Vad innebär en aktiv svensk cyberförmåga?

cyberförmåga

SOFFUnder onsdagen höll Säkerhets- och försvarsföretagen (SOFF) ett lunchseminarium gällande aktiv svensk cyberförmåga.

Talare var följande tre personer:

  • Ingvar Åkesson, tidigare GD FRA. Numera PwC Ekelöw
  • Fredrik Wallin, FRA
  • Johan Sigholm, Försvarshögskolan (ersatte Lars Nicander)

Förutom ovanstående talare var det cirka 30 personer anmälda. Från företag och organisationer såsom Ekelöw, Bitsec, Regeringskansliet, Krigsrådet, KKrVA, Ganeida Security, CGI, SAS Institute, Försvarsmakten, Eltel Network, Inspektionen för strategiska produkter, Triop.

Första talare ut var Fredrik Wallin som berättade om skillnaden mellan CND, CNE och CNA:

  • CND, computer network defence
  • CNA, computer network attack
  • CNE, computer network exploitation

FRAFredrik berättade även om cybervapnet Stuxnet samt att FRA har möjlighet att följa angripare i deras framfart mot svenska intressen. Även så understrykte Fredrik vikten av samverkan mellan myndigheter.

Den andra talaren var Johan Sigholm som berättade vad FHS gör inom cyberområdet. Johan berättade att cyberövningar är ett bra sätt att träna upp förmågan samt att det lag som brukar ligga bäst till vid övningar är de som representerar privata sektorn.

Att man bör se datornätverksoperationer (förkortat på engelska till CNO) som ett Venn-diagram där alla tre ben samverkar:

cyberförsvar

 

Behöver din organisation hjälp med ett aktivt cyberförsvar? Kontakta Triop AB →

Sista talaren var Ingvar Åkesson, och tidigare talare refererade till Försvarsmaktens regleringsbrev 2016 där följande framgår:

Försvarsmakten ska med stöd av Försvarets radioanstalt och eventuellt övriga berörda försvarsmyndigheter analysera och redovisa hur Sveriges cyberförsvar, inklusive en förmåga att genomföra aktiva operationer i cybermiljön, kan utvecklas och förstärkas. Föreslås konkreta åtgärder ska dessa rymmas inom given ekonomisk ram. Uppdraget ska löpande återrapporteras till Regeringskansliet (Försvarsdepartementet). En första delredovisning ska ske den 17 juni 2016.

Ingvar delade även med sig av några privata reflektioner från sin tid som GD och vad som kan göras inom cyberarenan.

Några punkter som Ingvar tog upp:

  • Förebygga cyberangrepp
  • Upptäcka cyberangrepp
  • Blockera angriparen
  • Vilseleda angriparen
  • Exploatera angriparens infrastruktur
  • Försvåra. Exempelvis DDoS mot angriparens infrastruktur
  • Förhindra. Slå ut angriparens infrastruktur

Viktigt att notera också att det är en skillnad  mellan aktiv och offensiv cyberförmåga.

Jag passade även på att fråga Johan Östlund på Ganeida Security om Sveriges cyberförmåga:

Sveriges aktiva cyberförmåga är ett mycket intressant och viktigt område och jag tycker det är bra att ämnet berörs. Dess känsliga natur gör dock att det är väldigt svårt att föra en rak och öppen dialog med berörda myndigheter.

Vidare säger Johan:

Detta är något av ett dilemma eftersom jag är övertygad om att privata aktörer har mycket att tillföra i utvecklingen av denna kapacitet. Min uppfattning är att myndigheterna aktivt måste söka kontakt med det privata näringslivet för att få fart på detta.

Vad gäller innehållet i själva seminariet kan jag tycka att man kanske borde ha lagt kunskapsnivån något högre och fokuserat mer på praktiska detaljer. Nu blev det väldigt mycket grundläggande teori.

Uppmaning: Tvinga inte regelbundna lösenordsbyten

CESG Lösenord

Brittiska säkerhetsmyndigheten CESG släppte under 2015 en lösenordspolicy som frångår tidigare rekommendationer som säger att användare bör byta lösenord efter 30, 60 eller 90 dagar.

Regular password changing harms rather than improves security, so avoid placing this burden on users. However, users must change their passwords on indication or suspicion of compromise.

Citat från CESG Password Guidance

Och för några dagar sedan så släppte även CESG en djupare förklaring till varför myndigheten har ändrat sina rekommendationer.

Det beror främst på följande tre orsaker:

  • Ökad administration – Det är lättare att glömma bort lösenordet om användaren tvingas ändra lösenordet regelbundet.
  • Snarlika lösenord – Användaren väljer i många fall snarlika lösenord när denne tvingas ändra lösenord regelbundet.
  • Skriva ner lösenordet – Långa komplexa lösenord som måste bytas ofta är svåra att komma ihåg och användaren skriver då ner lösenordet i större omfattning.

CESG är en del av brittiska signalspaningsmyndigheten GCHQ. Här kan du ladda hem CESG lösenordspolicy i sin helhet:

CESG Lösenordspolicy

Badlock var inte så farlig som många trodde

Nu har information släppts om den beryktade Badlock-buggen. Det visar sig att den inte är så farlig som många hade förväntat sig, dvs mer en uppbyggd hype eller PR-trick.

Sårbarheten är en så kallad MITM-bugg och gör att angriparen måste sätta sig mellan klienten och SMB-servern. Även så handlar Badlock om en överbelastningsattack, DoS.

Microsoft ger den nivå ”Important”, dvs näst högsta nivån och buggen får CVE-2016-0128 samt CVSS nivå 7.1.

Intressant denna tisdag är även att Microsoft släpper sitt månatliga patchpaket som innehåller critical-fixar för Edge och Internet Explorer.
hype train

Badlock: Den 12:de April släpps ny allvarlig säkerhetsbugg

badlockDen 12:de April så kommer en ny sårbarhet att publiceras till Windows och Samba. Och säkerhetsbuggen har redan nu en webbplats, namn och logotyp.

Säkerhetsbuggen har fått namnet Badlock och vi kan gissa att det har någonting med behörighetskontrollerna att göra.

Buggen har upptäckts av den tyska utvecklaren Stefan Metzmacher som jobbar för Sambas utvecklingsteam.

Vi kommer att släppa mer information om buggen längre fram och håll även koll på webbplatsen: badlock.org

 

Analys och förmildring av överbelastningsattacker (DDoS)

Att analysera och förmildra en DDoS-attack kan göras genom ett antal olika metoder. Även finns det DDoS-attacker där motverkansmedel kan användas och således göra attacken mindre effektiv. Givetvis kan filtrering genomföras på ISP-nivå också, men det är ett relativt trubbigt verktyg.

Först och främst måste trafikdata i form av PCAP-format eller liknande samlas in, detta kan visa på ledtrådar såsom vilket verktyg som används eller om det är förfalskade paket (spoofade). Även så kan loggar på servern analyseras för att avgöra exempelvis om det är en eller flera stora bilder som laddas om och om igen. Finns inte råa paket kan även netflow-data användas och analyseras med verktyg såsom Argus.

🔎 Reklam: Triop AB analyserar och kan ta fram motverkansmedel mot DDoS

När vi vet vem avsändaren är så måste denna analyseras närmare, rör det sig om klientdatorer eller servrar med hög kapacitet? Om det är klientdatorer så rör det sig troligtvis om ett bot-nät med infekterade privatpersoner, är fallet högprestanda-servrar så kan det vara hyrda servrar direkt av antagonisten eller som är vanligare: hackade servrar.

Finns även fall där klienter kan surfa in på en speciell sida så exekveras ett javascript som hämtar en eller flera tunga filer om och om igen, denna attack är implementerad i bl.a JS LOIC.

Wireshark är ett bra verktyg att visuellt analysera nätverkstrafik men fungerar ej väl med större datamängder. Nedan exempel visar hur det ser ut i Wireshark när LOIC används:

LOIC Wireshark

Skärmdump från webbsida som har JS LOIC:

JS LOIC

Skärmdump från JS LOIC storebror LOIC. LOIC står för Low Orbit Ion Cannon:

Low_Orbit_Ion_Cannon

Ovan två exempel använder dock enbart den egna kapaciteten. För att uppnå mer skada på slutmålet så kan även antagonisten använda sig av en förstärkt DDoS (amplification DDoS attack).

Genom att skicka en mindre mängd data till ett antal servrar och sedan får dessa att svara med flertalet gånger större mängd data till en annan server så kan större effekt uppnås:

DDoS amplification attack

Vanligtvis används UDP baserade protokoll såsom DNS och NTP (MON_GETLIST) men även så har vi sett attacker där WordPress pingback används för att rikta om svar. Dessa servrar har också oftast en relativt god kapacitet mot internet till skillnad från många hemanvändare och privatpersoner.

I vissa fall så måste även reverse-engineering utföras för att förstå hur attack-koden fungerar.

Skärmdump från klienten som användes mot SpamHaus. Reverse-engineering utförd med Ollydbg:

SpamHaus DDoS

Genom att analysera klientkoden som körs så kan man även i slutändan troligtvis identifiera puppetmastern, som styr klienterna. Vanligt förekommande kontrollkanaler (C&C) är IRC, HTTP osv. Men inte helt ovanligt heller så använder den som utför kommandon någon form av anonymiseringsverktyg såsom Tor.

Att just LOIC används som exempel ovan är för att denna programvara användes för att slå ut flertalet myndighetssajter år 2012.

DDoS-attack mot mediasajter

Igår Lördag strax innan kl 20 på kvällen så genomförde någon en DDoS-attack mot flertalet stora svenska mediasajter. Sajter såsom Aftonbladet gick inte att nå på över en timme, och det är ännu oklart exakt vilka sajter som stod som mål.

Attacken var tydlig på de grafer som är publikt tillgängliga från Netnod. Och det vi ser nedan är datatrafik som kommer från ryska internetoperatörer:

Netnod DDoS
Sammanställning av @SandraForesti

Att hyra någon att utföra DDoS-attack är inte speciellt dyrt och det som händer är att operatören troligtvis börjat att filtrera trafiken. Tittar vi via Telias looking-glass i Moskva så går det inte att nå Aftonbladet just nu via Telia i Ryssland.

Priserna för att hyra en DDoS-attack på svarta marknaden varierar en hel del men här är några exempelpriser:

booter-prices

 

Bakom attacker står troligtvis servrar med bra kapacitet som blivit hackade via WordPress, standardlösenord eller forcerade lösenord. Attacker tidigare mot bl.a. Regeringen använde JS LOIC men inte troligt i detta fall.

Med hjälp av trafikinspelning i PCAP-format exempelvis så skulle det gå relativt snabbt att ta reda på hur attacken utfördes. Även kan det vara möjligt att skapa motverkansmedel mot attacken om man vet i detalj hur den fungerar.

Reklam: Anlita Triop AB för att analysera DDoS-attacker

Sist men inte minst så är det också viktigt att skriva något hur mediasajters webb är uppbyggd. För att stå emot en attack som denna så bör DNS anycast samt web-anycast användas, och det finns flera leverantörer såsom Akamai, CloudFlare och Amazon CloudFront som kan leverera detta.

Även kan följande skrift vara bra att läsa med jämna mellanrum:

MSB Att hantera överbelastningsattacker
MSB Att hantera överbelastningsattacker

Nyheter relaterade till SSL/TLS

Symantec är nästa stora spelare att hoppa på tåget att erbjuda gratis SSL-certifikat. Sedan tidigare finns Let’s Encrypt och Amazon Certificate Manager.

Symantec kommer att jobba direkt mot hostingbolag och ej slutkund. Först ut att erbjuda dessa certifikat kommer att vara Hostpoint, CertCenter samt InterNetx.

Satsningen från Symantec går under namnet Encryption Everywhere.

Även så har Google nu släppt en transparensrapport som påvisar hur mycket av kommunikationen till och från Googles tjänster som är krypterad (YouTube är inte med i statistiken).

Hela 77% är krypterad trafik och fördelar sig på följande sätt mellan tjänsterna:

Google https

Tråkigt nog ser vi att nyheter och ekonomi ligger på strax över 50%.

Läs hela rapporten från Google här: www.google.com/transparencyreport/https/

Kerckhoffs princip

För oss som jobbar med kryptering och IT-säkerhet så är Kerckhoffs princip något som är otroligt viktigt. Principerna skrevs år 1883 av Auguste Kerckhoffs i den franska tidsskriften La Cryptographie Militaire.

Bildkälla Wikipedia: https://en.wikipedia.org/wiki/Auguste_KerckhoffsÄven om principen är mycket gammal så är den något som används dagligen, och känner du inte till den sedan tidigare så bör du lägga den på minnet:

Ett kryptosystems säkerhet bör icke bero på hemlighållandet av krypteringsalgoritmen. Säkerheten beror endast av att nyckeln hålles hemlig

Och det finns även en kortare version upprättad av Claude Shannon:

Fienden känner till systemet (krypteringsalgoritmen)

För att förklara ytterligare så kan man säga att säkerheten ska ligga i algoritmer och kryptonycklar och inte att obskyra och otestade/okända algoritmer används eller liknande.

Bildkälla: Wikipedia

Från sudo till doas

OpenBSD doas

Sedan ett tag tillbaka så följer kommandot doas med i grundinstallationen av det supersäkra operativsystemet OpenBSD. Doas är tänkt att användas istället för sudo (substitute user do) och vara ett säkrare alternativ.

Sudo har med tiden växt att bli ett monster som kan göra allt för alla och därmed även ökat riskerna för eventuella sårbarheter vilket nu uppdagades i samband med glibc DNS-buggen.

As shipped in OpenBSD, the compiled sudo was already five times larger than just about any other setuid program

-Ted Unangst, OpenBSD-utvecklare

Bild från Dan Kaminsky:

sudo glibc

 

Och för att komma igång med doas på OpenBSD så behöver du bara skapa en konfigurationsfil i /etc/doas.conf. Och tittar vi på exempel i manualsidan för doas.conf så finner vi följande:

doas conf manual

Vi lägger således in följande rad:

permit nopass keepenv { ENV PS1 SSH_AUTH_SOCK } :wheel

Sedan så testar vi:

$ doas id
uid=0(root) gid=0(wheel) groups=0(wheel), 2(kmem), 3(sys), 4(tty), 5(operator), 20(staff), 31(guest)

Perfekt. Det fungerar, men för att vara på den säkra sidan så tar vi bort ordet ”nopass” från konfigurationsfilen och vi får då istället skriva in lösenordet varje gång.

Sedan är det bara att ta bort sudo-paktet med pkg_delete och för att underlätta tillvaron så kan även ett alias för sudo kopplas mot doas.

Oklart i dagsläget när eller om doas kommer att porteras till andra operativsystem. Men lämna gärna en kommentar om du känner till något annat OS där doas finns.

doas är primärt skrivet av OpenBSD-utvecklaren Ted Unangst och du kan läsa mer om hans tankar bakom i denna bloggpost:

Test av NetworkMiner 2.0

NetworkMiner 2.0NetworkMiner är precis som det låter en produkt för att undersöka nätverkstrafik. Mjukvaran är utvecklad av det svenska företaget Netresec och har funnits sedan 2007.

Denna nya version har följande funktioner:

  • SMB/CIFS stödjer nu att extrahera filer från SMB-skrivningar
  • Stöd för SMB2-protkollet
  • Yttarligare IEC-104 kommandon implementerade
  • Modbus/TCP hantering
  • Förbättrat stöd i SMTP, DNS och FTP
  • GUI förbättrat vid inläsning av PCAP-filer eller live-läsningar
  • Favicon-bilder extraheras nu ur nätverkstrafik
  • Stöd för att söka med nyckelord under flertalet tabbar

Under testet så laddade jag in en PCAP-fil från 4SICS-konferensen. Filen var på 134 MB och tog cirka 15 minuter att ladda in.

NetworkMiner ser ut att läsa ut filer, sessioner och all annan information som kan vara relevant för en nätverkforensisk undersökning. Mjukvaran finns även i en betalversion som kostar cirka 7600 SEK och inkluderar då geoip, csv export, os fingerprinting och ett kommandogränssnitt.

Vad är då största skillnaden mellan NetworkMiner och Wireshark? NetworkMiner klarar att extrahera ur filer ur en större mängd nätverksprotokoll även om Wireshark stödjer att tolka fler protokoll.

Här kan du ladda hem gratisversionen av NetworkMiner:

Skärmdumpar:

NetworkMiner NetworkMiner