Så cyberspionerar främmande makt på Sverige

cyberspionage

Hur går det egentligen till när antagonister genomför cyberattacker mot Svenska intressen? Jag kommer nedan redogöra ett antal metoder som gör att stater med mycket kapacitet kan infiltrera svenska företag och myndigheter för att sedan stjäla klassificerad information med hjälp av exfiltration.

cyberspionage tidslinje

1. Planeringsfas

Operationer på cyberarenan är välplanerade och därför är samtliga steg är planerade i minsta detalj. Men även även den bästa kan göra fel och avslöja eller läcka information. Det kan röra sig om utveckling av skadlig kod där metadata finns kvar som avslöjar sökvägar eller tidszoner.

Planeringen handlar även om hur mycket resurser som behövs och eventuell programvara som utvecklas eller införskaffas för operationen.

Även så kan flertalet avdelningar koordineras innan, ska HUMINT och SIGINT användas innan så måste detta även planeras i förväg.

2. Kartläggningsfas

Här kartläggs individer, datornätverk, leverantörer, konsulter och nyckelpersoner på Cyberkartläggningorganisationen. Vilka resor är planerade och vilka resebolag används, kan en inresa i landet nyttjas för att tömma en laptop på information eller planera avlyssningsutrustning i tangentbordet exempelvis.

Nyckelpersoners personliga nätverk kartläggs och förehavanden av dessa i sociala medier söks av efter förekomster av intressant information. Används LinkedIn av medarbetar och hur ansluts organisationen till Internet samt används VPN-anslutningar.

Finns det partnerorganisationer som kan tänkas ansluta mot målet eller har organisationen filialer eller annan verksamhet som är på annan ort som inte är lika skyddad.

Företag i Sverige skyltar gärna med att dom har säkerhetsskyddsavtal med FMV och några frågor till respektive registratorfunktion hos några myndigheter så kan mycket information inhämtas med stöd av offentlighetsprincipen.

3. Implantat

USBG-1680Skadlig kod och specialskriven zero-days används troligtvis för att genomföra intrång och erhålla ett fotfäste i organisationen. CD/DVD-Skivor eller USB-minnen med mjukvaruuppdateringar som innehåller bakdörrar kan skickas till organisationen efter att tidigare offentliga upphandlingar granskas. Även kan tangentbord, möss, hårddiskar eller annat innehålla bakdörrar redan vid leverans från leverantör.

Även kan trådlösa nätverk knäckas hemmavid där stor datorkapacitet finnes, och detta gäller inte enbart trådlösa nätverk ute hos målorganisationen men även på hemmanätverk hos personal som jobbar på organisationen. Eller varför knäcka lösenordet när en mobiltelefon eller annan enhet som innehåller Wifi-lösenordet kan temporärt lånas.

Riktad skadlig kod skickas även till respektive familjemedlem som kanske även använder den dator som sedan kopplas upp mot organisationens nätverk. Phishing som ser ut att komma från någon välkänd tjänst som den enskilde använder såsom LinkedIn, Facebook eller liknande.

Observera att dessa fyra faser kan pågå under flera år, upp till 10 års tid har undersökningar av skadlig kod påvisat.

Även kan främmande staters signalspaningsmyndighet användas för att leverera implantat när exempelvis mjukvara laddas ner från Internet som ej kontrolleras med signatur eller checksumma i efterhand. Detta kan utföras med Man-on-the-side (MotS) attacker.

4. Exfiltration

Denna fas handlar om att skicka ut information ur organisationens nätverk. Troligtvis klassificerad information men detta genomförs ej i första steg. Den första informationen som exfiltreras innefattar sådant som kan behövas för att kartlägga organisationen ytterligare. Det kan vara datornamn, IP-adresser och sådant som kan ligga till grund för en djupare penetrering av IT-infrastrukturen.

Den specialskrivna mjukvara som står för exfiltrationen har troligtvis ett antal moduler som testar olika sätt att skicka ut information såsom Dropbox, FTP, DNS, HTTPS och E-post via kända E-postprogram.

Mjukvaran har även en funktion som kan detektera om den är på ett nätverk som är fysiskt åtskilt från Internet och då kan nyttja metoder för att ”hoppa över luftgap” (USB-minne, högtalare/mikrofon etc).

5. Upprensning

Att dölja spår är viktigt för att undanröja modus operandi. För alla steg ovan avslöjar små detaljer om antagonisten som kan användas vid IT-forensiska undersökningar och reverse-engineering.

upprensningNågra metoder som används är att individuellt kryptera olika moduler med olika algoritmer och krypteringsnycklar som enbart dekrypteras när speciella fall uppfylls. Såsom att en viss mjukvara finnes installerad på måldatorn på en viss sökväg (detta kommer från kartläggningsfasen).

Servrar som placeras ut på Internet som sköter Command and Control (C2C) måste vara förberedda för att snabbt destrueras (läs om digitala sprängkistor).

Sammanfattningsvis

Med hjälp av ovan steg så skulle jag påstå att samtliga organisationers skydd skulle brista förr eller senare. Som vanligt gäller det att använda lökprincipen och försöka minimera eventuell skada i tidigt skede.

Av stor vikt är även att det finns väl fungerade intrångsskydd och spårbarhet finns på alla ställen. Fysiskt separerade nätverk och skydd mot röjande signaler (RÖS/TEMPEST) kan givetvis också hjälpa samt kanariefåglar utplacerade.

Och största skillnaden mellan cyberangrepp från just en främmande stat och hackers, organiserad brottslighet etc är resurserna. I form av antalet zero-days, beräkningskraft, SIGINT och uthållighet. Men det kan även hända att stater anlitar hackergrupper för informationsstölder, vilket gör det svårt att urskilja bakomliggande aktör.

SÄPO varnar för omfattande cyberspionage

Att cyberspionage och elektroniska attacker är något som fler och fler stater ägnar sig åt och satsar resurser på är nog inget som någon missat. Säpo går nu ut och varnar för att omfattande cyberspionage genomförs mot svenska intressen.

Läckage från företag såsom Hacking Team visar att diktaturer men även länder såsom Sverige varit i kontakt med denna typ av företag som utvecklar verktyg och metoder för cyberspionage.

Misstänker du att din organisation utsatts för cyberspionage? Kontakta Triop AB

Tillvägagångssättet hos antagonisterna är vad som kallas death by a thousand cuts där flertalet små ledtrådar läggs ihop som i sin helhet kan få förödande konsekvenser. Attackerna genomför exfiltration av information genom olika typer av kanaler som är svåra och upptäcka och pågår under lång tid.

Säkerhetspolischef Anders Thornberg säger:

Vår bedömning är att cyberhotet mot företag och myndigheter i Sverige är omfattande och ofta målinriktat. Många angrepp upptäcks aldrig – eller så upptäcks de för sent. När det gäller cyberspionage är det svårt att se att någon tagit sig in i systemet och spionerat. Angriparnas mål är att gå in och få ut information utan att synas.

För att förebygga och förhindra brott på cyberarenan så genomför Säpo kontroller samt bistår som rådgivande resurs till myndigheter som innehar samhällskritisk information eller företag som är särskild skyddsvärda.

Säpo jobbar även nära tillsammans med andra myndigheter såsom Försvarets Radioanstalt, FRA, och Militära underrättelse- och säkerhetstjänsten, MUST, och har en gemensam arbetsgrupp, NSIT (Nationell samverkan till skydd mot allvarliga IT-hot).

Kanariefåglar inom IT-säkerhet

Kanariefågel inom IT-säkerhet

Kanariefåglar är det nya svarta inom IT-säkerhet. Med hjälp av kanariefåglar i din IT-infrastruktur så kan du minska bruset när det gäller intrångslarm och identifiera möjliga antagonister.

Idéen är enkel och effektiv samt kräver minimalt med underhåll. Du sätter upp ett antal system som någon aldrig kommer att använda eller röras och så fort någon gör det så larmar du. Det kan även vara i form av text-strängar eller länkar som inte ska förekomma.

Säg exempelvis att du skapar ett antal olika dokument på olika servrar med en länk som går till en webbsida som larmar så fort någon klickar på dessa, eller att du mailar dig själv inom eller utom organisationen ett antal länkar som ingen ska besöka eller klicka på. Och om någon följer dessa länkar så har troligtvis ett intrång eller exfiltration genomförts.

canaryLikheter finnes även med det som förr kallades för HoneyTokens men även Honeypots. Det kan även röra sig om webbsidor/html-filer som ingen ska komma åt och gör någon det så laddas det en 1×1-pixel som larmar, denna kan du exempelvis placera på Dropbox eller andra molntjänster. Men observera att många molntjänster har automatisk genomsökning efter skadlig kod som eventuellt kan trigga igång larmen.

Flertalet mjukvaror läcker information externt såsom Adobe Reader som gör en pre-flight DNS-uppslagning på externt innehåll, även om du väljer att blockera innehållet med hjälp av dialogrutan som dyker upp. Med hjälp av denna uppslagning så kan du skicka ett larm.

Sammanfattningsvis

Honeypots tar lång tid att sätta upp och bevaka. Använd istället kanariefåglar i form av öppna tjänster internt på nätverket eller andra typer av mineringar som ingen hittar eller rör förutom en eventuell antagonist som komprometterat IT-infrastrukturen eller delar av den.

Denna typ av fiktiva tjänster kan även hjälpa till att uppehålla en angripare och dra ut på processen under tiden du får larm och vidtar åtgärder.

Förslag på tjänster eller tokens där larm kan skicka direkt:

  • PDF-fil i administratörsmapp på central server med namn Passwords.pdf
  • Internt mail mellan ledningspersonal eller styrelse med länk
  • FTP, SSH eller MySQL-server på DMZ och internt

Vidare läsning

Canary

Trojan i Apples utvecklingsverktyg XCode

Xcode Malware XCodeGhost

En trojan har identifierats i Apples utvecklingsverktyg och kompilator XCode som bl.a. används för att skapa iPhone-appar. Att modifiera en kompilator på detta sätt så den lägger in extra kod i de program som skapas är i sig ingen nyhet och beskrevs redan 1984 av Ken Thompson i ”Reflections on Trusting trust”.

Denna skadliga kod går under namnet XcodeGhost och har identifierats i mer än 3400 olika appar (räknat även med de som finnes i jailbreakade appar). Ett sätt att identifiera om någon iOS-enhet varit eller är infekterad är att titta på nätverkstrafiken till och från init.icloud-analysis.com. Det hostnamnet har tidigare svarat på följande IP-adresser:

Datum IP AS/Ägare
2015-07-17 52.2.85.22 AMAZON-AES – Amazon.com, Inc.,US
2015-05-14 52.4.74.88 AMAZON-AES – Amazon.com, Inc.,US
2015-05-13 52.6.167.64 AMAZON-AES – Amazon.com, Inc.,US
2015-04-29 52.68.131.221 AMAZON-02 – Amazon.com, Inc.,US
2015-04-15 104.238.125.92 AS-26496-GO-DADDY-COM-LLC – GoDaddy.com, LLC,US

En av funktionerna som den skadliga koden har är att skicka information om telefonen till ovan hostnamn. Den informationen som skickas innehåller bl.a. land, telefonens namn, språk, OS version, enhetstyp, utvecklarinfo, appnamn.

Verifiera Xcode

För att verifiera din version av Xcode kör följande kommando från terminalen:

spctl --assess --verbose /Applications/Xcode.app

Om du har en OK version så får du ett meddelande som ser ut på följande sätt:

/Applications/Xcode.app: accepted
source=Mac App Store

Eller så är source=Apple eller source=Apple System. Övriga meddelanden indikerar på att din version av XCode innehåller trojanen.

Hur kunde detta inträffa?

Det beror på flera orsaker, främst på grund av att XCode laddats ner från tredjepartssajter. Och de flesta som drabbats ser ut att vara appar från kinesiska utvecklare, och där är bandbredden genom The Great Firewall of China inte alltid den bästa. Samt så är även piratkopiering mer utbrett i Kina.

Givetvis så bör även Apple bli bättre på att fånga upp denna typ av attack och troligtvis kommer nu Apple att genomföra kontroller som kan fånga upp detta.

Identifiera bakdörrar på Cisco-routrar

Med hjälp av följande metoder så kan du identifiera om du blivit utsatt för injektion av bakdörren som har namnet SYNful knock men även andra typer av bakdörrar som modifierar Cisco IOS ROM-monitor.

Statistiken över identifierade bakdörrade Cisco-routrar ser än så länge ut så här:

CIsco bakdörrar

Det var företaget FireEye som var först att identifiera denna typ av bakdörr men publik forskning har under många år påvisat att denna typ av bakdörrar varit möjligt. Den bakdörr som nu identifierats är mycket avancerad och innehåller upp till 100 olika moduler.

Och även om ovan statistik är några dagar gammal så har nu över 100 routrar identifierats med bakdörrar.

Kontrollera checksummor

Först och främst bör du kontrollera checksummor på de mjukvaror som ligger på din Cisco-enhet. Det kan genomföras med kommandot verify som beräknar en md5-hash:

router# verify sup-bootdisk:c7600rsp72043-advipservicesk9-mz.151-3.S3
Verifying file integrity of  sup-bootdisk:c7600rsp72043-advipservicesk9-mz.151-3.S3
.....<output truncated>.....Done!
Embedded Hash  MD5 : FCEBD3E1AF32221091E920D5960CAE45
Computed Hash  MD5 : FCEBD3E1AF32221091E920D5960CAE45
CCO Hash       MD5 : E383BF779E137367839593EFA8F0F725 
Signature Verified
router#

Du bör även kontrollera nedladdade mjukvaror från Cisco.com, där finns det även SHA512-hashar som du kan jämföra med.

Kontrollera signaturer

Vissa Cisco-enheter stödjer även kontroll av signering. Då kan du skriva följande likt detta kommando show software authenticity file:

Router# show software authenticity file c1900-universalk9-mz.SPA.152-4.M2
File Name                     : c1900-universalk9-mz.SPA.152-4.M2
Image type                    : Production
    Signer Information
        Common Name           : CiscoSystems
        Organization Unit     : C1900
        Organization Name     : CiscoSystems
    Certificate Serial Number : 509AC949
    Hash Algorithm            : SHA512
    Signature Algorithm       : 2048-bit RSA
    Key Version               : A

Och även jämföra med det som just nu körs. Observera att serial-number stämmer:

Router#show software authenticity running 
SYSTEM IMAGE
------------
Image type                    : Production
    Signer Information
        Common Name           : CiscoSystems
        Organization Unit     : C1900
        Organization Name     : CiscoSystems
    Certificate Serial Number : 509AC949
    Hash Algorithm            : SHA512
    Signature Algorithm       : 2048-bit RSA
    Key Version               : A

    Verifier Information
        Verifier Name         : ROMMON 1
        Verifier Version      : System Bootstrap, Version 15.0(1r)M9, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport

Skapa en core-dump

Genom att få Cisco-enheten att skapa en core-dump (krashdump) så kan vi läsa av minnet på enheten. Där finns det en hel del intressanta saker som gör att vi kan genomföra ”live forensics”.

Argumenten för att skicka en core-dump innehållandes minnet är enligt följande:

exception core-file <name> compress
exception protocol ftp
exception region-size 65536
exception dump <ip address of the  ftp server>
ip ftp username <user>
ip ftp password <pass>

Sedan kan du karva ut text-sektionen och jämföra den offline med den du har laddat hem från Cisco. En annan intressant sak är även att kontrollera kommandohistoriken:

$ strings <CORE> |grep ^CMD:
CMD: 'verify /md5 system:memory/text' 06:59:50 UTC  Wed Jan 15 2014
CMD: 'service internal | i exce' 07:02:41 UTC Wed  Jan 15 2014
CMD: 'conf t' 07:02:45 UTC Wed Jan 15 2014
CMD: 'exception flash procmem bootflash:' 07:02:54  UTC Wed Jan 15 2014
CMD: 'exception core-file CORE compress ' 07:03:31  UTC Wed Jan 15 2014

Du kan även genomföra liknande kommando direkt online:

router#show history all | include se
CMD: 'show run | include ^service internal' 09:55:17  UTC Thu Jan 16 2014
CMD: 'show run | include ^service internal' 10:06:54  UTC Thu Jan 16 2014
CMD: 'show run | include ^service internal' 10:49:54  UTC Tue Jan 21 2014
CMD: 'sh run | i service' 17:20:34 UTC Thu Jan 23  2014
CMD: 'service internal' 10:40:14 UTC Fri Jan 24 2014
CMD: 'sho history all | i ser' 10:41:00 UTC Fri Jan  24 2014
CMD: 'show history all | i ser' 10:41:30 UTC Fri Jan  24 2014
CMD: 'ser in' 10:41:39 UTC Fri Jan 24 2014
CMD: 'show history all | i ser' 10:41:42 UTC Fri Jan  24 2014

Detta var ett axplock av några av de forensiska undersökningar du kan genomföra på en Cisco-enhet. Viktigt är så klart även att logga löpande samt kontrollera och följa upp loggningen.

Cisco bakdörr

För utförligare och mer ingående undersökningar rekommenderar jag följande guide från Cisco:

Next Generation Threats 2015 eftermiddag

Detta är del två i sammanfattningen av IT-säkerhetskonferensen Next Generation Threats 2015. Del ett kan du läsa här.

Jan Wünsche – Defending information in a complex reality

Jan Wünsche

Jan pratar om att MUST har ett uppdrag att skydda Försvarsmakten. Och att han representerar S:et i och inte U:et i MUST dvs Säkerhetskontoret. Försvarsmakten och MUST är en myndighet försöker att bli öppnare och Jans föredrag idag är ett steg till det.

Vi måste tänka på vilken data vi lagrar vart och vilka leverantörer som lagrar data om våra medarbetare. Hur färdas datatrafiken och hur tänker vi på tillgängligheten om hotbilden mot Sverige ökar?

Försvarsmakten använder fysiskt separerade system och äger sin egna infrastruktur med egna kablar etc. Behovet att kommunicera med andra ökar hela tiden, även för Försvarsmakten.

Se exempelvis hur det ser ut för ISAF i Afghanistan där 47 olika länder måste kommunicera med varandra. Och det gäller inte bara öppna system utan Försvarsmakten behöver även kommunicera mellan klassificerade system.

Jan nämner även att antagonister nu angriper privata datorer istället för myndighetens IT-system i hopp om att anställda tagit med sig information hem och att säkerheten är lägre på privata datorer.

Jan Wünsche är Information Assurance Strategist vid MUST.

Marcus Murray – APT, Cybercrime and cyber warfare exposed

Marcus Murray

Förr i tiden så var det enkelt att ta sig förbi brandväggen. Främst för att man bara hade en brandvägg som avgränsade Internet mot övriga nätverket. Marcus berättar att kommer att demonstrera en attack som är uppbyggd att avspegla hur en riktigt IT-angrepp skulle kunna gå till.

Marcus visar en liten USB-enhet som kan användas för att äga en dator. Just denna är programmerad att fungera som ett tangentbord. Han använder Microsoft PowerShell för att exekvera Meterpreter som gör en connect-back. Allt genomförs enbart i minnet och inget skrivs till hårddisken.

Connect-backen går till Microsoft Azure där en server hyrs och Metasploit sitter och väntar på connect-backs på https port 443.

När väl det finns en etablerad session till en klientdator så kör han Nmap från klienten och söker efter MSSQL-servrar på port 1433. Efter detta så testas de vanligaste lösenorden och ett av dessa lyckas: AStrongSAP@ssw0rd.

Igen så används PowerShell för att starta upp Meterpreter så att inte hårddisken används. Marcus berättar även om DNSCat2 som använder PowerShell för att tunnla trafik över DNS.

Sedan på MSSQL-servern så använder han Mimikatz för att dumpa ut hashar från systemet som sedan används för att ansluta mot domänkontrollanten.

Även så visar Marcus lösenordsdumpen från Adobe som drabbades av intrång för några år sedan. Några intressanta namn som fanns med i den var Stefan Löfven och Fredrik Reinfeldt som hade lösenordet bananskal samt steffe.

Marcus Murray är Cyber Security Manager på TrueSec.

Charlotta Öhlén – Identity Crisis

Charlotta Öhlén

Charlotta jobbar på Nexus och berättar om olika kunduppdrag där de levererat där smartcards-används för inloggning. Cast study #1 är läkare i Norge som loggar in med hjälp av dessa smarta kort.

Identity of Things handlar cast study #2 om då en CA fungerar som en managed service. Cast study #3 handlar om patientsäkerhet hos företaget Elekta där vitlistning används för mjukvaror.

Dynamisk och central identitetshantering är ett måste och inte enbart för individer utan även för mjukvaror och andra saker. Integritet är en också viktig faktor då mer och mer information hamnar i identitetshanteringen.

Charlotta Öhlén är till vardags Consulting Director vid Nexus.

Next Generation Threats 2015 förmiddag

Konferensen Next Generation Threats 2015 gick idag av staplen på Hotell Rival, Mariatorget Stockholm. Precis som förra året så sammanfattar vi dagen i två inlägg. Sammanfattningen av eftermiddagens pass kan du läsa här.

Bruce Schneier

Bruce Schneier – The future of incident response

Bruce börjar med att berätta om de riktade attackerna mot Sony. Att attacken upptäcktes berodde på att alla hårddiskar på nätverket raderades. Sony hade även problem att koordinera efter attacken för att telefonisystemet gick via internet.

Efter attacken så publicerades data från Sony, och gruppen som hackade Sony gav inga motiv till attacken. Fyra osläppta filmer släpptes av angriparna på Bittorrent-nätverket.

NBCNews spekulerade att det var Nordkorea som låg bakom attacken. 26 GB av data släpptes och angriparna gallrade informationen innan det släpptes för att göra så stor skada som möjligt.

Amerikanska regeringen går ut och skyller på Nordkorea också men många är skeptiska att det verkligen var Nordkorea som låg bakom men Bruce tror att det var Nordkorea. Och en av hans anledningar är att NSA spionerade på Sydkorea som spionerade på Nordkorea.

Lägg inte dina lösenord i klartext i en textfil som heter lösenord.txt

När det gäller cyberkrig är det svårt att veta vem som ligger bakom en attack. När det gäller fysiska attacker så är det lätt att se om en pansarvagn står i parken, för då är det troligtvis en militär förmåga bakom.

Bruce Schneier är till vardags CTO på Resilient Systems men har en lång historik i kryptovärlden då han bl.a. skapat Yarrow och Blowfish samt skrivit ett antal böcker.

Joanna Rutkowska – Trust in the computer

Joanna

På våra datorer finns det mängder av olika beroenden såsom GPU, CPU och USB. Exempelvis genom att plugga in en USB-sticka i din dator så körs mängder av kod i din kernel.

Separeringen som finns i X86-cpun har aldrig haft en sårbarhet som gjort det möjligt att ta sig förbi separationen. Även din hårdvara har massor av firmware, minst 10 stycken olika firmwares finnes i din dator som Joanna räknar upp. Hur kan du lita på denna firmware och har vi något val att inte lita på denna firmware?

Majoriteten av hårdvaran i din dator tillverkas med största sannolikhet av Intel. Ett axplock av suspekta funktioner som Intel gör:

  • Intel Management Engine (ME)
  • Intel Authenticated Code Modules (ACM)
  • Intel Firmware Support Package (FSP)

Även berättar Joanna att det inte finns OpenSource BIOS:er på modern hårdvara. Det kanske var så fem sex år sedan. Litar du på den binära blobben du laddar in från Intel?

Intel har byggt säkerhetsteknologier såsom TXT (Trusted Execution Technology) men tyvärr så går det fortfarande att använda SMM (System Management Mode) för att kompromettera säkerheten.

Efter ett tag så fixar Intel några av säkerhetsbuggarna i SMM och tar fram SMI Transfer Monitor (STM) istället, men tyvärr så har STM inte fått stor genomslagskraft ännu.

All modern Operating Systems are broken/untrusted

Joanna Rutkowska är grundare av Invisible Things Lab och Qubes OS Project.

Vi väljer att ej sammanfatta sponsrade föredrag från Intel och HP.

Så blir du anonym med hjälp av OPSEC

OPSEC

För att hålla sig anonym på internet så finns det olika nivåer. Först och främst så avgörs dina tekniska metoder för att bibehålla anonymitet utifrån den aktör som du vill hålla dig anonym för: Är det din fru, underrättelsetjänst eller din internetleverantör?

Alla olika nivåer av anonymitet kräver åtgärder av olika slag. För att ge ett exempel: Att använda sig av PGP skyddar exempelvis inte vem som kommunicerar med vem eller hur mycket ni kommunicerar.

OPSEC är förkortningen för operationssekretess och används främst inom militära sammanhang men förekommer nu även civilt. Generellt gäller att du funderar igenom samtliga steg och eventuella spår du kan lämna efter dig i förhand. Bygg upp en plan och tänk igenom samtliga moment.

Burner-phones eller mobiltelefoner som enbart används en eller två gånger för ett specifik syfte är också något som ökar i populäritet. Även att tänka på är att inte sticka ut i mängden: För några år sedan så bombhotade en elev i USA sin skola via Tor. Det visade sig dock att eleven den enda på skolan som använde sig av Tor när loggar analyserades i efterhand.

Så tänk igenom följande:

  • Vem kommunicerar du med
  • Hur ofta kommunicerar ni
  • Vad kommunicerar ni
  • Vad lämnar ni för spår
  • Vem kan vara intresserad av ovan

morris worm

Personas eller fiktiva identiteter

Att skapa en ny temporär identitet som enbart används för operationen eller det enskilda syftet kan vara av god sed. Undvik dock för unika namn eller annat som kan kopplas till dig personligen såsom lösenord, adress, väder, företag eller liknande. Ett namn eller E-post som inte sticker ut i mängden kan vara att föredra om kommunikationen kräver E-post.

Vanor är också av ondo, använd exempelvis inte in på ditt egna Facebook-konto under tiden då du använder en persona eller var vaksam på vad du använder Google eller andra tjänster till. Vanliga slarvfel i skrift eller unika slangord kan stärka kopplingar mellan dig och din persona.

Tails

Det vore tjänstefel att inte omnämna operativsystemet Tails i en sådan här guide. Tails laddar du ner gratis och bränner ut till CD-skiva som du sedan startar upp din dator på. Tails är ett uppsäkrat och anonymt operativsystem som innehåller en mängd verktyg såsom ordbehandlare, chatt, webbläsare och E-postprogram.

Tails och Tor går också hand i hand då detta finns förinstallerat. Se dock till att du har en ny och fräsch version av Tails eftersom det släpps nya säkerhetsuppdateringar nästan varje månad.

TorTor och VPN

Att använda Tor för att anonymisera sin kommunikation är så klart bra men tänk även på att detta sticker ut, precis som VPN. Båda Tor och VPN:er har sina för och nackdelar, när det gäller VPN så har du troligtvis ett utbyte av pengar. Försök att alltid använda End-to-end kryptering över VPN och Tor.

För att undvika att gå ut via en Tor exit-nod så kan du exempelvis surfa direkt till https://facebookcorewwwi.onion/ när du surfar via Tor Browser.

Vissa ”anonyma” VPN-leverantörer är mer eller mindre kända för att läcka information. Och ska du betala för din VPN-tjänst så föredra att använda Bitcoin som betalningsmedel som exempelvis OVPN-stödjer.

Radera information

Att slutligen radera information efter uppdraget är slutfört (eller löpande) är inte alltid lätt, för information kan automatiskt säkerhetskopieras eller lagras på externa medier. Meta-data kan läcka ut (tidsstämplar, GPS-information etc) och säker överskrivning tar lång tid. Överväg att använda en digital sprängkista som går snabbare men är inte lika säkert.

Läs på om ämnet

Det är så klart viktigt att läsa på innan, men tänk också på att det i sig lämnar spår. IIS har en mängd bra guider såsom Digitalt självförsvar – en introduktion.

Video från Hack in the Box 2012: OPSEC: Because Jail is for wuftpd

Att vara anonym kan ta otroliga resurser i form av tid och pengar och du kommer att göra misstag förr eller senare.

Schhyyy

NSA varnar för kvantdatorer

NSA Kvantdatorer

Eller rättare skrivet så gick den amerikanska myndigheten NSA ut för några dagar sedan och varnade för att många av nutidens algoritmer som används bör uppgraderas för att motstå beräkningar utförda av kvantdatorer.

Det rör framförallt RSA där nyckelstorlekar  är under 4096 bitar, men även elliptiska kurvor kan ligga dåligt till eftersom en variant av Shors algoritm kan användas. Eller som NSA uttrycker det:

Minimum 3072 bit-modulus to protect up to TOP SECRET.

Intressant också är gällande hashalgoritmer så rekommenderas minst SHA384, vilket i praktiken innebär SHA512.

Nu innebär detta inte att alla måste byta över en natt utan NSA rekommenderar att leverantörer slutar att leverera och tillverka produkter eller mjukvaror som implementerar algoritmer som ej kan motstå beräkningar utförda av kvantdatorer.

Och förutom RSA och SHA så rekommenderas ECDH (Elliptic Curve Diffie–Hellman) med med minst 384 bitar.

Personligen så föredrar jag Curve25519 av Daniel J Bernstein etc, se SafeCurves. Bitcoin exempelvis använder sig av secp256k1.

The RSA-2048 Challenge Problem would take 1 billion years with a classical computer. A quantum computer could do it in 100 seconds

– Dr. Krysta Svore, Microsoft Research

Uppdatering: Obs Curve25519 hjälper inte mot beräkningar utförda av en kvantdator.

Next Generation Threats 2015

Next Generation Threats 2015

Snart är det åter igen dags för IT-säkerhetskonferensen Next Generation Threats som detta år har temat identitet.

Konferensen arrangeras av IDG TechWorld den 22:a September (Stockholm) och har en mängd intressanta talare på sin lista. Schneier hade keynote på Blackhat för några år sedan och är mycket intressant.

Lokalen är Hotel Rival och årets inriktning beskrivs enligt följande:

Vi har ett kritiskt problem. Låt oss kalla det en identitetskris, bokstavligt talat. Det finns i dagsläget ingen metod att hundraprocentigt fastställa identiteter i den digitala sfären. Identiteter kan ändras, maskeras eller tas bort och nya skapas. Det finns en mängd tekniker och metoder för att försöka verifiera användare, men ännu ingen som är fullständigt vattentät. Hur hanterar vi detta och hur ser hotbilden ut?

Och om du mot förmodan inte skulle bo i närheten av vår huvudstad och har närmare till Göteborg så gäller den 23:de September samt lokalen Biopalatset.

Vi kommer givetvis att rapportera direkt från konferensen på Twitter samt här på bloggen för den som inte kan närvara (precis som förra året).