Efter bcrypt och scrypt kommer yescrypt

Nyligen så höll Solar Designer en presentation under konferensen PHDays 2014 om yescrypt. Yescrypt är en förbättring av bcrypt, scrypt och PBKDF2 som ska göra det svårare att knäcka lösenord.

Att det blir svårare att knäcka lösenord som använder sig av yescrypt beror på ett par olika faktorer såsom att det är svårt att använda hårdvara (GPU etc) för att knäcka lösenord.

Yescrypt är också ett av 22 bidrag till tävlingen Password Hashing Competition som går ut på att hitta en efterföljare till dagens lösenordshashingalgoritmer.

Nackdelar finns det dock, det är tämligen svårt att implementera yescrypt. Programmerare som försökt att implementera scrypt vet hur svårt detta har varit. Tyvärr så uppkommer det om och om igen att läckta lösenordsdatabaser ej använt hashalgoritmer, nu nyligen var det eBay.

PDF med presentation hittar du här:

YescryptDiskussion hittar du på Reddit samt källkod för test återfinnes på Github.

 

 

Så använder Al-Qaeda kryptering

Sedan många år har Al-Qaeda använt sig av programvaran Mujahideen Secrets för krypterad kommunikation. Efter läckor från Edward Snowden har det nu dock visat sig via jihadforum att nya program har utvecklats för krypterad kommunikation:

  • Orginalversionen av Mujahideen Secrets (Asrar al-Mujahideen) från 2007, som främst används för E-post och ges ut av Global Islamic Media Front (GIMF). Bilden ovan visar en skärmdump från denna programvara.
  • Asrar al-Dardashah som nyligen släpptes av GIMF i Februari 2013 och är ett plugin till meddelandeklienten Pidgin som stödjer en mängd olika chatt-protokoll.
  • Tashfeer al-Jawwal är anpassat för mobiltelefoner såsom Android och Symbian. Släpptes i September 2013 av GIMF.
  • Asrar al-Ghurabaa är ytterligare en krypteringsprogramvara som släpptes i November 2013 av Islamic State Of Iraq And Al-Sham (ISIS). Programvaran släpptes ungefär samtidigt som ISIS bröt sig ur Al-Qaeda.
  • Amn al-Mujahid som släpptes i December 2013. Avsändare är Al-Fajr Technical Committee (FTC).

Och även så har kryptogurun Bruce Schneier uttalat sig om att kryptering är svårt och att inget av ovan egensnickrade krypteringsprogram hjälper Al-Qaeda:

I think the reverse is true. I think this will help US intelligence efforts. Cryptography is hard, and the odds that a home-brew encryption product is better than a well-studied open-source tool is slight.

Samtlig ovan information är från öppna källor (OSINT) såsom forum. Se även följande tidslinje:

snowden-disclosure-impact-timeline

Källa: RecordedFuture. Ett svenskt företag som bl.a. amerikanska myndigheten CIA (via dess investmentbolag In-Q-Tel) investerat i. VD är Christopher Ahlberg som grundat Spotfire tidigare.

Ytterligare information finnes hos MEMRI.

SanDisk X300s med kryptoprocessor

SanDisk släpper om några veckor en ny SSD hårddisk med stöd för kryptering. Hårddisken har en extraprocessor som sköter kryptering med AES 256-bitar (FIPS 197) detta för att avlasta CPU:n.

SanDisk X300s stödjer även TCG Opal 2.0 samt Microsoft Encrypted Hard Drive (BitLocker).

Den kommer att finnas i storlekarna 64GB, 128GB, 256GB, 512GB, samt 1TB.

Vidare läsning återfinnes på SanDisk hemsida: www.sandisk.com/products/ssd/sata/x300s

sandisk x300s

Vill du jobba med cybersäkerhet?

Myndigheten för samhällsskydd och beredskap (MSB) söker ett antal olika befattningar inom området cybersäkerhet:

Vill du arbeta med säkerhet i cyberfysiska system?
Vill du arbeta med informationssäkerhet i nationella samverkanssystem?
Vill du arbeta med teknisk omvärldsbevakning och analys vid CERT-SE?
Vill du arbeta med strategisk analys av informations- och cybersäkerhet?

 

Cyberfysiska system handlar om industriella informations- och styrsystem (SCADA). Rekryterar din organisation inom området kryptering eller IT-säkerhet? Kontakta oss gärna så sprider vi budskapet.

Inspelning av nätverkstrafik (trafikinspelning)

TrafikinspelningVi har tidigare belyst vikten av att spela in rå nätverkstrafik för att möjliggöra och underlätta eventuella undersökningar av dataintrång eller försök till detta. Detta har speciellt varit på tapeten efter offentliggörandet av sårbarheten vid namn Heartbleed.

Om trafikinspelning används så skulle det vara möjligt att till viss del se om ett TLS heartbeat-paket skickats.

Det kan även vara en fördel att kryptera de råa filerna så att en enskild individ ej kan nyttja nätverkstrafiken (dubbelhandsfattning). Denna metod kallas även ibland för FPC (Full Packet Capture).

Teknisk lösning för trafikinspelning

Det finns flera sätt att lösa detta rent tekniskt. Ett sätt är att använda sig av dumpcap som en ringbuffer där man kan ställa in att exempelvis nyttja X antal GB spritt över X antal filer.

Se framförallt till att det finns tillräckligt med utrymme på hårddisken. Med fördel bör även utrustningen för trafikinspelning placeras på ett sådant sätt att maximalt med trafik ses, exempelvis vid en perimeter i nätverket eller vid centrala noder.

För att spela in nätverkstrafik 7 dagar oavsett hur mycket hårddisk som nyttjas skriver man följande kommando:

$ sudo dumpcap -i en0 -b duration:3600 -b files:168 -w packets.cap

En mer rekommenderad variant är att nyttja maximalt med tillgängligt diskutrymme och göra enligt följande om vi har 11 GB ledigt diskutrymme på filsystemet /pcap

$ sudo dumpcap -i en0 -b filsize:1048576 -b files:10 -w /pcap/packets.cap

Se även till att paketdumparna ligger på ett eget filsystem för att förhindra att diskutrymme tas upp av något annat i operativsystemet.

Nätverkstappar

IPACU3_SMFör att erhålla möjligghet att spegla av nätverkstrafik så kan man välja ett antal olika lösningar. Ett populärt sätt är att använda sig av en såkallad nätverkstapp. Det finns många olika nätverkstappar i olika priskategorier.

Det man bör titta efter är en med hög driftsäkerhet såsom dubbla nätverksaggregat samt som fungerar även vid strömbortfall. Även är aggregering en önskvärd funktion för att få RX samt TX via en enda kabel.

Netoptics har ett stort utbud av nätverkstappar men är rätt dyra, vill man ha en lite billigare variant så säljer Direktronik EasyTap som kostar runt 3000 SEK.

Även så går det att nyttja en såkallad span-port mirroring på många av dagens switchar:

Span port mirroring

Vidare läsning

daemonlogger_full_smKolla även in OpenFPC som använder sig av daemonlogger. Daemonlogger är utvecklad av Marty Roesch som även är grundaren till Snort.

Även så har nu Google utvecklat en mjukvara vid namn Stenographer som sparar ner stora mängder datatrafik till disk: https://github.com/google/stenographer

Sårbarheter uppdagade i TrueCrypt

Säkerhetsföretaget iSEC Partners med Andreas Junestam som teknisk projektledare har genomfört en granskning av den populära krypteringsmjukvaran TrueCrypt (TC). Granskningen påvisar totalt 11 stycken felaktigheter varav fyra är av allvarlighetsgrad medium och fyra har låg allvarlighetsgrad samt tre är enbart för information.

Granskningens fokus låg på bootloader samt Windows kernel-drivrutinen och inga eventuella avsiktliga bakdörrar identifierades. Dock innehar TC en dålig kodstandard:

Overall, the source code for both the bootloader and the Windows kernel driver did not meet expected standards for secure code.

Den dåliga kodstandarden leder inte bara till att eventuella sårbarheter introduceras lättare samt svårare att upptäcka utan även att det blir en högre tröskel för nya utvecklare som vill bidra till projektet.

En av de allvarligare sårbarheterna som identifierades var att nyckelderivatafunktionen PBKDF2 enbart används med 1000 eller 2000 iterationer vilket är för lågt. Exempelvis så rekommenderades 1000 iterationer att användas år 2000 (enligt RFC 2898). Detta finns även dokumenterat på TrueCrypt.org.

Förhoppningsvis kommer TC att i framtiden ge användaren möjlighet att öka antalet iterationer eller helt gå över till Scrypt.

Här kan du läsa granskningsrapporten som PDF:

Granskning av TrueCrypt

 

Läs mer här:

Eller på TKJ:s blogg.

Akamais patch till OpenSSL

Akamai-logoSom vi skrev om i går så släppte Akamai en patch till OpenSSL som gör att de skyddsvärda p q och d delen av den privata nyckeln skyddas med hjälp av dess secure_malloc().

Dock så innehåller denna patch ett antal olika fel som Willem Pinckaers påpekar. Bland annat så skyddas ej parametrarna för den kinesiska restsatsen. Samt så innehåller minnet fortfarande p q och d parametrarna:

Start the server, do one SSL request to it. Dump all memory, search for p/q/d and CRT parameters. You will find one copy of p,q, and d in the secure area. Outside of the 'secure' area you will find p,q, and the CRT parameters.

Du kan läsa Willems samtliga synpunkter på patchen i följande dokument:

Eller läsa ytterligare diskussion på HackerNews.

Heartbleed dag sex

broken-heartbleedYtterligare ett antal dagar har nu passerat sedan OpenSSL-buggen Heartbleed offentliggjordes och det är dags att göra ett antal till reflektioner.

Det har visat sig att buggen går att nyttja till att erhålla den privata nyckeln, framförallt via Hearbleed Challenge.

The bad news is that [discovery] changes our recommendation from: reissue and revoke as a medium priority to reissue and revoke as a high priority.

Skrev Matthew Prince, CEO på CloudFlare till Ars Technica.

Akamai har släppt en patch för att säkra upp minnesallokeringen i OpenSSL. Deras implementation går under namnet secure_malloc (OpenSSL använder sig av OPENSSL_malloc). Läs även mer här av Alex Clemmer.

Även oklart huruvida denna sårbarhet nyttjas innan den blev offentligt känd. EFF hävdar dock att så är fallet och har bevis på detta.

Bra saker som händer efter Heartbleed

OpenSSL får mer donationer som går att granska kodbasen samt så kontrollerar generellt fler ögon OpenSSL efter buggar.

Revokeringen av certifikat ses över då exempelvis Chrome har revokeringskontroll avstängt som standard.

Forward-secrecy eller PFS som det också kallas blir mer använt.

Uppdatering: Bra blogginlägg av Einar Otto Stangvik om hur han gick till väga för att hitta den privata nyckeln.

OpenSSL Heartbleed dag två

broken-heartbleedDet har nu gått över två dagar sedan nyheten släpptes om sårbarheten i OpenSSL, som går under namnet Heartbleed. Det börjar bli dags att sammanfatta samt dra några slutsatser om sårbarheten.

OpenSSL is not developed by a responsible team.

– Theo de Raadt (Källa)

  • Huruvida privata nycklar kan läckas är ännu oklart men för att vara på den säkra sidan så bör nya certifikat utfärdas och privata nycklar skapas.
  • Det har verifierats att åtminstone på FreeBSD så går det att få ut privata nycklar. Uppdatering: Om systemet nyligen startats. Källa
  • Sessionsnycklar dvs cookies är lätt att exfiltrera via Heartbleed.
  • Nätverkstrafik bör sparas ner i en cyklisk buffer (FIFO) för att ges möjlighet att gå tillbaka och se om sårbarheten nyttjas. Hur lång tid tillbaka begänsas av lagringsutrymmet. Även bra för att se vad som företaget eller organisationen blivit av med. Uppdatering: Så klart ej möjligt att se vad för data som exfiltrerats om du använder PFS som Jimmy Bergman påpekar i en kommentar.
  • Regler till IDS:er finns ut såsom Snort.
  • Finns även en Heartbleed Honeypot.
  • Stora drakarna såsom Google, Twitter och Facebook var ute tidigt och patchade mycket snabbt.
  • Några hundra av Internets topp 1000 största sajter är fortfarande sårbara.
  • Röster höjs över att C är ett skräpspråk som tillåter detta fel. Varför inte skriva om allt i Go, Python eller [sätt in valfritt språk här]?
  • Byta lösenord kan vara bra om du loggat in på någon https-tjänst de senaste dagarna.
  • OpenSSL finns inbakat i en hel del hårdvara som ännu ej uppdaterats.
  • Anonymiseringsnätverket Tor såg tidigt att antagonister försökte nyttja svagheten.
  • Prioriteringarna hos de som släppte informationen kan frågasättas. Exempelvis varför domänregistrering av heartbleed.com, skapande av logotyp etc kom före att informera mjukvaru-utvecklare.
  • Diversering bland mjukvaror är bra. Läs Dan Geers rapport om monoculture.
  • Det finns oneliners, script till Nessus och Nmap samt modul till Metasploit för att nyttja sårbarheten.
  • Flertalet tjänster gör det säkra före det osäkra och stänger helt ner tills de patchat och bytt nycklar. Exempelvis Mojang/Minecraft.
  • Många skiter i att eventuella privata nycklar röjts, exempelvis Swedbank. Uppdatering: De var troligtvis aldrig sårbara i första hand.
  • Buggen introducerades Sun, 1 Jan 2012 00:59:57 +0200 (22:59 +0000), se git.
  • Använd tvåfaktorsautentisering och Perfect Forward Secrecy (PFS).
  • Revokera nuvarande certifikat.

 

 

Finns säkert en hel till. Lämna gärna en kommentar nedan. Och avslutar med följande bild:

Heartbleed honeypot

Heartbleed CVE-2014-0160

Uppdatering: Läs även det nya inlägget här.

Då var det dags att uppgradera OpenSSL: En ny sårbarhet har identifierats i hanteringen av heartbeats.

Denna sårbarhet är synnerligen läskig då följden bl.a. kan bli att din privata nyckel läcker ut och en obehörig kan dekryptera tidigare eller pågående data såsom cookies (sessionsnycklar).

Detta gäller OpenSSL versioner 1.0.1 samt 1.0.2-beta men även 1.0.1f och 1.0.2-beta1.

Och här kan du testa om din server är sårbar: http://filippo.io/Heartbleed/

Glöm inte att sårbarheten gäller ej enbart https utan andra protokoll som förlitar sig på SSL/TLS och specifikt med hjälp av OpenSSL.

Teknisk analys av sårbarheten

Den första byten i SSLv3 paketen anger om det är ett heartbeat-paket eller ej. Koden som den är skriven förlitar sig på att klienten skickar tillräckligt med data. Vilket en angripare kan strunta i.

Har du blivit av med din privata nyckel så är det inte bara att byta.. och hur vet ni att ni blivit av med den privata nyckeln?

Även så ryktas det att denna sårbarhet påverkar klienter och ej enbart servrar.

Här finns RFC:n https://tools.ietf.org/html/rfc6520 och en mer teknisk analys finnes här:

blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html