Nmap 7 är nu släppt!

nmap 7

Det populära portgenomsökningsverktyget Nmap finns nu ute i version 7. Nmap är ett de-facto-standard-verktyg för oss som jobbar med cybersäkerhet dagligen.

Behöver ditt företag hjälp med cybersäkerhet eller kryptering? Kontakta Triop AB >

Nyheter i version 7 är följande:

Rejäl uppdatering av scriptspråket NSE – Med Nmap så följer även Nmap Scripting Engine som gör det möjligt att skriva mer avancerade tester. Denna nya version innehåller 167 stycken nya script samt 20 bibliotek.

Stabilt IPv6-stöd – Nu fungerar IPv6 mer likt som IPv4-genomsökningar och medföljer gör även CIDR-syntax för adress-argument.

Snabbare genomsökningar – Mycket har hänt sedan 1997 då Nmap släpptes. Framförallt när det gäller prestanda så har otaliga optimeringar genomförts i Nmap i just denna release.

Analys av TLS-problem – Nmap klarar nu av att undersöka de vanligaste SSL/TLS-problemen såsom Heartbleed, POODLE och FREAK.

Här kan du ladda hem Nmap 7.00:

Skärmdumpar

Portgenomsökning med IPv6 mot scanme.nmap.org:

nmap7-scanme-terminal-717x575
Zenmap för grafiskt gränssnitt:

zenmap7-example-785x746Zenmap för visualisering av nätverkstopologi:

zenmap7-topology-example-796x727

Test av Arow Datadiod från Somerdata

Somerdata är ett brittiskt företag som gör en mängd olika produkter som används av polismyndigheter och militär främst, världen runt. Jag fick låna deras produkt AROW som är en datadiod som används för säker överföring mellan två nätverk där hög assurans är viktig.

Arow Somerdata datadiod

Och med säker syftar jag på att det är fysiskt omöjligt att överföra data åt ena hållet. Detta uppnås genom att använda en fiber som enbart medger envägskommunikation. AROW står för Advanced Reliable Optical Wormhole och priset ligger runt 70000 SEK utan redundans.

Förutom intom polis och militär så är även denna produkt populär inom industriella kontrollsystem (ICS/SCADA) där nätverk ska separeras från exempelvis internet.

AROW har fyra stycken portar där Gigabit-ethernet kan anslutas. Två av dessa portar används för konfigurering och övervakning samt konfigureras via webbgränssnitt eller telnet.

Arow data dioide

Med hjälp av socat och en egen utvecklad programvara vid namn AROWBFTP så är det möjligt att överföra webbsidor, streamad video, filer, antivirus-uppdateringar samt E-post direkt via denna envägs-gateway. Det här är en produkt för dig som vill separera känsliga/klassificerade nätverk men ändå vill ha möjlighet att ta in information.

Förutom med eller utan redundans så finns AROW även S eller G-versionen. G-versionen har möjlighet att kontrollera att överförd data är korrekt och är den ej det så kan den begära omsändning, vilket så klart också öppnar upp för en kanal ut. Somerdata rekommenderar således ej G-versionen att användas i högsäkerhetsnätverk.

 

datadiod Blockdiagram Arow Datadiod

Även så säljer svenska företaget Advenica en produkt med likvärd funktionalitet vid namn SecuriCDS. Och Fibersystem har en datadiod vid namn 50-800.

För just detta märke som vi testat är Peelit återförsäljare i Sverige.

Installation av datadioden

Med hjälp av de två fysiska ethernet-portar som är märkta Control så kan vi logga in via telnet eller ett webbgui för att sätta IP-adresser till de olika portarna. När detta är klart är det bara att ansluta på data-porten och koppla upp en tcp-socket på respektive sida.

Det går även att få ut enklare statistik från control-porten.

Sammanfattning Somerdata datadiod

Fördelar: Inspekterbar kod eftersom majoriteten går via python. Snabb och enkel att använda och komma igång. Dataportarna har liten exponeringsyta, svarar inte på ping och har inga andra öppna portar exempelvis.

Nackdelar: Stor exponeringyta på kontrollporten. Ej separata nätaggregat för delad ström som kan gå mot olika faser exempelvis. Går att fingerprinta från Internet.

Somerdatas datadiod får 4 av 5 enigmor:

enigma

Tails 1.7 nu ute

tailsDet anonyma och säkra operativsystemet Tails har nu släppts i version 1.7. Nyheter är bl.a. att E-postprogram håller på att övergå från Claws Mail till Icedove. Icedove är Linuxdisten Debians namn på Mozilla Thunderbird.

Nytt är även att det nu finns stöd för offline-länge där inga nätverksinterface aktiveras.

Tor Browser är uppdaterat till 5.0.4 samt Tor 0.2.7.4.

Här kan du ladda hem och testa Tails ISO-avbild:

Uppdatering: Även värt att skriva att denna version åtgärdar en mängd uppdagade säkerhetsbrister.

Ökat antal cyberattacker mot kärnkraftverk

kärnkraftverk

ch-logoDen brittiska tankesmedjan Chatham House släppte nyligen en rapport där de varnar för ett ökat antal cyberattacker mot kärnkraftverk samt andra storskaliga industrier.

Tekniska utmaningar som många industrier inom SCADA och ICS möter säkerhetsmässigt är följande:

  • Många system är osäkra ”by design” eftersom säkerhet inte byggdes in från början.
  • Det är svårt att underhålla och patcha IT-system i kärnkraftverk.
  • Återförsäljarled som kan introducera sårbarheter.

Rapporten tar även upp en övertro till fysiskt separerade nätverk som lätt går att övervinna med USB-minne:

Yet not only can air gaps be breached with nothing more than a flash drive but a number of nuclear facilities have virtual private networks (VPN) or undocumented or forgotten connections, some installed by contractors.

En annan intressant sak som rapporten också pekar på är att en antagonist i teorin kan göra så att ett kärnkraftverk ofrivilligt släpper ut farlig strålning. Detta uppnås genom att flertalet säkerhetskritiska delar slås ut samtidigt eller i tät följd dels via fysiska attacker och dels via cyberattacker.

Flertalet företag såsom ReVuln som är baserade på Malta säljer zero-days mot just SCADA-system som kan nyttjas för eskalera rättigheter. Samt så angrips företag som distribuerar mjukvara till SCADA-system så som var fallet med cyberoperationen DragonFly (gick även under namnet Havex eller Energetic Bear).

Följande bild från rapporten påvisar några av många attackytor:

Attackytor SCADA

Rapporten i sin helhet kan du ladda hem som PDF här.

Ryska cyberkriget mot Sverige trappas upp

Ryska cyberkriget mot Sverige

Att cyberarenan används mer och mer för krigsföring är nog ingen som är förvånad över. Vi ser små fragment nå fram till media om vad som verkligen pågår under ytan på isberget: storskaligt cyberkrig. Du kanske tänker att kärnkraftverk ska slås ut och tåg krockar på grund av intrång i IT-system, för så är det ju på film.

Men inom cyberarenan ingår också att sprida desinformation om motståndare samt påverka befolkningen i en viss riktning, att hålla i narrativet. Detta var mycket tydligt under Krim-operationen från rysk sida.

Försvarsminister Peter Hultgren säger till DN:

Det här en ny arena där man driver desinformation och propaganda och det är vi inte förberedda och rustade för. Här har vi en oerhört stor förbättringspotential. Under det kalla kriget hade vi ju Styrelsen för psykologiskt försvar som hanterade den tidens informationskrigföring men den lades ju ned.

Men vad som försegår under ytan vet vi inte riktigt. Men vi kan anta att operationer pågår konstant att kartlägga och exploatera den svenska IT-infrastrukturen samt andra mål såsom politiker, högt uppsatta tjänstemän, pressen och myndigheter eller företag som sitter på värdefull information.

Och att MSB nu satsar på ett psykologiskt försvar lett av Mikael Tofvesson är också en tydlig signal att civila försvaret inom psyops måste bli bättre. Att gruppen som jobbar med det civila psykologiska försvaret skulle vara hemlig som DN skriver är dock något som Tofvesson dementerar på Twitter.

Men oavsett den svenska upprustningen inom psyops-försvaret kommer de ryska trollfabrikerna troligtvis inte att avta med sin propagandaspridning och hackergrupper som avlönas från Kreml.

Att nu även SIGINT-material används inom psyops är något som vi såg under Kreml-operationen, när Nuland pratade med Pyatt. Troligtvis var detta något som fastnade i SORM (Система Оперативно-Розыскных Мероприятий) som är det system som sköter all avlyssning.

PCAP – Or it didn’t happend

Jag fick denna T-shirt av Erik på Netresec som bl.a. gör Network Miner och CapLoader. Du kan köpa den direkt från Netresec eller under konferensen 4SICS som går av stapeln imorgon.

PCAP or it didn't happend

Och vad menas med texten som står på t-shirten kanske du undrar? Jo, det är så att PCAP står för packet capture och är ett filformat för inspelad nätverkstrafik. För oss som jobbar med IT-säkerhet så är inspelad nätverkstrafik A och O när det gäller IT-forensiska undersökningar och analys av skadlig kod exempelvis.

Du kan läsa mer om inspelning av nätverkstrafik här.

GnuPG 2.1.9 är nu släppt

GnuPGGnuPG är en öppen och fri mjukvara som implementerar OpenPGP och som i folkmun kallas PGP. Alla releaser som ligger under 2.1 går under benämningen ”modern” och innehåller således nya features. Stabila utgåvor ligger under 2.0 samt klassiska under 1.4.

Följande ändringar och nyheter innehåller version 2.1.9:

 * gpg: Allow fetching keys via OpenPGP DANE (--auto-key-locate).  New
   option --print-dane-records.

 * gpg: Fix for a problem with PGP-2 keys in a keyring.

 * gpg: Fail with an error instead of a warning if a modern cipher
   algorithm is used without a MDC.

 * agent: New option --pinentry-invisible-char.

 * agent: Always do a RSA signature verification after creation.

 * agent: Fix a regression in ssh-add-ing Ed25519 keys.

 * agent: Fix ssh fingerprint computation for nistp384 and EdDSA.

 * agent: Fix crash during passprase entry on some platforms.

 * scd: Change timeout to fix problems with some 2.1 cards.

 * dirmngr: Displayed name is now Key Acquirer.

 * dirmngr: Add option --keyserver.  Deprecate that option for gpg.
   Install a dirmngr.conf file from a skeleton for new installations.

Och här kan du ladda hem GnuPG:

Så cyberspionerar främmande makt på Sverige

cyberspionage

Hur går det egentligen till när antagonister genomför cyberattacker mot Svenska intressen? Jag kommer nedan redogöra ett antal metoder som gör att stater med mycket kapacitet kan infiltrera svenska företag och myndigheter för att sedan stjäla klassificerad information med hjälp av exfiltration.

cyberspionage tidslinje

1. Planeringsfas

Operationer på cyberarenan är välplanerade och därför är samtliga steg är planerade i minsta detalj. Men även även den bästa kan göra fel och avslöja eller läcka information. Det kan röra sig om utveckling av skadlig kod där metadata finns kvar som avslöjar sökvägar eller tidszoner.

Planeringen handlar även om hur mycket resurser som behövs och eventuell programvara som utvecklas eller införskaffas för operationen.

Även så kan flertalet avdelningar koordineras innan, ska HUMINT och SIGINT användas innan så måste detta även planeras i förväg.

2. Kartläggningsfas

Här kartläggs individer, datornätverk, leverantörer, konsulter och nyckelpersoner på Cyberkartläggningorganisationen. Vilka resor är planerade och vilka resebolag används, kan en inresa i landet nyttjas för att tömma en laptop på information eller planera avlyssningsutrustning i tangentbordet exempelvis.

Nyckelpersoners personliga nätverk kartläggs och förehavanden av dessa i sociala medier söks av efter förekomster av intressant information. Används LinkedIn av medarbetar och hur ansluts organisationen till Internet samt används VPN-anslutningar.

Finns det partnerorganisationer som kan tänkas ansluta mot målet eller har organisationen filialer eller annan verksamhet som är på annan ort som inte är lika skyddad.

Företag i Sverige skyltar gärna med att dom har säkerhetsskyddsavtal med FMV och några frågor till respektive registratorfunktion hos några myndigheter så kan mycket information inhämtas med stöd av offentlighetsprincipen.

3. Implantat

USBG-1680Skadlig kod och specialskriven zero-days används troligtvis för att genomföra intrång och erhålla ett fotfäste i organisationen. CD/DVD-Skivor eller USB-minnen med mjukvaruuppdateringar som innehåller bakdörrar kan skickas till organisationen efter att tidigare offentliga upphandlingar granskas. Även kan tangentbord, möss, hårddiskar eller annat innehålla bakdörrar redan vid leverans från leverantör.

Även kan trådlösa nätverk knäckas hemmavid där stor datorkapacitet finnes, och detta gäller inte enbart trådlösa nätverk ute hos målorganisationen men även på hemmanätverk hos personal som jobbar på organisationen. Eller varför knäcka lösenordet när en mobiltelefon eller annan enhet som innehåller Wifi-lösenordet kan temporärt lånas.

Riktad skadlig kod skickas även till respektive familjemedlem som kanske även använder den dator som sedan kopplas upp mot organisationens nätverk. Phishing som ser ut att komma från någon välkänd tjänst som den enskilde använder såsom LinkedIn, Facebook eller liknande.

Observera att dessa fyra faser kan pågå under flera år, upp till 10 års tid har undersökningar av skadlig kod påvisat.

Även kan främmande staters signalspaningsmyndighet användas för att leverera implantat när exempelvis mjukvara laddas ner från Internet som ej kontrolleras med signatur eller checksumma i efterhand.

4. Exfiltration

Denna fas handlar om att skicka ut information ur organisationens nätverk. Troligtvis klassificerad information men detta genomförs ej i första steg. Den första informationen som exfiltreras innefattar sådant som kan behövas för att kartlägga organisationen ytterligare. Det kan vara datornamn, IP-adresser och sådant som kan ligga till grund för en djupare penetrering av IT-infrastrukturen.

Den specialskrivna mjukvara som står för exfiltrationen har troligtvis ett antal moduler som testar olika sätt att skicka ut information såsom Dropbox, FTP, DNS, HTTPS och E-post via kända E-postprogram.

Mjukvaran har även en funktion som kan detektera om den är på ett nätverk som är fysiskt åtskilt från Internet och då kan nyttja metoder för att ”hoppa över luftgap” (USB-minne, högtalare/mikrofon etc).

5. Upprensning

Att dölja spår är viktigt för att undanröja modus operandi. För alla steg ovan avslöjar små detaljer om antagonisten som kan användas vid IT-forensiska undersökningar och reverse-engineering.

upprensningNågra metoder som används är att individuellt kryptera olika moduler med olika algoritmer och krypteringsnycklar som enbart dekrypteras när speciella fall uppfylls. Såsom att en viss mjukvara finnes installerad på måldatorn på en viss sökväg (detta kommer från kartläggningsfasen).

Servrar som placeras ut på Internet som sköter Command and Control (C2C) måste vara förberedda för att snabbt destrueras (läs om digitala sprängkistor).

Sammanfattningsvis

Med hjälp av ovan steg så skulle jag påstå att samtliga organisationers skydd skulle brista förr eller senare. Som vanligt gäller det att använda lökprincipen och försöka minimera eventuell skada i tidigt skede.

Av stor vikt är även att det finns väl fungerade intrångsskydd och spårbarhet finns på alla ställen. Fysiskt separerade nätverk och skydd mot röjande signaler (RÖS/TEMPEST) kan givetvis också hjälpa samt kanariefåglar utplacerade.

Och största skillnaden mellan cyberangrepp från just en främmande stat och hackers, organiserad brottslighet etc är resurserna. I form av antalet zero-days, beräkningskraft, SIGINT och uthållighet. Men det kan även hända att stater anlitar hackergrupper för informationsstölder, vilket gör det svårt att urskilja bakomliggande aktör.

SÄPO varnar för omfattande cyberspionage

Att cyberspionage och elektroniska attacker är något som fler och fler stater ägnar sig åt och satsar resurser på är nog inget som någon missat. Säpo går nu ut och varnar för att omfattande cyberspionage genomförs mot svenska intressen.

Läckage från företag såsom Hacking Team visar att diktaturer men även länder såsom Sverige varit i kontakt med denna typ av företag som utvecklar verktyg och metoder för cyberspionage.

Misstänker du att din organisation utsatts för cyberspionage? Kontakta Triop AB

Tillvägagångssättet hos antagonisterna är vad som kallas death by a thousand cuts där flertalet små ledtrådar läggs ihop som i sin helhet kan få förödande konsekvenser. Attackerna genomför exfiltration av information genom olika typer av kanaler som är svåra och upptäcka och pågår under lång tid.

Säkerhetspolischef Anders Thornberg säger:

Vår bedömning är att cyberhotet mot företag och myndigheter i Sverige är omfattande och ofta målinriktat. Många angrepp upptäcks aldrig – eller så upptäcks de för sent. När det gäller cyberspionage är det svårt att se att någon tagit sig in i systemet och spionerat. Angriparnas mål är att gå in och få ut information utan att synas.

För att förebygga och förhindra brott på cyberarenan så genomför Säpo kontroller samt bistår som rådgivande resurs till myndigheter som innehar samhällskritisk information eller företag som är särskild skyddsvärda.

Säpo jobbar även nära tillsammans med andra myndigheter såsom Försvarets Radioanstalt, FRA, och Militära underrättelse- och säkerhetstjänsten, MUST, och har en gemensam arbetsgrupp, NSIT (Nationell samverkan till skydd mot allvarliga IT-hot).

Kanariefåglar inom IT-säkerhet

Kanariefågel inom IT-säkerhet

Kanariefåglar är det nya svarta inom IT-säkerhet. Med hjälp av kanariefåglar i din IT-infrastruktur så kan du minska bruset när det gäller intrångslarm och identifiera möjliga antagonister.

Idéen är enkel och effektiv samt kräver minimalt med underhåll. Du sätter upp ett antal system som någon aldrig kommer att använda eller röras och så fort någon gör det så larmar du. Det kan även vara i form av text-strängar eller länkar som inte ska förekomma.

Säg exempelvis att du skapar ett antal olika dokument på olika servrar med en länk som går till en webbsida som larmar så fort någon klickar på dessa, eller att du mailar dig själv inom eller utom organisationen ett antal länkar som ingen ska besöka eller klicka på. Och om någon följer dessa länkar så har troligtvis ett intrång eller exfiltration genomförts.

canaryLikheter finnes även med det som förr kallades för HoneyTokens men även Honeypots. Det kan även röra sig om webbsidor/html-filer som ingen ska komma åt och gör någon det så laddas det en 1×1-pixel som lamar, denna kan du exempelvis placera på Dropbox eller andra molntjänster. Men observera att många molntjänster har automatisk genomsökning efter skadlig kod som eventuellt kan trigga igång larmen.

Flertalet mjukvaror läcker information externt såsom Adobe Reader som gör en pre-flight DNS-uppslagning på externt innehåll, även om du väljer att blockera innehållet med hjälp av dialogrutan som dyker upp. Med hjälp av denna uppslagning så kan du skicka ett larm.

Sammanfattningsvis

Honeypots tar lång tid att sätta upp och bevaka. Använd istället kanariefåglar i form av öppna tjänster internt på nätverket eller andra typer av mineringar som ingen hittar eller rör förutom en eventuell antagonist som komprometterat IT-infrastrukturen eller delar av den.

Denna typ av fiktiva tjänster kan även hjälpa till att uppehålla en angripare och dra ut på processen under tiden du får larm och vidtar åtgärder.

Förslag på tjänster eller tokens där larm kan skicka direkt:

  • PDF-fil i administratörsmapp på central server med namn Passwords.pdf
  • Internt mail mellan ledningspersonal eller styrelse med länk
  • FTP, SSH eller MySQL-server på DMZ och internt

Vidare läsning

Canary