Allvarlig sårbarhet i Microsoft Schannel

microsoftIgår släppte Microsoft sina månatliga patchar för November och en av de mer allvarligare sårbarheterna som åtgärdas medger kodexekvering över nätverket (MS14-066).

Sårbarheten som åtgärdas återfinnes i Microsoft Secure Channel (Schannel) och är den del som hanterar SSL/TLS. Denna sårbarhet gäller enbart Windows Server men Microsoft patch även inkluderar Windows 7 och 8.

Tyvärr så framgår inga temporära åtgärder som kan genomföras för att förmildra en eventuell attack (workarounds).

Även så har Microsoft uppdaterat sina cipher suites och stödjer nu Galois/counter mode (GCM) samt perfect forward secrecy med hjälp av DHE + RSA.

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

Läs mer här:  technet.microsoft.com/library/security/ms14-066

Microsoft EMET 5.1

EMETMicrosoft släppte nyligen Enhanced Mitigation Experience Toolkit (EMET) 5.1 som rättar ett antal buggar relaterade till Internet Explorer, Firefox, Adobe Reader, Adobe Flash (läs om emet 5.0 här). Använder du dig av Windows så är EMET en mjukvara som du måste använda.

En ny fräsig funktion i 5.1 är även något som heter Local Telemetry som gör att du kan göra en minnesdump när EMET upptäcker ett hot. Detta är bra för en eventuell forensisk utredning där den skadliga koden kan identifieras i detalj.

Detta nya släpp försvårar troligtvis även attacker som försöker kringgå EMETs skydd med hjälp av ROP, läs mer på Offensive Security.

EMET 5.1 kan laddas hem här: microsoft.com/emet och är gratis att använda.

GnuPG 2.1

Efter fyra år av beta-testande så har nu äntligen den stabila utgåvan av PGP-programvaran GnuPG 2.1 släppts.

Denna nya version stödjer bl.a. elliptiska kurvor (ECC). ECC kan då exempelvis användas för sub-nycklar eller signering. Framöver kommer standard att bli Bernsteins Curve 25519 men stöd för andra ECC-typer finnes (se nedan).

Även så har stödet för PGP-2 helt skrotats då detta är förlegat (använder bl.a. MD5).

Vill du skapa nycklar med elliptiska kurvor gör du enligt följande:

$ gpg2 --expert --full-gen-key
gpg (GnuPG) 2.1.0; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
   (7) DSA (set your own capabilities)
   (8) RSA (set your own capabilities)
   (9) ECC and ECC
  (10) ECC (sign only)
  (11) ECC (set your own capabilities)
Your selection? 9
Please select which elliptic curve you want:
   (2) NIST P-256
   (3) NIST P-384
   (4) NIST P-521
   (5) Brainpool P-256
   (6) Brainpool P-384
   (7) Brainpool P-512
[.. resten bortklippt ..]

Övriga nyheter är förbättrat stöd för X509-nyckeltyper, förbättrad hantering av nyckelservrar (dock ej över TLS ännu). En annan trevlig säkerhetshöjande nyhet är gpg-agent som nu hanterar din privata nyckel och således behöver ej gpg eller gpgsm känna till denna, dock finns viss bakåtkompatibilitet kvar.

Och som vanligt kan du läsa mer om GnuPG 2.1 ”modern” på gnupg.org.

Övrig intressant kuriosa: Vill du ej skicka hela din PGP-nyckellista i klartext över nätverket med kommandot gpg –refresh-keys så bör du snegla på parcimonie.

Facebook nu på anonymitetsnätverket Tor

Facebook har nu satt upp en egen anslutning direkt till Tor via en såkallad gömd tjänst (hidden services) som gör att du som ansluter via Tor aldrig behöver gå ut via en extern anslutning (exitnod) vilket kan kompromettera din anslutning mot Facebook.

För Facebook var det inte helt trivialt att implementera detta eftersom tjänstens inbyggda säkerhetslösningar larmar om en användare ansluter från olika världsdelar inom kort intervall vilket kan indiktera ett bot-nät.

Tor återfinnes enligt nedan URL med ett giltigt SSL-Certifikat. Den trevliga .onion-adressen är troligtvis framtagen med ett beräkningsverktyg såsom Scallion eller liknande:

https://facebookcorewwwi.onion/

OBS, ovan länk fungerar enbart om du ansluter via Tor. Exempelvis via Tor Browser som vi rekommenderar.

För den som är intresserad kan vi rekommenderar följande läsning om hur Tor fungerar:

IT-Krisövningen Cyber Europe 2014

Den europeiska IT-säkerhetsmyndigheten ENISA (European Network and Information Security Agency) anordnade IT-säkerhetsövningen Cyber Europe 2014 (CE 2014) för tredje gången.

Övningen som gick av stapeln den 30 oktober hade mer än 200 organisationer från 29 länder inom Europa. Syftet var att pröva och stärka förmågan att hantera cyberkriser. Cyber Europe går vartannat år och gick således 2012 sist.

Deltagarna i övningen är experter både från privata och offentliga sektorn. Övningen styrdes från ENISAs huvudkontor i Aten och var en så kallad distribuerad övning. Det betyder att de övade sitter på sina ordinarie arbetsplatser och löser uppgifter enligt de gängse rutiner som finns.

Under övning prövades upparbetade arbetsformer och metoder för att samverka inom EU och övriga länder inom Europeiska frihandelssammanslutningen (EFTA).

Bilder från övningen:

S1020131

S1020165

S1020139

S1020104

Bild från Portugals lokala deltagande:

Cyber Europe 2014 Portugal
Bildkälla: OneMagazine

Mer läsning på ENISA:s hemsida:

Troligtvis kommer även en evalueringsrapport inom kort som beskriver utfallet av övningen. Från CE2012 finnes följande resultat:

 

OS X Yosemite krypterar hårddisken

Den som väljer att genomföra en nyinstallation av Apples senaste operativsystem OS X Yosemite får ett standardval som väljer att hårddisken kommer att krypteras.

Ända sedan OS X Lion har Apples haft stöd för hårddisk-kryptering och väljer nu att ta detta standardval (innan Lion så fanns ej stöd för att kryptera hela hårddisken).

För den som är intresserad av de mer tekniska detaljerna så använder Apple nyckelgenereringsfunktionen PBKDF2-HMAC-SHA-1 med 250000 iterationer. Så om du vill testa att forcera lösenord så klarar en dator cirka 100 försök i sekunden. Och krypteringen sker med hjälp av XTS AES 128 samt nyckel på 256 bitar.

Och vill du använda John the Ripper för lösenordsknäckning så hittar du dmg2john här.

Skärdump på hur det ser ut när du installerar:

Apple FileVault 2Den som är paranoid bör även kryssa ur den nedre rutan. Du kan även läsa en guide om FileVault från Apple här:

 

Tor Browser 4.0 och Tails 1.2

Nyligen så släpptes en ny version av Tor Browser samt det anonyma och säkra operativsystemet Tails. Dessa två uppdateringar åtgärdar ett antal sårbarheter såsom POODLE. Även så använder man sig numera av Firefox 31-ESR (här kan du läsa mer om ESR).

Tor har även ny metod att kringgå censurering såsom Kinas brandvägg, denna nya metod har fått namnet Meek och kan beskrivas genom följande diagram:

Tor Meek transport

Kortfattat kan man säga att Meek kan använda sig av molntjänster såsom Google App Engine, Amazon CloudFront eller Microsoft Azure för att genomföra vidarekoppling av trafik.

Eftersom dessa tjänster används av otroligt många sajter på nätet så är det svårt för DPI-produkter att urskilja Tor-trafik och således censurera denna trafik.

Allvarlig säkerhetsbugg i Drupal

Företaget SektionEins har identifierat en säkerhetsbrist i den mycket populära webbplattformen Drupal. Denna säkerhetsbrist möjliggör att en antagonist kan injicera SQL-kommandon direkt mot Drupals databas. Såsom att lägga till information, ta bort eller radera vilket i slutändan kan leda till att antagonisten får full kontroll över delar av eller hela servern där Drupal är installerat.

En uppgradering till Drupal version 7.32 löser detta problem.

Proof-of-concept exploitkod som visar på hur sårbarheten kan utnyttjas:
https://gist.github.com/milankragujevic/61eb72df71b69df80e86
Sårbarheten har fått  följande CVE: CVE-2014-3704 och mer information finnes här.

POODLE ny attack mot TLS/SSL

För några månader sedan så skrev vi om en ändring som genomfördes till TLS-protokollet som heter SCSV som försvårar nedgraderingsattacker. Jag anade redan då att Google hade genomfört en attack mot TLS/SSL och det har nu visat sig stämma.

”This POODLE bites”: CVE-2014-3566.

Poodle står för Padding Oracle On Downgraded Legacy Encryption.

Attacken nyttjar det sätt som CBC används i SSL 3.0 och en eventuell angripare måste ha tillgång till anslutningen (mitm) såsom en statlig aktör eller på ett café. Samt så nyttjar POODLE det faktum att anslutningar går att nedgradera (nedgraderingsattack/dans).

Läs dokumentet som beskriver attacken i detalj här (PDF):

POODLE

 

Turligt nog är detta dödsstöten för SSL 3.0 som många har väntat på. Ungefär 0.6% av användarna på internet surfar med en webbläsare som högst stödjer detta.

Även gick OpenSSL ut idag med en ny varning om en sårbarhet som uppdagats:

SRTP Memory Leak (CVE-2014-3513)

Läs mer här: www.openssl.org/news/secadv_20141015.txt

Vad är darknets bra för?

Det diskuteras mycket just nu om darknets och att detta skyddar mot myndigheters övervakning samt tillhandahåller anonymitet. Även så framgår det att mycket illegal verksamhet bedrivs på dessa (djupwebbar?) darknets såsom Tor och I2P.

Men är det verkligen annorlunda brottslighet som inte förekommer utanför darknets? För jag tror att många av dom sajterna som återfinnes i darknets även finnes på vanliga internet.

Det finns trots allt människor som sätter i pengar på de här sajterna. I och med att det finns pengar i potten så är jag säker på att det någonstans attraherar någon att förr eller senare genomföra dåden, varnar Stefan S, spaningsledare hos Malmöpolisen och en av de få som arbetar med Darknetbrottslighet.

Myndigheter kan med tillräckligt med resurser ändå avanonymisera sajter som använder sig av exempelvis .onion vilket hände för Silk Road eller som forskarna vid CERT förevisade. Eller klienter som när FBI nyttjade en sårbarhet i Firefox som var några veckor gammal.

Anonymiseringsnät fyller även en viktig funktion i diktaturer där befolkningen ej kan uttrycka sina åsikter utan påföljder. Det jag tror att vi ser är bara en naturlig vidareutveckling av internet som stärker nätet successivt.

För det är så att vi människor kommer alltid ha ett behov av att kommunicera anonymt, vare sig det är papper vi använder eller darknets. Det som händer nu är att kostnaden för att utbyta information anonymt går ner men priset för att avslöja den som utbyter information anonymt går upp.

TV4 Kalla Fakta sänder ikväll ett reportage om när dom granskar det mörka nätet som dom kallar det. Intressant också att myndigheten Sida stöttar Tor med bl.a.. finansiella medel.