Taggat med: bitcoin

Ransomware as a Service (RaaS)

Att ransomware är ett växande problem och något som drabbar många råder ingen tvekan om. Och nu har även molnifieringen av tjänster nått de som skapar ransomware: Ransomware as a Service (RaaS).

Jag har tittat närmare på en av flertalet RaaS. Priserna för den som vill ha egen ransomware-kod så varierar priserna från 474 kr upp till 5 138 kr och då ingår även command-and-control (C&C) som handhar automatisk upplåsning vid betalning.

Denna RaaS-tjänst som jag tittat närmare på heter RaaSBerry går att nå över Dark Web (Tor) och betalning sker med hjälp av Bitcoin. Du köper då olika typer av paket där det ingår en prenumerationstjänst på C&C. Det framgår också att även om C&C inte skulle fungera eller att du slutar att betala för tjänsten så kan du alltid manuellt dekryptera nycklar till de som blir offer för ditt ransomware.

De olika paketen ser ut enligt följande (BTC = Bitcoin)

Vad som är intressant att läsa ut är att samtliga paket kommer med en unik EXE-fil samt att det inte finns någon mellanhand vad gäller betalningar från offer som går direkt till en Bitcoin-adress. Vissa andra RaaS-tjänster har en modell där RaaS-tjänsten tar procent av intäkterna.

I dessa paket ingår ingen form av exploit-kod som utnyttjar någon sårbarhet utan det är något som den som köper ransomware måste själv utveckla. För att köpa ett paket från RaaSberry måste du först överföra Bitcoin till en unik skapad adress, vilket RaasBerry kallar för wallet.

Tjänsten marknadsför även att en USP (Unique Selling Point) är att inget fristående program behövs för att dekryptera krypterade filer. Detta så länge att dekrypterings-nyckeln finns tillgänglig dvs (du har betalt en lösensumma).

Att köpa skadlig kod har alltid varit möjligt via Tor och andra kanaler och det finns många olika aktörer som försöker tjäna pengar på olika delar av kedjan. Tyvärr är det problematiskt och mycket tråkigt när det blir lättare och lättare för antagonisterna att förstöra för andra med ransomware.

Så undviker du ransomware

Sist men inte minst kommer några tips hur du undviker konsekvenser av ett ransomware eller att drabbas överhuvudtaget:

  • Se till att ha backup och att backupen är frånskild ordinarie vht. Kanske en datadiod? Inkrementell backup samt live-backup om möjligt.
  • Använd en sandlåda för kontroll av skadlig kod samt flertalet antivirus-motorer i perimeterskyddet och för rörligt media
  • Uppdatera och patcha operativsystem samt mjukvaror
  • Se till att ha så få administratörer som möjligt samt se till att användare har så låga behörigheter som möjligt
  • Ta bort standardlösenord och användarnamn
  • Utbilda användare och testa dem då och då med phishing-tester exempelvis

Viktigt att poängtera på ovan punkter är att även öva dessa moment samt kontrollera att verkligen backuperna fungerar, att antivirus-motorerna är uppdaterade samt utför kontroll att samtliga system och mjukvaror uppdateras samt patchas.

Uppdatering: Glömde helt sista punkten gällande tips för att undvika ransomware. Tack Matti Olofsson!

Omfattande pågående cyberattack: WannaCry/Wcry

Flertalet nyhetsmedier samt CERT-SE varnar just nu för en ny pågående cyberattack. Detta är en ransomware-kampanj som nyttjar sårbarheten MS17-010. Ett flertal länder är drabbade och däribland även Sverige.

I detta fall är det en ny variant av WannaCry (kallas även Wcry eller WanaCrypt0r) som infekterar Windows-system och krypterar filer både lokalt och på delade nätverksytor och sedan håller dessa som gissla samt begär betalning i Bitcoin.

Sårbarheten som åtgärdas i MS17-010 som släpptes för cirka två månader sedan och har och göra med hur Windows hanterar SMBv1-paket (EternalBlue). WannaCry använder även Tor för att sköta Command and control (C&C), detta för att försvåra spårning.

Här finns en karta för den som i realtid vill se infektioner:

WannaCry

Skärmdump från meddelandet som dyker upp om du blir infekterad:

Två nya kryptoattacker mot Telegram

Telegram

Telegram är en app för att skicka krypterade meddelanden mellan telefoner eller till dator. Appen är skapad av grundaren till ryska motsvarigheten till Facebook, VK. Men på grund av ryska myndigheter så valde Pavel Durov att lämna landet i exil.

Även så har Telegram fått stor uppmärksamhet på sistone då det framkommer att ISIS använder en funktionalitet i Telegram som gör det möjligt att skapa krypterade chatt-kanaler.

Ny forskning från Århus Universitet visar dock på att appen innehåller ett antal svagheter. Men grundproblemet med appen är att man har valt att implementera ett eget kryptoprotokoll.

Dessa två sårbarheter som uppdagats är relaterad till padding i dess eget protokoll vid namn MTProto. Klienten är i dagsläget öppen källkod, men ej serverdelen.

Intressant att notera är även att varje nyckel används för 100 stycken chatt-meddelanden eller max 1 vecka.

Så om en nyckel röjs så går det att återskapa max 100 meddelanden:

This means that if an adversary gets hold of an old auth_key he will be able to derive AES keys and read 100 encrypted messages, but he will not be able to construct the next key from the public DH values.

En av attackerna går ut på att lägga på extra padding, enligt följande:

Telegram padding-attack

Denna attack kan motverkas lätt genom att kontrollera längden på padding, vilket även föreslås i uppsatsen som är länkad nedan.

Sen ifrågasätts även användningen av SHA1 i Telegram. Och skulle exempelvis all kraft som finnes i Bitcoin mining-nätverket användas för att hitta en kollisionsattack i SHA1 så skulle det ta 4 sekunder.

Beskrivning av MTProto-protokollet:
MTProto

Här kan du ladda hem hela uppsatsen från Århus universitet:

Så blir du anonym med hjälp av OPSEC

OPSEC

För att hålla sig anonym på internet så finns det olika nivåer. Först och främst så avgörs dina tekniska metoder för att bibehålla anonymitet utifrån den aktör som du vill hålla dig anonym för: Är det din fru, underrättelsetjänst eller din internetleverantör?

Alla olika nivåer av anonymitet kräver åtgärder av olika slag. För att ge ett exempel: Att använda sig av PGP skyddar exempelvis inte vem som kommunicerar med vem eller hur mycket ni kommunicerar.

OPSEC är förkortningen för operationssekretess och används främst inom militära sammanhang men förekommer nu även civilt. Generellt gäller att du funderar igenom samtliga steg och eventuella spår du kan lämna efter dig i förhand. Bygg upp en plan och tänk igenom samtliga moment.

Burner-phones eller mobiltelefoner som enbart används en eller två gånger för ett specifik syfte är också något som ökar i populäritet. Även att tänka på är att inte sticka ut i mängden: För några år sedan så bombhotade en elev i USA sin skola via Tor. Det visade sig dock att eleven den enda på skolan som använde sig av Tor när loggar analyserades i efterhand.

Så tänk igenom följande:

  • Vem kommunicerar du med
  • Hur ofta kommunicerar ni
  • Vad kommunicerar ni
  • Vad lämnar ni för spår
  • Vem kan vara intresserad av ovan

morris worm

Personas eller fiktiva identiteter

Att skapa en ny temporär identitet som enbart används för operationen eller det enskilda syftet kan vara av god sed. Undvik dock för unika namn eller annat som kan kopplas till dig personligen såsom lösenord, adress, väder, företag eller liknande. Ett namn eller E-post som inte sticker ut i mängden kan vara att föredra om kommunikationen kräver E-post.

Vanor är också av ondo, använd exempelvis inte in på ditt egna Facebook-konto under tiden då du använder en persona eller var vaksam på vad du använder Google eller andra tjänster till. Vanliga slarvfel i skrift eller unika slangord kan stärka kopplingar mellan dig och din persona.

Tails

Det vore tjänstefel att inte omnämna operativsystemet Tails i en sådan här guide. Tails laddar du ner gratis och bränner ut till CD-skiva som du sedan startar upp din dator på. Tails är ett uppsäkrat och anonymt operativsystem som innehåller en mängd verktyg såsom ordbehandlare, chatt, webbläsare och E-postprogram.

Tails och Tor går också hand i hand då detta finns förinstallerat. Se dock till att du har en ny och fräsch version av Tails eftersom det släpps nya säkerhetsuppdateringar nästan varje månad.

TorTor och VPN

Att använda Tor för att anonymisera sin kommunikation är så klart bra men tänk även på att detta sticker ut, precis som VPN. Båda Tor och VPN:er har sina för och nackdelar, när det gäller VPN så har du troligtvis ett utbyte av pengar. Försök att alltid använda End-to-end kryptering över VPN och Tor.

För att undvika att gå ut via en Tor exit-nod så kan du exempelvis surfa direkt till https://facebookcorewwwi.onion/ när du surfar via Tor Browser.

Vissa ”anonyma” VPN-leverantörer är mer eller mindre kända för att läcka information. Och ska du betala för din VPN-tjänst så föredra att använda Bitcoin som betalningsmedel som exempelvis OVPN-stödjer.

Radera information

Att slutligen radera information efter uppdraget är slutfört (eller löpande) är inte alltid lätt, för information kan automatiskt säkerhetskopieras eller lagras på externa medier. Meta-data kan läcka ut (tidsstämplar, GPS-information etc) och säker överskrivning tar lång tid. Överväg att använda en digital sprängkista som går snabbare men är inte lika säkert.

Läs på om ämnet

Det är så klart viktigt att läsa på innan, men tänk också på att det i sig lämnar spår. IIS har en mängd bra guider såsom Digitalt självförsvar – en introduktion.

Video från Hack in the Box 2012: OPSEC: Because Jail is for wuftpd

Att vara anonym kan ta otroliga resurser i form av tid och pengar och du kommer att göra misstag förr eller senare.

Schhyyy

NSA varnar för kvantdatorer

NSA Kvantdatorer

Eller rättare skrivet så gick den amerikanska myndigheten NSA ut för några dagar sedan och varnade för att många av nutidens algoritmer som används bör uppgraderas för att motstå beräkningar utförda av kvantdatorer.

Det rör framförallt RSA där nyckelstorlekar  är under 4096 bitar, men även elliptiska kurvor kan ligga dåligt till eftersom en variant av Shors algoritm kan användas. Eller som NSA uttrycker det:

Minimum 3072 bit-modulus to protect up to TOP SECRET.

Intressant också är gällande hashalgoritmer så rekommenderas minst SHA384, vilket i praktiken innebär SHA512.

Nu innebär detta inte att alla måste byta över en natt utan NSA rekommenderar att leverantörer slutar att leverera och tillverka produkter eller mjukvaror som implementerar algoritmer som ej kan motstå beräkningar utförda av kvantdatorer.

Och förutom RSA och SHA så rekommenderas ECDH (Elliptic Curve Diffie–Hellman) med med minst 384 bitar.

Personligen så föredrar jag Curve25519 av Daniel J Bernstein etc, se SafeCurves. Bitcoin exempelvis använder sig av secp256k1.

The RSA-2048 Challenge Problem would take 1 billion years with a classical computer. A quantum computer could do it in 100 seconds

– Dr. Krysta Svore, Microsoft Research

Uppdatering: Obs Curve25519 hjälper inte mot beräkningar utförda av en kvantdator.

Ny avanonymiserings-attack mot Bitcoin

Tre forskare vid Luxemburgs universitet har undersökt huruvida det går att avanonymisera Bitcoin-transaktioner och erhålla IP-adresser. Det visade sig vara möjligt mellan 11% och 60% av fallen beroende på hur anonym användaren försöker vara (använda VPN eller Tor exempelvis).

Det finns ungefär 100000 stycken peers i Bitcoins peer-to-peer nätverk och ungefär 90% av dessa sitter bakom någon form av adressöversättning (NAT). Denna nya forskning kan även urskilja olika användare bakom samma brandvägg/NAT.

Our attack requires only a few machines that establish a certain number of connections by Bitcoin protocol and log the incoming traffic. In a concrete example, an attacker with a few GB of storage and no more than 50 connections to each Bitcoin server can disclose the sender’s IP address in 11% of all transactions generated in the Bitcoin network.

If the attacker tolerates one false positive per identification, the success rate grows to 35%. If he also allows a slight DoS of the network, he may achieve deanonymization rates up to 60% without false positives, which has been confirmed by the experiments in the Bitcoin test network. We estimate the cost of the attack on the full Bitcoin network to be under 1500 EUR per month.

Här kan du ladda hem rapporten i sin helhet (PDF):

Avanonymisering av Bitcoin-användare

Vi spår Kryptotrender 2015

Vad händer inom krypteringsvärlden? Vad är nytt och vad är på gång? Generellt kan man säga att anonymitet och personlig integritet är otroligt populärt och då söker sig många per automatik till olika mjukvaror som är starkt beroende av kryptering på ett eller annat sätt. Faktum är att det finns väldigt få mjukvaror som inte innehåller någon slags kryptografi.

Kryptotrender 2015

Nedan finner du sådant som jag ser i spåkulan som kommer att inträffa under nästkommande år:

  • Fler publika granskningar liknande Open Crypto Audit Project
  • Minst en sårbarhet kommer att uppdagas i en TLS-implementation
  • Utbredningen av Off-the-Record (OTR) meddelandeappar kommer att fortgå
  • Google kommer att ansluta till Tor
  • Fler butiker och handlare kommer att ta emot kryptovalutan Bitcoin (taxibolaget Uber?, Klarna)
  • Skadlig kod blir bättre på att använda kryptering, tyvärr. I form av obfuskering som Gauss-payload och ransomware där dina filer krypteras och hålls som gisslan
  • Fler företag väljer att göra kryptering som standard såsom Apple och dess hårddiskkryptering. Seamless (sömlös?) är ett bra ord

Vad tror du? Kommer Bitcoin att floppa, Tor att upphöra? Lämna gärna en kommentar om just dina spådomar inför framtiden.

Följ Kryptera.se i sociala medier på Facebook eller Twitter.

Lily Allen om Bitcoins

Artisten Lily Allen ångrar bittert att hon inte tog detta erbjudande för några år sedan:

 

IT-säkerhetstrender 2014

Vi ska försöka att sammanfatta det vi tror kommer att hända och utvecklas under året 2014. Vilka trender inom IT-säkerhet är det vi ser och kommer att öka?

Utan inbördes ordning:

  1. Sårbarheter i mobilapplikationer – Generellt har appar och mobiltelefoner legat lite efter när det gäller utvecklingen gällande säkerheten men börjar nu att komma ikapp desktop-sidan.
  2. Riktade attacker – Produkter och metoder för att hitta riktade attacker kommer att utvecklas och automatiseras bättre. Produkter såsom Redline och Volatility kommer att bli lättre att bygga in i nuvarande system. Men även fler större attacker där single point of failure återfinnes såsom annonsnätverk.
  3. Kryptering – Fler kommer att gå över till att använda https samt nyttja PFS. Troligtvis kommer vi även att få se fler attacker mot https. Bitcoin kommer att fortsätta sin populäritet och vara underlag för diskussioner.
  4. Internet of things – Att sårbarheter uppdagas i bilar, människor och tv-apparater kommer att bli en vardag.
  5. Big Data – Att samla in data och samköra register/data blir lättare och lättare för varje år.
  6. Adekvat skydd – Vem är det vi ska oroa oss för? Är det främmande makts underrättlesetjänst såsom NSA eller grannen som är nyfiken? Nja, vi ska nog inte uppfinna vårat eget krypto men se till att de vi använder är tillräckligt bra. För mer information kommer troligtvis att läcka gällande hur amerikanska underrättelsetjänsten jobbar.

Nog med buzzword-bingo. Vad ser du för trender inom IT-säkerhet under 2014? Lämna gärna en kommentar nedan.

Köp SSL-Certifikat med Bitcoins

Vår systemsajt https.se har nu öppnat upp möjligheten att köpa SSL-Certifikat med hjälp av Bitcoin. Bitcoin har blivit otroligt populärt i Sverige och nyligen så hade bl.a. DN en artikel om en taxi i Sverige där det är möjligt att betala med Bitcoin.

1 BTC är cirka 3100 SEK med dagens kurs.

bitcoin

Vill du ha koll på svenska Bitcoin-nyheter? Se då till att följa Bitcoin.se där finns även en lista med handlare som tar Bitcoin.