SSL sårbarhet i iOS (iPhone/iPad etc)

Apple-SSL-#fail

Ny information. Läs mer här!

Apple släppte i går en uppdatering till operativsystemet iOS som återfinnes i bl.a. iPhone och iPad. Felet som åtgärdas med denna uppdatering är att det genomförs en bristfällig kontroll av värdnamnet i certifikatet stämmer överrens med det värdnamn dit anslutningen upprättas.

Detta kan illustreras genom följande exempel där vi först testar med curl  i Ubuntu Linux som misslyckas:

Linux

Och sedan på en Macbook Pro med Mac OS X version 10.9.1 (Mavericks) där anslutningen lyckas:

Mac OS X

IP-adressen 74.125.143.94 är www.google.se.

Rolig kommentar från Twitter av Christopher Soghoian:

 

Denna sårbarhet möjliggör för en angripare att exempelvis genomföra MITM attacker.

Uppdatering: För att förtydliga. Curl använder sig av Secure Transport (aka darwin-ssl) som genomför bristfällig kontroll av värdnamnet. Från Apples länk nedan:

Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.

Felet verkar enbart uppträda när ett IP-nummer används istället för värdnamn samt så påverkar även denna bugg Mac OS X.

Detta gäller således enbart anslutningar där IP-nummer används istället för värdnamn. Det är svårt att gissa hur många SSL-anslutningar som använder IP-nummer istället för värdnamn.

Exempel 2 gällande Apples bristfälliga SSL-validering

Du ansluter till https://1.2.3.4 men ett annat SSL-certifikat än för 1.2.3.4 returneras. Allt fungerar fortfarande bra. Oklart om det gäller självsignerade certifikat eller om hela certifikat-kedjan ändå verifieras.

Läs mer hos Apple här:

#MeraKrypto

MeraKrypto

#MeraKrypto är ett projekt där SNUS (Swedish Network Users’ Society) tillsammans med ISOC-SE vill bl.a. se att mer kryptografiska protokoll används. I ett blogginlägg på isoc.se så skriver Olle E. Johansson att vi måste höja ribban för att försvåra för utomstående att läsa trafik.

Johansson sammanfattar några av de svenska initiativ som används för att höja ribban med följande projekt:

  • Daniel Stenberg är med i arbetet runt HTTP 2.0 som troligen bara kommer använda TLS.
  • Jakob Schlyter jobbar med DANE och DNSSEC.
  • Olle E. Johansson jobbar med SIP och WebRTC.

Och även så frågar han sig hur detta ska mätas? Hur kan vi mäta att mer krypto används och inte mindre? Även om the goodguys blir bättre på att använda kryptering så blir även de badguys bättre på att använda kryptering.

Även om de onda inte kan skilja på bytes och bitar som i senaste fallet med Bitcrypt så invaggas många av en falsk säkerhet bara för att exempelvis https används.

Tillsammans kan vi dock göra Internet till en säkrare plats för alla.

Sofistikerat cyber-spionageverktyg avslöjat

Det ryska antivirusföretaget Kaspersky Lab upptäckte ”The Mask” (aka Careto), som är en avancerad spanskspråkig skalig kod, som varit inblandat i världsomfattande cyber-spionageoperationer åtminstone sedan 2007.

Kaspersky Anti-virusDet som gör masken speciell är komplexiteten i verktygsuppsättningen, som används av angriparna, inklusive en mycket sofistikerad skadlig programvara, ett rootkit, ett bootkit, OS X och Linux versioner och eventuellt versioner för Android och iOS (iPad/iPhone).

De primära målen är statliga institutioner, diplomatiska kontor och ambassader, energi, olje- och gasföretag, forskningsorganisationer och aktivister. Offren för denna riktade attacker har hittats i 31 länder runt om i världen – från Mellanöstern och Europa till Afrika och Amerika.

Det huvudsakliga målet för angriparna är att samla in känsliga uppgifter från de infekterade systemen. Dessa inkluderar Office-dokument, men också olika krypteringsnycklar, VPN-konfigurationer, SSH-nycklar (används som ett sätt att identifiera användare av en SSH-server) och RDP-filer (som används av Remote Desktop klienten för att automatiskt öppna en anslutning till en dator).

Forskarna hos Kaspersky Lab blev först medvetna om Careto förra året, när de observerade försök att utnyttja en sårbarhet i företagets egna produkter, som hade åtgärdats fem år tidigare. Utnyttjandet försåg den skadliga programvaran med egenskapen att undvika upptäckt. Naturligtvis väckte denna situation deras intresse och detta var hur undersökningen startade.

För offren kan en infektion med Careto bli förödande. Careto fångar upp alla kommunikationskanaler och samlar in den mest vitala informationen från offrets dator. Upptäckt av detta är extremt svårt på grund av stealth-root-kit-förmågor, inbyggda funktioner och extra cyber-spionage moduler.

Huvudsakliga iakttagelser hos Careto

Författarna verkar ha det spanska språket som modersmål, vilket mycket sällan har observerats i APT-attacker (riktade attacker).

Angreppet var aktivt under minst fem år tills januari 2014 (vissa Careto prover samlades in 2007). Under Kaspersky Labs undersökningar stängdes kommando- och övervakningsservrarna (C&C) ner.

Över 380 unika offer på över 1000 IP-adresser. Infektioner har observerats i: Algeriet, Argentina, Belgien, Bolivia, Brasilien, Kina, Colombia, Costa Rica, Kuba, Egypten, Frankrike, Tyskland, Gibraltar, Guatemala, Iran, Irak, Libyen, Malaysia, Mexiko, Marocko, Norge, Pakistan, Polen, Sydafrika, Spanien, Schweiz, Tunisien, Turkiet, Storbritannien, USA och Venezuela.

Den komplexitet och allmängiltighet hos verktygsuppsättningen som använts av angriparna gör denna cyber-spionageoperation mycket speciell. Detta inkluderar samverkan mellan nyttjande av en ett säkerhetshål, en oerhört sofistikerad skadlig programvara, ett root-kit, ett boot-kit, Mac OS X och Linux versioner och eventuellt versioner för Android och iPad/iPhone (iOS). Masken använde även en anpassad för angrepp mot Kaspersky Labs ant-virus produkter.

Adobe Flash player sårbarhet

Tittar man på angreppsvektorer så används minst ett Adobe Flash Player-säkerhetshål (CVE-2012-0773). Det var utformat för Flash Players versioner före 10.3 och 11.2. Detta säkerhetshål upptäcktes av VUPENoch användes 2012 för att undkomma Google Chrome-sandlådan för att vinna CanSecWest Pwn2Own tävlingen.

Funktionalitet och infektionsmetoder

Maskens angreppssätt bygger på spjutspets-phishing (spearfishing) av e-postmeddelanden med länkar till en skadlig webbplats. Den skadliga webbplatsen innehåller ett antal kryphål för att infektera besökaren beroende på systemkonfiguration. Vid framgångsrik infektion omdirigerar sedan den skadliga webbplatsen användaren till den godartade webbplatsen, som refereras till i e-postmeddelandet, vilket kan vara en YouTube-film eller en nyhetsportal.

Det är viktigt att observera att utnyttjade webbplatser inte automatiskt infekterar besökare. I stället förvarar angriparna kryphålen på speciella mappar på webbplatsen, vilka inte är direkt refererade till någonstans, utom i skadliga e-postmeddelanden. Ibland kan angripare använda underdomäner på utnyttjade webbplatser, för att få dem att se mer verkliga ut. Dessa underdomäner simulerar underavdelningar av stora tidningar i Spanien plus några internationella som exempelvis The Guardian och Washington Post.

Den skadliga programvaran fångar upp alla kommunikationskanaler och samlar de mest vitala informationen från de infekterade system. Att upptäcka detta är extremt svårt på grund av stealth-root-kit-förmågor. Careto är ett mycket modulärt system. Det stöder plug-ins och konfigurationsfiler, som tillåter den att utföra ett stort antal funktioner. Förutom inbyggd funktionalitet kunde Caretos operatörer överföra ytterligare moduler, vilka kan utföra vilken skadlig uppgift som helst.

Användning av kryptering fortsätter att växa

Ponemon InstituteAnvändning av kryptering fortsätter att växa som ett svar på konsumenternas oro, sekretessregler och pågående cyberattacker.

Ändå finns det fortfarande stora utmaningar i verkställandet av datakrypteringspolicyer enligt en ny undersökning från Ponemon Institute.

Huvudresultat från undersökningen:

  • Stadig ökning av användningen av kryptering där 35 % av organisationerna har en företagstäckande krypteringsstrategi
  • De flesta organisationer tar kryptering i drift för att mildra effekterna av dataförlust.
  • Det främsta upplevda hotet mot känsliga data finns i anställdas misstag snarare än i yttre angrepp.
  • De två största utmaningarna för organisationer som verkställer en datakrypteringspolicy är att veta var känsliga data finns och hantera den aktuella tekniken.
  • Kryptonyckelhantering identifieras som en viktig fråga av mer än hälften av organisationerna.
  • Hos organisationer med hög säkerhetsmedvetenhet är det nu tre gånger mer sannolikt att inneha en formell krypteringsstrategi än de med den lägsta säkerhetsmedvetenheten.

Resultaten av studien visar att det har skett en stadig ökning av idrifttagandet av krypteringslösningar som används av organisationer under de senaste nio åren. 35 % av organisationerna har nu en krypteringsstrategi som tillämpas konsekvent inom hela företaget jämfört med 29 % förra året. Undersökningen visade också att endast 14 % av organisationerna inte har någon krypteringsstrategi alls jämfört med 22 % förra året.

kyptonyckelhanteringFör första gången är den primära drivkraften för att driftsätta kryptering i de flesta organisationer, att minska effekterna av alla dataförluster, medan tidigare år det främsta bekymret var att skydda organisationens varumärke eller rykte. Av de organisationer som anser att de har en skyldighet att offentliggöra att en informationsförlust ägt rum, tror nästan hälften att de genom att kryptera sina data får en säkerhet, som gör att man inte behöver avslöja att den faktiska förlusten inträffade.

Den snabbast växande orsaken till varför organisationer tar kryptering i bruk är att se till att de uppfyller sina åtaganden mot sina kunders sekretess. 42 % av organisationerna fokuserar på sina kunders intressen snarare än för sin egen skull, vilket har ökat med fem procent jämfört med förra året.

Det främsta upplevda hotet mot exponering av känslig eller konfidentiell data förblir anställdas misstag enligt 27 % av de tillfrågade. När anställdas misstag är kombinerat med oavsiktliga system- eller processfel, uppväger oro över oavsiktlig exponering oron över verkliga fientliga attacker med mer än 2 till 1. Dessutom utgör nu påtvingade avslöjanden, som utlösts på begäran om e-upptäckt, det näst högsta upplevda hotet av förlust av känsliga data.

När man tillfrågades om var kryptering används, rangordnade organisationerna backupband och databaser som de viktigaste följt av kryptering av nätverk och kryptering av bärbara datorer. Kryptering i molnet hade en relativt låg rangordning jämfört med rangordning av andra användningsfall vid kryptering utanför de 10 högsta.

keyDe två största utmaningarna som organisationer, som verkställer en datakrypteringspolicy, möter var att upptäcka var känsliga data faktiskt finns. Detta rapporterades av 61 % av de tillfrågade samt förmågan att effektivt driftsätta krypteringstekniken, vilket rapporteras av 50 % av de tillfrågade. 

Kryptonyckelhantering identifierades som en viktig fråga hos mer än hälften av organisationerna i undersökningen och värderade den övergripande utmaningen förknippad med hantering av kryptonycklar eller certifikat högre än 7 på en skala av 10 (10 är högst). 30 % av organisationerna värderade utmaningen till 9 eller 10. Medan tre fjärdedelar av organisationerna identifierade kryptonyckelhantering som en formell disciplin inom sin organisation misslyckades flerän 70 % av dessa organisationer med att allokera utpekad personal eller verktyg för uppgiften med hantering av kryptonycklar.

Standarden Key Management Interoperability Protocol (KMIP), som tillåter organisationer att driftsätta centraliserade kryptonyckelhanteringssystem som täcker flera användningsfall och leverantörer av utrustning, har redan etablerat en relativt hög nivå av medvetenhet inom IT och IT-säkerhetsanvändare. KMIP uppfattas ha ökande betydelse och förväntas bidra till kryptering och strategier för kryptonyckelhantering speciellt kring moln, lagring ochprogramnivåkryptering. Mer än hälften av de tillfrågade sa att KMIP-standarden var viktig i molnkryptering jämfört med 42 % året innan.

Hårdvarusäkerhetmoduler (HSMs) betraktas alltmer som en viktig komponent i en strategi för kryptonyckelhantering. Dessa enheter används för att skydda kritiska databearbetningsaktiviteter och kryptonycklar av högt värde och kan användas för att starkt tvinga fram säkerhetspolicyer och åtkomstkontroller.

ThalesRichard Moulds, vice president för strategi på Thales eSecurity säger:

”Även om kryptonyckelhantering skulle kunna framstå som ett hinder för idrifttagning av kryptering är det inte någon ny fråga. De utmaningar som är förknippade med hantering av kryptonycklar har redan tagits upp i starkt reglerade branscher såsom bearbetning av betalningar, där bästa praxis är väl beprövad och lätt kan översättas till en mängd andra vertikaler. Med mer än 40 års erfarenhet av att tillhandahålla lösningar för kryptonyckelhantering.Thales är idealiskt positionerat för att hjälpa organisationer att ompröva och omvärdera sin kryptosäkerhet och infrastruktur för kryptonyckelhantering och leverera lösningar som säkerställersinintegritet och trovärdighet.”

Fler än 4800 företag och IT-chefer tillfrågades i USA, Storbritannien, Tyskland, Frankrike, Australien, Japan, Brasilien och för första gången detta år i Ryssland, för att undersöka globala krypteringstrender och regionala skillnader i användning av kryptering. Resultat från den ryska undersökningen visade att anammandet av kryptering i regionen var väldigt mycket i linje med resten av de undersökta länderna.

Tor inför ScrambleSuit

ScrambleSuit är resultatet av forskning från Karlstad Universitet där målet var att hitta något sätt att gömma trafik över nätverket från anonymiseringsnätverket Tor. Men även att förhindra aktiva förfrågningar såsom exempelvis Kinas stora brandvägg använder sig av för att hitta Tor-noder.

ScrambleSuit

Med den nya versionen av obfsproxy så är ScrambleSuit integrerad:

obfsproxy 0.2.6 was released last week and adds ScrambleSuit to the set of available pluggable transports. Bridge operators are now called to update their software and configuration. At least Tor 0.2.5.1-alpha is required. The latest version of obfsproxy can be installed from sourcepip and Debian unstable.

There must be a critical mass of bridges before ScrambleSuit is made available to the Tor users who need it, so please help!

Så förutom bättre skydd mot detektion av Tor-trafik med hjälp av DPI (Deep Packet Inspection) så måste även ett lösenord användas för att ansluta till ingångsnoder. Detta för att försvåra för aktiva förfrågningar där syftet är att upptäcka ingångsnoder.

Forskarna har även tänkt på möjligheten att berätta lösenordet till en ingångsnod över telefon så har därför valt A-Z samt 0-9 enbart versaler.

ServerTransportOptions scramblesuit password=LLDNOWV7I4P6RKFJMDEMIY2GNU2IQISA

Här kan du läsa mer om ScrambleSuit:

Kryptering och anonymitet blir vardag

Kryptering blir mer och mer vanligt i vår vardag. Det finns nästan ingen app i dagsläget eller applikation i vår dator som vi använder som ej innehåller kryptering i någon form.

Senaste populära appen från Silicon Valley är Secret.ly som medger en anonymitet. Fokus ligger på ett anonymt budskap och ej på profilbilder eller namn. Peter Rosdahl har skrivit lite mer här.

Secret.ly

Denna typ av utveckling kommer troligtvis att bli vanligare. Tidigare så var vi noga att på Facebook gå ut med fullt namn, telefonnummer etc men nu verkar trenden vända och anonymitet bli något som värdesätts mer och mer.

Och i dag så tipsar .SE även om dagen då vi slår tillbaka på massövervakningen samt även tipsar om HTTPS Everywhere och att använda SSL i större utsträckning (köp SSL-certifikat här).

Ny version av Tor Browser

Tor browserny version av Tor Browser har släppts och det är inte så jättemycket nytt utan mestadels nya versioner av tillhörande mjukvara samt buggfixar.

All Platforms

Bug 10447: Remove SocksListenAddress to allow multiple socks ports. Bug 10464: Remove addons.mozilla.org from NoScript whitelist
Update Torbutton to 1.6.5.5
Bug 9486: Clear NoScript Temporary Permissions on New Identity
Bug 10403: Include Arabic translations
Update Tor Launcher to 0.2.4.3
Bug 10403: Include Arabic translations
Update Tor to 0.2.4.20
Update OpenSSL to 1.0.1f
Update NoScript to 2.6.8.12
Update HTTPS-Everywhere to 3.4.5

Windows

Bug 9259: Enable Accessibility (screen reader) support

Mac

misc: Update bundle version field in Info.plist (for MacUpdates service)

Ladda hem den nya versionen här:

https://blog.torproject.org/blog/tor-browser-351-released

Lily Allen om Bitcoins

Artisten Lily Allen ångrar bittert att hon inte tog detta erbjudande för några år sedan:

 

IT-säkerhetstrender 2014

Vi ska försöka att sammanfatta det vi tror kommer att hända och utvecklas under året 2014. Vilka trender inom IT-säkerhet är det vi ser och kommer att öka?

Utan inbördes ordning:

  1. Sårbarheter i mobilapplikationer – Generellt har appar och mobiltelefoner legat lite efter när det gäller utvecklingen gällande säkerheten men börjar nu att komma ikapp desktop-sidan.
  2. Riktade attacker – Produkter och metoder för att hitta riktade attacker kommer att utvecklas och automatiseras bättre. Produkter såsom Redline och Volatility kommer att bli lättre att bygga in i nuvarande system. Men även fler större attacker där single point of failure återfinnes såsom annonsnätverk.
  3. Kryptering – Fler kommer att gå över till att använda https samt nyttja PFS. Troligtvis kommer vi även att få se fler attacker mot https. Bitcoin kommer att fortsätta sin populäritet och vara underlag för diskussioner.
  4. Internet of things – Att sårbarheter uppdagas i bilar, människor och tv-apparater kommer att bli en vardag.
  5. Big Data – Att samla in data och samköra register/data blir lättare och lättare för varje år.
  6. Adekvat skydd – Vem är det vi ska oroa oss för? Är det främmande makts underrättlesetjänst såsom NSA eller grannen som är nyfiken? Nja, vi ska nog inte uppfinna vårat eget krypto men se till att de vi använder är tillräckligt bra. För mer information kommer troligtvis att läcka gällande hur amerikanska underrättelsetjänsten jobbar.

Nog med buzzword-bingo. Vad ser du för trender inom IT-säkerhet under 2014? Lämna gärna en kommentar nedan.