SHA-1 har nu blivit knäckt av Google – Ska vi vara oroliga?

Google släppte precis en bomb där de skriver att de lyckats att genomföra kollisionsattacker mot SHA-1. Som proof-of-concept så har man skapat två PDF-filer med olika innehåll men samma SHA-1 checksumma.

Att fasa ut SHA-1 är något som påbörjades för många år sedan men det har tyvärr gått långsamt och SHA-1 används fortfarande på många ställen såsom Git, Firefox, certifikat, Windows, PGP, TPM-chip osv. Teoretiska attacker mot SHA-1 presenterades redan 2013, så att det nu går att genomföra praktiskt är inte helt förvånansvärt.

Den grupp som skapat denna nya kollisionsattack består av personer från Google och CWI Amsterdam. Attacken går under namnet SHAttered och mer information återfinns på nedan infografik samt på sajten shattered.io.

Dock krävs det fortfarande en hel del beräkningskapacitet för att genomföra attacken och Ars Technica har räknat på detta:

Had the researchers performed their attack on Amazon’s Web Services platform, it would have cost $560,000 at normal pricing. Had the researchers been patient and waited to run their attack during off-peak hours, the same collision would have cost $110,000. That’s within the $75,000 to $120,000 range CWI’s Stevens projected in late 2015.

Att forskarna använder just PDF-filer är för att det är relativt lätt att lägga in godtycklig padding.

Som tur var så finns det även ett verktyg på Github för att detektera denna attack.

Ny version av PuTTY åtgärdar säkerhetsbrister

Putty är en omåttligt populär programvara till Windows som används för att ansluta med ssh. Nu har version 0.68 släppts som åtgärdar två säkerhetsbrister som återfinnes i SSH-agent forwarding samt hur DLL:er laddas in.

Läs mer här:

Och den som kan sin putty-historia vet att den är kantad med diverse sårbarheter. Det har hänt åtskilliga gånger exempelvis att minnet inte har rensats korrekt efter nycklar och lösenord.

Och här kan du ladda hem en ny version av putty:

Glöm inte att verifiera signaturen.

MUST årsöversikt 2016: Ryska påverkansoperationer

Militära underrättelse- och säkerhetstjänsten (MUST) inom Försvarsmakten publicerade precis sin årsöversikt för 2016. Och precis som FRA:s årsredovisning för 2016 så skriver MUST om ökade cyberoperationer.

Och om påverkansoperationer så skriver MUST följande:

”Påverkansoperationer har fått förnyad aktualitet i samband med presidentvalet i USA 2016 men Ryssland har, liksom Sovjetunionen, tillämpat påverkansoperationer som ett utrikespolitiskt verktyg under många år.

Detta sker inte minst genom de ryska underrättelsetjänsterna, som förutom att inhämta underrättelser också har till uppgift att verka för att öka det ryska politiska inflytandet utomlands och aktivt motverka utvecklingar som den ryska statsledningen anser vara negativa.

Att inhämta information som kan användas för att misskreditera politiska motståndare är ett väl etablerat modus operandi, där Internet erbjudit nya sätt att både komma över och sprida sådan information. I detta sammanhang ges också stöd till aktörer som för Rysslands talan i andra länder. En förutsättning för att kunna bedriva effektiva påverkansoperationer mot extern och intern opposition är god direkt eller indirekt kontroll över massmedier.”

Annat som är intressant som förekommer i årsöversikten är den obligatoriska IT-incidentrapporteringen som bidrar till att höja säkerhetsskyddet. Andra myndigheter rapporterar till MSB men myndigheter som ligger under Försvarsdepartementet samt Fortifikationsverket och Försvarshögskolan rapporterar till Försvarsmakten.

MUST fick även i uppdrag av MSB ett reda ut vilka produkter som kan bli godkända för att använda som Krypto för skyddsvärda uppgifter (KSU).

Martin på avdelningen för krypto och IT-säkerhet vid MUST som var granskningskoordinator i projektet berättar att de upptäckte luckor inom några områden i det omfattande underlaget som de hade att tillgå från tidigare undersökningar.

Detta gjorde att MUST behövde göra egna undersökningar och intervjua respektive leverantör. Leverantörernas design av de tekniska lösningarna överensstämde inte alltid med hur MUST ansåg att de borde ha gjort i vissa avseenden. Under intervjuerna med leverantörerna fick MUST däremot förståelse för kompromisser de behövt göra. Förklaringarna låg oftast i linje med hur leverantörerna uppfattade slutanvändarnas behov och säkerhetskrav.

Här kan du läsa MUST årsöversikt:

Kaspersky släpper KasperskyOS

Det ryska antivirus-företaget Kaspersky släpper ett operativsystem vid namn KasperskyOS. Operativsystemet har varit under utveckling i 14 år och har fokus på säkerhet i Internet of Things (11-11 var kodnamnet för OS:et tidigare).

OS:et kommer inte gå att köpa direkt från Kaspersky utan kommer att levereras med olika typer av utrustning direkt från hårdvaruleverantörer.

KasperskyOS använder sig av en mikrokernel som har Flux Advanced Security Kernel (FLASK) arkitektur. Flask är framtaget av bl.a. amerikanska myndigheten NSA och används av SELinux, TrustedBSD.

Kaspersky Secure Hypervisor kan användas tillsammans med KasperskyOS och då köra andra operativsystem, även så är OS:et POSIX-kompatibelt.

Redan nu har Kaspersky samarbete med två leverantörer: Kraftway switches samt SYSGO PikeOS som går KasperskyOS hypervisor (KSH). Operativet kommer inte som öppen källkod men möjlighet finns för leverantörer att granska koden.

Läs mer på Eugene Kasperskys blogg eller tekniska detaljer på securelist.

Skärmdump från uppstart:

Kraftway-switch med Kaspersky OS:

FRA årsredovisning 2016: Sverige är utsatt för cyberangrepp

FRA årsrapport 2016

FRA släppte precis sin årsrapport för föregående år och trycker detta år på att antalet cyberattacker ökar. Genom sin signalspaning så ser myndigheten att en kvalificerad angripare nästan alltid kan hacka sig in i målet, det är bara en fråga om tid.

Förutom cyberattacker mot kritisk infrastruktur så riktar sig även främmande makt mot följande mål:

  • Försvarsförmåga och försvarsplanering
  • Svenska säkerhetspolitiska avsikter
  • Statshemligheter
  • Industrihemligheter
  • Forskningsresultat

En annan viktig slutsats som FRA drar är att med hjälp av signalspaning så kan vi lära oss om angriparnas angreppssätt, mål och verktyg. Detta kan sedan omsättas för att bygga relevanta skyddsåtgärder för att skydda svenska myndigheter och statligt ägda bolag.

Även framgår i årsrapporten att TDV (tekniska detekterings- och varningssystem) som vi skrivit om tidigare fortsätter att utvecklas. TDV är ett avancerat antivirus-system som tittar på signaturer i signalspaningen. Under 2016 har ytterligare ett antal verksamheter installerat systemet.

Begreppet cyberförsvar har även definierats tillsammans med Försvarsmakten enligt följande:

CYBERFÖRSVAR: En nations samlade förmågor och åtgärder till skydd för dess kritiska cyberinfrastruktur som syftar till att säkerställa kritiska samhällsfunktioner samt förmågan att försvara sig mot kvalificerade angrepp.

Här kan du ladda hem årsrapporten i sin helhet:

Så identifierar du säkerhetsbrister med AFL Fuzzer

AFL står för American fuzzy lop och är en fuzzing-mjukvara utvecklat av övermänniskan Michał Zalewski (lcamtuf) som jobbar på Google. Om Er organisation inte använder fuzz-tester i dagsläget som en del av säkerhetsgranskning eller kvalitétsprocess (QA) så är det läge att börja nu.

AFL är en instrumentell fuzzer och har hittat tusentals olika säkerhetsrelaterade buggar i program och bibliotek såsom libpng, PHP, OpenSSL, putty, Bind, QEMU, curl och procmail för att nämna några.

AFL är öppen källkod och går att köra på x86 Linux, OpenBSD, FreeBSD, och NetBSD. Även går afl på Solaris och macOS och tredjepartskod som körs på windows: winafl.

Jag har skrivit en hel del fuzzers i mina dagar och använt andras ramverk och det första verktyget jag använde var SPIKE runt 2002 som är utvecklat av Dave Aitel. Men sedan dess har det hänt en hel del när det gäller fuzzers och afl är en av de bästa enligt mig.

Nedan följer en guide hur du installerar och kommer igång med AFL:

Installation av afl

Att ladda hem och kompilera afl är relativt enkelt, men jag använder vanligtvis en mac och gillar att jobba med Vagrant (kräver även VirtualBox eller VMware).

Och det finns så klart en färdig Vagrant för just afl:

$ git clone https://github.com/JamieH/vagrant-afl
$ cd vagrant-afl
$ vagrant up
$ vagrant ssh

Det var ju enkelt. Nu kommer det lite krångligare, och det är att få afl att fungera tillsammans med mjukvaran vi vill testa/fuzza.

Kompilera koden med afl

Eftersom afl använder sig av instrumentering så bör du kompilera din kod med afl-gcc eller afl-g++ (afl-clang samt afl-clang++ finns också). Det kan du göra genom att göra följande efter det att du laddat hem källkoden:

$ CC=/usr/local/bin/afl-gcc CCX=/usr/local/bin/afl-g++ ./configure --disable-shared

Detta gör du i mappen där källkoden ligger som du vill fuzza. Just ovan exempel förutsätter även att configure finns i mappen (autoconf). afl stödjer även emulatorn Qemu om du inte skulle ha tillgång till källkoden (blackbox fuzzing).

Skicka in data med afl

Först och främst så måste afl skicka in genererad data i det program vi ska fuzza. Det går att göra på två sätt:

  • Via stdin (consolen)
  • Via en fil som argument

Och det blir genast problem med ovan två punkter om du exempelvis ska fuzza en mjukvara såsom webbserver som tar in data över nätverket. Även så måste mjukvaran stänga ner efter varje förfrågan.

Det finns så klart lösningar på ovan problem, antingen får vi patcha (skriva om koden) för att ta in data från stdin eller använda ett hjälpmedel såsom preeny. Med hjälp av preeny så kan vi fulpatcha anrop mot nätverksfunktionerna socket(), bind(), listen(), och accept() genom följande kommando. Då styrs nätverksanropen om till stdin/stdout:

$ LD_PRELOAD=x86_64-linux-gnu/desock.so afl-fuzz ..osv

Visa vägen

Men innan vi sätter igång med fuzzandet så är det två saker till vi måste lösa. Den första är att kontrollera huruvida instrumenteringen fungerar. Och det gör du med afl-showmap kommandot. Showmap har i stort sett samma argument som afl-fuzz.

Den programvara som jag testar att fuzza är Cyrus imapd och då måste vi även skicka in ett imap-kommando som i detta fall är A LOGOUT samt två miljövariabler:

$ CYRUS_ID=1 CYRUS_SERVICE=foo afl-showmap -m 100 -o /dev/null cyrus-imapd/imap/imapd -X < <(echo "A LOGOUT")
afl-showmap 2.35b by <[email protected]>
[*] Executing 'cyrus-imapd/imap/imapd'...

-- Program output begins --
* OK [CAPABILITY IMAP4rev1 LITERAL+ ID ENABLE AUTH=CRAM-MD5 SASL-IR] vagrant-ubuntu-trusty-64 Cyrus IMAP 3.0.0-beta6-3-gf721e5b server ready
* BYE LOGOUT received
A OK Completed
-- Program output ends --
[+] Captured 1535 tuples in '/dev/null'.
$

Toppen. 1535 tuples (basic blocks) identifierades, det ser bra ut. Om du får ett felmeddelande likt detta:

No instrumentation detected eller failed to map segment from shared object: Cannot allocate memory. Så testa ändra -m flaggan upp till exempelvis 200 som bestämmer hur mycket minne som får förbrukas.

Om jag startar mjukvaran felaktigt eller skickar in ett kommando som inte finns så får jag ingen output och betydligt mindre tuples, se här:

..klipp..

-- Program output begins --
-- Program output ends --
[+] Captured 464 tuples in '/dev/null'.
$

Skapa testfall för fuzzning

Även om afl-fuzz är relativt smart så måste vi föda in något som afl kan jobba vidare med. Och i fallet med imapd som jag testar så är det så klart lämpligt att skicka in olika typer av imap-kommandon. Med lite grep och awk-magi så plockar jag ut alla kommandon som Cyrus imapd stödjer direkt från källkoden:

$ grep strcmp cyrus-imapd/imap/imapd.c|grep cmd.s|awk -F'"' '{print $2}'|sort|uniq > afl/testcases/imap.txt

Och många av de imap-kommandon som finns tar ett eller två argument som vi måste lägga på så att varje testfall hamnar i en egen fil som sedan läses av afl-fuzz:

for a in `cat ../../testcases/imap.txt`; do echo "A $a A A" > $a-A-A.txt; done

Så för att repetera: ett testfall i varje fil i en katalog. Likt detta:

$ cat afl/imap/testcases/Logout.txt
A Logout

Starta fuzzningen med afl-fuzz

Såja, nu vet vi att mjukvaran startar och kan ta input från stdin. Vi har även skapat ett antal testfall och nu återstår bara att starta afl-fuzz.

För att starta fuzzningen kör:

$ CYRUS_ID=1 CYRUS_SERVICE=foo afl-fuzz -m 100 -o afl/imap/findings/ -i - cyrus-imapd/imap/imapd -X

Och då bör några tester genomföras och statusfönstret dyker upp:

AFL fuzzing

Och har vi tur och mjukvaran gått i några timmar/dagar/veckor så dyker några uniq crashes upp. Hangs kan så klart också vara intressant och betyda blockeringsattack (DoS).

Resultaten hamnar i katalogen findings/crashes/ där vi kan analysera vidare vad det är som orsakar en krasch med gdb. Har vi tur så kan vi även skriva en exploit som utnyttjar bristen.

Lop är även en fluffig kaninras, därav bilden av en kanin längst upp i denna guide.

Länkar och vidare läsning

Följande länkar är bra att ha och jag rekommenderar dig att läsa vidare:

Så upptäckte säkerhetsloggning med OSSEC ett intrång

Detta är en historia om hur min säkerhetsloggning som bl.a. bygger på OSSEC identifierade ett intrång på en av mina webbservrar.

OSSEC är öppen källkod och går under licensen GNU GPLv2 och utvecklades från början av Daniel Cid och företaget Third Brigade som sedermera blev uppköpta av Trend Micro. Dock så lovade Trend Micro att fortsätta hålla OSSEC som öppen källkod, vilket det fortfarande är.

OSSEC är en mjukvara som går under kategorin HIDS (host-based intrusion detection system) och har bl.a. funktioner för att analysera loggfiler efter suspekta mönster, detektera rootkits och utföra aktiva åtgärder såsom att blockera i brandvägg.


Det går att installera OSSEC som fristående installationer på varje server och sedan skicka vidare larm med hjälp av rsyslog, syslog-ng eller filebeat (föredetta logstash-forwarder) eller använda OSSEC:s inbyggda funktionalitet för att skicka loggar krypterat. Det finns även Windows-klienter till OSSEC.

Jag har konfigurerat OSSEC som en tripwire-funktionalitet, dvs att OSSEC kontrollerar checksummor på viktiga filer. Eftersom många webbattacker går ut på att modifiera webbsidor så har jag även lagt in så att OSSEC-larmar på förändringar i filer som ligger under webbkataloger. Standard så kontrollerar OSSEC enbart integritet på ett antal viktiga systemfiler, därför är det viktigt att lägga till ytterligare filer som du vill hålla koll på.

Jag brukar lägga till ungefär följande rad i /var/ossec/etc/ossec.conf filen:

 <directories realtime="yes" report_changes="yes" restrict=".htaccess|.php|.html|.js">/var/www/domän.se/</directories>

Och även följande rad om du vill larma på nya filer:

<alert_new_files>yes</alert_new_files>

Skulle du få många nya larm om temporära filer som skapas i någon katalog så kan du alltid lägga ignore på den katalogen enligt följande:

<ignore>/var/www/katalognamn</ignore>

Men observera dock vilken katalog du ignorerar så inte det går att utnyttja av en angripare.

Vidare bör du ställa ner intervallet då övriga filer kontrolleras som är standard på 22h. Du gör det med följande rad i ossec.conf:

<frequency>14400</frequency>

Även så måste du ändra följande fil: /var/ossec/rules/local_rules.xml och lägga till följande rad för att få larm om nya filer:

<rule id=”554″ level=”7″ overwrite=”yes”>
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck</group>
</rule>

Det är för att regeln med id 554 standard är satt som level=”0″ vilket betyder att du inte får några larm.

Intrånget

Det larm som dök upp från OSSEC som fick mig att höja på ögonbrynen är följande:

Den som är observant på ovan larm ser att includ_once() är en felstavning av PHP-funktionen include_once(). Givetvis så kontrollerade jag filen manuellt och upptäckte då att någon hade manuellt modifierat footer.php. Detta är ett vanligt förekommande förfarande när det gäller hackade WordPress-installationer.

Efter vidare undersökning så identifierade jag Filesman-phpbakdörren men även en till bakdörr. Denna bakdörr la jag in min egen bakdörr i så att den loggade alla försök att utnyttja bakdörren samt att lösenordet till bakdörren loggades. Om du är intresserad av bakdörrar till php så kan du kolla in min samling på Github Gist här.

Du kan med fördel även importera larm från OSSEC till Splunk eller ELK-stacken (Elasticsearch, Logstash och Kibana).

Filesman PHP-bakdörr

Granskning av IT-säkerheten på Dagens Nyheters (DN) tipssajt

Jag har genomfört en oberoende granskning av IT-säkerheten på DN:s sajt där användare kan skicka in tips. Tidigare har jag bl.a. granskat SVT:s TV-leaks. Min förhoppning är att fler kan dra lärdomar och således blir säkerheten bättre i längden.

All information nedan är sammanställt med hjälp av öppen information.

Peter Wolodarski som är chefredaktör på DN framhäver på sajten dngranskar.dn.se följande (se även skärmdump ovan):

Vi behöver din hjälp i vårt arbete. De största avslöjandena kommer från människor som har värdefull information. DN lägger stora resurser på granskande journalistik. Här kan du på ett säkert sätt lämna tips till våra undersökande reportrar.

Vidare så läser vi även följande:

Tjänsten är skyddad med hög kryptering för att ge dig som tipsare största möjliga säkerhet. Det innebär att tipset blir oläsligt utan en särskild nyckel. Bara ett begränsat antal reportrar på tidningen har tillgång till denna nyckel.

Denna särskilda nyckel som ovan text refererar till är en PGP-nyckel som ligger inbäddad på webbsidan. Denna nyckel läses sedan av openpgp.js och formulärdata krypteras och skickas över och lagras på serversidan.

Den publika PGP-nyckeln som återfinnes på sidan ser ut enligt följande:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: OpenPGP.js v1.3.0
Comment: http://openpgpjs.org
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=Bf3n
-----END PGP PUBLIC KEY BLOCK-----

Den med ett tränat öga ser att ovan nyckel inte ser ut att vara speciellt lång, nämligen enbart 1024-bitar RSA, vilket inte är att rekommendera sedan år 2010. Tittar vi närmare på nyckeln så ser vi även att den står på Kristoffer Örstadius.

Även något som är anmärkningsvärt så används inte denna nyckel när jag testar att skicka in ett tips med Firefox, då ser kommunikationen ut enligt följande:

Gör jag samma med Google Chrome så krypteras all information från formuläret med 1024-bitars nyckeln förutom filnamnet:

Tittar vi på webbservern så svarar den att det är en gammal Apache, openssl med en PHP-version som är end-of-life sedan 2015, dvs inga säkerhetsuppdateringar eller liknande kommer. Red Hat tillhandahåller säkerhetsfixar för dessa versioner efter noggrann kontroll:

Server: Apache/2.4.6 (Red Hat Enterprise Linux) OpenSSL/1.0.1e-fips PHP/5.4.16

Övriga saker att anmärka på är även att cookies för spårning och annonsering följer med från dn.se till dngranskar.dn.se såsom _ga (Google Analytics), optimizelyEndUserId, __couid (Kantar Sifo) och _burtAgency. Openpgpjs som används är version 1.30 och den senaste är 2.3.6.

Även bör headers som meddelar att webbläsare inte bör cacha innehåll användas såsom:

  • Cache-control: no-store
  • Pragma: no-cache

Sajten från A+ från SSLlabs.com vilket är bra och inga tredjepartsscript eller liknande laddas in.

Sammanfattning

Tjänsten är byggd med flertalet IT-säkerhetsbrister. Kommunikationen går över TLS vilket räddar upp situationen en del men informationen lagras troligtvis i klartext på servern när openpgp.js inte fungerar som den ska.

Jag har kontaktat DN innan publiceringen av denna granskning och DN meddelar att en ny sajt lanseras inom kort. Att titta på för inspiration för framtida arbete är SecureDrop som bl.a. The Guardian och NY Times använder.

Uppdatering: DN meddelar att kryptering även genomförs på serversidan av informationen efter den är inskickad.

SecureDrop över Tor som The New York Times använder sig av

Uppdatering: Burp Suites passiva granskning rapporterar 11 st medium-brister och 42 st low:

Windows SMBv3 zero-day

Proof of Concept (PoC)-kod för en ny zero-day har släppts på Github. Koden kan få en Windows-klient att krascha över nätverket i dagsläget (denial of service) men oklart om detta kan leda till något allvarligare.

Det koden gör är simulera en server och skickar då SMBv3-paket som får klienter av typen Windows 8 eller Windows Server 2012 är blåskärma. Detta för att enbart dessa operativsystem och nyare som stödjer version 3 av SMB-protokollet.

För att förmildra eventuell skada så rekommenderas blockering av TCP portar 139 och 445 samt UDP port 137 och 138 in/utgående genom brandväggar.

PCAP finnes här:

Skärmdump från Windows 8 där denna brist utnyttjas:

Allvarlig sårbarhet i McAfee ePolicy Orchestrator

Cisco Talos har upptäckt en blind SQL-injection i McAfee ePolicy Orchestrator. ePolicy Orchestrator är en populär mjukvara i många enterprise-nätverk och något som jag ofta stöter på vid mina penetrationstester.

Sårbarheten har fått CVE-2016-8027 och gäller versioner av ePolicy Orchestrator (ePO) 5.1.3 och äldre, ePO 5.3.2 och äldre.

McAfee ePolicy Orchestrator används för att centralt managera klienter som kör McAfee Antivirus. Klienterna pratar med servern över ett protokoll som heter SPIPE och servern har även en webbserver, Apache Tomcat som går på tcp port 8443.

Sårbarheten ligger i hur klientens GUID-värde (unika klient ID) skickas vidare in mot underliggande databas. På grund av en bristande filtrering så går detta värde direkt in mot databasen. Denna sårbarhet gäller dock enbart http post och inte SPIPE-kommunikationen, klienten kan prata med servern på båda protokoll.

För att förhindra denna sårbarhet bör klienter inte ha möjlighet att ansluta direkt på port 8443 till ePO-servern. Detta bör enbart administratörer ha behörighet att göra.

Det är oklart vad detta får för konsekvenser på klienter som använder servern om sårbarheten utnyttjas. Går det exempelvis att köra godtycklig kod på samtliga klienter?

CVSS3 (Common Vulnerability Scoring System) enligt följande:

8.2 - CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L

Mer tekniska detaljer om sårbarheten finnes i Cisco Talos detaljerade rapport.