Tarsnap – Backup i molnet för den som är paranoid

Tarsnap är en backuptjänst i molnet för den som är paranoid. Kryptering genomförs på klientsidan innan datan skickas upp till Amazon S3-tjänst. Tarsnap är utvecklat av Colin Percival som är övermänsklig, han har bl.a. utvecklat scrypt och är har varit säkerhetschef för FreeBSD. Givetvis är även tarsnap öppen källkod tillgänglig källkod och mer tekniska detaljer finnes här.

Tarsnap har inget inbyggt grafiskt gränssnitt och stödjer operativsystem såsom Mac OS X, Ubuntu, FreeBSD osv. Stöd till Windows finnes via Cygwin, även så finns det tredjepartskod med GUI.

Så kommer du igång med Tarsnap

Först och främst laddar du hem tarsnap till din server eller klient:

$ wget https://www.tarsnap.com/download/tarsnap-autoconf-1.0.37.tgz

Och verifierar sedan nedladdningen:

$ sha256sum tarsnap-autoconf-1.0.37.tgz
SHA256 (tarsnap-autoconf-1.0.35.tgz) = fa999413651b3bd994547a10ffe3127b4a85a88b1b9a253f2de798888718dbfa

Sedan installerar du eventuella beroenden som kan behövas.

Detta är för Ubuntu:

$ sudo apt-get install libssl-dev zlib1g-dev e2fslibs-dev make

Vi extraherar tarsnap och bygger koden:

$ tar xvfz tarsnap-autoconf-1.0.37.tgz
$ cd tarsnap-autoconf-1.0.37/
$ ./configure && make
$ sudo make install

Och förhoppningsvis gick allt bra och tarsnap är installerat. Om du inte har något konto på tarsnap.com så är det läge att skapa det nu. Det är gratis att skapa ett konto, men du måste sätta in pengar för att betala för lagring och överföring. Du kan betala med Bitcoin, kort eller Paypal.

Nu skapar vi en nyckel för denna server och anger våra login-uppgifter som vi använde när vi skapade kontot på tarsnap.com:

$ tarsnap-keygen --keyfile /root/domän-tarsnap.key --machine domän.se --user [email protected]
$ chmod 600 /root/domän-tarsnap.key

Viktigt här är att du sparar undan nyckelfilen domän-tarsnap.key på ett annat system än det du gör backup på. För förlorar du denna fil så kan du ej återskapa data från servern samt ser till att enbart användaren som gör backup får läsa denna nyckelfil.

Så gör du backup med Tarsnap

Även så fungerar tarsnap precis som tar men med lite extra argument. Jag brukar skapa en fil vid namn backup.sh som även dumpar ut MySQL-databas så den följer med i backupen.

Så här ser min backup.sh ut som körs via cronjobb varje natt av root. Se även till att obehöriga inte kan läsa filen backup.sh då den innehåller lösenord.

mysqldump -u root -plösenord https > /var/www/domän.se/backup/`date +"%Y%m%d"`.sql
tarsnap --keyfile /root/domän-tarsnap.key --cachedir /usr/local/tarsnap-cache -c -f domän.se-`date +%F` /var/www/domän.se/docs/ /var/www/domän.se/backup/ /etc/nginx/sites-enabled/default-ssl /etc/nginx/sites-enabled/default

Du kan även behöva skapa katalogen /usr/local/tarsnap-cache/. Vill du även ta bort äldre backup-filer så kan du göra det med följande rad. Observera att det kan även vara bra med en kontroll att backupen lyckas innan du tar bort äldre backup-filer:

tarsnap --cachedir /usr/local/tarsnap-cache --keyfile /root/domän-tarsnap.key -d -f domän.se-`date -d "2 days ago" +%F`

Glöm inte att testa återställning också vid regelbundna intervaller, det är viktigt.

Kolla även in denna gist som underlättar installationen.

Så håller Google sin molntjänst Google Cloud säker med KVM

Google Cloud använder sig av open-source hypervisorn KVM för dess molntjänster Google Compute Engine och Google Container Engine. Google är ett företag som ställer mycket höga krav på säkerheten och har genomfört ett antal olika säkerhetshöjande åtgärder i KVM.

Genom nedan olika åtgärder så arbetar Google med att höja säkerheten:

  • Proaktivt arbete – Googles erkända IT-säkerhetsforskare arbetar kontinuerligt med att försöka identifiera nya zero-days i KVM och rapporterar dessa tillbaka till KVM-projektet.
  • Reducera attackytan – Genom att ta bort komponenter som inte behövs så kan attackytan reduceras. Sådana delar är exempelvis äldre drivrutiner för möss och tangentbord. Även så begränsar Google den instruktionsuppsättning som KVM emulerar.
  • Använder inte QEMU – Genom att utveckla en egen virtualisering mot hårdvaran kan även attacker minskas. Google har ett begränsat antal hårdvaruplattformar som de behöver stödja som rullar i deras olika datacenters. Även så stödjer Google inte korsarkitektur för olika värd/gäst-kombinationer.
  • Uppstart och kommunikation – Google använder ett unikt förfarande för kommunikation mellan värd och gäst med hjälp av kryptografiska nycklar. Dessa nycklar används för att säkerställa autentisering och auktorisering.
  • Snabba åtgärder – Internt har Google en strikt SLA som medger snabba och effektiv åtgärder vid eventuella säkerhetsbrister.
  • Noggrann releaseprocess – Vid utrullning av nya versioner så används en gedigen kontroll av säkerheten. Enbart ett fåtal anställda vid Google har tillgång till byggsystemet och kan göra ändringar i källkoden.

Tittar vi historiskt på attacker såsom Rowhammer eller Venom så går dessa inte att utföra alternativt så har Google utvecklat övervakningsverktyg för att detektera dessa. Även så genomför Googles säkerhetsteam löpande fuzzing-tester av mjukvaran för att identifiera nya sårbarheter (se bl.a. OSS-fuzz).

På följande föredrag så berättar Googles Andrew Honing även om Googles KVM-säkerhetsförbättringar:

Facebook stödjer nu inloggning med säkerhetsnyckel (U2F)

Facebook meddelade precis att de nu stödjer tvåfaktorsautentisering med hjälp av en hårdvarunyckel. Det är nycklar som stödjer standarden FIDO U2F som är utvecklad av Google samt svenska företaget Yubico.

En Yubikey U2F från Yubico kostar 160kr och går att beställas från Yubicos hemsida (tillkommer frakt på cirka 50kr). Förutom Facebook så stödjer även populära tjänster såsom Dropbox, Salesforce, och Google U2F-enheter sedan tidigare.

Har du en mobiltelefon med Android och NFC stöd så finns det dock ett antal möjligheter för inloggning eftersom dessa enheter oftast inte har USB.

Bild på en Yubikey U2F från Yubico:

 

Test av säkra operativsystemet Qubes OS

Qubes OS är ett säkert operativsystem som använder en lite annorlunda säkerhetsarkitektur om man jämför med OpenBSD som jag testat tidigare. Qubes använder sig av Xen hypervisor som är öppen källkod för att isolera olika applikationer mot olika domäner (operativsystem/VM).

Och Qubes är även Edward Snowdens favorit när det gäller operativsystem:

Följande bild påvisar uppdelningen mellan olika virtuella VMs:

Attackytan från nätverket går direkt mot en egen isolerad domän och administration (grafiskt gränssnitt) ligger i en domän något som kallas för Dom0.

Qubes har funnits sedan 2012 och grundades av Joanna Rutkowska. Senaste versionen 3.2 har bl.a. stöd för att släppa igenom USB-enheter direkt till ett VM. Detta gör att man exempelvis kan använda sig av en Bitcoin hårdvaruplånbok med USB-gränssnitt. Qubes är framförallt framtaget för arbetsstationer och ej servrar.

Installation

Jag hade två laptops att testa Qubes OS på. Tyvärr så bootade inte installationen upp på den ena av dessa. Installationen går ut på att du bränner ut en ISO på ett USB-minne som du sedan startar upp på. Processen att installera operativsystemet tar drygt en timme där manuella moment enbart består av några få frågor.

Hela installationsförfarandet är mycket enkelt och du har även möjlighet att partionera samt kryptera hårddisken vid installationen.

De tre standardsystemen som jag väljer att installera är:

  • Standard, dvs sys-net och sys-firewall
  • Standard applikation-qubes: arbete, privat, vault och untrusted
  • Whonix gw samt arbetsstation. För att köra Tor

Användning av Qubes OS

Den mesta användningen av Qubes görs genom menyn uppe till vänster samt Qubes VM Manager.

Nedan två skärmdumpar visar detta:

Personliga filer och Firefox

Personlig domän med filhantering samt Firefox
Qubes VM Manager som hanterar VM:s

Att starta upp en ny applikation, exempelvis Firefox i den personliga domänen tar enbart några sekunder. Och då startar Fedora upp i en hypervisor och när Firefox startats upp så visas det i mitt gränssnitt.

Observera även på skärmdumpen nedan att titeln på fönstret innehåller namnet personal och färgen är gul.

QubesOS med Firefox i personlig säkerhetsdomän

Säkerhet

Även om uppdelningen mellan VM:ar så hänger säkerheten på operativsystemet som går i respektive hypervisor samt hypervisorn i sig, och i detta fall Xen. Qubes går inte ut med säkerhetsbulletins vanligtvis för sårbarheter som exempelvis drabbar Firefox.

Säkerhetsbuggar som publicerats under 2016 från QubesOS hemsida:

Just den sista sårbarheten ovan är intressant. För den kan påverka det template-system som Qubes använder. All kommunikation till templates går genom brandväggen (sys-firewall) förutom ett undantag och det är uppdateringar som går via tinyproxy, detta för att templates alltid ska ha senaste uppdateringar.

Qubes använder sig även i dagsläget något som heter paravirtualisering (PV) som ställer högre säkerhetskrav på hypervisorn. Detta är dock något som Qubes-utvecklarna ångrar i dagsläget och kommer att gå över till full virtualisering (HVM) från och med version 4 av Qubes OS.

Windows

Det går att köra Windows och då med hårdvaruvirtualisering (HVM). Windows 7 64-bitar stöds när det gäller verktyg som Qubes tillhandahåller: qubes windows tools. Dessa verktyg gör att kopiera/klistra, fönster samt filöverföring fungerar smidigt.

Sammanfattning

Qubes gör att du på ett enkelt sätt kan höja säkerheten avsevärt på din arbetsstation. Med medföljande verktyg så kan du enkelt sköta vardagliga saker såsom surfa säkert, hantera lösenord och sköta ordbehandling.

Framförallt är det enkelt och komma igång om du känner dig hemma med Linux sedan tidigare.

Lavabit – Snowdens E-posttjänst uppstår från det döda ☠️

Lavabit är tjänsten som fick stänga ner på grund av visselblåsaren Edward Snowden, han använde nämligen Lavabit som E-postleverantör: [email protected]. Nu har dock Lavabit uppstått från det döda meddelar grundaren Ladar Levison.

Nytt är en helt ny arkitektur vid namn Dark Internet Mail Environment (DIME) som bl.a. förhindrar att myndigheter kan kartlägga och ta del av E-postmeddelanden.

Koden finns på Github och kommer med en E-postklient vid namn Magma. Det går även att skaffa ett konto på Lavabit.com och återfå sitt gamla konto innan tjänsten stängde ner 2013. Priset ligger då 15$/år eller 30$ för ett konto med större lagringsutrymme.

Enligt Ladar så fungerar DIME i korthet på följande sätt:

By encrypting all facets of an email transmission (body, metadata, and transport layer), DIME guarantees the security of users and the least amount of information leakage possible.

Mer information finns på Lavabit.com eller hos Dark Mail Technical Alliance: https://darkmail.info/

Även så finnes specifikationen som PDF här:

Årets första skadliga kod till Mac upptäckt

Det är företaget Malwarebytes som upptäckt den första skadliga koden till macOS (tidigare Mac OS X). Det är en bakdörr som går under namnet OSX.Backdoor.Quimitchin

Denna skadlig kod har identifierats hos biomedicinska forskningsanläggningar och har troligtvis utvecklas runt 2013-2014. Även så misstänker Malwarebytes att det finns en Windows-version av denna skadlig kod eftersom VirusTotal har identifierat Windows-binärer som pratar med samma C&C-server (Command and Control):

99.153.29.240
eidk.hopto.org

I övrigt använder den skadliga koden de klassiska tricken som att skriva ut en uppstartsfil för exekvering till ~/Library/LaunchAgents/com.client.client.plist

Även skrivs ett antal filer ner till disk som är skrivna i Java samt Perl. Dessa filer innehåller i sin tur kommandon för både Linux och macOS såsom xwd och macOS motsvarighet screencapture.

Nu har även Apple lagt in denna skadlig kod i det inbyggda antivirus-programmet Gatekeeper till macOS. Apple kallar denna skadliga kod för Fruitfly.

Det är i dagsläget oklart hur denna skadliga kod sprids.

IOC:er att titta efter (indicators of compromise)

SHA256: 94cc470c0fdd60570e58682aa7619d665eb710e3407d1f9685b7b00bf26f9647
SHA256: 694b15d69264062e82d43e8ddb4a5efe4435574f8d91e29523c4298894b70c26
SHA256: 83b712ec6b0b2d093d75c4553c66b95a3d1a1ca43e01c5e47aae49effce31ee3
SHA256: ce07d208a2d89b4e0134f5282d9df580960d5c81412965a6d1a0786b27e7f044
SHA256: b556c04c768d57af104716386fe4f23b01aa9d707cbc60385895e2b4fc08c9b0
SHA256: bbbf73741078d1e74ab7281189b13f13b50308cf03d3df34bc9f6a90065a4a55

IT-säkerhetskonferens C2 17 – Eftermiddag

Detta är en sammanställning från IT-säkerhetskonferensen Command & Control 2017 eftermiddag. Förmiddagens sammanställning hittar du här

Keep the GDPR monster under control – direct from the field

(på Engelska)
Karen Lawrence Öqvist, VD och grundare för bolaget Privasee

Karen går igenom definitionen på vad som är personlig data. Hennes företag har tagit fram en metod som heter Privasee Method ”keep it simple” som består av ett antal principer för att jobba med GDPR.

Fritt översatt:

  1. Spara så lite data som möjligt. Och be om medgivande om det som sparas
  2. Datakvalitét
  3. Spara enbart enligt ett specifikt syfte
  4. Använd personlig data begränsat och enbart enligt syftet
  5. Säkerhetsåtgärder
  6. Öppenhetsprincip
  7. Princip för inblandning av användare

Säkerhet hos nya produkter och system inom Försvaret

Ulrika Evertsson Hansson, Head of Systems Security Audit Section på Försvarsmakten

Systemgranskningssektionen vid MUST granskar och bedömer säkerheten i och omkring IT-system. Ulrika påpekar att brister IT-säkerheten så påverkar det Försvarsmaktens förmåga att lösa uppgifter.

Signalskydd har mycket högre kvar på assurans och sekretess bl.a. för att de ska skydda rikets säkerhet upp till 95 år. Och FM ska inte bara hantera sin egen hemliga information, utan även andras såsom NATO och EU.

FM måste skydda sig mot andra statsaktörer med stora resurser. Det är ett stort arbete att hålla gamla system skyddade mot nya hot.

KSF – MUST Krav på säkerhetsfunktioner beskriver det funktionella och assuranskrav som ställs på alla system som ska nyttjas för FM:s verksamhet. En del av ISD-processen

Viktigt också enligt Ulrika: RÖS/TEMPEST, loggning och signalskydd. Komponenter granskas enligt olika nivåer från N1 till N4. MUST måste granska dataslussar och dioder extra mycket. Även nämner Ulrika ”secure supply-chain” och att N4 även innefattar kodgranskning och att få produkter har denna nivå.

Säkerhetsfunktioner

  • Behörighetskontroll
  • Säkerhetsloggning
  • Skydd mod skadlig kod
  • Intrångsskydd
  • Intrångsdetektering
  • Skydd mot obehörig avlyssning
  • Skydd mot röjande signaler (RÖS). TEMPEST = NATO

FM strävar åt att gå över till TEMPEST från RÖS.

Föryngring av säkerhetsbranschen

Moderator: Anne-Marie Eklund Löwinder (IIS) och Åsa Schwarz (Knowit)
Sponsorrepresentanter: Einar Lindquist (Advenica) och Calle Svensson (Bitsec)

En diskussion hur vi kan föryngra branschen och en presentation av sponsorerna samt varför de har valt att sponsra studenter med biljetter till C2’17. Gemensamt för samtliga var att de uppmuntrade och gillade C2’17-konceptet (läs mer här).

Agil juridik

Caroline Sundberg, advokat på advokatfirman Delphi

Caroline Sundberg, advokat på advokatfirman Delphi

Först beskriver Caroline vad agil utveckling är: mindre och kortare leveranser. Man kan även ändra sig på vägen. Man har ingen spec från början ”vi ska bygga exakt det här”.

Agil utveckling är eg. inget nytt men det är ett ökat intresse. Några vanliga metoder är Scrum, FDD, DSDM, Crystal, Lean Software Development osv.

Vanligaste misstag är att man har för bråttom samt att man använder avtal för vattenfallsmodellen för agila projekt.

Minimikrav på agila projekt bör innefatta reglering av nyckelpersoner, givetvis går det dock inte att förhindra föräldraledighet etc. Även så bör uppsägning av projektet utan skäl finnas. Immateriella rättigheter är också otroligt viktigt, speciellt vid agil utveckling.

Ska man tillåta Open Source i utvecklingen? Kontroll på vilken extern kod som införs.

Minimikrav bör även innefatta sekretess, hantering av personuppgifter, krav på dokumentation, krav på kunden samt kvalitetskrav.

Förändringsledning: Hur får vi alla engagerade i säkerhet?

Anna Borg, senior säkerhetskonsult på Knowit
Eva Esselin Leander, leg. organisationspsykolog och seniorkonsult på Knowit

Vi behöver förflytta oss framåt mot någonting som vi inte har en aning om. Som människor i vår natur går vi tillbaka i en komfortzon. För att utvecklas behöver vi passera gränsen och känna oss lite rädda, då är vi på topp som människor. Helst bör vi gå utanför vår komfortzon minst dagligen.

Det bör så klart inte gå för långt, vi ska inte känna oss för obekväma. För då får det motsatt effekt. Exempelvis när det gäller General Data Protection Regulation (GDPR) så väljer tyvärr många att sätta ner huvudet i sanden.

För att genomföra förändringar så handlar det först om att skapa rätt förutsättningar, sedan engagera hela organisationen och sist förankra och driva vidare förändringen. Tillvarata även medarbetarnas kompetens som en resurs för att hitta bättre lösningar samt gemensam utveckling så känner fler inom organisationen ansvarstagande och helhetsförståelse.

Storgruppsintervention är även att rekommendera. Även så går talarna igenom en involveringsprocess.

Avslutande diskussioner

Under sista passet så var samtliga talare på scenen. Det diskuterades bl.a. Polisens arbete med att nå ut med IT-säkerhetsinformation till samtliga 29000 medarbetare. Även så påpekade Anne-Marie om att arbetsgivarvarumärket blir viktigare och viktigare vid rekrytering.

Det diskuterades även om politiska val samt IT-säkerhet runt dessa. Sist men inte minst så frågades det om reglering i form av exempelvis GDPR är bra och samtliga tyckte att det var bra.

C217 samtliga talare

IT-säkerhetskonferens C2 17 – Förmiddag

Detta är en sammanställning från IT-säkerhetskonferensen Command & Control 2017 förmiddag. Eftermiddagens sammanställning hittar du här

C2 17 har en PANIK-knapp
Klart det finns en PANIK-knapp

Dagens IT-säkerhetskonferens Command & Control ’17 börjar med mingel och frukost samt kaffe i den underbara lokalen Bygget och jag träffar på gamla och nya bekanta i branschen. Efter kaffe och smörgås håller dagens moderatorer Anne-Marie Eklund Löwinder och Åsa Schwarz en introduktion, formalia och genomgång av dagens program.

Kontrollen över internet

Anne-Marie Eklund Löwinder, CISO på IIS

Anne-Marie Eklund Löwinder

Anne-Marie berättar att .se-zonen var den första i världen som började att använda DNSSEC. Olika svagheter i DNS har successivt lett till att DNSSEC har ökat sin penetration bland toppdomäner.

Efter många och långa påtryckningar mot ICANN så blir rotzonen signerad vid den första ceremonin Juni 2010. Anne-Marie berättar om ICANN och IANA som sköter den operativa driften av systemet för signering. Det sker även kontroller i enlighet med 27002:2013 samt NIST SP 800-53 “High Impact system”.

Även så berättar Amel om ansökningsförfarandet och hur hon fick ansöka om att bli en av personerna som har hand om nyckeln för rotzonen. Tre personer skulle bl.a. gå i god för att hon var en bra person. Fysisk säkerhet vid själva ceremonierna är otroligt viktig och åtskilliga lager av fysisk säkerhet finnes.

aep används som hårdvarusäkerhetsmodul (HSM) tillsammans med smarta korta, 7 st TCR:er används.

Alla nycklar har ett bäst-före-datum och om problem uppstår så att nyckelpersoner inte kan ta sig till ceremonin så finns det tre olika fallback-rutiner. Minst tre av sju krypto-officerare måste ha möjlighet att närvara.

Ansvar är bästa försvar – styrkan i de tre försvarslinjerna

Karin Winberg, internrevisor på Riksbanken 

Karin Winberg

Föredraget handlar om ett ramverk som baseras på COSO:s principer om kontroll och uppföljning. Karin delar upp detta i tre försvarslinjer:

  1. Verksamheten och stödfunktioner – 90% av alla medarbetare. Rapporterar till VD
  2. Riskkontroll, regelefterlevnad – 9% av alla medarbetare. Övervakar 1:a linjen samt rapporterar till VD och styrelse
  3. Internrevision – 1% av alla medarbetare. Utvärderar 1 & 2 samt rapporterar till styrelse

Två samt tre är komplement till 1:an. Även förutsätter detta att det finns en VD, ägare samt styrelse. Olika linjer ovan rapporterar även till olika delar, dvs olika rapporteringsvägar. Finns en fjärde försvarslinje som kan vara en extern revisor eller tillsynsmyndighet.

En annan viktig del är hur oberoende olika delar är. Efter denna genomgång går Karin igenom olika nyckelkontroller samt roller och ansvar inom de olika linjerna.

Karin Skarp

Svenskt it-säkerhetsindex

Karin Skarp, Key Account Manager inom marknadsområdet National Security på Advenica

Berättar om en metod (index) för att mäta en organisations mognadsgrad inom cybersäkerhet. Framtaget tillsammans med Dataföreningen, SIG Security, Stockholms Universitet samt Radar. Även om digital ansvar och dess tre hörnstenar som handlar om Digital Functionality, Digital Privacy och Digital Sustainability.

Radar har tagit fram en sammanställning när det gäller olika branscher och dess mognadsgrad och detta återfinnes även i en rapport där svar från 266 organisationer återspeglas. Majoriteten av alla organisationer ligger runt 45-50% på skalan förutom bank och finans som ligger bättre till.

När det gäller kommuner så ligger dom dåligt till när det gäller risk samt mognad. Dock tycker Karin att detta är felaktigt, säg exempelvis om liv står på spel när det gäller vattenrening?

Indexet hjälper till att se var Er organisation är nu och vart ni är på väg.

Länk: https://radareco.se/radar-sakerhetsindex/ 

 Informationssäkerhet 3.0 – när säkerhet blir en del av Polisens verksamhet

Josefine Östfeldt, it-säkerhetschef på Polismyndigheten

Börjar sitt föredrag med att visa bilden på ett inbjudningskort. Syftet är att visa på att säkerhetsorganisationen bör oftare vara inbjuden till olika delar av organisationers arbete.

IT-säkerhetsenheten vid Polisen är just nu 30 pers men kommer snart att bli 70 personer på grund av omorganisation. Polismyndighetens vision när det gäller it- och informationssäkerhetsarbete är att vara ett föredöme för andra myndigheter.

I takt med digitalisering av myndigheten så ökar också efterfrågan på enhetens arbete. Även arbetssättet förändras med exempelvis DevOps och mer agilt, där säkerhetsarbete behövs.

Josefines organisation går mot att jobba mer agilt och mer integrerat mot övriga organisationer inom Polisen. En agil organisation måste kunna jobba snabbt och kräver helt nya krav hur arbetet bedrivs.

  1. Ingen separation av it- och informationssäkerhet. Allt under en funktion men givetvis “Separation of duties”
  2. Säkerhetsfunktionen ska jobba nära verksamheten. Säkerhet är inget man lägger till på slutet.
  3. Riskbaserat it- och informationssäkerhetsarbete. 100% säkerhet är inte bra för en verksamhet, konstant förändring. Identifiera risken
    1. SOC/CERT
    2. Penetrationstester
  4. En mix av kompetenser. Ger bra synergier
  5. Bidra till att utveckla verksamheter. Tillför en ny dimension samt vara proaktiva och ta ansvar.

It-säkerhet i självkörande bilar

Christina Rux, Senior Service Architect, Connected Car IT Services på Volvo Cars

Ungefär 100-200 ECU:er uppkopplad på CAN-bussen i en bil. Man har även börjat att tala om att gå över till Ethernet internt i bilen. Just nu håller Volvo dock på att fundera på vad som ska in i bilar år 2025, för detta är något som planeras nu.

Christinas avdelning jobbar med uppkopplade tjänster såsom:

  • Volvo on call
  • Remote update service
  • Phone as key
  • Uber – Självkörande bilar
  • Zenuity – Definera funktioner för självkörande bilar tillsammans med Autoliv
  • Mobility – Ny enhet på Volvo
  • In car delivery. Leveranser direkt till bilen
  • Road friction indication. Meddelar till molnet hur väglaget är
  • Autonomous drive

Hon nämner även att det genomfördes 330 000 starter av motorvärmare på ett dygn via en app i mobiltelefonen.

När det gäller hur bilen är uppkopplad så är det via en telematikenhet med modem är uppkopplad via Wifi, bluetooth eller modem med SIM-kort.

Hackade bilar blev blev en stor realitet 2015  och hackers intresse för uppkopplade bilar förväntas öka. Ett dataintrång måste kunna stoppas på några minuter. Refererar även till Charlie Miller och Chris Valaseks arbete om att hacka Jeep Cherokee. Externa protokollet från bilen till molnet var samma som gick in på CAN-bussen. Även berättar Chrisina om hacket av Teslas bil och att en over-the-air uppgradering kunde lösa problemet utan att återkalla bilar.

Volvo har en privat PKI inom och utanför bilen. Autentisering och åtkomstkontroll av bilen, mobil-appar och web-lösningar. E2E security mellan bilen, molnet och appar.

Säkerhetsuppdateringar till WordPress

En ny version av WordPress har just släpps som åtgärdar ett antal olika säkerhetsbrister. WordPress är ett av världens vanligaste CMS och har cirka 60 miljoner installationer.

För några timmar sedan så släpptes version 4.7.1 som åtgärdar följande säkerhetsproblem:

  1. Remote code execution (RCE) in PHPMailer – Verkar inte gå att utnyttja i WordPress men som säkerhetsåtgärd så uppdateras den version av phpmailer som skickas med i WordPress.
  2. The REST API exposed user data for all users who had authored a post of a public post type. WordPress 4.7.1 limits this to only post types which have specified that they should be shown within the REST API. Reported by Krogsgard and Chris Jean.
  3. Cross-site scripting (XSS) via the plugin name or version header on update-core.php. Reported by Dominik Schilling of the WordPress Security Team.
  4. Cross-site request forgery (CSRF) bypass via uploading a Flash file. Reported by Abdullah Hussam.
  5. Cross-site scripting (XSS) via theme name fallback. Reported by Mehmet Ince.
  6. Post via email checks mail.example.com if default settings aren’t changed. Reported by John Blackbourn of the WordPress Security Team.
  7. A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing. Reported by Ronnie Skansing.
  8. Weak cryptographic security for multisite activation key. Reported by Jack.

För de flesta så uppdateras WordPress automatiskt men det är alltid bra att dubbelkolla så du har senaste versionen installerad.

Läs mer här eller ladda hem den senaste svenska versionen här: https://sv.wordpress.org/

Ryssland påverkade det amerikanska valet med hjälp av hackers

Amerikanska myndigheten DHS tillsammans med FBI släppte för några timmar sedan en teknisk rapport med titeln GRIZZLY STEPPE – Russian Malicious Cyber Activity.

Rapporten beskriver två hackinggrupper vid namn APT28 och APT29 samt deras tillvägagångssätt att angripa amerikanska intressen. Framförallt sådant som är relaterade till valet (APT = advanced persistent threat).

Med hjälp av fiktiv e-post (spearphising) så hackade APT28 ett amerikanskt parti och sedan exfiltrerade och släppte ut dokument publikt samt till press. Även den andra hackinggruppen APT29 har använt spearphising-attacker och skickat ut mail till över 1000 mottagare mot amerikanska intressen.

Min personliga bedömning är dock att konkreta bevis på att det är RIS (Russian Intelligence Service) som ligger bakom saknas. Detta framgår ej rapporterna, men förstår även att det är svårt att avhemliga information från exempelvis NSA.

Följande bild beskriver hur dessa två grupper jobbar med bl.a. X-Agent och X-Tunnel mjukvaran. Vi skrev senast om X-agent för några dagar sedan då den användes i en attack mot Ukraina.

Även så publicerar US Treasury en lista med personer som USA utför sanktioner mot. Den innehåller en del GRU-personer men även hackers.

Förutom ovan så finns det även flertalet IOC:er (indicators of compromise) där bl.a. tre svenska IP-nummer ska ha används för kontrollkanal eller på annat sätt vara inblandad i attackerna.

Troligtvis är detta hackade klienter eller servrar. Vissa även är eller har varit Tor-exitnoder:

95.215.44.115,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
153.92.126.148,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
185.86.148.111,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.148.227,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.149.223,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.149.97,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
185.7.34.251,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
85.24.197.4,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.

Registrerade enligt whois på Exalt, Netbrella Networks samt:

Yourserver.se is a trademark
of Makonix Ltd, registered at
Ulbrokas 23, Riga, Latvia, LV-1021,
EU VAT number LV40103214759

Hela listan med IOC:er hittar du på denna sida. Har tittat i mina egna system efter dessa IP-adresser och hittar tusentals med intrångsförsök samt legitim trafik.

Här kan du ladda hem rapporten från FBI och DHS National Cybersecurity and Communications Integration Center (NCCIC):