Riksbanken: Cyberattacker har blivit vanligare

Riksbanken går nu ut och varnar för att cyberangrepp mot det finansiella systemet. I den senaste rapporten från Riksbanken med titel Finansiell stabilitet 2016 så ägnas ett helt fördjupningskapitel på fyra sidor åt cyberangrepp.

I denna fördjupning så pekar Riksbanken bl.a. på att cyberangreppen ökade med 38 procent globalt under 2015 (källa PWC:s rapport Turnaround and transformation in cybersecurity).

Även så pekar man på den attack som genomfördes mot SWIFT-systemet i Bangladesh centralbank under Februari 2016.

Behöver Er organisation hjälp med cybersäkerhet? Kontakta Triop AB 

Riksbankens system förstora betalningar går under benämningen RIX (här kan du se samtliga deltagare). Och RIX är själva navet i det svenska finansiella systemet och där även transaktioner mot RIX distribueras till SWIFT-nätverket.

Och vad detta betyder beskrivs i rapporten enligt följande:

Detta innebär att ett cyberangrepp mot någon del av dessa sammanlänkade nätverk kan hota den finansiella stabiliteten i Sverige men även internationellt

RIX-systemet
Övergripande bild på RIX-systemet

Även så framgår det i rapporten att allt fler aktörer i det finansiella systemet väljer att outsourca sin IT-infrastruktur. Och även om Finansinspektionen utövar tillsyn mot banker och finansiella infrastrukturföretag så framgår följande:

I dag finns det inte någon myndighets om bedriver direkt tillsyn av externa leverantörer av IT‐tjänster till finansiella företag och har mandat att besluta om sanktioner samt vidta åtgärder gentemot dessa externa leverantörer. Ett uttalat ansvar och mandat i detta avseende skulle sannolikt underlätta arbetet med att belysa och minska de risker som kan uppstå när ett fåtal externa leverantörer av IT‐tjänster ansvarar för en stor del av den finansiella sektorns IT‐drift.

Här kan du ladda hem rapporten i sin helhet som PDF:

Riksbanken Finansiell Stabilitet 2016

Ny attack mot Googles tvåfaktorsautentisering (2FA)

Google 2fa

En ny attack som försöker lura användare att skicka vidare sin unika 2FA-inloggningskod (token) har uppdagats av Alex MacCaw på Clearbit. Just denna attack försöker lura användare av Googles tjänster såsom Gmail.

Allt eftersom fler och fler börjar att använda 2FA så kommer även denna typ av attacker att bli allt vanligare.

Skärmdump på hur meddelandet kan se ut:

Google 2FA Attack

Till Android har det även rapporterats tidigare om skadlig kod som automatiskt kan skicka vidare SMS. Detta skrev ESET om i Mars 2016.

Hur står det till med den personliga integriteten?

Hur står det till med den personliga integriteten? är titeln på ett nytt delbetänkande från Integritetskommittén. I rapporten presenterar kommittén översiktlig beskrivning av faktiska och potentiella integritetsrisker som var och en av oss utsätts för i vårt dagliga liv.

Rapporten är gedigen och på hela 814 sidor. Och för den som gillar teknik så har IT-säkerhetsföretaget Kirei skrivit bilaga 3 som handlar om integritetsskyddande teknik.

Bilaga tre är även min personliga favorit och tar upp bl.a. avanonymisering. Även så finns ett intressant kapitel med rubriken Ett dygn med familjen Svenssons elektroniska spår. Där läsaren får följa en fiktiv familj i olika vardagsituationer och vilka digitala spår som denna familj lämnar efter sig:

  • Missade integritetsinställningar
  • Risken med dåliga lösenord
  • Barnens chattrafik okrypterad och avlyssnad
  • E-legitimation på vift
  • Övervakad på jobbet och osynlig kreditprövning
  • Prylar som skvallrar
  • Krypterade filer i molnet
  • Nummerplåtsavläsning
  • Hantering av uppgifter om hälsa
  • Allting spåras på webben
  • Elevhälsa på drift
  • Lifeloggingkameran som fotograferar för mycket
  • Personliga länkar visar vem besökaren är
  • Lojalitetsapp med specialerbjudande
  • Ansiktsigenkänning ger bättre service
  • Mobiltelefonen som spårsändare i stadsplaneringen
  • Mobilen loggar allt och lite till
  • I skattespindelns nät
  • Försäkringskassan profilerar
  • Kameraövervakning i sovrummet

Ordföranden för kommittén är Datainspektionens före detta generaldirektör Göran Gräslund.

Här kan du läsa rapporten i sin helhet:

Integritetskommitténs delbetänkande

Hur står det till med den personliga integriteten? – en kartläggning av Integritetskommittén

💳 Detta är nytt i PCI DSS v3.2

PCI DSSKreditkorts-standarden PCI DSS släpptes nytt i en version 3.2. Denna nya version innehåller en hel del intressanta saker som vi listat nedan. Uppdateringen bygger på feedback från de cirka 700 medlemsorganisationerna som använder sig av standarden och tillhandahåller kortbetalningar.

Ett annat underlag till denna uppdatering är analyser av de läckage av kreditkortsnummer som inträffat. Övriga branscher kan ta och lära en hel del från PCI DSS standarden som funnits sedan 2004.

Nyheterna i PCI DSS version 3.2

  • Tvåfaktorsautentisering blir flerfaktorsautentisering. Dvs minst två faktorer ska användas. Och detta ska användas för icke console-access samt fjärrinloggningar
  • Penetrationstester ska utföras minst var 6:de månad
  • Nytt avsnitt dedikerat till SSL/TLS
  • Regler hur kreditkortsnummer får visas upp
  • Kvartalsvis genomgång att personal följer säkerhetspolicys och operativa förfaranden
  • Att ha en process för att identifiera och rapportera fel i kritiska säkerhetssystem såsom brandväggar, IDS:er, loggning etc
  • Ledningen ska ha tydliga uppgifter när det gäller att skydda kreditkortsdata samt ta fram ett PCI compliance program
  • Dokumentation över krypto-algoritmer som används, hardware security modules (HSM) eller andra Secure Cryptographic Devices (SCD)
  • Dokumentation över nycklar och dess livslängder samt hur nycklarna används

PCI står för Payment Card Industry och DSS står för Data Security Standard. Och den gamla versionen 3.1 upphör att gälla 31 Oktober 2016. Dock är alla nyheter i version 3.2 enbart best practices fram till Februari, 2018 för att alla organisationer ska hinna ställa om.

Här kan du ladda hem Requirements and Security Assessment Procedures PCI DSS 3.2 som PDF:

PCI DSS v3.2

Kommentar på Riksrevisionens rapport om informationssäkerhet i staten

RiksrevisionenMyndigheten Riksrevisionen släppte för några dagar sin rapport med titeln Informationssäkerhetsarbete på nio myndigheter (RiR 2016:8). Rapporten omfattar en granskning gällande informationssäkerheten hos myndigheterna  Svenska kraftnät, Arbetsförmedlingen, Bolagsverket, Försäkringskassan, Lantmäteriet, Migrationsverket, Post- och telestyrelsen, Sjöfartsverket och Statens tjänstepensionsverk.

Arbetet med informationssäkerhet når inte upp till en godtagbar nivå på de granskade myndigheterna

Granskningen har genomförts med hjälp av intervjuer samt så har relevant dokumentation på tre av myndigheterna granskas. Övriga myndigheter har fått svara på en enkät.

Några av de positiva sakerna som tas upp i rapporten:

  • Alla tre myndigheter använder teknisk implementation i form av VPN och tvåfaktorsautentisering, vilket innebär en väsentligt minskad risk vid fjärranslutning.
  • Alla sex myndigheter uppger att de har en metod för att klassificera sina informationstillgångar.
  • Alla tre myndigheter har genomfört tekniska åtgärder för att höja säkerheten på bärbara datorer, och den tekniska säkerheten för dessa är därför god.

Och de negativa delarna och där brister framgår är desto mer, några av dessa är:

  • Den tredje myndigheten når inte upp till godkänt, eftersom backuperna förvaras på samma fysiska plats som originaldata.
  • En myndighet saknar skriftliga bestämmelser för säkerhetsloggning.
  • Det saknas dock bestämmelser om att lösenord inte får loggas.
  • En av de tre myndigheterna har en lösenordspolicy som når upp till godkänt.
  • Ingen av myndigheterna utför dock regelbundna och övergripande analyser som fokuserar på informationssäkerhet.
  • Ingen av myndigheterna når upp till godkänd nivå i fråga om att säkra nyckelkompetens.
  • Flera myndigheter har uppgett att man får, som det heter, uppfinna hjulet på egen hand i alltför stor utsträckning.
  • Två myndigheter har en otillräcklig organisation för att hantera incidenter.

Men hur kan det komma sig att hanteringen av informationssäkerheten kan bli så här? För även om detta bara är ett litet axplock av våra 340 myndigheter så gäller mycket av det som lyfts upp i Riksrevisionens rapport även på andra myndigheter. Och precis som Riksrevisionen skriver i sin rapport så är det främst myndighetsledningens ansvar att prioritera och ta ansvar för informationssäkerheten och inte delegera ner i organisationen.

Jag tror främst att det beror på individnivå, några av myndigheterna har lyckats att rekrytera och behålla engagerade och högt presterande medarbetare. Och därav de olika nivåerna på olika områden inom infosäk på myndigheterna. 

Givetvis är det även också brist på engagemang och intresse från myndighetsledningens sida. Kanske rentav så att brist på intresse för teknik och hur infosäk-arbete måste genomsyra allt arbete på myndigheten. För IT är inte enbart en fråga för IT-avdelningen, utan alla medarbetare på myndigheten måste ha utbildning och förståelse för cybersäkerhet.

Eller som Riksrevisionen framhäver slutsatserna:

Säkerhetsarbetet implementeras inte i de ordinarie verksamhetsprocesserna. Kärnverksamheten uppfattar inte att den har något ansvar för informationssäkerheten, utan att det ligger någon annan-stans i myndigheten såsom på IT- eller säkerhetsfunktioner.

Och även följande är intressant:

Granskningen visar att myndigheternas ledningar har delegerat ansvaret för informationssäkerhet, utan att se till att de ansvariga har ett tillräckligt mandat att utföra sina uppgifter och tillräckligt med resurser.

Tips: Läs även Kim Hakkarainens reflektioner.

Här kan du ladda Riksrevisionens rapport i sin helhet:

Informationssäkerhetsarbete på nio myndigheter - En andra granskning av informationssäkerhet i staten
Informationssäkerhetsarbete på nio myndigheter En andra granskning av informationssäkerhet i staten

Ny metodik för att identifiera Tor-webbläsaren samt Tails

Tor and Tails fingerprinting

Undertecknad har utvecklat en ny metod för att identifiera Tor Browser samt vilken version av det säkra och anonyma operativsystemet Tails som en klient använder sig av.

Metoden går ut först och främst på att fråga webbläsaren efter olika resurser som bara återfinnes i Tor-webbläsaren, och sedan titta på felmeddelandet som är olika beroende på om Tor eller Firefox används. Och beroende på dessa svar så kontrolleras sedan om Adblock Plus är installerat och vilket regelverk som användes. Eftersom Tails uppdaterar regelverket i varje version så kan jag således identifiera vilken version av Tails som används.

Jag har så klart skapat en demo-video, proof-of-concept kod och demo-sajt. Förfarandet rapporterades till Tor-utvecklarna i Januari som då rapporterade det vidare till Firefox som Tor Browser baseras på. Än så länge finns det ingen åtgärd och metodiken fungerar således fortfarande.

Lyckades även att identifiera om Tor Browsern går på Mac OS X genom att titta om -moz-osx-font-smoothing södjs (kanske bara retinas?).

Demo-sidan hittar du här: https://tor.triop.se och koden återfinnes på Github.

Demo video

Apple släpper säkerhetsuppdateringar 🔒

AppleIgår så släppte Apple en stor mängd med säkerhetsuppdateringar. Vissa av dessa uppdateringar åtgärder sårbarheter som innebär att en antagonist kan exekvera kod över nätverket, eller ”An attacker in a privileged network position” som Apple skriver.

Även en mängd lokala attacker såsom utbrytning ur Apples sandlåda.

Nätverksattackerna gäller:

  • Captive Network Assistant – Exekvera kod
  • CFNetwork Proxies – Dataläckage
  • MapKit – Dataläckage

Uppdateringarna gäller följande operativsystem och applikationer:

  • tvOS 9.2.1 for Apple TV (4th generation)
  • iOS 9.3.2 for iPhone 4s and later, iPod touch (5th generation) and later, and iPad 2 and later
  • watchOS 2.2.1 for Apple Watch Sport, Apple Watch, Apple Watch Edition, and Apple Watch Hermes
  • OS X El Capitan v10.11.5 and Security Update 2016-003 for OS X El Capitan v10.11and later
  • Safari 9.1.1 for OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, and OS X El Capitan v10.11.5
  • iTunes 12.4 for Windows 7 and later

Nytt nummer av legendariska hacker-magasinet Phrack

Phrack

Nu har nummer 69 släppts av det mytomspunna och legendariska hacker-magasinet Phrack. Första numret av Phrack släpptes redan år 1985 och sedan dess har det alltså släppts 69 utgåvor. Sedan 2012 tills nu har det dock varit ett uppehåll och vem som just nu sköter om Phrack just nu är okänt.

Phrack är även känt för sina djupa tekniska artiklar och banbrytande publiceringar. Speciellt innan internets intågande då modem och BBS var populärt. En av de artiklarna som fått mest genomslag är ”Smashing The Stack For Fun And Profit” som är grunden för nästan alla som börjar med exploitutveckling.

Innehåll

Phrack återfinnes här:

 

Sajter som är sårbara för LuckyNegative20 CVE-2016-2107

LuckyNegative20

En av de sårbarheter vi skrev om i förrgår går under CVE-2016-2107 eller LuckyNegative20. Filippo Varsoda är en av de som genomfört en analys av buggen samt lagt upp en sajt för att testa om man är sårbar. Buggen återfinnes i en tidigare fix i biblioteket OpenSSL.

Så här skriver Filippo om buggen på CloudFlares blogg:

a skilled MitM attacker can recover at least 16 bytes of anything it can get the client to send repeatedly just before attacker-controlled data (like HTTP Cookies, using JavaScript cross-origin requests).

A more skilled attacker than me might also be able to decrypt more than 16 bytes, but no one has shown that it’s possible yet.

Vi har genomfört en skanning på några svenska sajter, och många är sårbara. Men som ovan skriver så kräver det att du kan sitta i mitten för att utnyttja attacken.

Listan med sajter

  • aftonbladet.se
  • bankomat.se
  • bth.se
  • cert.se
  • coresec.se
  • detectify.com
  • di.se
  • dn.se
  • expressen.se
  • forsakringskassan.se
  • fxm.se
  • halon.se
  • hd.se
  • kau.se
  • liu.se
  • mdh.se
  • metro.se
  • migrationsverket.se
  • nwt.se
  • oru.se
  • ownit.se
  • privataaffarer.se
  • romab.com
  • sectra.com
  • sentor.se
  • specialfastigheter.se
  • spp.se
  • svtplay.se
  • svt.se
  • tre.se
  • volvofinans.se
  • www3.skatteverket.se (används av Skatteverkets App)

Listan ovan baseras på denna.