalt för att identifiera nya sårbarheter och sedan skriva verktyg som utnyttjar dessa med programkod (exploit). Och vice versa så kan du betala för att köpa zero-days.
När du identifierat en (eller flera) sårbarhet och skrivit en exploit så kan du sedan sälja denna till företag såsom Zerodium och Exodus eller använda den vid Pwn2own-tävlingen.
Vad företag som Zerodium sedan gör med zero-dayen när de köpt den är troligtvis att de säljer den vidare till företag såsom Hacking Team eller myndigheter.
Men varför är priser på zero-days så intressant? Jo, för att pengar går att omsätta i tid och resurser. För att någon ska vilja ta sig in i din iPhone så ska de betala 13 miljoner SEK, något förenklat.
Och varför skulle någon vilja betala 13M SEK för att ta sig in i en iPhone? Detta beror på att målobjektet som någon är ute efter använder just en iPhone samt att säkerheten är så pass god. Samt att det verkligen måste spenderas mycket resurser för att lyckas utnyttja en eller flera brister. Andra saker att beakta är interaktionen som behövs för att erhålla kodexekvering, utbrytning ur sandlåda och persistens. Behövs det fysisk tillgång till telefonen eller räcker det med att skicka ett SMS?
Därför lägger även de som köper zero-days även resurser på att försöka sopa igen spåren efter att den utnyttjas med hjälp av anti-forensik. För de vill så klart ha möjlighet att använda zero-dayen mer än endast en gång.
Följande tabell visar på några av prispengarna vid tävlingen Pwn2own som anordnas av The Zero Day Initiative (ZDI), numera ägs av företaget Trend Micro:
Server Side
Virtual Machine Escape (Guest-to-Host)
Local Escalation of Privilege
Web Browser and Plugins
Nyligen så släpptes förutgåva nummer 1 av den nya OWASP Top 10 listan. Den fristående och oberoende organisationen OWASP vill nu ha in åsikter om denna nya version. OWASP Top 10-listan skulle jag säga är så nära en standard man kan komma, den refereras i mängder olika dokument såsom PCI DSS och diverse upphandlingar.
Senaste ändringen i OWASP Top 10 var år 2013 och det har hänt en del på webbsäkerhetsfronten, så därför är det lägligt att det kommer en ny version inom kort.
Det nya versionen innehåller två nya kategorier som är följande:
Och de tidigare kategorierna A7 och A4 har lagts in i A4. Tidigare kategorin A10 har tagits bort helt:
Jag tycker att A7 är mycket intressant och sätter fingret på en viktig punkt. För det är så att vi är relativt bra på att validera indata nuförtiden, bl.a. för att det är standard i många webbramverk. Men vi är desto sämre på att patcha, separera våra system och logga. Loggning är exempelvis otroligt viktigt vid incidenthantering och för att försöka lista ut hur ett intrång gick till.
Att använda en WAF (Web Application Firewall) känns också något som är en självklarhet år 2017. För detta finns exempelvis inbyggt i CloudFlare samt ingår i system från många brandväggsleverantörer. Men detta kan även ge en falsk säkerhet eftersom många WAF:ar går att kringgå.
Även den nya kategorin gällande oskyddade API:er är intressant, för detta är något som jag ser när jag exempelvis genomför reverse-engineering och penetrationstestar API:er. Många tror att bara för att ett API används så kan ingen ta reda på hur det fungerar och även ibland bygger in behörighetskontroll etc helt i klienten.
Här kan du läsa mer om tankarna bakom denna nya 2017 års version av OWASP Top 10:
Jag fick möjlighet att ställa några frågor till Martin som jobbar som kryptolog på Militära underrättelse- och säkerhetstjänsten, MUST.
MUST ansvarar bland annat för att kravställa, granska och godkänna kryptosystem och IT-säkerhetprodukter med mycket höga krav på kvalitet och säkerhet. Alla kryptosystem som är avsedda att skydda det svenska rikets säkerhet måste godkännas av MUST och personer som Martin.
Att jag får möjlighet att arbeta heltid som kryptolog. Jag hade tidigt en förkärlek för kryptologiområdet. Redan när jag började mina studier funderade jag kring att bli kryptolog.
I mitt arbete får jag möjlighet att kombinera teori och spjutspetsforskning med ett gediget praktiskt kryptologiskt hantverk, samtidigt som jag upplever att mitt arbete är meningsfullt.
Vi bidrar på ett konkret sätt till att skydda rikets säkerhet. Även om väpnade konflikter lyckligtvis hör till ovanligheterna i vårt närområde bedrivs passiv inhämtning i form av exempelvis signalspaning kontinuerligt mot våra system. Även aktiva attacker av olika slag förekommer.
Ett bra och säkert kryptosystem kännetecknas i min mening först och främst av att det är lättanvänt och möter användarnas faktiska behov.
Kerckhoffs — en känd man med många principer — hade insett ovanstående redan år 1883 när han formulerade sin sjätte princip: ”Enfin, il est nécessaire, vu les circonstances qui en commandent l’application, que le système soit d’un usage facile, ne demandant ni tension d’esprit, ni la connaissance d’une longue série de règles à observer.” i sitt verk ”La Cryptographie Militaire”. (Fritt översatt till svenska)
Avslutningsvis, är det nödvändigt, givet de omständigheter som föranleder dess tillämpning, att systemet är enkelt att använda, och varken vållar själsspänning eller fordrar kännedom om en lång rad regler att efterleva.
Det är viktigt att användarna har en erforderlig utbildning, att det finns regelverk och instruktioner som är enkla att följa och som säkerställer ett korrekt handhavande av systemet, och att det sker kontroller av att dessa regelverk och instruktioner efterlevs, för att ett system ska vara säkert. Genom upplysning bygger vi säkerhet.
Yves Gyldén, en känd svensk kryptolog, och något av en pionjär inom området i Sverige på 30-talet, drog liknande slutsatser som Kerckhoffs efter att ha studerat de olika chifferbyråernas forceringsförehavanden under världskriget. Han skriver bland annat:
Föga hjälpa manövrer, huru fältmässiga de än äro. De kunna aldrig uppkonstruera den själsspänning under vilken mången chiffrör försummar elementära försiktighetsåtgärder på grund av att chiffreringsproceduren är för invecklad eller för tidsödande.
Ska ett system ytterst fungera under krigsliknande eller på annat sätt ansträngda förhållande krävs att systemet är användarvänligt. Användaren har i allmänhet andra saker att uppehålla sig vid än kryptosystemet.
Utöver ovanstående är det givetvis helt centralt att det kryptologiska systemet, i vilket exempelvis kryptoalgoritmer ingår, är dimensionerat för att motstå den avsedda angriparen under hela den tid som ett skyddsbehov föreligger, och att systemet erbjuder rätt slags skydd.
När man som lekman tänker på kryptologiska system är det kanske främst sekretesskydd som kommer i åtanke — det vill säga system som skyddar uppgifters sekretess — men det finns många andra slags skydd som ett kryptologiskt system kan tillhandahålla. Några exempel är riktighetsskydd, skydd mot falsk signalering, återuppspelningsskydd, intrångsskydd och olika former av skydd mot trafikanalys. Tillgänglighetsaspekter måste också beaktas.
I fallet sekretesskydd är det särskilt svårt att dimensionera skyddet eftersom att uppgifter som krypteras med systemet då måste förbi omöjliga att forcera fram tills dess att sekretessen upphör.
Det vill säga: Om uppgifterna är hemliga i 50 år måste systemet förbli omöjligt att forcera 50 år efter att systemet har tagits ur drift och den sista uppgiften har sänts. Betraktar man den teknikutveckling som har skett under de senaste 50 åren och funderar över vad vi kommer befinna oss 50 år i framåt i tiden inser man vidden av det uppdragets svårighet. Lägg därtill att vår dimensionerande hotaktör är en statsaktör i form av främmande makts underrättelsetjänst.
Kryptologi, och särskilt sekretesskydd, är oförlåtande. I och med att en kryptotext sänds görs en utfästelse om att kryptotexten kommer att förbli omöjlig att forcera under hela den tidsperiod som ett behov av ett sekretesskydd föreligger. Det är omöjligt att i efterhand ångra sändningen. Man kan inte heller i efterhand förhindra sekretessförluster genom att då uppdatera systemet. En angripare som lyckas forcera ett system kommer att göra allt för att hemlighålla detta faktum. Därför måste systemet vara korrekt dimensionerat redan i utgångsläget.
För att kunna dimensionera system korrekt, och för att kunna möta nya attacker och brister som uppdagas redan i ett tidigt stadie, bedriver vi en omfattande omvärldsbevakning. Inom ramen för den följer vi exempelvis den akademiska forskningen. Vi bedriver också egen forskning och vi deltar i olika typer av forskningsprojekt och samarbeten. För närvarande forskar jag själv på hur kvantdatorer — det vill säga datorer som utnyttjar kvantmekaniska fenomen för att utföra beräkningar — i framtiden kommer kunna användas för att utföra kryptoanalys. Syftet är att bättre förstår hur vi idag ska agera för att på lång sikt skydda svenska intressen.
En annan sak som utmärker säkra kryptosystem är att de redan från början har konstruerats på ett sådant sätt att det är enkelt att formellt påvisa egenskaper i systemet och att verifiera dess säkerhetskritiska funktionalitet.
Därför är vi delaktiga i hela systemets livscykel från kravställning av systemet, till utveckling och design, till implementation, serieproduktion, verifiering, godkännande och driftsättning, till förvaltning och slutlig avveckling. I varje delsteg säkerställer vi att systemet utformas på ett sådant sätt att den slutliga produkten kommer kunna möta våra säkerhetskrav.
Under hela livscykeln måste sekretessen som omgärdar våra kryptosystem tryggas. Härutöver måste systemens riktighet skyddas. Angripare får inte ges möjlighet att manipulera våra kryptosystem.
När ett kryptosystem väl har tagits i drift måste det försörjas med kryptonycklar. En viktig del av vår verksamhet utgörs därför av vår nationella nyckelproduktion och nyckeldistribution. Den utformas så att den ska kunna fungera i krig.
Jag tror att jag vågar påstå att det främst är ovanstående faktorer som är centrala för att ett system ska kunna sägas vara säkert. Det är svårt och resurskrävande att ta fram säkra kryptosystem och att säkerställa att de handhas på rätt sätt.
Det är därför som vi har ett starkt mandat, och det är därför som kryptosystem som ska användas för att skydda hemliga uppgifter som rör rikets säkerhet först måste godkännas av oss.
Det är också därför som vi inte bara tar fram system för Försvarsmakten utan för hela Totalförsvaret. Våra system används civilt för att skydda exempelvis samhällskritisk infrastruktur.
Den som vill bli kryptolog bör i första hand ha ett brinnande intresse för kryptologiområdet och såväl en praktisk som teoretisk fallenhet för området.
Det är viktigt att personen ifråga inser hur oförlåtande kryptologiområdet är, och att hon eller han kan klara av att fullständigt genomlysa ett system och analysera alla angreppssätt mot detsamma. Ihärdighet, disciplin, och en förmåga att se problem från olika infallsvinklar är viktiga egenskaper hos en bra kryptolog. Härutöver krävs givetvis goda kunskaper i kryptologi.
För att återigen citera Gyldéns uppfordrande utläggningar:
Plikttrogenhet och disciplin är en god grund att bygga på. Den är otillräcklig inom en chiffertjänst. Kunskap och intelligens utgöra en långt säkrare grund.
Personer som söker tjänst hos oss som kryptolog bör ha en civilingenjörsutbildning eller masterutbildning inom ett tekniskt eller matematiskt ämne med fokus på problemlösning, eller motsvarande kunskaper förvärvade på annat sätt. En forskarutbildning såsom en doktors- eller licentiatexamen är meriterande. Men utbildningen är inte allt; man behöver en förmåga att faktiskt få saker gjorda i praktiken, och man måste kunna kommunicera med andra människor såväl i tal som i skrift. Man måste förstå dagens teknik och hur moderna kryptoapparater och kryptosystem fungerar tekniskt.
Kryptologiområdet är fortfarande ett smalt område, särskilt på den nivå där vi verkar. Därför måste den som vill bli kryptolog vara beredd att satsa ganska högt. Å andra sidan finns det få kryptologer i landet, och därmed få personer för oss att anställa. Vi söker nu både etablerade kryptologer och blivande kryptologer som får en del av sin utbildning här hos oss.
Härutöver söker vi andra typer av kompetenser, såsom IT-säkerhetsexperter och experter på mjuk- och hårdvara.
För att bygga säkra kryptosystem krävs inte bara kryptologer.
Vi ser att komplexiteten i vår uppgift ständigt ökar. Utvecklingen har gått från enbart handchiffer, till mekaniska och sedermera elektromekaniska kryptoapparater, till enklare elektroniska apparater, fram till dagens jämförelsevis mycket komplexa kryptosystem. Än ser vi inget tecken på att komplexitetstillväxten avmattas. Tvärtom. För att kunna granska och konstruera kryptoapparater samt följa omvärldsutvecklingen krävs en hel uppsjö olika mycket djupa tekniska kompetenser och betydande resurser. Det är viktigt att säkerställa tillgången på kompetens och resurser inför framtiden.
Livstiden för kryptoapparaterna som vi tar fram förkortas i och med den snabba teknikutvecklingen. Samtidigt förlängs utvecklingstiderna. Det gäller därför att satsa rätt från början och att ta fram apparater med en lång livslängd och ett brett användningsområde.
Det finns också utmaningar som är kopplade till globaliseringen och till att vi gradvis håller på att förlora kapaciteten att producera avancerad teknisk utrustning såsom kryptoapparater inom landet. När vi tillverkar kryptoapparater är sekretessen kring systemen och inte minst riktigheten av yttersta vikt. Förr i tiden kunde man inspektera en mekanisk hjulverksmaskin och se att den fungerade enligt specifikationen. Det är inte längre möjligt med dagens system. Av dessa skäl är det viktigt att vi har erforderlig kontroll över produktionen.
Det är en utmaning inför framtiden.
Om du är intresserad av att jobba på MUST så kan du se lediga jobb på Försvarsmaktens hemsida.
Ett av världens kanske säkraste operativsystem är nu ute i en ny version. Det handlar så klart om OpenBSD och den nya versionen som har fått versionsnummer 6.1:
We are pleased to announce the official release of OpenBSD 6.1.
This is our 42nd release. We remain proud of OpenBSD’s record of more than twenty years with only two remote holes in the default install.
Denna nya version innehåller ett antal höjdpunkter som är enligt följande:
Att ladda hem och installera OpenBSD går snabbt och smidigt. ISO-filen är enbart 200 MB och själva installationen tar max 5 minuter för den som är någorlunda ninja på BSD:
Sedan när systemet är installerat och Chromium installerat så testar jag att surfa in till kryptera.se.
Givetvis fungerar även doas (istället för sudo), figlet, xeyes och xlogo tillfredsställande:
Jag har även tidigare testat OpenBSD, läs mer här: