Taggat med: apple

Apple startar ett bug-bounty program 💰

Äntligen! Det är inte en dag för tidigt att Apple nu äntligen startar upp ett bug-bounty program som betalar ut belöning till den som identifierar och rapporterar säkerhetsrelaterade sårbarheter.

Nästan alla företag och organisationer som tar säkerhet på allvar har någon form av belöning för den som rapporterar in sårbarheter (här kan du läsa om hur jag hittade en sårbarhet på Facebook).

Apple kommer att betala ut summor upp till 1.7 miljoner SEK (200,000$) vilket förhoppningsvis bidrar till att minska eventuella zero-days på svarta marknaden.

Utbetalningarna varierar enligt följande:

  • Sårbarheter i secure boot firmware komponenter: Upp till 1,7m SEK
  • Sårbarheter som möjliggör att data kan extraheras från Secure Enclave: Upp till 850k SEK
  • Exekvering av kod i kernel: Upp till 450k sek
  • Tillgång till iCloud data på Apples servrar: Upp till 450k SEK
  • Process i sandlåda som får tillgång till data utanför sandlådan: Upp till 200k SEK

Även så kräver Apple att det ska finnas Proof-of-concept kod samt att denna kod ska fungera på senaste Apple-hårdvaran samt senaste versionen av iOS.

Och en annan intressant twist är att Apple kommer att dubbla utbetalningen om den som får en säkerhetsbugg bekräftad, väljer att donera till välgörande ändamål.

Apple släpper säkerhetsuppdateringar 🔒

AppleIgår så släppte Apple en stor mängd med säkerhetsuppdateringar. Vissa av dessa uppdateringar åtgärder sårbarheter som innebär att en antagonist kan exekvera kod över nätverket, eller ”An attacker in a privileged network position” som Apple skriver.

Även en mängd lokala attacker såsom utbrytning ur Apples sandlåda.

Nätverksattackerna gäller:

  • Captive Network Assistant – Exekvera kod
  • CFNetwork Proxies – Dataläckage
  • MapKit – Dataläckage

Uppdateringarna gäller följande operativsystem och applikationer:

  • tvOS 9.2.1 for Apple TV (4th generation)
  • iOS 9.3.2 for iPhone 4s and later, iPod touch (5th generation) and later, and iPad 2 and later
  • watchOS 2.2.1 for Apple Watch Sport, Apple Watch, Apple Watch Edition, and Apple Watch Hermes
  • OS X El Capitan v10.11.5 and Security Update 2016-003 for OS X El Capitan v10.11and later
  • Safari 9.1.1 for OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, and OS X El Capitan v10.11.5
  • iTunes 12.4 for Windows 7 and later

📱 Apple genomför säkerhetshöjande åtgärder

Apple säkerhet

Apple meddelande på det senaste WWDC-eventet att de nu avser att genomföra ett antal säkerhetshöjande åtgärder inom snar framtid eller i iOS 9 som nu är ute i beta-version.

Några av dessa åtgärder omfattar följande fyra:

1. HTTPS som standard i Appar – Appar nu måste specifikt be om tillstånd för att använda http. Detta är som ett led att få alla appar att köra krypterad kommunikation över https. Denna åtgärd gäller från och med iOS version 9.

2. Förbättrad PIN – Den som använder PIN-kod för att låsa sin iPhone etc måste nu använda minst 6 siffror i sin kod istället för 4 som var standard tidigare. Detta ökar sökrymden från 10000 till en miljon olika kombinationer för den som försöker forcera koden. Att använda siffror som PIN-kod kommer dock fortfarande inte att krävas.

Och för den som vill höja säkerheten mer bör stänga av funktionen ”enkelt lösenord” och istället använda ett lösenord bestående av både siffror och bokstäver. Läs även vad Anne-Marie Eklund-Löwinder skrev om hur man skapar ett bra lösenord här.

3. 2FA – Nytt gränssnitt för tvåfaktorsautentisering som kopplar inloggningen mot en fysisk plats för inloggningsgodkännande:

iCloud 2FA4. VPN API – Detta är en synnerligen intressant ny funktion. Med detta nya API för VPN-anslutningar så medges appar att skapa up VPN och krypterade proxyanslutningar vilket troligtvis öppnar upp för Tor och OpenVPN. Även så har OpenVPN fått förhandsåtkomst till detta API som nu öppnas upp för alla (se appen OpenVPN Connect).

Även så har Cisco AnyConnect använt detta odokumenterade API sedan många år.

 

Apple börjar med tvåfaktorsautentisering

Sent som sider så börjar även Apple med tvåfaktorsautentisering. Facebook, Google och Dropbox erbjuder tvåfaktorsautentisering sedan en tid tillbaka och nu tar även Apple steget ut att erbjuda sina kunder säkrare inloggning.

Apple använder sig av engångskoder som skickas ut via SMS men fungerar enbart i USA, England, Australiem, Irland eller New Zeeland i dagsläget.

Apple_tvåfaktor

Läs här hur du går tillväga för att slå på tvåfaktorsautentisering på ditt AppleID:

Apples kryptobugg i Lion

När Apple nyligen släppte sin senaste uppdatering till dess operativsystem Mac OS (10.7.3) så glömdes en debug-utskrift kvar där lösenordet till användare förekommer i klartext.

Detta är extra känsligt eftersom FileValut, den kryptering som används för användares hemkataloger då kan återskapas. Använder du FileVault 2 så (full-disk) så berörs du ej av denna bugg.

Buggen identifierades av David Emery och beskrivs på följande sätt:

Det är värre än vad det verkar som, eftersom loggen i fråga kan läsas genom att starta upp maskinen i firewire disk-läge och läsa den genom att öppna enheten som en skiva eller genom att starta upp nya medföljande-LION återställningspartitionen och med hjälp av tillgänglig superanvändare montera filsystemet och läsa debugfilen. Detta skulle göra det möjligt att bryta sig in i krypteradepartitioner på maskiner som de inte har en aning om eventuella inloggninglösenord för.

Skärmdump från loggfilen:

HTTPS Everywhere version 1.0

Webbläsarverktyget HTTPS Everywhere finns nu ute i version 1.0. HTTPS Everywhere är ett verktyg som gör att många av de vanligaste webbsajterna vi surfar till dagligen använder den krypterade versionen av webbsurf dvs https. I dagsläget så ligger runt 1000 sajter inlagda i verktyget att automatiskt gå över till https istället för http.

Tyvärr så fungerar HTTPS Everywhere enbart till Firefox i dagsläget. Begränsningar i API:t hos Safari och Chrome gör att det ej är möjligt att göra ett verktyg som HTTPS Everywhere. Vi hoppas så klart att både Apple och Google kommer att införa förändringar i dess webbläsare  som gör det möjligt att tvinga fram https.

HTTPS Everywhere kommer från frihetskämparorganisationen EFF som även står bakom verktyg såsom Tor.

Här kan du ladda hem verktyget: https://www.eff.org/https-everywhere

Felaktig certifikatkontroll i iPhone iOS

En allvarlig säkerhetsbugg har upptäckts i Apples mobiltelefon iPhone som använder operativsystemet iOS. Denna typ av attack upptäcktes för nio år sedan och har drabbat exempelvis webbläsaren Internet Explorer tidigare.

Denna bugg medger att någon kan göra en aktiv, oupptäckbar MITM (man-in-the-middle) attack mot TLS/SSL-krypterade anslutningar. För detta kan verktyget sslsniff användas som även uppdaterats.

Buggen hittades av Gregor Kopf (Recurity Labs) samt Paul Kehrer ( Trustwave’s SpiderLabs). Recurity Labs har genomfört granskningar av iOS på uppdrag av tyska myndigheten Federal Office for Information Security (BSI).

Mer information finns hos Apple, Sophos eller H-Online.

Uppdatering: Buggen är så klart fixad av Apple sedan iOS version 4.3.5 som släpptes för några dagar sedan.

Mac OS X Lion hårddiskryptering

Uppdatering: Om du vill se prestanda bör du kolla här  (PGP WDE) eller här.

Nu när Apple har släppt en ny version av dess operativsystem som går under namnet Mac OS X Lion så finns det stöd för full hårddiskryptering. Med detta menas att hela hårddisken kan krypteras och fungera mer eller mindre transparent mot program, filsystem (HFS+) och användaren.

Apple kallar denna funktion för FileVault och tidigare har denna typ av kryptering enbart fungerat för hemkataloger. Lion ser ut att använda AES-XTS.

Skärmdump:


 

ElcomSoft knäcker iPhone iOS kryptering

Det ryska företaget ElcomSoft har hittat en metod som gör det möjligt att läsa ut och knäcka Apple iPhones hårdvarukryptering. Detta genomförs med hjälp av en specialskriven kernel som kan startas upp i telefonen då denna är i uppgraderingsläge även benämnt DFU (Device Firmware Upgrade).

Detta är infört i en av dess produkter som enbart säljs till lagförande myndigheter som är i behov av forensiska undersökningar. Dess produkt kan även återskapa raderat innehåll från telefonen.

När sedan innehållet från telefonen är utkopierat kan andra verktyg som Guidance EnCase eller AccessData FTK användas för ytterligare undersökningar av innehållet.

Apple får en ny Director of Global Security

Apple har nyss anställt David Rice som Director of Global Security. David kommer senast från en anställning vid amerikanska myndigheten NSA. Det är i dagsläget oklart vad denna nya befattning innebär.

Apple har tidigare anställt ett antal IT-säkerhetsproffs såsom Window Snyder som var head of Security på Mozilla, Jon Callas  som var CTO på PGP.

Källa: H-Online