Ny status gällande samhällets informationssäkerhet

För några år sedan släpptes nationella handlingsplanen för samhällets informationssäkerhet av Samverkansgruppen för informationssäkerhet
(SAMFI), det vill säga Försvarets materielverk (FMV), Försvarets radioanstalt (FRA), Försvarsmakten, Post- och telestyrelsen (PTS) samt Säkerhetspolisen/Rikskriminalpolisen.

Syftet med handlingsplanen är att genomföra central aktiviteter för att öka samhällets informationssäkerhet och att ge stöd till viktiga samhällsaktörer ‒ myndigheter, landsting och kommuner men också privata leverantörer av nät- och driftstjänster ‒ för att de ska kunna förbättra sin informationssäkerhet. Jag kan glädjande konstatera att de flesta åtgärder nu är genomförda, vilket känns bra inför den avslutande delen av arbetet som sker under nästa år, säger Richard Oehme, chef för verksamheten för samhällets informations- och cybersäkerhet, MSB.

Planen innehöll ett trettiotal olika förslag på åtgärder för att höja den nationella informationssäkerheten och några av förslagen är:

  • Utveckla ett kryptogranskningsregelverk för kommersiella produkter
  • Ökad säkerhet i industriella informations- och styrsystem (SCADA)
  • Fortsätta utveckla stöd för offentliga och privata organisationers
    informationssäkerhetsarbete
  • Utlysning av ramforskningsprogram kring informationssäkerhet
  • Utreda samhällets utbildnings- och kompetensbehov inom informationssäkerhetsområdet
  • Ökad samverkan för att förebygga och hantera allvarliga it-incidenter
  • Planera, genomföra och utvärdera informationssäkerhetsövningar
  • Förebyggande åtgärder för att öka säkerheten i de elektroniska kommunikationerna

Som ett resultat av ovan förslag är ett framtagande av ett krypto för skyddsvärda uppgifter (KSU) samt SGSI som är Swedish Government Secure Intranet. Delvis saxat från rapporten som släpptes idag (hittas längst ner):

Swedish Government Secure Intranet (SGSI)

Swedish Government Secure Intranet (SGSI) är ett kommunikationsnätverk som ger säker kommunikation mellan myndigheter i Sverige och i Europa. SGSI är skilt från internet och trafiken är krypterad, samt att SGSI är utformat för att klara höga krav på tillgänglighet och driftsäkerhet.

Myndigheter som vill kommunicera med EU-administrationen eller med en annan medlemsstat genom sTESTA (secure Trans European Services for Telematics between Administrations, vilket är ett säkert nät mellan EU:s medlemsstater och EU:s olika organ) måste vara anslutna till SGSI. SGSI är Sveriges enda nätverk med koppling till sTESTA och uppfyller EU-rådets och Kommissionens föreskrifter för hantering av (klassificerad?) information.

SGSI

Inom Sverige använder myndigheter SGSI som ett säkert nätverk för utbyte av känslig information och minskar därmed risker kopplat till att skicka information över internet. SGSI används bland annat för att få åtkomst till olika databaser hos de olika anslutna myndigheterna och så finns en tjänst för videkonferens inom SGSI.

Nationellt evalueringslaboratorium

FMVRapporten berättar även att FMV håller på att upprätta ett nationellt evalueringslaboratorium för att analysera fysiska attacker mot information i datorutrustning. Även i arbetet med detta håller en rapport att färdigställas och FMV/CSEC har i samverkan med FRA och Försvarsmakten besökt
Ångström Microstructure Laboratory vid Uppsala universitet.

Rapporten, när den blir klar under Q1 kommer den att innehålla:

  • Exempel på scenario där fysiska attacker genomförs
  • Exempel på hur attacker genomförs.
  • Exempel på olika former av skydd mot fysiska attacker.
  • Verktyg som används för att genomföra attacker
  • Internationellt arbete inom området
  • Samverkan inom Europa för att certifiera produkter, SOGIS-MRA
  • Krav på en certifieringsordning för hårdvaruevaluering
  • Krav evalueringslaboratorium, inklusive personal, utrustning, utbildning, lokaler, datorutrustning och nätverk
  • Möjlig väg för att etablera en certifieringsordning för hårdvaruevaluering

Tekniska detekterings- och varningssystem (TDV)

FRAFRA fick i november 2011 ett regeringsuppdrag  att ta fram en pilotversion av TDV som har testats hos en myndighet (regeringsuppdraget redovisades i december 2012). TDV är tänkt som ett extra skydd för de skyddsvärda funktionerna i samhället.

Myndigheten anger att det som är avgörande för systemets funktion är de kvalificerade detekteringsverktyg och signaturer som används för att upptäcka IT-angreppen. Signaturerna skapas med hjälp av kunskap från FRA:s uppdrag både på informationssäkerhets- och signalspaningsområdet.

Pilotprojektet har visat att systemet fungerar genom att avancerad skadlig kod som sannolikt härrör sig från kvalificerade angripare har upptäckts.

Statusrapporten

Här kan du ladda hem rapporten från SAMFI-myndigheterna om samhällets informationssäkerhet (PDF) som släpptes idag:

SAMFI plan

Försvarsmakten: Cyberkriget är här

Försvarsmakten släppte nyligen sitt dokument med underlag till försvarspolitisk inriktningsproposition 2015 där man anger att förutom sjö, luft, mark och rymd så bör även cyber införas som den femte operativa miljön.

Även anges i dokumentet att stora mängder information snabbt kan inhämtas dolt, sid 11:

Underrättelseverksamhet i cybermiljön ger möjligheter till snabb och dold inhämtning av stora mängder information, som kan vara tillgänglig i realtid. Mjuk- och hårdvara som levereras till svenska system kan, redan innan de tas i bruk, vara förberedda för att samla underrättelser eller ta emot och öka effekten av- eller initiera attacker med svåra konsekvenser som följd. Underrättelseverksamhet i cybermiljö är en förutsättning för att kunna genomföra cyberattacker.

Så därför dras slutsatsen mycket logiskt att Försvarsmaktens förmåga inom cyber måste öka och vara juridisk kontrollerad precis som inom andra militära förmågor. Samt så bör det finnas en god samverkan med andra berörda myndigheter.

Redan idag kan militära effekter uppnås inom cybermiljön framgår men oklart dock om hela spektrat inom informationsoperationer såsom PSYOPS inkluderas inom detta begrepp.

Under punkt 2.2 så framgår även att Ryssland bedriver hybridkrigföring där också cyberoperationer ingår.

Bilden nedan förevisar operationer inom cyberarenan. Hämtad från Försvarsmaktens Handbok Informationsoperationer:

FM Handbok infoops

CNO = Datornätverksoperationer eller computer network operations som det heter på engelska. OPSEC handlar om sekretess runt operationer.

Cyberattacker genomförs förutom i underrättelsesyfte med kinetiskt angrepp där operativa förmågor inom cyber koordineras med traditionella militära förmågor.

Här kan du ladda hem dokumentet som PDF:

Screen Shot 2014-12-17 at 14.37.01

Falska basstationer i Norge

Norska Aftenposten har identifierat flertalet falska mobil-basstationer utanför flertalet viktiga platser i Oslo. Precis som vi rapporterade om falska basstationer i USA så har nu även flertalet identifierats i Norge. Aftenposten använde sig av CryptoPhone 500 för att identifiera dessa som återfanns utanför Stortinget, Försvarsdepartementet, statsministerns kontor samt Norges bank.

Men vad kan en eventuell antagonist göra förutom att avlyssna telefonsamtal, SMS? Jo, det skulle även vara möjligt att nyttja svagheter i kommunikation eller krypto som återfinnes i telefoner och således nyttja mikrofon och kamera och därmed avlyssna kontor och utrymmen där dessa mobiler är. Även att ej glömma bort är 3G-modem och dylikt som kan användas för internet-uppkoppling eller andra typer av uppkopplade enheter.

Även kan det vara möjligt att lokalisera personer och dess rörelser utifrån mobiltelefonanvändningen.

Att falska basstationer även förekommer i Sverige är något som vi troligtvis får förutsätta och varje organisation bör således ha rutiner för att hantera detta.

Den typ av avlyssningsutrustning som identiferas går under namnet IMSI-catchers och för den som är vetgirig finns det otroligt mycket information av hitta på internet.

De senaste två veckorna har de gjort en rad mätningar, visar att övervakningsutrustning med en mycket hög sannolikhet används aktivt i centrala Oslo.

Den intressant frågan som kvarstår är dock: Vem står bakom dessa falska basstationer?

Ny version av Tor Browser samt Tails

Angrepp mot TorEn ny version av Tor Browser samt Tails släpptes nyss. Denna version åtgärdar ett antal säkerhetsbrister som uppdagats i Firefox.

Följande säkerhetsbrister åtgärdas i Firefox:

  • 2014-90 Apple CoreGraphics framework on OS X 10.10 logging input data to /tmp directory
  • 2014-89 Bad casting from the BasicThebesLayer to BasicContainerLayer
  • 2014-88 Buffer overflow while parsing media content
  • 2014-87 Use-after-free during HTML5 parsing
  • 2014-85 XMLHttpRequest crashes with some input streams
  • 2014-83 Miscellaneous memory safety hazards (rv:34.0 / rv:31.3)

Du kan som vanligt ladda hem Tor Browser här:

Ny avanonymiserings-attack mot Bitcoin

Tre forskare vid Luxemburgs universitet har undersökt huruvida det går att avanonymisera Bitcoin-transaktioner och erhålla IP-adresser. Det visade sig vara möjligt mellan 11% och 60% av fallen beroende på hur anonym användaren försöker vara (använda VPN eller Tor exempelvis).

Det finns ungefär 100000 stycken peers i Bitcoins peer-to-peer nätverk och ungefär 90% av dessa sitter bakom någon form av adressöversättning (NAT). Denna nya forskning kan även urskilja olika användare bakom samma brandvägg/NAT.

Our attack requires only a few machines that establish a certain number of connections by Bitcoin protocol and log the incoming traffic. In a concrete example, an attacker with a few GB of storage and no more than 50 connections to each Bitcoin server can disclose the sender’s IP address in 11% of all transactions generated in the Bitcoin network.

If the attacker tolerates one false positive per identification, the success rate grows to 35%. If he also allows a slight DoS of the network, he may achieve deanonymization rates up to 60% without false positives, which has been confirmed by the experiments in the Bitcoin test network. We estimate the cost of the attack on the full Bitcoin network to be under 1500 EUR per month.

Här kan du ladda hem rapporten i sin helhet (PDF):

Avanonymisering av Bitcoin-användare

Gratis SSL/TLS med Let’s Encrypt

Let’s Encrypt är ett nytt initiativ av Internet Security Research Group som backas upp av en mängd stora företag där målet är att tillhandahålla TLS helt gratis.

Företagen som sponsrar satsningen är följande:

Gratis TLS

Även är ett av målen att det ska vara lätt att komma igång. Därför behöver du enbart skriva följande kommando för att komma igång:

$ sudo apt-get install lets-encrypt
$ lets-encrypt example.com

Underliggande säkra protokoll som används är nyutvecklat och går under namnet ACME (Automated Certificate Management Environment) och används för att underlätta verifiering av domännamn. Detta har varit krångligt tidigare då E-post och dylikt har används för SSL/TLS-certifikat.

Specifikationen är tillgänglig via Github här: https://github.com/letsencrypt/acme-spec/blob/master/draft-barnes-acme.md

Projektet kommer att starta/fungera från sommaren 2015.

Exfiltration av data (information)

Presentationen som jag höll under Internetdagarna 2014 i spåret som OWASP Sweden anordnade hittas nedan. Presentationen handlade om hur skadlig kod stjäl information från system via olika kanaler samt hur denna exfiltration kan upptäckas.

Tyvärr blev formateringen inte helt optimal när presentationen laddades upp till Slideshare.

Två nya attacker mot Tor

Två nya attacker mot Tor har uppdagats. Den ena upptäcktes genom att en person sökte aktivt efter noder som ändrade .EXE-bnärer och efter att undersökt 1110 noder så identifierades en Exit-nod. Denna nod återfanns i ryssland och modifierade nedladdade binärer på så sätt som beskrivs i denna rapport och la till skadlig kod. Modifieringen kan även ha genomförts uppåt i flödet från exit-noden såsom en ISP. Denna skadliga kod har fått namnet OnionDuke och har analyserats av F-Secure.

Just denna typ av attack demonstrerades på IT-säkerhetskonferensen DerbyCon tidigare i år och har implementerarats i verktyget BDFProxy. Det finns nu ett verktyg som automatiskt kontrollerar om exit-noder modifierar nedladdade filer vid namn patchingCheck.py, men denna kontroll är dock inte helt pålitlig då den enbart kontrollerar de binärer som användaren själv anger.

För att skydda sig bör binärer laddas hem via https och signaturer verifieras.

Trafikanalys

Den andra attacken använder NetFlow-data som kan samlas in i routrar och sedan används denna data vid ingång samt ugång för att para ihop en anslutning. Denna attack har 81% chans att lyckas uppger forskarna. Att denna attack går att utför är dock inte speciellt häpnandsväckande eftersom Tor sedan länge framför att Tor ej skyddar mot trafikanalys.

Det finns lite olika sätt att förmildra denna typ av attack såsom slumpmässiga fördröjningar och tillsättning av extradata. Troligtvis kan ScrambleSuite försvåra denna trafikanalys.

Båda attackerna kan leda till att användarens identitet röjs. Att dessa attacker publicerats bidrar till att Tor blir säkrare att använda.

Tor trafikanalys

Här kan du ladda hem forskningsrapporten:

Vi spår Kryptotrender 2015

Vad händer inom krypteringsvärlden? Vad är nytt och vad är på gång? Generellt kan man säga att anonymitet och personlig integritet är otroligt populärt och då söker sig många per automatik till olika mjukvaror som är starkt beroende av kryptering på ett eller annat sätt. Faktum är att det finns väldigt få mjukvaror som inte innehåller någon slags kryptografi.

Kryptotrender 2015

Nedan finner du sådant som jag ser i spåkulan som kommer att inträffa under nästkommande år:

  • Fler publika granskningar liknande Open Crypto Audit Project
  • Minst en sårbarhet kommer att uppdagas i en TLS-implementation
  • Utbredningen av Off-the-Record (OTR) meddelandeappar kommer att fortgå
  • Google kommer att ansluta till Tor
  • Fler butiker och handlare kommer att ta emot kryptovalutan Bitcoin (taxibolaget Uber?, Klarna)
  • Skadlig kod blir bättre på att använda kryptering, tyvärr. I form av obfuskering som Gauss-payload och ransomware där dina filer krypteras och hålls som gisslan
  • Fler företag väljer att göra kryptering som standard såsom Apple och dess hårddiskkryptering. Seamless (sömlös?) är ett bra ord

Vad tror du? Kommer Bitcoin att floppa, Tor att upphöra? Lämna gärna en kommentar om just dina spådomar inför framtiden.

Följ Kryptera.se i sociala medier på Facebook eller Twitter.

Operatörer utför nedgraderingsattacker

EFF rapporterar att flertalet internetoperatörer (ISP:er) genomför nedgraderingsattacker mot E-posttrafik. När slutanvändaren försöker att koppla upp sig via SMTP och starta kryptering med STARTTLS så innehar operatören aktiv utrustning som då tar bort detta kommando.

Utrustning såsom Cisco PIX/ASA-brandväggen stödjer denna typ av aktiva attack och motiveringen anges vara att försöka stoppa spam.

Tyvärr innehåller STARTTLS åtskilliga sårbarheter som försöker åtgärdas, och EFF drar sitt strå till stacken genom projektet STARTTLS Everywhere som återfinnes på Github.

Förutom STARTTLS så kan E-post även krypteras direkt i klienten med S/MIME eller PGP (GnuPG).

Om du vill testa huruvida din operatör utför denna typ av nedgraderingsattack så kan du jämföra resultatet mot en server du vet stödjer kryptering:

STARTTLS_SMTP
Bild som förevisar en operatör som ej utför nedgraderingsattack.

Vi har tidigare skrivit om att krypterad E-post med STARTTLS ökar, här.